防火墙关键术语
【摘要】 安全域•域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。•常用的安全检查主要包括基于ACL和应用层状态的检查•USG防火墙上预定义了5个安全区域:本地区域Local(指防火墙本身)、受信区域Trust、非*事化区域DMZ(Demilitarized Zone)、非受信区域Untrust,用户可以根...
安全域
•域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。
•常用的安全检查主要包括基于ACL和应用层状态的检查
•USG防火墙上预定义了5个安全区域:本地区域Local(指防火墙本身)、受信区域Trust、非*事化区域DMZ(Demilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安全区域
域间
•防火墙在引入域概念的同时也引入了域间概念;任何不同的安全域之间形成域间关系,USG防火墙上很多规则都是配置在域间上
•inbound:报文从低优先级区域进入高优先级区域为入方向
•outbound:报文从高优先级区域进入低优先级区域为出方向
会话表项
•会话是状态防火墙的基础,每一个通过防火墙的会话都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值;
•防火墙通过会话表还能提供许多其他的功能,如加速转发,基于流的等价路由,应用层流控等
•
多通道协议
•是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道;
•多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的)其报文方向也是不固定的
•多通道协议应用有很多,最典型的是ftp,其他的一般都如很音频和视频通讯有关如:H.323(包括T.120、RAS、Q.931和H.245等)、SIP、MGCP,此外许多实时聊天通讯软件也是多通道协议的,如MSN,QQ,ICQ等
ServerMap表项
•ServerMap表项本质上是一个三元组表项,五元组表项过于严格,导致多通道协议不能通过防火墙,因为在子通道首包通过的时候,并不知道完整的5元组信息,只能预测到3元组信息
•ServerMap表项就是用在NAT ALG、ASPF当中,满足多通道协议通过防火墙设计的一个数据结构
•防火墙设备和Nat设备在进行多通道协议通讯时需要支持的功能,即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换规则——ServerMap表项,这样数据通道报文才能正常通过防火墙或者进行正确的Nat转换,这才能保证多通道协议业务的正常
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)