檢視次數:
Server & Workload Security保護 有狀態防火牆組態機制會根據流量歷史、TCP 和 IP 標頭值的正確性以及 TCP 連接狀態轉換來分析每個封包。對於像 UDP 和 ICMP 這樣的無狀態協定,則根據歷史流量分析實施偽有狀態機制。封包將由有狀態機制處理如下:
  1. 如果封包已通過靜態防火牆規則條件的允許,則會將其傳遞給有狀態例程
  2. 正在檢查封包以確定其是否屬於現有連線,並
  3. TCP 標頭會被檢查以確保正確性(例如序列號、標誌組合等)。
若要建立新的有狀態配置,您需要:

步驟

  1. 新增有狀態配置
  2. 輸入有狀態的配置資訊
  3. 選擇封包檢查選項

接下來需執行的動作

當您完成有狀態配置後,您還可以學習如何

新增有狀態的配置 上層主題

Policies Common Objects Other Firewall Stateful Configurations頁面上有三種方法可以定義有狀態的配置:
  • 建立新配置。點選New New Firewall Stateful Configuration
  • 從 XML 檔案匯入設定。點選 New Import From File
  • 複製並修改現有的配置。在防火牆狀態配置列表中右鍵點選該配置,然後點選Duplicate。要編輯新配置,選擇它,然後點選Properties

輸入有狀態的配置資訊 上層主題

輸入NameDescription以進行配置。

選擇封包檢查選項 上層主題

您可以定義 IP、TCP、UDP 和 ICMP 封包檢查的選項,並啟用主動或被動 FTP。

IP 封包檢查 上層主題

在「一般」標籤下,選擇Deny all incoming fragmented packets以丟棄任何碎片封包。被丟棄的封包將跳過碎片分析並生成「IP 碎片封包」日誌條目。總長度小於 IP 標頭長度的封包將被靜默丟棄。
警告
警告
攻擊者有時會創建並發送分段封包,試圖繞過防火牆規則。
注意
注意
防火牆引擎預設會對分段封包進行一系列檢查。這是預設行為,無法重新配置。具有以下特徵的封包將被丟棄:
  • Invalid fragmentation flags/offset: 當 IP 標頭中的 DFMF 標誌設為 1,或標頭包含 DF 標誌設為 1 且 Offset 值不為 0 時,封包會被丟棄。
  • First fragment too small: 如果封包的 MF 標誌設為 1,Offset 值為 0,且總長度小於 120 位元組(最大合併標頭長度),則該封包會被丟棄。
  • IP fragment out of boundary: 如果封包的 Offset 標誌值與封包總長度相加超過 65535 位元組的最大資料包長度,則該封包會被丟棄。
  • IP fragment offset too small: 如果封包具有非零的 Offset 標誌且其值小於 60 位元組,則該封包將被丟棄。

TCP 封包檢查 上層主題

TCP 標籤下,選擇您想啟用的以下選項:
  • Deny TCP packets containing CWR, ECE flags: 當網路擁塞時,這些標誌會被設置。
    注意
    注意
    RFC 3168 定義了保留字段中的六位中的兩位用於 ECN(顯式擁塞通知),如下所示:
    • 位元 8 到 15:CWR-ECE-URG-ACK-PSH-RST-SYN-FIN
    • TCP 標頭標誌位名稱參考:
      • 位元 8:CWR(擁塞窗口減少)[RFC3168]
      • 位元 9:ECE (ECN-Echo) [RFC3168]
    警告
    警告
    自動封包傳輸(例如由拒絕服務攻擊等產生的封包)通常會產生設置了這些標誌的封包。
  • Enable TCP stateful inspection: 在 TCP 層啟用有狀態檢查。如果您啟用有狀態 TCP 檢查,以下選項將可用:
    • Enable TCP stateful logging: TCP 狀態檢查事件將被記錄。
    • Limit the number of incoming connections from a single computer to: 限制單一電腦防護的連接數量可以減少拒絕服務攻擊的影響。
    • Limit the number of outgoing connections to a single computer to: 限制到單一電腦防護的外連接數量可以顯著減少類似Nimda蠕蟲的影響。
    • Limit the number of half-open connections from a single computer to: 在此設定限制可以保護您免受像 SYN Flood 這樣的 DoS 攻擊。雖然大多數伺服器都有關閉半開連接的超時設定,但在此設定一個值可以防止半開連接成為重大問題。如果達到指定的 SYN-SENT(遠端)條目的限制,來自該特定電腦的後續 TCP 封包將被丟棄。
      注意
      注意
      當決定允許單一電腦的開放連接數量時,請選擇一個您認為對於所使用的通訊協定來說合理的半開放連接數量,以及您的系統在不會擁塞的情況下可以維持的單一電腦半開放連接數量之間的數字。
    • Enable ACK Storm protection when the number of already acknowledged packets exceeds: 設定此選項以記錄發生 ACK Storm 攻擊的事件。
      • Drop Connection when ACK Storm detected: 如果偵測到此類攻擊,請設定此選項以中斷連接。ACK Storm 保護選項僅適用於 8.0 及更早版本的代理。

