狀態(tài)檢測(cè)防火墻報(bào)文處理流程

創(chuàng)新互聯(lián)公司是網(wǎng)站建設(shè)專家,致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷，專業(yè)領(lǐng)域包括成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、電商網(wǎng)站制作開發(fā)、微信小程序定制開發(fā)、微信營銷、系統(tǒng)平臺(tái)開發(fā)，與其他網(wǎng)站設(shè)計(jì)及系統(tǒng)開發(fā)公司不同，我們的整合解決方案結(jié)合了恒基網(wǎng)絡(luò)品牌建設(shè)經(jīng)驗(yàn)和互聯(lián)網(wǎng)整合營銷的理念，并將策略和執(zhí)行緊密結(jié)合，且不斷評(píng)估并優(yōu)化我們的方案，為客戶提供全方位的互聯(lián)網(wǎng)品牌整合方案！

1. 查詢會(huì)話前的處理過程：基礎(chǔ)處理
2. 查詢會(huì)話中的處理過程：轉(zhuǎn)發(fā)處理，關(guān)鍵是會(huì)話建立
3. 查詢會(huì)話后的處理過程：安全業(yè)務(wù)處理及報(bào)文發(fā)送

---

了解轉(zhuǎn)發(fā)流程之前，先給報(bào)文分個(gè)類

---

1. 協(xié)議報(bào)文：使防火墻正常運(yùn)行于網(wǎng)絡(luò)中，或用于雙機(jī)熱備等功能的協(xié)議報(bào)文，如OSPF，HRP，ICMP等報(bào)文
2. 穿過防火墻的業(yè)務(wù)報(bào)文：用戶經(jīng)過防火墻訪問Internet的報(bào)文，我們通常習(xí)慣稱為業(yè)務(wù)報(bào)文，可能是二層或三層報(bào)文。尤其TCP，UDP最為常見。（二層和三層報(bào)文，轉(zhuǎn)發(fā)流程沒有本質(zhì)區(qū)別，主要差異在于查路由階段，二層報(bào)文根據(jù)MAC地址轉(zhuǎn)發(fā)，三層報(bào)文根據(jù)路由表轉(zhuǎn)發(fā)）

---

做分類是因?yàn)榉阑饓?duì)于這兩類報(bào)文處理流程有所不同。

---

• 對(duì)于協(xié)議報(bào)文，防火墻處理比較特殊，并不適用于通用原則。以O(shè)SPF為例，當(dāng)網(wǎng)絡(luò)類型為Broadcast時(shí)，其DD報(bào)文為單播報(bào)文，需要經(jīng)過防火墻的安全策略檢查。而當(dāng)網(wǎng)絡(luò)類型為P2P時(shí)，其DD報(bào)文為組播報(bào)文，則不需要經(jīng)過防火墻的安全策略檢查，直接被轉(zhuǎn)發(fā)。對(duì)于每個(gè)協(xié)議。防火墻處理并不完全相同。

---

• 對(duì)于業(yè)務(wù)報(bào)文。如TCP首包，UDP等報(bào)文都需要建立會(huì)話。判斷該報(bào)文要?jiǎng)?chuàng)建會(huì)話后，接下來馬上查詢會(huì)話表中是否已創(chuàng)建該報(bào)文的會(huì)話。
• ---對(duì)于不能匹配會(huì)話表中任一表項(xiàng)的報(bào)文，防火墻判斷該報(bào)文為某一流量的首包，進(jìn)入首包處理流程
  ---對(duì)于匹配了會(huì)話表中某一表項(xiàng)的報(bào)文，防火墻判斷該報(bào)文為某一流量的后續(xù)包，進(jìn)入后續(xù)包處理流程

