防火墙转发流量的原理
切忌搞清楚转发原理(理解防火墙怎样的执行顺序至关重要)
简单概要防火墙包转发顺序:
千万要注意: 防火墙包转发的第一步也是最重要的一步是查询会话表
一: 外网访问内网(通过目标nat映射的情况)
(访问流量) 外网口接收报文-->查询会话表-->(会话记录不存在)创建会话-->查询nat映射(有的情况,无直接拒绝)-->查找路由表-->安全检查(如安全策略)--->转发报文
(回程流量) 内网口接收报文-->查询会话表-->(会话记录存在)-->执行安全检查(如安全策略)--->转发报文
二:内网主动访问外网
跟外网访问内网类似,从内到外的时候,创建会话,外网流量回来的时候查询会话
华为官方解释:
NAT处理流程简述如下:
NGFW收到报文后,查找服务器映射生成的Server-Map表,如果报文匹配到Server-Map表,则根据表项转换报文的目的地址,然后进行步骤3处理;如果报文没有匹配到Server-Map表,则进行步骤2处理。
2. 查找目的NAT,如果报文符合目的NAT的匹配条件,则转换报文的目的地址后进行路由处理;如果报文不符合目的NAT的匹配条件,则直接进行路由处理。
3. 根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤4处理;如果没有找到路由,则丢弃报文。
4. 查找安全策略,如果安全策略允许报文通过,则进行源NAT处理;如果安全策略不允许报文通过,则丢弃报文。
5. 查找源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;如果报文不符合源NAT的匹配条件,则直接创建会话。
6. NGFW发送报文。
了解NAT在报文转发流程中大致位置,有利于您在配置设备时合理安排数据,以及业务出现故障时定位故障产生的原因。例如,安全策略的处理顺序位于服务器映射和源NAT之间,因此在安全策略的规则中指定源/目的地址信息时,目的地址应为经过服务器映射处理后的服务器私网地址,源地址应为源NAT转换前的私网地址。
防火墙转发流量的原理相关推荐
- 华为防火墙简介及其工作原理
防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产 ...
- linux路由器转发效率,如何使用Intel 10 Gbe解决Linux路由器/防火墙转发性能问题?...
我们有一个 Linux防火墙,带有两个面向外部的10Gbe适配器(Intel 82599EB)和一个面向内部的10Gbe适配器(Intel 82598EB). 我遇到的问题是防火墙只会以非常低的速率转 ...
- dns劫持简介 https流量数据获取原理
一.背景描述 最近波兰CERT一篇名<Large-scale DNS redirection on home routers for financial theft>为的文章引起我们的注意 ...
- 华为防火墙产品介绍及工作原理
华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管 ...
- 防火墙简介及其工作原理
简介: 防火墙是由软件和硬件组成的系统,它处在安全的网络和不安全的网络之间(比如内网和外网之间),根据由系统管理员设置的规则,对数据流进行过滤.(你的个人电脑上的防火墙就是这样工作的,根据特定的规则过 ...
- 华为防火墙笔记-网络攻击的原理和防范
文章整理自<华为防火墙技术漫谈> DoS攻击简介 Dos是Denial of Service的简称,即拒绝服务.造成Dos的攻击行为被称为Dos攻击,其目的是使计算机或网络无法正常提供服务 ...
- 【Q】之防火墙的SNAT DANT原理应用
SNAT DANT 一. SNAT原理的应用 1.1 原因环境和原理 1.2 开启SNAT的命令 1.临时打开∶ 2.永久打开: 1.3 SNAT转换 1.3.1 SNAT转换1∶固定的公网IP地址∶ ...
- NGFW防火墙的ASPF实现原理
ASPF技术 可以使用应用层包过滤技术的协议 多通道协议 通信过程中,使用多个端口.例如FTP NAT Server P2P协议.迅雷.QQ.MSN 工作原理(例:FTP) 在防火墙上配置的安全策略仅 ...
- 快速了解防火墙以及防火墙基本的配置原理
一.防火墙的简单介绍: 防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵.恶意代码的传播等,保障内部网络数据 ...
- 交换机MAC地址学习和转发数据帧的原理
1 :交换机 MAC 地址学习 在交换机初始化的,也就是刚启动的时候,交换机的MAC地址表是没有任何MAC地址和端口的映射条目的 当PCA要想和PCC,PCB,PCD进行通信时,当该二层数据帧 ...
最新文章
- “编程能力差的程序员,90%输在这事上!”谷歌AI专家:都是瞎努力!
- python详细安装教程linux-Python 环境安装步骤
- SpringBoot快速集成kafka
- django后台接收form-data 格式上传的文件
- 霸榜 | 微软CV模型收获近 2k star
- 表单内如何直接贴图而不用上传图片_重磅更新|偷偷告诉你,表单大师官网改版啦啦啦啦...
- vue watch 修改滚动条_只需要这几个vue快捷开发技巧,看完技术提升30%!!!!...
- python解释器哪个版本好_python解释器有几种
- python微信语音转发方法_最简单的微信语音转发方法,保证看一遍就会
- 域策略(4)——设置统一锁屏壁纸(此策略仅适用于企业版、教育版和 Server SKU版)
- 洛谷5339 BZOJ5510 TJOI2019 唱、跳、rap和篮球 容斥 dp 组合数
- Beyond Compare For MAC安装
- json转xml报[java.lang.NoClassDefFoundError: nu/xom/Serializer]
- 鼎捷E10视频教程合集19大模块
- 移动和包不能激活NFC问题
- android 头像球_【Android 界面效果44】Android之圆头像实例
- 或再被“转手”,家乐福中国还能“攀”上哪座靠山?
- HC-02蓝牙串口模块的配置和使用
- 基于C语言设计的俄罗斯方块小游戏(VS2017运行)
- 43.属性名和属性值