防火墻技術(shù)及應(yīng)用

防火墻技術(shù)及應(yīng)用防火墻技術(shù)概述防火墻的概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過(guò)監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

防火墻=硬件+軟件+控制策略第2頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，一個(gè)高效可靠的防火墻應(yīng)用具備以下的基本特性：防火墻是不同網(wǎng)絡(luò)之間，或網(wǎng)絡(luò)的不同安全域之間的唯一出入口，從里到外(inbound)和從外到里(outbound)的所有信息都必須通過(guò)防火墻；通過(guò)安全策略來(lái)控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)不同安全域之間的通信，只有本地安全策略授權(quán)的通信才允許通過(guò)；防火墻本身是免疫的，即防火墻本身具有較強(qiáng)的抗攻擊能力。

Internet外部(不可信)的網(wǎng)絡(luò)Intranet內(nèi)部(受保護(hù))網(wǎng)絡(luò)不能隨便進(jìn)來(lái)，當(dāng)然也不能隨便出去第3頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻的基本功能監(jiān)控并限制訪問(wèn)控制協(xié)議和服務(wù)保護(hù)內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）虛擬專用網(wǎng)（VPN）日志記錄與審計(jì)第4頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻的基本原理所有的防火墻功能的實(shí)現(xiàn)都依賴于對(duì)通過(guò)防火墻的數(shù)據(jù)包的相關(guān)信息進(jìn)行檢查，而且檢查的項(xiàng)目越多、層次越深，則防火墻越安全。由于現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)采用自頂向下的分層模型，而分層的主要依據(jù)是各層的功能劃分，不同層次功能的實(shí)現(xiàn)又是通過(guò)相關(guān)的協(xié)議來(lái)實(shí)現(xiàn)的。所以，防火墻檢查的重點(diǎn)是網(wǎng)絡(luò)協(xié)議及采用相關(guān)協(xié)議封裝的數(shù)據(jù)。第5頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻提供的機(jī)制

-服務(wù)控制(servicecontrol)確定可以訪問(wèn)的Internet服務(wù)類型(雙向的)。防火墻可以基于IP地址、協(xié)議和TCP端口號(hào)對(duì)流量進(jìn)行過(guò)濾；或者提供代理軟件，對(duì)收到的每個(gè)服務(wù)請(qǐng)求進(jìn)行解釋，然后才允許通過(guò)防火墻用來(lái)控制訪問(wèn)和執(zhí)行站點(diǎn)安全策略的四種通用技術(shù)。第6頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻提供的機(jī)制

-方向控制(directioncontrol)確定特點(diǎn)服務(wù)請(qǐng)求發(fā)起和允許通過(guò)防火墻的方向。第7頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻提供的機(jī)制

-用戶控制(usercontrol)根據(jù)試圖訪問(wèn)服務(wù)器的用戶來(lái)控制服務(wù)器的訪問(wèn)權(quán)限。通常這個(gè)功能應(yīng)用于在防火墻周界以內(nèi)的用戶(即本地用戶)。也可以用于來(lái)自外部用戶的流量。第8頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻提供的機(jī)制

-行為控制(behaviorcontrol)控制特點(diǎn)服務(wù)的使用方法。過(guò)濾垃圾郵件；控制外部用戶只能對(duì)本地Web服務(wù)器上的部分信息進(jìn)行訪問(wèn)。第9頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻的基本準(zhǔn)則默認(rèn)丟棄-所有未被允許的就是禁止的

所有未被允許的就是禁止的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，所有未被允許的通信禁止通過(guò)防火墻。默認(rèn)轉(zhuǎn)發(fā)-所有未被禁止的就是允許的

所有未被禁止的就是允許的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，防火墻轉(zhuǎn)發(fā)所有信息流，允許所有的用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址等參數(shù)對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。先否定一切先肯定一切第10頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻的應(yīng)用防火墻在網(wǎng)絡(luò)中的位置-多應(yīng)用于一個(gè)局域網(wǎng)的出口處或置于兩個(gè)網(wǎng)絡(luò)中間。財(cái)務(wù)處實(shí)驗(yàn)室第11頁(yè),共45頁(yè)，2024年2月25日，星期天使用了防火墻后的網(wǎng)絡(luò)組成-三部分

防火墻是構(gòu)建可信賴網(wǎng)絡(luò)域的安全產(chǎn)品。當(dāng)一個(gè)網(wǎng)絡(luò)在加入了防火墻后，防火墻將成為不同安全域之間的一個(gè)屏障，原來(lái)具有相同安全等級(jí)的主機(jī)或區(qū)域?qū)?huì)因?yàn)榉阑饓Φ慕槿攵l(fā)生變化.信賴域和非信賴域信賴主機(jī)和非信賴主機(jī)DMZ(Demilitarizedzone)稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個(gè)安全區(qū)域。

第12頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻應(yīng)用的局限性防火墻不能防范未通過(guò)自身的網(wǎng)絡(luò)連接對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，防火墻是進(jìn)出網(wǎng)絡(luò)的唯一節(jié)點(diǎn)。但是如果使用無(wú)線網(wǎng)絡(luò)（如無(wú)線局域網(wǎng)），內(nèi)部用戶與外部網(wǎng)絡(luò)之間以及外部用戶與內(nèi)部網(wǎng)絡(luò)之間的通信就會(huì)繞過(guò)防火墻，這時(shí)防火墻就沒(méi)有任何用處。第13頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻不能防范全部的威脅防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅。防火墻不能防止感染了病毒的軟件或文件的傳輸

即使是最先進(jìn)的數(shù)據(jù)包過(guò)濾技術(shù)在病毒防范上也是不適用的，因?yàn)椴《镜姆N類太多，操作系統(tǒng)多種多樣，而且目前的病毒編寫技術(shù)很容易將病毒隱藏在數(shù)據(jù)中。第14頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻不能防范內(nèi)部用戶的惡意破壞據(jù)相關(guān)資料統(tǒng)計(jì)，目前局域網(wǎng)中有80%以上的網(wǎng)絡(luò)破壞行為是由內(nèi)部用戶所為(80/20規(guī)則)，如在局域網(wǎng)中竊取其他主機(jī)上的數(shù)據(jù)、對(duì)其他主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊、散布計(jì)算機(jī)病毒等。這些行為都不通過(guò)位于局域網(wǎng)出口處的防火墻，防火墻對(duì)其無(wú)能為力。第15頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻本身也存在安全問(wèn)題防火墻的工作過(guò)程要依賴于防火墻操作系統(tǒng)，與我們平常所使用的Windows、Linux等操作系統(tǒng)一樣，防火墻操作系統(tǒng)也存在安全漏洞，而且防火墻的功能越強(qiáng)、越復(fù)雜，其漏洞就會(huì)越多。加密筆記本第16頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻的基本類型包過(guò)濾防火墻-CHeckpoint代理防火墻-Cauntlet狀態(tài)檢測(cè)防火墻-CiscoPIX分布式防火墻第17頁(yè),共45頁(yè)，2024年2月25日，星期天防火墻的基本類型包過(guò)濾(packetfiltering)防火墻包過(guò)濾防火墻是最早使用的一種防火墻技術(shù)，它在網(wǎng)絡(luò)的進(jìn)出口處對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢查，并根據(jù)已設(shè)置的安全策略決定數(shù)據(jù)包是否允許通過(guò)。IP分組第18頁(yè),共45頁(yè)，2024年2月25日，星期天IP分組組成=IP頭部+高層數(shù)據(jù)里面有TCP或UDP端口號(hào)第19頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾防火墻的工作原理包過(guò)濾是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問(wèn)策略（過(guò)濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等）源、目的端口，確定是否允許該數(shù)據(jù)包通過(guò)防火墻。第20頁(yè),共45頁(yè)，2024年2月25日，星期天當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過(guò)濾規(guī)則(訪問(wèn)控制列表AccessControlList,ACL)后，在防火墻中會(huì)形成一個(gè)過(guò)濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，防火墻會(huì)將IP分組的頭部信息與過(guò)濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過(guò)。

