@奈良山
2年前 提问
1个回答

基于包过滤的防火墙中的五元组有哪些构成

007bug
2年前

防火墙五元组通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议,五元组能够区分不同会话,并且对应的会话是唯一的。

例如:192.168.1.1 10000 TCP 121.14.88.76 80 就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接。

防火墙一般是检查IP报文中的“五元组”,通过判断IP数据报文的五元组,就可以判断一条数据流相同的IP数据报文。下一代防火墙除了检测五元组,还会检测报文的用户、应用和时间段等。

除了五元组还有四元组和七元组:

  • 四元组:源IP地址、目的IP地址、源端口、目的端口

  • 七元组:源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引。