@Niki
2年前 提问
1个回答

防火墙匹配报文的依据有哪些

房乐
2年前
  • string扩展,此模块主要对报文中的应用层数据做字符串模式匹配检测

  • time扩展,此模块根据将报文到达的时间与指定的时间范围进行匹配

  • limit,此模块主要是基于收发报文的速率来做匹配,通俗的讲就是来控制访问速率的。其原理是用的令牌桶算法

  • state扩展,state模块是根据连接追踪机制去检查连接的状态,使用这个模块去匹配报文时比较消耗防火墙资源的,因为防火墙要在其内存维护一张连接追踪表,这个表记录着请求本机和响应之间的关系。每检查一次请求报文,它都会去这个表里看一看,是不是之前来过的,基于某一状态来追踪报文的合法性

  • multiport扩展,这个扩展模块主要用于匹配多个源端口或目标端口,multiport这个模块可以以离散方式定义多端口匹配,当然它也支持连续的端口匹配,连续端口匹配同tcp/udp的连续端口匹配用法和写法一直,它也支持,连续和非连续端口的混合匹配,但这个模块最多匹配15个端口。

  • iprange扩展,此扩展模块主要用于匹配连续的ip地址范围

  • mac扩展,该模块用于匹配主机的MAC地址,适用于PREROUTING和FORWARD,INPUT链上

  • connlimit扩展,此模块可根据每客户端IP做并发连接数数量匹配,可防止CC(Challenge Collapsar挑战黑洞)攻击