防火墙中的会话表及用户认证

防火墙相关技术：

1.会话表技术

会话表技术 --- 提高转发效率的关键 --- 老化机制

1，会话表老化时间过长 --- 占用资源，导致一些会话无法正常建立

2，老化时间过短 --- 会导致一些需要长时间发送一次的报文强行终端，影响正常业务

 

 

 

<USG6000V1>display firewall session table 

 

2.状态检测技术：

1，检测数据包是否符合协议的逻辑顺序； 2，检查是否是逻辑上的首包，只有首包可以创建会话表。状态检测机制可以选择关闭或者开启

 

 

[USG6000V1]firewall session link-state tcp ?   check  Indicate link state check

[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令，如果需

要关闭，则在该命令前面加undo

 

ASPF

1.FTP --- 文件传输协议

2.Tftp --- 简单文件传输协议

FTP协议相较于Tftp协议 ---- 1，需要进行认证

                                           2，拥有一套完整的命令集

FTP还分为了两种工作模式 --- 主动模式，被动模式

主动模式 

 

 被动模式

192，168，1，2，8，2 --- IP地址为：192.168.1.2，端口号：8 * 256 + 2 = 2050 

向FTP这样的多进程的协议我们叫多通道协议

ASPF --- 针对应用层的包过滤

ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中，在根据这个表中的记录，创建会话表。

 

 默认，FTP是开启了ASPF的

 

用户认证

防火墙管理员认证 ---- 校验登录者身份合法性

用户认证 --- 上网行为管理中的一环上网用户认证 --- 三层认证 --- 将用户和行为进行绑定入网用户认证 --- 二层认证

接入用户认证 --- VPN --- 对身份合法性进行认证

 认证方式本地认证

 服务器认证

单点登录 --- 和服务器认证的逻辑类似

认证域 --- 可以定义用户的认证方式以及用户的组织结构

 

登录名 --- 用于登录的凭证，同一个认证域下不可以重复

显示名 --- 用来方便区分用户，不用的登录使用，可以重复，也不是必要项。

 

在到期之前，登录到期后不会强制下线，主动下线后，将无法再次登录

允许多人同时使用该账号登录

私有用户公有用户

用户单向绑定和双向绑定

单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录，但该设备也可以让其他用户登录

双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录，且其他用户不允许在该设备上登录

安全组和用户组 --- 安全组和用户组都可以关联策略，但是，用户组关联的策略将递归执行，即其下子用户组均需遵循策略，安全组不递归执行，只有选中的安全组执行策略。

认证策略

1、Portal --- 网页认证

Portal --- 网页认证，在触发需要认证的流量后，将提供网页认证界面，需要在界面中输入用户明和密码进行认证

2、免认证

免认证 --- 认证透明化，在符合单点登录或者IP/MAC双向绑定的前提下，可以不需要进行认证环节，直接通过IP/MAC地址信息来追溯用户信息。

3、匿名认证

匿名认证 --- 通过流量中的IP地址来作为用户的身份标识，不需要输入用户名和密码