华为防火墙技术漫淡_1.5状态检测和会话机制

最新推荐文章于 2024-09-27 15:06:00 发布
最新推荐文章于 2024-09-27 15:06:00 发布
阅读量8.6k 收藏 15
点赞数 1
分类专栏: 强叔侃墙华为防火墙技术漫淡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjjingpan/article/details/77368058
版权

状态检测

状态检测防火墙出现是防火墙发展历史上里程碑的事件,而其所使用的状态检测和会话机制,目前已经成为防火墙产品的基本功能,也是防火墙实现安全防护的基础技术。

在状态检测防火墙出现之前,包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文产生的前因后果,这就要求包过滤防火墙必须针对每一个方向上的报文都配置一条规则,转发效率低下而且容易带来安全风险。

而状态检测防火墙的出现正好弥补了包过滤防火墙的这个缺陷。状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。例如,为数据流的第一个报文建立会话,数据流内的后续报文就会直接匹配会话转发,不需要再进行规则的检查,提高了转发效率。

会话

华为防火墙技术漫淡_1.5状态检测和会话机制
FW配置

interfaceGigabitEthernet0/0/1
 ip address192.168.0.254 255.255.255.0
#
interfaceGigabitEthernet0/0/2
 ip address172.16.0.254 255.255.255.0

firewall zone trust
 set priority 85
 add interfaceGigabitEthernet0/0/0
 add interfaceGigabitEthernet0/0/1

policy interzone trust untrust outbound
 policy 10
  actionpermit
  policy serviceservice-set http
  policy serviceservice-set icmp
  policy source192.168.0.1 0
  policy destination172.16.0.1 0

 

displayfirewall session table
13:13:27 2017/06/29
 Current Total Sessions : 1
 http  VPN:public --> public192.168.0.1:2052-->172.16.0.1:80

 

  • http 表示协议( 此处显示的是应用层协议)

  • 192.168.0.1表示源地址

  • 2052表示源端口

  • 172.16.0.1表示目的地址

  • 80表示目的端口

“-->”符号前面的是源,符号后面的是目的。

源地址、源端口,目的地址,目的端口和协议这5个元素是会话的重要信息,称之为“五元组"。只要这5个元素相同的报文即可认为属于同一条流,在防火墙通过这5个元素就可以唯一确定一条连接。

 

display firewall session tableverbose
13:22:55 2017/06/29
 Current TotalSessions : 1
  http VPN:public --> public
  Zone:trust--> untrust  TTL: 00:00:10 Left: 00:00:06
  Interface:GigabitEthernet0/0/2  NextHop: 172.16.0.1 MAC: 54-89-98-18-71-4c
 <--packets:4 bytes:471   -->packets:6bytes:400
 192.168.0.1:2053-->172.16.0.1:80
  • Zone:表示报文在安全区域之间流动的方向,trust-->untrust表示报文是从trust区域流向untrust区域
  • TTL:表示该会话的老化时间,这个时间到期后,这条会话也将会被清除。
  • Left:表示该会话剩余的生存时间。
  • Interface:表示报文的出接口,报文从这人接口发出。
  • NextHop:表示报文去往下一跳的IP地址。
  • MAC:表示报文去往的下一跳的MAC地址。
  • <--packets:4bytes:471:表示会话反向方向上的报文统计信息,即Web服务器向PC发往报文的个数和字节数。
  • -->packets:6bytes:400:表示会话正向方向的报文统计信息,即PC向Web服务器发送的报文的个数和字节数。

调整http老化时间为600s

[FW]firewall session aging-time service-set http 600

长连接

网络中还有一种类型的业务,一条连接上的两个连续报文可能间隔时间很长,最具代表性的就是SQL数据库业务。用户查询SQL数据库服务器上的数据时,查询操作的时间间隔可能会远大于SQL数据库业务的会的老化时间。防火墙上该业务的会话老化之后,就会出现用户访问SQL数据库变慢或者无法继续查询的问题。

仅支持tcp协议类型。

acl number 3000
 rule 5 permittcp source 192.168.0.1 0 destination 172.16.0.2 0destination-por
t eq sqlnet
#
firewall interzone trustuntrust
 long-link 3000 outbound

