1.流程圖
2.防火牆對數據包處理過程的各步驟如下:
1)Interface(網卡接口)
網卡接口驅動負責接數收據包,並轉交給下一過程。
2)DoS Sensor(DoS防御,默認關閉)
負責過濾SYN flood、UDP flood、ICMP flood等DoS攻擊,並可針對源、目的IP的並發連接數進行限制。
3)IP integrity header checking(IP頭完整性校驗)
檢查數據包頭完整性。
4)IPSec(IPSec VPN解密,默認關閉)
如果是防火牆本身的IPSec VPN隧道中的數據包,將對其進行解密。
5)DNAT(目標地址NAT)
檢查數據包中的目標IP地址,如果在 VIP(目標地址NAT)表中,則將其替換為映射后IP地址(真實IP地址)和端口。
6)Routing(路由)
本步驟根據數據包的目標IP地址確定該數據包的流出接口。
7)Stateful Inspection Engine(狀態檢測引擎)
狀態檢測引擎包含幾個組件:
a、Policy lookup(策略查找)
在會話建立階段,判斷是否允許數據通過並建立會話狀態,並根據UTM功能的開關決定數據包是否需要進入流檢測引擎(Flow-based inspection engine)和代理檢測引擎(Proxy-based inspection engine)。
b、Session track(會話跟蹤)
維護會話表,跟蹤會話狀態、NAT和其它相關功能。會話建立之后的后續數據包不再進行策略匹配,直接根據會話狀態轉發。
c、User authentication(用戶認證,默認關閉)
對用戶身份進行認證,根據用戶名和用戶所在組選擇防火牆策略。
d、Management traffic(管理流量)
與防火牆自身相關的流量處理,如Web、SSH管理,Syslog、SNMP通信等。
e、SSL VPN流量(默認關閉)
將SSL VPN流量解密,送至SSL VPN虛擬接口(通常為ssl.root),然后查找策略。
f、Session helpers(即ALG)
對FTP、SIP、Oracle等特殊應用進行處理,如動態開啟策略、NAT,自動修改payload等,保證其正常通信。
8)Flow-based inspection engine(流檢測引擎,默認關閉)
如果在防火牆策略中啟用了防病毒、IPS、應用控制等流檢測UTM功能,則會話后續數據包交由流檢測引擎處理。
9)Proxy-based inspection engine(代理檢測引擎,默認關閉)
如果在防火牆策略中啟用了Web過濾、防病毒、反垃圾郵件、DLP等應用代理檢測UTM功能,則會話后續數據包交由代理檢測引擎處理。
10)IPSec(IPSec VPN加密,默認關閉)
如果會話匹配了IPSec VPN策略,此步驟將數據包加密封裝
11)Source NAT(源地址NAT)
如果策略中啟用了NAT,則將數據包的源IP地址和源端口替換為目標接口地址或IP池中的IP地址(通常為公網IP地址)。
12)Routing(路由)
最后一個路由步驟,確定數據包的流出接口,由路由引擎轉發數據包。
13)Egress(流出)
由流出接口網卡將數據包發出防火牆。