防火墙工作原理

最新推荐文章于 2024-07-24 00:41:39 发布
最新推荐文章于 2024-07-24 00:41:39 发布
阅读量4.5k 收藏 11
点赞数
分类专栏: 网络知识 文章标签: 防火墙
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处! https://blog.csdn.net/qq_38265137/article/details/88548511

防火墙工作原理

防火墙工作原理:

本质上是查看会话表。

报文到达防火墙,先查看是否会有会话表匹配。

  1. 如果有会话表匹配,则匹配会话表转发。
  2. 如果没有匹配会话表,看是否能够创建会话表。

前提是必须是首包才能创建会话表。

A.先匹配路由表。B.再匹配安全策略。

在这里插入图片描述

TCP: SYN ---------首包
​ SYN+ACK
​ ACK

ICMP echo-request----首包
​ echo-reply

UDP没有首包概念

状态检测机制:

  • 状态尖刺机制开启的情况下,只有首包通过设备才能建立会话表,后续包直接匹配会话表项进行转发。
  • 状态监测机制关闭的情况下,即使首包没有经过防火墙,后续包只要通过防火墙也可以生成会话表项。

开启命令:firewall session link-state check -------默认就开启

关闭状态检测的命令:undo firewall session link-state check tcp/icmp

首包建立会话-------使用状态检测。

状态检测主要针对TCP和ICMP报文

什么情况需要关闭状态检测:

  1. (场景)来回路径不一致的情况 (SACG)。

详解会话表

查看会话表:

查看会话简要信息

[FW1]display firewall session table  ---------------查看会话表简要信息
 Current Total Sessions : 5
  https  VPN:public --> public 192.168.0.100:49363-->192.168.0.10:8443
  协议    虚拟防火墙有作用         源地址:源端口 目标地址:目标端口
  https  VPN:public --> public 192.168.0.100:49350-->192.168.0.10:8443
  tcp  VPN:public --> public 10.1.1.1:49395-->192.168.1.100:17889
  ftp-data  VPN:public --> public 192.168.1.1:20-->10.1.1.1:49396
  ftp  VPN:public --> public 10.1.1.1:49393+->192.168.1.1:21

   
   

   
   
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

筛选会话:

[FW1]display firewall session table servic ftp ---------筛选会话
 Current Total Sessions : 1
  ftp  VPN:public --> public 10.1.1.1:49393+->192.168.1.1:21

   
   

   
   
  • 1
  • 2
  • 3

查看会话表详细信息:

[FW1]display firewall session table  verbose  --------------------查看会话详细信息

ftp/协议 VPN:public > public/虚拟防火墙有作用 ID: a58f362c468281b1855c0cfa4b /唯一的会话

Zone: trust> dmz/安全区域 TTL: 00:20:00/ 老化时间 Left: 00:19:02/剩余时间

Output-interface: GigabitEthernet0/0/2 /出接口 NextHop: 192.168.1.1/下一跳 MAC: 00-50-56-9e-ea-06/下一跳MAC
<packets:0 bytes:0/ 反向流量 >packets:24 bytes:1180/正向流量

10.1.1.1:49393+->192.168.1.1:21/源地址 源端口 目标地址 目标端口 PolicyName: trust_dmz /匹配策略

+-> -代表开启ASPF功能

> 无意义,正常报文

icmp VPN:public > public ID: a58f362c6bca01d8e15c0d2721
Zone: trust> dmz TTL: 00:00:20 Left: 00:00:19
Output-interface: GigabitEthernet0/0/2 NextHop: 192.168.1.1 MAC: 00-50-56-9e-ea-06
<packets:4 bytes:240 >packets:4 bytes:240
10.1.1.1:1>192.168.1.1:2048 PolicyName: trust_dmz

10.1.1.1 :1>192.168.1.1 :2048
源端口 目的端口

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

详细会话表中有 13项参数。

  1. 协议,指明会话的协议

  2. VPN,在虚拟防火墙中使用

  3. ID,标志唯一的会话

  4. ZONE(区域),指明流量的区域走向。

  5. TTL,会话的老化时间。

  6. Left:会话剩余时间

  7. output-interface:出接口

  8. nextHop:下一跳

  9. MAC:mac地址,

    MAC地址为全0的情况:

    1. 到达防火墙的接口
    2. 虚拟防火墙的MAC也是全0
    3. 当ARP请求失败的时候

  10. 反向流量统计

  11. 正向流量统计

  12. 五元组,源地址:源端口–>目的地址:目的端口

    注意:ICMP的端口计算方法:

    ICMP报文中的Identifier字段16进制转换为10进制,作为源端口

    将Type字段和Code字段的值做与运算,作为目的端口。

    例如:Type=8,Code =0;则目标端口=1000 0000 0000 & 0 = 2048

    ICMP带端口的原因:因为ICMP需要做状态检测,所有需要五元组。ICMP端口无实际意义。

    端口号为0的情况:

    当流量为OSPF,ESP,AH等协议时,端口为0.

