文章目录
一.数据通过防火墙流程
- 防火墙根据报文匹配会话表。
- 若会话表存在进行安全性检测,刷新会话表,最后转发报文。
- 若不存在会话表,防火墙根据首包机制检查是否可创建会话表,若可以创建,则根据上图流程创建;若不符合创建条件则丢弃该报文。
- 会话表创建完成后执行安全检测并转发报文
流程图相关概念解析:
- 首包机制:首包是指逻辑上的第一个数据包并非首个经过防火墙的数据包,如TCP建立连接时逻辑上的首包(SYN)并非(ACK)。
- 查找路由表:若路由不可达则直接丢弃报文。
- 包过滤规则:即防火墙安全策略。
- Sever Map表:下文重点讲解
会话表安全性检测主要检测的内容
-
检测数据包的来源和目的地是否合法。防火墙会验证数据包的源IP地址和目的IP地址是否有效,并对非法的数据包进行阻止。
-
检测数据包的状态是否合法。防火墙会检查数据包的状态,例如建立连接、终止连接等,并阻止非法的连接请求。
-
检测数据包的内容是否合法。防火墙会对数据包的载荷进行检查,以确保不包含可疑或恶意的内容,如病毒、恶意软件等。
-
检测会话表的完整性和一致性。防火墙会检查会话表的状态是否正确,并检测是否存在异常或不一致的会话记录。
-
检测会话表的溢出。防火墙会监控会话表的使用情况,并检测是否存在表溢出的情况,以避免攻击者利用溢出漏洞进行攻击。
-
检测会话表的访问控制。防火墙会对会话表的访问进行权限控制,以确保只有经过授权的用户可以访问和修改会话表的内容
二.FTP 协议概述
FTP(文件传输协议)是一个用于在计算机网络上进行文件传输的协议。它是一种基于客户端-服务器架构的标准协议(C/S架构),用于在计算机之间传输文件。
FTP 协议使用两个端口来进行传输:一个用于控制进程(21端口),另一个用于数据连接进程(20端口)。控制连接主要用于发送命令和接收服务器的响应,而数据连接则用于实际的文件传输。
FTP 协议支持两种模式的传输:主动模式和被动模式。在主动模式下,客户端向服务器发送连接请求,并在数据传输时监听一个随机端口。在被动模式下,服务器会在被请求时打开一个随机的高端口,并将其告知客户端。客户端在接收数据时使用该端口进行连接。
FTP 协议模式
主动模式:
被动模式 :
抓包分析
主动模式(PORT)
注:FTP服务器主动/被动模式传输数据时,用于建立TCP会话的端口号为随机值,因此防火墙开启状态检测后,网络管理原无法得知该端口号的准确值从而无法精准的开放对应端口号用于建立会话表,为解决上述问题,防火墙存在ASPF机制,用来抓取多通道协议(存在多个端口的协议)中协商端口的关键数据包,之后,将端口算出(上图随机端口:256*8+2=2050)并将结果记录在sever-map表中相当于开辟了一条隐形的通道。
Server-Map表
- 查看 Server-Map表 命令
[USG6000V1]display firewall server-map