防火墙状态检测及会话表技术

今天继续给大家介绍华为系列防火墙。本文主要内容是华为USG6000系列防火墙的状态检测及会话表技术。

一、防火墙数据转发流程概述

在防火墙收到一个数据报文后,处理和转发流程一共可以分为三个阶段:
1、查询会话表前的基本处理。
2、首包建立会话,非首包查询会话。
3、对查询会话后的报文进行处理。
具体处理流程如下图所示:
防火墙状态检测及会话表技术

二、防火墙状态检测机制

目前的华为下一代防火墙,所采用的技术都是状态检测机制,所谓状态检测机制,就是指在配置策略的时候,不需要考虑具体业务的收发,只需要考虑业务的首包即可。所谓首包,就是值数据协议的第一个数据包。
防火墙在处理数据包时,会首先查看该数据包是否为一个首包,如果是一个首包,并且安全策略为允许的话,就会为该流量建立一个会话表,该流量其他的数据包就可以根据会话表而不是安全策略转发了。
例如,如果要配置允许Trust区域PING Untrust区域。则在防火墙策略配置的时候,只需要配置Trust区域到Untrust区域的ICMP协议为允许即可,而不需要考虑ICMP Reply报文需要从Untrust区域发到Trust区域。
在状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。在状态检测机制关闭状态下,即使首包没有经过防火墙,后续包只需要通过防火墙也可以生成会话表项。
在开启或关闭状态下,防火墙对各类报文的处理原则如下:(前提是防火墙安全策略允许通过)

协议 开启状态检测功能 关闭状态检测功能
TCP SYN+防火墙状态检测及会话表技术
2、查看防火墙丢包原因
执行命令:

display firewall statistics system discard  

可以查看防火墙的丢包原因,查询结果如下所示:
防火墙状态检测及会话表技术
3、关闭状态检测
在设置网络环境来回路径不一致时,需要关闭防火墙状态检测机制,命令如下:

undo firewall session link-state check 

原创不易,转载请说明出处:https://blog.