Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新一代服务的状态防火墙概述

服务 PIC 采用一种称为状态防火墙的防火墙。与孤立检查数据包的无状态防火墙相比,有状态防火墙使用从过去的通信和其他应用中获得的状态信息,为新的通信尝试做出动态控制决策,从而提供额外的安全层。

有状态防火墙将相关流量分组到对话中,并决定是否允许建立对话。如果允许对话,则允许对话中的所有流,包括在对话生命周期内创建的流。

好处

通过检查流的应用协议数据,状态防火墙可智能地实施安全策略,并仅允许最低限度所需的数据包流量。

流程和对话

典型的传输控制协议 (TCP) 或用户数据报协议 (UDP) 会话由两个流组成:初始流和响应方流。但是,某些会话(如 FTP 会话)可能包含两个控制流和多个数据流。

流由以下五个属性标识:

  • 源地址

  • 源端口

  • 目标地址

  • 目标端口

  • 协议

状态防火墙规则

状态防火墙规则控制是否允许建立对话。规则由匹配条件和要执行的操作组成。

匹配条件包括方向、源地址、目标地址以及应用协议或服务。除了您配置的特定值之外,您还可以分配值 anyany-ipv4any-ipv6,也可以使用 address-bookservices 定义地址列表和范围,以便在状态防火墙规则中使用。最后,您可以指定导致应用规则 not 的匹配项。

状态防火墙规则中的操作包括允许流量或丢弃流量。

有状态防火墙规则是方向性的。对于每个新会话,路由器软件都会确定初始流方向是否与规则方向匹配。

有状态防火墙规则是有序的。软件将按照配置中包含规则的顺序检查规则。软件首次查找流的匹配规则时,路由器将实施该规则指定的操作,并忽略后续规则。

有状态防火墙规则是根据接口配置的。默认情况下,状态防火墙允许从接口后面的主机启动的所有会话通过路由器。

状态式防火墙异常检查

状态防火墙将以下事件识别为异常,并将其发送到 IDS 软件进行处理:

  • IP 异常:

    • IP 版本不正确。

    • IP 报头长度字段过小。

    • IP 报头长度设置为大于整个数据包。

    • 标头校验和错误。

    • IP 总长度字段短于标头长度。

    • 数据包的 IP 选项不正确。

    • 互联网控制信息协议 (ICMP) 数据包长度错误。

    • 生存时间 (TTL) 等于 0。

  • IP 地址异常:

    • IP 数据包源采用广播或组播模式。

    • 陆地攻击(源 IP 等于目标 IP)。

  • IP 分段异常:

    • IP 分段重叠。

    • IP 分段丢失。

    • IP 分段长度错误。

    • IP 数据包长度超过 64 KB。

    • 微小碎片攻击。

  • TCP 异常:

    • TCP 端口 0。

    • TCP 序列号 0 和标志 0。

    • TCP 序列号 0 和 FIN/PSH/RST 标志集。

    • 组合错误的 TCP 标志(TCP FIN/RST 或 SYN/(URG|FIN|RST)。

    • TCP 校验和错误。

  • UDP 异常:

    • UDP 源端口或目标端口 0。

    • UDP 报头长度检查失败。

    • 错误的 UDP 校验和。

  • 通过有状态 TCP 或 UDP 检查发现的异常:

    • SYN 后跟 SYN-ACK 数据包,不带来自发起方的 ACK。

    • SYN 后跟 RST 数据包。

    • 不带 SYN-ACK 的 SYN。

    • 非 SYN 第一流数据包。

    • SYN 数据包的 ICMP 无法访问错误。

    • UDP 数据包的 ICMP 无法访问错误。

  • 状态防火墙规则丢弃的数据包。