HCIE-Security Day5:防火墙会话表和转发原理

已于 2022-04-23 22:04:09 修改
阅读量6.3k 收藏 25
点赞数 4
分类专栏: HCIE-Security 文章标签: 安全 网络安全 华为 认证 HCIE
于 2022-02-10 13:58:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122859456
版权
本文深入探讨了防火墙会话表的工作原理,包括会话表的查看、老化时间及其对设备性能的影响。同时,文章详细阐述了防火墙的转发流程,包括会话前的基本处理、会话中报文的处理以及会话后的流量转发。此外,还介绍了ASPF(应用层包过滤技术)的概念、多通道协议处理以及端口识别的重要性。
摘要由CSDN通过智能技术生成

xx

会话表

会话表是一个记录TCP、UDP、ICMP等协议连接状态,实现报文正常转发的重要环节,是防火墙进行转发的唯一依据。

防火墙采用了基于状态的报文控制机制:只对首包或者少量报文进行检测就确定一条连接状态,大量报文直接根据所述连接的状态进行控制,这种状态检测机制迅速提高了防火墙的检测和转发效率。

而会话表正是为了记录连接的状态而存在的。设备在转发TCP\UDP\ICMP等报文时都需要查询会话表来判断该报文所属的连接以及相应的处理措施。

由于大量会话的存在会对设备资源造成很大的消耗,当超过规格限制时还会导致新会话无法建立,业务不能正常运行。所以必须及时对无用的连接进行清理。当一条会话在长时间没有被任何报文匹配,则说明该条会话所对应的连接可能已经关闭了,这条会话也就没有存在的必要了。所以FW为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。

查看会话表信息

简要信息

display firewall session table #显示简要会话表项

Current Total Sessions : NUM

TYPE VPN:SRCVPN --> DSTVPN SRCIP --> DSTIP

 详细信息 

display firewall session table verbose #显示简要会话表项

Current Total Sessions : NUM

TYPE VPN:SRCVPN --> DSTVPN ID: ID-NUMBER

Zone: SRCZONE--> DSTZONE Remote TTL: TOTALTIME Left: LEFTTIME

Interface: OUTINTERFACE Nexthop: IP-ADDRESS MAC: MACADDRESS

<-- packets:NUMBER bytes:BYTES --> packets:NUMBER bytes:BYTES

SRCIP --> DSTIP PolicyName: POLICYNAME

TCP State: TCP State

 清除信息

reset firewallfirewall session table#清除系统当前会话表项

详细参数含义

TYPE:该会话的协议类型。

VPN:SRCVPN --> DSTVPN

该会话的源VPN实例名称和目的VPN实例名称。PN指的是PN Instance,用在虚拟系统中,没有开启虚拟系统,就只有物理墙,默认都是public--->public,指从物理墙到物理墙。

ID: ID-NUMBER

该会话的ID号。自动生成,唯一确定一条会话。

Zone: SRCZONE--> DSTZONE

该会话的源安全区域名称和目的安全区域名称。

Remote

双机热备场景下,Remote说明当前会话是备份会话,该会话是从对端设备备份过来的。

TTL: TOTALTIME

会话表项总的存活时间。在路由交换中用于防止环路。在防火墙中指的是老化时间。

Left: LEFTTIME

会话表项剩余的存活时间。

老化时间的作用?

控制会话表条目,如果会话表条目太多或者频繁重新建立,都会影响设备转发性能。可以将老化时间理解为导致因为会话表存在而使得安全检查动态更新的原因。

如何查看协议的老化时间?

display firewall session aging-time

tcp:1200s

udp:120s

icmp:20s

syn:5s

fin-rst:10s

dns:30s

http:1200s

https:600s

tcp和udp的老化时间为什么不同?

因为tcp靠谱,需要3次握手才能建立会话,udp不靠谱,不需要建立会话。

老化时间能否修改?

可以。最大修改到65535s,即大约18小时。

firewall session aging-time service-set icmp 20000

老化时间包括系统预定义老化时间和自定义老化时间。

自定义老化时间

ip service-set test type object

service protocol 100

freiwall session aging-time service-set test 2000

display firewall session aging-time type user-defined

什么情况下会老化?