denyiphost00any第21頁(yè),共45頁(yè)，2024年2月25日，星期天過(guò)濾規(guī)則舉例第一條規(guī)則：內(nèi)部主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。第二條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。第三條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)（與1、2作為系列規(guī)則時(shí)該規(guī)則無(wú)效）。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP包過(guò)濾防火墻的應(yīng)用特點(diǎn)過(guò)濾規(guī)則表事先人工設(shè)置-根據(jù)用戶的安全要求來(lái)定。進(jìn)行檢查時(shí)，首先從第1個(gè)條目開(kāi)始逐條進(jìn)行，所以條目先后順序非常重要。由于包過(guò)濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過(guò)濾防火墻對(duì)通過(guò)的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。第22頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾防火墻在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè)-并沒(méi)有考慮連接狀態(tài)信息，僅考慮單個(gè)IP數(shù)據(jù)報(bào)通常在路由器上實(shí)現(xiàn)-實(shí)際上是一種網(wǎng)絡(luò)層的訪問(wèn)控制（ACL）優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單對(duì)用戶透明效率高缺點(diǎn)：正確制定規(guī)則并不容易不可能引入認(rèn)證機(jī)制舉例：ipchainsandiptables基本思想對(duì)于每個(gè)進(jìn)來(lái)的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的(出站和入站)如何過(guò)濾如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄,如果所有規(guī)則都不匹配，則根據(jù)缺省策略第23頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾原理安全網(wǎng)域HostC

HostD

數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的規(guī)則拆開(kāi)數(shù)據(jù)包根據(jù)規(guī)則決定如何處理該數(shù)據(jù)包防火墻規(guī)則數(shù)據(jù)包過(guò)濾依據(jù)主要是單個(gè)數(shù)據(jù)包TCP/IP報(bào)頭里面的信息，不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理數(shù)據(jù)TCP頭IP頭分組過(guò)濾判斷信息HostA第24頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾防火墻的設(shè)置(1)

從內(nèi)往外的telnet服務(wù)往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標(biāo)地址為serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個(gè)包ACK=0，其他包ACK=1往內(nèi)包的特性(顯示信息)IP源是server目標(biāo)地址為內(nèi)部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往內(nèi)的包都是ACK=1第25頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾防火墻的設(shè)置(2)

