cjh 状态检测机制
状态检测机制
防火墙域间转发
- 状态检测机制以流量为单位来对报文进行检测和转发,对第一个报文进行包过滤检测,检测通过创建会话表,根据会话表转发后续报文。
- 防火墙一般是检查IP报文中的五个元素,又称为"五元组",即源目IP地址,源目端口号,协议。通过五元组,就可以判断是否是同一条数据流。下一代防火墙除了检测五元组,还会检测报文的用户、应用和时间段等。
查询和创建会话
- 通常情况下,对一条连接的首包进行检测,检测通过后建立会话,后续报文不需重新检测。这就是状态检测防火墙的"状态检测机制"。
状态检测机制
- 状态检测机制开启状态下(默认开启),只有首包通过才能建立会话表项,后续包直接匹配会话表项进行转发。
- 状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过安全策略就可以生成会话表项。
- 对于TCP报文
- 开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文外的其他报文,如果没有对应会话表项则予以丢弃,也不会建立会话表项。
- 关闭状态检测机制时,只要通过各项安全机制的检查,都可以建立会话表项。
- 对于UDP报文
- 只要通过各项安全机制的检查,都可以为其建立会话表项。
- 对于ICMP报文
- 开启时,应答包不能创建会话,丢弃。
- 关闭时,应答包可以创建会话。
会话表项
- 每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组为Key值,通过建立动态的会话表提供域间转发。
- 下一代防火墙会话表包括七个元素:
- 源IP地址
- 源端口
- 目的IP地址
- 目的端口
- 协议号
- 用户
- 应用
查看会话表信息
- display firewall session table命令输出信息描述。
- current total sessions: 当前会话表数统计
- telnet/http: 协议名称
- VPN:public-->public: VPN实例名称,表示方式为:源方向-->目的方向
- 192.168.3.1:2855-->192.168.3.2:23: 会话表信息
- display firewall session table verbose命令输出信息描述。
- current total sessions: 当前会话表数统计
- http: 协议名称
- VPN:public-->public: VPN实例名称,表示方式为:源方向-->目的方向
- ID: 当前会话ID
- zone:trust-->local:表示方式为:源安全区域-->目的安全区域
- TTL:该会话表项总的生存时间
- Left:该会话表项剩余生存时间
- Output-interface: 出接口
- NextHop:下一跳IP地址
- MAC:下一跳MAC地址
- <--packets:3073 bytes:3251431:该会话入方向的报文数(包括分片)和字节数统计
- -->packets:2881 bytes:705651:该会话出方向的分片报文数(包括分片)和字节数统计
- PolicyName:报文匹配的策略名称
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 状态检测机制
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 状态检测机制
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm