• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙问题

2021-06-16提问
  • 0关注
  • 2收藏,1505浏览
粉丝:0人 关注:0人

问题描述:

正常的一个数据包到了防火墙,防火墙是怎么处理这个数据包的,有哪位大神能详细解释下嘛?

组网及组网描述:


最佳答案

已采纳
粉丝:103人 关注:0人

您好,参考

防火墙对数据包处理过程的各步骤如下:

  1)Interface(网卡接口)

  网卡接口驱动负责接数收据包,并转交给下一过程。

  2)DoS Sensor(DoS防御,默认关闭)

  负责过滤SYN flood、UDP flood、ICMP flood等DoS攻击,并可针对源、目的IP的并发连接数进行限制。

  3)IP integrity header checking(IP头完整性校验)

  检查数据包头完整性。

  4)IPSec(IPSec VPN解密,默认关闭)

  如果是防火墙本身的IPSec VPN隧道中的数据包,将对其进行解密。

  5)DNAT(目标地址NAT)

  检查数据包中的目标IP地址,如果在 VIP(目标地址NAT)表中,则将其替换为映射后IP地址(真实IP地址)和端口。

  6)Routing(路由)

  本步骤根据数据包的目标IP地址确定该数据包的流出接口。

  7)Stateful Inspection Engine(状态检测引擎)

  状态检测引擎包含几个组件:

  a、Policy lookup(策略查找)

  在会话建立阶段,判断是否允许数据通过并建立会话状态,并根据UTM功能的开关决定数据包是否需要进入流检测引擎(Flow-based inspection engine)和代理检测引擎(Proxy-based inspection engine)。

  b、Session track(会话跟踪)

  维护会话表,跟踪会话状态、NAT和其它相关功能。会话建立之后的后续数据包不再进行策略匹配,直接根据会话状态转发。

  c、User authentication(用户认证,默认关闭)

  对用户身份进行认证,根据用户名和用户所在组选择防火墙策略。

  d、Management traffic(管理流量)

  与防火墙自身相关的流量处理,如Web、SSH管理,Syslog、SNMP通信等。

  e、SSL VPN流量(默认关闭)

  将SSL VPN流量解密,送至SSL VPN虚拟接口(通常为ssl.root),然后查找策略。

  f、Session helpers(即ALG)

  对FTP、SIP、Oracle等特殊应用进行处理,如动态开启策略、NAT,自动修改payload等,保证其正常通信。

  8)Flow-based inspection engine(流检测引擎,默认关闭)

  如果在防火墙策略中启用了防病毒、IPS、应用控制等流检测UTM功能,则会话后续数据包交由流检测引擎处理。

  9)Proxy-based inspection engine(代理检测引擎,默认关闭)

  如果在防火墙策略中启用了Web过滤、防病毒、反垃圾邮件、DLP等应用代理检测UTM功能,则会话后续数据包交由代理检测引擎处理。

  10)IPSec(IPSec VPN加密,默认关闭)

  如果会话匹配了IPSec VPN策略,此步骤将数据包加密封装

  11)Source NAT(源地址NAT)

  如果策略中启用了NAT,则将数据包的源IP地址和源端口替换为目标接口地址或IP池中的IP地址(通常为公网IP地址)。

  12)Routing(路由)

  最后一个路由步骤,确定数据包的流出接口,由路由引擎转发数据包。

  13)Egress(流出)

  由流出接口网卡将数据包发出防火墙。

是不是一个数据包到达防火墙的时候,先匹配nat策略,在匹配安全策略

奥奥哥 发表时间:2021-06-16 更多>>

是不是一个数据包到达防火墙的时候,先匹配nat策略,在匹配安全策略

奥奥哥 发表时间:2021-06-16
3 个回答
粉丝:138人 关注:6人

您好,请知:

有数据到达防火墙后,先在安全策略内进行匹配,如果匹配不到,再转到zone-pair的域间策略进行匹配,如果还是不配不到,就被防火墙丢弃。


安全策略对报文的处理流程如图1-1所示:

图1-1 安全策略的报文处理流程

安全策略对报文的处理过程如下:

(1)     将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此过滤条件匹配失败。

(2)     若报文与某条规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可,应用与应用组匹配一项即可,终端与终端组匹配一项即可,源IP地址与源MAC地址匹配一项即可),则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。

(3)     若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。

¡     若规则的动作为“丢弃”,则设备会丢弃此报文;

