有状态防火墙

应用程序协议的有状态防火墙支持

通过检查应用程序协议数据，AS 或多服务 PIC 防火墙可以智能地实施安全策略，并且仅允许最少所需的数据包信息流通过防火墙。

防火墙规则配置在一个接口上。默认情况下，状态防火墙允许从接口后面的主机发起的所有会话通过路由器。

有状态防火墙异常检查

状态防火墙将以下事件识别为异常，并将其发送至 IDS 软件进行处理：

• IP 异常：

  • IP 版本不正确。

  • IP 标头长度字段过小。

  • IP 标头长度设置为大于整个数据包。

  • 坏标头校验和。

  • IP 总长度字段短于标头长度。

  • 数据包的 IP 选项不正确。

  • 互联网控制消息协议 （ICMP） 数据包长度错误。

  • 直播时间 （TTL） 等于 0。

• IP 地址异常：

  • IP 数据包源是广播或组播。

  • 陆地攻击（源 IP 等于目标 IP）。

• IP 分片异常：

  • IP 分片重叠。

  • 错过了 IP 分片。

  • IP 分片长度错误。

  • IP 数据包长度超过 64 千字节 （KB）。

  • 微小的分片攻击。

• TCP 异常：

  • TCP 端口 0。

  • TCP 序列号 0 和标记 0。

  • TCP 序列号 0 和 FIN/PSH/RST 标志集。

  • 组合错误的 TCP 标记（TCP FIN/RST 或 SYN/（URG|FIN|RST）。

  • TCP 校验和坏。

• UDP 异常：

  • UDP 源或目标端口 0。

  • UDP 标头长度检查失败。

  • UDP 校验和不良。

• 通过有状态 TCP 或 UDP 检查发现的异常情况：

  • SYN 之后是来自发起方的无 ACK 的 SYN-ACK 数据包。

  • SYN，然后是 RST 数据包。

  • SYN（无 SYN-ACK）。

  • 非 SYN 第一流数据包。

  • SYN 数据包的 ICMP 无法检测的错误。

  • UDP 数据包的 ICMP 无法检测的错误。

• 根据状态式防火墙规则丢弃的数据包。

如果您结合使用状态异常检测和无状态检测，IDS 可以为各种攻击提供预警，包括：

• TCP 或 UDP 网络探测器和端口扫描

• SYN 泛洪攻击

• 基于 IP 分片的攻击，如 Teardrop、bonk 和 boink

为有状态防火墙规则配置匹配方向

每个规则都必须包含一个match-direction语句，用于指定应用规则匹配的方向。要在应用匹配的位置配置，请在层次结构级别中[edit services stateful-firewall rule rule-name]包含match-direction语句：

如果配置 match-direction input-output，从两个方向启动的会话可能与此规则相符。

匹配方向用于通过 AS 或多服务 PIC 的信息流。将数据包发送至 PIC 时，方向信息随附。

使用接口服务集，数据包方向由数据包是进入还是离开应用服务集的接口来确定。

使用下一跳跃服务集，数据包方向由用于将数据包路由至 AS 或多服务 PIC 的接口确定。如果内部接口用于路由数据包，则数据包方向为输入。如果使用外部接口将数据包定向到 PIC，则数据包方向为输出。有关内部和外部接口的详细信息，请参阅 配置要应用于服务接口的服务集。

在 PIC 上执行流查找。如果未发现流，则执行规则处理。此服务集中的规则将按顺序考虑，直至找到匹配项。在规则处理期间，数据包方向与规则方向进行比较。仅考虑具有与数据包方向匹配的方向的规则。大多数数据包导致产生双向流。

在有状态防火墙规则中配置匹配条件

要配置状态防火墙匹配条件，请在层次结构级别中[edit services stateful-firewall rule rule-name term term-name]包含from语句：

源地址和目标地址可以是 IPv4 或 IPv6。

您可以使用源地址或目标地址作为匹配条件，其方式与配置防火墙过滤器的方式相同;有关详细信息，请参阅 路由策略、防火墙过滤器和流量监管器用户指南。您可以使用通配符值 any-unicast，表示匹配所有单播地址， any-ipv4表示与所有 IPv4 地址匹配，或 any-ipv6表示与所有 IPv6 地址匹配。

或者，您可以在层次结构级别上配置 prefix-list 语句 [edit policy-options] ，然后在状态防火墙规则中包括 destination-prefix-list 语句或语句，从而指定源或 source-prefix-list 目标前缀列表。例如，请参阅 示例：配置状态防火墙规则。

如果省略了 该 from 术语，状态防火墙将接受所有流量，默认协议处理器将生效：

• 用户数据报协议 （UDP）、传输控制协议 （TCP） 和互联网控制消息协议 （ICMP） 可创建预测反向流量的双向流量。

• IP 创建单向流。

您还可以包括您在层次结构级别上配置的 [edit applications] 应用程序协议定义;有关详细信息，请参阅 配置应用程序属性。

• 要应用一个或多个特定应用程序协议定义，请在层次结构级别中[edit services stateful-firewall rule rule-name term term-name from]包含applications语句。

• 要应用您定义的一个或多个应用程序协议定义集，请在层次结构级别中[edit services stateful-firewall rule rule-name term term-name from]包含application-sets语句。

  注意：

  如果包含指定应用程序协议的语句之一，则路由器将从层次结构级别的相应配置 [edit applications] 中获取端口和协议信息;不能将这些属性指定为匹配条件。

在有状态防火墙规则中配置操作

要配置状态式防火墙操作，请在层次结构级别中[edit services stateful-firewall rule rule-name term term-name]包含语then句：

您必须包括以下操作之一：

• accept—数据包被接受并发送至其目标。

• accept skip-ids— 数据包被接受并发送至其目标，但是跳过了在 MS-MPC 上配置的 IDS 规则处理。

• discard—数据包未被接受，也未进一步处理。

• reject—不接受数据包，退回拒绝消息：UDP 发送 ICMP 无法到达的代码，TCP 发送 RST。可记录或采样被拒绝的数据包。

您可以选择性地配置防火墙，通过在层次结构级别中包括 syslog 语句来记录系统日志设备中 [edit services stateful-firewall rule rule-name term term-name then] 的信息。此语句覆盖服务集或接口默认配置中包含的任何 syslog 设置。