码迷,mamicode.com
首页 > 其他好文 > 详细

防火墙转发流量的原理

时间:2019-02-03 19:42:21      阅读:188      评论:0      收藏:0      [点我收藏+]

标签:第一步   安全   设备   匹配   指定   进入   目的nat   目标   情况   

防火墙转发流量的原理

切忌搞清楚转发原理(理解防火墙怎样的执行顺序至关重要)

简单概要防火墙包转发顺序:
千万要注意: 防火墙包转发的第一步也是最重要的一步是查询会话表

一: 外网访问内网(通过目标nat映射的情况)
(访问流量) 外网口接收报文-->查询会话表-->(会话记录不存在)创建会话-->查询nat映射(有的情况,无直接拒绝)-->查找路由表-->安全检查(如安全策略)--->转发报文
(回程流量) 内网口接收报文-->查询会话表-->(会话记录存在)-->执行安全检查(如安全策略)--->转发报文

二:内网主动访问外网
跟外网访问内网类似,从内到外的时候,创建会话,外网流量回来的时候查询会话

华为官方解释:
NAT处理流程简述如下:
NGFW收到报文后,查找服务器映射生成的Server-Map表,如果报文匹配到Server-Map表,则根据表项转换报文的目的地址,然后进行步骤3处理;如果报文没有匹配到Server-Map表,则进行步骤2处理。
2. 查找目的NAT,如果报文符合目的NAT的匹配条件,则转换报文的目的地址后进行路由处理;如果报文不符合目的NAT的匹配条件,则直接进行路由处理。
3. 根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤4处理;如果没有找到路由,则丢弃报文。
4. 查找安全策略,如果安全策略允许报文通过,则进行源NAT处理;如果安全策略不允许报文通过,则丢弃报文。
5. 查找源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;如果报文不符合源NAT的匹配条件,则直接创建会话。
6. NGFW发送报文。
了解NAT在报文转发流程中大致位置,有利于您在配置设备时合理安排数据,以及业务出现故障时定位故障产生的原因。例如,安全策略的处理顺序位于服务器映射和源NAT之间,因此在安全策略的规则中指定源/目的地址信息时,目的地址应为经过服务器映射处理后的服务器私网地址,源地址应为源NAT转换前的私网地址。

防火墙转发流量的原理

标签:第一步   安全   设备   匹配   指定   进入   目的nat   目标   情况   

原文地址:https://www.cnblogs.com/raymike90/p/10350849.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!