本文探讨了一种特定的防火墙设置方式,即只允许企业内部计算机连接互联网,但不允许任何外部连接进入企业内部网络。这种配置虽然能有效阻挡来自互联网的攻击,但也可能引发内部用户无法正常访问互联网的问题。文章进一步介绍了如何通过启用防火墙的连接状态判断机制来解决这一困境。
不允许网络上任何连接进入到企业内部,但允许所有企业内的计算机可以连接到因特网。这样的设定确实能够阻止来自因特网的网络攻击威胁。但当企业内部计算机连接上因特网的时候,由于“企业内部”-->“因特网”是允许的,因此“企业内部”发送到“因特网”的数据包是可以成功穿过防火墙,但是因特网主机应答企业内部的主机时,该数据包变成了由“因特网”进入“企业内部”的数据包,但因为我们的防火墙上的规则是“因特网不允许有数据包进入企业内部”, 因此该数据包一定会被丢弃掉,如此会造成企业内部的使用者也无法访问因特网的困境。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
