一、各层封包包头内的信息
在防火墙的匹配条件中,最基本且最简单的就是数据包中各层包头内的信息。
1、连接层
这一层中最重要的信息是MAC地址,我们可以在防火墙的过滤规则中借助Destination MAC来判别封包是由哪一台主机送出来的。
2、网络层
IP包头中是有很多信息是可以拿来作为过滤条件的。如下:Header Length -- IP包的长度
Differentiated Service -- 差别服务判别,执行Qos时即可能会用到,一般正常值应为0
Total Length -- 数据包不包含连接层包头的整体长度
Flags -- 注明数据包是否可以被切割,或者指定数据包可不可以被切割
Time To Live -- 数据包的存活时间
Protocol -- 上层协议,如TCP为06、UDP为17、ICMP为01等
Source -- 来源端主机的IP地址
Destination -- 目的端主机的IP地址
3、传输层
在传输层的世头中也有很多信息可以作为过滤条件,我们这里以TCP协议为例
Source Port --来源端应用程序所在的Port号Destination Port -- 目的端应用程序所在的Port号
Header Length -- TCP包头的整体长度
Flags -- TCP包头内的连接控制标志,这是TCP包头内最为重要的信息。
二、数据包所承载的数据内容
我们可以使用数据包中内容部分的特定字符串来作为过滤条件。
三、连接状态
根据防火墙提供的“连接状态判别”的机制。