RouterOS防火墙与过滤详解(三)

IP Firewall协议深入解析

TCP/IP协议和构架

我们首先理解一下，TCP/IP体系结构:

（1）网络接口层 

网络接口层，也被称为网络访问层，包括了能使用TCP/IP与物理网络进行通信的协议，它对应OSI的物理层和数据链路层。TCP/IP标准并没有定义具体的网络接口协议。具体的网络接口协议在实际应用的网络如Ethernet、ATM、FDDI、X.25、PPP、Token-Ring 等中定义。

（2）网络层 

网络层是在TCP/IP标准中正式定义的第一层。网络层所执行的主要功能是处理来自传输层的分组，将分组形成数据包（IP数据包），并为该数据包进行路径选择，最终将数据包从源主机发送到目的主机，在网络层中，最常用是网络协议IP，其他一些协议用来协助IP的操作。

网络层的协议有：IP、ARP、RARP、ICMP、IGMP

（3）传输层 

TCP/IP的传输层也被称为主机至主机层，与OSI的传输层类似，主要负责主机到主机之间的端对端通信，该层使用了两种协议来支持两种数据的传送方法，即TCP协议和UDP协议。

（4）应用层 

在TCP/IP模型中，应用程序接口是最高层，它与OSI模型中的高三层的任务相同，用于提供网络服务，比如文件传输、远程登录、域名服务和简单网络管理等。

我们的RouterOS 中，ip firewall filter主要负责的是网络层、传输层和应用层，网络接口层则由bridge filter负责处理。

我们从上面的图看到，在RouterOS的filter规则中，可以找到Protocol（协议）的选项，我们可以根据情况，选择自己需要的协议。

TCP/IP协议是一族协议，包括上百个互为关联的协议，不同功能的协议分布在不同的协议层， 下面是几个常用协议：

一、网际层协议 

IP：网际协议

ARP：地址解析协议

RARP：反向地址解析协议

ICMP/ICMPv6：Internet 消息控制协议

IPCP and IPv6CP：IP控制协议和IPV6控制协议

IGMP：Internet 组管理协议

二、传输层协议 

TCP：传输控制协议

UDP：用户数据报协议

RDP：可靠数据协议，RDP 是一种面向连接的传输协议，其主要设计来为主机监控应用程序如下载 / 上传以及远程调试进行有效的大批数据传输。

RUDP：可靠用户数据报协议，RUDP 用于传输 IP 网络间的电话信号。

三、应用层协议应用层协议 

HTTP：超文本传输协议，用于Internet中的客户机与WWW服务器之间的数据传输

DHCP：动态主机配置协议，实现对主机的地址分配和配置工作

DNS：域名系统（服务）系统，用于实现主机名与IP地址之间的映射

FTP：文件传输协议，实现主机之间的文件传送

TFTP：简单文件传输协议

TELNET：TCP/IP 终端仿真协议（又称远程登录协议），本地主机作为仿真终端，登录到远程主机上运行应用程序

SMTP：简单邮件传输协议，实现主机之间电子邮件的传送；

IMAP4：因特息访问协议，用于访问存储在邮件服务器系统内的电子邮件和电子公告板信息。

POP（POP3）：邮局协议，用于用户与服务器之间进行邮件的收发。

SNMP：简单网络管理协议，实现网络的管理

NNTP：网络新闻传输协议

UUCP：Unix到Unix的拷贝程序

BOOTP：引导协议，用于无盘主机或工作站的启动

NFS：网络文件系统，实现主机之间的文件系统的共享

NAT：网络地址转换

IRCP/IRC：因特网在线聊天协议

LDAP：轻量级目录访问协议

NTP：网络时间协议

RLOGIN：远程登录命令，仅支持Unix到Unix的连接。

RMON：远程监控

RWhois：远程目录访问协议

SLP：服务定位协议

SNTP：简单网络时间协议

Finger：用户信息协议

试验： 

1.禁止192.168.10.2的电脑使用TCP 80端口访问网页

2.禁止所有内网用户使用FTP下载数据（FTP端口TCP 20-21）