防火墙不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,进行大量的统计计算与分析。
防火墙的统计分析一方面可以通过专门的分析软件对日志信息进行事后分析,另一方面,防火墙系统本身可以完成一部分分析功能,具有一定的实时性。
比如,通过分析外部网络向内部网络发起的TCP/UDP连接数是否超过设定阈值,可以确定是否需要限制该方向发起新连接,或者限制向内部网络某一IP地址发起新连接。
图1是防火墙的一个典型应用示例,当启动了外部网络到内部网络的基于IP地址的统计分析功能时,如果外部网络对Web服务器10.1.9.1发起的TCP连接数超过了设定的阈值,将限制外部网络向该服务器发起新连接,直到连接数降到正常范围。
设备支持的流量统计及监控方法如下:
系统级的流量统计和监控
系统级的流量统计和监控,对系统中所有启用了防火墙功能的安全域间的数据流生效,即设备统计所有安全域间的ICMP、TCP、UDP等连接数。当连接数超过配置阈值时,设备采取限制连接措施,直至连接数降至阈值以下。
基于安全区域的流量统计和监控
基于安全区域的流量统计和监控,对本安全区域和其他安全区域之间的数据流生效,即设备会统计本安全区域和其他所有安全域间建立的TCP、UDP等连接总数。当本安全区域和其他所有安全域间建立的连接总数或者某个方向的连接总数超过配置的阈值时,设备采取限制连接数措施,直至连接数降至阈值以下。
基于IP地址的流量统计和监控
基于IP地址的流量统计和监控,用于统计和监控安全区域中单个IP地址所建立的TCP/UDP连接。设备通过分析源IP地址发起或目的地址接收的TCP或UDP连接总数是否超过设定的阈值,可以确定是否需要限制该方向的新的连接的发起,以防止系统受到恶意的攻击或因系统太忙而发生拒绝服务的情况。
当TCP/UDP连接数降至阈值以下后,源IP地址或目的地址可以重新发起或者接受TCP或UDP连接。
本文由 @我是pm 发布于弱电智能网 。
题图来自Unsplash,基于CC0协议
内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
文章名称:《防火墙如何进行流量统计及其完成监控的三个方法》
文章链接:https://www.ruodian360.com/tech/networking/9917.html
添加微信ydian188免费入群,记得备注“弱电智能网”。
