2. 程式人生 > >NGFW中數據包轉發流程

NGFW中數據包轉發流程

阿新 發佈:2018-11-22
刪除 分類 轉發 ip地址 流量 本質 賬號登錄 沒有 都在

狀態檢測防火墻報文處理流程

技術分享圖片

  1. 查詢會話前的處理過程:基礎處理
  2. 查詢會話中的處理過程:轉發處理,關鍵是會話建立
  3. 查詢會話後的處理過程:安全業務處理及報文發送

了解轉發流程之前,先給報文分個類

  1. 協議報文:使防火墻正常運行於網絡中,或用於雙機熱備等功能的協議報文,如OSPF,HRP,ICMP等報文
  2. 穿過防火墻的業務報文:用戶經過防火墻訪問Internet的報文,我們通常習慣稱為業務報文,可能是二層或三層報文。尤其TCP,UDP最為常見。(二層和三層報文,轉發流程沒有本質區別,主要差異在於查路由階段,二層報文根據MAC地址轉發,三層報文根據路由表轉發)

做分類是因為防火墻對於這兩類報文處理流程有所不同。

  • 對於協議報文,防火墻處理比較特殊,並不適用於通用原則。以OSPF為例,當網絡類型為Broadcast時,其DD報文為單播報文,需要經過防火墻的安全策略檢查。而當網絡類型為P2P時,其DD報文為組播報文,則不需要經過防火墻的安全策略檢查,直接被轉發。對於每個協議。防火墻處理並不完全相同。
  • 對於業務報文。如TCP首包,UDP等報文都需要建立會話。判斷該報文要創建會話後,接下來馬上查詢會話表中是否已創建該報文的會話。
  • ---對於不能匹配會話表中任一表項的報文,防火墻判斷該報文為某一流量的首包,進入首包處理流程
    ---對於匹配了會話表中某一表項的報文,防火墻判斷該報文為某一流量的後續包,進入後續包處理流程

查詢會話表前的基本處理
主要目的是解析出報文的幀頭部和IP報文頭部。根據頭部當中的信息進行一些基礎的安全檢測
收到一個數據包:
首先監測是否有配置MAC地址過濾
為什麽是先MAC地址過濾再解析幀頭部?.
MAC地址過濾的時候只是掃描出MAC地址,根據MAC地址來進行MAC地址過濾。後面的解析幀頭部能完整的解析整個幀頭部。(自我補充:如果兩者位置調換,只會徒增設備的性能消耗,費力不討好)
根據接收報文的接口是二層接口還是三層接口有兩種處理方式:
對於三層接口接收的報文,NGFW需要根據報文中的目的地址來標明路由表,以決定這個報文的出接口。所以此類報文會在解析和剝離頭部信息後,進入後續的處理。(剝離幀頭部解析IP報文,是為了確定目的IP,以用做後續路由表查詢)

對於二層接口接收的報文,NGFW需要先判斷這個幀是否需要跨VLAN轉發,對於同一VLAN內的報文,NGFW需要根據報文中的目的MAC地址查詢MAC地址轉發表,以決定這個報文的出接口。對於需要跨VLAN轉發的報文,NGFW需要獲取其VLAN ID,找到對應的子接口或者VLAN-IF接口。子接口和VLAN-IF接口是虛擬的三層接口。所以此時報文就會按照類似三層接口接收一樣處理,NGFW根據報文中的目的地址來查找路由表,以決定這個報文的出接口。
這兩類報文在提取到所需的信息後,剝離頭部,進入後續的處理
在這個階段中主要進行的特性有:

特性 說明
MAC地址過濾 根據報文幀頭部的源MAC和目的MAC對報文進行過濾
VLAN VLAN是用戶控制以太幀在局域網泛洪的一種技術
IP/MAC地址綁定 為了防止IP地址欺騙和ARP類的***,管理員可以配置IP和MAC的對應關系,此特性可以根據報文中攜帶的Ip和MAC信息判斷報文是否合法並過濾
入接口帶寬閾值 管理員可以在接口上配置接受報文的帶寬閾值,如果當前流量帶寬已經超過了閾值,入接口就會將超出的 報文丟棄
單包***防範 在獲取報文的頭部信息後,NGFW就可以根據管理員開啟的單包***防範類型對報文的合法性和安全性進行檢測,判斷報文 是否屬於***報文並進行過濾

查詢會話表,根據查詢結果對報文做不同的安全機制檢測和處理。
此階段是NGFW的核心處理環節,主要的安全功能都在這個階段實現。NGFW根據該報文是否存在匹配的會話表項?
不存在匹配的會話表項(一些特殊的報文是不創建會話直接轉發的,例如除了ping的echo和replay的icmp包)
此時報文被認為是一條流量的首包,進入首包處理流程。

