防火墙安全策略

目录

一、防火墙安全策略定义

二、防火墙报文处理规则

三、状态检测机制

状态检测开启和关闭的唯一区别

什么时候要关闭状态检测？

多通道协议技术

四、ASPF

1、ASPF的功能

---

一、防火墙安全策略定义

防火墙安全策略定义：安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。（规则的本质还是包过滤）

二、防火墙报文处理规则

防火墙收到一个报文处理原则：

1、查询会话表，看会话表是否匹配会话表流量五元组的会话。

2、有会话进行简单安全性检查，刷新会话表，然后转发。

3、没有会话要检查是否有创建会话的能力（是否是首包，只有首包可以创建会话），是首包的话会查看server map表、查找路由表、查包过滤原则、NAT转换，然后创建会话，创建好会话后转发报文。

三、状态检测机制

状态检测机制：

1、状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

2、状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。

首包特指三个报文：TCP的SYN，所有UDP都是首包，ping的请求包。
?

状态检测开启和关闭的唯一区别

1、开启：只有首包才能创建会话。

2、关闭：所有报文都能创建会话。

什么时候要关闭状态检测？

旁挂和来回路径不一致需要关闭。

查看会话表信息

多通道协议技术

1、单通道协议：通信过程中只需要占用一个端口协议（比如www只需要占用80端口）。

2、多通道协议：通信过程中需要占用两个或两个以上端口协议（比如FTP被动模式下需要占用21号端口以及一个随机端口）。

FTP（文件传输协议）使用TCP：

这两条信道五元组不一样

（1）、控制信道TCP【认证】：

（2）、数据信道TCP【传文件】：在控制信道建立好的基础上创建。

两种建立数据信道模式：

	控制信道	数据信道
主动模式	21	20
被动模式	21	随机端口

（1）主动模式：FTP-server主动向客户端建立数据信道连接。

（2）被动模式：FTP-server被动接受客户端发起的数据信道连接。

防火墙对于FTP这种多通道协议，PC——AF——FTP-server，会导致控制信道可以建立，数据信道因为五元组不一样无法建立，解决这个问题防火墙实现动态策略，因为控制隧道建立完毕后，会发送port Command告诉服务器接下来访问我的哪个端口建立数据信道，防火墙如果可以识别，动态的建立策略放行port Command（携带一个ip和端口）中的端口就可以让数据信道正常建立。

四、ASPF

ASPF：是一种高级通信过滤，它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。

1、ASPF的功能

（1）、识别应用层数据。

（2）、根据应用层数据，产生server-map表。

（3）、后续报文，匹配server-map表，创建会话，直接转发。

server-map表优先级高于防火墙安全策略

ASPF能解决：

（1）、多通道协议穿越防火墙。

（2）、STUN协议穿越防火墙（例如：QQ语音、直播）

server-map表是一个统称，指代的含义不一样：

分片缓存：分片缓存功能用来缓存先于首片分片报文到达的后续分片报文，避免分片报文被防火墙丢弃。