用PowerQUICCTM III MPC8572E设计防火墙/ VPN(07-100)
<协议、SA 、DA、 SP、 DP>,其中?协议 = TCP
本文引用地址:http://www.eepw.com.cn/article/81712.htm·SA = 客户端地址
·DA =(通常是已公布)服务器地址
·SP = 客户端地址
·DP = 21,IANA为FTP控制分配的端口编号。
数据连接是控制连接(母数据流)的子数据流。客户端使用PORT或PASV命令来指定用来传输所请求数据的地址和端口编号。FTP服务器到客户端的数据流按照下列5字节组中的选择器值进行划分:
<协议、 SA、 DA、 SP、 DP>,其中
·协议 = TCP
·SA = (通常已公布)服务器地址
·DA = PORT或PASV命令中指定的动态地址
·SP = 通常是服务器分配的动态端口(或者默认值为20,IANA为FTP数据分配的端口数量)
·DP = PORT或PASV命令中指定的动态端口编号。
前面的例子表明,信息业务是基于流量的。流量按照下列5字节组中的选择器值进行划分: <协议、 SA、 DA、 SP、 DP>。选择器值在流量的有效期间不会更改。
服务器地址通常都是公开的。表明业务的端口编号由IANA定义。由已知服务器地址和端口编号划分的单个流量适用于很多业务(但不是所有业务)。
有些多媒体业务使用一个以上的子流量。母流量(通常是控制流量)会协商子流量(通常是数据或多媒体流量)里的选择器值。
基于流量的防火墙操作
已知端口编号基于访问控制列表(ACL)支持相对简单的策略执行操作。
例如,对于Web流量,适用的ACL可以定义为:
“如果协议是TCP协议且目的端口编号为80,允许流量从外部网络进入DMZ1。”
策略执行阶段需要对已收到数据包的选择器值与配置的ACL进行匹配。一旦匹配,属于该流量的所有后续数据包都能允许通过,或者简单地进行转发。
评论