ICMP用于IP主机、服务器、路由器之间传递控制消息，能提高网络传输的效率和成功率。但网上有很多针对ICMP的攻击。这些攻击可以利用ICMP“时间超出”或“目标地址无法连接”的消息进行转向连接攻击；也可以通过发送大量伪造的ICMP响应数据包，占用了目标系统的可用带宽并导致合法通信的服务拒绝(DoS)。
(1)请指明应采用哪种防火墙技术来防范上述ICMP攻击。
(2)简述采用该技术的防火墙的工作原理。
(3)分析该技术的不足之处。

ICMP用于IP主机、服务器、路由器之间传递控制消息，能提高网络传输的效率和成功率。但网上有很多针对ICMP的攻击。这些攻击可以利用ICMP“时间超出”或“目标地址无法连接”的消息进行转向连接攻击；也可以通过发送大量伪造的ICMP响应数据包，占用了目标系统的可用带宽并导致合法通信的服务拒绝(DoS)。
(1)请指明应采用哪种防火墙技术来防范上述ICMP攻击。
(2)简述采用该技术的防火墙的工作原理。
(3)分析该技术的不足之处。

(1)应采用包过滤技术。
(2)工作原理:每次接收到一个来自外网的IP数据报后，首先要访问其访问控制列表(Access Control List,ACL)，依次根据过滤逻辑分析IP数据报中的各首部字段(包括IP、TCP和UDP等)，判断过滤逻辑是否允许该IP数据报通过。
(3)不足之处:大多数包过滤技术都是基于源IP地址和目的IP地址的，而IP地址很容易被假冒，从而造成过滤的失效。由于只能鉴别网络层(IP首部)和传输层(TCP首部、UDP首部)的有限信息，不能识别具体的应用程序，并且过滤逻辑的数据是有限的，因此安全防护的性能比较差。