用PowerQUICCTM III MPC8572E設(shè)計(jì)防火墻/ VPN(07-100)

　　<協(xié)議、SA 、DA、 SP、 DP>，其中?協(xié)議 = TCP

　　·SA = 客戶(hù)端地址

　　·DA =(通常是已公布)服務(wù)器地址

　　·SP = 客戶(hù)端地址

　　·DP = 21，IANA為FTP控制分配的端口編號(hào)。

　　數(shù)據(jù)連接是控制連接(母數(shù)據(jù)流)的子數(shù)據(jù)流?？蛻?hù)端使用PORT或PASV命令來(lái)指定用來(lái)傳輸所請(qǐng)求數(shù)據(jù)的地址和端口編號(hào)。FTP服務(wù)器到客戶(hù)端的數(shù)據(jù)流按照下列5字節(jié)組中的選擇器值進(jìn)行劃分：

　　<協(xié)議、 SA、 DA、 SP、 DP>，其中

　　·協(xié)議 = TCP

　　·SA = (通常已公布)服務(wù)器地址

　　·DA = PORT或PASV命令中指定的動(dòng)態(tài)地址

　　·SP = 通常是服務(wù)器分配的動(dòng)態(tài)端口(或者默認(rèn)值為20，IANA為FTP數(shù)據(jù)分配的端口數(shù)量)

　　·DP =  PORT或PASV命令中指定的動(dòng)態(tài)端口編號(hào)。

　　前面的例子表明，信息業(yè)務(wù)是基于流量的。流量按照下列5字節(jié)組中的選擇器值進(jìn)行劃分： <協(xié)議、 SA、 DA、 SP、 DP>。選擇器值在流量的有效期間不會(huì)更改。

　　服務(wù)器地址通常都是公開(kāi)的。表明業(yè)務(wù)的端口編號(hào)由IANA定義。由已知服務(wù)器地址和端口編號(hào)劃分的單個(gè)流量適用于很多業(yè)務(wù)(但不是所有業(yè)務(wù))。

　　有些多媒體業(yè)務(wù)使用一個(gè)以上的子流量。母流量(通常是控制流量)會(huì)協(xié)商子流量(通常是數(shù)據(jù)或多媒體流量)里的選擇器值。
　　
　　基于流量的防火墻操作

　　已知端口編號(hào)基于訪問(wèn)控制列表(ACL)支持相對(duì)簡(jiǎn)單的策略執(zhí)行操作。

　　例如，對(duì)于Web流量，適用的ACL可以定義為：

　　“如果協(xié)議是TCP協(xié)議且目的端口編號(hào)為80，允許流量從外部網(wǎng)絡(luò)進(jìn)入DMZ1。”

　　策略執(zhí)行階段需要對(duì)已收到數(shù)據(jù)包的選擇器值與配置的ACL進(jìn)行匹配。一旦匹配，屬于該流量的所有后續(xù)數(shù)據(jù)包都能允許通過(guò)，或者簡(jiǎn)單地進(jìn)行轉(zhuǎn)發(fā)。