溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

NGFW中數(shù)據(jù)包轉(zhuǎn)發(fā)流程

發(fā)布時(shí)間:2020-06-29 17:14:28 來(lái)源:網(wǎng)絡(luò) 閱讀:607 作者:Mr_ZH_ang 欄目:安全技術(shù)

狀態(tài)檢測(cè)防火墻報(bào)文處理流程

NGFW中數(shù)據(jù)包轉(zhuǎn)發(fā)流程

  1. 查詢(xún)會(huì)話前的處理過(guò)程:基礎(chǔ)處理
  2. 查詢(xún)會(huì)話中的處理過(guò)程:轉(zhuǎn)發(fā)處理,關(guān)鍵是會(huì)話建立
  3. 查詢(xún)會(huì)話后的處理過(guò)程:安全業(yè)務(wù)處理及報(bào)文發(fā)送

了解轉(zhuǎn)發(fā)流程之前,先給報(bào)文分個(gè)類(lèi)

  1. 協(xié)議報(bào)文:使防火墻正常運(yùn)行于網(wǎng)絡(luò)中,或用于雙機(jī)熱備等功能的協(xié)議報(bào)文,如OSPF,HRP,ICMP等報(bào)文
  2. 穿過(guò)防火墻的業(yè)務(wù)報(bào)文:用戶(hù)經(jīng)過(guò)防火墻訪問(wèn)Internet的報(bào)文,我們通常習(xí)慣稱(chēng)為業(yè)務(wù)報(bào)文,可能是二層或三層報(bào)文。尤其TCP,UDP最為常見(jiàn)。(二層和三層報(bào)文,轉(zhuǎn)發(fā)流程沒(méi)有本質(zhì)區(qū)別,主要差異在于查路由階段,二層報(bào)文根據(jù)MAC地址轉(zhuǎn)發(fā),三層報(bào)文根據(jù)路由表轉(zhuǎn)發(fā))

做分類(lèi)是因?yàn)榉阑饓?duì)于這兩類(lèi)報(bào)文處理流程有所不同。

  • 對(duì)于協(xié)議報(bào)文,防火墻處理比較特殊,并不適用于通用原則。以O(shè)SPF為例,當(dāng)網(wǎng)絡(luò)類(lèi)型為Broadcast時(shí),其DD報(bào)文為單播報(bào)文,需要經(jīng)過(guò)防火墻的安全策略檢查。而當(dāng)網(wǎng)絡(luò)類(lèi)型為P2P時(shí),其DD報(bào)文為組播報(bào)文,則不需要經(jīng)過(guò)防火墻的安全策略檢查,直接被轉(zhuǎn)發(fā)。對(duì)于每個(gè)協(xié)議。防火墻處理并不完全相同。
  • 對(duì)于業(yè)務(wù)報(bào)文。如TCP首包,UDP等報(bào)文都需要建立會(huì)話。判斷該報(bào)文要?jiǎng)?chuàng)建會(huì)話后,接下來(lái)馬上查詢(xún)會(huì)話表中是否已創(chuàng)建該報(bào)文的會(huì)話。
  • ---對(duì)于不能匹配會(huì)話表中任一表項(xiàng)的報(bào)文,防火墻判斷該報(bào)文為某一流量的首包,進(jìn)入首包處理流程
    ---對(duì)于匹配了會(huì)話表中某一表項(xiàng)的報(bào)文,防火墻判斷該報(bào)文為某一流量的后續(xù)包,進(jìn)入后續(xù)包處理流程

查詢(xún)會(huì)話表前的基本處理
主要目的是解析出報(bào)文的幀頭部和IP報(bào)文頭部。根據(jù)頭部當(dāng)中的信息進(jìn)行一些基礎(chǔ)的安全檢測(cè)
收到一個(gè)數(shù)據(jù)包:
首先監(jiān)測(cè)是否有配置MAC地址過(guò)濾
為什么是先MAC地址過(guò)濾再解析幀頭部?.
MAC地址過(guò)濾的時(shí)候只是掃描出MAC地址,根據(jù)MAC地址來(lái)進(jìn)行MAC地址過(guò)濾。后面的解析幀頭部能完整的解析整個(gè)幀頭部。(自我補(bǔ)充:如果兩者位置調(diào)換,只會(huì)徒增設(shè)備的性能消耗,費(fèi)力不討好)
根據(jù)接收?qǐng)?bào)文的接口是二層接口還是三層接口有兩種處理方式:
對(duì)于三層接口接收的報(bào)文,NGFW需要根據(jù)報(bào)文中的目的地址來(lái)標(biāo)明路由表,以決定這個(gè)報(bào)文的出接口。所以此類(lèi)報(bào)文會(huì)在解析和剝離頭部信息后,進(jìn)入后續(xù)的處理。(剝離幀頭部解析IP報(bào)文,是為了確定目的IP,以用做后續(xù)路由表查詢(xún))
對(duì)于二層接口接收的報(bào)文,NGFW需要先判斷這個(gè)幀是否需要跨VLAN轉(zhuǎn)發(fā),對(duì)于同一VLAN內(nèi)的報(bào)文,NGFW需要根據(jù)報(bào)文中的目的MAC地址查詢(xún)MAC地址轉(zhuǎn)發(fā)表,以決定這個(gè)報(bào)文的出接口。對(duì)于需要跨VLAN轉(zhuǎn)發(fā)的報(bào)文,NGFW需要獲取其VLAN ID,找到對(duì)應(yīng)的子接口或者VLAN-IF接口。子接口和VLAN-IF接口是虛擬的三層接口。所以此時(shí)報(bào)文就會(huì)按照類(lèi)似三層接口接收一樣處理,NGFW根據(jù)報(bào)文中的目的地址來(lái)查找路由表,以決定這個(gè)報(bào)文的出接口。
這兩類(lèi)報(bào)文在提取到所需的信息后,剝離頭部,進(jìn)入后續(xù)的處理
在這個(gè)階段中主要進(jìn)行的特性有:

特性 說(shuō)明
MAC地址過(guò)濾 根據(jù)報(bào)文幀頭部的源MAC和目的MAC對(duì)報(bào)文進(jìn)行過(guò)濾
VLAN VLAN是用戶(hù)控制以太幀在局域網(wǎng)泛洪的一種技術(shù)
IP/MAC地址綁定 為了防止IP地址欺騙和ARP類(lèi)的***,管理員可以配置IP和MAC的對(duì)應(yīng)關(guān)系,此特性可以根據(jù)報(bào)文中攜帶的Ip和MAC信息判斷報(bào)文是否合法并過(guò)濾
入接口帶寬閾值 管理員可以在接口上配置接受報(bào)文的帶寬閾值,如果當(dāng)前流量帶寬已經(jīng)超過(guò)了閾值,入接口就會(huì)將超出的 報(bào)文丟棄
單包***防范 在獲取報(bào)文的頭部信息后,NGFW就可以根據(jù)管理員開(kāi)啟的單包***防范類(lèi)型對(duì)報(bào)文的合法性和安全性進(jìn)行檢測(cè),判斷報(bào)文 是否屬于***報(bào)文并進(jìn)行過(guò)濾

查詢(xún)會(huì)話表,根據(jù)查詢(xún)結(jié)果對(duì)報(bào)文做不同的安全機(jī)制檢測(cè)和處理。
此階段是NGFW的核心處理環(huán)節(jié),主要的安全功能都在這個(gè)階段實(shí)現(xiàn)。NGFW根據(jù)該報(bào)文是否存在匹配的會(huì)話表項(xiàng)?
不存在匹配的會(huì)話表項(xiàng)(一些特殊的報(bào)文是不創(chuàng)建會(huì)話直接轉(zhuǎn)發(fā)的,例如除了ping的echo和replay的icmp包)
此時(shí)報(bào)文被認(rèn)為是一條流量的首包,進(jìn)入首包處理流程。

無(wú)會(huì)話
進(jìn)行狀態(tài)檢測(cè)機(jī)制檢測(cè),判斷該報(bào)文是否屬于正常的可以建立會(huì)話的首包。
(這個(gè)狀態(tài)檢測(cè)是檢查,該步驟是看防火墻是否開(kāi)啟了狀態(tài)檢測(cè),NGFW默認(rèn)是開(kāi)啟的,當(dāng)來(lái)回路徑不一致的流量要通過(guò)NGFW時(shí),需要關(guān)閉狀態(tài)檢測(cè)機(jī)制)

首包處理流程

  1. 匹配黑名單,若報(bào)文源地址命中黑名單,則此報(bào)文被丟棄
  2. 查詢(xún)Server-map表,若命中,記錄Server-map表中的信息(不做處理,但在3中路由查詢(xún)使用的是Server-map表中記錄的轉(zhuǎn)換后的地址)
  3. 查看數(shù)據(jù)包有沒(méi)有對(duì)應(yīng)的服務(wù)器映射(即目的NAT)數(shù)據(jù)包要先將訪問(wèn)的目的地址轉(zhuǎn)換后才能進(jìn)一步查路由表,所以這也就解釋了為什么服務(wù)映射階段在查找路由表階段前面
  4. 對(duì)數(shù)據(jù)包做在線用戶(hù)列表檢查
    用戶(hù)在線時(shí)會(huì)生成在線用戶(hù)列表,如不發(fā)送流量不會(huì)產(chǎn)生會(huì)話,當(dāng)流量過(guò)來(lái)時(shí)會(huì)刷新在線用戶(hù)列表的超時(shí)時(shí)間,并繼續(xù)后續(xù)的包轉(zhuǎn)發(fā)流程生成會(huì)話表。
    (1)用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源前,首先需要經(jīng)過(guò)NGFW的認(rèn)證,目的是識(shí)別這個(gè)用戶(hù)當(dāng)前在使用哪個(gè)IP地址。
    (2)對(duì)于通過(guò)認(rèn)證的用戶(hù),NGFW還會(huì)檢查用戶(hù)的屬性(用戶(hù)狀態(tài)、賬號(hào)過(guò)期時(shí)間、IP/MAC地址綁定、是否允許多人同時(shí)使用該賬號(hào)登錄),只有認(rèn)證和用戶(hù)屬性檢查都通過(guò)的用-=戶(hù),該用戶(hù)才能上線,稱(chēng)為在線用戶(hù)。
    (3)NGFW上的在線用戶(hù)列表記錄了用戶(hù)和該用戶(hù)當(dāng)前所使用的地址的對(duì)應(yīng)關(guān)系,對(duì)用戶(hù)實(shí)施策略,也就是對(duì)該用戶(hù)對(duì)應(yīng)的IP地址實(shí)施策略。用戶(hù)上線后,如果在線用戶(hù)超時(shí)時(shí)間內(nèi)(缺省30分鐘)沒(méi)有發(fā)起業(yè)務(wù)流量,則該用戶(hù)對(duì)應(yīng)的在線用戶(hù)監(jiān)控表項(xiàng)將被刪除。當(dāng)該用戶(hù)下次再發(fā)起業(yè)務(wù)訪問(wèn)時(shí),需要重新進(jìn)行認(rèn)證。
  6. 根據(jù)(2)的記錄結(jié)果,查詢(xún)報(bào)文命中哪條路由,優(yōu)先查詢(xún)策略路由。未命中策略路由,查詢(xún)路由表,決定下一跳和出接口
  7. 查詢(xún)是否命中安全策略。已知報(bào)文入接口源地址,從(3)判斷出接口,確定區(qū)域查找安全策略
  8. 查詢(xún)是否命中源NAT策略。若匹配到,則記錄NAT轉(zhuǎn)換后的源IP地址和端口信息
  9. 根據(jù)上述記錄結(jié)果,創(chuàng)建會(huì)話。

后續(xù)包處理流程

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI