cjh 防火墙这个NGE功能(禁用TCP状态检测可能导致NGE功能失败)(路由交换中流量来回路径不一致会造成什么危害?)
防火墙这个NGE功能(禁用TCP状态检测可能导致NGE功能失败)
NGE(Next-Generation Engine),指下一代防火墙中,针对内容安全的一体化扫描引擎。这里的NGE功能即指的 内容安全 方面的功能。
[FW1]undo firewall session link-state ?
check Indicate link state check
exclude Exclude packets which match the ACL
icmp Indicate ICMP packet
tcp Indicate TCP packet
[FW1]undo firewall session link-state check
内容安全:
路由交换中流量来回路径不一致会造成什么危害?
如果链路上存在安全设备,由于来回路径不一致,流量可能会被安全设备认为是半连接,进行阻断。
出现问题时,给问题排查带来困难。(后期排查困难)
如果不同链路的带宽不一致,可能会导致单向拥塞。
总结:
如果仅从路由交换上来说的话没什么危害,网络连通就可行。
但是从安全上来考虑的话,来回路径不一致对防火墙检测是不利的。防火墙状态检测一般会挡住来不路径不一致的包。
如果网络结构中有防火墙,路由来回路径不一致可能直接导致网络不连通。
华为USG防火墙:状态检测
http://www.zh-cjh.com/wangluoanquan/3680.html
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 防火墙这个NGE功能(禁用TCP状态检测可能导致NGE功能失败)(路由交换中流量来回路径不一致会造成什么危害?)
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 防火墙这个NGE功能(禁用TCP状态检测可能导致NGE功能失败)(路由交换中流量来回路径不一致会造成什么危害?)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm