- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
31-會話設置
本章節下載: 31-會話設置 (238.28 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 會話類型
會話管理是為了實現基於會話進行處理的業務而抽象出來的公共功能。此功能把傳輸層報文之間的交互關係抽象為會話,並根據發起方和響應方的報文信息對會話進行狀態更新和老化,支持多個業務特性分別對同一個業務報文進行處理。
會話管理主要基於傳輸層協議對報文進行檢測。其實質是通過檢測傳輸層協議信息來對連接的狀態進行跟蹤,並對所有連接的狀態信息進行基於會話表和關聯表的統一維護和管理。
客戶端向服務器發起連接請求報文的時候,係統會創建一個會話表項。該表項中記錄了一個會話所對應的請求報文信息和回應報文信息,包括源IP地址/端口號、目的IP地址/端口號、傳輸層協議類型、應用層協議類型、會話的協議狀態等。對於多通道協議(特指部分應用協議中,客戶端與服務器之間需要在已有連接基礎上協商新的連接來完成一個應用),會話管理還會根據協議的協商情況,創建一個或多個(由具體的應用協議決定)關聯表表項,用於關聯屬於同一個應用的不同會話。關聯表表項在多通道協議協商的過程中創建,當有報文匹配某一條關聯表表項後會創建相應的子會話,完成對多通道協議的支持後即被刪除。
上述會話管理的工作原理描述僅針對目的地址為單播地址的報文,對於目的地址是組播地址的報文稍有不同。組播報文到達設備後通常經由一個入接口到多個出接口進行轉發,因此對於同一個應用的組播報文的連接,在入接口和多個出接口均會建立起各自的會話表項,我們稱這類組播報文觸發建立的會話表項為組播會話表項,以區別於單播報文觸發建立的單播會話表項。若無特殊說明,本文中的會話表項不區分單播和組播類型。
在實際應用中,會話管理作為公共功能,隻能實現連接狀態的跟蹤,並不能單獨實現某一具體功能,需要與其他業務模塊配合使用。
目前會話管理在設備上實現的具體功能如下:
· 支持對各協議報文創建會話、更新會話狀態以及根據協議狀態設置老化時間。
· 支持應用層協議的端口映射(參見“應用安全”中的“應用識別聯機幫助”),允許為應用層協議自定義對應的非通用端口號,同時可以根據應用層協議設置不同會話老化時間。
· 支持ICMP/ICMPv6差錯報文的映射,可以根據ICMP/ICMPv6差錯報文攜帶的信息查找原始的會話。
· 支持應用層協議(如FTP)的控製通道和動態數據通道的會話管理。
設備對報文的處理分為慢速轉發處理和快速轉發處理兩個階段。一條數據流的首報文首先會在設備上進行慢速轉發處理,設備根據慢速轉發處理結果會為此條數據流創建對應的會話表項。此條數據流的後續報文將直接匹配對應的會話表項進入快速轉發階段,設備根據此階段的處理結果實現對報文的快速放行或丟棄。根據是否允許報文通過,可將會話分為放行會話和丟包會話兩種。
若一條數據流的首報文經過設備處理之後被放行,則設備會為此條數據流生成會話表項,用於快速放行此條數據流的後續報文,我們將此類會話表項稱之為放行會話。
在實際應用中,放行會話其本身隻能實現連接狀態的跟蹤,並不能阻止潛在的攻擊報文通過。會話配合具體安全業務特性,可實現是否允許報文通過設備。
若一條數據流的首報文經過設備處理之後被丟棄,則設備會為此條數據流生成會話表項用於快速丟棄此條數據流的後續報文,我們將此類會話表項稱之為丟包會話。
關閉丟包會話功能後,對於設備丟棄的報文將不能生成丟包會話。
除非特別說明,本文的會話均指放行會話。
· 應用的會話老化時間僅在會話進入穩態時生效(TCP會話的穩態為TCP-EST,UDP會話的穩態為UDP-READY)。
· 會話進入穩態後,如果該會話屬於設備上應用會話老化時間中的應用,則此會話的老化時間為指定的此應用會話的老化時間;否則為傳輸層協議狀態的會話老化時間。
· 丟包會話功能僅隻支持ASPF和連接數限製模塊丟棄報文時生成丟包會話,其他模塊丟棄報文時不能生成丟包會話。
· 丟包會話功能僅支持基於CPU的軟件快速丟包,不支持基於硬件的快速丟包。
· 丟包會被不支持會話業務熱備份功能。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
