- 1OpenCV系列文章目录(持续更新中......)
- 2用Homebrew安装的东西都在哪_homebrew下载的软件没有出现在应用程序栏
- 3关于最近网上谣言传的很凶的 “太吾绘卷” 游戏源代码的问题。_太吾绘卷代码
- 4Android Maven仓库搭建 - 实现自动化打包自动拉取最新maven依赖
- 5PAI FrameworkLauncher(1) -- Client端的实现
- 6ubuntu安装以及启动nginx_ubutu 启动nginx
- 7Python脑电数据的Epoching处理_python epochs=epochs,什么意思
- 8linux ping网络不可达
- 98个应用案例告诉你,机器学习都能做什么?_机器学习案例
- 10【移动端】微信小程序开发从入门到成神(精兵)_微信小程序有移动版的吗
防火墙状态检测及会话表技术_防火墙的会话状态建立过程是怎样的?
赞
踩
今天继续给大家介绍华为系列防火墙。本文主要内容是华为USG6000系列防火墙的状态检测及会话表技术。
一、防火墙数据转发流程概述
在防火墙收到一个数据报文后,处理和转发流程一共可以分为三个阶段:
1、查询会话表前的基本处理。
2、首包建立会话,非首包查询会话。
3、对查询会话后的报文进行处理。
具体处理流程如下图所示:
二、防火墙状态检测机制
目前的华为下一代防火墙,所采用的技术都是状态检测机制,所谓状态检测机制,就是指在配置策略的时候,不需要考虑具体业务的收发,只需要考虑业务的首包即可。所谓首包,就是值数据协议的第一个数据包。
防火墙在处理数据包时,会首先查看该数据包是否为一个首包,如果是一个首包,并且安全策略为允许的话,就会为该流量建立一个会话表,该流量其他的数据包就可以根据会话表而不是安全策略转发了。
例如,如果要配置允许Trust区域PING Untrust区域。则在防火墙策略配置的时候,只需要配置Trust区域到Untrust区域的ICMP协议为允许即可,而不需要考虑ICMP Reply报文需要从Untrust区域发到Trust区域。
在状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。在状态检测机制关闭状态下,即使首包没有经过防火墙,后续包只需要通过防火墙也可以生成会话表项。
在开启或关闭状态下,防火墙对各类报文的处理原则如下:(前提是防火墙安全策略允许通过)
| 协议 | 开启状态检测功能 | 关闭状态检测功能 |
|---|---|---|
| TCP SYN报文 | 创建会话,转发报文 | 创建会话,转发报文 |
| TCP SYN+ACK报文或TCP ACK报文 | 不创建会话,丢弃报文 | 创建会话,转发报文 |
| UDP报文 | 创建会话,转发报文 | 创建会话,转发报文 |
| ICMP Request报文 | 创建会话,转发报文 | 创建会话,转发报文 |
| ICMP Reply报文 | 不创建会话,丢弃报文 | 创建会话,转发报文 |
| 其他ICMP报文 | 不创建会话,转发报文 | 不创建会话,转发报文 |
三、防火墙会话表和状态检测相关配置命令
1、查看防火墙会话表
查看防火墙会话表配置命令如下:
display firewall session table
- 1
执行结果如下图所示:
2、查看防火墙丢包原因
执行命令:
display firewall statistics system discard
- 1
可以查看防火墙的丢包原因,查询结果如下所示:
3、关闭状态检测
在设置网络环境来回路径不一致时,需要关闭防火墙状态检测机制,命令如下:
undo firewall session link-state check
- 1
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119118194