無會話
進行狀態檢測機制檢測,判斷該報文是否屬於正常的可以建立會話的首包。
(這個狀態檢測是檢查,該步驟是看防火墻是否開啟了狀態檢測,NGFW默認是開啟的,當來回路徑不一致的流量要通過NGFW時,需要關閉狀態檢測機制)

首包處理流程

  1. 匹配黑名單,若報文源地址命中黑名單,則此報文被丟棄
  2. 查詢Server-map表,若命中,記錄Server-map表中的信息(不做處理,但在3中路由查詢使用的是Server-map表中記錄的轉換後的地址)
  3. 查看數據包有沒有對應的服務器映射(即目的NAT)數據包要先將訪問的目的地址轉換後才能進一步查路由表,所以這也就解釋了為什麽服務映射階段在查找路由表階段前面
  4. 對數據包做在線用戶列表檢查
    用戶在線時會生成在線用戶列表,如不發送流量不會產生會話,當流量過來時會刷新在線用戶列表的超時時間,並繼續後續的包轉發流程生成會話表。
    (1)用戶訪問網絡資源前,首先需要經過NGFW的認證,目的是識別這個用戶當前在使用哪個IP地址。
    (2)對於通過認證的用戶,NGFW還會檢查用戶的屬性(用戶狀態、賬號過期時間、IP/MAC地址綁定、是否允許多人同時使用該賬號登錄),只有認證和用戶屬性檢查都通過的用-=戶,該用戶才能上線,稱為在線用戶。
    (3)NGFW上的在線用戶列表記錄了用戶和該用戶當前所使用的地址的對應關系,對用戶實施策略,也就是對該用戶對應的IP地址實施策略。用戶上線後,如果在線用戶超時時間內(缺省30分鐘)沒有發起業務流量,則該用戶對應的在線用戶監控表項將被刪除。當該用戶下次再發起業務訪問時,需要重新進行認證。
  6. 根據(2)的記錄結果,查詢報文命中哪條路由,優先查詢策略路由。未命中策略路由,查詢路由表,決定下一跳和出接口
  7. 查詢是否命中安全策略。已知報文入接口源地址,從(3)判斷出接口,確定區域查找安全策略
  8. 查詢是否命中源NAT策略。若匹配到,則記錄NAT轉換後的源IP地址和端口信息
  9. 根據上述記錄結果,創建會話。

後續包處理流程

NGFW中數據包轉發流程

相關推薦

NGFW轉發流程

刪除 分類 轉發 ip地址 流量 本質 賬號登錄 沒有 都在 狀態檢測防火墻報文處理流程 查詢會話前的處理過程:基礎處理 查詢會話中的處理過程:轉發處理,關鍵是會話建立 查詢會話後的處理過程:安全業務處理及報文發送 了解轉發流程之前,先給報文分個類 協議報文:使

SDN Overlay 網絡虛機轉發(1)

虛機 overlay sdn 數據包轉發 mac地址學習 在配置了網絡虛擬化(Overlay)的網絡結構中,處於Overlay網絡中的虛機數據包的封裝和MAC地址學習和傳統物理網絡(Underlay)相似又不盡相同。除了我們了解Overlay網絡需要借助Underlay網絡進行二次封裝之外

SDN Overlay網絡虛機到物理機的轉發

sdn overlay 數據包轉發 轉發網關 直接路由 在之前我們討論了SDN Overlay 網絡中5個不同場景下虛機數據包如何轉發,今天我們將繼續討論處於Overlay網絡中的虛機如何與物理機進行數據轉發。有關於微軟網絡虛擬化HNV的相關概念,如RDID、VSID、虛機網絡、虛擬子網、

NGFW資料轉發流程

狀態檢測防火牆報文處理流程 查詢會話前的處理過程:基礎處理 查詢會話中的處理過程:轉發處理,關鍵是會話建立 查詢會話後的處理過程:安全業務處理及報文傳送 瞭解轉發流程之前,先給報文分個類 協議報文:使防火牆正常運行於網路中,或用於雙機熱備等功能的協議報文,如OSPF,

RYU 如鉤構建TCP,設置ACK等標誌

設置 log spa seq flag eth logs ack bits     e = ethernet.ethernet(dst=_eth.src, src=_eth.dst,

