USG6000E报文转发流程

USG6000E报文转发流程

通过了解一个报文从接收到发送所经历的全部处理流程,可以更好地理解一些配置原则和技巧。

报文转发全流程

网络设备对流量的处理最终都是通过对单个报文的识别、转发、丢弃和改造来实现的。根据报文的类型和所配置的策略不同,FW对报文的处理过程也有所不同。这里首先总体介绍报文通过FW的基本转发过程,然后下一节进一步展开介绍内容安全业务的处理过程。

USG6000E典型的IP报文从接收到发送的简化转发流程如图1所示。

USG6000E报文转发全流程图

图片.png

只是一个示意图,展示了各个模块的基本处理顺序。实际每一个报文的处理并非严格按照此流程图依次进行。

由于在报文处理的过程中,某些特性可能会修改报文的一些字段,因此掌握这个流程图可以帮助管理员后续的配置和维护。比如在NAT处理中,FW会修改IP报文的源IP地址或者目的IP地址。而在安全策略匹配以及路由表查询中,又要根据IP地址来进行规则匹配。根据图1,服务器映射的Server-map在安全策略匹配和路由表查询之前处理,源NAT策略在安全策略匹配和路由表查询之后处理。假设一条Internet用户访问内部服务器的流量,需要经过以下两次NAT转换:

  • 经过服务器映射处理,将其目的IP地址修改为服务器的私网IP地址。
  • 经过源NAT策略处理,将其源IP地址修改为与服务器在同一网段的私网IP地址

那么FW将根据服务器映射后的私网IP地址来匹配路由表,查找出接口。管理员在配置安全策略时,需要将源IP地址配置为未经源NAT处理的Internet用户的原始公网IP地址,将目的IP地址配置为经过服务器映射处理的服务器的真实私网IP地址。

在整个报文转发的流程中,不同类型的报文会根据配置走入不同的分支,被不同的特性处理。所以并非所有报文都会经过上述所有模块的处理。总体分为三个阶段:

  1. 接收报文,对报文进行基本处理
  2. 查询会话表,对首包和后续包做不同处理
  3. 对报文进行安全检测,发送报文

接收报文,对报文进行基本处理

这个阶段的主要目的是解析出报文的帧头部和IP报文头部。根据头部当中的信息进行一些基础的安全检测。首先根据接收报文的接口是二层接口还有三层接口有两种处理方式:

  • 对于三层接口接收的报文,FW需要根据报文中的目的地址来查找路由表,以决定这个报文的出接口。所以此类报文会在解析和剥离头部信息后,进入后续的处理。

  • 对于二层接口接收的报文,FW需要先判断这个帧是否需要跨VLAN转发。对于同一VLAN内的报文,FW需要根据报文中的目的MAC地址来查询MAC地址转发表,以决定这个报文的出接口。对于需要跨VLAN转发的报文,FW需要获取其VLAN ID,找到对应的子接口或者VLAN-IF接口。子接口和VLAN-IF接口是虚拟的三层接口。所以此时报文就会按照类似三层接口接收一样处理,FW根据报文中的目的地址来查找路由表,以决定这个报文的出接口。

    这两类报文在提取到所需的信息后,剥离头部,进入后续的处理。

在这个阶段中主要进行的特性有:

特性

说明

VLAN

VLAN是用于控制以太网帧在局域网泛洪的一种技术。

IP/MAC地址绑定

为了防止IP地址欺骗和ARP类的攻击,管理员可以配置IP地址和MAC地址的对应关系。此特性可以根据报文中携带的IP地址和MAC地址信息判断该报文是否合法,并对报文进行过滤。

DDoS攻击防范

FW根据管理员开启的DDoS攻击防范类型,阻断攻击流量。

单包攻击防范

在获取报文的头部信息后,FW就可以根据管理员开启的单包攻击防范类型对报文的合法性和安全性进行检测,判断报文是否属于攻击报文,并对报文进行过滤。

查询会话表,对首包和后续包做不同处理

这个阶段是FW的核心处理环节,主要包括会话建立、会话刷新等过程。FW根据该报文是否存在匹配的会话表项,有以下两种处理方式:

