状态检测防火墙原理 PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
协议 TCP
协议 TCP
Session: TCP 192.168.1.1:20000 1.1.1.1:23
查看会话表信息
<USG> display firewall session table verbose Current total sessions: 1
icmp VPN: public --> public Zone: trust --> untrust Slot: 8 CPU: 0 TTL: 00:00:20 Left: 00:00:19 Interface: GigabitEthernet6/0/0 Nexthop: 107.255.255.10 <--packets: 134 bytes: 8040 -->packets: 134 bytes: 8040
防火墙安全策略
定义
安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制
机制。 规则的本质是包过滤。
规则1:允许 192.168.1.1 访问Internet
Trust区域
Untrust区域
主要应用
对跨防火墙的网络互访进行控制 对设备本身的访问进行控制
规则2:不允许 192.168.1.2 访
入数据流
防火墙安全策略作用:
出数据流பைடு நூலகம்
根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出 的流量如何进行下一步操作。
安全策略分类
域间安全策略 域内安全策略 接口包过滤
Outbount Inbount
G0/0/0
Outbount
Trust区域
Untrust区域
Inbount
源地址转换 (NAT)
创建正反向会话
基于会话的连 接速率限制
会话刷新 检测
IP地址转换
ASPF处理
防火墙基本转发处理流程
报文分发
实现包过滤的核心技术是访问控制列表。
内部网络 公司总部
Internet
办事处 未授权用户
包过滤的基础是什么?
TCP/IP数据包示意(图中IP所承载的上层协议为TCP/UDP)
MAC报头
IP报头
TCP/UDP报头
数据
协议号 源地址 目的地址
协议号 源地址 目的地址
源端口 目的端口
对于TCP/UDP来说, 这5个元素组成了一个 TCP/UDP连接,访问 控制列表就是利用这 些元素所定义的规则。
Trust区域
G0/0/0
G0/0/1
目录
1. 包过滤技术基础 2. 防火墙转发原理 3. 防火墙安全策略及应用
防火墙域间转发
Trust区域
Untrust区域
客户端
防火墙
查路由表,基于接口所属域间及方向,查域间包过滤规则
未命中会话表 执行首包流程
Policy0:permit源为192.168.168.0 Policy1:deny源为192.168.100.0
问Internet
防火墙安全策略的原理
步骤1: 入数据流经过防火墙
防火墙安全策略
Policy 0:允许A后续操作 Policy 1:拒绝B后续操作
步骤2: 查找防火墙安全策略 判断是否允许下一步操作
默认策略操作
步骤3:
防火墙根据安全策略定义规 则对数据包进行处理
BBAABBBAAAA
AA AAAA
Server 1.1.1.1:23
Client Server
源IP地址 192.168.1.1
Server Client 源IP地址 1.1.1.1
源端口 20000
源端口 23
命中会话表 该报文通过
目的IP地址 1.1.1.1
目的端口 23
目的IP地址 192.168.1.1
目的端口 20000
状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通 过设备也可以生成会话表项。
Host 10.0.0.1
Server 20.0.0.1
10.0.0.1 20.0.0.1 TCP SYN
10.0.0.1 20.0.0.1 TCP ACK’
会话表项
Host 192.168.1.1:20000 创建会话表
第三章 防火墙安全策略
目标
学完本课程后,您将能够:
理解防火墙包过滤技术 理解防火墙转发原理 理解防火墙安全策略 掌握防火墙安全策略配置
目录
1. 包过滤技术基础 2. 防火墙转发原理 3. 防火墙安全策略及应用
包过滤技术
对需要转发的数据包,先获取包头信息,然后和设定的规则进行比 较,根据比较的结果对数据包进行转发或者丢弃。
……
缺省域间包过滤规则为禁止
服务器
命中会话表 执行后续包流程
非首包,查找会话表
查询和创建会话
查询会话表
匹配会 话表
是 安全性检查
否
检查是否可 以创建会话
查看Server Map 表
查找路由表
包过滤规则
创建会话表
刷新会话表 转发报文
NAT
状态检测机制
状态检测机制开启状态下,只有首包通过设备才能建立会话表项, 后续包直接匹配会话表项进行转发。
107.229.15.100:1280 --> 107.228.10.100:2048
会话在转发流程中的位置
解析帧头
解析IP头 IP头验证
查会话表 首包 黑名单过滤
基于首包的单 包攻击防范
ServerMap查找 NAT Server处理
正向路由查找
获取域间关 系
后续包
包过滤
基于目的IP和域的 FLOOD攻击防范