防火墙会话表解析

华为防火墙的会话表是防火墙用于记录和管理网络会话的重要数据结构，它对于实现精确的流量控制和安全管理起着至关重要的作用。以下是对华为防火墙会话表的详细解析：

一、会话表的作用

会话表主要用于记录TCP、UDP、ICMP等协议连接的状态信息，是防火墙转发报文的重要依据。通过会话表，防火墙可以快速地识别和处理网络中的数据包，提高转发效率和安全性。

二、会话表的内容

华为防火墙的会话表项中通常包含以下关键信息：

1.  源IP地址和目的IP地址：这两个地址标识了会话的双方，即发送数据和接收数据的设备。防火墙根据这两个地址来判断数据包是否属于一个已知的、合法的会话。

2.  源端口和目的端口：在网络通信中，端口用于标识应用程序或服务。防火墙通过检查源端口和目的端口，可以判断数据包是否属于某个特定的应用或服务，并据此执行相应的安全策略。

3.  协议类型：网络中的通信是基于各种协议的，如TCP、UDP、ICMP等。协议类型告诉防火墙数据包使用的是哪种协议，从而帮助防火墙更精确地控制网络流量。

4.  会话状态：表示会话当前的状态，如建立中(ESTABLISHED)、监听中(LISTEN)、关闭中(CLOSING)等。防火墙通过跟踪会话状态，可以实时了解网络连接的状态，并在必要时执行相应的操作，如断开非法连接。

实验拓扑：

PC1pingPC2后，查看会话表详细信息：

主要是

五元组信息（源IP地址、源端口、目的IP地址、目的端口、协议类型）

其他重要的有下一跳的MAC地址，TTL，老化时间Left，接口，下一跳等

[FW3]dis firewall session table verbose 
2024-09-27 06:39:51.730 
 Current Total Sessions : 7
 icmp  VPN: public --> public  ID: c387fabda81063844666f6538d
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:17
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 00e0-fc57-3b53
 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60
 30.1.1.1:6484 --> 40.1.1.1:2048 PolicyName: t2u

 icmp  VPN: public --> public  ID: c487fabda810560144466f6538c
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:16
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 00e0-fc57-3b53
 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60
 30.1.1.1:6228 --> 40.1.1.1:2048 PolicyName: t2u

 icmp  VPN: public --> public  ID: c487fabda8104881f9466f6538b
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:15
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 00e0-fc57-3b53
 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60
 30.1.1.1:5972 --> 40.1.1.1:2048 PolicyName: t2u

 icmp  VPN: public --> public  ID: c487fabda8103b02b8666f6538a
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:14
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 00e0-fc57-3b53
 <--packets: 1 bytes: 60 --> packets: 1 bytes: 60
 30.1.1.1:5716 --> 40.1.1.1:2048 PolicyName: t2u

 icmp  VPN: public --> public  ID: c487fabda810128312c66f65384
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:08
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 0000-0000-0000
 <--packets: 0 bytes: 0 --> packets: 0 bytes: 0
 30.1.1.1:4180 --> 40.1.1.1:2048 PolicyName: t2u

 icmp  VPN: public --> public  ID: c487fabda8102d8343766f65388
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:12
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 00e0-fc57-3b53
 <--packets: 0 bytes: 0 --> packets: 1 bytes: 60
 30.1.1.1:5204 --> 40.1.1.1:2048 PolicyName: t2u

 icmp  VPN: public --> public  ID: c487fabda810200389a66f65385
 Zone: trust --> untrust  TTL: 00:00:20  Left: 00:00:09
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 20.1.1.2  MAC: 0000-0000-0000
 <--packets: 0 bytes: 0 --> packets: 0 bytes: 0
 30.1.1.1:4436 --> 40.1.1.1:2048 PolicyName: t2u

会话表项参数含义

不会出现源MAC地址，出现下一跳的MAC地址！

会话表的时间要根据实验要求判断！

三、会话表的创建与管理

1.  会话表的创建：当防火墙收到一个网络数据包时，如果它是某个新会话的首个数据包（即首包），防火墙会对其进行详细检查，并根据检查结果创建相应的会话表项。这个过程中，防火墙会识别数据包的源IP、目的IP、源端口、目的端口、协议类型等信息，并将其存储在会话表中。

2.  会话表的匹配：对于后续到达的数据包（即非首包），防火墙会查询会话表以判断其是否属于某个已知的会话。如果匹配成功，防火墙会根据会话表中的信息对该数据包进行相应的处理（如转发、丢弃等）。

3.  会话表的老化机制：为了避免防火墙的设备资源被大量无用、陈旧的会话表项消耗，华为防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配时，它会被从会话表中删除。这种机制有助于保持会话表的清洁和高效。

四、  数据包到达防火墙的动作

①一个ping数据包初次到达防火墙

1. 基本检查与解析

首先，防火墙会对数据包进行一些基本的检查和解析，以确定数据包的源地址、目的地址、端口号、协议类型等关键信息。这是防火墙处理数据包的第一步，为后续步骤提供基础数据。

2. 查看会话表（Session Table）

接下来，防火墙会查看会话表，以确定这个数据包是否属于一个已经建立的会话。会话表记录了网络中各个连接的状态信息，如源IP、目的IP、源端口、目的端口、协议类型等。如果数据包属于一个已建立的会话，防火墙可能会根据会话表的信息来快速处理这个数据包，而无需再进行详细的安全策略检查。

3. 安全策略检查

如果数据包不属于任何已建立的会话，或者会话表中没有相关信息，防火墙会继续查看安全策略。安全策略定义了防火墙如何处理不同类型的数据包，包括允许、拒绝或进行进一步的检查等。防火墙会根据安全策略中的规则来评估数据包是否符合安全要求，并据此做出决策。

4. NAT策略（可选）

在某些情况下，防火墙还会执行NAT（网络地址转换）策略。NAT策略主要用于地址转换，如将私有地址转换为公有地址，或从公有地址转换回私有地址。这通常发生在数据包进入或离开网络时，以确保数据包能够正确地被路由和接收。然而，并不是所有的防火墙都会执行NAT策略，这取决于网络的具体配置和需求。

然后创建会话表

②一个数据包再次到达防火墙（会话表未老化）

会话表未过期且会话表项有效，数据包通常会直接命中会话表并执行转发操作，无需进行安全策略及后续操作，提高转发效率。

防火墙处理流程

会话表检查：

当数据包到达防火墙时，防火墙会首先检查其会话表。会话表是防火墙用于记录已建立的连接状态的数据结构，通常包含五元组信息（源IP地址、源端口、目的IP地址、目的端口、协议类型）。

命中会话表：

如果数据包的五元组信息与会话表中的某个条目匹配，并且该会话表项未过期，那么防火墙会认定这是一个已建立的连接的一部分。在这种情况下，防火墙通常会直接执行转发操作，而不会再次进行复杂的包过滤检查。

转发数据包：

一旦确定数据包属于已建立的连接，并且会话表项有效，防火墙就会根据路由表或其他转发规则将数据包转发到目标地址。