第二章 防火墻的基本概念和轉發(fā)流程課件

第二章防火墻的基本概念和轉發(fā)流程ISSUE1.0日期：2009.5.15掌握防火墻虛擬設備、區(qū)域、會話的概念掌握防火墻的基本轉發(fā)流程課程目標學習完本課程，您應該能夠：虛擬設備安全區(qū)域會話基本轉發(fā)流程目錄虛擬設備（一）虛擬設備是一個邏輯概念，一臺防火墻設備可以邏輯上劃分為多個部分，每一個部分可以作為一臺單獨的防火墻（虛擬設備）。每個虛擬設備之間相互獨立，業(yè)務單獨控制，一般情況下不允許相互通信，這就是所謂的“虛擬防火墻”。虛擬設備要可以實現(xiàn)業(yè)務多實例：包括防火墻相關的攻擊檢測、包過濾和協(xié)議分析等，也有各種VPN業(yè)務，以及AAA、DHCP等輔助業(yè)務。虛擬設備（二）虛擬設備安全區(qū)域會話基本轉發(fā)流程目錄安全區(qū)域（一）安全區(qū)域是防火墻區(qū)別于普通網絡設備的基本特征之一。以接口為邊界，按照安全級別不同將業(yè)務分成若干區(qū)域，防火墻的策略（如ACL、攻擊防范等）在區(qū)域或者區(qū)域之間下發(fā)。默認地：優(yōu)先級高的域可以向優(yōu)先級低的域發(fā)起連接，反之不行！安全區(qū)域（二）虛擬設備安全區(qū)域會話基本轉發(fā)流程目錄流與會話所謂流（Flow），是一個單方向的概念，根據(jù)報文所攜帶的三元組或者五元組唯一標識。根據(jù)IP層協(xié)議的不同，流分為四大類：TCP流：通過五元組唯一標識UDP流：通過五元組唯一標識ICMP流：通過三元組+ICMPtype+ICMPcode唯一標識RAWIP流：不屬于上述協(xié)議的，通過三元組標識所謂會話（Session），以一個雙向的概念，一個會話通常關聯(lián)兩個方向的流，一個為會話發(fā)起方（Initiator），另外一個為會話響應方（Responder）。通過會話所屬的任一方向的流特征都可以唯一確定該會話，以及方向防火墻與路由/交換設備的，另一個很重大的差異是：路由器是基于路由表來轉發(fā)數(shù)據(jù)，而防火墻是基于會話表來轉發(fā)數(shù)據(jù)。會話的創(chuàng)建對于TCP報文，三次握手+ALG后創(chuàng)建會話對于UDP/ICMP/RawIP報文，首包創(chuàng)建會話虛擬設備安全區(qū)域會話管理轉發(fā)流程目錄基本轉發(fā)流程

注1：防火墻缺省下，高級別區(qū)域的能訪問低級別區(qū)域，低級別區(qū)域不能訪問高級別區(qū)域。問題：如果低要訪問高怎么辦？防火墻的詳細處理流程——入方向IP正規(guī)化（普通合法性檢查）黑名單URPF(與IP-SPOOFING整合)虛擬分片重組IPSec預處理單包攻擊和掃描處理NATFlood攻擊QoSIP路由等處理Session-start防火墻的詳細處理流程——出方向Filter（基于區(qū)域）ASPFNATFlood攻擊IPSec處理