防火墙转发流量的原理

防火墙转发流量的原理

切忌搞清楚转发原理(理解防火墙怎样的执行顺序至关重要)

简单概要防火墙包转发顺序:
千万要注意: 防火墙包转发的第一步也是最重要的一步是查询会话表

一: 外网访问内网(通过目标nat映射的情况)
(访问流量) 外网口接收报文-->查询会话表-->(会话记录不存在)创建会话-->查询nat映射(有的情况,无直接拒绝)-->查找路由表-->安全检查(如安全策略)--->转发报文
(回程流量) 内网口接收报文-->查询会话表-->(会话记录存在)-->执行安全检查(如安全策略)--->转发报文

二:内网主动访问外网
跟外网访问内网类似,从内到外的时候,创建会话,外网流量回来的时候查询会话

华为官方解释:
NAT处理流程简述如下:
NGFW收到报文后,查找服务器映射生成的Server-Map表,如果报文匹配到Server-Map表,则根据表项转换报文的目的地址,然后进行步骤3处理;如果报文没有匹配到Server-Map表,则进行步骤2处理。
2. 查找目的NAT,如果报文符合目的NAT的匹配条件,则转换报文的目的地址后进行路由处理;如果报文不符合目的NAT的匹配条件,则直接进行路由处理。
3. 根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤4处理;如果没有找到路由,则丢弃报文。
4. 查找安全策略,如果安全策略允许报文通过,则进行源NAT处理;如果安全策略不允许报文通过,则丢弃报文。
5. 查找源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;如果报文不符合源NAT的匹配条件,则直接创建会话。
6. NGFW发送报文。
了解NAT在报文转发流程中大致位置,有利于您在配置设备时合理安排数据,以及业务出现故障时定位故障产生的原因。例如,安全策略的处理顺序位于服务器映射和源NAT之间,因此在安全策略的规则中指定源/目的地址信息时,目的地址应为经过服务器映射处理后的服务器私网地址,源地址应为源NAT转换前的私网地址。

转载于:https://www.cnblogs.com/raymike90/p/10350849.html

你可能感兴趣的:(防火墙转发流量的原理)