包过滤防火墙:又被称为三层防火墙,笼统认为与ACL无异,针对IP包头拆开源IP与目的IP,原端口与目的端口进行匹配。
状态化防火墙:防火墙维护一个状态化记录表(默认只维护tcp/udp),当防火墙收到一个不在状态表中的包时,他会与过滤规则进行比较,不管这个包是syn,ack或者是其他什么包,如果过滤规则允许接受这个会话,那么这个会话就被加入转态连接表中去,后续的包都会与状态化连接表比较,如果会话在状态连接表中,则不再与过滤规则进行比较,状态化表大大减轻了防火墙的匹配规则资源,降低了使用性能。
状态检测机制
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。
状态检测机制关闭状态下,即使首包没有经过设备,后续宝只要通过设备也可以生成会话表项。
对于TCP报文
开启状态检测机制时,首包(SYN报文)建立会话表项。对除SYN报文以外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或者会话表项已经老化),则予以丢弃,也不会建立会话表项。
关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于UDP报文
由于UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于ICMP报文
开启状态检测机制时,没有对应会话表项的ICMP应答报文将被丢弃。
关闭状态检测机制时,没有对应会话表项的ICMP应答报文将以首包形式处理
转载于https://www.freebuf.com/articles/network/255486.html
状态检测"机制,是以流量为单位 来对报文进行检测和转发,即:对一条流量的第一个报文(首包)进行包过滤规则检查,第一次来的包(防火墙可以区分是去的,还是回的),并将判断结果作为该条流量的"状态"记录进会话表项,建立两个缓存的session(一个去包缓存、一个回包缓存),后续属于同一数据流的数据包匹配缓存表后放行
基于状态检测防火墙组成
在基于状态检测的防火墙中,有两张表:规则表 和 状态表(会话表)
规则表
规则表表示了防火墙的过滤规则
规则表由 六元组构成
| sa | da | sp | dp | protocol_type | direction |
| 源地址 | 目的地址 | 源端口 | 目的端口 | 协议类型 | 数据流方向 |
状态表
状态表表示了数据包连接的属性
状态表由 九元组构成
| protocol_type | state | sequence_number | Timeout | N |
| 协议类型 | 该次连接的状态 | TCP包序列号(其他此处为空) | 该次连接超时值 | 连接以通过数据包个数 |
前四项与规则表一致,此处省略
protocol_type:分为TCP、UDP、ICMP、其他协议
TCP数据包的检测流程
TCP是基于连接的协议,通过三次握手确保数据的稳定传输
在TCP连接首次建立的过程中:
- 发起连接的SYN报文只通过规则表的检查,
- 其余报文(非SYN数据包)则需要通过状态表的匹配
状态检测接口接收到 TCP 数据包后:
1:首先对 TCP 包进行完整性检查
和流量检查: 通过检查来判断数据包长度是否相等、物理地址是否正确等等
2:其次判断是否是 SYN 连接
3:若为SYN首包,由于TCP连接通过三次握手建立(SYN->SYN/ACK->ACK),所以在确认SYN为三次握手的首包,并匹配规则表后,会建立一个临时的"连接未完成表"——Pending表,Pending表是为还未进行的两次握手(SYN/ACK,ACK)建立的临时表,从而避免了后续的握手包还需要经过规则表匹配,提高效率
相关攻击及防御措施
伪造TCP报文防护
为了防止攻击者伪造TCP报文,攻击者可以伪造成与正常用户一样的6元组,这时需要通过9元组中的参数N,对TCP报文的序号(为了保证传输的可靠性,TCP对每一个报文都进行了编号,攻击者无从伪造编号)进行检测
SYN Flood攻击防护
为了防止SYN Flood等DDOS攻击,需要对超时时间进行限制(状态表九元组中Timeout表项),对超时未建立连接的SYN报文即使丢弃
954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
