用PowerQUICCTM III MPC8572E設計防火墻/ VPN(07-100)

　　<協(xié)議、SA 、DA、 SP、 DP>，其中?協(xié)議 = TCP

　　·SA = 客戶端地址

　　·DA =(通常是已公布)服務器地址

　　·SP = 客戶端地址

　　·DP = 21，IANA為FTP控制分配的端口編號。

　　數據連接是控制連接(母數據流)的子數據流。客戶端使用PORT或PASV命令來指定用來傳輸所請求數據的地址和端口編號。FTP服務器到客戶端的數據流按照下列5字節(jié)組中的選擇器值進行劃分：

　　<協(xié)議、 SA、 DA、 SP、 DP>，其中

　　·協(xié)議 = TCP

　　·SA = (通常已公布)服務器地址

　　·DA = PORT或PASV命令中指定的動態(tài)地址

　　·SP = 通常是服務器分配的動態(tài)端口(或者默認值為20，IANA為FTP數據分配的端口數量)

　　·DP =  PORT或PASV命令中指定的動態(tài)端口編號。

　　前面的例子表明，信息業(yè)務是基于流量的。流量按照下列5字節(jié)組中的選擇器值進行劃分： <協(xié)議、 SA、 DA、 SP、 DP>。選擇器值在流量的有效期間不會更改。

　　服務器地址通常都是公開的。表明業(yè)務的端口編號由IANA定義。由已知服務器地址和端口編號劃分的單個流量適用于很多業(yè)務(但不是所有業(yè)務)。

　　有些多媒體業(yè)務使用一個以上的子流量。母流量(通常是控制流量)會協(xié)商子流量(通常是數據或多媒體流量)里的選擇器值。
　　
　　基于流量的防火墻操作

　　已知端口編號基于訪問控制列表(ACL)支持相對簡單的策略執(zhí)行操作。

　　例如，對于Web流量，適用的ACL可以定義為：

　　“如果協(xié)議是TCP協(xié)議且目的端口編號為80，允許流量從外部網絡進入DMZ1。”

　　策略執(zhí)行階段需要對已收到數據包的選擇器值與配置的ACL進行匹配。一旦匹配，屬于該流量的所有后續(xù)數據包都能允許通過，或者簡單地進行轉發(fā)。