华为防火墙技术漫淡_1.5状态检测和会话机制

最新推荐文章于 2024-03-09 15:32:46 发布
最新推荐文章于 2024-03-09 15:32:46 发布
阅读量8.3k 收藏 15
点赞数 1
分类专栏: 强叔侃墙华为防火墙技术漫淡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjjingpan/article/details/77368058
版权

状态检测

状态检测防火墙出现是防火墙发展历史上里程碑的事件,而其所使用的状态检测和会话机制,目前已经成为防火墙产品的基本功能,也是防火墙实现安全防护的基础技术。

在状态检测防火墙出现之前,包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文产生的前因后果,这就要求包过滤防火墙必须针对每一个方向上的报文都配置一条规则,转发效率低下而且容易带来安全风险。

而状态检测防火墙的出现正好弥补了包过滤防火墙的这个缺陷。状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。例如,为数据流的第一个报文建立会话,数据流内的后续报文就会直接匹配会话转发,不需要再进行规则的检查,提高了转发效率。

会话

华为防火墙技术漫淡_1.5状态检测和会话机制
FW配置

interfaceGigabitEthernet0/0/1
 ip address192.168.0.254 255.255.255.0
#
interfaceGigabitEthernet0/0/2
 ip address172.16.0.254 255.255.255.0

firewall zone trust
 set priority 85
 add interfaceGigabitEthernet0/0/0
 add interfaceGigabitEthernet0/0/1

policy interzone trust untrust outbound
 policy 10
  actionpermit
  policy serviceservice-set http
  policy serviceservice-set icmp
  policy source192.168.0.1 0
  policy destination172.16.0.1 0

 

displayfirewall session table
13:13:27 2017/06/29
 Current Total Sessions : 1
 http  VPN:public --> public192.168.0.1:2052-->172.16.0.1:80

 

  • http 表示协议( 此处显示的是应用层协议)

  • 192.168.0.1表示源地址

  • 2052表示源端口

  • 172.16.0.1表示目的地址

  • 80表示目的端口

“-->”符号前面的是源,符号后面的是目的。

源地址、源端口,目的地址,目的端口和协议这5个元素是会话的重要信息,称之为“五元组"。只要这5个元素相同的报文即可认为属于同一条流,在防火墙通过这5个元素就可以唯一确定一条连接。

 

display firewall session tableverbose
13:22:55 2017/06/29
 Current TotalSessions : 1
  http VPN:public --> public
  Zone:trust--> untrust  TTL: 00:00:10 Left: 00:00:06
  Interface:GigabitEthernet0/0/2  NextHop: 172.16.0.1 MAC: 54-89-98-18-71-4c
 <--packets:4 bytes:471   -->packets:6bytes:400
 192.168.0.1:2053-->172.16.0.1:80
  • Zone:表示报文在安全区域之间流动的方向,trust-->untrust表示报文是从trust区域流向untrust区域
  • TTL:表示该会话的老化时间,这个时间到期后,这条会话也将会被清除。
  • Left:表示该会话剩余的生存时间。
  • Interface:表示报文的出接口,报文从这人接口发出。
  • NextHop:表示报文去往下一跳的IP地址。
  • MAC:表示报文去往的下一跳的MAC地址。
  • <--packets:4bytes:471:表示会话反向方向上的报文统计信息,即Web服务器向PC发往报文的个数和字节数。
  • -->packets:6bytes:400:表示会话正向方向的报文统计信息,即PC向Web服务器发送的报文的个数和字节数。

调整http老化时间为600s

[FW]firewall session aging-time service-set http 600

长连接

网络中还有一种类型的业务,一条连接上的两个连续报文可能间隔时间很长,最具代表性的就是SQL数据库业务。用户查询SQL数据库服务器上的数据时,查询操作的时间间隔可能会远大于SQL数据库业务的会的老化时间。防火墙上该业务的会话老化之后,就会出现用户访问SQL数据库变慢或者无法继续查询的问题。

仅支持tcp协议类型。

acl number 3000
 rule 5 permittcp source 192.168.0.1 0 destination 172.16.0.2 0destination-por
t eq sqlnet
#
firewall interzone trustuntrust
 long-link 3000 outbound

关闭状态检测功能

undo firewall session link-state check

 

 

 

 

 

 

 

