- 状态过滤器的连接表、状态过滤器的访问控制列表
- 连接表用来跟踪一条进行中的连接,当它看到三次握手时观察到一条连接的开始,当它看到一个 FIN 分组时观察到该连接的结束,结合连接表和访问控制表共同决定一个分组是否被允许进入和流出。
- 访问控制表用来根据策略允许或拒绝一个分组的进入或流出。
-
正确
-
传统分组过滤器通常基于下列因素:
- IP 源或目的地址。
- 在 IP 数据报中的协议类型字段: TCP、UDP、ICMP、OSPF (
⚠️ OSPF 由 IP 报文承载,RIP 由 UDP 报文承载)等 - TCP 标志比特: SYN、ACK 等。
- ICMP 报文类型。
- 数据报离开和进入网络的不同规则
- 对不同路由器接口的不同规则
- 正确
- 应用程序网关实现了根据分组应用层数据进行过滤的逻辑,但是组织内部的用户流量如果不流经应用程序网关,那么应用程序网关将没有任何意义,所以先强制所有流量都进入应用程序网关,流量再从应用程序网关进入网关路由器。当然这里的应用程序网关必须先禁止掉所有源 IP 不是应用程序网关的分组流量。