当前位置:首页 > 网络黑客 > 正文内容

基于状态检测防火墙原理基础(上)

访客4年前 (2021-04-15)网络黑客1022

防火墙发展史简介

包过滤防火墙

早期防火墙需要对报文逐包过滤,但一般只对包头进行检测,只对三层、四层协议进行过滤,没有上层协议识别的功能(目前大多数攻击发生在应用层,包过滤不会检测应用层)

代理防火墙

在代理防火墙中,防火墙充当了客户端的代理,也就是说防火墙完全隔离了内网与外网,客户端的所有报文必须经过防火墙检查、转发后才能到外网,代理防火墙将检查所有报文的应用层,并将检查的内容信息放入决策过程。虽然包过滤能力很强,但因其配置过程繁琐、设备要求较高、还要开发专用代理软件等缺点,导致其非常不灵活

基于状态检测的防火墙

通过跟踪网络连接的过程,以流量为单位,确定连接是否可靠。目前最常见的防火墙

复合型防火墙

下一代防火墙,又称统一安全网关——USG在基于状态的防火墙上又集成了IDS、IPS、AV防病毒等功能,多种功能协调工作

基于状态检测的防火墙

基本运作模式简述

状态检测"机制,是以流量为单位 来对报文进行检测和转发,即:对一条流量的第一个报文(首包)进行包过滤规则检查,第一次来的包(防火墙可以区分是去的,还是回的),并将判断结果作为该条流量的"状态"记录进会话表项,建立两个缓存的session(一个去包缓存、一个回包缓存),后续属于同一数据流的数据包匹配缓存表后放行

基于状态检测防火墙组成

在基于状态检测的防火墙中,有两张表:规则表 和 状态表(会话表)

规则表

规则表表示了防火墙的过滤规则

规则表由 六元组构成
sadaspdpprotocol_typedirection源地址目的地址源端口目的端口协议类型数据流方向

状态表

状态表表示了数据包连接的属性

状态表由 九元组构成
protocol_typestatesequence_numberTimeoutN协议类型该次连接的状态TCP包序列号(其他此处为空)该次连接超时值连接以通过数据包个数前四项与规则表一致,此处省略

protocol_type:分为TCP、UDP、ICMP、其他协议

三大模块

  • 协议处理模块

针对数据链路层和网络层进行过滤

  • 规则匹配模块

根据事先配置的规则对数据包进行过滤

  • 状态检测模块

分析协议的工作原理和流程

具体匹配流程

1:数据包首先会到达状态检查模块,通过对数据包分析、提取数据包报文头文件信息,检查数据包是否符合在状态表中某个已经建立的有效的会话连接记录,如符合记录则根据报文头信息更新状态表并放行。

2:若与状态表中无匹配表项,则检测其与规则表是否匹配,不匹配直接丢弃

3:若匹配进一步判断是否允许建立新连接,这时根据 IP 协议承载的上层不同
协议类型建立新表项,最终报文加载状态信息进行处理

TCP数据包的检测流程

TCP是基于连接的协议,通过三次握手确保数据的稳定传输

TCP连接首次建立的过程中

  • 发起连接的SYN报文只通过规则表的检查
  • 其余报文(非SYN数据包)则需要通过状态表的匹配

状态检测接口接收到 TCP 数据包后

1:首先对 TCP 包进行完整性检查
和流量检查
: 通过检查来判断数据包长度是否相等物理地址是否正确等等

2:其次判断是否是 SYN 连接

3:若为SYN首包,由于TCP连接通过三次握手建立(SYN->SYN/ACK->ACK),所以在确认SYN为三次握手的首包,并匹配规则表后,会建立一个临时的"连接未完成表"——Pending表Pending表是为还未进行的两次握手(SYN/ACK,ACK)建立的临时表,从而避免了后续的握手包还需要经过规则表匹配,提高效率

相关攻击及防御措施

伪造TCP报文防护

为了防止攻击者伪造TCP报文,攻击者可以伪造成与正常用户一样的6元组,这时需要通过9元组中的参数N对TCP报文的序号(为了保证传输的可靠性,TCP对每一个报文都进行了编号,攻击者无从伪造编号)进行检测

