防火牆轉發流量的原理
切忌搞清楚轉發原理(理解防火牆怎樣的執行順序至關重要)
簡單概要防火牆包轉發順序:
千萬要注意: 防火牆包轉發的第一步也是最重要的一步是查詢會話表
一: 外網訪問內網(通過目標nat映射的情況)
(訪問流量) 外網口接收報文-->查詢會話表-->(會話記錄不存在)創建會話-->查詢nat映射(有的情況,無直接拒絕)-->查找路由表-->安全檢查(如安全策略)--->轉發報文
(回程流量) 內網口接收報文-->查詢會話表-->(會話記錄存在)-->執行安全檢查(如安全策略)--->轉發報文
二:內網主動訪問外網
跟外網訪問內網類似,從內到外的時候,創建會話,外網流量回來的時候查詢會話
華為官方解釋:
NAT處理流程簡述如下:
NGFW收到報文后,查找服務器映射生成的Server-Map表,如果報文匹配到Server-Map表,則根據表項轉換報文的目的地址,然后進行步驟3處理;如果報文沒有匹配到Server-Map表,則進行步驟2處理。
2. 查找目的NAT,如果報文符合目的NAT的匹配條件,則轉換報文的目的地址后進行路由處理;如果報文不符合目的NAT的匹配條件,則直接進行路由處理。
3. 根據報文當前的信息查找路由(包括策略路由),如果找到路由,則進入步驟4處理;如果沒有找到路由,則丟棄報文。
4. 查找安全策略,如果安全策略允許報文通過,則進行源NAT處理;如果安全策略不允許報文通過,則丟棄報文。
5. 查找源NAT,如果報文符合源NAT的匹配條件,則轉換報文的源地址,然后創建會話;如果報文不符合源NAT的匹配條件,則直接創建會話。
6. NGFW發送報文。
了解NAT在報文轉發流程中大致位置,有利於您在配置設備時合理安排數據,以及業務出現故障時定位故障產生的原因。例如,安全策略的處理順序位於服務器映射和源NAT之間,因此在安全策略的規則中指定源/目的地址信息時,目的地址應為經過服務器映射處理后的服務器私網地址,源地址應為源NAT轉換前的私網地址。