狀態(tài)監(jiān)測工作機制

1、狀態(tài)檢測工作機制一、狀態(tài)監(jiān)測應該如何工作無論何時，一個防火墻接收到一個初始化TCP連接的SYN包，這個帶有SYN的數(shù)據(jù)包被防火墻的規(guī)則庫檢查。該包在規(guī)則庫里依次序比較。如果在檢查了所有的規(guī)則后，該包都沒有被接受，那么拒絕該次連接。一個RST的數(shù)據(jù)包發(fā)送到遠端的機器。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。該表是位于內(nèi)核模式中的。隨后的數(shù)據(jù)包(沒有帶有一個SYN標志)就和該狀態(tài)監(jiān)測表的內(nèi)容進行比較。如果會話是在狀態(tài)表內(nèi)，而且該數(shù)據(jù)包是會話的一部分，該數(shù)據(jù)包被接受。如果不是會話的一部分，該數(shù)據(jù)包被丟棄。這種方式提高了系統(tǒng)的性能，因為每一個數(shù)據(jù)包不是和規(guī)則庫比較，而是和狀態(tài)監(jiān)測表比較。只有

2、在SYN的數(shù)據(jù)包到來時才和規(guī)則庫比較。所有的數(shù)據(jù)包與狀態(tài)檢測表的比較都在內(nèi)核模式下進行所以應該很快。二、狀態(tài)監(jiān)測表建立？那么初始化一個連接時使用ACK行不行？它又會出現(xiàn)什么問題呢？如果防火墻的狀態(tài)檢測表使用ACK來建立會話，將會是不正確的。如果一個包不在狀態(tài)檢測表中時，那么該包使用規(guī)則庫來檢查，而不考慮它是否是SYN、ACK或其他的什么包。如果規(guī)則庫通過了這個數(shù)據(jù)包，本次會話被添加狀態(tài)檢測表中。所有后續(xù)的包都會和狀態(tài)檢測表比較而被通過。因為在狀態(tài)監(jiān)測表中有入口，后續(xù)的數(shù)據(jù)包就沒有進行規(guī)則檢查。而且我們在做狀態(tài)監(jiān)測表項時，也需要考慮時間溢出的問題。使用這種方法，一些簡單的DOS攻擊將會非常有效地

3、摧毀防火墻系統(tǒng)。那么狀態(tài)檢測表建立應該怎么進行呢？首先，對于一個會話我們使用什么來區(qū)分。從最簡單的角度出發(fā)，我們可以使用源地址、目的地址和端口號來區(qū)分是否是一個會話。當通過使用一個SYN包來建立一個會話時，防火墻先將這個數(shù)據(jù)包和規(guī)則庫進行比較。如果通過了這個數(shù)據(jù)連接請求，它被添加到狀態(tài)檢測表里。這時需要設置一個時間溢出值，參考CHECK-POINT FW-1的時間值，將其值設定為60秒。然后防火墻期待一個返回的確認連接的數(shù)據(jù)包，當接收到如此的包的時候，防火墻將連接的時間溢出值設定為3600秒。對于返回的連接請求的數(shù)據(jù)包的類型需要做出判斷，已確認其含有SYN/ACK標志。（注：對于時間溢出值，應

4、該可以由用戶自行設定。）在進行狀態(tài)監(jiān)測時，對于一個會話的確認可以只通過使用源地址、目的地址和端口號來區(qū)分，在性能設計上如果能滿足要求，也應該考慮對于TCP連接的序列號的維護，雖然這樣可能需要消耗比較多的資源            三、連接的關閉在連接被通訊雙方關閉后，狀態(tài)監(jiān)測表中的連接應該被維護一段時間。下面的處理方法可以作為在連接關閉后狀態(tài)檢測行為的參考。當狀態(tài)監(jiān)測模塊監(jiān)測到一個FIN或一個RST包的時候，減少時間溢出值從我們?nèi)笔≡O定的值3600秒減少到50秒。如果在這個周

