如果只靠延长这些业务所属协议的老化时间来解决这个问题,会导致一些同样属于这个协议,但是其实并不需要这么长的老化时间的会话长时间不能得到老化。
这会导致系统资源被大量占用,性能下降,甚至无法再为其他业务建立会话。所以必须缩小延长老化时间的流量范围。
长连接功能可以解决这一问题。长连接功能可以为这些特殊流量设定超长的老化时间。
Server-map
1、为什么会出现server-map表?
由于会话表对哪些报文属于同一条流量的标准过于严格,会导致一些特殊协议不能正确匹配会话表。
Server-map表可以解决这一问题。
例如使用FTP协议的port方式传输文件时:
既需要客户端主动向服务器端发起控制连接;
又需要服务器端主动向客户端发起服务器数据连接;
如果设备上配置的安全策略为允许单方向上报文主动通过,则FTP文件传输不能成功。
2、server-map表原理
通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。
为了解决这一类问题,FW引入了Server-map表,Server-map用于存放一种映射关系。
使得外部网络能透过设备主动访问内部网络。
生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,并在匹配Server-map表后创建会话,保证后续报文能够按照会话表转发。
3、server-map表报文转发过程
防火墙收到报文后,如果没有命中会话表,防火墙则进入首包处理流程,查询是否命中server-map表。
如果命中,则生成会话表,转发报文;
如果没有命中,则执行其他包处理流程。
