七、IPFilter包过滤防火墙不足之处

    尽管IPFilter技术十分容易了解，并且对于在网络传输上设置具体的限制特别有用，  —般而言，配置IPFilter防火墙存在一些缺点，因为防火墙配置涉及编写规则，常用规则语言的话法通常对于初学者（特别是Windows 初学者）难于理解，这样数据包过滤可能难于正确配置。当然如果您以前使用Freebsd 那么掌握IPFilter包过滤防火墙就非常简单了。

    规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。

    虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤防火墙，而是将它和其他设备（如堡垒主机等）联合使用。