默认属性
· 允许高->低
· 拒绝低->高
数据包--->初始校验--->Xlate查询--->连接查找--->ACL查找--->Xlate查找--->用户验证查找--->检测引擎--->数据包
(接口X) 出站 入站 (接口Y)
初始校验
· 检查数据包完整性(路由相同),特别检查源地址完整性(防源地址欺骗攻击)
· 单播反向路径转发(RPF:unicast reverse path forwarding)源地址必须在已知的路由表中,并且匹配
Xlate查询
xlate表维护的参数
· 协议(ICMP、UDP和TCP)
· 本地和全局接口
· 本地和全局IP地址
· 本地和全局端口号(TCP或UDP)
· 标志(Xlate类型)
· 空闲定时器(没有xlat开始算)
· 绝对定时器(建立开始算)
· 用户验证绑定(AAA?)
· 利用xlate表项的连接
1)连接的数量
2)未完成连接的数量
3)活动连接列表
连接查找(FW对于他们是透明的)
conn表维护的参数
· 协议(ICMP、UDP和TCP)
· 本地或外部IP地址(Xlate后使用本地IP)
· 本地和外部端口号(如果可应用:仅为TCP或UDP)
· 固定类型和连接状态的标志
· 空闲定时器
· 字节计数机
· 本地和外部的TCP序号
ACL查找
· 连接发起时,ACL才使用
· 默认,高->低(FWSM除外)
用户验证查找(AAA配合使用)
· 返回一个AAA属性
· 通过AAA调用ACL控制用户连接
· 从AAA下载ACL控制用户连接
检测引擎
· 又称:应用层协议检测
· ICMP检测:只允许第一个回复包 (xlate表、ACL)
· UDP检测:DNS只允许第一个回复包 空闲超时:2min (xlate表、ACL和连接表项检测)
· TCP检测:static参数防御DoS攻击初始空闲超时:30s TCP空闲超时:60min 半关闭空闲超时:10min (xlate表、ACL和连接表项检测)
其他防火墙操作
· 内容过滤
· 故障切换
· DHCP
· 系统日志
· 管理
· 数据包捕获
· 多防火墙仿真
