Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器如何测试协议

检查 防火墙过滤器中的匹配条件时,交换机仅测试您指定的字段。它不会隐式测试您未显式配置的任何字段。例如,如果指定匹配条件 source-port ssh,则没有隐含的测试来确定协议是否为 TCP。在这种情况下,交换机会将假定 IP 报头后面的 2 字节字段中值为(十进制)的任何数据包22视为匹配项。要确保术语在 TCP 数据包上匹配,还需要指定 ip-protocol tcp 匹配条件。

对于以下匹配条件,应在同一术语中明确指定协议匹配条件:

  • destination-port— 指定协议 tcp 或协议 udp

  • icmp-code— 指定协议 icmpicmp-type

  • icmp-type— 指定协议 icmp 或协议 icmp6

  • source-port— 指定协议 tcp 或协议 udp

  • tcp-flags— 指定协议 tcp

相关主题