當瀏覽器向Web服務器發送請求時,Web服務器必須發送響應。 從我迄今爲止所瞭解到的情況來看,服務器比使用作爲客戶端瀏覽器的dest-port/dest-ip部分分派響應數據包。防火牆如何處理傳入瀏覽器的HTTP流量?
1)如果上述是對的,比並不意味着瀏覽器必須總是是監聽來自服務器的傳入流量的端口?
2)而且,如果客戶端正在偵聽端口上的傳入連接,是不是安全問題?
3)如果是正確的,比如何配置員工大多數公司防火牆? (因爲他們可能需要瀏覽網絡) - 一個快速的概述,細節不必要的。
這是不是意味着瀏覽器必須始終監聽來自服務器的傳入流量的端口?
編號Layman的解釋:瀏覽器啓動到Web服務器的TCP連接。這個連接被所有中間級別3的機器(例如路由器,防火牆)通過源IP和端口,目標IP和端口以及協議識別。
在TCP連接中,一方在對方連接(瀏覽器)時監聽(Web服務器)。流量可以在兩個方向上流過此連接,直到任何一方(或中間機器)關閉連接。
企業防火牆允許通過端口80(和443)出站連接,所以他們的員工可以通過HTTP(S)瀏覽網頁。服務器返回的數據通過客戶端發起的連接發送。
當然,如果外部攻擊者知道連接,他們可以發送帶有僞造IP的數據包,以便他們可以發送僞裝成服務器的數據。如果有任何錯誤(如序列號),那些數據包將被丟棄,因此它們不會在用戶的瀏覽器中結束。