包过滤技术的局限性主要体现在哪几方面

包过滤技术的局限性主要体现在以下几方面：

• 难以实现对应用层服务的过滤：由于防火墙不是数据包的最终接收方，仅仅能够对数据包网络层和传输层信息头等信息进行分析控制，所以难以了解数据包是由哪个应用程序发起。目前的网络攻击和恶意程序往往伪装成常用的应用层服务的数据包规避包过滤防火墙的检查。

• 访问控制列表的配置和维护困难：包过滤技术的正确实现依赖于完备的访问控制列表，以及访问控制列表中配置规则的先后顺序。在实际应用中，对于一个大型网络的访问控制列表的配置和维护将变得非常繁杂。

• 难以详细了解主机之间的会话关系：包过滤防火墙处于网络边界，并根据流经防火墙的数据包进行网络会话分析，生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者，所以对网络会话连接的上下文关系难以详细了解，容易遭受欺骗攻击。

• 有些包过滤防火墙缺少审计和报警等安全机制：安全防护是一个系统化工程，需要多种安全防护机制协同工作。

• 定义包过滤器可能是一项复杂的工作：因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。

• 路由器信息包的吞吐量随过滤器数量的增加而减少：路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。

• 不能彻底防止地址欺骗：大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。

• 有的应用协议不适合于数据包过滤：即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。

• 正常的数据包过滤路由器无法执行某些安全策略：例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。

• 有的包过滤路由器不提供任何日志能力：直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。