网络安全学习笔记——第八天 防火墙安全策略之包过滤技术及转发原理

包过滤技术

对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表。

包过滤基础

MAC报头：协议号、源地址、目的地址

IP报头：协议号、源地址、目的地址

TCP/UDP报头：源端口、目的端口

数据

防火墙安全策略

定义：安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。

主要应用：对跨防火墙的网络互访进行控制；对设备本身的访问进行控制。

防火墙安全策略原理

步骤1：入数据流经过防火墙

步骤2：查找防火墙安全策略，判断是否允许下一操作

步骤3：防火墙根据安全策略定义规则对数据包进行处理

防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。

安全策略分类：域间安全策略、域内安全策略、接口包过滤

防火墙转发原理

防火墙域间转发

首包流程：查路由表→基于接口所属域间及方向→查域间包过滤规则

状态检测机制

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。

状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。

会话表的产生

协议		开启状态检测功能	关闭状态检测功能
TCP	SYN报文	创建会话，转发报文	创建会话，转发报文
	SYN+ACK、ACK报文	不创建会话，丢弃报文	创建会话，转发报文
UDP		创建会话，转发报文	创建会话，转发报文
ICMP	Ping回显请求报文	创建会话，转发报文	创建会话，转发报文
	Ping回显应答报文	不创建会话，丢弃报文	创建会话，转发报文
	其他ICMP报文	不创建会话，转发报文	不创建会话，转发报文

会话表项

查看会话表信息

○ 显示会话表简要信息 display firewall session table

○ 显示会话表详细信息 display firewall session table verbose

！如果会话表详细信息当中下一跳是防火墙接口环口的情况下，MAC地址是00-00-00-00-00-00

会话在转发流程中的位置