关闭状态检测功能

undo firewall session link-state check

 

 

 

 

 

 

 

tjjingpan
关注
专栏目录
防火墙状态检测会话机制
xiaoli8748的专栏
04-03 353
FW对TCP,UDP和ICMP协议的报文创建会话
防火墙技术学习笔记一
tao546377318的博客
11-30 1万+
第一章:基础知识 1.1 什么是防火墙       防火墙,顾名思义阻挡的是火,这一名词起源于建筑领域,其作用是隔离火灾,阻止火势从一个区域蔓延到另一个区域。这种隔离是高明的,隔离的是“火”的蔓延,其中的“火”指的是各种攻击,而又保证了“人”能穿墙通过,其中的“人”指的是通信报文。用通信的语言来定义是:防火墙主要用于保护一个网络免受来自另一个网路的攻击和入侵。因其隔离,防守的属性,防火
H3C防火墙会话详细说明
08-06
本文详细介绍了H3C防火墙会话建立转发过程。包括tcp/udp/icmp/rawip等。通过本资源,你会对防火墙有更深层次的理解。
防火墙会话表解析
最新发布
2302_76838247的博客
09-27 1027
防火墙会话表解析
防火墙会话机制
m0_73642707的博客
03-09 557
当一台主机访问服务器时,第一个数据报文到达防火墙后,防火墙会首先查看会话表。随后的数据报文在到达防火墙时,将不再查看策略表,而是直接查看会话表进行匹配,并据此进行转发。当返回的流量与会话表中的记录匹配时,防火墙将不再进行安全策略检查,从而提高处理效率。这意味着防火墙不仅关注单个报文的内容,还会考虑报文所属的会话状态。在某些特殊情况下,如报文来回路径不一致的组网环境中,防火墙可能只会收到通信过程中的后续报文。在这种模式下,防火墙将能够通过后续报文建立会话,保证业务的正常进行。
防火墙状态检测工作机制
weixin_34284188的博客
09-22 2959
1.防火墙状态监测应该如何工作无论何时,一个防火墙接收到一个初始化TCP连接的SYN包,这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后,该包都没有被接受,那么拒绝该次连接。一个RST的数据包发送到远端的机器。如果该包被接受,那么本次会话被记录到状态监测表里。该表是位于内核模式中的。随后的数据包(没有带有一个SYN标志)就和该状态...
华为防火墙-2-状态检测会话
macob的专栏
07-26 4347
华为防火墙 状态检测 会话
防火墙状态检测
m0_73642707的博客
03-09 619
然而,状态检测防火墙并非完美无缺。其检测的层次主要限于网络层与传输层,无法对应用层内容进行深入检测,因此可能无法有效抵抗应用层的攻击。此外,由于需要检测更多的内容,其性能可能稍逊于动态包过滤。
华为HCIE安全培训教程视频【共24集.rar
08-29
[04]Traceroute工作原理、防火墙工作原理、状态检测机制会话表技术.mp4 [05]防火墙会话转发流程(上).mp4 [06]防火墙会话转发流程(下)、安全策略技术原理.mp4 [07]防火墙安全策略应用与部署.mp4 [08]...
华为USG6000v防火墙双机热备综合实验
qq_43205578的博客
03-02 1万+
实验背景: 笔者最近在工作中接触到华为防火墙,第一感触就是华为防火墙与其它厂商的防火墙在双机热备切换方面有点不同,华为引入了私有协议。 Vgmp(VRRP Group Management Protocol),VRRP组管理协议。由于双机热备导致设备出问题时可能会来回路径不一致,因为主备切换了配置VGMP保证一个组内的VRRP全为Active,如果有一个不是,则全部切换至Standby HRP ...
华为_网络工程师_初级笔记(完整版)
热门推荐
运维开发工程师
08-11 3万+
初级网络工程师笔记完整版1.1 企业网架构2.0 OSI 七层 模型2.1 OSI模型-简介2.2 OSI模型-物理层2.3 OSI模型-数据链路层2.4 OSI模型-网络层2.5 OSI模型-传输层3.0 CSMA/CD3. CSMA/CD4.1 OSI-分层模型4.2 数据封装5.1 IP头部5.2 IP 编址5.3 IP 头部详解6.0 ICMP协议7.0 ARP 协议8.0 传输层协议:TCP/UDP9.0 数据包转发过程10.VRP基础11.命令行基础12.交换网络基础113.交换网络基础 214