從外往內(nèi)的telnet服務(wù)往內(nèi)包的特性(用戶操作信息)IP源是外部地址目標(biāo)地址為本地serverTCP協(xié)議，目標(biāo)端口23源端口>1023連接的第一個(gè)包ACK=0，其他包ACK=1往外包的特性(顯示信息)IP源是本地server目標(biāo)地址為外部地址TCP協(xié)議，源端口23目標(biāo)端口>1023所有往的包都是ACK=1第26頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾防火墻的設(shè)置規(guī)則服務(wù)方向包的方向源地址目的地址協(xié)議源端口目的端口是否通過(guò)A出出內(nèi)部外部TCP>102323允許B出入外部?jī)?nèi)部TCP23>1023允許C入入外部?jī)?nèi)部TCP>102323允許D入出內(nèi)部外部TCP23>1023允許雙向允許規(guī)則包的方向源地址目的地址協(xié)議源端口目的端口是否通過(guò)A出內(nèi)部外部TCP>102323允許B入外部?jī)?nèi)部TCP23>1023允許C雙向任意任意任意任意任意拒絕只允許出站第27頁(yè),共45頁(yè)，2024年2月25日，星期天針對(duì)包過(guò)濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對(duì)策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由（通常針對(duì)路由器的攻擊）對(duì)策：禁止這樣的選項(xiàng)小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中,繞過(guò)基于TCP頭信息的過(guò)濾規(guī)則對(duì)策：丟棄分片太小的分片第28頁(yè),共45頁(yè)，2024年2月25日，星期天Linux中IP包處理的體系結(jié)構(gòu)IP包接收器IP轉(zhuǎn)發(fā)器IP本地分發(fā)器第29頁(yè),共45頁(yè)，2024年2月25日，星期天Linux中IP包處理的體系結(jié)構(gòu)NetFilter網(wǎng)絡(luò)過(guò)濾器鉤子數(shù)據(jù)報(bào)經(jīng)過(guò)協(xié)議棧的幾個(gè)關(guān)鍵點(diǎn)第30頁(yè),共45頁(yè)，2024年2月25日，星期天Linux中IP包處理的體系結(jié)構(gòu)檢測(cè)IP數(shù)據(jù)報(bào)頭處理包選項(xiàng)決定包的路由選擇網(wǎng)絡(luò)設(shè)備組裝以太幀做準(zhǔn)備以太幀協(xié)議類型字段為0X0800第31頁(yè),共45頁(yè)，2024年2月25日，星期天Linux內(nèi)核2.4中網(wǎng)絡(luò)層的處理流程Prerouting的作用是數(shù)據(jù)包剛剛到達(dá)防火墻時(shí)，改變其目的地址，可以在這里定義進(jìn)行目的NAT的規(guī)則，因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的ip地址，所以為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT。Postrouting的作用是數(shù)據(jù)包就要離開(kāi)防火前之前改變其源地址；可以在這里定義進(jìn)行源NAT的規(guī)則，系統(tǒng)在決定了數(shù)據(jù)包的路由以后在執(zhí)行該鏈中的規(guī)則。第32頁(yè),共45頁(yè)，2024年2月25日，星期天Linux中的包過(guò)濾防火墻-NetFilter(iptables)

iptables實(shí)現(xiàn)的功能

-通過(guò)三種表來(lái)體現(xiàn)包過(guò)濾（packetfilter）-對(duì)數(shù)據(jù)報(bào)進(jìn)行過(guò)濾-連接跟蹤（新增功能）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）-對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的目的地址進(jìn)行地址轉(zhuǎn)換-源NAT（SNAT）、目的NAT（DNAT）、偽裝IP透明代理數(shù)據(jù)報(bào)更改處理(Mangle)--可以實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)的修改：服務(wù)類型字段、生存時(shí)間等。第33頁(yè),共45頁(yè)，2024年2月25日，星期天iptables結(jié)構(gòu)圖

-五種內(nèi)置鏈(規(guī)則)組合成三個(gè)表Filter-默認(rèn)的表包含真正的防火墻過(guò)濾規(guī)則NAT包含源和目的地址和端口轉(zhuǎn)換的規(guī)則mangle包含用于設(shè)置特殊的數(shù)據(jù)包路由標(biāo)志的規(guī)則服務(wù)類型字段/TTL等第34頁(yè),共45頁(yè)，2024年2月25日，星期天包進(jìn)入規(guī)則表及規(guī)則鏈圖05454第35頁(yè),共45頁(yè)，2024年2月25日，星期天iptables的命令格式一個(gè)iptables命令基本上包含如下五部分：希望工作在哪個(gè)表上、希望使用該表的哪個(gè)鏈、進(jìn)行的操作(插入，添加，刪除，修改)、對(duì)特定規(guī)則的目標(biāo)動(dòng)作、匹配數(shù)據(jù)報(bào)條件。-基本的語(yǔ)法為：iptables-ttable-Operationchain-jtargetmatch例如：希望添加一個(gè)規(guī)則，允許所有從任何地方到本地smtp端口的連接：iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp第36頁(yè),共45頁(yè)，2024年2月25日，星期天iptables-ttable-Operationchain-jtargetmatch

iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp基本的Operation-A在鏈尾添加一條規(guī)則-I插入規(guī)則；-D刪除規(guī)則-R替代一條規(guī)則；-L列出規(guī)則。表tableFilterNATmangle-j基本的target處理動(dòng)作?適用于所有的鏈：ACCEPT接收該數(shù)據(jù)報(bào)；DROP丟棄該數(shù)據(jù)報(bào)；QUEUE排隊(duì)該數(shù)據(jù)報(bào)到用戶空間；RETURN返回到前面調(diào)用的鏈所有的規(guī)則鏈chainINPUTOUTPUTFORWARDPREROUTINGPOSTROUTING基本的match?

適用于所有的鏈：-p指定協(xié)議(tcp/icmp/udp/...)；-s源地址(ipaddress/masklen)；-d目的地址(ipaddress/masklen)；-i數(shù)據(jù)報(bào)輸入接口；-o數(shù)據(jù)報(bào)輸出接口；規(guī)則：允許所有從任何地方到本地smtp端口的連接第37頁(yè),共45頁(yè)，2024年2月25日，星期天命令和應(yīng)用舉例將分配給A、B單位的真實(shí)IP綁定到防火墻的外網(wǎng)接口，以root權(quán)限執(zhí)行以下命令：ifconfigeth0add00netmaskifconfigeth0add00netmaskInternetWWW服務(wù)器A私有IP：00真實(shí)IP：00WWW服務(wù)器B偽IP：00真實(shí)IP：00linux防火墻的ip地址分別為：內(nèi)網(wǎng)接口eth1：外網(wǎng)接口eth0：第38頁(yè),共45頁(yè)，2024年2月25日，星期天命令和應(yīng)用舉例對(duì)防火墻接收到的源ip地址為00和00的數(shù)據(jù)包進(jìn)行源NAT(SNAT):iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00InternetWWW服務(wù)器A偽IP：00真實(shí)IP：00WWW服務(wù)器B偽IP：00真實(shí)IP：00linux防火墻的ip地址分別為：內(nèi)網(wǎng)接口eth1：外網(wǎng)接口eth0：第39頁(yè),共45頁(yè)，2024年2月25日，星期天命令和應(yīng)用舉例對(duì)防火墻接收到的目的ip為00和00的所有數(shù)據(jù)包進(jìn)行目的NAT(DNAT):iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00InternetWWW服務(wù)器A偽IP：00真實(shí)IP：00WWW服務(wù)器B偽IP：00真實(shí)IP：00linux防火墻的ip地址分別為：內(nèi)網(wǎng)接口eth1：外網(wǎng)接口eth0：第40頁(yè),共45頁(yè)，2024年2月25日，星期天注意事項(xiàng)-在使用iptables防火墻之前，必須先打開(kāi)IP轉(zhuǎn)發(fā)功能。

#echo1>/proc/sys/net/ipv4/ip_forward-保存到/etc/sysconfig/iptables文件中。-每修改一次iptables文件后，都要重啟iptalbes#serviceiptablesrestart第41頁(yè),共45頁(yè)，2024年2月25日，星期天包過(guò)濾防火墻規(guī)則集的例子SMTP(簡(jiǎn)單郵件傳遞協(xié)議)-通過(guò)TCP協(xié)議在主機(jī)之間傳遞郵件的標(biāo)準(zhǔn)協(xié)議。在用戶代理端和服務(wù)器程序間建立一個(gè)TCP連接。服務(wù)器監(jiān)視TCP端口25來(lái)查看是否有連接請(qǐng)求。假設(shè)你要做一個(gè)包過(guò)濾策略來(lái)允許進(jìn)出的SMTP通信量，并且生成以下規(guī)則集。規(guī)則包的方向源地址目的地址