  13. PolicyName:匹配的策略名称

老化时间(TTL)的问题:

各协议会话默认老化时间:

协议老化时间协议
20sicmp
30sdns
120s 2minqq/tftp/l2tp/udp/rip/ntp/snmp/syslog/h323
240s 4minftp-data/GRE/AH
600s 10minSIP/HTTPS/ESP
1200s 20minHTTP/FTP/Telnet/SMTP/sqlnet/ssh/tcp/pop3/BGP
14400s 4hourssqlnet-data

总结:

TCP 20min SYN 5s SYN+ACK 5s ACK 20Min frist-fin 900s finrst 5s

UDP 2min

ICMP 20s

注意:在网管防火墙流量时,当web在线时,https老化10min,当关闭web时,显示https老化时间10s。

即:HTTPS(有流量)----10min(TTL)

HTTPS(无流量)-----10s

什么情况会话表会老化:

  1. 老化时间到了
  2. 检测到有病毒的时候,会话表立刻老化,并且加入黑名单
  3. 发送FIN,第一次收到(frist-fin),老化时间变为900s(默认),第二次收到fin(finrst ),老化时间变为10s。

老化时间的修改:

  • 知名协议修改老化时间[FW1]firewall session aging-time service-set http 2000·----注意单位是S

  • 非知名协议修改时间
    第一步:自定义协议
    ip service-set abc type object
    service 0 protocol 200
    firewall session aging-time service-set abc 200

会话时间存在的问题:

  1. 下载过大的FTP文件,会出现中断。
  2. 访问数据库,操作的时间大于TCP的老化时间。

解决方案:

长会话:默认老化时间168小时。 注意:只针对TCP。

长会话的默认会话时间可以修改。

[FW1]display firewall  long-link aging-time  
 Long-link aging-time is 168 hours
修改长会话的默认时间
firewall long-link  aging-time 20

 
 

 
 
  • 1
  • 2
  • 3
  • 4

配置长回话步骤:

  1. 配置ACL定义协议

    acl number 3000 rule 5 permit tcp source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 destination-port eq ftp

