会话查看ip

i目录1会话管理1-11.
1概述1-11.
1.
1会话管理的工作原理1-11.
1.
2会话管理在设备上的实现.
1-11.
2配置会话管理.
1-21.
2.
1配置概述1-21.
2.
2配置会话基本设置.
1-31.
2.
3查看会话列表1-51.
2.
4查看会话全局统计信息.
1-81.
2.
5配置会话统计使能状态.
1-91.
2.
6查看IP统计信息.
1-101.
2.
7查看安全区域统计信息.
1-111.
3注意事项.
1-132虚拟分片重组.
2-12.
1概述2-12.
2配置虚拟分片重组.
2-12.
3虚拟分片重组典型配置举例.
2-22.
4注意事项.
2-43ASPF.
3-13.
1概述3-13.
2配置ASPF.
3-13.
3ASPF典型配置举例3-21-11会话管理1.
1概述会话管理是为了实现NAT、ASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能.
此功能把传输层报文之间的交互关系抽象为会话,并根据发起方或响应方的报文信息对会话进行状态更新和超时老化.
会话管理支持多个业务特性分别对同一个业务报文进行处理,实现的主要功能包括:z报文到会话的快速匹配.
z传输层协议状态的管理.
z报文应用层协议类型的识别.
z支持会话按照协议状态或应用层协议类型进行老化.
z支持指定会话维持永久连接.
z为需要进行端口协商的应用层协议提供特殊的报文匹配.
z支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配.
1.
1.
1会话管理的工作原理会话管理主要基于传输层协议对报文进行检测.
其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理.
在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过设备进入内部区域,以便阻止恶意的入侵.
需要注意的是,会话管理作为基础特性,只是实现连接跟踪,模块本身并不阻止潜在的攻击报文通过.
1.
1.
2会话管理在设备上的实现目前会话管理在设备上实现的具体功能如下:z支持TCP、UDP、ICMP、RAWIP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间.
z支持应用层协议的端口映射,允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话超时时间.
z支持ICMP差错报文的映射,可以根据ICMP差错报文的内层报文查找原始的会话.
另外,由于差错报文都是由于某主机出错后产生的,因而可以加速该原始会话的超时老化.
z支持设置长连接会话,即用户可以根据需要将一些符合给定特征的TCP会话设置为长连接会话.
长连接会话可以设置比普通会话更长的老化时间(最长可以达到360小时),或者设置成永不老化.
被设置成永不老化时的长连接会话,只有当会话的发起方或响应方主动发起关闭连接请求或管理员手动删除该会话时,才会被删除.
z支持应用层协议(如FTP、DNS、MSN、QQ等协议)的控制通道和动态数据通道的会话管理.
z支持可以同时处理双向流和单向流的混合模式.
双向流环境是指网络中一个会话的所有报文都会通过设备;单向流环境是指一个会话中仅有一个方向的报文会通过设备,而另一个方向1-2的报文不通过设备,此时设备正常的会话状态机将无法进行处理.
设置启用单向流检测后,会话管理将启用特殊的会话状态机,可以同时处理双向流和单向流.
z长连接会话只对处于ESTABLISHED状态的TCP会话有效.
z启用单向流检测后,部分业务功能将无法支持(如ASPF将无法支持非SYN的TCP首包检查等),系统安全性将会降低.
请根据网络环境决定是否启用单向流检测,如果网络中有单向流存在,则应启用单向流检测,否则将无法正确处理单向流;如果网络中没有单向流存在,则应关闭单向流检测,以免影响系统的安全性.
1.
2配置会话管理1.
2.
1配置概述1.
会话基本设置配置会话的基本设置配置的推荐步骤如表1-1所示.
表1-1会话基本设置配置步骤步骤配置任务说明11.
2.
2配置会话基本设置可选配置会话基本设置包括以下内容:z配置是否启用单向流检测z配置长连接会话规则,只对处于ESTABLISHED状态的TCP会话有效z配置各协议状态的会话老化时间,只对正在建立过程中的会话有效z配置应用层协议的会话老化时间,只对已经建立并处于READY/ESTABLISHED状态的会话有效2.
会话管理显示和维护Web界面提供了查看配置后会话运行情况的功能,通过查看显示信息可以验证配置的效果.
会话管理显示和维护包括的操作如表1-2所示.
表1-2会话管理显示和维护编号操作说明11.
2.
