• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

19-会话管理配置

本章节下载 19-会话管理配置  (200.39 KB)

19-会话管理配置


1 会话管理

 

1.1  会话管理简介

会话管理是为了实现NAT、ASPF等基于会话进行处理的业务而抽象出来的公共功能。此功能把传输层报文之间的交互关系抽象为会话,并根据发起方或响应方的报文信息对会话进行状态更新和超时老化。

会话管理支持多个业务特性分别对同一个业务报文进行处理,实现的主要功能包括:

·     报文到会话的快速匹配;

·     传输层协议状态的管理;

·     报文应用层协议类型的识别;

·     支持会话按照协议状态或应用层协议类型进行老化;

·     支持指定会话维持永久连接;

·     会话的传输层协议报文校验和检查;

·     为需要进行端口协商的应用层协议提供特殊的报文匹配;

·     支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配。

1.1.1  会话管理的工作原理

会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。

在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。

需要注意的是,会话管理作为公共功能,只能实现连接跟踪,并不能阻止潜在的攻击报文通过。

1.1.2  会话管理在设备上的实现

目前会话管理在设备上实现的具体功能如下:

·     支持TCP、UDP、ICMP、Raw IP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间。

·     支持应用层协议的端口映射,允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话超时时间。

·     支持TCP、UDP、ICMP报文的校验和检查。在校验和检查失败的情况下,不进行会话的匹配或创建,而是由基于会话管理的其他业务来处理。

·     支持ICMP差错报文的映射,可以根据ICMP差错报文的内层报文查找原始的会话。另外,由于差错报文都是某主机出错后产生的,因而可以加速该原始会话的超时老化。

·     支持设置长连接会话,保证指定的会话在一段较长的时间内不会被老化。

·     支持应用层协议(如FTP等协议)的控制通道和动态数据通道的会话管理。

1.2  配置会话管理

会话管理可支持的配置包括:协议状态会话超时时间、应用层协议会话超时时间、使能会话校验和检查、长连接会话及删除会话。这些配置可根据实际应用需求选择进行,配置无先后,相互不关联。

1.2.1  配置协议状态会话超时时间

说明

 

已经建立的会话表项如果在一定时间内未被任何报文匹配,则会由于超时而被系统自动删除。以下配置用于实现根据会话所处协议状态来设置会话表项的超时时间。

表1-1 配置各协议状态的会话超时时间

操作

命令

说明

进入系统视图

system-view

-

配置各协议状态的会话超时时间

session aging-time { accelerate | fin | icmp-closed | icmp-open | rawip-open | rawip-ready | syn | tcp-est | udp-open | udp-ready } time-value

必选

缺省情况下,各协议状态的会话超时时间如下:

·     accelerate:10秒

·     fin:30秒

·     icmp-closed:30秒

·     icmp-open:60秒

·     rawip-open:30秒

·     rawip-ready:60秒

·     syn:30秒

·     tcp-est:3600秒

·     udp-open:30秒

·     udp-ready:60秒

 

注意

当会话数目过多时(大于80万条),建议不要将协议状态超时时间设置得过短。否则会造成控制台响应速度过慢。

 

1.2.2  配置应用层协议会话超时时间

说明

此会话超时时间只对已经建立并处于READY/ESTABLISH状态的会话有效。

 

对于处于已建立状态的会话(TCP握手建立连接成功或UDP进入READY状态),用户可以根据会话所属的应用层协议类型设置超时时间。

表1-2 配置应用层协议会话超时时间

操作

命令

说明

进入系统视图

system-view

-

配置应用层协议的会话超时时间

application aging-time { dns | ftp | msn | qq | sip } time-value

必选

缺省情况下,各应用层协议的会话超时时间如下:

·     dns:60秒

·     ftp:3600秒

·     msn:3600秒

·     qq:60秒

·     sip:300秒

 

注意

当会话数目过多时(大于80万条),建议不要将应用层协议会话的超时时间设置得过短。否则会造成控制台响应速度过慢。

 

1.2.3  使能校验和检查

为保证对会话的连接跟踪不被校验和发生错误的报文所干扰,可以使能对协议报文的校验和检查功能。此功能可以确保会话管理只处理校验和正确的报文,而校验和错误的报文由基于会话管理的其它业务来处理。

表1-3 配置使能校验和检查

操作

命令

说明

进入系统视图

system-view

-

配置使能校验和检查

session checksum { all | { icmp | tcp | udp } * }

必选

缺省情况下,不进行校验和检查

 

注意

 

1.2.4  配置长连接会话规则

用户可以根据需要将一些符合给定特征的会话设置为长连接会话,长连接会话的老化时间不会随着状态的变迁而更改,同时也不会由于没有报文命中而被删除。长连接会话可以设置比普通会话更长的老化时间,或者设置成永不老化。被设置成永不老化的长连接会话,只有当会话的发起方或响应方主动发起关闭连接请求或管理员手动删除该会话时,才会被删除。

1. 配置准备

需要根据长连接会话特征配置基本或高级ACL(Access Control List,访问控制列表),满足该ACL规则的会话为长连接会话。

说明

基本或高级访问控制列表的具体配置请参见“ACL和QoS配置指导”中的“ACL”。

 

2. 配置长连接会话规则

表1-4 配置长连接会话规则

操作

命令

说明

进入系统视图

system-view

-

配置长连接会话规则

session persist acl acl-number [ aging-time time-value ]

必选

缺省情况下,无长连接会话规则

 

说明

 

1.2.5  配置会话管理的工作模式

缺省情况下,会话管理的工作模式为双向模式,仅能处理双向会话流。如果将会话管理的工作模式设置为混合模式,则设备可以同时处理双向会话流和单向会话流。这里的单向会话流是指,一个会话中仅有一个方向的报文会通过设备,而另一个方向的报文不通过设备。

表1-5 配置会话管理的工作模式

操作

命令

说明

进入系统视图

system-view

-

设置会话管理的工作模式为混合模式

session mode hybrid

二者选其一

缺省情况下,会话管理的工作模式为双向模式,仅能处理双向会话流

设置会话管理的工作模式为双向模式

undo session mode

 

说明

设置为混合模式后,部分业务功能将无法支持(如ASPF将无法支持非SYN的TCP首包检查等),系统安全性将会降低。请根据网络环境决定是否工作在混合模式:如果网络中有单向会话流存在,则应工作在混合模式下,否则将无法正确处理单向流;如果网络中没有单向会话流存在,则应工作在双向模式,以免影响系统的安全性。

 

1.3  配置会话日志

会话日志是为满足网络管理员安全审计的需要,对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行的记录,并可采用Flow日志的格式发送给日志服务器主机或者输出到信息中心。

1.3.1  使能会话日志功能

表1-6 使能会话日志功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

使能会话日志功能

session log enable [ acl acl-number ] { inbound | outbound }

必选

缺省情况下,会话日志功能处于关闭状态

1.3.2  配置会话日志阈值

存活时间或收发数目达到一定阈值的会话才会以日志的形式进行记录并输出,该阈值包括以下两种类型:

·     时间阈值:当一个会话存在的时间达到设定的时间阈值时,输出会话日志。

·     流量阈值:分为报文数阈值和字节数阈值两种。当一个会话收发的报文数或字节数达到设定的流量阈值时,输出会话日志。

表1-7 配置会话日志阈值

操作

命令

说明

进入系统视图

system-view

-

配置输出会话日志的时间阈值

session log time-active time-value

可选

缺省情况下,时间阈值为0,表示不依据时间阈值发送会话日志

配置输出会话日志的流量阈值

配置报文数流量阈值

session log packets-active packets-value

可选

缺省情况下,报文数流量阈值为0,表示不依据报文数流量阈值发送会话日志

配置字节数流量阈值

session log bytes-active bytes-value

可选

缺省情况下,字节数流量阈值为0,表示不依据字节数流量阈值发送会话日志

 

说明

·     同时配置了时间阈值和流量阈值的情况下,只要有一个阈值首先到达,就会输出相应的会话日志,并将会话的所有统计信息清零。

·     同时仅有一种流量阈值有效,以最后一次配置的阈值类型为准,例如,先配置报文数阈值再配置字节数阈值,则当前有效的阈值是字节数阈值,只会输出达到字节数阈值的会话日志。

 

1.4  会话管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后会话的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除会话统计信息。

表1-8 会话管理显示和维护

操作

命令

显示应用层协议的会话超时时间

display application aging-time [ | { begin | exclude | include } regular-expression ]

显示各协议状态的会话超时时间

display session aging-time [ | { begin | exclude | include } regular-expression ]

显示会话表的信息

display session table [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type { icmp | raw-ip | tcp | udp } ] [ source-port source-port ] [ destination-port destination-port ] [ count | verbose ] [ | { begin | exclude | include } regular-expression ]

显示会话统计信息

display session statistics [ | { begin | exclude | include } regular-expression ]

显示会话关联表信息

display session relation-table [ | { begin | exclude | include } regular-expression ]

清除会话表

reset session [ source-ip source-ip ] [ destination-ip destination-ip ] [ protocol-type { icmp | raw-ip | tcp | udp } ] [ source-port  source-port ] [ destination-port destination-port ]

清除会话统计信息

reset session statistics

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们