.pic/017.jpg' border=0>

    国内外大多数的防火墙都缺少对连接是从哪方主动发起进行判断能力，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet 服务，这个方向连接的所有包应该是必须包含ack位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并没有检查ack位的设置，因此，攻击者就可以从外部主机的源23 端口发起连接到内部主机的高端口(]1023)。linktrust cyberwall 防火墙在内核级对数据包的syn/ack 等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接从而攻击内部主机。