溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

華為防火墻鏈路狀態(tài)檢測功能實驗

發(fā)布時間:2020-05-21 07:01:26 來源:網(wǎng)絡(luò) 閱讀:2229 作者:baihuzi 欄目:安全技術(shù)

華為防火墻鏈路狀態(tài)檢測功能實驗

場景:client訪問webserver時,前往webserver的流量走路由器直接到達(dá)webserver,返回的流量先到達(dá)路由器,然后通過策略路由,將webserver回應(yīng)給客戶端的流量重定向給防火墻,然后從防火墻再到路由器,最后到達(dá)client。同時配置防火墻到達(dá)client的路由信息。

路由器所有接口的地址均為254

 

路由器策略路由配置:

acl number 3000

 rule 5 permit icmp destination 192.168.0.0 0.0.0.255

 rule 10 permit tcp destination 192.168.0.0 0.0.0.255

 rule 15 permit ip destination 192.168.0.0 0.0.0.255

 

policy-based-route aa permit node 10

 if-match acl 3000

 apply ip-address next-hop 172.16.1.1

 

interface GigabitEthernet0/0/1

 ip address 172.16.0.254 255.255.255.0

 ip policy-based-route aa

 

 

防火墻配置:

interface GigabitEthernet0/0/1

 ip address 172.16.1.1 255.255.255.0

interface GigabitEthernet0/0/3

 ip address 172.16.2.1 255.255.255.0

 

firewall zone trust

 add interface GigabitEthernet0/0/3

firewall zone untrust

 add interface GigabitEthernet0/0/1

 

配置untrust到達(dá)trust的放行策略

policy interzone trust untrust inbound

 policy 1

  action permit

  policy service service-set tcp

  policy destination 192.168.0.0 mask 255.255.255.0

 

配置到達(dá)client的路由

ip route-static 192.168.0.0 255.255.255.0 172.16.2.254

 

測試,當(dāng)鏈路狀態(tài)檢測功能開啟狀態(tài)時,用client訪問webserver,流量無法返回

華為防火墻鏈路狀態(tài)檢測功能實驗

關(guān)閉防火墻鏈路狀態(tài)檢測

undo firewall session link-state check

再次測試

華為防火墻鏈路狀態(tài)檢測功能實驗

[SRG]display firewall session table verbose

15:40:16  2017/11/15

 Current Total Sessions : 2

  tcp  ×××:public --> public

  Zone: untrust--> trust  TTL: 00:00:10  Left: 00:00:02

  Interface: GigabitEthernet0/0/3  NextHop: 172.16.2.254  MAC: 54-89-98-fe-41-5f

  <--packets:0 bytes:0   -->packets:4 bytes:465

  172.16.0.1:80-->192.168.0.1:2071

 

  tcp  ×××:public --> public

  Zone: untrust--> trust  TTL: 00:10:00  Left: 00:09:52

  Interface: GigabitEthernet0/0/3  NextHop: 172.16.2.254  MAC: 54-89-98-fe-41-5f

  <--packets:0 bytes:0   -->packets:3 bytes:425

  172.16.0.1:80-->192.168.0.1:2072



總結(jié):

      協(xié)議                      開啟狀態(tài)檢測功能        關(guān)閉狀態(tài)檢測功能  

TCP           SYN報文          創(chuàng)建會話,轉(zhuǎn)發(fā)報文        創(chuàng)建會話,轉(zhuǎn)發(fā)報文

         SYN+ACK,ACK報文      不創(chuàng)建會話,丟棄報文      不創(chuàng)建會話,丟棄報文

UDP                            創(chuàng)建會話,轉(zhuǎn)發(fā)報文        創(chuàng)建會話,轉(zhuǎn)發(fā)報文 

          ping回顯請求報文     創(chuàng)建會話,轉(zhuǎn)發(fā)報文        創(chuàng)建會話,轉(zhuǎn)發(fā)報文

ICMP      ping回顯應(yīng)答報文     不創(chuàng)建會話,丟棄報文      創(chuàng)建會話,轉(zhuǎn)發(fā)報文

          其他ICMP報文          不創(chuàng)建會話,丟棄報文     不創(chuàng)建會話,丟棄報文

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI