《华为HCIE安全认证》学习笔记 | 状态监测与会话表技术

Posted 2021-09-12 COCOgsta

学习视频来源：《乾颐堂HCIP-HCIE-security安全 2019年录制》

 

• 防火墙根据会话表转发
  • 有会话表，匹配会话表转发
  • 没有会话表，根据符合条件来创建会话
    • 条件：首包 -- 如何判定首包 -- 状态检测
    • 首包：针对TCP和ICMP
      • TCP：SYN -- 首包
      • ICMP：Echo request -- 首包
    • 默认情况防火墙开启状态检测，firewall session link-state check

 

 

• 来回路径不一致的，需要关闭状态检测（SACG）
• 开启防攻击（Anti-ddos、单包攻击）功能后，一定不能关闭状态检测

 

• 穿越防火墙和到达防火墙的会话
• 会话表细节

• 会话表在什么情况下老化？
  • 没有流量通过，老化时间到了
  • 防火墙检测有病毒，会加入黑名单，会话表立刻老化
  • 第一个收到FIN的，老化时间为900s，第二次收到FIN，老化时间为10s
• 总结：
  • TCP老化时间为20min
  • UDP老化时间为2min
  • ICMP老化时间为20s
  • HTTPS老化时间为10min
  • syn老化时间为5s
  • syn+ack老化时间为5s
  • acl老化时间为20min

 

 会话生成前

•  MAC -- IP -- IP/MAC -- 入接口的带宽 -- 单包攻击

会话中

• 没有会话表
  • 根据首包创建会话
    • 状态检测
      • 默认开启 TCP和ICMP
    • 黑名单 -- （网络攻击内容中）
      • 源地址在黑名单中，匹配了黑名单，不会创建会话表
    • Server-map -- 服务映射
      • ASPF -- 产生的server-map可以加载到会话表，后续流量匹配会话表转发
        • 多通道协议 FTP SIP
        • STUN类型的 QQ MSN
      • NAT -- 产生的server-map没有临时安全策略的功能，只能做映射关系
        • NO_PAT 一对一静态转换
        • 服务器映射（NAT-Server）
          • 202.100.1.100 -- 192.168.1.1
          • 同时也做真正的转换
        • 服务器负载均衡SLB
    • 在线用户
      • 匹配用户名和IP地址
    • 应用关联
      • display protocol-identify all
    • 路由表
      • 下一跳 出接口
    • 认证策略
      • 匹配条件：源目区域 源目地址
      • 动作：认证、不认证
    • 用户首包处理（会话认证）
    • 安全策略
      • 匹配条件
      • 动作
      • 内容安全
    • 源NAT -- 匹配映射关系，没有做源转换
      • no_pat、NAPT、easy_ip、smart nat（USG 9500）、三元组（USG 9500）
      • 10.1.1.1 -- 202.100.1.200
    • 连接数限制
      • 带宽管理 -- 带宽通道
  • 真正创建会话表
• 有会话表
  • 刷新在线用户
  • 基于流攻击
  • 状态检测
    • 作用
      • 通过后续报文，知道具体是什么应用
      • 首包安全，不代表后续报文安全
  • 会话刷新
    • 有会话刷新
      • 什么情况下会引发会话刷新？
        • 路由表发生变化
        • 安全策略发生变化
        • 在线用户发生变化
        • 认证策略发生变化
      • 服务器负载均衡
      • 路由表
      • 安全策略
      • 黑名单
      • 用户重定向
    • 没有会话刷新
      • 服务器负载均衡（SLB）

会话后

 

 

• 带宽策略
• 安全策略内容安全
• 源NAT处理（真正的源地址转换）
• VPN
• 出接口的带宽