(1)应采用包过滤技术(2分)。 (2)工作原理:每次接收到一个来自外网的IP数据报后,首先要访问其访问控制列表(Access Control List,ACL)(1分),依次根据过滤逻辑分析IP数据报中的各首部字段(包括IP、TCP和UDP等)(1分),判断过滤逻辑是否允许该IP数据报通过(1分)。 (3)不足之处:大多数包过滤技术都是基于源IP地址和目的IP地址的,而IP地址很容易被假冒(1分),从而造成过滤的失效(1分)。由于只能鉴别网络层(IP首部)和传输层(TCP首部、UDP首部)的有限信息,不能识别具体的应用程序(1分),并且过滤逻辑的数据是有限的(1分),因此安全防护的性能比较差(1分)。