  2. 调用ACL

    interzone trust dmz long-link 3000 inbound

        </div>
					<link href="https://csdnimg.cn/release/phoenix/mdeditor/markdown_views-258a4616f7.css" rel="stylesheet">
            </div>
魔落
关注
专栏目录
防火墙的基础知识(会话表)
captainyuxiaoyu的博客
04-04 1万+
基本理解 防火墙的作用:隔离内外网 防火墙是什么:指(在遭受入侵时)隔离内外网的设备或者做内外网隔离的策略 历史进程: 黑客:伪造ip,伪造端口号,破解acl和nat(利用nat映射表) 安全:利用Tcp通信过程:握手syn,ack,rst,外网服务器只会发ack和rst,在防火墙上抓外网来的包必须有ack和rst(释放链接)字段才让进,这样可以有效阻止攻击者(当然在攻击者无法造包flag字段情况...
防火墙工作原理和详解会话
热门推荐
曹世宏的博客
03-14 2万+
防火墙工作原理 防火墙工作原理: 本质上是查看会话表。 报文到达防火墙,先查看是否会有会话表匹配。 如果有会话表匹配,则匹配会话表转发。 如果没有匹配会话表,看是否能够创建会话表。 前提是必须是首包才能创建会话表。 A.先匹配路由表。B.再匹配安全策略。 TCP: SYN ---------首包 ​ SYN+ACK ​ ACK ICMP echo-re...
eNSP实验——基于静态路由的GRE隧道
最新发布
2301_78942293的博客
07-24 453
General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。GRE主要有以下特点:1、机制简单,无需维持状态,对隧道两端设备的CPU负担小;2、,如果需要加密,可以与IPSec结合使用;3、不提供流量控制和QoS;
华为防火墙会话
月球挖掘机
08-03 1486
所以该条命令中提供多个参数可以选择需要查看的会话表的类型,有效利用这些参数可以减少查看会话表时显示的条目,缩短定位问题的时间。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。此处只能查看当前依旧存活的会话信息,假如某条会话创建以后,很快又被删除或是老化掉了,则该条会话信息将不会在此显示。
华为防火墙学习总结:二、状态检测和会话机制
weixin_33807284的博客
02-28 1152
状态检测:配置一个规则或者策略,当报文从源区域流入时匹配规则,转发,当报文回应时候,发现报文中的信息与会话中信息匹配,并且该报文符合协议规定,则认为该报文是回应报文,通过。包过滤和状态检测的区别?①包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文的前因后果。这就要求防火墙必须针对每一个方向上的报文都配置一条规则,转发效率低...
防火墙.详细了解,防火墙工作原理
07-17
防火墙.详细了解,防火墙工作原理
防火墙工作原理概述
10-01
主要介绍了防火墙工作原理概述,需要的朋友可以参考下
防火墙工作原理和种类.doc
09-28
防火墙工作原理和种类.doc
计算机网络应用防火墙工作原理-2页.pdf
12-04
计算机网络应用防火墙工作原理-2页.pdf
常用华为防火墙命令
12-12
常用华为防火墙命令
防火墙状态检测工作机制
weixin_34284188的博客
09-22 2927
1.防火墙状态监测应该如何工作无论何时,一个防火墙接收到一个初始化TCP连接的SYN包,这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后,该包都没有被接受,那么拒绝该次连接。一个RST的数据包发送到远端的机器。如果该包被接受,那么本次会话被记录到状态监测表里。该表是位于内核模式中的。随后的数据包(没有带有一个SYN标志)就和该状态...
浅谈防火墙_路由器转发表和防火墙会话表,实战篇
2401_84264408的博客
04-11 855
概念:NAT(网络地址转换协议)主要用于实现位于内部网络的主机访问外部网络的功能,可以将私网地址转换为公网地址。功能:1、宽带分享,帮助解决IP地址不足,帮助上网2、安全防护,可以有效的避免来自网络外部的攻击,隐藏保护网路内部的计算机分类:1、静态NAT静态NAT实现了私有地址的一对一映射一个公网IP只会分配给唯一且固定的内网主机如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT2、动态NAT。
防火墙的基本原理
m0_71999868的博客
09-06 2894
防火墙的发展以及分别的特点
华为USG防火墙入门基础02_会话
IT_zhangsan
06-14 995
UDP、TCP、ICMP ping报文、ICMPv6 ping报文、GRE、AH、ESP、IPIP、OSPF、RIP、BFD 等IP类协议报文会创建会话,ICMP差错报文、组播报文、广播报文、分片后续片报文、非IP类协议报文不建立会话。FW提供会话快速老化功能,并发会话数或内存使用率达到一定条件后,FW会加速会话老化进程,提前老化会话,快速降低会话表使用率。除了以上两个例子外,其他需要更改会话表已有表项内容的情况下,如果不能等待表项老化后重新生成,而是希望其立即生效,都可能需要清除会话表。
查看华为防火墙会话
杨奇的博客
06-24 8760
Web查看防火墙会话表: 命令行查看防火墙会话表: <FW1>dis firewall session table Current Total Sessions : 19 icmp VPN: public --> public 192.168.1.2:18419 --> 172.16.1.2:2048 icmp VPN: public --> public 192.168.1.2:18163 --> 172.16.1.2:2048 icmp VPN:
防火墙状态检测
weixin_34387284的博客
08-10 1741
一、状态监测应该如何工作无论何时,一个防火墙接收到一个初始化TCP连接的SYN包,这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后,该包都没有被接受,那么拒绝该次连接。一个RST的数据包发送到远端的机器。如果该包被接受,那么本次会话被记录到状态监测表里。该表是位于内核模式中的。随后的数据包(没有带有一个SYN标志)就和该状态监测表...
HCIE-Security Day5:防火墙会话表和转发原理
小梁的博客
02-10 6171
会话表和转发原理
下一代防火墙工作原理
08-12
NGFW的工作原理如下: 1. 包过滤:NGFW使用包过滤技术来检查进出网络的数据包。它会根据预定义的规则集,对数据包进行检查,确定是否允许通过或阻止。这些规则可以基于源/目标IP地址、端口号、协议类型等信息进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值