配置对报文的分片处理
由于链路类型的不同,网络中不同链路可以传输的最大报文是不同的,所以有可能存在报文在转发过程中必须被分片才能通过整个网络的情况。通过对设备处理分片报文的方式进行配置,可以保证分片报文的正确转发。 ?
报文分片原理
报文分片的目的是为了能够通过网络中的不同网段,了解报文分片的原理,可以为判断如何对分片报文进行处理提供依据。 ?
配置分片丢弃功能
缺省情况下,设备将对分片报文进行缓存。但是有时分片报文可以利用来做一种攻击手段,所以如果不希望转发分片报文,则可以配置对分片报文全部丢弃。 ?
配置分片报文直接转发功能
缺省情况下,设备将对分片报文进行缓存。但是如果在不进行NAT转换的情况下,设备可以直接解析出每个报文的真实源IP和目的IP,所以此时可以配置对分片报文直接转发,而不需要缓存分片以等待首片创建会话表。 ?
配置分片散列表老化时间
在分片缓存机制中,分片散列表老化时间决定了设备等待首片到来的时间长短,如果超过老化时间后,仍未收到首片,则会将缓存的后续分片丢弃。 ?
配置分片报文保序
在对乱序分片报文敏感的情况下,可以开启设备的分片保序功能,以保证分片报文按照设备产生的顺序转发。
报文分片原理
报文分片的目的是为了能够通过网络中的不同网段,了解报文分片的原理,可以为判断如何对分片报文进行处理提供依据。
报文分片机制
一条链路所能传输的最大报文长度被称为MTU(Maximum Transfer Unit),最大传输单元。MTU通常与接口类型有关。一个报文在网络中传输可以会通过多种不同的链路,如果报文长度比较大的话,可能出现报文在传输过程中,因为长度超过了其中某条链路的MTU而无法通过该条链路。 为了解决该问题,引入了报文分片机制。网络设备在传输报文时,如果设备上配置的MTU(Maximum Transfer Unit)小于报文长度,则会将报文分片后继续发送。理想情况下,各分片报文将按照固定的先后顺序在网络中传输,当终端设备接收到所有分片报文后再将这些报文重组为一个完整的报文。
USG对分片报文的处理
在实际传输过程中,由于网络环境的复杂,可能存在以下情况: ?
后续分片报文先于首片报文到达某个网络设备
? 后续报文需要在某个中间设备上进行重组后才能继续传输,例如中间设备需要解析报文载荷后才能判断如何转发。
在USG上,这两种情况都可能存在。由于USG提供的安全机制对报文检测非常严格,为了满足攻击防范和NAT转换等特殊功能的需要,设备上对分片报文的处理分为三种机制: ?
分片缓存
设备缺省机制。设备会将非首片的分片报文缓存至分片散列表,等待首片到来建立会话后,将所有分片报文进行转发。在分片散列表已经放满,但是首片还未到来的情况下,后续分片报文会被丢弃,直至收到首片报文。如果分片散列表的老化时间已到,还未收到首片报文,所有缓存的分片报文将被全部丢弃。通过firewall session aging-time service-set fragment命令可以修改分片散列表的老化时间。 ?
分片丢弃
不信任所有分片报文,收到分片报文即丢弃。可以提供最大的安全性,但是可能会影响正常业务的转发。 ?
分片直接转发
信任所有分片报文,收到分片立即直接转发,不会缓存到分片散列表等待首包的到来。在同一报文的分片可能通过不同设备的情况下,该机制将保证所有分片都能正常转发,以被最终接收者接收。但是存在一定的安全风险。
三种分片报文处理机制的转换
设备缺省采用分片缓存机制,同一时刻,设备只能采用三种机制中的一种。三种机制的转换方法如下:
图1 三种分片报文处理机制的转换
对于需要设备重组的分片报文的处理
对于不是发给设备本身,但是需要设备重组成原始报文之后才能转发或处理的分片报文,必须将设备配置到分片缓存状态才能保证业务的正常运行。
例如在VPN应用中(主要指IPSEC和GRE),由于需要设备对分片报文进行重组后解密或者解封装,设备才能进行后续处理,所以必须将设备配置成分片缓存状态,完成原始报文重组之后,才可以进行相应的加密解密处理。在NAT应用中,需要设备对分片报文进行重组后才能正常解析和转换报文中的IP地址,所以也必须将设备配置成分片缓存状态,才可以正常进行NAT。 如果设备收到分片过多,会影响这些业务的运行。 ?
配置分片散列表老化时间只有在设备处于分片缓存机制下才有作用。关于报文分片机制与设备对分片报文的处理原则的详细信息,以及在开启分片报文直接转发或者分片直接丢弃之后如何退回分片缓存的状态,请参见报文分片原理。
配置分片丢弃功能
缺省情况下,设备将对分片报文进行缓存。但是有时分片报文可以利用来做一种攻击手段,所以如果不希望转发分片报文,则可以配置对分片报文全部丢弃。
前提条件
启用分片丢弃功能时,必须先将运行模式切换到防火墙模式。
背景信息
关于报文分片机制与设备对分片报文的处理原则的详细信息,以及在开启分片报文丢弃功能之后如何退回分片缓存的状态,请参见报文分片原理。
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令firewall [ ipv6 ] fragment-discard enable,开启分片报文丢弃功能。
配置分片报文直接转发功能
缺省情况下,设备将对分片报文进行缓存。但是如果在不进行NAT转换的情况下,设备可以直接解析出每个报文的真实源IP和目的IP,所以此时可以配置对分片报文直接转发,而不需要缓存分片以等待首片创建会话表。
前提条件
启用分片报文直接转发功能时,必须先将运行模式切换到防火墙模式。
背景信息
配置分片报文直接转发功能会影响设备对需要重组后才可解析的分片报文的处理,会导致VPN、NAT等功能不能正常使用。
关于报文分片机制与设备对分片报文的处理原则的详细信息,以及在开启分片报文直接转发功能之后如何退回分片缓存的状态,请参见报文分片原理。
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令firewall [ ipv6 ] fragment-forward enable,开启分片报文直接转发功能。
配置分片散列表老化时间
1. 执行命令system-view,进入系统视图。
2. 执行命令firewall session aging-time service-set fragment time,配置分片散列表
老化时间。
配置分片报文保序
在对乱序分片报文敏感的情况下,可以开启设备的分片保序功能,以保证分片报文按照设备产生的顺序转发。
背景信息
当设备接口MTU值小于所接收到的报文的MTU值,此时设备会对报文进行分片,产生分片报文。当对分片报文顺序要求严格的业务系统处理乱序报文时,可能会引起解析失败,从而影响业务正常运行,此时,需开启设备的分片报文保序功能。
该功能只对这种由设备自身产生的分片报文进行保序,对接口收到的分片报文不起作用。 缺省情况下,设备开启报文保序功能和分片报文保序功能。当报文保序功能关闭时,分片报文保序功能同时也关闭;当报文保序功能开启时,分片报文保序功能可开启也可关闭。
说明:
开启报文保序功能后,不允许开启二层接口快速转发功能。同样,当设备开启二层接口快速转发功能后,不允许开启报文保序功能和分片报文保序功能。
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令packet fragment sequence-kept enable,配置设备开启分片报文保序功能。
配置IDS联动
IDS联动能够增强网络的安全性,加强路由设备的入侵检测和分析能力。 ?
IDS联动简介
IDS联动功能是指USG与放置于内部网络的IDS设备联合工作,检查和防范内部网络用户的非法操作和已侵入内部网络的攻击行为。 ?
配置IDS联动
当需要防范内部网络用户的破坏以及对内部网络的攻击时,需要配置USG的IDS联动功能。 ?
维护IDS联动
当IDS联动运行出现故障时,请在用户视图下执行debugging命令对IDS进行调试,查看调试信息,定位故障并分析故障原因。 ?
配置IDS联动举例
通过此举例,您可以了解IDS联动的典型组网和配置方法。
IDS联动简介
IDS联动功能是指USG与放置于内部网络的IDS设备联合工作,检查和防范内部网络用户的非法操作和已侵入内部网络的攻击行为。
注意:
USG只能够与华为公司的NIP设备进行联动。 通常,USG具有如下作用: ?
限制用户或信息访问特定的被严格控制的站点,监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到内部网络。 ?
限制用户或信息从某个特定的被严格控制的站点离开,通过有效控制外部用户对内部资源的访问,确保信息安全。
USG的应用有局限性:由于USG检查的颗粒度较粗,难以对众多协议的细节进行深入的分析和检查。
为解决这个问题,USG开放了相关端口,通过与其它安全软件进行联动,从而构建统一的安全网络,即IDS(Intrusion Detective System)联动。 USG与IDS设备的联动组网方式如图1所示。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库USG配置nat server(4)在线全文阅读。
相关推荐: