默认属性
·
允许
高
->
低
·
拒绝
低
->
高
数据包
--->
初始校验
--->Xlate
查询
--->
连接查找
--->ACL
查找
--->Xlate
查找
--->
用户验证查找
--->
检测引擎
--->
数据包
(接口
X
)
出站
入站
(接口
Y
)
初始校验
·
检查数据包完整性(路由相同),特别检查源地址完整性(防源地址欺骗***)
·
单播反向路径转发(
RPF
:
unicast reverse path forwarding
)
源地址必须在已知的路由表中,并且匹配
Xlate
查询
xlate
表维护的参数
·
协议(
ICMP
、
UDP
和
TCP
)
·
本地和全局接口
·
本地和全局
IP
地址
·
本地和全局端口号(
TCP
或
UDP
)
·
标志(
Xlate
类型)
·
空闲定时器(没有
xlat
开始算)
·
绝对定时器(建立开始算)
·
用户验证绑定(
AAA
?)
·
利用
xlate
表项的连接
1)
连接的数量
2)
未完成连接的数量
3)
活动连接列表
连接查找
(
FW
对于他们是透明的)
conn
表维护的参数
·
协议(
ICMP
、
UDP
和
TCP
)
·
本地或外部
IP
地址(
Xlate
后使用本地
IP
)
·
本地和外部端口号(如果可应用:仅为
TCP
或
UDP
)
·
固定类型和连接状态的标志
·
空闲定时器
·
字节计数机
·
本地和外部的
TCP
序号
ACL
查找
·
连接发起时,
ACL
才使用
·
默认,高
->
低(
FWSM
除外)
用户验证查找
(
AAA
配合使用)
·
返回一个
AAA
属性
·
通过
AAA
调用
ACL
控制用户连接
·
从
AAA
下载
ACL
控制用户连接
检测引擎
·
又称:应用层协议检测
·
ICMP
检测:只允许第一个回复包
(
xlate
表、
ACL
)
·
UDP
检测:
DNS
只允许第一个回复包
空闲超时:
2min
(
xlate
表、
ACL
和连接表项检测)
·
TCP
检测:
static
参数防御
DoS
***
初始空闲超时:
30s TCP
空闲超时:
60min
半关闭空闲超时:
10min
(
xlate
表、
ACL
和连接表项检测)
其他防火墙操作
·
内容过滤
·
故障切换
·
DHCP
·
系统日志
·
管理
·
数据包捕获
·
多防火墙仿真
转载于:https://blog.51cto.com/nppstudy/725885