華為防火牆技術漫淡_1.5狀態檢測和會話機制

華為防火牆技術漫淡_1.5狀態檢測和會話機制
狀態檢測

狀態檢測防火牆出現是防火牆發展歷史上里程碑的事件,而其所使用的狀態檢測和會話機制,目前已經成為防火牆產品的基本功能,也是防火牆實現安全防護的基礎技術。

在狀態檢測防火牆出現之前,包過濾防火牆只根據設定好的靜態規則來判斷是否允許報文通過,它認為報文都是無狀態的孤立個體,不關注報文產生的前因後果,這就要求包過濾防火牆必須針對每一個方向上的報文都配置一條規則,轉發效率低下而且容易帶來安全風險。
而狀態檢測防火牆的出現正好彌補了包過濾防火牆的這個缺陷。狀態檢測防火牆使用基於連線狀態的檢測機制,將通訊雙方之間互動的屬於同一連線的所有報文都作為整個的資料流來對待。在狀態檢測防火牆看來,同一個資料流內的報文不再是孤立的個體,而是存在聯絡的。例如,為資料流的第一個報文建立會話,資料流內的後續報文就會直接匹配會話轉發,不需要再進行規則的檢查,提高了轉發效率。
會話
華為防火牆技術漫淡_1.5狀態檢測和會話機制
FW配置
interfaceGigabitEthernet0/0/1
ip address192.168.0.254 255.255.255.0
#
interfaceGigabitEthernet0/0/2
ip address172.16.0.254 255.255.255.0
firewall zone trust
set priority 85
add interfaceGigabitEthernet0/0/0
add interfaceGigabitEthernet0/0/1
policy interzone trust untrust outbound
policy 10
actionpermit
policy serviceservice-set http
policy serviceservice-set icmp
policy source192.168.0.1 0
policy destination172.16.0.1 0
displayfirewall session table
13:13:27 2017/06/29
Current Total Sessions : 1
http  VPN:public --> public192.168.0.1:2052-->172.16.0.1:80
  • http 表示協議( 此處顯示的是應用層協議)
  • 192.168.0.1表示源地址
  • 2052表示源埠
  • 172.16.0.1表示目的地址
  • 80表示目的埠
“–>”符號前面的是源,符號後面的是目的。
源地址、源埠,目的地址,目的埠和協議這5個元素是會話的重要資訊,稱之為“五元組”。只要這5個元素相同的報文即可認為屬於同一條流,在防火牆通過這5個元素就可以唯一確定一條連線。
display firewall session tableverbose
13:22:55 2017/06/29
Current TotalSessions : 1
http VPN:public --> public
Zone:trust--> untrust  TTL: 00:00:10 Left: 00:00:06
Interface:GigabitEthernet0/0/2  NextHop: 172.16.0.1 MAC: 54-89-98-18-71-4c
<--packets:4 bytes:471   -->packets:6bytes:400
192.168.0.1:2053-->172.16.0.1:80
  • Zone:表示報文在安全區域之間流動的方向,trust–>untrust表示報文是從trust區域流向untrust區域
  • TTL:表示該會話的老化時間,這個時間到期後,這條會話也將會被清除。
  • Left:表示該會話剩餘的生存時間。
  • Interface:表示報文的出介面,報文從這人介面發出。
  • NextHop:表示報文去往下一跳的IP地址。
  • MAC:表示報文去往的下一跳的MAC地址。
  • <–packets:4bytes:471:表示會話反向方向上的報文統計資訊,即Web伺服器向PC發往報文的個數和位元組數。
  • –>packets:6bytes:400:表示會話正向方向的報文統計資訊,即PC向Web伺服器傳送的報文的個數和位元組數。
調整http老化時間為600s
[FW]firewall session aging-time service-set http 600
長連線
網路中還有一種型別的業務,一條連線上的兩個連續報文可能間隔時間很長,最具代表性的就是SQL資料庫業務。使用者查詢SQL資料庫伺服器上的資料時,查詢操作的時間間隔可能會遠大於SQL資料庫業務的會的老化時間。防火牆上該業務的會話老化之後,就會出現使用者訪問SQL資料庫變慢或者無法繼續查詢的問題。
僅支援tcp協議型別。
acl number 3000
rule 5 permittcp source 192.168.0.1 0 destination 172.16.0.2 0destination-por
t eq sqlnet
#
firewall interzone trustuntrust
long-link 3000 outbound
關閉狀態檢測功能
undo firewall session link-state check