有状态分组过滤器不仅根据IP分组携带的信息,而且还根据IP分组所属的会话的状态确定是否过滤掉该IP分组。根据功能分为会话层和应用层两种类型的有状态分组过滤器,会话层是指分组过滤器检查信息的深度限于与会话相关的信息,与OSI体系结构的会话层没有关系,应用层是指分组过滤器检查信息的深度涉及应用层协议数据单元中有关的字段。
有状态分组过滤器的工作原理:
1、终端A至Web服务器传输方向上的过滤规则允许终端A传输与终端A发起访问Web服务器的操作有关的TCP报文;
2、初始状态下,Web服务器至终端A传输方向上的过滤规则拒绝一切IP分组;
3、只有当终端A至Web服务器传输方向上传输了与终端A发起访问Web服务器的操作相关的TCP报文之后,Web服务器至终端A传输方向才允许传输作为对应的响应报文的TCP报文。
1、会话层有状态分组过滤器
一个方向配置允许发起创建某个会话的IP分组传输的过滤规则集。创建会话之后,所有属于该会话的报文可以从两个方向传输。也就是说一旦终端A发出请求建立与Web服务器之间的TCP请求报文,路由器R1在会话表中创建一个会话;创建该会话之后,所有属于该会话的TCP报文允许经过路由器R1接口1输入输出。除了TCP会话,还可以是UDP会话、ICMP会话。
2、应用层有状态分组过滤器
应用层有状态分组过滤器需要分析应用层协议数据单元,所以过滤规则中要指定应用层协议。一个方向需要配置允许传输请求报文的过滤规则,另一个方向自动生成允许传输该请求报文对应响应报文的过滤规则。应用层检查响应报文与请求报文的相关性。
了解更多服务器及资讯,请关注梦飞科技官方网站 https://www.mfisp.com/,感谢您的支持!
文章链接: https://www.mfisp.com/2767.html
文章标题:有状态分组过滤器
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
