華爲防火牆數據包轉發流程（HCIE-Security面試考試必會題型之一）

時間 2020-08-20

標籤華爲防火牆數據轉發流程 hcie security 面試考試必會之一欄目快樂工作简体版

原文原文鏈接

答題思路：整體分爲三個階段：
一、查詢會話前的基本處理
二、查詢會話表中
三、對經過安全檢測後的流量進行正確的轉發面試

一、查詢會話前的基本處理

接受報文 ----------MAC過濾------解析幀頭部--------（二層--VLAN）/三層------解析IP頭部---------IP/MAC綁定---入接口帶寬閾值 -----單包***
安全

二、查詢會話表中

沒有會話表據首包建立會話

(1).狀態檢測

A.必須開啓狀態檢測

配置TCP代理方式的SYN FLood***防範、TCP全鏈接***防範時，針對SMTP和POP3協議的郵件過濾/反病毒/內容過濾功能若是不開啓狀態檢測的話這些功能都沒有用服務器

1. 針對TCP ICMP首包創建會話

SYN  SYN+ACK  ACK
echo-request echo-reply

2.特殊報文---不會建立會話

OSPF RIP和ISIS路由協議報文不會建立會話（組播的）
IGMP報文不會建立會話
IP Protocol字段沒有值報文也不會建立會話
二層模式下目的MAC爲Unkown MAC而須要再VLAN內廣播的報文不會建立會話

B.關閉狀態檢測

Lab當中來回路徑不一致的的時候（SACG的場景）---必須關閉狀態檢測負載均衡

(2),黑名單：針對IP和用戶的快速過濾

類型：用戶黑名單源IP黑名單，目標IP黑名單
黑名單建立：手動和自動
手動建立：管理員本身建立
自動建立：自動建立黑名單的場景
登陸失敗 10分鐘（缺省時間）
***防範 20分鐘
***防護 IPS 不固定
***檢測 IDS 大於10分鐘的默認10分鐘
非法訪問 20分鐘ide

(3) SERVER-MAP（重點說）

做用：

一、能夠爲某些協議好比FTP協議在主動模式下經過ASPF技術產生動態的server-map表象讓數據平面可以順利的將數據進行轉發
二、針對NAT的某些場景：好比no-pat、NAT-Server、SLB加密

產生的場景：

1.配置ASPF後，轉發FTP、RTSP等多通道協議時生成的四元組Server-map表項
2.配置ASPF後，轉發QQ/MSN、等STUN類型協議時生成的三元組Server-map表項
3.配置NAT服務器映射時生成的靜態Server-map
4.配置SLB生成靜態Server-map
5.配置NAT No-PAT時生成的動態Server-map
小結：
前兩種狀況和第五種狀況下是隻在有流量的狀況纔會觸發產生server-map表，有老化時間。
第三種狀況和第四種狀況在配置好NAT-SERVER和SLB的時候後就產生靜態的server-map，只有刪除nat-server或者SLB，server-map纔會被刪除，沒有老化時間代理

(4) 服務器映射-----------真正把目的地址作轉換

查看數據包有沒有對應的服務器映射，數據包要先將訪問的目的地址轉換後才能進一步查路由表安全策略匹配的話是匹配轉換後的地址 server-map對於nat來講永遠只能作匹配不能作轉換 code

(5）在線用戶表

在線用戶：

A.首先須要通過NGFW的認證，目的是識別這個用戶當前在使用哪一個IP地址
B.NGFW還會檢查用戶的屬性（用戶狀態、賬號過時時間、IP/MAC地址綁定、是否容許多人同時使用該賬號登陸），只有認證和用戶屬性檢查都經過的用戶，該用戶才能上線server

NGFW上的在線用戶表記錄了用戶和該用戶當前所使用的地址的對應關係，對用戶實施策略，也就是對該用戶對應的IP地址實施策略。
用戶上線後，若是在在線用戶超時時間內（缺省30分鐘）沒有發起業務流量，則該用戶對應的在線用戶監控表項將被刪除。當該用戶下次再發起業務訪問時，須要從新進行認證。blog

(6)應用關聯表

應用識別

獲取流量的用戶和應用信息一般不能根據分析一個報文完成。爲了獲取這條流量的多個業務報文，將首先根據認證策略，向須要認證可是還沒有登陸的用戶進行網頁重定向，向其推送認證頁面，以獲取其用戶信息。在用戶認證經過後，FW將根據用戶實際傳輸的多個報文分析出該條流量的應用類型，在這個分析過程當中，FW會先根據首包創建一條會話，其中的應用信息保留爲空。直至分析完成後再刷新會話表項填入應用信息
此時這條流量所能匹配的策略就可能發生變化，FW對其的處理方式也會隨之改變

應用關聯表

系統識別出某一應用後，會在系統內部生成應用識別關聯表，該應用的後續報文命中應用識別關聯表後再也不進行應用識別操做，直接按照該應用對應的策略進行轉發，提升了應用識別的效率（用於記錄當前流量的應用信息的重要表項）

<sysname> display protocol-identify all
Total: 1
-------------------------------------------------------------------------------
ID    SERVER          PORT      SERVICE     ***-Instance     TTL    Left-Time  
1     10.2.2.2        5555      HTTP        aaa              3600   00:02:30
---------------------------------------------------------------------------------

(7)路由表

NGFW根據該報文的目的地址查詢路由表，獲取出接口信息

(8）認證策略

NGFW獲取到流量的源和目以及安全區域信息的信息後決定是否要求對該條流量進行認證，以獲取用戶信息
在用戶管理與認證技術中配置認證策略，此項要配置了才檢查，有認證的策略狀況下，此項只是匹配認證策略，下一階段「用戶首包處理」才進行認證

(9)用戶首包處理

對於須要認證的用戶，設備會重定向該用戶的http請求，向其推送網頁形式的認證頁面，請求用戶輸入用戶名和密碼作認證

(10)安全策略

用戶認證經過後，NGFW根據以前提取的流量源和目的信息，加上經過認證獲取到的用戶信息，對流量進行安全策略匹配。若是匹配成功，首先會根據策略動做是「容許」仍是「禁止」決定是放行首包創建會話，仍是丟棄首包禁止流量。若是動做爲「容許」，那麼NGFW會根據安全策略引用的內容安全配置文件對該條流量進行標記，在下一階段將會進行內容安全的處理

(11) 源NAT策略匹配

在此處只是匹配了源NAT策略，可是沒有作源NAT真真作源地址轉換

(12) 會話鏈接數閾值限制

若是此時會話數還沒有達到管理員配置的鏈接數限制閾值，NGFW就會經過上述檢測的首包創建會話。首包自己將繼續進入後續的轉發模塊處理，而這條流量的後續報文將進入「存在匹配的會話表項」這個流程處理

(13) 建立會話

有會話處理

(1) 在線用戶刷新

後續報文首先會觸發在線用戶表的刷新，以保持有流量的用戶持續在線
首包創建過程也可能會刷新在線用戶列表，這種狀況出如今：用戶在線，在線用戶列表還未超時消失，但沒有傳數據，忽然又從新傳數據，那麼這個數據的第一個包被狀態檢測出來爲首包走首包創建會話的流程，到「在線用戶列表」這一階段刷新用戶列表

(2)基於流***防範

例如DDoS***，來的第一個包（首包）看不出有什麼問題，創建了會話，結果後續數據流變成1s來幾千個包，便會定義爲DDoS***，而後給予防範動做

(3)狀態檢測

因爲NGFW認爲「首包安全並不表明後續報文必定安全」，因此NGFW實現的是對一條流量持續不斷的安全檢測。這第二個狀態檢測是在這個持續檢測中，應用信息識別、用戶上下線、內容安全功能檢測出流量攜帶***或病毒等安全風險（首包沒有病毒，後續報文忽然包含病毒會觸發該項）、管理員配置變動（例如修改安全策略中的源目的IP等）多種狀況都有可能致使會話表項刷新。因此一但會話表項被刷新過，NGFW就會對該條流量的報文從新進行一些檢查和處理