Linux內核網絡的接收-第二部分 select/poll/epoll

() 帶來 back 都是 tips ole sni 得到 一次 和前面文章的第一部分一樣,這些文字是為了幫別人或者自己理清思路的。而不是所謂的源代碼分析。想分析源代碼的,還是直接debug源代碼最好,看不論什麽文檔以及書都是下策。因此這類幫人理清思路的文章盡可能的記成

Linux內核網絡的接收-第一部分 概念和框架

csdn 請求 版本號 post sched nec alloc nts 多核cpu 與網絡數據包的發送不同,網絡收包是異步的的。由於你不確定誰會在什麽時候突然發一個網絡包給你。因此這個網絡收包邏輯事實上包括兩件事:1.數據包到來後的通知2.收到通知並從數據包中獲取數據

lua是 ffi 解析 【是如何處理的/pkt是如何傳進去的】 fsfsfs

and 賦值 true dst cati multipl 又是 -- light lua中的ffi是如何解析的呢? 拿bcc中對proto的解析說起; metatype是有大學問的: ffi.metatype(ffi.typeof(‘struct ip_t‘), {

asp.net core遇到需要自定義解密方法的時候

聲明 AD AR 但是 sof AC asp 參數聲明 request 最近將公司的項目用.netcore重寫, 服務的http外部接口部分收發消息是DES加解密的, 那麽在asp.net core mvc的action處理之前需要加入解密這個步驟. 我第一想到的是用f

eNSP的路由器通過遠程連接,並分析

通過抓包分析路由器遠程連接1)先在華為模擬器上新建一個拓撲:2)分別在AR4和AR3上的GE 0/0/2上配置IP地址,並標識出對應的IP地址。配置IP的命令如下:system-view //進入系統視圖interface GigabitEthernet 0/0/2 //進入端口GE 0/0/2undo

Linux系統下網絡的處理流程

clean ××× 函數實現 vector important datasheet 內容 six 信號 本文主要探討linux環境下,數據包從網卡接收到協議棧處理的處理流程和對應的代碼邏輯。分析的內核代碼版本為4.17.6,涉及到的網卡硬件功能特性和邏輯均以intel的82

hadoop HDFC client 寫的基本流程

inf 保存 目錄 數據 是否 選擇服務器 hadoop 了解 hdfs 一、要了解HDFS客戶端寫數據的過程,首先需要明白namenode和datanode namenode:主要保存數據的元數據,它維護著文件系統樹及整棵樹內所有的文件和目錄,說的直白點就是文件

內網中用python分析的QQ活動信息

date unpacker 如果 cap .com ont 代碼 imp \n 首先用抓包工具抓包,保存為pcap文件。然後用python dpkt模塊解析數據包,代碼如下: #coding=utf-8 import dpkt import socket impor

在電纜的傳輸時間

pan 解析 需要 上半年 choice 發送 答案 16px 以及 2014年上半年 網絡工程師 上午試卷 綜合知識 在地面上相距2000公裏的兩地之間通過電纜傳輸4000比特長的數據包,數據速率為64Kb/s,從開始發送到接收完成需要的時間為(13)。 A.48msB.

burpsuite攔截https(Firefox)

點擊 you 都是 -i 重啟 .com -128 custom sta 1.配置瀏覽器對https也使用代理 http和https兩都是分開的,對http使用了代理並不代理對https也使用了代理,要配置瀏覽器讓其對https也使用同樣的代理。 2.將證書導入瀏

分析之信息安全鐵人三項

規範 undefined 入侵 追蹤 roo 重建 對數 進行 目錄 電子取證是指利用計算機軟硬件技術,以符合法律規範的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看,計算機犯罪取證是一個對受侵計算機系統進行掃描和破解,對入

使用網絡監視器(IRSI)捕捉和分析協議

命令 net 開頭 下載 類型 封裝 源地址 記錄 .net 轉載請註明原地址。 實驗名稱: 理解子網掩碼、網關和ARP協議的作用 一、實驗目的和要求 (1) 熟悉IRIS的使用 (2) 驗證各種協議數據包格式 (

R語言自帶

tac death 動力 over 生成 不同 工廠 sunspot iss Datasets(r自帶數據包) 作者:王書宇 作品來源:百度百科 dating from #配對的病例對照數據,用於條件logistic回歸 InsectSprays #使用不同殺蟲劑時昆蟲數目

php獲取

enc connect local 檢測 highlight blog 創建 utf fetch <?php header("Content-type:text/html;charset=utf-8");//字符編碼設置 $servername = "loc

objective-c 類型之四 字典(NSDictionary)

bject ted ray 初始化 -c lec com lock led // 1. 字典初始化、賦值方式1 NSMutableDictionary *m_dictionary = [[NSMutableDictionary alloc] initWithCa