  • 不存在匹配的会话表项

    此时报文被认为是一条流量的首包,进入首包处理流程。

    • FW根据该报文的目的地址查询路由表,获取出接口信息,并依此判断目的安全区域。
    • FW获取到流量的源和目的信息后,根据管理员配置的认证策略,对用户进行认证获取用户信息。

      FW根据认证策略向需要认证但是尚未登录的用户进行网页重定向,向其推送认证页面,以获取其用户信息。

    • 用户认证通过后,FW根据之前提取的流量源和目的信息,加上通过认证获取到的用户信息,对流量进行安全策略匹配。如果匹配成功,首先会根据策略动作是“允许”还是“禁止”决定是放行首包建立会话,还是丢弃首包禁止流量。

      如果动作为“允许”,那么FW会根据安全策略引用的内容安全配置文件对该条流量进行标记,在下一阶段将会进行内容安全的处理。

      如果安全策略中配置了应用,则需要由后续的内容安全模块识别流量的应用。FW需要获取多个报文才能识别出应用,FW会先根据首包先建立一条会话,其中的应用信息保留为空,直至分析完成后再刷新会话表项填入应用信息。识别出应用后此流量的后续报文将重新匹配安全策略,对应的内容安全检测项也可能发生变化。

    1. 进行状态检测机制检测,判断该报文是否属于正常的可以建立会话的首包。

    2. 对于正常首包,FW将进行一系列的查询和处理才能建立会话。

    3. 如果此时会话数尚未达到管理员配置的连接数限制阈值,FW就会为通过上述检测的首包建立会话。首包本身将继续进入后续的转发模块处理,而这条流量的后续报文将进入“存在匹配的会话表项”这个流程处理。
  • 存在匹配的会话表项

    此时,这条流量的首包已经通过了一系列路由查询和安全检测,并最终建立了会话。那么匹配了会话表项的后续报文就无需再重复一遍首包处理流程。这种机制可以提高FW的检测效率。

    后续报文首先会触发在线用户表的刷新,以保持有流量的用户持续在线,然后通过基于流的攻击防范后可以进入后续的转发模块处理。

    由于FW认为“首包安全并不代表后续报文一定安全”,所以FW实现的是对一条流量持续不断的安全检测。在这个持续检测中,应用信息的识别、用户上下线、内容安全功能检测出流量携带入侵或病毒等安全风险、管理员配置变更等多种情况都有能导致会话表项的刷新。所以一旦会话表项被刷新过,FW就会对该条流量的报文重新进行一些检查和处理。但是会话刷新导致对报文重新检测的过程,只进行了少量需要重新确认报文处理方式的特性,其流程仍然比首包处理流程简单得多。加上会话刷新的情况并非经常出现,所以这种机制在保证了对流量的持续保护的同时,也不会导致处理效率的明显降低。

在这个阶段中主要进行的特性有:

特性

说明

首包流程中的主要特性

状态检测机制

对于TCP和ICMP协议报文,只有首包才可以建立会话。

黑名单

根据报文的源或者目的IP地址、用户等信息对报文进行快速过滤。

Server-map

用于服务器映射、负载均衡和多通道协议转发的重要表项。如果首包匹配Server-map,FW根据Server-map对报文进行转发或地址转换。Server-map分为静态Server-map和动态Server-map:

  • 服务器映射、负载均衡、NAT64生成的静态表项:FW根据Server-map中的地址映射关系在首包创建的会话中记录修改后的目的IP和端口信息。
  • NAT No-PAT、NAT Full-cone、DS-Lite服务器映射生成的动态表项:FW根据Server-map的信息转发报文并生成会话。
  • ASPF/NAT ALG生成的动态表项:FW根据Server-map的信息转发报文并生成会话,而且不对此报文进行安全策略检查。

