用PowerQUICCTM III MPC8572E设计防火墙/ VPN(07-100)

　　<协议、SA 、DA、 SP、 DP>，其中?协议 = TCP

　　·SA = 客户端地址

　　·DA =(通常是已公布)服务器地址

　　·SP = 客户端地址

　　·DP = 21，IANA为FTP控制分配的端口编号。

　　数据连接是控制连接(母数据流)的子数据流。客户端使用PORT或PASV命令来指定用来传输所请求数据的地址和端口编号。FTP服务器到客户端的数据流按照下列5字节组中的选择器值进行划分：

　　<协议、 SA、 DA、 SP、 DP>，其中

　　·协议 = TCP

　　·SA = (通常已公布)服务器地址

　　·DA = PORT或PASV命令中指定的动态地址

　　·SP = 通常是服务器分配的动态端口(或者默认值为20，IANA为FTP数据分配的端口数量)

　　·DP =  PORT或PASV命令中指定的动态端口编号。

　　前面的例子表明，信息业务是基于流量的。流量按照下列5字节组中的选择器值进行划分： <协议、 SA、 DA、 SP、 DP>。选择器值在流量的有效期间不会更改。

　　服务器地址通常都是公开的。表明业务的端口编号由IANA定义。由已知服务器地址和端口编号划分的单个流量适用于很多业务(但不是所有业务)。

　　有些多媒体业务使用一个以上的子流量。母流量(通常是控制流量)会协商子流量(通常是数据或多媒体流量)里的选择器值。
　　
　　基于流量的防火墙操作

　　已知端口编号基于访问控制列表(ACL)支持相对简单的策略执行操作。

　　例如，对于Web流量，适用的ACL可以定义为：

　　“如果协议是TCP协议且目的端口编号为80，允许流量从外部网络进入DMZ1。”

　　策略执行阶段需要对已收到数据包的选择器值与配置的ACL进行匹配。一旦匹配，属于该流量的所有后续数据包都能允许通过，或者简单地进行转发。