有狀態(tài)分組過(guò)濾器不僅根據(jù)IP分組攜帶的信息,而且還根據(jù)IP分組所屬的會(huì)話的狀態(tài)確定是否過(guò)濾掉該IP分組。根據(jù)功能分為會(huì)話層和應(yīng)用層兩種類型的有狀態(tài)分組過(guò)濾器,會(huì)話層是指分組過(guò)濾器檢查信息的深度限于與會(huì)話相關(guān)的信息,與OSI體系結(jié)構(gòu)的會(huì)話層沒(méi)有關(guān)系,應(yīng)用層是指分組過(guò)濾器檢查信息的深度涉及應(yīng)用層協(xié)議數(shù)據(jù)單元中有關(guān)的字段。
有狀態(tài)分組過(guò)濾器的工作原理:
1、終端A至Web服務(wù)器傳輸方向上的過(guò)濾規(guī)則允許終端A傳輸與終端A發(fā)起訪問(wèn)Web服務(wù)器的操作有關(guān)的TCP報(bào)文;
2、初始狀態(tài)下,Web服務(wù)器至終端A傳輸方向上的過(guò)濾規(guī)則拒絕一切IP分組;
3、只有當(dāng)終端A至Web服務(wù)器傳輸方向上傳輸了與終端A發(fā)起訪問(wèn)Web服務(wù)器的操作相關(guān)的TCP報(bào)文之后,Web服務(wù)器至終端A傳輸方向才允許傳輸作為對(duì)應(yīng)的響應(yīng)報(bào)文的TCP報(bào)文。
1、會(huì)話層有狀態(tài)分組過(guò)濾器
一個(gè)方向配置允許發(fā)起創(chuàng)建某個(gè)會(huì)話的IP分組傳輸?shù)倪^(guò)濾規(guī)則集。創(chuàng)建會(huì)話之后,所有屬于該會(huì)話的報(bào)文可以從兩個(gè)方向傳輸。也就是說(shuō)一旦終端A發(fā)出請(qǐng)求建立與Web服務(wù)器之間的TCP請(qǐng)求報(bào)文,路由器R1在會(huì)話表中創(chuàng)建一個(gè)會(huì)話;創(chuàng)建該會(huì)話之后,所有屬于該會(huì)話的TCP報(bào)文允許經(jīng)過(guò)路由器R1接口1輸入輸出。除了TCP會(huì)話,還可以是UDP會(huì)話、ICMP會(huì)話。
2、應(yīng)用層有狀態(tài)分組過(guò)濾器
應(yīng)用層有狀態(tài)分組過(guò)濾器需要分析應(yīng)用層協(xié)議數(shù)據(jù)單元,所以過(guò)濾規(guī)則中要指定應(yīng)用層協(xié)議。一個(gè)方向需要配置允許傳輸請(qǐng)求報(bào)文的過(guò)濾規(guī)則,另一個(gè)方向自動(dòng)生成允許傳輸該請(qǐng)求報(bào)文對(duì)應(yīng)響應(yīng)報(bào)文的過(guò)濾規(guī)則。應(yīng)用層檢查響應(yīng)報(bào)文與請(qǐng)求報(bào)文的相關(guān)性。
了解更多服務(wù)器及資訊,請(qǐng)關(guān)注夢(mèng)飛科技官方網(wǎng)站 http://www.qzkangyuan.com/,感謝您的支持!
文章鏈接: http://www.qzkangyuan.com/2767.html
文章標(biāo)題:有狀態(tài)分組過(guò)濾器
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
