An access control system (a firewall) controls traffic to and from a local
network. The system is implemented on a dedicated network device such as a
router positioned between a local network and an external network, usually
the Internet, or between one or more local networks. In this procedure,
access control items are dynamically generated and removed based upon the
context of an application conversation. Specifically, the system
dynamically allocates channels through the firewall based upon its
knowledge of the type of applications and protocol (context) employed in
the conversation involving a node on the local network. Further, the
system may selectively examine packet payloads to determine when new
channels are about to be opened. In one example, the firewall employs
different rules for handling SMTP (e-mail using a single channel having a
well-known port number) sessions, FTP sessions (file transfer using a
single control channel having a well known port number and using one or
more data channels having arbitrary port numbers), and H.323 (video
conferencing using multiple control channels and multiple data channels,
which use arbitrary port numbers) sessions.
Ένα σύστημα ελέγχου πρόσβασης (μια αντιπυρική ζώνη) ελέγχει την κυκλοφορία σε και από ένα τοπικό δίκτυο. Το σύστημα εφαρμόζεται σε μια αφιερωμένη συσκευή δικτύων όπως ένας δρομολογητής που τοποθετείται μεταξύ ενός τοπικού δικτύου και ενός εξωτερικού δικτύου, συνήθως το Διαδίκτυο, ή μεταξύ ενός ή περισσότερων τοπικών δικτύων. Σε αυτήν την διαδικασία, τα στοιχεία ελέγχου πρόσβασης παράγονται δυναμικά και αφαιρούνται βασισμένος στο πλαίσιο μιας συνομιλίας εφαρμογής. Συγκεκριμένα, το σύστημα διαθέτει δυναμικά τα κανάλια μέσω της αντιπυρικής ζώνης που βασίζεται στη γνώση του του τύπου εφαρμογών και πρωτοκόλλου (πλαίσιο) που χρησιμοποιούνται στη συνομιλία που περιλαμβάνει έναν κόμβο στο τοπικό δίκτυο. Περαιτέρω, το σύστημα μπορεί επιλεκτικά να εξετάσει τα ωφέλιμα φορτία πακέτων για να καθορίσει πότε τα νέα κανάλια πρόκειται περίπου να ανοιχτούν. Σε ένα παράδειγμα, η αντιπυρική ζώνη υιοθετεί τους διαφορετικούς κανόνες για (ηλεκτρονικό ταχυδρομείο που χρησιμοποιεί ένα ενιαίο κανάλι που έχει έναν γνωστό αριθμό λιμένων) τις συνόδους SMTP, τις συνόδους FTP (μεταφορά αρχείων που χρησιμοποιεί ένα ενιαίο κανάλι ελέγχου που έχει έναν καλά γνωστό αριθμό λιμένων και που χρησιμοποιεί ένα ή περισσότερα κανάλια στοιχείων που έχουν τους αυθαίρετους αριθμούς λιμένων), και (τηλεοπτική σύσκεψη που χρησιμοποιεί τα πολλαπλάσια κανάλια ελέγχου και τα πολλαπλάσια κανάλια στοιχείων, τα οποία χρησιμοποιούν τους αυθαίρετους αριθμούς λιμένων) τις συνόδους H.323.