防御第四次------前六天

三

安全策略

传统的包过滤防火墙 --- 其本质为ACL列表，根据 数据报中的特征 进行过滤，之后对比规制，

执行动作。

五元组 --- 源IP，目标IP，源端口，目标端口，协议

安全策略 --- 相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面

是可以完成 内容安全 的检测。

安全策略 --- 1，访问控制（允许和拒绝）

2，内容检测 --- 如果允许通过，则可以进行内容检测

需求：DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 - 18：00）

访问，办公区的设备全天都可以访问。

防火墙的状态检测和会话表

基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流

的“特征”记录下来（记录在本地的 “会话表” ），之后，该数据流后续的报文都将基于这个

特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高转发效率。

当web服务器给PC进行回报时，来到防火墙上，防火墙会将报文中的信息和会话表的信

息进行性比对，如果，发现报文中的信息与会话表中的信息相匹配，并且， 符合协议规

范对后续报文的定义 ，则认为该数据包属于PC，可以允许该数据包通过。

1，会话表；2，状态检测

1，会话表 --- 会话表本身也是基于5元组来区分流量，会话表在比对时，会通过计算

HASH来比较五元组。因为HASH定长，所以，可以基于硬件进行处理，提高转发效

率。

因为会话表中的记录只有在流量经过触发时才有意义，所以，如果记录长时间不被触

发，则应该删除掉。即会话表中的记录应该存在 老化时间 。如果会话表中的记录被删除

掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会

话表， 如果无法创建会话表，则将丢弃该数据流的数据 。

如果会话表的老化时间过长：会造成系统资源的浪费，同时，有可能导致新的会话表项

无法正常建立

如果会话表的老化时间过短：会导致一些需要长时间首发一次的报文连接被系统强行中

断，影响业务的转发。

不同协议的会话表老化时间是不同

[USG6000V1]display firewall session table --- 查看会话表

[USG6000V1]display firewall session table verbose -- 查看会话表详情

状态检测技术

状态检测主要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建

会话表。可以选择开启或者关闭该功能。

四

ASPF

FTP --- 文件传输协议

FTP协议是一个典型的C/S架构的协议

Tftp --- 简单文件传输协议

1，FTP相较于Tftp存在认证动作

2，FTP相较于Tftp拥有一套完整的命令集

FTP工作过程中存在两个进程，一个是控制进程，另一个是数据的传输进程，所以，需要使用

两个端口号20，21

并且，FTP还存在两种不同的工作模式 --- 主动模式，被动模式

五

配置黑洞路由 --- 黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指

向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址

不再同一个网段中的场景。）

决定了使用的是动态NAT还是NAPT的逻辑。

高级

NAT类型 --- 五元组NAT --- 针对源IP，目标IP，源端口，目标端口，协议 这五个参数识别出

的数据流进行端口转换

三元组NAT --- 针源IP，源端口，协议 三个参数识别出的数据流进行端口转换

在保留地址中的地址将不被用于转换使用

动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录，其中一条是反向记

录。反向记录小时前，相当于是一条静态NAT记录，外网的任意地址，在安全策略放通的情况

下，是可以访问到内网的设备。

基于端口的NAT转换，是不会生成server-map表的。

三元组

P2P --- peer to peer

因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合

五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端

之间可以正常通信

安全区域 --- 值的是需要访问服务器的设备所在的区域。

源NAT在安全策略之后执行，目标NAT在安全策略之前执行（因为自动生成的安全策略的目标

地址是转换后的地址，说明需要先进行转换，再触发安全策略）

源NAT

第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT

第二种：出去还是一个区域，选择出接口来进行转换

目标NAT

第一种：也可以分两个不同的区域做服务器映射

第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址

池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。

六

防火墙的智能选路

就近选路 --- 我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高

通信效率，避免绕路。

策略路由 -- PBR

传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对

一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。

策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维

度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐

含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行

转发。

如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照

对应动作执行，不再向下匹配；

DSCP优先级 --- 相当于在数据包中设定其转发的优先级（利用的是IP头部中tos字段），

之后下游设备会根据优先级来差异化保证流量的通过。

动作：

转发 --- 可以定义其转发的方式

转发其他虚拟系统 --- VRF

不做策略路由

监控 --- 当策略是单出口时，如果这里写的下一跳和出接口不可达，报文将直接被FW丢

弃。为了提高可靠性，我们可以配置针对下一跳的监控，即使下一跳不可达，也可以继

续查找本地路由表，而不是直接丢弃