• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-系统

目录

36-会话设置

本章节下载 36-会话设置  (238.53 KB)

36-会话设置

会话设置

 

本帮助主要介绍以下内容:

·     特性简介

     会话管理的工作原理

     会话管理在设备上的实现

     会话类型

·     使用限制和注意事项

特性简介

会话管理是为了实现基于会话进行处理的业务而抽象出来的公共功能。此功能把传输层报文之间的交互关系抽象为会话,并根据发起方和响应方的报文信息对会话进行状态更新和老化,支持多个业务特性分别对同一个业务报文进行处理。

会话管理的工作原理

会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息来对连接的状态进行跟踪,并对所有连接的状态信息进行基于会话表和关联表的统一维护和管理。

客户端向服务器发起连接请求报文的时候,系统会创建一个会话表项。该表项中记录了一个会话所对应的请求报文信息和回应报文信息,包括源IP地址/端口号、目的IP地址/端口号、传输层协议类型、应用层协议类型、会话的协议状态等。对于多通道协议(特指部分应用协议中,客户端与服务器之间需要在已有连接基础上协商新的连接来完成一个应用),会话管理还会根据协议的协商情况,创建一个或多个(由具体的应用协议决定)关联表表项,用于关联属于同一个应用的不同会话。关联表表项在多通道协议协商的过程中创建,当有报文匹配某一条关联表表项后会创建相应的子会话,完成对多通道协议的支持后即被删除。

上述会话管理的工作原理描述仅针对目的地址为单播地址的报文,对于目的地址是组播地址的报文稍有不同。组播报文到达设备后通常经由一个入接口到多个出接口进行转发,因此对于同一个应用的组播报文的连接,在入接口和多个出接口均会建立起各自的会话表项,我们称这类组播报文触发建立的会话表项为组播会话表项,以区别于单播报文触发建立的单播会话表项。若无特殊说明,本文中的会话表项不区分单播和组播类型。

在实际应用中,会话管理作为公共功能,只能实现连接状态的跟踪,并不能单独实现某一具体功能,需要与其他业务模块配合使用。

会话管理在设备上的实现

目前会话管理在设备上实现的具体功能如下:

·     支持对各协议报文创建会话、更新会话状态以及根据协议状态设置老化时间。

·     支持应用层协议的端口映射(参见“应用安全”中的“应用识别联机帮助”),允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话老化时间。

·     支持ICMP/ICMPv6差错报文的映射,可以根据ICMP/ICMPv6差错报文携带的信息查找原始的会话。

·     支持应用层协议(如FTP)的控制通道和动态数据通道的会话管理。

会话类型

设备对报文的处理分为慢速转发处理和快速转发处理两个阶段。一条数据流的首报文首先会在设备上进行慢速转发处理,设备根据慢速转发处理结果会为此条数据流创建对应的会话表项。此条数据流的后续报文将直接匹配对应的会话表项进入快速转发阶段,设备根据此阶段的处理结果实现对报文的快速放行或丢弃。根据是否允许报文通过,可将会话分为放行会话和丢包会话两种。

放行会话

若一条数据流的首报文经过设备处理之后被放行,则设备会为此条数据流生成会话表项,用于快速放行此条数据流的后续报文,我们将此类会话表项称之为放行会话。

在实际应用中,放行会话其本身只能实现连接状态的跟踪,并不能阻止潜在的攻击报文通过。会话配合具体安全业务特性,可实现是否允许报文通过设备。

丢包会话

若一条数据流的首报文经过设备处理之后被丢弃,则设备会为此条数据流生成会话表项用于快速丢弃此条数据流的后续报文,我们将此类会话表项称之为丢包会话。

关闭丢包会话功能后,对于设备丢弃的报文将不能生成丢包会话。

除非特别说明,本文的会话均指放行会话。

使用限制和注意事项

·     应用的会话老化时间仅在会话进入稳态时生效(TCP会话的稳态为TCP-ESTUDP会话的稳态为UDP-READY)。

·     会话进入稳态后,如果该会话属于设备上应用会话老化时间中的应用,则此会话的老化时间为指定的此应用会话的老化时间;否则为传输层协议状态的会话老化时间。

·     丢包会话功能仅只支持ASPF和并发连接限制模块丢弃报文时生成丢包会话,其他模块丢弃报文时不能生成丢包会话。

·     丢包会话功能仅支持基于CPU的软件快速丢包,不支持基于硬件的快速丢包。

·     丢包会被不支持会话业务热备份功能。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们