狀態防火牆(英語:stateful firewall),一種能夠提供狀態資料報檢查(stateful packet inspection,縮寫為spi)或狀態檢視(stateful inspection)功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線(例如tcp與udp連線)的狀態。這種防火牆被設計來區分不同連線種類下的合法資料報。只有匹配主動連線的資料報才能夠被允許穿過防火牆,其他的資料報都會被拒絕。
狀態化防火牆維護乙個關於使用者 資訊的連線表,稱為conn表
conn表中的關鍵資訊:
預設情況下,asa對tcp和udp協議提供狀態化連線,但icmp協議是非狀態化的1
流量傳送時,狀態化防火牆的處理過程:
pc向web伺服器傳送乙個http請求;
http請求到達防火牆,防火牆將連線資訊新增到conn表中;
防火牆將http請求**給web伺服器。
流量返回時,狀態化防火牆處理的過程:
web伺服器相應http請求,返回相應的資料流量;
防火牆攔截該流量,檢查其連線資訊:
如果在conn表中查詢到匹配的連線資訊,則流量被允許;
如果在conn表中找不到匹配的連線資訊,則流量被拒絕。
asa防火牆是一種典型狀態化防火牆
asa使用安全演算法執行以下三項基本操作
訪問控制列表
基於特定的網路、 主機和服務(tcp/udp埠號) 控制網路訪問;
連線表
維護每個連線的狀態資訊;
安全演算法使用此資訊在已建立的連線中有效**流量;
檢測引擎
執行狀態檢測和應用層檢測;
檢測規則集是預先定義的,來驗證應用是否遵從每個rfc和其他標準;
乙個新來的tcp syn報文到達asa,試圖建立乙個新的連線;
asa檢查訪問控制列表,確定是否允許連線;
asa執行路由查詢,如果路由正確,asa使用必要的會話資訊在連線表中建立乙個新條目;
asa在檢測引擎中檢查預定義的一套規則,如果是已知應用,則進行下一步應用層檢測;
asa根據檢測引擎確定是否**或丟棄報文;
目的主機相應報文;
asa接收返回報文並進行檢測,在連線資料庫中查詢連線,確定會話資訊與現有連線是否匹配;
asa**屬於已建立地現有會話的報文。
安全級別之間互相訪問時,預設遵守的規則
inside區域:內部區域,一般安全級別為100;
outside區域:外部區域,一般安全級別為0;
dmz2
(隔離區域):一般放置一些對外公開的伺服器,它的安全級別介於inside和outside之間。
預設的訪問規則
inside可以訪問outside,inside可以訪問dmz;
dmz可以訪問outside,dmz不能訪問inside;
outside不能訪問inside,outside不能訪問dmz。
防火牆的配置:
asa(config)# int e0/0
asa(config-if)# nameif inside
//進入防火牆介面配置區域型別(inside 內部區域)
asa(config-if)# ip add 20.1.1.1 255.255.255.0
asa(config-if)# no sh
asa(config-if)# int e0/2
asa(config-if)# nameif dmz
//進入防火牆介面配置區域型別(dmz隔離區域)名字自己隨便定義
asa(config-if)# security-level 50
//手工設定安全級別是50
asa(config-if)# ip add 30.1.1.1 255.255.255.0
asa(config-if)# no sh
asa(config-if)# int e0/1
asa(config-if)# nameif outside
//進入防火牆介面配置區域型別(outside外部區域)名字自己隨便定義
asa(config-if)# ip add 50.1.1.1 255.255.255.0
asa(config-if)# no sh
asa(config)# access-list 100 permit ip any any
asa(config)# access-group 100 in int outside
// 允許所有基於ip協議的資料報,應用到outside區域的入方向(在防火牆中,acl列表的名字可以隨便定義,可以是數字、英文、符號)
asa(config)# access-list 1111 permit icmp any any access-group 1111 in int dmz
//允許所有基於icmp協議的資料報,應用到dmz區域的入方向
檢視命令:
show access-list //檢視所有的acl語句
show run access-group //檢視防火牆那個區域應用了那個acl語句
show route //檢視防火牆的路由表
show conn detail //檢視防火牆的conn表
協議的狀態是指下一次傳輸可以"記住"這次傳輸資訊的能力. 或者說該協議工作的過程有記憶能力。 http是不會為了下一次連線而維護這次連線所傳輸的資訊,為了保證伺服器記憶體 ↩︎
demilitarized zone:稱為「隔離區」,位於企業內部網路和外部網路之間的個網路區域。 ↩︎
網路安全硬體 防火牆AF
傳統防火牆 防火牆系統能工作在osi 7層模型的5個層次上,能從越多的層來處理資訊,意味著在過濾處理中就跟精細 路由模式 可以看成 防火牆 路由器 網橋模式 可以看成 防火牆 交換機 當內網需要邊界路由器做nat,那就選用網橋模式,在防火牆之外再加乙個路由器 如果不需要邊界路由器,就選用防火牆啟用路...
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...