首页 > 代码库 > 华为FW报文处理流程
华为FW报文处理流程
以下摘抄自《华为防火墙技术漫谈》,有删减
查询会话中的处理过程
协议报文
- OSPF、IGMP、HRP等称为协议报文
- 以OSPF为例,广播环境下,DD是单播,需要安全策略检查;P2P环境中,DD为组播,不需要安全策略检查
业务报文
- 将穿越防火墙的称为业务报文,比如TCP、UDP承载的数据
- 这类报文需要创建会话,不能匹配任一会话的就认为是首包
首包处理流程
- 黑名单匹配(这个不是acl,有专门的黑名单功能)
- 是否命中正反向server-map表,命中则记录其中的信息
- 根据第2步结果,查询报文命中哪条路由,优先查策略路由,后查路由表,决定下一跳与出接口;注意此时并没有nat转换,所以得查serve-map表转换后的地址,继而查询真实地址的路由
- 查询安全策略,已知报文入接口源地址、判断出报文出接口后,就可以查询域间或者是域内安全策略,没有匹配到安全策略或者匹配到deny就丢弃报文
- 查询是否命中源nat策略,匹配到就记录转换后的源ip和端口信息
- 创建会话
后续包流程
- 主要判断会话是否需要刷新
- 创建会话后,如果路由表、安全策略变化,就需要重新查询并匹配
- 老化时间会随者报文的交互自动刷新,
- 故障定位时,是否创建会话是个关键点
查询会话后的处理流程
- 到这里已经创建好会话了,或者匹配到原来的会话
- 首先基于ip限流、IPS、UTM等处理
- 根据已经创建的会话表进行目的转换、源转换(如果有的话)
- 这里要注意
- 如果在前面流程中命中了nat server的反向server-map表,就根据这个转换,不再往后匹配源nat策略
- 报文后续是否要进行vpn加封装,如果此时定义了该数据的源地址转换,那么后续数据流就无法进入vpn协商流程了
- nat server优先级非常高,报文走错的情况很少,但是源nat和vpn处理在nat server之后,容易受到nat server干扰,导致业务异常
- 开始报文分发
- 外部地址就从接口发出
- 目的地址是FW自身,交给管理层面
- vpn报文则会被解封装,重复以上阶段
- 如果是要进入vpn隧道,则进行vpn封装
华为FW报文处理流程
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。