第五讲防火墙与可信任系统2摘要.pptVIP

* 参数配置A：对发入内网邮件服务器的包放行（端口25是简单邮件传输协议SMTP服务器的端口号），但只针对一台网关主机。然而，对来自外网的主机的访问是阻止的，因为此主机有利用电子邮件发送海量文件攻击的历史记录，即它是黑名单成员。 参数配置B：这是默认的初始策略的明确表述，初始状态是将所有的进出包阻断。 参数配置C：此设置规定了任何内部网络的主机都可以向外部电子邮件服务器发送电子邮件。一个具有信宿端口号为25的TCP包可以被转发给外网的SMTP邮件服务器。此设置存在的问题是：公认端口号25一般就表示此包是发给SMTP邮件服务器的，但是外网的主机也可以将非邮件服务器的应用端口配置为25。如果防火墙使用了这样的设置，一个外网的攻击者能够将一个TCP包的信源端口号设为25，伪装成是外部SMTP邮件服务器发给内网主机的响应，从而欺骗防火墙，进入到内网的主机。 * 参数配置D：此规则设置可以实现在上述C项设置中所不能实现的目标。此设置利用了建立TCP连接的三次握手的一个属性：一旦内网的主机与外网的主机建立了TCP连接，外网主机将会向内网主机发回一个TCP的控制字段为ACK的确认包。因此，此规则说明它将允许信源IP地址是内部主机之一，而信宿端口号为25的IP包从防火墙出去。它也允许一个信源端口号为25，并在TCP控制字段中包含ACK确认标识的IP包从外网进入内网。注意在此规则中明确地指定了信源