防火墙状态检测及会话表技术
今天继续给大家介绍华为系列防火墙。本文主要内容是华为USG6000系列防火墙的状态检测及会话表技术。
一、防火墙数据转发流程概述
在防火墙收到一个数据报文后,处理和转发流程一共可以分为三个阶段:
1、查询会话表前的基本处理。
2、首包建立会话,非首包查询会话。
3、对查询会话后的报文进行处理。
具体处理流程如下图所示:
二、防火墙状态检测机制
目前的华为下一代防火墙,所采用的技术都是状态检测机制,所谓状态检测机制,就是指在配置策略的时候,不需要考虑具体业务的收发,只需要考虑业务的首包即可。所谓首包,就是值数据协议的第一个数据包。
防火墙在处理数据包时,会首先查看该数据包是否为一个首包,如果是一个首包,并且安全策略为允许的话,就会为该流量建立一个会话表,该流量其他的数据包就可以根据会话表而不是安全策略转发了。
例如,如果要配置允许Trust区域PING Untrust区域。则在防火墙策略配置的时候,只需要配置Trust区域到Untrust区域的ICMP协议为允许即可,而不需要考虑ICMP Reply报文需要从Untrust区域发到Trust区域。
在状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。在状态检测机制关闭状态下,即使首包没有经过防火墙,后续包只需要通过防火墙也可以生成会话表项。
在开启或关闭状态下,防火墙对各类报文的处理原则如下:(前提是防火墙安全策略允许通过)
协议 | 开启状态检测功能 | 关闭状态检测功能 |
---|---|---|
TCP SYN报文 | 创建会话,转发报文 | 创建会话,转发报文 |
TCP SYN+ACK报文或TCP ACK报文 | 不创建会话,丢弃报文 | 创建会话,转发报文 |
UDP报文 | 创建会话,转发报文 | 创建会话,转发报文 |
ICMP Request报文 | 创建会话,转发报文 | 创建会话,转发报文 |
ICMP Reply报文 | 不创建会话,丢弃报文 | 创建会话,转发报文 |
其他ICMP报文 | 不创建会话,转发报文 | 不创建会话,转发报文 |
三、防火墙会话表和状态检测相关配置命令
1、查看防火墙会话表
查看防火墙会话表配置命令如下:
display firewall session table
执行结果如下图所示:
2、查看防火墙丢包原因
执行命令:
display firewall statistics system discard
可以查看防火墙的丢包原因,查询结果如下所示:
3、关闭状态检测
在设置网络环境来回路径不一致时,需要关闭防火墙状态检测机制,命令如下:
undo firewall session link-state check
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119118194
防火墙状态检测及会话表技术相关推荐
- 《华为HCIE安全认证》学习笔记 - 状态监测与会话表技术
学习视频来源:<乾颐堂HCIP-HCIE-security安全 2019年录制> 防火墙根据会话表转发 有会话表,匹配会话表转发 没有会话表,根据符合条件来创建会话 条件:首包 -- 如何 ...
- 网络安全技术第七章——防火墙技术概述及应用(包过滤防火墙 、代理防火墙、状态检测防火墙、分布式防火墙)
防火墙技术概述及应用 防火墙技术概述及应用 1.防火墙的概念 2.高效可靠的防火墙应具备的基本特性 3.防火墙的基本功能 4.防火墙的基本原理 5.防火墙的类型 (1)包过滤防火墙 (2)代理防火墙 ...
- 防火墙工作原理和详解会话表
防火墙工作原理 防火墙工作原理: 本质上是查看会话表. 报文到达防火墙,先查看是否会有会话表匹配. 如果有会话表匹配,则匹配会话表转发. 如果没有匹配会话表,看是否能够创建会话表. 前提是必须是首包才 ...
- kingscada检测服务器状态,基于云服务器的状态检测平台
技术领域 本发明涉及云服务器领域,尤其涉及一种基于云服务器的状态检测平台. 背景技术 云服务器(Elastic Compute Service,ECS)是一种简单高效.安全可靠.处理能力可弹性伸缩的计 ...
- 防火墙系列(二)-----防火墙的主要技术之包过滤技术,状态检测技术
防火墙系列(二)-–防火墙的主要技术 必备知识:TCP/IP基础 包过滤技术 工作对象–>数据包 防火墙要在数据包进入系统之前处理它 实现包过滤技术的防火墙模块要在操作系统协议栈的网络层的位置. ...
- VB多层防火墙技术的研究-状态检测
word完整版可点击如下下载>>>>>>>> VB多层防火墙技术的研究-状态检测(源代码+系统+开题报告+中期报告).rar-VB文档类资源-CSDN下 ...
- 防火墙的基础知识(会话表)
基本理解 防火墙的作用:隔离内外网 防火墙是什么:指(在遭受入侵时)隔离内外网的设备或者做内外网隔离的策略 历史进程: 黑客:伪造ip,伪造端口号,破解acl和nat(利用nat映射表) 安全:利用T ...
- 《笑傲网湖》第五回 状态检测防火墙
今天,我们进行状态检测防火墙的原理介绍.同时附送网络地址转换原理的简单介绍! 随着华山派的不断扩大,整个内部网络也越来越庞大.每天都有大量的数据与外界交互,处于网关处的防火墙要处理的数据包越来越多,虽 ...
- JavaWeb第四讲 会话跟踪技术HttpSession、Cookie、url、隐藏表单域
会话跟踪技术Session.Cookie.url.隐藏表单域 (一)Session session是保存在服务器端,理论上是没有是没有限制,只要你的内存够大. 浏览器第一次访问服务器时会创建一个ses ...
- 查看防火墙状态_干货 | 华为防火墙配置,这篇文章强烈推荐收藏学习
1.命令行界面密码:Admin@123 [ ]web-manager enable 开启web 界面管理 2.web界面:默认 admin Admin@123 3.区域 默认区域:trust ...
最新文章
- 使用Oracle创建图书馆数据库
- 51nod 1040:最大公约数之和(数论)
- C 指针的有意思的描述
- JavaScript学习与实践(8)
- oracle 强制索引_当唯一索引遇见分布式数据库
- 华为手机上的网上邻居怎么用_只要华为手机用上鸿蒙OS2.0,刚买的手机我也马上换!...
- Quartz 触发器(SimpleTriggerCronTrigger )配置说明 cronExpression表达式 转
- 使用jquery为table动态添加行的实现代码
- 实操教程|使用计算机视觉的方法在钢铁平面上检测焊接缺陷
- 设计模式之二 工厂模式
- 高等数学几何图形凸优化
- 空间几何-欧拉角、四元数、重投影误差
- createBuilderConfig 0XFFFF异常
- 为什么需要克隆虚拟机,虚拟机又该怎样克隆呢?
- Android 安装第三方远程协助APP无法控制屏幕
- eplan实战设计pdf百度云_EPLAN实战设计
- 计蒜客习题:蒜厂年会
- CP-ABE方案形式化定义及安全模型总结
- 铸造数据安全堤坝,华为云数据灾备解决方案就是强
- APP架构构思基本思路初稿