展开全部优点:不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。缺点:不能防范黑客的IP欺骗类攻击; 不支持应用层协议;不能处理新的安全威胁。展开全部包过滤 是对穿透的IP包进行检测,符合要求的过,否则丢。比如现在的视频会议或VOIP采用的H.323协议体系,防火墙可以检测H.323特征,对于H.323的包,不检测,直接放过,而非H323包,按照普通防火墙检测是否放过。优:对于部分应用可以不进行检测,不需进行额外端口或IP设置代理不检测通过的是什么,只要按照指定端口/制定IP/指定MAC的码流都可以通过,也有部分可以限制诸如、MSN等软件