在线用户表

用于记录当前在线用户信息的重要表项,包括用户与IP地址的对应关系,用户上线时间和在线时长等。

如果报文源IP地址匹配了在线用户表,则直接提取用户信息,不需要对用户进行认证。

路由表/MAC表

  • 对于三层接口接收的报文,FW根据报文中的目的地址来查询路由表,以决定这个报文的出接口。策略路由也在查询路由这个环节,优先于路由表,如果报文匹配策略路由则根据策略路由确定出接口。

  • 对于二层接口接收的报文,FW根据报文中的目的MAC地址来查询MAC地址转发表,以决定这个报文的出接口。

认证策略

根据报文的IP地址、安全区域信息决定是否要求对该条流量进行认证,以获取用户信息。

对于需要认证的用户,设备会重定向该用户的HTTP请求,向其推送网页形式的认证页面,要求用户输入用户名和密码。

安全策略(包过滤)

用户通过认证后,设备就获取到了该条流量的用户的信息。根据管理员配置,对这条流量进行包过滤处理。

SSL加密流量检测策略

匹配SSL加密流量检测策略的加密流量将被解密,然后才能进行内容安全检测。

源NAT策略

查找源NAT策略,在会话表中记录地址转换信息。

连接数限制

管理员可以通过配置带宽策略中连接数限制来控制整台设备的会话数量。

后续报文处理中的主要特性

基于流的攻击防范

有一些攻击的特征需要综合该条流量的多个报文才能判断。所以在后续报文处理中,可以进行基于流的攻击防范。例如UDP FLOOD中基于会话的UDP报文速率限制。

对报文进行安全检测,发送报文

这个阶段的主要目的是对流量进行持续的安全防护,同时保证报文被正确发送。

  1. 根据带宽策略,FW会判断一下当前流量的带宽占用情况,以判断是否需要丢弃这个报文以降低流量速率。

  2. 根据安全策略中引用的内容安全配置文件,FW会对报文进行内容安全过滤。具体内容安全业务处理过程参见内容安全处理流程。

  3. 根据会话表中的地址转换信息修改报文中的源地址或目的地址。

  4. 根据VPN配置,FW对报文进行处理。

    • 如果是接收的VPN报文(防火墙为隧道终点),则解封装报文。报文解封装后需要重新走一遍转发流程。
    • 如果是准备进入VPN隧道的报文(防火墙为隧道起点),则VPN封装报文。
  5. 根据之前的MAC地址转发表或者路由表查询的结果,FW已经得知该报文的出接口。根据出接口配置的带宽阈值限制,FW会再次控制流量的速率。

  6. 最后,FW将报文通过出接口发送出去。

在这个阶段中主要进行的特性有:

特性

说明

带宽策略

通过带宽策略可以分配网络流量的带宽占用,避免网络拥塞。

内容安全

此时设备将持续不断地检测报文中是否携带安全风险,并进行实时过滤。

报文地址转换

根据会话表中的地址转换信息修改报文中的源地址或目的地址。这里有一点需要说明,虽然在查Server-map、源NAT策略时并没有真正转换报文中的地址,但是FW已经获取到转换后的地址,在后续的各个模块中已经可以根据需要使用转换后的地址。

VPN

通过VPN技术可以实现私网跨越公网的安全互联。针对不同的应用场景有不同的VPN技术支持,例如L2TP、IPSec等。

入接口带宽阈值

管理员可以在接口上配置接收报文的带宽阈值。如果当前流量带宽已经超过了阈值,入接口就会将超出的报文进行丢弃。

出接口带宽阈值

管理员可以在接口上配置发送报文的带宽阈值。如果当前流量带宽已经超过了阈值,出接口就会将超出的报文进行丢弃。


NAT网络地址转换(列表、list、全)
http://www.zh-cjh.com/wenzhangguilei/988.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » USG6000E报文转发流程

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!