3查看会话列表查询当前虚拟设备的会话列表信息3.
会话统计信息查看Web提供了在查看会话统计信息的功能,可以查看全局的流量统计信息,也可以基于IP地址和安全区域查看流量统计信息.
查看会话统计信息包括的操作如表1-3所示.
1-3表1-3会话统计信息查看编号操作说明11.
2.
4查看会话全局统计信息查看全局的会话统计信息21.
2.
5配置会话统计使能状态配置使能或禁止基于源/目的域或源/目的IP地址的会话统计功能缺省情况下,基于源/目的域或源/目的IP地址的会话统计功能处于禁止状态基于源/目的域或源/目的IP地址的会话统计只处理功能使能期间的流量,功能禁止时的流量不统计31.
2.
6查看IP统计信息查看基于指定源或目的IP地址的会话统计信息查看IP统计信息前必须先使能基于源/目的IP地址的会话统计功能41.
2.
7查看安全区域统计信息查看基于指定源或目的域的会话统计信息查看安全区域统计信息前必须先使能基于源/目的域的会话统计功能1.
2.
2配置会话基本设置在导航栏中选择"防火墙>会话管理>基本设置",进入基本设置的配置页面,如图1-1所示.
1-4图1-1基本设置会话基本设置的详细配置如表1-4所示.
表1-4会话基本设置的详细配置配置项说明启用单向流检测设置是否启用单向流检测z启用单向流检测则会话管理同时处理单向流和双向流z不启用单向流检测则会话管理仅处理双向流ACL根据ACLID设置长连接会话规则长连接会话规则同时引用的ACL只能有一个,新设置的ACL会覆盖旧的ACL,不输入ACLID表示删除长连接会话1-5配置项说明会话老化时间设置长连接会话的老化时间"0"表示长连接会话永不老化SYN_SENT和SYN_RCV状态老化时间设置TCP协议SYN_SENT和SYN_RCV状态的会话老化时间FIN_WAIT状态老化时间设置TCP协议FIN_WAIT状态的会话老化时间TCP协议ESTABLISHED状态老化时间设置TCP协议ESTABLSHED状态的会话老化时间OPEN状态老化时间设置UDP协议OPEN状态的会话老化时间UDP协议READY状态老化时间设置UDP协议READY状态的会话老化时间OPEN状态老化时间设置ICMP协议OPEN状态的会话老化时间ICMP协议CLOSED状态老化时间设置ICMP协议CLOSED状态的会话老化时间超时加速队列超时加速队列老化时间设置超时加速队列的会话老化时间OPEN状态老化时间设置RAWIP_OPEN状态的会话老化时间RAWIP协议READY状态老化时间设置RAWIP_READY状态的会话老化时间DNS会话的老化时间设置DNS协议的会话老化时间FTP会话的老化时间设置FTP协议的会话老化时间MSN会话的老化时间设置MSN协议的会话老化时间QQ会话的老化时间设置QQ协议的会话老化时间SIP会话的老化时间设置SIP协议的会话老化时间可点击返回"表1-1会话基本设置配置步骤".
1.
2.
3查看会话列表在导航栏中选择"防火墙>会话管理>会话列表",进入当前虚拟设备的会话信息显示页面,如图1-2所示.
1-6图1-2会话列表对会话信息列表中各标题项的详细说明如表1-5所示.
表1-5会话信息列表的详细说明标题项说明发起方源IP地址会话发起方的源IP地址和端口号发起方目的IP地址会话发起方的目的IP地址和端口号发起方VPN/VLAN/INLINE会话的正向报文所属的VPN实例/二层转发时正向报文所属的VLANID/二层转发时正向报文所属的INLINE响应方源IP地址会话响应方的源IP地址和端口号响应方目的IP地址会话响应方的目的IP地址和端口号响应方VPN/VLAN/INLINE会话的反向报文所属的VPN实例/二层转发时反向报文所属的VLANID/二层转发时反向报文所属的INLINE协议会话的传输层协议类型或协议号会话状态会话状态,包括:zAcceleratezSYNzTCP-ESTzFINzUDP-OPENzUDP-READYzICMP-OPENzICMP-CLOSEDzRAWIP-OPENzRAWIP-READY存活时间会话剩余存活时间单击某条会话对应的图标,进入该会话详细信息的显示页面,如图1-3所示.
1-7图1-3会话详细信息会话详细信息的说明如表1-6所示.