tjjingpan
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
Fiddler WEB
最新发布
weixin_52717285的博客
04-16 951
分析no-cache字段值的缓存,如果Expires或Cache-Control字段的值包含no-cache,这样的资源是不会进行缓存的。在HTTP会话中,使用缓存可以减少对源服务器的访问次数,从而减轻资源服务器的负担,提升网站的性能,同时客户端加载网页的速度也会更快。外部控制缓存,除了以上介绍的HTTP的字段外,外部的其他环节也会影响到网页的缓存,如用户操作、HTML代码和Fiddler代理。内部控制缓存,HTTP提供了一些字段用来设置缓存。,这部分信息表示,缓存是最新的,响应信息将更新资源的有效期。
华为防火墙配置笔记
weixin_30375247的博客
07-05 5187
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
防火墙状态检测
m0_73642707的博客
03-09 311
然而,状态检测防火墙并非完美无缺。其检测的层次主要限于网络层与传输层,无法对应用层内容进行深入检测,因此可能无法有效抵抗应用层的攻击。此外,由于需要检测更多的内容,其性能可能稍逊于动态包过滤。
Linux -- 利用IPS(入侵防御系统) 构建企业Web安全防护网
weixin_33682719的博客
01-13 1565
一、IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的攻击进行过滤。这样一个两级的过滤模式,可以最大地保证系统的安全。在 一些专业的机构,或对网络安全要求比较高的地方,IPS和其他审计跟踪产品结合,可以提 供针对网络信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、 ...
防火墙旁挂,关闭TCP检测
WJ.L
06-02 1970
实验拓扑: 实验环境: PC1: IP:192.168.1.1 网关地址:192.168.1.254 PC2: IP:192.168.2.2 网关地址:192.168.2.254 R1: G0/0/0:192.168.1.254 G0/0/1:192.168.2.254 g0/0/2:12.1.1.1 g4/0/0::13.1.1.1 FW3:g0/0/0:12.1.1.2 g0/0/1:13.1.1.2 PC1-R1-FW3为外网untrust区域,PC2-R1-FW3为内网trust区域. 实验目
华为防火墙-2-状态检测会话
macob的专栏
07-26 3655
华为防火墙 状态检测 会话
防火墙状态检测会话表技术
永远是少年
07-26 7223
今天继续给大家介绍华为系列防火墙。本文主要内容是华为USG6000系列防火墙状态检测会话表技术。 一、防火墙数据转发流程概述 在防火墙收到一个数据报文后,处理和转发流程一共可以分为三个阶段: 1、查询会话表前的基本处理。 2、首包建立会话,非首包查询会话。 3、对查询会话后的报文进行处理。 具体处理流程如下图所示: 二、防火墙状态检测机制 目前的华为下一代防火墙,所采用的技术都是状态检测机制,所谓状态检测机制,就是指在配置策略的时候,不需要考虑具体业务的收发,只需要考虑业务的首包即可。所谓首包,就是值
防火墙技术浅析
rammstein001的专栏
02-14 3182
随着网络应用的深入,网络安全问题越来越受到广大计算机用户及企业的关注。很多网络安全产品被部署到用户的网络中构筑起一道道安全防线,防火墙作为保护用户网络的第一道防线,其重要性不言而喻。本文从防火墙的基本概念着手,结合传统防火墙的工作原理及目前比较先进的核检测技术,对防火墙技术进行解析。一、防火墙的基本概念及发展历程防火墙,顾名思义,作为“防火”设备,也是一种隔离设备。应用于网络中的防火墙是一
HCIE-Security Day5:防火墙会话表和转发原理
小梁的博客
02-10 5799
会话表和转发原理
华为防火墙技术漫谈.zip
05-23
华为防火墙技术漫谈_PDF电子书下载 高清 带索引书签目录_徐慧洋,白杰,卢宏旺编著_北京:人民邮电出版社_P548_2015.05
H3C防火墙会话详细说明
08-06
本文详细介绍了H3C防火墙会话建立转发过程。包括tcp/udp/icmp/rawip等。通过本资源,你会对防火墙有更深层次的理解。
华为防火墙技术漫谈_非试读
04-13
电子书下载 高清 带索引书签目录_徐慧洋,白杰,卢宏旺编著_北京:人民邮电出版社 完全版本
华为防火墙技术漫谈.pdf
01-16
华为防火墙技术漫谈,理论篇共包含十章,涵盖了会话状态检测、安全策略、攻击防范、NAT、GRE 、L2TP 、IPSec 、SSL、双机热备、出口选路的原理、应用场景及配置方法
华为防火墙技术漫谈.z01
09-11
华为防火墙技术漫谈》介绍华为传统防火墙关键技术原理、应用场景和配置方法,主要包括安全策略、攻击防范、NAT、双机热备、选路,并结合网上案例给出以上技术的综合应用配置举例,以防火墙网上实际需求为导向,采用...
华为ensp虚拟防火墙vfw_usg.rar软件包
03-28
ENSP里面有一个华为的虚拟防火墙,找了好几天 终于获取到了这个vfw_usg.rar虚拟防火墙软件包。目前华为官网已经无法下载了,此处提供给大家。
华为防火墙实战指南-14730681.pdf
12-03
华为防火墙实战指南-14730681.pdf
华为防火墙技术手册详解
02-19
华为防火墙技术手册
华为防火墙技术漫谈(完整版的不是试读版的)
11-08
本书介绍华为传统防火墙关键技术原理、应用场景和配置方法,主要包括安全策略、攻击防范、NAT、、双机热备、选路,并结合网上案例给出以上技术的综合应用配置举例,以防火墙网上实际需求为导向,采用发现问题——...
华为防火墙检测ipsec的命令
03-27
华为防火墙检测ipsec的命令包括: 1. display ike sa:显示IKE会话信息。 2. display ipsec sa:显示IPSec安全联盟信息。 3. display ipsec statistics:显示IPSec统计信息。 4. display ike statistics:显示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值