华为USG防火墙：状态检测 firewall session link-state check

华为USG防火墙：状态检测 firewall session link-state check

状态检测的基本概念。
FW通过状态检测功能来对报文的链路状态进行合法性检查，丢弃链路状态不合法的报文。状态检测功能不仅检测普通报文，也对内层报文（VPN报文解封装后的报文）进行检测。
当FW作为网络的唯一出口时，所有报文都必须经过FW转发。在这种情况下，一次通信过程中来回两个方向的报文都能经过FW的处理，这种组网环境也称为报文来回路径一致的组网环境。此时就可以在FW上开启状态检测功能，保证业务安全。
但是在报文来回路径不一致的组网环境中，FW可能只会收到通信过程中的后续报文，而没有收到首包，如图所示。
报文来回路径不一致组网图

在这种情况下，为了保证业务正常，就需要关闭FW的状态检测功能。当关闭状态检测功能后，FW可以通过后续报文建立会话，保证业务的正常运行。
开启和关闭状态检测功能的情况下，设备对收到的TCP和ICMP协议首包的处理结果如表 TCP和ICMP协议报文创建会话情况所示。创建会话的前提还是这些报文要通过设备上包括安全策略在内的各项安全机制的检查。
TCP和ICMP协议报文创建会话情况

备注：对于ICMP报文，FW只支持对Ping回显请求报文和Ping回显应答报文进行状态检测，其他类型的ICMP报文不进行状态检测。

配置
 执行命令system-view，进入系统视图。
请根据需要选择开启或关闭状态检测功能。
开启状态检测功能
执行命令firewall session link-state [ icmp | tcp ] check，开启IPv4状态检测功能。
执行命令firewall ipv6 session link-state [ icmpv6 | tcp ] check，开启IPv6状态检测功能。
在某些特定场景中，链路状态检测功能开启的情况下，如果希望不对某些匹配特定规则的流量进行状态检测，可以先创建高级ACL，然后使用firewall session link-state exclude acl acl-number或firewall ipv6 session link-state exclude acl6 acl-number命令引用该ACL。
注意在该ACL中同时配置正反向规则保证正反向流量都不进行状态检测。
一个ACL中配置的规则数不要超过30个，否则可能影响设备性能。
不能绑定虚拟系统下创建的ACL以及根系统下创建的绑定了VPN实例的ACL。

如果不再需要对特定流量关闭状态检测处理，可以执行undo firewall session link-state exclude acl或undo firewall ipv6 session link-state exclude acl6取消引用ACL。

关闭状态检测功能
执行命令undo firewall session link-state [ icmp | tcp ] check，关闭IPv4状态检测功能。
执行命令undo firewall ipv6 session link-state [ icmpv6 | tcp ] check，关闭IPv6状态检测功能。

开启状态检测功能时，只有首包通过设备时才可建立会话。而关闭状态检测功能之后，没有找到相应会话的后续报文也可以建立会话。
如果状态检测关闭，配置的first-fin老化时间对第一个first-fin会话不生效。第一个first-fin会话老化时间保持不变。
关闭TCP状态检测功能会导致TCP代理方式的SYN Flood攻击防范功能无法使用。


后续处理
执行命令display firewall [ ipv6 ] session link-state查看状态检测功能的开启情况。
查看IPv4状态检测功能的开启情况。由显示信息可知，TCP流的状态检测功能已开启，并对匹配了编号为3456的ACL规则的流量关闭状态检测。ICMP流的状态检测功能没有开启。
<FW> display firewall session link-state
 Current firewall session link-state:                                                                                               
 ------------------------------------                                                                                               
 TCP check:                        on                                                                                               
 ICMP check:                       off  
 Exclude acl:                      3456   
------------------------------------
查看IPv6状态检测功能的开启情况。由显示信息可知，TCP流和ICMP流的状态检测功能都已开启，并对匹配了编号为3333的ACL规则的流量关闭状态检测。
<FW> display firewall ipv6 session link-state
 Current firewall ipv6 session link-state:                                      
 ---------------------------------------                                      
 TCP check:                         on                                      
 ICMPv6 check:                      on                                      
 Exclude acl:                       3333          
-----------------------------------------           

防火墙这个NGE功能（禁用TCP状态检测可能导致NGE功能失败）（路由交换中流量来回路径不一致会造成什么危害？）
http://www.zh-cjh.com/wangluoanquan/3317.html