防火墙的匹配（过滤）的依据

防火墙的任务简单描述就是“放行合法”或“封锁不合法”的数据包。而可以拿来作为匹配的条件可以划分成以下三大类。 
     

    一、各层封包包头内的信息

    在防火墙的匹配条件中，最基本且最简单的就是数据包中各层包头内的信息。 

        1、连接层 

          这一层中最重要的信息是MAC地址，我们可以在防火墙的过滤规则中借助Destination MAC来判别封包是由哪一台主机送出来的。 

        2、网络层

         IP包头中是有很多信息是可以拿来作为过滤条件的。如下： 
               Header Length －－ IP包的长度 
               Differentiated Service －－ 差别服务判别，执行Qos时即可能会用到，一般正常值应为0 
               Total Length －－ 数据包不包含连接层包头的整体长度 
               Flags －－ 注明数据包是否可以被切割，或者指定数据包可不可以被切割 
               Time To Live －－ 数据包的存活时间 
               Protocol －－ 上层协议，如TCP为06、UDP为17、ICMP为01等 
               Source －－ 来源端主机的IP地址 
               Destination －－ 目的端主机的IP地址 

        3、传输层 

         在传输层的世头中也有很多信息可以作为过滤条件，我们这里以TCP协议为例 

              Source Port －－来源端应用程序所在的Port号 
              Destination Port －－ 目的端应用程序所在的Port号 
              Header Length －－ TCP包头的整体长度 
              Flags －－ TCP包头内的连接控制标志，这是TCP包头内最为重要的信息。 
    二、数据包所承载的数据内容 

         我们可以使用数据包中内容部分的特定字符串来作为过滤条件。

    三、连接状态

        根据防火墙提供的“连接状态判别”的机制。