学习视频来源:《乾颐堂HCIP-HCIE-security安全 2019年录制》
?
- 防火墙根据会话表转发
- 有会话表,匹配会话表转发
- 没有会话表,根据符合条件来创建会话
- 条件:首包 -- 如何判定首包 -- 状态检测
- 首包:针对TCP和ICMP
- TCP:SYN -- 首包
- ICMP:Echo request -- 首包
- 默认情况防火墙开启状态检测,firewall session link-state check
?
?
- 来回路径不一致的,需要关闭状态检测(SACG)
- 开启防攻击(Anti-ddos、单包攻击)功能后,一定不能关闭状态检测
?
- 穿越防火墙和到达防火墙的会话
- 会话表细节
- 会话表在什么情况下老化?
- 没有流量通过,老化时间到了
- 防火墙检测有病毒,会加入黑名单,会话表立刻老化
- 第一个收到FIN的,老化时间为900s,第二次收到FIN,老化时间为10s
- 总结:
- TCP老化时间为20min
- UDP老化时间为2min
- ICMP老化时间为20s
- HTTPS老化时间为10min
- syn老化时间为5s
- syn+ack老化时间为5s
- acl老化时间为20min
?
?会话生成前
- ?MAC -- IP -- IP/MAC -- 入接口的带宽 -- 单包攻击
会话中
- 没有会话表
- 根据首包创建会话
- 状态检测
- 默认开启 TCP和ICMP
- 黑名单 -- (网络攻击内容中)
- 源地址在黑名单中,匹配了黑名单,不会创建会话表
- Server-map -- 服务映射
- ASPF -- 产生的server-map可以加载到会话表,后续流量匹配会话表转发
- 多通道协议 FTP SIP
- STUN类型的 QQ MSN
- NAT -- 产生的server-map没有临时安全策略的功能,只能做映射关系
- NO_PAT 一对一静态转换
- 服务器映射(NAT-Server)
- 202.100.1.100 -- 192.168.1.1
- 同时也做真正的转换
- 服务器负载均衡SLB
- ASPF -- 产生的server-map可以加载到会话表,后续流量匹配会话表转发
- 在线用户
- 匹配用户名和IP地址
- 应用关联
- display protocol-identify all
- 路由表
- 下一跳 出接口
- 认证策略
- 匹配条件:源目区域 源目地址
- 动作:认证、不认证
- 用户首包处理(会话认证)
- 安全策略
- 匹配条件
- 动作
- 内容安全
- 源NAT -- 匹配映射关系,没有做源转换
- no_pat、NAPT、easy_ip、smart nat(USG 9500)、三元组(USG 9500)
- 10.1.1.1 -- 202.100.1.200
- 连接数限制
- 带宽管理 -- 带宽通道
- 状态检测
- 真正创建会话表
- 根据首包创建会话
- 有会话表
- 刷新在线用户
- 基于流攻击
- 状态检测
- 作用
- 通过后续报文,知道具体是什么应用
- 首包安全,不代表后续报文安全
- 作用
- 会话刷新
- 有会话刷新
- 什么情况下会引发会话刷新?
- 路由表发生变化
- 安全策略发生变化
- 在线用户发生变化
- 认证策略发生变化
- 服务器负载均衡
- 路由表
- 安全策略
- 黑名单
- 用户重定向
- 什么情况下会引发会话刷新?
- 没有会话刷新
- 服务器负载均衡(SLB)
- 有会话刷新
会话后
?
?
- 带宽策略
- 安全策略内容安全
- 源NAT处理(真正的源地址转换)
- VPN
- 出接口的带宽