HCIE-Security Day12：补充包过滤和安全策略的概念

包过滤技术

对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。使用的主要技术是ACL。

状态检测机制

只对一个连接（一条流）的首包进行包过滤检查，如果首包通过检查，就会建立会话表，后续报文根据会话表快速进行转发，不再通过包过滤技术检测。

防火墙的安全策略

按照一定规则（包过滤）控制设备对流量转发以及对流量进行内容安全一体化（不仅是5元组对于报文合法性的检测而且是分析报文内容特征判断是否为恶意报文如病*毒等）检测的策略。主要用于对跨防火墙的网络互访或者对防火墙本身的访问进行控制。

防火墙安全策略原理

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name p1 
[USG6000V1-policy-security-rule-p1]rule name p2
[USG6000V1-policy-security-rule-p2]rule name p3
[USG6000V1-policy-security]dis this
2022-01-28 15:08:50.000 
#
security-policy
 rule name p1
  (not configure the action)
 rule name p2
  (not configure the action)
 rule name p3
  (not configure the action)
#
return

根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。

防火墙域间转发

查询和创建会话

会话在转发流程中的位置

1、根据报文五元组匹配防火墙会话表，如果匹配成功就进行状态检测，以及安全性检查（如果做了IPS配置的话），并刷新会话表，对报文进行转发。

2、如果没有匹配成功，则进行状态检测判断是否是首包，查路由表是否存在目的地址的路由，有的话，根据报文入接口和路由表中确定的报文出接口确定域间流量方向，根据域间流量方向查相应的安全策略，如果匹配，创建会话，进行转发，如果不匹配，直接丢弃。

查看会话表信息

[USG6000V1]dis firewall session table
2022-01-28 15:48:03.600 
 Current Total Sessions : 1
 bootps  VPN: default --> default  192.168.191.1:68 --> 192.168.191.254:67
[USG6000V1]dis firewall session table verbose
2022-01-28 15:48:12.850 
 Current Total Sessions : 1
 bootps  VPN: default --> default  ID: c487f66beef5cf8231561f40fd8
 Zone: trust --> trust  TTL: 00:02:00  Left: 00:00:21
 Recv Interface: GigabitEthernet0/0/0
 Interface: GigabitEthernet0/0/0  NextHop: 192.168.191.254  MAC: 0050-56f6-a752
 <--packets: 2 bytes: 656 --> packets: 1 bytes: 344
 192.168.191.1:68 --> 192.168.191.254:67 PolicyName: ---

current total sessions：当前会话表数统计

bootp:协议名称

VPN:default-->default:VPN实例名称，表示方式为：源方向-->目的方向

192.168.191.1：68-->192.168.191.254:67:会话表信息

ID:当前会话id

zone：trust-->trust:会话的安全区域，表示方式为：源安全区域-->目的安全区域

TTL:该会话表项总的生存时间

Left：该会话表项剩余生存时间

Output-interface：出接口

NextHop：下一跳ip地址

MAC:下一跳MAC地址