【安全防御之防火墙基础】
Fanyunin的博客
03-16 1307
防火墙主要一个网络免受另一个网络的攻击和入侵行为。防火墙灵活应用于网络边界、子网隔离等位置。例如:企业网络出口、大型网络内部子网隔离、数据中心边界。
华为防火墙状态检测内容
qq_47529104的博客
03-03 872
当一个包从防火墙上发送出去后,会根据该包记录对应的状态信息,于是当有回包的时候,就会根据对应的状态信息判断该回包是否与内部的主机有联系,有的话就会进行放行。比较常见的一个例子就是我使用防火墙放行了内网到外网的流量之后,可以使得只有内网发起的流量可以被防火墙放行,而外网主动发起的连接就会因为防火墙的策略而被阻拦 ...
防御保护---防火墙状态检测
zhoutong2323的博客
01-29 1140
FTP(文件传输协议)是一个用于在计算机网络上进行文件传输的协议。它是一种基于客户端-服务器架构的标准协议(C/S架构),用于在计算机之间传输文件。FTP 协议使用两个端口来进行传输:一个用于控制进程(21端口),另一个用于数据连接进程(20端口)。控制连接主要用于发送命令和接收服务器的响应,而数据连接则用于实际的文件传输。主动模式和被动模式。在主动模式下,客户端向服务器发送连接请求,并在数据传输时监听一个随机端口。在被动模式下,服务器会在被请求时打开一个随机的高端口,并将其告知客户端。
防火墙技术基础篇:状态检测的概念与功能
qq_39241682的博客
05-10 805
防火墙状态检测作为网络安全的重要技术之一,具有实时监控、内容分析、状态转换检测和策略执行等多种功能。通过综合利用这些功能,防火墙可以有效保护企业网络不受各种网络安全威胁的侵害,提高网络通信的安全性和可靠性。
华为防火墙简单介绍
weixin_53049621的博客
04-08 6965
防火墙防火墙分类第一代防火墙:包过滤防火墙包过滤防火墙的缺点第二代防火墙:代理防火墙第三代防火墙状态防火墙第四代防火墙:UTM防火墙第五代防火墙:下一代防火墙华为防火墙介绍安全策略防火墙会话防火墙分类 第一代防火墙:包过滤防火墙 属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制
iptables的状态检测机制
weixin_34080571的博客
06-12 174
1.什么是状态检测   每个网络连接包括以下信息:源地址、目的地址、源端口和目的端口,叫作套接字对(socket pairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息叫作状态(stateful),能够检测每个连接状态防火墙叫作状态包过滤防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙...
防火墙中的会话表及用户认证
weixin_65476290的博客
07-21 802
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这个表中的记录,创建会话表。用户认证 --- 上网行为管理中的一环上网用户认证 --- 三层认证 --- 将用户和行为进行绑定入网用户认证 --- 二层认证。2,拥有一套完整的命令集。接入用户认证 --- VPN --- 对身份合法性进行认证。
华为防火墙介绍
GZ_TOGOGO的博客
07-15 942
因为服务器既为内网用户提供服务,也为外网用户提供服务,也就是内外网的PC都可以访问这个服务器,那么服务器就不可以部署在内网中,但是又需要为服务器提供一定的安全功能,所以就部署在非军事化区域。代理防火墙防火墙在网络中起到第三 方代理的作用,比如,主机和服务器要通信的话,就都需要先把报文提交给防火墙,之后由防火墙进行检查,检查通过后,再把报文转发出去。默认情况下,同一个安全区域的主机可以互相访问,而不同安全区域的主机互相隔离,如果不同区域的主机需要互相访问,就必须要配置安全策略,通过后才可以互相访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值