主要是为了了解安全区域、安全策略、会话表、Server-map
安全区域
华为防火墙分为四个默认安全区域:
(1)信任区:通过将内网终端用户所在的区域划分为信任区;
(2)不可信区:一般将互联网等不安全的网络划分为不可信区;
(3)非军事区(dmz):通常将内网服务器所在的区域划分为DMZ区;
(4)本地:设备本身,包括设备本身的各个接口;
设备主动发送的消息可以认为是从本地发送的;需要设备响应和处理的消息可以视为本地接收。的默认安全区域无法删除,并且每个安全区域都有固定的优先级。优先级值越大,表示优先级越高。
安全策略
安全策略是防火墙中的策略,用于流量转发和流量中内容的安全集成检测。
当防火墙接收到流量时,它会识别流量的属性(包括五元组,用户、时间段等。)以匹配安全策略。如果能匹配,就会采取相应的行动。
如上图所示,PC访问互联网,符合防火墙安全策略,其操作是允许,因此流量可以通过防火墙。如果操作为“拒绝”,流量将无法通过防火墙。
安全策略由匹配条件、动作、安全配置文件组成。
匹配条件包括五元组(源地址、目的地址、源端口、目的端口、协议)、VLAN、源安全区、目的安全区、用户、时间段等。
安全配置文件:
内容检测包括防病毒、防入侵等。通过引用安全策略中的安全配置文件来实现。
默认情况下,有一个默认的安全策略default。默认安全策略位于策略列表的底部,优先级最低,所有匹配条件为任意,默认情况下禁止该操作。如果配置的策略都不匹配,将匹配默认的安全策略默认值。
会话表
第一个包到达防火墙,创建一个会话表项(如下);防火墙会话表中标记了“http”协议和连接信息,在公共路由表中识别出该流量是转发的;
在防火墙打开状态检测的情况下,只有第一个报文会创建一个会话表项,后续报文如果匹配会话表就可以转发;
会话表老化时间
对于已建立的会话表条目,只有当它不断地被消息匹配时才需要存在。如果长时间没有消息匹配,说明通信双方可能已经断开连接,不再需要会话条目。
为了节省系统资源,系统会在一段时间没有匹配到的条目,即会话条目已经老化后,将其删除。
长连接
对于某些特殊服务,一次对话中两个连续消息之间的间隔可能很长。
例如:
当用户通过FTP下载大文件时,需要很长时间才能在控制信道中继续发送控制消息。用户需要查询数据库服务器上的数据,这些查询的时间间隔比TCP的会话老化时间要长得多。如果只是通过延长这些服务所属的协议的老化时间来解决这个问题,那么一些同样属于这个协议但实际上不需要这么长老化时间的会话,是不会老化很久的。
这会导致大量系统资源被占用,性能下降,甚至无法为其他服务建立会话。因此,需要缩小流量范围来延长老化时间。
长连接功能可以解决这个问题。长连接功能可以为这些特殊流设置较长的老化时间。
Server-map
1.为什么会出现服务器映射表?
由于会话表对哪些消息属于同一流量要求过于严格,一些特殊协议无法正确匹配会话表。
服务器映射表可以解决这个问题。
例如,当使用FTP协议的端口模式传输文件时:
客户端需要主动向服务器发起控制连接;它还要求服务器启动到客户端的服务器数据连接。如果设备上配置的安全策略允许单向消息主动通过,FTP文件传输将无法成功。
2.服务器映射表原理
通常,如果在设备上配置了严格的安全策略,设备将只允许内部网络中的用户单向主动访问外部网络。
为了解决这类问题,FW引入了服务器映射表,用来存储映射关系。
这种映射关系可以是控制数据协商的数据连接关系;或者在NAT中配置地址映射关系;以便外部网络可以通过该设备主动访问内部网络。
在生成服务器映射表之后,如果数据连接匹配服务器映射表条目,则可以由设备正常转发,并且在匹配服务器映射表之后,创建会话以确保后续消息可以根据会话表转发。
3.服务器-映射表消息转发过程
防火墙收到报文后,如果没有命中session表,防火墙进入第一个报文处理流程,查询是否命中server-map表。
如果是,生成会话表并转发报文;如果没有命中,则执行其他分组处理流程。