在之前的拓扑实验中手动配置了安全策略,允许trust到untrust之间进行通信,也允许untrust到trust之间进行通信。意味着,防火墙是支持单方向管控的,意思是inbound和outbound方向的流量管控需要分别配置。
当在配置trust到untrust的安全策略的时候,会遇到源地址和目的地址的配置,那涉及到目的地址怎么写,如果是访问Internet就需要配置all,主机可以访问网络上的所有地址;在回传的时候,从untrust到trust,源地址InternetIP配置成all,目的地址配置成目标IP,这样就会存在一个问题,我的主机可以主动访问出去,但是所有的Internet的流量都可以进入到主机内网,这样防火墙就很危险。所以就要实现,要我主机向外请求的流量可以出去,外网的流量可以回复回来,但是外网主动访问内网,防火墙是不允许的。要实现这样的效果就需要防火墙的状态检测功能。
防火墙的状态检测功能,就是只需要配置一个方向的安全关卡就好。
现在在防火墙就配置trust到untrust反向的安全策略,把untrust到trust的安全策略取消掉。
现在安全策略配置只剩下trust到untrust安全策略。
现在用主机PC1去尝试ping服务器
依然可以ping通,现在只是允许trust到untrust,不允许untrust到trust,本来就是ping的回包不能通过untrust到trust到达主机,就应该ping通的,这就是防火墙的单向机制,也叫状态检测机制。就是在配置的安全策略上我向外访问,我的流量可以向外访问,访问的回包也能回来,但是外部的网络要主动向内网访问是不通的。
用服务器去主动向trust访问主机PC1,通信失败。
防火墙状态检测机制是通过防火墙的会话表来实现的
防火墙的会话表有协议号、源地址、源端口、目的地址、目的端口,五元素来构建的。当一个流量进入到防火墙的时候,防火墙会匹配安全策略,判断这个流量允不允许通过,当这个流量允许通过的时候,防火墙就会根据流量中的信息来创建会话表。当回包的流量进入防火墙之后,会匹配防火墙创建的会话表,只有回包的流量匹配到会话表才允许通过。需要知道的是,防火墙的会话表不会长期存在,相当于在回包的流量使用匹配之后就会删除,如果不使用匹配的话,时间到了也会自动删除,不会长期存在,要删除会话的时间称之为老化时间。目的是防止外部网络主动向内部网络发起攻击。
命令:[FW01]display firewall session table,通过这条命令,可以查看防火墙会话(session)表的信息,当前的会话数量是0。
现在会话表是没有条目的。
用主机ping服务器192.168.2.1
用主机ping了三次,防火墙收到流量生成会话表,分别是协议号icmp、源IP、源端口、目的IP、目的端口。
在主机PC1上面抓包,查看第三个request请求,可以看到源IP192.168.1.1、目的IP192.168.2.1、协议号icmp、源端口号62373对应会话表的第一条。
再看第三个请求的回包
第三个请求的回包,协议号是icmp、源IP地址是192.168.2.1、目的IP是192.168.1.1、端口号是62373,和防火墙的会话表是匹配的,允许通过。
现在再查看一下防火墙的会话表的信息
发现目前的会话数量是0,证明刚刚生成的会话表已经删除了。
这就是防火墙的状态检测机制,当一个流量进入防火墙,并且允许通过之后就会创建流量表,流量到来之后先匹配会话表,然后再匹配安全策略进行深度检查,最后再发送给主机。如果两个都没匹配到,或者其中有任何一个匹配失败,数据都会丢弃。这样就可以实现,我主动访问出去可以,但是你主动访问我,就需要满足我的要求才可以进来。
在真正访问网络时五元素防火墙会话表的状态实验
实验拓扑图,增加了一个客户端,增加了一个服务器,配置号客户端和服务器的IP和网关地址
服务器设置为http服务器,然后启动。
在客户端上申请http服务,IP地址为192.168.2.2,然后点击获取。出现这个表示获取到数据。发送申请之前,先在交换机和客户端的接口g0/0/2上抓包。
先回到防火墙看会话表
抓包器上看第一个SYN请求有源IP地址192.168.1.2、目的IP地址192.168.2.2、源端口2050、目的端口是80
第二个数据包SYN,ACK的回包,有源IP地址192.168.2.2、目的IP地址192.168.1.2、源端口是80,目的端口是2050。这个数据回包和发包的时候IP地址和端口相反,和防火墙的会话表能够匹配。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