表1-6会话详细信息的说明标题项说明Protocol传输层协议类型,包括:TCP、UDP、ICMP、RAWIPStates会话状态,包括:zAcceleratezSYNzTCP-ESTzFINzUDP-OPENzUDP-READYzICMP-OPENzICMP-CLOSEDzRAWIP-OPENzRAWIP-READYTTL会话剩余存活时间Initiator:VD/ZONE/VPN/IP/PORT发起方所属的虚拟设备/安全域/VPN实例/IP地址/端口号Responder:VD/ZONE/VPN/IP/PORT响应方所属的虚拟设备/安全域/VPN实例/IP地址/端口号方向为从发起方到响应方方向为从响应方到发起方Packets相应方向上的报文数Bytes相应方向上的报文字节数可点击返回"表1-2会话管理显示和维护".
1-81.
2.
4查看会话全局统计信息在导航栏中选择"防火墙>会话管理>会话统计",默认进入"全局统计信息"页签的页面,如图1-4所示.
图1-4会话全局统计信息会话全局统计信息的详细说明如表1-7所示.
表1-7会话全局统计信息的详细说明标题项说明当前总会话数系统当前的会话总数当前TCP连接数系统当前的TCP半开连接、TCP半闭连接和完整的TCP连接的总数当前TCP半开连接数系统当前的TCP半开连接数当前TCP半闭连接数系统当前的TCP半闭连接数当前UDP连接数系统当前的UDP连接数当前ICMP连接数系统当前的ICMP连接数1-9标题项说明当前RAWIP连接数系统当前的RAWIP连接数当前关联表个数系统当前的关联列表总数量会话创建的速率1秒采样的系统创建会话的速率TCP会话创建的速率1秒采样的系统创建TCP会话的速率UDP会话创建的速率1秒采样的系统创建UDP会话的速率ICMP会话创建的速率1秒采样的系统创建ICMP会话的速率RAWIP会话创建的速率1秒采样的系统创建RAWIP会话的速率当前收到的TCP报文数系统当前收到的TCP报文数当前收到的TCP报文字节数系统当前收到的TCP报文字节数当前收到的UDP报文数系统当前收到的UDP报文数当前收到的UDP报文字节数系统当前收到的UDP报文字节数当前收到的ICMP报文数系统当前收到的ICMP报文数当前收到的ICMP报文字节数系统当前收到的ICMP报文字节数当前收到的RAWIP报文数系统当前收到的RAWIP报文数当前收到的RAWIP报文字节数系统当前收到的RAWIP报文字节数可点击返回"表1-3会话统计信息查看".
1.
2.
5配置会话统计使能状态在导航栏中选择"防火墙>会话管理>会话统计",单击"会话统计设置"页签,进入会话统计使能状态的配置页面,如图1-5所示.
图1-5会话统计设置会话统计使能状态的详细配置如表1-8所示.
1-10表1-8会话统计使能状态的详细配置配置项说明安全区域选择一个安全区域使能源域统计设置把安全区域作为源域进行会话统计的使能状态使能目的域统计设置把安全区域作为目的域进行会话统计的使能状态使能基于源IP的统计设置源IP统计的使能状态使能基于目的IP的统计设置目的IP统计的使能状态可点击返回"表1-3会话统计信息查看".
1.
2.
6查看IP统计信息在导航栏中选择"防火墙>会话管理>会话统计",单击"IP统计信息"页签,进入基于IP地址的会话统计信息的显示页面,如图1-6所示.
设置方向、IP地址和VPN实例/VLANID/INLINEID后,单击按钮,可以显示符合指定条件的IP统计信息.
图1-6IP统计信息IP统计信息的详细说明如表1-9所示.
1-11表1-9IP统计信息的详细说明标题项说明总连接数当前的连接总数总新建连接速率5秒采样的新建连接速率TCP连接数当前的TCP半开连接、TCP半闭连接和完整的TCP连接的总数TCP半开连接数当前的TCP半开连接数TCP半闭连接数当前的TCP半闭连接数TCP新建连接速率5秒采样的TCP新建连接速率UDP连接数当前已经建立的完整的UDP连接数UDP新建连接速率5秒采样的UDP新建连接速率ICMP连接数当前已经建立的完整的ICMP连接数ICMP新建连接速率5秒采样的ICMP新建连接速率RAWIP连接数当前的RAWIP连接数RAWIP新建连接速率5秒采样的RAWIP新建连接速率TCP报文数当前的TCP报文数TCP字节数当前的TCP字节数UDP报文数当前的UDP报文数UDP字节数当前的UDP字节数ICMP报文数当前的ICMP报文数ICMP字节数当前的ICMP字节数RAWIP报文数当前的RAWIP报文数RAWIP字节数当前的RAWIP字节数可点击返回"表1-3会话统计信息查看".
