防火墙关键术语

举报
oysterzz 发表于 2022/05/28 18:06:05 2022/05/28
【摘要】 安全域•域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。•常用的安全检查主要包括基于ACL和应用层状态的检查•USG防火墙上预定义了5个安全区域:本地区域Local(指防火墙本身)、受信区域Trust、非*事化区域DMZ(Demilitarized Zone)、非受信区域Untrust,用户可以根...
安全域
域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。
常用的安全检查主要包括基于ACL和应用层状态的检查
USG防火墙上预定义了5个安全区域:本地区域Local(指防火墙本身)、受信区域Trust、非*事化区域DMZDemilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安全区域

1.png


域间
防火墙在引入域概念的同时也引入了域间概念;任何不同的安全域之间形成域间关系,USG防火墙上很多规则都是配置在域间上
inbound:报文从低优先级区域进入高优先级区域为入方向
outbound:报文从高优先级区域进入低优先级区域为出方向

2.png


会话表项
会话是状态防火墙的基础,每一个通过防火墙的会话都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值;
防火墙通过会话表还能提供许多其他的功能,如加速转发,基于流的等价路由,应用层流控等
多通道协议
是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道;
多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的)其报文方向也是不固定的
多通道协议应用有很多,最典型的是ftp,其他的一般都如很音频和视频通讯有关如:H.323(包括T.120RASQ.931H.245等)、SIPMGCP,此外许多实时聊天通讯软件也是多通道协议的,如MSNQQICQ

ServerMap表项
ServerMap表项本质上是一个三元组表项,五元组表项过于严格,导致多通道协议不能通过防火墙,因为在子通道首包通过的时候,并不知道完整的5元组信息,只能预测到3元组信息
ServerMap表项就是用在NAT ALGASPF当中,满足多通道协议通过防火墙设计的一个数据结构
防火墙设备和Nat设备在进行多通道协议通讯时需要支持的功能,即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换规则——ServerMap表项,这样数据通道报文才能正常通过防火墙或者进行正确的Nat转换,这才能保证多通道协议业务的正常
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。