---

查詢會(huì)話表前的基本處理
主要目的是解析出報(bào)文的幀頭部和IP報(bào)文頭部。根據(jù)頭部當(dāng)中的信息進(jìn)行一些基礎(chǔ)的安全檢測(cè)
收到一個(gè)數(shù)據(jù)包：
首先監(jiān)測(cè)是否有配置MAC地址過濾
為什么是先MAC地址過濾再解析幀頭部？.
MAC地址過濾的時(shí)候只是掃描出MAC地址，根據(jù)MAC地址來進(jìn)行MAC地址過濾。后面的解析幀頭部能完整的解析整個(gè)幀頭部。（自我補(bǔ)充：如果兩者位置調(diào)換，只會(huì)徒增設(shè)備的性能消耗，費(fèi)力不討好）
根據(jù)接收?qǐng)?bào)文的接口是二層接口還是三層接口有兩種處理方式：
對(duì)于三層接口接收的報(bào)文，NGFW需要根據(jù)報(bào)文中的目的地址來標(biāo)明路由表，以決定這個(gè)報(bào)文的出接口。所以此類報(bào)文會(huì)在解析和剝離頭部信息后，進(jìn)入后續(xù)的處理。（剝離幀頭部解析IP報(bào)文，是為了確定目的IP，以用做后續(xù)路由表查詢）
對(duì)于二層接口接收的報(bào)文，NGFW需要先判斷這個(gè)幀是否需要跨VLAN轉(zhuǎn)發(fā)，對(duì)于同一VLAN內(nèi)的報(bào)文，NGFW需要根據(jù)報(bào)文中的目的MAC地址查詢MAC地址轉(zhuǎn)發(fā)表，以決定這個(gè)報(bào)文的出接口。對(duì)于需要跨VLAN轉(zhuǎn)發(fā)的報(bào)文，NGFW需要獲取其VLAN ID，找到對(duì)應(yīng)的子接口或者VLAN-IF接口。子接口和VLAN-IF接口是虛擬的三層接口。所以此時(shí)報(bào)文就會(huì)按照類似三層接口接收一樣處理，NGFW根據(jù)報(bào)文中的目的地址來查找路由表，以決定這個(gè)報(bào)文的出接口。
這兩類報(bào)文在提取到所需的信息后，剝離頭部，進(jìn)入后續(xù)的處理
在這個(gè)階段中主要進(jìn)行的特性有：

特性	說明
MAC地址過濾	根據(jù)報(bào)文幀頭部的源MAC和目的MAC對(duì)報(bào)文進(jìn)行過濾
VLAN	VLAN是用戶控制以太幀在局域網(wǎng)泛洪的一種技術(shù)
IP/MAC地址綁定	為了防止IP地址欺騙和ARP類的***，管理員可以配置IP和MAC的對(duì)應(yīng)關(guān)系，此特性可以根據(jù)報(bào)文中攜帶的Ip和MAC信息判斷報(bào)文是否合法并過濾
入接口帶寬閾值	管理員可以在接口上配置接受報(bào)文的帶寬閾值，如果當(dāng)前流量帶寬已經(jīng)超過了閾值，入接口就會(huì)將超出的 報(bào)文丟棄
單包***防范	在獲取報(bào)文的頭部信息后，NGFW就可以根據(jù)管理員開啟的單包***防范類型對(duì)報(bào)文的合法性和安全性進(jìn)行檢測(cè)，判斷報(bào)文 是否屬于***報(bào)文并進(jìn)行過濾

---

查詢會(huì)話表，根據(jù)查詢結(jié)果對(duì)報(bào)文做不同的安全機(jī)制檢測(cè)和處理。
此階段是NGFW的核心處理環(huán)節(jié)，主要的安全功能都在這個(gè)階段實(shí)現(xiàn)。NGFW根據(jù)該報(bào)文是否存在匹配的會(huì)話表項(xiàng)？
不存在匹配的會(huì)話表項(xiàng)（一些特殊的報(bào)文是不創(chuàng)建會(huì)話直接轉(zhuǎn)發(fā)的，例如除了ping的echo和replay的icmp包）
此時(shí)報(bào)文被認(rèn)為是一條流量的首包，進(jìn)入首包處理流程。