1.
2.
7查看安全区域统计信息在导航栏中选择"防火墙>会话管理>会话统计",单击"安全区域统计信息"页签,进入基于安全区域的会话统计信息的显示页面,如图1-7所示.
设置安全区域和方向后,单击按钮,可以显示符合指定条件的安全区域统计信息.
1-12图1-7安全区域统计信息安全区域统计信息的详细说明如表1-10所示.
表1-10安全区域统计信息的详细说明标题项说明总连接数当前的连接总数总新建连接速率5秒采样的新建连接速率TCP连接数当前的TCP半开连接、TCP半闭连接和完整的TCP连接的总数TCP半开连接数当前的TCP半开连接数TCP半闭连接数当前的TCP半闭连接数TCP新建连接速率5秒采样的TCP新建连接速率UDP连接数当前已经建立的完整的UDP连接数UDP新建连接速率5秒采样的UDP新建连接速率ICMP连接数当前已经建立的完整的ICMP连接数ICMP新建连接速率5秒采样的ICMP新建连接速率RAWIP连接数当前的RAWIP连接数RAWIP新建连接速率5秒采样的RAWIP新建连接速率可点击返回"表1-3会话统计信息查看".
1-131.
3注意事项配置会话管理时需要注意如下事项:(1)当会话数目过多(大于80万条)时,建议不要将各协议状态的会话老化时间和应用层协议的会话老化时间设置得过短,否则会造成控制台响应速度过慢.
(2)长连接会话只对处于ESTABLISHED状态的TCP会话有效.
2-12虚拟分片重组2.
1概述为了避免每个业务模块(如:IPSec、NAT和防火墙)单独处理后片先到(报文分片后)这种情况而导致复杂度过高,设备需要收到IP报文后就对分片报文进行虚拟分片重组.
IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续业务模块处理的都是顺序正确的分片报文.
同时,IP虚拟分片重组功能还可以对下面几种分片攻击进行检测.
如果检测到分片攻击,则设备会丢弃收到的分片报文,从而提高了设备的安全性.
zTinyFragment攻击:如果设备收到分片报文的首片长度非常小,并且传输层协议(如:TCP、UDP)头字段放在第二个分片中,则认为是受到了TinyFragment攻击.
zOverlappingFragment攻击:如果设备收到了完全相同的分片报文,或者收到的分片报文与其前一分片或后一分片出现重叠,则认为是受到了OverlappingFragment攻击.
zFragment-flood攻击:如果设备收到的分片报文超过了指定的最大分片报文数或者设备上创建的分片队列个数超过了指定的最大分片队列个数,则认为是受到了Fragment-flood攻击.
2.
2配置虚拟分片重组在导航栏中选择"防火墙>会话管理>高级设置",默认进入"虚拟分片重组配置"页签的页面,如图2-1所示.
图2-1虚拟分片重组配置虚拟分片重组的详细配置如表2-1所示.
2-2表2-1虚拟分片重组的详细配置配置项说明安全区域设置要配置虚拟分片重组功能的安全区域使能虚拟分片重组设置是否使能虚拟分片重组功能选中前面的复选框表示使能虚拟分片重组功能分片队列数设置分片队列个数的最大值,即可被重组的IP包个数的最大值当分片队列个数达到最大值,将不能再新建队列,以后的分片报文将被丢弃,并发送syslog信息使能虚拟分片重组时此配置项可用分片报文数设置每个分片队列中分片报文个数的最大值当分片队列报文个数到达最大值后,这个队列中的所有分片报文将被丢弃,并发送syslog信息使能虚拟分片重组时此配置项可用分片队列老化时间设置分片队列的老化时间当报文在指定的老化时间内没有重组成功,这个队列中的所有分片报文将被丢弃使能虚拟分片重组时此配置项可用是否丢弃所有分片报文设置是否丢弃所有的分片报文选中前面的复选框表示丢弃所有的分片报文,设备会将收到的所有分片报文丢弃使能虚拟分片重组时此配置项可用2.
3虚拟分片重组典型配置举例1.
组网需求zHost通过DeviceA与RouterB进行通信.
zDeviceA上接口GigabitEthernet0/1启用了NAT服务,为了保证安全和高效地运行NAT,可以在DeviceA的Trust安全区域上使能虚拟分片重组功能对分片报文进行处理.
图2-2虚拟分片重组配置组网图2.
配置步骤(1)配置Host#配置一条静态路由使Host可以与RouterB通信.
(略)2-3(2)配置DeviceA#配置各接口的IP地址和所属安全域.
(略)#配置静态地址映射.
z在导航栏中选择"防火墙>NAT>静态地址转换",在"静态地址映射"中单击按钮,进行如下配置,如图2-3所示.
图2-3配置静态地址映射z输入内部IP地址为"1.
1.
1.
1".
z输入外部IP地址为"2.
2.
2.
3".
z单击按钮完成操作.
#在GigabitEthernet0/1上使能静态地址转换.
z在"接口静态转换"中单击按钮,进行如下配置,如图2-4所示.
图2-4在GigabitEthernet0/1上使能静态地址转换z选择接口为"GigabitEthernet0/1".
z单击按钮完成操作.
#配置虚拟分片重组.
z在导航栏中选择"防火墙>会话管理>高级设置",进行如下配置,如图2-5所示.
2-4图2-5配置虚拟分片重组z选择安全区域为"Trust".
z选中"使能虚拟分片重组"前的复选框.
z单击按钮完成操作.
通过上面的配置,如果从安全区域为Trust上收到乱序的分片报文,DeviceA将会对其进行检验、重新排序.
2.
4注意事项配置虚拟分片重组时需要注意如下事项:(1)虚拟分片重组特性只在安全区域的入方向生效.
(2)虚拟分片重组不支持负载分担,即不支持同一个IP报文的不同分片从不同的安全区域到达.
3-13ASPF3.
1概述ASPF(ApplicationSpecificPacketFilter,基于应用层状态的包过滤)应用的基础为域管理以及会话管理.
域管理为一个独立的公共模块,不涉及业务报文的加工处理,只维护和域相关的信息,并给其他模块提供策略挂接的接口;会话管理可以简化NAT、ASPF、ALG、攻击防范等功能模块的设计,能够处理各种会话信息,根据会话状态进行老化处理,并提供给各业务模块统一的接口.
ASPF策略被配置在域间,在报文处理时由会话管理提供连接状态是否正确,报文是否为首包、报文是否为ICMP差错报文等信息.
根据会话管理提供的信息和当前的ASPF策略,ASPF决定是否允许报文通行.
ASPF通常和静态包过滤(Filter)功能一起使用.
在某些情况下ASPF无法决策是否允许报文通行.
例如广播报文是由Filter通过ACL的匹配或者域间默认优先级决定是否允许报文通行的.
3.
2配置ASPF在导航栏中选择"防火墙>会话管理>高级设置",单击"ASPF"页签,进入如图3-1所示的页面.
单击按钮,进入新建ASPF策略的配置页面,如图3-2所示.
图3-1ASPF图3-2新建ASPF策略ASPF策略的详细配置如表3-1所示.
3-2表3-1ASPF策略的详细配置配置项说明源域目的域设置要应用此ASPF策略的源域和目的域丢弃ICMP差错报文设置是否丢弃ICMP差错报文若不选中此项,则允许ICMP差错报文通过丢弃非SYN的TCP首报文设置是否丢弃非SYN的TCP首报文若不选中此项,则允许非SYN的TCP首报文通过3.
3ASPF典型配置举例1.
组网需求如图3-3所示,配置域zone1和域zone2之间的ASPF安全检测,丢弃ICMP差错报文,但允许非SYN的TCP首报文通过.
图3-3ASPF配置组网图GE0/0GE0/1GE0/2GE0/3zone1zone2Device2.
配置步骤#配置安全域zone1和zone2,以及各接口所属的安全域.
(略)#配置ASPF策略.
z在导航栏中选择"防火墙>会话管理>高级设置",单击"ASPF"页签,单击按钮,进行如下配置,如图3-4所示.
3-3图3-4配置ASPF策略z选择源域为"zone1".
z选择目的域为"zone2".
z选中"丢弃ICMP差错报文"前的复选框.
z单击按钮完成操作.
3-1