HCNA Security认证（社会培训）冗余资源 HCNA Security认证（社会培训）冗余资源 防火墙动态地址转换原理.docxVIP

PAGE PAGE 10 防火墙动态地址转换原理 早期包过滤防火墙采取的是“逐包检测”机制，即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率，使包过滤防火墙成为网络中的转发瓶颈。 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。“状态检测”机制 以流量为单位来对报文进行检测和转发，即对一条流量的第一个报文进行包过滤规则检 查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根 据这个“状态”来判断是转发（或进行内容安全检测）还是丢弃。这个“状态”就是我 们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率，已经 成为目前主流的包过滤机制。 防火墙一般是检查IP报文中的五个元素，又称为“五元组”，即源IP地址和目的IP地址，源端口号和目的端口号，协议类型。通过判断IP数据报文的五元组，就可以判断一条数据流相同的IP数据报文。下一代防火墙除了检测五元组，还会检测报文的用户、应用和时间段等。 其中TCP协议的数据报文，一般情况下在三次握手阶段除了基于五元组外，还会计算及 检查其它字段。三次握手建立成功后，就通过会话表中的五元组对设备收到后续报文进 行匹配检测，以确定是否允许此报文通过。 可以看出，对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而通常情况下，通过对一条连接的首包进行检测并建立会话后，该条连接的绝大部分报文都 不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率上有迅速 提升。 对于TCP报文 开启状态检测机制时，首包（SYN报文）建立会话表项。对除SYN报文外的其他报文，如果没有对应会话表项（设备没有收到SYN报文或者会话表项已老化），则予以丢弃，也不会建立会话表项。 关闭状态检测机制时，任何格式的报文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。 对于UDP报文 UDP是基于无连接的通信，任何UDP格式的报文在没有对应会话表项的情况下，只要通过各项安全机制的检查，都可以为其建立会话表项。 对于ICMP报文 开启状态检测机制时，没有对应会话的ICMP应答报文将被丢弃。 关闭状态检测机制时，没有对应会话的应答报文以首包形式处理 会话是状态检测防火墙的基础，每一个通过防火墙的数据流都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值，通过建立动态的 会话表提供域间转发数据流更高的安全性。下一代防火墙在五元组基础上增加用户、应用字段扩展为七元组。 下一代防火墙会话表包括七个元素： 源IP地址 源端口 目的IP地址 目的端口 协议号 用户 应用 PAGE PAGE 14 display firewall session table命令输出信息描述 current total sessions: 当前会话表数统计 telnet/http: 协议名称 VPN:public--public: VPN实例名称，表示方式为：源方向--目的方向 :2855--:23: 会话表信息 display firewall session table verbose命令输出信息描述 current total sessions: 当前会话表数统计 http: 协议名称 VPN:public--public: VPN实例名称，表示方式为：源方向--目的方向 ID: 当前会话ID zone:trust--local:会话的安全区域，表示方式为：源安全区域--目的安全区域 TTL:该会话表项总的生存时间 Left:该会话表项剩余生存时间 Output-interface: 出接口 NextHop:下一跳IP地址 MAC:下一跳MAC地址 --packets:3073 bytes:3251431:该会话入方向的报文数（包括分片）和字节数统计 --packets:2881 bytes:705651:该会话出方向的分片报文数（包括分片）和字节数统计 PolicyName:报文匹配的策略名称 当防火墙收到报文后，根据五元组信息查询会话表，并根据具体情况进行操作。 PAGE PAGE 19 大部分多媒体应用协议（如H.323、SIP）、FTP、netmeeting等协议使用约定的固定端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。传统的包过滤防火墙可以通过配置 ACL过滤规则匹配单通道协议的应用传输，保障内部网络不受攻击，但只能阻止一些使 用固定端口的应用，无法匹配使用协商出随机端口传