欢迎user
会话管理是为了实现NAT、ASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能。此功能把传输层报文之间的交互关系抽象为会话,并根据发起方或响应方的报文信息对会话进行状态更新和超时老化。
会话管理支持多个业务特性分别对同一个业务报文进行处理,实现的主要功能包括:
l 报文到会话的快速匹配;
l 传输层协议状态的管理;
l 报文应用层协议类型的识别;
l 支持会话按照协议状态或应用层协议类型进行老化;
l 支持指定会话维持永久连接;
l 会话的传输层协议报文校验和检查;
l 为需要进行端口协商的应用层协议提供特殊的报文匹配;
l 支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配。
会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。
在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。
需要注意的是,会话管理作为基础特性,只是实现连接跟踪,模块本身并不阻止潜在的攻击报文通过。
目前会话管理在设备上实现的具体功能如下:
l 支持TCP、UDP、ICMP、Raw IP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间。
l 支持应用层协议的端口映射,允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话超时时间。
l 支持TCP、UDP、ICMP报文的校验和检查。在校验和检查失败的情况下,不进行会话的匹配或创建,而是由基于会话管理的其他业务来处理。
l 支持ICMP差错报文的映射,可以根据ICMP差错报文的内层报文查找原始的会话。另外,由于差错报文都是由于某主机出错后产生的,因而可以加速该原始会话的超时老化。
l 支持设置长连接会话,保证指定的会话永不超时。
l 支持应用层协议(如FTP等协议)的控制通道和动态数据通道的会话管理。