1、Left超时(老化时间到了)

2、内容安全检测到有病毒,会话表直接老化,加入黑名单

3、TCP会话结束,会发送FIN报文,fw收到第一个FIN报文(first-fin),老化时间变成900s,收到第二个FIN报文(fin-rst),老化时间变成10s

如果修改老化时间后,依然不能满足长时间的连接需求(最多18小时),比如ftp长时间下载或者长时间连接数据库。就需要开启长会话。

最低0.47元/天 解锁文章
华为USG防火墙入门基础02_会话
IT_zhangsan
06-14 1127
UDP、TCP、ICMP ping报文、ICMPv6 ping报文、GRE、AH、ESP、IPIP、OSPF、RIP、BFD 等IP类协议报文会创建会话,ICMP差错报文、组播报文、广播报文、分片后续片报文、非IP类协议报文不建立会话。FW提供会话快速老化功能,并发会话数或内存使用率达到一定条件后,FW会加速会话老化进程,提前老化会话,快速降低会话使用率。除了以上两个例子外,其他需要更改会话已有项内容的情况下,如果不能等待项老化后重新生成,而是希望其立即生效,都可能需要清除会话
防火墙的基础知识(会话
热门推荐
captainyuxiaoyu的博客
04-04 1万+
基本理解 防火墙的作用:隔离内外网 防火墙是什么:指(在遭受入侵时)隔离内外网的设备或者做内外网隔离的策略 历史进程: 黑客:伪造ip,伪造端口号,破解acl和nat(利用nat映射安全:利用Tcp通信过程:握手syn,ack,rst,外网服务器只会发ack和rst,在防火墙上抓外网来的包必须有ack和rst(释放链接)字段才让进,这样可以有效阻止攻击者(当然在攻击者无法造包flag字段情况...
状态检测防火墙报文处理发流程
最新发布
weixin_45059947的博客
11-02 1258
华为防火墙在处理报文时,其核心在于其状态检测与会话机制:当防火墙接收到报文后,它会在特定时间和条件下创建会话,并对那些与会话匹配的报文进行特定的转发处理。基于这一关键点,可以将报文通过防火墙的处理过程划分为三个阶段:查询会话之前、查询会话过程中、以及查询会话之后。在整个报文转发的流程中,不通类型的报文会根据配置走入不同分支,被不同的特性处理。所以并非所有报文都会经过上述所有模块的处理。总体分为。
防火墙会话解析
2302_76838247的博客
09-27 1645
防火墙会话解析
防火墙会话-武汉科云
weixin_69109701的博客
10-09 797
缺省情况下,各协议的老化时间为:DNS(120秒)、ftp(120秒)、ftp-data(120秒)、HTTP(120秒)、icmp(20秒)、tcp(600秒)、tcp-proxy(10秒)、udp(120秒)、sip(1800秒)、sip-media(120秒)、rtsp(60秒)、rtsp-media(120秒)、pptp(600秒)、pptp-data(600秒。假设A和B通过防火墙连接,假设A给B发送报文,生成了会话,假设A又给B发送报文了,防火墙会话是会再生成新的会话还是刷新会话
防火墙中的会话及用户认证
weixin_65476290的博客
07-21 945
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这个表中的记录,创建会话。用户认证 --- 上网行为管理中的一环上网用户认证 --- 三层认证 --- 将用户和行为进行绑定入网用户认证 --- 二层认证。2,拥有一套完整的命令集。接入用户认证 --- VPN --- 对身份合法性进行认证
华为防火墙会话
月球挖掘机
08-03 2011
所以该条命令中提供多个参数可以选择需要查看的会话的类型,有效利用这些参数可以减少查看会话时显示的条目,缩短定位问题的时间。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。此处只能查看当前依旧存活的会话信息,假如某条会话创建以后,很快又被删除或是老化掉了,则该条会话信息将不会在此显示。
HCIE-Security Day18:防火墙用户管理(一)上网用户+本地认证(portal认证
小梁的博客
02-22 4579
用户 访问网络资源的主体,示是谁在访问。 fw上的用户根据接入网络时的位置,分为上网用户和接入用户。 上网用户 内部网络中访问网络资源的主体,比如企业总部的内部员工,上网用户可以直接通过fw访问网络资源。接入用户指的是外部网络中访问网络资源的主体,比如企业的分支机构和出差员工 接入用户 需要通过ssl vqn、l2tp vqn、ipsec vqn或者pppoe方式接入到fw,然后才能访问企业总部的网络资源。 认证 fw通过认证来验证访问者的身份,fw对访问者进行认证的方式包括本地认证、服务
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
小梁的博客
02-15 2393
实验一:防火墙直路部署,上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口地址和安全区域 注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。 2、配置路由 ...
HCIE-Security Day14:防火墙双机热备实验(二)防火墙直路部署,上下行连接路由器
小梁的博客
02-17 4723
vgmp与vrrp的配合只适用于防火墙连接二层设备的组网, 实验二:防火墙直路部署,上下行连接路由器 需求和拓扑 两台FW的业务接口都工作在三层,上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口ip和安全区域 2、配置ospf路由 r1/r2/r3/r4/f1/f2开启ospf进程1,将相连网段加入区域0 3、
