数据包流序列中 PAN-OS
1092010
Created On 09/25/18 19:10 PM - Last Modified 06/04/21 21:44 PM
Resolution
此文档在。中描述了数据包处理序列 PAN-OS 。
包裹生命中的一天 PAN-OS数据包流序列。 由于 PAN-OS 7.0.2 和 6.1.7 PAN-48644 (), DOS 保护查找是在安全 policy 查找之前完成的。 此文档已更新以反映此行为变化:
内容: SECTION1: OVERVIEW
SECTION 2: INGRESS STAGE
2.1 PACKET PARSING 2.2 TUNNEL DECAPSULATION 2.3 IP DEFRAGMENTATION SECTION 3: FIREWALLSESSION LOOKUP
3.1. ZONE PROTECTION CHECKS 3.2. TCP STATE CHECK 3.3. FORWARDING SETUP 3.4. NAT POLICY LOOKUP 3.5. USER - ID 3.6. DOS PROTECTION POLICY LOOKUP 3.7. SECURITY POLICY LOOKUP 3.8. SESSION ALLOCATION SECTION 4: FIREWALL SESSION FAST PATH
SECURITY PROCESSING CAPTIVE PORTAL SECTION 5 :( APPLICATION IDENTIFICATION APP - ID)
SECTION 6: CONTENT INSPECTION
SECTION FORWARDING7:/ EGRESS
SECTION 8: SUMMARY
第1节: 概述 此文档描述了设备内部的分组处理顺序 PAN-OS 。 进场和转发/进场阶段处理网络功能并制作数据包-按包转发决策。 其余阶段是应用和内容突出显示的基于会话的安全模块 ID ID 。 这种脱钩在应用程序层提供状态安全功能,以及每包转发的弹性和部署到道歉的灵活性。
第 2 节: 入口阶段 入口阶段从网络界面接收数据包,解析这些数据包,然后确定给定数据包是否需要进一步检查。 如果数据包需要进一步检查, firewall 则继续进行会话查找,数据包将进入安全处理阶段。 否则,将 firewall 数据包转发到出口阶段。第 3 节 firewall 根据数据包类型和接口的操作模式,总结了转发数据包未检查的情况。
注意 : 在数据包处理过程中, firewall 可能会因为违反协议而丢弃数据包。 在某些情况下,由于 firewall 攻击预防功能,它会丢弃没有可配置选项的包。 第2.1条列举了 firewall 现阶段丢弃数据包的情况。
数据包流演练 单HERE 击"高"图片
2.1 数据包 解析 数据包解析从从电线接收的包的以太网(层-2)头开始。
IPv4: firewall 出于以下任何原因,将丢弃数据包:
以太网类型和版本不匹配 IP 截断 IP 的标题 IP 协议编号0 TTL 零 陆地攻击 死亡平 火星 IP 地址 IP 支票错误
IPv6: firewall 出于以下任何原因,将丢弃数据包:
以太网类型和版本不匹配 IP 截断的 Ipv6 标头 截断 IP 的数据包( IP 有效负载缓冲区长度小于 IP 有效载荷字段) 巨无霸扩展 RFC (2675) 截断的扩展标头
接下来, TCP 如果适用,则解析第 4 层 UDP (/) 标题。
TCP: firewall 出于以下任何原因,将丢弃数据包:
TCP 标题被截断。 数据 - 偏移字段小于 5 校验和错误 端口为零 标志的无效组合 TCP
UDP: firewall 出于以下任何原因,将丢弃数据包:
UDP 头截断 UDP 有效载荷截断(不 IP 片段和 UDP 缓冲区长度小于 UDP 长度字段) 校验和错误
2.2 隧道斩首 在 firewall 解析阶段执行斩首/解密。 解析数据包后,如果 firewall 确定它与隧道(即 IPSec) SSL-VPN 与 SSL 传输匹配,则执行以下顺序:
首先 firewall 斩首数据包,如果存在错误,则丢弃该数据包。 与隧道关联的隧道接口分配给作为其新的入口界面包,然后该数据包美联储回通过解析过程,开始与数据包报头由隧道类型定义。 目前,支持的隧道类型是 IP 层隧道,因此分组解析(对于隧道包)从 IP 标题开始。
2.3 IP 去污 firewall解析 IP 片段,使用除颤过程重新组装,然后从标题开始将数据包反馈给解析器 IP 。在此阶段,由于泪滴攻击(重叠片段)、碎片错误或 firewall 命中系统限制缓冲片段(命中最大数据包阈值),可能会丢弃片段。
第 3 节:Firewall会话查找 A 数据包需要 firewall 根据数据包类型和接口模式进行处理。 下表总结了给定界面操作模式和数据包类型的分组处理行为:
数据包类型 界面操作模式 层-3 层-2 虚拟线 水龙头 IPv4 单播 检查和转发 检查和转发 检查和转发 检查与下降 IPv4 多播
(224.0.0.1-239.255.255.255)
检查和转发 仅向前(洪水) 向前,但检查只有当多播
防火墙是在
检查与下降 IP 广播
(255.255.255.255)
下降 仅向前 (洪水) 向前,但检查只有当多播
防火墙是在
下降 IP 本地广播 下降 仅向前 (洪水) 向前,但检查只有当多播
防火墙是在
下降 IPv6 检查并转发如果启用
向前迈进,但要检查仅当 IPv6 防火墙上 (默认值)
向前迈进,但要检查仅当 IPv6 防火墙上 (默认值) 下降,但检查仅当 IPv6 防火墙上 (默认值) 非-IP 如果适用,不是向前的过程 仅向前 仅向前 下降
如果对数据包进行 firewall 检查,则对数据包执行流查找。 A firewall 会话由两个单向流组成,每个流程都经过唯一识别。 在 PAN-OS "实施"中, firewall 使用 6 个重密钥识别流量:
来源和目的地地址: IP IP 数据包中的地址。 来源和目的地端口:来自 TCP / UDP 协议标题的端口编号。对于非 TCP UDP //,使用不同的协议字段(例如 ICMP ICMP 用于标识符和序列号,用于在设备上终止 IPSec 的安全参数索引 SPI (),对于未知,则使用恒定的保留值跳过第 4 层匹配)。 协议: IP 从标题中获取协议编号 IP 用于推导流键。 安全区:此字段源源于数据包到达的入口界面。 firewall存储活动流在流量查找表中。 当确定数据包符合检查条件时 firewall , firewall 则从数据包中提取 6-tuple 流键,然后执行流查找,以匹配数据包与现有流。 每个流都有一个客户端和服务器组件,其中客户端从"角度"是会话的第一个数据包 firewall 的发送者,服务器是第一个数据包的接收者。
注意: 客户端和服务器的区别来自 firewall "从"的角度,从最终主机的角度来看,可能相同,也可能不相同。 根据上述客户端和服务器定义,将有一个客户端到服务器 (C2S) 和服务器到客户端 (S2C) 流,其中所有客户端到服务器数据包应包含与 C2S 流相同的密钥,S2C 流等。
Firewall 会话设置 firewall执行以下步骤以设置 firewall 会话:
3.1. 区域保护检查 数据包到达 firewall 接口后,入口界面信息用于确定入口区域。 如果任何区域保护配置文件存在的该区域,该数据包是基于配置文件配置的评价。
3.2. TCP S泰特C赫克 如果会话中的第一个数据包是一个 TCP 数据包,并且它没有 SYN 设置位,则 firewall 丢弃它(默认值)。如果 SYN 将洪水设置配置在区域保护配置文件中,并将操作设置为 SYN Cookie,则 TCP SYN 如果 SYN 数量与激活阈值匹配,则触发 Cookie。 SYN 饼干实现功能如下:
种子要编码的 cookie 是通过每次启动数据平面的随机数字生成器生成的。 如果 ACK 从客户端收到的包与 Cookie 编码不匹配,则将数据包视为非 SYN 包。 A 通过 SYN Cookie 过程的会话受 TCP 序列号翻译的约束,因为该会 firewall 话充当 TCP 了三向握手的代理。 如果 SYN 防洪行动被设置为随机早期下降 RED (),这是默认值,则 firewall 只需删除 SYN 在达到阈值后收到的任何消息。 SYN 当您希望允许更多合法流量通过,同时能够区分 SYN 洪水数据包并丢弃这些流量时,Cookie 是首选。 RED另一方面,将 SYN 随机丢弃数据包,并可以平等地影响合法流量。
注意:您可以配置 firewall 允许第一个 TCP 数据包,即使它没有 SYN 位设置。SYN TCP通过打开 Firewall 非有效连接序列一部分的恶意数据包来更改默认行为并允许非数据包通过会带来安全风险 TCP 。 虽然这不是推荐的设置,它可能需要具有非对称流动的方案。 firewall TCP SYN 当 SYN cookie启用时,您应该配置拒绝。
3.3. 转发S等 这一阶段确定的包转发路径。 包转发取决于接口的配置。 下表汇总了包转发行为:
界面模式
转发操作
水龙头 从角度看,出口界面/区域与入口界面/区域相同 policy 。 丢弃 firewall 数据包。 虚拟线 出口接口是配置虚拟线中的同行接口 层-2 MAC从表中检索到目的地的出口接口 MAC 。 如果信息不存在,框架将淹没在相关广播域的所有接口中 VLAN ,但入口接口除外。
层-3 使用 firewall 路线查找表来确定下一个跳,或在没有匹配的情况下丢弃数据包。
3.4. NAT P奥利西L· 乌库普 这是仅适用于 3 层或虚拟线模式。 在此阶段,可获取入口和出口区信息。 firewall 原始 NAT 数据包的评估规则。
对于目的地 NAT , firewall 执行第二个路线查找已翻译的地址,以确定出口界面/区域。 对于源 NAT , firewall 评估 NAT 源 IP 分配规则。 如果分配检查失败,则 firewall 丢弃数据包。
3.5.用户-ID 使用 firewall IP 数据包的地址查询用户 IP 映射表(按 VSYS 维护)。 获取相应的用户信息。 firewall下一个用户信息以查询用户组映射表并获取与此用户关联的组映射(它返回用户所属的所有组)。
还有用户信息不是可利用的在这一点上的机会。 在这种情况下,如果设置俘虏门户 policy , firewall 将尝试通过俘虏门户身份验证(在第 4 节中讨论)找出用户信息。
3.6. 多斯保护Policy 查找 接下来, firewall 根据 DoS 保护 policy 配置文件检查流量阈值的 DoS(拒绝服务)保护。如果 DoS 保护 policy 操作设置为"保护", firewall 则检查指定阈值,如果检测到匹配项(检测到 DoS 攻击),则会丢弃数据包。
如果 policy 操作是允许的或拒绝的,则无论 DoS 配置文件中设置的阈值限制如何,该操作都优先。
3.7. 安全P寡头洛奥库普 在这个阶段,入口和出口的区域信息是可用的。firewall使用应用程序 ANY 执行查找和检查规则匹配。如果规则匹配,如果 policy 操作设置为"拒绝",则 firewall 会丢弃数据包。firewall如果没有安全规则匹配,则拒绝流量。 firewall默认情况下,允许区域内交通。 您可以从安全策略规则库修改此区域内和区域间流量的默认行为。
注意: 即使 firewall 有配置的规则,也适用于原始数据包的内容 NAT 的安全规则。
3.8. 会话A窒息 在 firewall 完成上述所有步骤后,从免费池分配新的会话条目。 此时由于资源的限制,会话分配失败可能会出现:
VSYS 会话最大达到,或 firewall分配所有可用会话。 会话分配成功后:
用 firewall 从数据包中提取的流键和转发/结果填充会话内容 policy 。 会话状态从 INIT (预分配)更改为 OPENING (分配后)。 如果应用程序尚未确定,会话超时值设置为默认值的传输协议。 您可以从设备设置中配置这些全球超时值 Firewall 。应用特定超时值凌驾于全球设置上,一旦确定应用,就会成为会话的有效超时值。 安装后,会话安装:
Firewall 查询流量查找表,以查看是否存在与会话匹配的流键匹配的匹配项。如果找到流查找匹配项(已存在具有相同图盘的会话),则此会话实例被丢弃,因为会话已存在,否则 会话被添加到C2S和S2C流量的流量查找表 firewall 中,并更改会话的状态 OPENING ACTIVE 。 firewall然后将数据包发送到会话快速路径阶段进行安全处理。
第 4 节 : Firewall 会话快速路径
A 匹配现有会话的包将进入快速路径。 此阶段从第 2 层到第 4 层 firewall 处理开始:
如果会话处于丢弃状态,则 firewall 丢弃数据包。firewall由于 policy 拒绝或威胁检测的操作更改,可以将会话标记为处于丢弃状态。 如果会话处于活动状态,请刷新会话超时。 如果数据包是 TCP FIN a RST /, TCP 则如果这是收到的第一个 FIN 数据包(半闭会话),则会话半关闭时间 TCP 器开始,如果这是第二个 FIN 数据包或数据包,则开始时间等待时间 RST 器。 这些时间段中的任何一个都过期后,会话将关闭。 如果 NAT 适用,将 L3/L4 标题翻译为适用。 如果应用程序用作 TCP 传输, firewall 则通过 TCP 重新组装模块处理它,然后再将数据流发送到安全处理模块中。 TCP重新组装模块还将执行窗口检查,在跳过重新传输时缓冲出订单数据 TCP 。 firewall如果存在重新组装错误或收到过多的故障片段,则丢弃数据包,导致重新组装缓冲区填满。
4.1. 安全处理 A 如果数据包有 TCP / UDP 数据(有效载荷),或者是非/包,则匹配现有会话的分组需要进一步处理(应用标识和/或内容检查 TCP UDP )。
如果 firewall 未检测到会话应用程序,则执行应用 ID 查找。 如果 App- ID 查找没有结论,内容检查模块将运行已知的协议解码器检查和启发式检查,以帮助识别应用程序。
如果 firewall 检测到应用程序,则会话将接受内容检查(如果有以下任何应用) :
涉及应用层网关 ALG 。 应用是隧道的应用程序。 安全规则关联了安全配置文件。
应用标识 ID (App-)和内容检查阶段在以后的章节(第5节和第6节)中进行了详细讨论。
4.2. 俘虏门户 如果用户信息 wa 无法用于 IP 从数据包中提取的源地址,并且数据包注定要 TCP /80, firewall 则执行自捕获门户规则查找,以查看数据包是否受俘虏门户身份验证的约束。 如果应用圈养门户,则数据包将重定向到俘虏门户护蒙。
注意:由于俘虏门户适用于 http 流量,并且还支持 URL 基于类别的 policy 查找,这只有在 TCP 握手完成且会话交换中可用 http 主机标题后才能启动。
第 5 节:应用简化I(应用程序 -ID) firewall第一个执行应用程序覆盖 policy 查找,以查看是否有规则匹配。 如果有,则知道该应用程序,并且跳过此会话的内容检查。
如果没有应用程序重写规则,然后应用程序签名用于标识应用程序。在 firewall 内容检查阶段使用协议解码来确定应用程序是否从一个应用程序更改到另一个应用程序。
firewall标识会话应用程序后,将设置访问控制、内容检查、流量管理和记录。
安全 policy 查找:已识别的应用程序以及 IP 会话中的/端口/协议/区域/用户/ URL 类别用作查找规则匹配的关键。 如果安全性 policy 在会话开始时启用了记录, firewall 则每次应用 ID 在整个会话整个过程中发生变化时,都会生成流量日志。 如果安全 policy 操作设置为允许,并且它具有关联的配置文件和/或应用程序要接受内容检查,则它通过内容传递所有内容 ID - 如果 policy 设置安全操作允许, firewall 则执行 QoS policy 查找并根据匹配分配 QoS 类 policy 。 如果安全 policy 操作设置为允许,并且应用程序是 SSL 或 SSH ,执行解密 policy 查找,并设置代理上下文(如果有匹配的解密规则)。
第 6 节 : 内容检查 执行 firewall 内容检查(如果适用),其中协议解码器解码流和 firewall 解析并标识已知的隧道应用程序(那些经常携带 Web 浏览等其他应用程序的应用程序)。
如果已确定的应用程序因此而更改,请 firewall 再次咨询安全策略,以确定是否应该允许会话继续。
如果应用程序未更改,则 firewall 根据原始匹配规则所附的所有安全配置文件检查内容。 如果它导致威胁检测,则采取相应的安全配置文件操作。
firewall如果其中一个条件成立,则将数据包转发到转发阶段:
如果检查导致"检测"和安全配置文件操作设置为允许或 内容检查返回没有 '检测'。 firewall然后在进入转发阶段之前重新加密数据包(如果适用( SSL 转发代理解密和 SSH 解密)。
第 7 节: 转发/出口 firewall根据转发设置(之前讨论过)确定数据包的转发域。
执行 firewall QoS 造型,适用于出口过程。 此外,根据 MTU 出口界面和数据包上的片段位设置, firewall 如果需要,则执行碎片化。
最后从物理外出接口传输该数据包。
第8节 :摘要 帕洛阿尔托网络下一代防火墙使用独特的单通过并行处理 (SP3) 架构 — — 使高吞吐量、 低延迟的网络安全,同时纳入前所未有的特性和技术。 Palo Alto 网络通过 SP3 架构解决了困扰当今安全基础设施的性能问题,该架构结合了两个互补组件 - 单通软件、并行处理 hardware 。 其结果是一个优秀的调的原始吞吐量,事务处理,和网络安全,今天的高性能网络要求。