|
|
|
|
|
|
|
|
相连的其他公共网络) 上的实体可以访问这台 PC,但不能访问该 PC 上的服务和资源。
保护家庭或小型商用网络。 如果联同 Internet 共享解决方案 (如 ICS) 使用,ICF 会提供对网络的保护。
返回页首
Internet 连接防火墙功能概述
本节包括对 ICF 工作方式的详细介绍。
从概念上说,防火墙是一个大型的过滤器规则引擎,它可以拦截网络通信并将其规则集应用到这些通信。数据包过滤是一个基于各个数据包的报头信息来允许或拒绝通信通过的过程。数据包过滤设备可以使用网络协议的特定信息 (如 TCP/IP 源和目标地址、端口以及其他信息) 来建立允许或拒绝网络通信流的规则。
状态数据包过滤
ICF 本质上是一个状态数据包过滤器。与静态数据包过滤器不同,静态数据包过滤器仅基于数据包的地址信息来确定是否丢弃数据包,而状态数据包过滤器的决定会同时基于数据包的状态和会话的上下文信息。这些存储的状态为该过滤器提供了实施比静态过滤器更为丰富、更为全面的规则集的方法。
ICF 维护的状态是一个连接流表。对于面向连接的协议 (如 TCP),连接流等价于这些协议的连接定义 (例如,源和目标地址、端口以及所使用的协议)。对于无连接的协议 (如 UDP),连接流是在公共端点 (如,IPAddress1/Port1 和 IPAddress2/Port2) 之间无中断发送的一组数据包。此处的无中断,是指在给定的时间段 (比如 1 分钟) 内没有任何数据包与该流匹配。
当连接流到时终止或连接被关闭时,表中的状态信息会被删除。
状态数据包过滤的安全策略
ICF 在整个状态数据包过滤页码:[1] [2] [3] [4] [5] [6] [7] 第4页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
