了解 Check Point FW-1 状态表 Lance Spitzner (lancespitzner.net)整理:warning3 (warning3nsfocus.)主页:.nsfocus.日期:2000-08-15<* 译者: 以前关于防火墙状态表,也只是有一个大概的了解,通过看这篇文章,也纠正了一些自己的错误看法,感觉很有收获,因此就把它翻译出来了。由于时间仓促,可能些地方翻的会有问题,如发现错误,请跟我联系。这篇文章的主要目的是帮助你了解 FW-1 的状态连接表是如何工作的。这表使 FW-1 知道谁在做什么,什么连接时是允许通过的...这篇文章是我对最新的 FW-1 4.1 版讨论的一个继续。为了使你更好的理解你自己的 FW-1 状态检查表并与我所说的进行验证,我将这篇文章中所用到的源码附在最后。状态检查(Stateful Inspection )==============================让我们首先从一个很基本的问题开始我们的讨论。假设你有一个防火墙,它的过滤规则允许所有连接通过 (any - any -accept),那么防火墙是否会允许一个用 ACK 位发起的新 TCP 连接通过呢?假如防火墙允许任何连接通过,那么似乎任意的包都应当通过。然而,假如从状态检查的工作原理上看,这个包又似乎应当被丢弃。我开始对状态检查(至少是对 Check Point FireWall-1)的理解是这样的:当防火墙收到一个发起 TCP 连接请求的 SYN 包时,这个 SYN 包首先会与防火墙的过滤规则按顺序(从规则 0 开始)进行比较,假如所有的规则都不允许接受这个包,那它就被拒绝,这个连接就被丢弃或者拒绝(发送 RST 包给远程主机).然而,假如这个包被接受了,这个连接会话就被加入到防火墙的状态连接表中,这个表在核空间中分配。后续的每个包(不带 SYN 标记的包)都会与状态表比较,假如相应的会话已经在表中了,那个这个包就是连接会话的一部分,然后这个包就被接受,允许通过。假如不是,这个包就被丢弃。这将改进系统性能,因为不需要将每个包都与过滤规则集进行比较,而是只对发起连接的 SYN 包进行比较。所有其它的 TCP 包都在核空间中与状态表进行比较,这个速度是很快的。好,现在回到我们开始谈的那个问题上来。假如我们用一个 ACK 包发起一个会话,防火墙是否会接受这个包呢,即使过滤规则已经允许所有的连接通过?就象我们刚才说的,你可能认为会接受。但现在我们对状态连接表有了更多的认识,可能这个答案会是相反的了。当防火墙收到一个 ACK 包时,它会先与核空间中的状态连接表进行比较,而不是过滤规则集。当...