SYN Flood攻击防护

为了防止SYN Flood等DDOS攻击,需要对超时时间进行限制(状态表九元组中Timeout表项),对超时未建立连接的SYN报文即使丢弃

下一文介绍防火墙区域划分于基本安全策略的配置

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106373.html

分享给朋友:

“基于状态检测防火墙原理基础(上)” 的相关文章

奥运会遭到俄罗斯黑客攻击!黑客攻击微信聊天记录

人民网2021年8月13日02:28:03的消息,黑客攻击微信聊天记录 东京奥运会惨遭俄罗斯黑客攻击! 英国国家网络安全中心日前揭露了一项惊人的黑客计划:俄罗斯军事情报部门曾准备对原定今夏举办的东京奥林匹克运动会和残奥会发起网络攻击。据悉,其攻击目标涵盖赛事组织者、后勤公司和赞助商。 打开百...

【干货知识】高級不断渗透第八季-demo就是远程控制

本季度是《高級不断渗透-第七季demo的发展》的持续。 点一下文尾左下角“阅读”可阅读文章第七季文章正文。 在第一季有关后门中,文章内容提及再次编译程序notepad ,来引入有目标源代码后门结构。 在第六季有关后门中,文章内容假定不在获知notepad 的源代码,来引入无目标源代码沟...

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我 请各位帮我想想办法,开网店怎么找女装货源唔爱神起助您成就财富人生,想做微商?想开实体店?想开淘宝店?什么才是你创业的最重要步骤?货源!想在微商卖童装母婴用品纸尿裤女装,开童装女装店铺,你去哪里找最好的货源?如何找童装女装一手货源呢?...

为什么反复烧开的水会有毒?

为什么反复烧开的水会有毒? 千滚水就是在炉上沸腾了一夜或很长时间的水,还有电热水器中反复煮沸的水。这种水因煮过久,水中不挥发性物质,如钙、镁等重金属成分和亚硝酸盐因浓缩后含量很高。久饮这种水,会干扰人的胃肠功能,出现暂时腹泻、腹胀;有毒的亚硝酸盐还会造成机体缺氧,严重者会昏迷惊厥,甚至死亡。 蒸...

苹果笔记本19款air参数_133英寸是多少厘米

Macbook Air厚度分为两个版本,1366x768;CPU型号:Intel酷睿i52467M;CPU主频,2010年10月,Touch Bar位于键盘上方,宽169点5毫米6点6英寸长240毫米。 4款,长240毫米9点4英寸。12寸。 MacBook Air相关尺寸,133扩展:苹果MacB...

如厕阅读-如厕时读书看报有哪些坏处?

如厕阅读-如厕时读书看报有哪些坏处? 读书、看报兼如厕,不少人有这样的习惯。然而这一习惯非常不好。蹲厕时读书看报,会干扰大脑对排便传导神经的指挥,延长排便时间。现代医学研究证实,蹲厕超过3分钟即可直接导致直肠静脉曲张淤血,易诱发痔疮,且病情的轻重与时间长短有关。蹲厕时间越长,发病几率越高。因为久蹲...

评论列表

依疚迟山
3年前 (2022-07-04)

防火墙发展史简介包过滤防火墙早期防火墙需要对报文逐包过滤,但一般只对包头进行检测,只对三层、四层协议进行过滤,没有上层协议识别的功能(目前大多数攻击发生在应用层,包过滤不会检测应用层)代理防火墙在代理防火墙中,防火墙充当了客户端的代理,也就是说防火墙完全

余安闻呓
3年前 (2022-07-04)

连接3:若为SYN首包,由于TCP连接通过三次握手建立(SYN->SYN/ACK->ACK),所以在确认SYN为三次握手的首包,并匹配规则表后,会建立一个临时的"连接未完成表"——Pending表,Pending表

慵吋春慵
3年前 (2022-07-03)

必须经过防火墙检查、转发后才能到外网,代理防火墙将检查所有报文的应用层,并将检查的内容信息放入决策过程。虽然包过滤能力很强,但因其配置过程繁琐、设备要求较高、还要开发专用代理软件等缺点,导致其非常不灵活基于状态检测的防火墙通过跟踪网络连接的过程,以流量为单位,确定连接是否可靠。目前最常见

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。