H3C防火墙会话详细说明

防火墙会话简介 

正常情况下防火墙各数据流会话 

防火墙  会话： 

防火墙  会话： 

防火墙  会话： 

防火墙  会话： 

单向流经过防火墙后各数据流会话

 协议单向流检测下会话状态：

防火墙双机热备会话备份机制 

对称路径备份方式： 

 协议会话同步： 

 协议会话同步： 

 协议会话同步： 

 协议会话同步： 

非对称路径备份方式： 

 协议会话同步： 

 协议会话同步： 

 协议会话同步： 

防火墙   状态会话 

防火墙会话老化时间和长连接会话

防火墙会话和快转 

 数据流快转： 

 数据流快转： 

 数据流快转： 

 数据流快转： 

防火墙会话加速功能 

防火墙会话和关联表 

其它防火墙会话相关特性 

 流：通过源 、源端口、协议、目的 、目的端口五元组唯一标识

 流：通过源 、目的 、协议三元组 # $%#!& 唯一标识

 流：不属于上述协议的，通过源 、目的 、协议三元组唯一标识

的概念，一个会话通常关联两个方向的流，一个为会话发起方（ )(* !），另

外一个为会话响应方（'%!)&）。会话包含了数据流的  地址、协议、端口

等信息。

防火墙会话的建立流程：

基于会话业务在报文入方向处理流程：

基于会话业务在报文出方向处理流程：

+ 防火墙通过会话状态机来对连接的状态进行跟踪，判断报文是否合法并

决定会话的老化时间。防火墙基于会话的业务有域间策略、 、、,-、

攻击防范、./0、,1、重定向、、2 包过滤、连接限制、/、

深度检测等。

1 支持 TCP、UDP、ICMP、Raw IP 等 IPv4 报文的会话创建、会话状态

更新以及根据协议状态设置超时时间。

2 支持应用层协议的端口映射，允许为应用层协议自定义对应的非通用端

口号，同时可以根据应用层协议设置不同会话超时时间。

4 支持 ICMP 差错报文的映射，可以根据 ICMP 差错报文的内层报文查找

原始的会话。另外，由于差错报文都是某主机出错后产生的，因而可以

加速该原始会话的超时老化。

5 支持设置长连接会话，保证指定的会话在一段较长的时间内不会被老化。

7 支持对基于会话的连接数目进行限制。

注意：

1.1 防火墙 ICMP 会话：

防火墙收到 45' 报文创建会话，记录状态为 ./6，, 是 '，

收到对方回应的 %$ 报文以后，状态切换 .,/6，老化时间切换到

'。在 ./6 状态如果再次收到 45' 报文，会话刷新老化时间，状态

不变；会话稳定在 .,/6 阶段后不管收到 45' 报文还是 %$ 报文都