HCIE-Security Day12:补充包过滤和安全策略的概念
包过滤技术
对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。使用的主要技术是ACL。
状态检测机制
只对一个连接(一条流)的首包进行包过滤检查,如果首包通过检查,就会建立会话表,后续报文根据会话表快速进行转发,不再通过包过滤技术检测。
防火墙的安全策略
按照一定规则(包过滤)控制设备对流量转发以及对流量进行内容安全一体化(不仅是5元组对于报文合法性的检测而且是分析报文内容特征判断是否为恶意报文如病*毒等)检测的策略。主要用于对跨防火墙的网络互访或者对防火墙本身的访问进行控制。
防火墙安全策略原理
[USG6000V1]security-policy [USG6000V1-policy-security]rule name p1 [USG6000V1-policy-security-rule-p1]rule name p2 [USG6000V1-policy-security-rule-p2]rule name p3 [USG6000V1-policy-security]dis this 2022-01-28 15:08:50.000 # security-policy rule name p1 (not configure the action) rule name p2 (not configure the action) rule name p3 (not configure the action) # return
根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。
防火墙域间转发
查询和创建会话
会话在转发流程中的位置
1、根据报文五元组匹配防火墙会话表,如果匹配成功就进行状态检测,以及安全性检查(如果做了IPS配置的话),并刷新会话表,对报文进行转发。
2、如果没有匹配成功,则进行状态检测判断是否是首包,查路由表是否存在目的地址的路由,有的话,根据报文入接口和路由表中确定的报文出接口确定域间流量方向,根据域间流量方向查相应的安全策略,如果匹配,创建会话,进行转发,如果不匹配,直接丢弃。
查看会话表信息
[USG6000V1]dis firewall session table 2022-01-28 15:48:03.600 Current Total Sessions : 1 bootps VPN: default --> default 192.168.191.1:68 --> 192.168.191.254:67 [USG6000V1]dis firewall session table verbose 2022-01-28 15:48:12.850 Current Total Sessions : 1 bootps VPN: default --> default ID: c487f66beef5cf8231561f40fd8 Zone: trust --> trust TTL: 00:02:00 Left: 00:00:21 Recv Interface: GigabitEthernet0/0/0 Interface: GigabitEthernet0/0/0 NextHop: 192.168.191.254 MAC: 0050-56f6-a752 <--packets: 2 bytes: 656 --> packets: 1 bytes: 344 192.168.191.1:68 --> 192.168.191.254:67 PolicyName: ---
current total sessions:当前会话表数统计
bootp:协议名称
VPN:default-->default:VPN实例名称,表示方式为:源方向-->目的方向
192.168.191.1:68-->192.168.191.254:67:会话表信息
ID:当前会话id
zone:trust-->trust:会话的安全区域,表示方式为:源安全区域-->目的安全区域
TTL:该会话表项总的生存时间
Left:该会话表项剩余生存时间
Output-interface:出接口
NextHop:下一跳ip地址
MAC:下一跳MAC地址
相关文章
- 你想知道的动态URL、静态URl、伪静态URL概念及区别都在这里!
- Linux 中“一切都是文件”概念和相应的文件类型
- 机器学习笔记 - 探索性数据分析(EDA) 概念理解
- Atitit mvc之道 attilax著 1. Atitti mvc的几大概念2 1.1. Dispatcher Controller2 1.2. 声明式渲染2 1.3. 条件与循环
- atitit.软件开发概念--过滤和投影 数据操作
- BigData:数据中台相关术语概念简介—数据域/业务过程/业务域/指标字典/指标类型/原子指标/派生指标/度量/维度/维度属性/时间周期/修饰词/修饰类型等之详细攻略
- 【大数据&人工智能】统计学入门——数据科学领域最需要了解的统计学基础概念
- 【Linux 内核】进程管理 ( 进程特殊形式 | 内核线程 | 用户线程 | C 标准库与 Linux 内核中进程相关概念 | Linux 查看进程命令及输出字段解析 )
- C++标准模板库(STL)的概念
- 【云原生 • Kubernetes】认识 k8s、k8s 架构、核心概念点介绍
- 【云原生 | Kubernetes 系列】--Gitops持续交付 ArgoCD 部署与概念