状态化防火墙
状态化防火墙维护一个关于用户信息的连接表, 称为 Conn 表
Conn 表中的关键信息
源 IP 地址
目的 IP 地址
IP 协议(例如 TCP 或 UDP)
IP 协议信息(例如 TCP/UDP 端口号, TCP 序列号, TCP 控制位)
默认情况下, ASA 对 TCP 和 UDP 协议提供状态化连接, 但 ICMP 协议是非状态化的
状态化防火墙
状态化防火墙进行状态化处理的过程
Conn 表 | ||||||||
Inside IP Address | IP Protocol | Inside Port | Outside IP Address | Outside Port | ||||
10.1.1.1 | TCP | 12000 | 172.16.1.1 | 80 |
10.1.1.1Inside | Outside 172.16.1.1 |
PC |
发起 HTTP 请求 防火墙将连接信息添加到 Conn 表
状态化防火墙
状态化防火墙进行状态化处理的过程
Conn 表 | ||||||||
Inside IP Address | IP Protocol | Inside Port | Outside IP Address | Outside Port | ||||
10.1.1.1 | TCP | 12000 | 172.16.1.1 | 80 |
10.1.1.1Inside | Outside 172.16.1.1 | |||||||||||
PC | Web | |||||||||||
发起 HTTP 请求 转发 HTTP 请求
服务器响应请求
状态化防火墙
状态化防火墙进行状态化处理的过程
Conn 表 | ||||||||
Inside IP Address | IP Protocol | Inside Port | Outside IP Address | Outside Port | ||||
10.1.1.1 | TCP | 12000 | 172.16.1.1 | 80 |
10.1.1.1Inside | Outside 172.16.1.1 | |||||||||||
PC | Web | |||||||||||
发起 HTTP 请求 | 转发 HTTP 请求 | |||||||||||
防火墙拦截该流量,并检查其连接信息 |
在 Conn 表中找到
匹配信息, 流量 服务器响应请求
被允许
状态化防火墙进行状态化处理的过程
Conn 表 | ||||||||
Inside IP Address | IP Protocol | Inside Port | Outside IP Address | Outside Port | ||||
10.1.1.1 | TCP | 12000 | 172.16.1.1 | 80 |
10.1.1.1Inside | Outside 172.16.1.1 | |||||||||||
PC | Web | |||||||||||
发起 HTTP 请求 | 转发 HTTP 请求 | |||||||||||
防火墙拦截该流量,并检查其连接信息 |
在 Conn 表中未找
服务器响应请求
到匹配信息, 流
量被丢弃
安全算法的原理
ASA 使用安全算法执行以下三项基本操作
访问控制列表
? 基于特定的网络主机和服务 (TCP/UDP 端口号) 控制网络访问
连接表
? 维护每个连接的状态信息
? 安全算法使用此信息在已建立的连接中有效转发流量
检测引擎
? 执行状态检测和应用层检测
? 检测规则集是预先定义的, 来验证应用是否遵从每个 RFC 和其他标准
安全算法的原理
数据报文穿越 ASA 的过程
2 | 3 | 4 | ||||
原始报文 | 1 | 5 | ||||
XLATE | ||||||
ACL | 检测 | 返回报文 | ||||
CONN | ||||||
8 | 6 | |||||
7 |
ASA 对原始报文的处理:
1. 一个新来的 TCP SYN 报文到达 ASA, 试图建立一个新的连接
2. ASA 检查访问列表, 确定是否允许连接
3. ASA 执行路由查询, 如果路由正确, ASA 使用必要的会话信息在连接表 (xlate 和 conn 表) 中创建一个新条目
4. ASA 在检测引擎中检查预定义的一套规则, 如果是已知应用, 则进一步执行应用层检测
5. ASA 根据检测引擎确定是否转发或丢弃报文如果允许转发, 则将报文转发到目的主机
安全算法的原理
数据报文穿越 ASA 的过程
2 | 3 | 4 | ||||
原始报文 | 1 | 5 | ||||
XLATE | ||||||
ACL | 检测 | 返回报文 | ||||
CONN | ||||||
8 | 6 | |||||
7 |
ASA 对返回报文的处理:
6. 目的主机响应该报文
7. ASA 接收返回报文并进行检测, 查询连接确定会话信息与现有连接是否匹配
8. ASA 转发属于已建立的现有会话的报文
总结
来源: http://www.bubuko.com/infodetail-2491725.html