---

無會(huì)話
進(jìn)行狀態(tài)檢測(cè)機(jī)制檢測(cè)，判斷該報(bào)文是否屬于正常的可以建立會(huì)話的首包。
（這個(gè)狀態(tài)檢測(cè)是檢查，該步驟是看防火墻是否開啟了狀態(tài)檢測(cè)，NGFW默認(rèn)是開啟的，當(dāng)來回路徑不一致的流量要通過NGFW時(shí)，需要關(guān)閉狀態(tài)檢測(cè)機(jī)制）

---

首包處理流程

1. 匹配黑名單，若報(bào)文源地址命中黑名單，則此報(bào)文被丟棄
2. 查詢Server-map表，若命中，記錄Server-map表中的信息（不做處理，但在3中路由查詢使用的是Server-map表中記錄的轉(zhuǎn)換后的地址）
3. 查看數(shù)據(jù)包有沒有對(duì)應(yīng)的服務(wù)器映射（即目的NAT）數(shù)據(jù)包要先將訪問的目的地址轉(zhuǎn)換后才能進(jìn)一步查路由表，所以這也就解釋了為什么服務(wù)映射階段在查找路由表階段前面
4. 對(duì)數(shù)據(jù)包做在線用戶列表檢查
   用戶在線時(shí)會(huì)生成在線用戶列表，如不發(fā)送流量不會(huì)產(chǎn)生會(huì)話，當(dāng)流量過來時(shí)會(huì)刷新在線用戶列表的超時(shí)時(shí)間，并繼續(xù)后續(xù)的包轉(zhuǎn)發(fā)流程生成會(huì)話表。
   （1）用戶訪問網(wǎng)絡(luò)資源前，首先需要經(jīng)過NGFW的認(rèn)證，目的是識(shí)別這個(gè)用戶當(dāng)前在使用哪個(gè)IP地址。
   （2）對(duì)于通過認(rèn)證的用戶，NGFW還會(huì)檢查用戶的屬性（用戶狀態(tài)、賬號(hào)過期時(shí)間、IP/MAC地址綁定、是否允許多人同時(shí)使用該賬號(hào)登錄），只有認(rèn)證和用戶屬性檢查都通過的用-=戶，該用戶才能上線，稱為在線用戶。
   （3）NGFW上的在線用戶列表記錄了用戶和該用戶當(dāng)前所使用的地址的對(duì)應(yīng)關(guān)系，對(duì)用戶實(shí)施策略，也就是對(duì)該用戶對(duì)應(yīng)的IP地址實(shí)施策略。用戶上線后，如果在線用戶超時(shí)時(shí)間內(nèi)（缺省30分鐘）沒有發(fā)起業(yè)務(wù)流量，則該用戶對(duì)應(yīng)的在線用戶監(jiān)控表項(xiàng)將被刪除。當(dāng)該用戶下次再發(fā)起業(yè)務(wù)訪問時(shí)，需要重新進(jìn)行認(rèn)證。
6. 根據(jù)（2）的記錄結(jié)果，查詢報(bào)文命中哪條路由，優(yōu)先查詢策略路由。未命中策略路由，查詢路由表，決定下一跳和出接口
7. 查詢是否命中安全策略。已知報(bào)文入接口源地址，從（3）判斷出接口，確定區(qū)域查找安全策略
8. 查詢是否命中源NAT策略。若匹配到，則記錄NAT轉(zhuǎn)換后的源IP地址和端口信息
9. 根據(jù)上述記錄結(jié)果，創(chuàng)建會(huì)話。

---

后續(xù)包處理流程

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁標(biāo)題：NGFW中數(shù)據(jù)包轉(zhuǎn)發(fā)流程-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://weahome.cn/article/djihpd.html