ACL 使管理员能够控制进出网络的流量。 这种控制可能简单到根据网络地址允许或拒绝流量,也可能复杂到根据所请求的 TCP 端口控制网络流量。 通过检查 TCP 会话中(例如请求网页时)出现的对话,让人更容易理解 ACL 过滤流量的方式。

TCP 通信

当客户端向 Web 服务器请求数据时,IP 将会管理 PC(源)和服务器(目的地)之间的通信。 TCP 将会管理 Web 浏览器(应用程序)和网络服务器软件之间的通信。

当您发送电子邮件、查看网页或下载文件时,TCP 负责在发送数据之前将其划分为 IP 数据段。 TCP 还会在数据段到达时负责从数据段中组装数据。 TCP 过程就像网络中的两个节点协商彼此之间数据传输时所用的会话。

TCP 提供面向连接的可靠字节流服务。 面向连接是指两个应用程序在交换数据之前必须建立 TCP 连接。 TCP 是全双工协议,也就是说每个 TCP 连接都能支持一对字节流,其中每个字节流各自沿一个方向流动。 TCP 为每个字节流提供了流量控制机制,以允许接收方限制发送方可以传输的数据量。 TCP 还具备拥塞控制机制。

图 1 所示动画演示了 TCP/IP 会话是如何发生的。 TCP 数据段标有指示其用途的标志:SYN 可以开启(同步)会话;ACK 是对收到预期数据段的确认,而 FIN 可以结束会话。 SYN/ACK 用于确认传输进行了同步。 TCP 数据段包含将应用程序数据指引到正确应用程序所需的高层协议。

TCP 数据段还标识了匹配所请求服务的端口。 例如,HTTP 对应端口 80、SMTP 对应端口 25,而 FTP 对应端口 20 和端口 21。 图 2 显示 UDP 和 TCP 端口的范围。

图 3 至图 5 将探索 TCP/UDP 端口。