防火墙状态检测及会话表技术

今天继续给大家介绍华为系列防火墙。本文主要内容是华为USG6000系列防火墙的状态检测及会话表技术。

一、防火墙数据转发流程概述

在防火墙收到一个数据报文后，处理和转发流程一共可以分为三个阶段：
1、查询会话表前的基本处理。
2、首包建立会话，非首包查询会话。
3、对查询会话后的报文进行处理。
具体处理流程如下图所示：

二、防火墙状态检测机制

目前的华为下一代防火墙，所采用的技术都是状态检测机制，所谓状态检测机制，就是指在配置策略的时候，不需要考虑具体业务的收发，只需要考虑业务的首包即可。所谓首包，就是值数据协议的第一个数据包。
防火墙在处理数据包时，会首先查看该数据包是否为一个首包，如果是一个首包，并且安全策略为允许的话，就会为该流量建立一个会话表，该流量其他的数据包就可以根据会话表而不是安全策略转发了。
例如，如果要配置允许Trust区域PING Untrust区域。则在防火墙策略配置的时候，只需要配置Trust区域到Untrust区域的ICMP协议为允许即可，而不需要考虑ICMP Reply报文需要从Untrust区域发到Trust区域。
在状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。在状态检测机制关闭状态下，即使首包没有经过防火墙，后续包只需要通过防火墙也可以生成会话表项。
在开启或关闭状态下，防火墙对各类报文的处理原则如下：（前提是防火墙安全策略允许通过）

协议	开启状态检测功能	关闭状态检测功能
TCP SYN报文	创建会话，转发报文	创建会话，转发报文
TCP SYN+ACK报文或TCP ACK报文	不创建会话，丢弃报文	创建会话，转发报文
UDP报文	创建会话，转发报文	创建会话，转发报文
ICMP Request报文	创建会话，转发报文	创建会话，转发报文
ICMP Reply报文	不创建会话，丢弃报文	创建会话，转发报文
其他ICMP报文	不创建会话，转发报文	不创建会话，转发报文

三、防火墙会话表和状态检测相关配置命令

1、查看防火墙会话表
查看防火墙会话表配置命令如下：

display firewall session table

执行结果如下图所示：

2、查看防火墙丢包原因
执行命令：

display firewall statistics system discard

可以查看防火墙的丢包原因，查询结果如下所示：

3、关闭状态检测
在设置网络环境来回路径不一致时，需要关闭防火墙状态检测机制，命令如下：

undo firewall session link-state check

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119118194