狀態(tài)監(jiān)測工作機(jī)制

1、狀態(tài)檢測工作機(jī)制一、狀態(tài)監(jiān)測應(yīng)該如何工作無論何時(shí)，一個(gè)防火墻接收到一個(gè)初始化TCP連接的SYN包，這個(gè)帶有SYN的數(shù)據(jù)包被防火墻的規(guī)則庫檢查。該包在規(guī)則庫里依次序比較。如果在檢查了所有的規(guī)則后，該包都沒有被接受，那么拒絕該次連接。一個(gè)RST的數(shù)據(jù)包發(fā)送到遠(yuǎn)端的機(jī)器。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。該表是位于內(nèi)核模式中的。隨后的數(shù)據(jù)包(沒有帶有一個(gè)SYN標(biāo)志)就和該狀態(tài)監(jiān)測表的內(nèi)容進(jìn)行比較。如果會話是在狀態(tài)表內(nèi)，而且該數(shù)據(jù)包是會話的一部分，該數(shù)據(jù)包被接受。如果不是會話的一部分，該數(shù)據(jù)包被丟棄。這種方式提高了系統(tǒng)的性能，因?yàn)槊恳粋€(gè)數(shù)據(jù)包不是和規(guī)則庫比較，而是和狀態(tài)監(jiān)測表比較。只有

2、在SYN的數(shù)據(jù)包到來時(shí)才和規(guī)則庫比較。所有的數(shù)據(jù)包與狀態(tài)檢測表的比較都在內(nèi)核模式下進(jìn)行所以應(yīng)該很快。二、狀態(tài)監(jiān)測表建立？那么初始化一個(gè)連接時(shí)使用ACK行不行？它又會出現(xiàn)什么問題呢？如果防火墻的狀態(tài)檢測表使用ACK來建立會話，將會是不正確的。如果一個(gè)包不在狀態(tài)檢測表中時(shí)，那么該包使用規(guī)則庫來檢查，而不考慮它是否是SYN、ACK或其他的什么包。如果規(guī)則庫通過了這個(gè)數(shù)據(jù)包，本次會話被添加狀態(tài)檢測表中。所有后續(xù)的包都會和狀態(tài)檢測表比較而被通過。因?yàn)樵跔顟B(tài)監(jiān)測表中有入口，后續(xù)的數(shù)據(jù)包就沒有進(jìn)行規(guī)則檢查。而且我們在做狀態(tài)監(jiān)測表項(xiàng)時(shí)，也需要考慮時(shí)間溢出的問題。使用這種方法，一些簡單的DOS攻擊將會非常有效地

3、摧毀防火墻系統(tǒng)。那么狀態(tài)檢測表建立應(yīng)該怎么進(jìn)行呢？首先，對于一個(gè)會話我們使用什么來區(qū)分。從最簡單的角度出發(fā)，我們可以使用源地址、目的地址和端口號來區(qū)分是否是一個(gè)會話。當(dāng)通過使用一個(gè)SYN包來建立一個(gè)會話時(shí)，防火墻先將這個(gè)數(shù)據(jù)包和規(guī)則庫進(jìn)行比較。如果通過了這個(gè)數(shù)據(jù)連接請求，它被添加到狀態(tài)檢測表里。這時(shí)需要設(shè)置一個(gè)時(shí)間溢出值，參考CHECK-POINT FW-1的時(shí)間值，將其值設(shè)定為60秒。然后防火墻期待一個(gè)返回的確認(rèn)連接的數(shù)據(jù)包，當(dāng)接收到如此的包的時(shí)候，防火墻將連接的時(shí)間溢出值設(shè)定為3600秒。對于返回的連接請求的數(shù)據(jù)包的類型需要做出判斷，已確認(rèn)其含有SYN/ACK標(biāo)志。（注：對于時(shí)間溢出值，應(yīng)

4、該可以由用戶自行設(shè)定。）在進(jìn)行狀態(tài)監(jiān)測時(shí)，對于一個(gè)會話的確認(rèn)可以只通過使用源地址、目的地址和端口號來區(qū)分，在性能設(shè)計(jì)上如果能滿足要求，也應(yīng)該考慮對于TCP連接的序列號的維護(hù)，雖然這樣可能需要消耗比較多的資源            三、連接的關(guān)閉在連接被通訊雙方關(guān)閉后，狀態(tài)監(jiān)測表中的連接應(yīng)該被維護(hù)一段時(shí)間。下面的處理方法可以作為在連接關(guān)閉后狀態(tài)檢測行為的參考。當(dāng)狀態(tài)監(jiān)測模塊監(jiān)測到一個(gè)FIN或一個(gè)RST包的時(shí)候，減少時(shí)間溢出值從我們?nèi)笔≡O(shè)定的值3600秒減少到50秒。如果在這個(gè)周

5、期內(nèi)沒有數(shù)據(jù)包交換，這個(gè)狀態(tài)檢測表項(xiàng)將會被刪除，如果有數(shù)據(jù)包交換，這個(gè)周期會被重新設(shè)置到50秒。如果繼續(xù)通訊，這個(gè)連接狀態(tài)會被繼續(xù)地以50秒的周期維持下去。這種設(shè)計(jì)方式可以避免一些DOS攻擊，例如，一些人有意地發(fā)送一些FIN或RST包來試圖阻斷這些連接。四、UDP的連接維護(hù)雖然UDP連接是無狀態(tài)的，但是仍然可以用類似的方法來維護(hù)這些連接。當(dāng)一個(gè)完成規(guī)則檢查的數(shù)據(jù)包通過防火墻時(shí)，這次會話被添加到狀態(tài)檢測表內(nèi)，并設(shè)置一個(gè)時(shí)間溢出值，任何一個(gè)在這個(gè)時(shí)間值內(nèi)返回的包都會被允許通過，當(dāng)然它的SRC/DST的IP地址和SRC/DST的端口號是必須匹配的。五、ICMP的狀態(tài)檢測問題對于一些ICMP包的分析，

6、在許多防火墻系統(tǒng)中都是做的很不夠的，在對做狀態(tài)檢測時(shí)是需要對ICMP的內(nèi)容進(jìn)行分析的。對于什么樣的ICMP可以發(fā)出和放入在狀態(tài)監(jiān)測模塊中如何確定是關(guān)鍵。下面只是列出了什么樣的ICMP包是安全的，可以作為對狀態(tài)檢測模塊ICMP支持的參考。#define ICMP_ECHOREPLY        0    /* Echo Reply            */

7、Needed if you want to allow ping, so you can allow that for trusted peersoutgoing and incoming for all to allow them to ping the internet#define ICMP_DEST_UNREACH    3    /* Destination Unreachable    */Some Sub Types are needed in and out,

8、 see below#define ICMP_SOURCE_QUENCH    4    /* Source Quench        */Allow it outbound anyway, inbound is less likely to be a problem, unless youare doing some streaming or multicast feeding to the internet.#define ICM

9、P_REDIRECT        5    /* Redirect (change route)    */block!#define ICMP_ECHO        8    /* Echo Request         

10、   */you might allow it incoming for trusted addresses (note some NICs willrequire you to make your primary DNS Server pingable!)#define ICMP_TIME_EXCEEDED    11    /* Time Exceeded        */helpfull if yo

11、u allow it incoming, could allow exploring your network if youallow it outbound.#define ICMP_PARAMETERPROB    12    /* Parameter Problem        */helpfull if you allow it incoming, could allow exploring your network if y

12、ouallow it outbound.#define ICMP_TIMESTAMP        13    /* Timestamp Request        */#define ICMP_TIMESTAMPREPLY    14    /* Timestamp Reply   &

13、#160;    */#define ICMP_INFO_REQUEST    15    /* Information Request        */#define ICMP_INFO_REPLY        16    /* Information Reply 

14、;       */#define ICMP_ADDRESS        17    /* Address Mask Request        */#define ICMP_ADDRESSREPLY    18    /* Address Ma

15、sk Reply        */Block those on the external interface/* Codes for UNREACH. */#define ICMP_NET_UNREACH    0    /* Network Unreachable        */ignored, so block it#define ICMP_HOS

16、T_UNREACH    1    /* Host Unreachable        */allow it at least inbound, best would be if you can do that stateful#define ICMP_PROT_UNREACH    2    /* Protocol Unreachable &#

17、160;      */you can block that#define ICMP_PORT_UNREACH    3    /* Port Unreachable        */you should allow that at least inbound. Be aware that some filter rulesshould send PORT_UNREACH o

18、n connection request (at least 137,139 and auth),so make sure not to block those ICMP packetes which are generated by yourreject rule.#define ICMP_FRAG_NEEDED    4    /* Fragmentation Needed/DF set    */Allow it in, and possible out if you

19、have different MTUs inside yournetwork.#define ICMP_SR_FAILED        5    /* Source Route failed        */Not strictly needed. Nobody should asume SR works anywhere, anyway.#define ICMP_NET_UNKNOWN

20、60;   6block, its ignored#define ICMP_HOST_UNKNOWN    7allow it at least inbound.#define ICMP_HOST_ISOLATED    8block.#define ICMP_NET_ANO        9#define ICMP_HOST_ANO      &

21、#160; 10those are the new types returned by ipfilters. You may let them pass in andout.#define ICMP_NET_UNR_TOS    11#define ICMP_HOST_UNR_TOS    12block#define ICMP_PKT_FILTERED    13    /* Packet filtered */block, depricated#define ICMP