IE-Sec笔记5

1.再谈安全策略和状态检测机制

假如防火墙安全策略已放行,但是没有查到状态化表项,同时又不是首包,会怎么样:

只谈三类,TCP,UDP,ICMP

大家都通过安全策略,且开启状态检测的前提下:

TCP只有SYN报文可以在中途建会话并转发;

而UDP任意报文都可以;

ICMP的话, 不管开不开状态检测, 它的 request 的报文,  都能建表并转发, 而 reply 报文, 恰恰相反, 都不能

2.网络互联互通协议与安全策略

华为防火墙在安全策略方面,对单播、组播和广播报文的处理是区别对待的:

单播报文
默认情况下,安全策略会对单播报文进行控制。例如 BFD、DHCPv4、DHCPv6 等协议的单播报文默认是受控的。不过像 BGP、DHCP 等特定协议的单播报文可通过命令:
undo firewall packet-filter basic-protocol enable 放行。

组播报文
通常默认情况下,组播报文不受安全策略控制,防火墙会直接转发。但可通过命令:
firewall l2-multicast packet-filter enable 配置二层组播报文受安全策略控制,此时除了二层 ND 组播报文之外的所有二层组播报文,包括经过防火墙和从防火墙发出的,都会受安全策略控制。

广播报文
一般来说,广播报文默认不进行策略控制,防火墙直接放行,如 DHCPv4 的广播报文不受安全策略控制。

3.华为防火墙NAT处理流程

我的疑问:为什么先检测DNAT, 再检测SNAT?


------这样解释比较好理解: 
按照 DNAT - SNAT 的顺序检测,使得安全策略匹配过程更加有序和高效。如果, 目的地是非法的, 那也就没必要穿衣服出去了(SNAT)。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值