关于防火墙入站(inbound)出站(outbound)方式的解释

防火墙是一个重要的安全模块,它能够限制网络的访问。
现在有一个要求那就是要让主机A能够访问主机B,主机B不能访问主机A,那么防火墙能够做到么?
答案是可以的,当主机A的防火墙入站规则限制了主机B,那么主机B想访问主机A的时候,发出的网络包确实会被A的防火墙拦截,那么网络包无法到达A,自然B无法访问A。但是在A访问B的时候,有不少同学有这样的疑惑:此时防火墙不会拦截A发送B网络包,但是在B收到A发来的包以后,向A发送针对之前的网络包的回复包,那么在到达A的时候,岂不是也被主机A的防火墙拦截了?那么主机A迟迟收不到主机B的网络包,岂不是就连接失败,无法访问B了?
事实上,这里面的原理需要解释一下:
tcp连接有三次握手,请求连接,同意连接,建立连接。那么入站出站规则则分别对应请求连接和同意连接。假设有A和B均开启了80端口,B想访问A的80端口,那么假设A防火墙上面设置了入站规则是禁止B访问,B对A发出的请求连接的网络包确实会被A的防火墙拦截,那么网络包无法到达A,自然B无法访问A,但是在A想访问B的时候,A对B的请求连接的网络包不会被A的防火墙拦截,B收到请求连接的网络包之后对A发出的回复同意连接的网络包实际上是不会被A上的防火墙拦截的,因为A上防火墙拦截的只是请求连接的数据包,同理假如设置了出站规则,那么防火墙拦截的也是请求连接的数据包,不会拦截之后的回复包。假如此时在A的入站规则里面删去B,在出站连接里面添加B,那么就会导致主机B能够访问主机A,主机A不能访问主机B的情况,因为A向B建立连接的请求包被拦截了。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值