有状态防火墙

对应用协议的状态防火墙支持

通过检查应用协议数据，AS 或多服务 PIC 防火墙可以智能地实施安全策略，并且仅允许所需的最小数据包流量流过防火墙。

防火墙规则是根据接口配置的。默认情况下，状态防火墙允许从接口后面的主机启动的所有会话通过路由器。

状态式防火墙异常检查

状态防火墙将以下事件识别为异常，并将其发送到 IDS 软件进行处理：

• IP 异常：

  • IP 版本不正确。

  • IP 报头长度字段过小。

  • IP 报头长度设置为大于整个数据包。

  • 标头校验和错误。

  • IP 总长度字段短于标头长度。

  • 数据包的 IP 选项不正确。

  • 互联网控制信息协议 （ICMP） 数据包长度错误。

  • 生存时间 （TTL） 等于 0。

• IP 地址异常：

  • IP 数据包源是广播或组播。

  • 陆地攻击（源 IP 等于目标 IP）。

• IP 分段异常：

  • IP 分段重叠。

  • IP 分段丢失。

  • IP 分段长度错误。

  • IP 数据包长度超过 64 KB。

  • 微小碎片攻击。

• TCP 异常：

  • TCP 端口 0。

  • TCP 序列号 0 和标志 0。

  • TCP 序列号 0 和 FIN/PSH/RST 标志集。

  • 组合错误的 TCP 标志（TCP FIN/RST 或 SYN/（URG|FIN|RST）。

  • TCP 校验和错误。

• UDP 异常：

  • UDP 源端口或目标端口 0。

  • UDP 报头长度检查失败。

  • 错误的 UDP 校验和。

• 通过有状态 TCP 或 UDP 检查发现的异常：

  • SYN 后跟 SYN-ACK 数据包，不带来自发起方的 ACK。

  • SYN 后跟 RST 数据包。

  • 不带 SYN-ACK 的 SYN。

  • 非 SYN 第一流数据包。

  • SYN 数据包的 ICMP 无法访问错误。

  • UDP 数据包的 ICMP 无法访问错误。

• 根据状态防火墙规则丢弃的数据包。

如果将有状态异常检测与无状态检测结合使用，IDS 可以为各种攻击提供早期预警，包括：

• TCP 或 UDP 网络探测和端口扫描

• SYN 泛滥攻击

• 基于 IP 分段的攻击，例如 teardrop、bonk 和 boink

配置有状态防火墙规则的匹配方向

每个规则都必须包含一个match-direction语句，用于指定应用规则匹配的方向。要配置应用匹配的位置，请在[edit services stateful-firewall rule rule-name]层次结构级别包含语match-direction句：

如果配置 match-direction input-output，则从两个方向发起的会话可能与此规则匹配。

匹配方向用于通过 AS 或多服务 PIC 的流量。将数据包发送到 PIC 时，会随身携带方向信息。

对于接口服务集，数据包的方向由数据包是进入还是离开应用服务集的接口决定。

使用下一跃点服务集时，数据包的方向由用于将数据包路由到 AS 或多服务 PIC 的接口决定。如果使用内部接口路由数据包，则输入数据包方向。如果使用外部接口将数据包定向到 PIC，则输出数据包方向。有关内部和外部接口的详细信息，请参阅 配置要应用于服务接口的服务集。

在 PIC 上，将执行流量查找。如果未找到流，则执行规则处理。此服务集中的规则将按顺序考虑，直到找到匹配项。在规则处理期间，系统会将数据包方向与规则方向进行比较。仅考虑方向信息与数据包方向匹配的规则。大多数数据包会导致创建双向流。

在状态防火墙规则中配置匹配条件

要配置有状态防火墙匹配条件，请在[edit services stateful-firewall rule rule-name term term-name]层次结构级别包含语from句：

源地址和目标地址可以是 IPv4 或 IPv6。

您可以使用源地址或目标地址作为匹配条件，就像配置防火墙过滤器一样;有关更多信息，请参阅 《路由策略、防火墙过滤器和流量监管器用户指南》。您可以使用通配符值 any-unicast，表示匹配所有单播地址， any-ipv4，表示匹配所有 IPv4 地址，或 any-ipv6，表示匹配所有 IPv6 地址。

或者，您可以通过在[edit policy-options]层次结构级别配置prefix-list语句，然后在状态防火墙规则中包含或 destination-prefix-list 语source-prefix-list句来指定源前缀或目标前缀的列表。有关示例，请参阅配置有状态防火墙规则。

如果省略该 from 术语，则状态防火墙将接受所有流量，并且默认协议处理程序将生效：

• 用户数据报协议 （UDP）、传输控制协议 （TCP） 和互联网控制消息协议 （ICMP） 创建具有预测反向流的双向流。

• IP 创建单向流。

还可以包括在 [edit applications] 层次结构级别上配置的应用程序协议定义;有关更多信息，请参阅 配置应用程序属性。

• 要应用一个或多个特定的应用程序协议定义，请在[edit services stateful-firewall rule rule-name term term-name from]层次结构级别包含applications语句。

• 要应用已定义的一组或多组应用程序协议定义，请在[edit services stateful-firewall rule rule-name term term-name from]层次结构级别包含该application-sets语句。

  注意：

  如果包含指定应用程序协议的语句之一，则路由器将从层次结构级别的相应配置 [edit applications] 派生端口和协议信息;不能将这些属性指定为匹配条件。

在状态防火墙规则中配置作

要配置有状态防火墙作，请在[edit services stateful-firewall rule rule-name term term-name]层次结构级别包含语then句：

您必须包括以下作之一：

• accept—数据包被接受并发送到其目的地。

• accept skip-ids—数据包将被接受并发送到其目标，但将跳过在 MS-MPC 上配置的 IDS 规则处理。

• discard—不接受数据包，也不会进一步处理。

• reject- 不接受数据包并返回拒绝消息;UDP 发送 ICMP 无法访问的代码，TCP 发送 RST。被拒绝的数据包可以被记录或取样。

您可以通过在[edit services stateful-firewall rule rule-name term term-name then]层次结构级别包含syslog语句来选择性地配置防火墙以记录系统日志记录工具中的信息。此语句将覆盖服务集或接口默认配置中包含的任何syslog设置。