19-会话管理配置
本章节下载: 19-会话管理配置 (200.39 KB)
会话管理是为了实现NAT、ASPF等基于会话进行处理的业务而抽象出来的公共功能。此功能把传输层报文之间的交互关系抽象为会话,并根据发起方或响应方的报文信息对会话进行状态更新和超时老化。
会话管理支持多个业务特性分别对同一个业务报文进行处理,实现的主要功能包括:
· 支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配。
会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。
在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。
需要注意的是,会话管理作为公共功能,只能实现连接跟踪,并不能阻止潜在的攻击报文通过。
· 支持TCP、UDP、ICMP、Raw IP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间。
· 支持应用层协议的端口映射,允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话超时时间。
· 支持TCP、UDP、ICMP报文的校验和检查。在校验和检查失败的情况下,不进行会话的匹配或创建,而是由基于会话管理的其他业务来处理。
· 支持ICMP差错报文的映射,可以根据ICMP差错报文的内层报文查找原始的会话。另外,由于差错报文都是某主机出错后产生的,因而可以加速该原始会话的超时老化。
· 支持设置长连接会话,保证指定的会话在一段较长的时间内不会被老化。
· 支持应用层协议(如FTP等协议)的控制通道和动态数据通道的会话管理。
会话管理可支持的配置包括:协议状态会话超时时间、应用层协议会话超时时间、使能会话校验和检查、长连接会话及删除会话。这些配置可根据实际应用需求选择进行,配置无先后,相互不关联。
· 如果会话所属的应用层协议支持会话超时时间的配置,则该会话处于READY/ESTABLISH状态时,会话的超时时间就为对应的应用层协议会话超时时间,具体配置请参见“1.2.2 配置应用层协议会话超时时间”。
已经建立的会话表项如果在一定时间内未被任何报文匹配,则会由于超时而被系统自动删除。以下配置用于实现根据会话所处协议状态来设置会话表项的超时时间。
· accelerate:10秒 · fin:30秒 · icmp-closed:30秒 · icmp-open:60秒 · rawip-open:30秒 · rawip-ready:60秒 · syn:30秒 · tcp-est:3600秒 · udp-open:30秒 · udp-ready:60秒 |
当会话数目过多时(大于80万条),建议不要将协议状态超时时间设置得过短。否则会造成控制台响应速度过慢。
此会话超时时间只对已经建立并处于READY/ESTABLISH状态的会话有效。
对于处于已建立状态的会话(TCP握手建立连接成功或UDP进入READY状态),用户可以根据会话所属的应用层协议类型设置超时时间。
application aging-time { dns | ftp | msn | qq | sip } time-value |
· dns:60秒 · ftp:3600秒 · msn:3600秒 · qq:60秒 · sip:300秒 |
当会话数目过多时(大于80万条),建议不要将应用层协议会话的超时时间设置得过短。否则会造成控制台响应速度过慢。
为保证对会话的连接跟踪不被校验和发生错误的报文所干扰,可以使能对协议报文的校验和检查功能。此功能可以确保会话管理只处理校验和正确的报文,而校验和错误的报文由基于会话管理的其它业务来处理。
需要根据长连接会话特征配置基本或高级ACL(Access Control List,访问控制列表),满足该ACL规则的会话为长连接会话。
基本或高级访问控制列表的具体配置请参见“ACL和QoS配置指导”中的“ACL”。
一个长连接会话规则只能引用一个ACL。
缺省情况下,会话管理的工作模式为双向模式,仅能处理双向会话流。如果将会话管理的工作模式设置为混合模式,则设备可以同时处理双向会话流和单向会话流。这里的单向会话流是指,一个会话中仅有一个方向的报文会通过设备,而另一个方向的报文不通过设备。
设置为混合模式后,部分业务功能将无法支持(如ASPF将无法支持非SYN的TCP首包检查等),系统安全性将会降低。请根据网络环境决定是否工作在混合模式:如果网络中有单向会话流存在,则应工作在混合模式下,否则将无法正确处理单向流;如果网络中没有单向会话流存在,则应工作在双向模式,以免影响系统的安全性。
会话日志是为满足网络管理员安全审计的需要,对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行的记录,并可采用Flow日志的格式发送给日志服务器主机或者输出到信息中心。
表1-6 使能会话日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
使能会话日志功能 |
session log enable [ acl acl-number ] { inbound | outbound } |
必选 缺省情况下,会话日志功能处于关闭状态 |
存活时间或收发数目达到一定阈值的会话才会以日志的形式进行记录并输出,该阈值包括以下两种类型:
· 时间阈值:当一个会话存在的时间达到设定的时间阈值时,输出会话日志。
· 流量阈值:分为报文数阈值和字节数阈值两种。当一个会话收发的报文数或字节数达到设定的流量阈值时,输出会话日志。
表1-7 配置会话日志阈值
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置输出会话日志的时间阈值 |
session log time-active time-value |
可选 缺省情况下,时间阈值为0,表示不依据时间阈值发送会话日志 |
|
配置输出会话日志的流量阈值 |
配置报文数流量阈值 |
session log packets-active packets-value |
可选 缺省情况下,报文数流量阈值为0,表示不依据报文数流量阈值发送会话日志 |
配置字节数流量阈值 |
session log bytes-active bytes-value |
可选 缺省情况下,字节数流量阈值为0,表示不依据字节数流量阈值发送会话日志 |
· 同时配置了时间阈值和流量阈值的情况下,只要有一个阈值首先到达,就会输出相应的会话日志,并将会话的所有统计信息清零。
· 同时仅有一种流量阈值有效,以最后一次配置的阈值类型为准,例如,先配置报文数阈值再配置字节数阈值,则当前有效的阈值是字节数阈值,只会输出达到字节数阈值的会话日志。
在完成上述配置后,在任意视图下执行display命令可以显示配置后会话的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除会话统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!