HCIE-Security Day19:防火墙用户认证(一)
小梁的博客
02-23 2269
指的是fw或者第三方服务器提供认证页面对用户进行认证。 Portal,入口。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。它提供了一种较为简单的用户认证方法,对用户而言,相对其它认证方式更易于使用。它有两大特色: • 免客户端 只需要网页浏览器(如IE)支持,即可为用户提供认证服务,不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点,免客户端软件是一个基本要求。 • 新业务载体 利用Portal认证的门户功能,运营商可以将小区广...
H3C防火墙会话详细说明
08-06
本文详细介绍了H3C防火墙会话建立转发过程。包括tcp/udp/icmp/rawip等。通过本资源,你会对防火墙有更深层次的理解。
防火墙会话机制
m0_73642707的博客
03-09 655
当一台主机访问服务器时,第一个数据报文到达防火墙后,防火墙会首先查看会话。随后的数据报文在到达防火墙时,将不再查看策略,而是直接查看会话进行匹配,并据此进行转发。当返回的流量与会话表中的记录匹配时,防火墙将不再进行安全策略检查,从而提高处理效率。这意味着防火墙不仅关注单个报文的内容,还会考虑报文所属的会话状态。在某些特殊情况下,如报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种模式下,防火墙将能够通过后续报文建立会话,保证业务的正常进行。
四、防火墙转发原理
weixin_45761101的博客
05-04 6270
防火墙安全策略 定义: 安全策略:按一定规则转发流量,内容安全一体化检测 防火墙安全策略的原理 防火墙安全策略的核心作用是:根据规则对流量进行筛选,由动作来确定下一步操作。 NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 会话项 每一个通过防火墙的数据流都会在防火墙上建立一个会话项,以五元组为Key值,通过建立动态的会话提供域间转发。 下一代防火墙会话包括七个元素: 源IP地
display firewall session table 显示会话信息
世界上最差的男孩子
05-07 6759
display firewall session table verbose命令输出信息描述 项目 描述 TTL 该会话项总的生存时间。 Left 该会话项剩余生存时间。 Interface 出接口。 NextHop 下一跳IP地址。 MAC 下一跳MAC地址。 <--packets:1269 ...
查看华为防火墙会话
杨奇的博客
06-24 9075
Web查看防火墙会话: 命令行查看防火墙会话: <FW1>dis firewall session table Current Total Sessions : 19 icmp VPN: public --> public 192.168.1.2:18419 --> 172.16.1.2:2048 icmp VPN: public --> public 192.168.1.2:18163 --> 172.16.1.2:2048 icmp VPN:
防火墙工作原理和详解会话
jj1130050965的博客
01-03 2957
防火墙工作原理 防火墙工作原理: 本质上是查看会话。 报文到达防火墙,先查看是否会有会话匹配。 如果有会话匹配,则匹配会话转发。 如果没有匹配会话,看是否能够创建会话。 前提是必须是首包才能创建会话。 A.先匹配路由。B.再匹配安全策略。 TCP: SYN ---------首包 ​ SYN+ACK ​ ACK ICMP echo-request----首包 ​ echo-reply UDP没有首包概念 状态检测机制: 状态尖刺机制开启的情况下,只有首包通过设备才能建立会话
安全HCIP之防火墙转发原理
XiaoHG_CSDN的博客
10-05 1037
防火墙转发原理 老设备:早期包过滤防火墙是按照逐包检测机制转发转发效率低; 新设备:转发机制:状态检测机制,状态检测机制以流量为单位来对报文进行检测和转发,即对一条流量的报文进行包过滤规则检查,并将判断结果作为该条流量的状态记录下来,对于该流量的后续报文都直接根据这个状态来判断是转发还是丢弃,而不会再次检报文的数据内容,这个状态就是我们平常所述的回话项,这种机制有效提升了防火墙产品的检查速率和转发效率,已经成为目前主流的检测机制; 五元组:即源IP地址、目的IP地址、源端口号、目的端口号、协议类型;
浅谈防火墙_路由器转发防火墙会话网络安全面试知识点梳理
m0_60666452的博客
04-07 1154
概念:NAT(网络地址转换协议)主要用于实现位于内部网络的主机访问外部网络的功能,可以将私网地址转换为公网地址。功能:1、宽带分享,帮助解决IP地址不足,帮助上网2、安全防护,可以有效的避免来自网络外部的攻击,隐藏保护网路内部的计算机分类:1、静态NAT静态NAT实现了私有地址的一对一映射一个公网IP只会分配给唯一且固定的内网主机如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT2、动态NAT。
"HCIE-Security备考指南:NAT策略精萃
下面将根据HCIE-Security备考指南的内容,详细介绍NAT策略的知识点和处理流程。 NAT(Network Address Translation)是一种网络协议转换技术,用于将内部网络的私有IP地址转换为公共IP地址,以实现与外部网络的通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>