一、各層封包包頭內的信息
在防火牆的匹配條件中,最基本且最簡單的就是數據包中各層包頭內的信息。
1、連接層
這一層中最重要的信息是MAC地址,我們可以在防火牆的過濾規則中藉助Destination MAC來判別封包是由哪一臺主機送出來的。
2、網絡層
IP包頭中是有很多信息是可以拿來作爲過濾條件的。如下:Header Length -- IP包的長度
Differentiated Service -- 差別服務判別,執行Qos時即可能會用到,一般正常值應爲0
Total Length -- 數據包不包含連接層包頭的整體長度
Flags -- 註明數據包是否可以被切割,或者指定數據包可不可以被切割
Time To Live -- 數據包的存活時間
Protocol -- 上層協議,如TCP爲06、UDP爲17、ICMP爲01等
Source -- 來源端主機的IP地址
Destination -- 目的端主機的IP地址
3、傳輸層
在傳輸層的世頭中也有很多信息可以作爲過濾條件,我們這裏以TCP協議爲例
Source Port --來源端應用程序所在的Port號Destination Port -- 目的端應用程序所在的Port號
Header Length -- TCP包頭的整體長度
Flags -- TCP包頭內的連接控制標誌,這是TCP包頭內最爲重要的信息。
二、數據包所承載的數據內容
我們可以使用數據包中內容部分的特定字符串來作爲過濾條件。
三、連接狀態
根據防火牆提供的“連接狀態判別”的機制。