¡     若规则的动作为“允许”,则设备继续对报文做第4步处理;

(4)     若引用了DPI业务,则会对此报文进行DPI深度安全检测;若未引用DPI业务,则直接允许此报文通过。


具体可参考如下处理过程:

  1)Interface(网卡接口)

  网卡接口驱动负责接数收据包,并转交给下一过程。

  2)DoS Sensor(DoS防御,默认关闭)

  负责过滤SYN flood、UDP flood、ICMP flood等DoS攻击,并可针对源、目的IP的并发连接数进行限制。

  3)IP integrity header checking(IP头完整性校验)

  检查数据包头完整性。

  4)IPSec(IPSec VPN解密,默认关闭)

  如果是防火墙本身的IPSec VPN隧道中的数据包,将对其进行解密。

  5)DNAT(目标地址NAT)

  检查数据包中的目标IP地址,如果在 VIP(目标地址NAT)表中,则将其替换为映射后IP地址(真实IP地址)和端口。

  6)Routing(路由)

  本步骤根据数据包的目标IP地址确定该数据包的流出接口。

  7)Stateful Inspection Engine(状态检测引擎)

  状态检测引擎包含几个组件:

  a、Policy lookup(策略查找)

  在会话建立阶段,判断是否允许数据通过并建立会话状态,并根据UTM功能的开关决定数据包是否需要进入流检测引擎(Flow-based inspection engine)和代理检测引擎(Proxy-based inspection engine)。

  b、Session track(会话跟踪)

  维护会话表,跟踪会话状态、NAT和其它相关功能。会话建立之后的后续数据包不再进行策略匹配,直接根据会话状态转发。

  c、User authentication(用户认证,默认关闭)

  对用户身份进行认证,根据用户名和用户所在组选择防火墙策略。

  d、Management traffic(管理流量)

  与防火墙自身相关的流量处理,如Web、SSH管理,Syslog、SNMP通信等。

  e、SSL VPN流量(默认关闭)

  将SSL VPN流量解密,送至SSL VPN虚拟接口(通常为ssl.root),然后查找策略。

  f、Session helpers(即ALG)

  对FTP、SIP、Oracle等特殊应用进行处理,如动态开启策略、NAT,自动修改payload等,保证其正常通信。

  8)Flow-based inspection engine(流检测引擎,默认关闭)

  如果在防火墙策略中启用了防病毒、IPS、应用控制等流检测UTM功能,则会话后续数据包交由流检测引擎处理。

  9)Proxy-based inspection engine(代理检测引擎,默认关闭)

  如果在防火墙策略中启用了Web过滤、防病毒、反垃圾邮件、DLP等应用代理检测UTM功能,则会话后续数据包交由代理检测引擎处理。

  10)IPSec(IPSec VPN加密,默认关闭)

  如果会话匹配了IPSec VPN策略,此步骤将数据包加密封装

  11)Source NAT(源地址NAT)

  如果策略中启用了NAT,则将数据包的源IP地址和源端口替换为目标接口地址或IP池中的IP地址(通常为公网IP地址)。

  12)Routing(路由)

  最后一个路由步骤,确定数据包的流出接口,由路由引擎转发数据包。

  13)Egress(流出)

  由流出接口网卡将数据包发出防火墙。


是不是一个数据包到达防火墙的时候,先匹配nat策略,在匹配安全策略

奥奥哥 发表时间:2021-06-16 更多>>

是不是一个数据包到达防火墙的时候,先匹配nat策略,在匹配安全策略

奥奥哥 发表时间:2021-06-16
粉丝:8人 关注:2人

一般先查安全规则吧,安全规则通过以后再看路由信息

粉丝:22人 关注:11人

安全策略对报文的处理流程如图1-1所示:

图1-1 安全策略的报文处理流程

安全策略对报文的处理过程如下:

(1)     将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此过滤条件匹配失败。

(2)     若报文与某条规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可,应用与应用组匹配一项即可,终端与终端组匹配一项即可,源IP地址与源MAC地址匹配一项即可),则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备会丢弃此报文。

(3)     若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。

¡     若规则的动作为“丢弃”,则设备会丢弃此报文;

¡     若规则的动作为“允许”,则设备继续对报文做第4步处理;

(4)     若引用了DPI业务,则会对此报文进行DPI深度安全检测;若未引用DPI业务,则直接允许此报文通过。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明