FTP 選項 上層主題

FTP Options 標籤下,您可以啟用以下選項:
注意
注意
以下 FTP 選項適用於 8.0 版及更早版本的代理程式。
  • Active FTP
    • Allow Incoming: 當此電腦防護作為伺服器時允許啟用 FTP。
    • Allow Outgoing: 當此電腦防護作為客戶端時允許啟用 FTP。
  • Passive FTP
    • Allow Incoming: 當此電腦防護作為伺服器時允許被動 FTP。
    • Allow Outgoing: 當此電腦防護作為客戶端時允許被動 FTP。

UDP 封包檢查 上層主題

UDP 標籤下,您可以啟用以下選項:
  • Enable UDP stateful inspection: 選擇以啟用 UDP 流量的有狀態檢查。
    注意
    注意
    UDP 有狀態機制會丟棄未經請求的傳入 UDP 封包。對於每個傳出的 UDP 封包,該規則會更新其 UDP「有狀態」表,並且僅在請求後 60 秒內允許 UDP 回應。如果您希望允許特定的傳入 UDP 流量,您必須建立一個 Force Allow 規則。例如,如果您正在運行 DNS 伺服器,您必須建立一個 Force Allow 規則以允許目標通訊埠 53 的傳入 UDP 封包。
    警告
    警告
    在沒有對 UDP 流量進行有狀態檢查的情況下,攻擊者可以偽裝成 DNS 伺服器,並從來源通訊埠 53 向防火牆後面的電腦發送未經請求的 UDP「回應」。
    • Enable UDP stateful logging: 選擇此選項將啟用 UDP 狀態檢查事件的記錄。

ICMP 封包檢查 上層主題

ICMP 標籤下,您可以啟用以下選項:
注意
注意
ICMP 狀態檢查在 8.0 或更早版本的代理程式中可用。
  • Enable ICMP stateful inspection: 選擇以啟用 ICMP 流量的有狀態檢查。
    注意
    注意
    ICMP(偽狀態)機制會丟棄未經請求的傳入ICMP封包。對於每個傳出的ICMP封包,該規則將創建或更新其ICMP「狀態」表,並且僅在請求後60秒內允許ICMP回應。(支持的ICMP對類型:類型0和8,13和14,15和16,17和18。)
    警告
    警告
    已啟動有狀態的 ICMP 檢查後,您可以例如僅允許在發出回聲請求後接收 ICMP 回聲回覆。未請求的回聲回覆可能是多種攻擊的跡象,包括 Smurf 放大攻擊、主控與守護程序之間的 Tribe Flood Network 通訊,或 Loki 2 後門。
    • Enable ICMP stateful logging: 選擇此選項將啟用 ICMP 狀態檢查事件的記錄。

匯出有狀態的配置 上層主題

您可以通過點擊Export並從列表中選擇相應的匯出操作,將所有有狀態的配置匯出到 .csv 或 .xml 文件。您也可以先選擇特定的有狀態配置,然後點擊Export,再從列表中選擇相應的匯出操作來匯出這些配置。

刪除有狀態的配置 上層主題

要刪除有狀態的配置,請在防火牆有狀態配置列表中右鍵點選該配置,點選刪除,然後點選確定
注意
注意
無狀態配置分配給一台或多台電腦或屬於某個政策的一部分,無法刪除。

查看已分配有狀態配置的政策和電腦 上層主題

您可以在Assigned To標籤上查看分配給有狀態檢查配置的政策和電腦防護。點選列表中的政策或電腦防護以查看其屬性。