数据包过滤原理

文章摘要： 3. 按服务过滤 假设安全策略是禁止外部主机访问内部的E-mail服务器（SMTP，端口25），允许内部主机访问外部主机，实现这种的过滤的访问控制规则类似下表。 规则按从前到后的顺序匹配，字段中的“*”代表任意值，没有被过滤器规则明确允许的包将被拒绝。就是说，每一条规则集都跟随一条含蓄的规则，就像下表中的规则C。这与一般原则是一致的：没有明确允许的就被禁止。规则 方向 动作 源地址 源端口 目的地址 目的端口 注释A 进 拒绝 M * E-mail 25 不信任B 出 允许 * * * * 允许联接C 双向 拒绝 * * * * 缺省状

数据包过滤原理,标签：电子电路基础,模拟电路基础,http://www.88dzw.com
     3. 按服务过滤
             假设安全策略是禁止外部主机访问内部的E-mail服务器（SMTP，端口25），允许内部主机访问外部主机，实现这种的过滤的访问控制规则类似下表。
             规则按从前到后的顺序匹配，字段中的“*”代表任意值，没有被过滤器规则明确允许的包将被拒绝。就是说，每一条规则集都跟随一条含蓄的规则，就像下表中的规则C。这与一般原则是一致的：没有明确允许的就被禁止。

规则 方向 动作 源地址 源端口 目的地址 目的端口 注释
A 进 拒绝 M * E-mail 25 不信任
B 出 允许 * * * * 允许联接
C 双向 拒绝 * * * * 缺省状态

任何一种协议都是建立在双方的基础上的，信息流也是双向的。规则总是成对出现的，而且在讲解规则时也是成对讲解的原因。
4.包过滤实例
           无疑按服务过滤的安全性要比单纯按地址过滤高。
            下面，将通过一个例子来讲解这种过滤方式。第一，假设处于一个类网络116.111.4.0，认为站点202.208.5.6上有黄色的BBS，所以希望阻止网络中的用户访问该点的BBS；再假设这个站点的BBS服务是通过Telnet方式提供的，那么需要阻止到那个站点的出站Telnet服务，对于Internet的其他站点，允许内部的网用户通过Telnet方式访问，但不允许其他站点以Telnet方式访问网络。第二，为了由发电子邮件，允许SMTP出站入站服务，邮件服务器是IP地址为116.111.4.1。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址为116.111.4.5，因为你们是合作伙伴关系，那个公司的网络为98.120.7.0。

上一页  [1] [2]