Firewall Sitzungseinrichtung
firewallFührt die folgenden Schritte aus, um eine Sitzung firewall einzurichten:
3.1. Zonenschutzkontrollen
Nachdem das Paket auf einer firewall Schnittstelle eintrifft, werden die Eingangsschnittstelleninformationen verwendet, um die Eingangszone zu bestimmen. Wenn jede Zone Schutzprofile für diese Zone vorhanden sind, ist das Paket evaluiert, basierend auf der Profilkonfiguration.
3.2. TCP State Check
Wenn das erste Paket in einer Sitzung ein Paket ist TCP und das Bit nicht festgelegt SYN ist, verwirft der firewall es (Standard).Wenn SYN Überflutungseinstellungen im Zonenschutzprofil konfiguriert sind und die Aktion auf Cookies gesetzt SYN ist, TCP SYN wird das Cookie ausgelöst, wenn die Anzahl der SYN Übereinstimmungen mit dem Aktivierungsschwellenwert erfolgt. SYN Die Cookie-Implementierung funktioniert wie folgt:
- Das Saatgut, das Cookie zu kodieren wird per Zufallsgenerator erzeugt jedes Mal, wenn die Datenebene hochfährt.
- Wenn ein ACK vom Client empfangenes Paket nicht mit der Cookie-Codierung übereinstimmt, behandelt es das Paket als SYN nicht-paket.
- A Sitzung, die den Cookie-Prozess übergibt, unterliegt der Übersetzung der SYN TCP Sequenznummer, da der firewall als Proxy für den TCP 3-Wege-Handshake fungiert.
Wenn die SYN Aktion "Hochwasserschutz" stattdessen auf Random Early Drop ( ) festgelegt RED ist, was die Standardeinstellung ist, werden alle Nachrichten, die firewall nach Erreichen des Schwellenwerts empfangen werden, einfach fallen SYN gelassen. SYN Cookies werden bevorzugt, wenn Sie mehr legitimen Datenverkehr passieren lassen möchten, während Sie in der Lage sind, Flutpakete zu unterscheiden SYN und diese stattdessen fallen zu lassen. RED, auf der anderen Seite, wird SYN Pakete nach dem Zufallsprinzip fallen und kann legitimen Verkehr gleichermaßen beeinflussen.
Hinweis: Sie können die so konfigurieren, dass das erste Paket zugelassen firewall TCP wird, auch wenn kein SYN Bit festgelegt ist.Das Ändern des Standardverhaltens und das Zulassen von SYN TCP Nicht-Paketen durch stellen ein Sicherheitsrisiko dar, indem die zu böswilligen Paketen geöffnet werden, die Firewall nicht Teil einer gültigen TCP Verbindungssequenz sind. Obwohl dies keine empfohlene Einstellung ist, könnte es für Szenarien mit asymmetrischen Ströme erforderlich. Sie sollten die so firewall konfigurieren, TCP dass sie nicht- SYN abgelehnt wird, wenn Cookies aktiviert SYN sind.