本文详细讨论了会话表在防火墙中的作用,包括基于五元组的流量区分和老化策略,以及安全策略的改进,如访问控制和内容检测。此外,文章还涵盖了NAT的不同类型、用户认证的分类及其在防火墙配置中的应用,如FTP协议的处理和多出口NAT的配置技巧。
1,会话表;2,状态检测 1,会话表 --- 会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算 HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效率。因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会话表,如果无法创建会话表,则将丢弃该数据流的数据。如果会话表的老化时间过长:会造成系统资源的浪费,同时,有可能导致新的会话表项无法正常建立如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中断,影响业务的转发。不同协议的会话表老化时间是不同
安全策略 --- 1,访问控制(允许和拒绝) 2,内容检测 --- 如果允许通过,则可以进行内容检测
安全策略传统的包过滤防火墙 --- 其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制,执行动作。五元组 --- 源IP,目标IP,源端口,目标端口,协议安全策略 --- 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面是可以完成内容安全的检测。
防火墙的NAT 静态NAT --- 一对一动态NAT --- 多对多 NAPT --- 一对多的NAPT --- easy ip --- 多对多的NAPT 服务器映射 源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网 目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器 双向NAT --- 同时转换源IP和目标IP地址
Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以选择免认证,不做认证。匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录。
登录名 --- 作为登录凭证使用,一个认证域下不能重复显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也可以不用写显示名。显示名可以重复。账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙不会强制下线该用户。允许多人同时使用该账号登录 私有用户 --- 仅允许一个人使用,第二个人使用时,将顶替到原先的登录 公有用户 --- 允许多个人同时使用一个账户 IP/MAC绑定 --- 用户和设备进行绑定(IP地址/MAC地址)单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他用户可以在该设备下登录双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。
用户认证 --- 上网行为管理的一部分用户,行为,流量 --- 上网行为管理三要素用户认证的分类上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi 后,需要进行认证才能正常使用网络。接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的认证方式本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可单点登录 --- 和第三方服务器认证类似。
防火墙的用户认证防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限
ASPF FTP --- 文件传输协议 FTP协议是一个典型的C/S架构的协议 Tftp --- 简单文件传输协议 1,FTP相较于Tftp存在认证动作 2,FTP相较于Tftp拥有一套完整的命令集 FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用两个端口号20,21 并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式
多出口NAT 源NAT 第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT 第二种:出去还是一个区域,选择出接口来进行转换目标NAT 第一种:也可以分两个不同的区域做服务器映射第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。
配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址不再同一个网段中的场景。)决定了使用的是动态NAT还是NAPT的逻辑。高级 NAT类型 --- 五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出的数据流进行端口转换 三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换在保留地址中的地址将不被用于转换使用
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
