当浏览器向Web服务器发送请求时,Web服务器必须发送响应。 从我到目前为止所理解的,服务器比调度响应数据的数据包与dest-port / dest-ip部分是客户端浏览器。
1)如果上述情况正确,则表示浏览器必须始终正在侦听来自服务器的传入流量的端口?
2)如果客户端正在侦听端口上的传入连接,那么这不是安全问题吗?
3)如果 2 是正确的,那么如何配置员工的大多数企业防火墙? (因为他们可能需要浏览网页) - 快速浏览,不需要详细信息。
答案 0 :(得分:1)
这并不意味着浏览器必须始终监听来自服务器的传入流量的端口吗?
没有。 Layman的解释:浏览器启动与Web服务器的TCP连接。所有中间3级计算机(例如路由器,防火墙)都通过源IP和端口,目标IP和端口以及协议识别此连接。
在TCP连接中,一方在另一方连接(浏览器)时侦听(Web服务器)。流量可以在两个方向上流过此连接,直到任何一方(或中间机器)关闭连接。
企业防火墙允许通过端口80(和443)进行出站连接,因此他们的员工可以通过HTTP(S)浏览网页。服务器返回的数据通过客户端发起的连接发送。
当然,如果外部攻击者知道连接,他们可以发送带有欺骗IP的数据包,这样他们就可以发送伪装成服务器的数据。如果出现任何错误,这些数据包将被删除,例如序列号,因此它们不会在用户的浏览器中结束。