5、期內(nèi)沒有數(shù)據(jù)包交換，這個狀態(tài)檢測表項將會被刪除，如果有數(shù)據(jù)包交換，這個周期會被重新設置到50秒。如果繼續(xù)通訊，這個連接狀態(tài)會被繼續(xù)地以50秒的周期維持下去。這種設計方式可以避免一些DOS攻擊，例如，一些人有意地發(fā)送一些FIN或RST包來試圖阻斷這些連接。四、UDP的連接維護雖然UDP連接是無狀態(tài)的，但是仍然可以用類似的方法來維護這些連接。當一個完成規(guī)則檢查的數(shù)據(jù)包通過防火墻時，這次會話被添加到狀態(tài)檢測表內(nèi)，并設置一個時間溢出值，任何一個在這個時間值內(nèi)返回的包都會被允許通過，當然它的SRC/DST的IP地址和SRC/DST的端口號是必須匹配的。五、ICMP的狀態(tài)檢測問題對于一些ICMP包的分析，

6、在許多防火墻系統(tǒng)中都是做的很不夠的，在對做狀態(tài)檢測時是需要對ICMP的內(nèi)容進行分析的。對于什么樣的ICMP可以發(fā)出和放入在狀態(tài)監(jiān)測模塊中如何確定是關鍵。下面只是列出了什么樣的ICMP包是安全的，可以作為對狀態(tài)檢測模塊ICMP支持的參考。#define ICMP_ECHOREPLY        0    /* Echo Reply            */

7、Needed if you want to allow ping, so you can allow that for trusted peersoutgoing and incoming for all to allow them to ping the internet#define ICMP_DEST_UNREACH    3    /* Destination Unreachable    */Some Sub Types are needed in and out,

8、 see below#define ICMP_SOURCE_QUENCH    4    /* Source Quench        */Allow it outbound anyway, inbound is less likely to be a problem, unless youare doing some streaming or multicast feeding to the internet.#define ICM

9、P_REDIRECT        5    /* Redirect (change route)    */block!#define ICMP_ECHO        8    /* Echo Request         

10、   */you might allow it incoming for trusted addresses (note some NICs willrequire you to make your primary DNS Server pingable!)#define ICMP_TIME_EXCEEDED    11    /* Time Exceeded        */helpfull if yo

11、u allow it incoming, could allow exploring your network if youallow it outbound.#define ICMP_PARAMETERPROB    12    /* Parameter Problem        */helpfull if you allow it incoming, could allow exploring your network if y

12、ouallow it outbound.#define ICMP_TIMESTAMP        13    /* Timestamp Request        */#define ICMP_TIMESTAMPREPLY    14    /* Timestamp Reply   &

13、#160;    */#define ICMP_INFO_REQUEST    15    /* Information Request        */#define ICMP_INFO_REPLY        16    /* Information Reply 

14、;       */#define ICMP_ADDRESS        17    /* Address Mask Request        */#define ICMP_ADDRESSREPLY    18    /* Address Ma

15、sk Reply        */Block those on the external interface/* Codes for UNREACH. */#define ICMP_NET_UNREACH    0    /* Network Unreachable        */ignored, so block it#define ICMP_HOS

16、T_UNREACH    1    /* Host Unreachable        */allow it at least inbound, best would be if you can do that stateful#define ICMP_PROT_UNREACH    2    /* Protocol Unreachable &#

17、160;      */you can block that#define ICMP_PORT_UNREACH    3    /* Port Unreachable        */you should allow that at least inbound. Be aware that some filter rulesshould send PORT_UNREACH o

18、n connection request (at least 137,139 and auth),so make sure not to block those ICMP packetes which are generated by yourreject rule.#define ICMP_FRAG_NEEDED    4    /* Fragmentation Needed/DF set    */Allow it in, and possible out if you

19、have different MTUs inside yournetwork.#define ICMP_SR_FAILED        5    /* Source Route failed        */Not strictly needed. Nobody should asume SR works anywhere, anyway.#define ICMP_NET_UNKNOWN

20、60;   6block, its ignored#define ICMP_HOST_UNKNOWN    7allow it at least inbound.#define ICMP_HOST_ISOLATED    8block.#define ICMP_NET_ANO        9#define ICMP_HOST_ANO      &

21、#160; 10those are the new types returned by ipfilters. You may let them pass in andout.#define ICMP_NET_UNR_TOS    11#define ICMP_HOST_UNR_TOS    12block#define ICMP_PKT_FILTERED    13    /* Packet filtered */block, depricated#define ICMP