不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，
f不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。服务器TCPUDP端口过滤仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用tel
et的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTPPOP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCPUDP端口进行过滤。比如，默认的tel
et服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的tel
et连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCPUDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。客户机也有TCPUDP端口TCPIP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，tel
et服务器在端口23侦听入站连接。同时tel
et客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？由于历史的原因，几乎所有的TCPIP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如Xclie
t、基于RPC的NFS服务以及为数众多的非UNIXIP产品等（NetWareIP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。
双向过滤OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：不过新问题又出r