title: 防火墙转发原理(会话表)
updated: 2022-08-21T22:36:18
created: 2021-12-05T11:41:23
一、防火墙转发唯一依据是会话表(前提:开启状态检测,防火墙核心功能)
- 防火墙查会话表(session table)
- 路由器查路由表(route table)
- 交换机查MAC地址表(mac table)
二、当一个数据包到达防火墙,分两种情况处理
1、先匹配已有的会话表,能匹配到会话表后则转发
2、没有匹配到会话表(这个还要细分两种情况):(1)有条件创建会话表(如安全策略为允许),防火墙产生会话表,匹配会话表后转发
(2)无条件创建会话表(如安全策略为禁止),防火墙无法产生会话表则丢弃
三、会话表信息详解
<USG6000V2>display firewall session table //查看所有会话表摘要信息
<USG6000V2>display firewall session table verbose service ftp //查看关于ftp服务的会话表
Current Total Sessions : 2 //统计关于FTP的会话表的总数
FTP VPN: public --> public ID: c387f24ffa7a7d0ff661b56174
//FTP:指FTP协议;VPN: public --> public:虚拟系统,这里是物理墙到物理墙的策略;ID:会话表的唯一ID
Zone: trust --> dmz TTL: 00:20:00 Left: 00:16:11
// Zone: trust --> dmz:安全区域,这里是从trust到dmz区;TTL:默认老化时间;Left:剩余的老化时间
Recv Interface: GigabitEthernet1/0/0 //数据包的接收(入)接口
Interface: GigabitEthernet1/0/1 NextHop: 192.168.1.242 MAC: 5000-0003-0000
// Interface:数据包发出接口;NextHop:下一跳地址;MAC:下一跳MAC地址
<--packets: 11 bytes: 764 --> packets: 12 bytes: 559 //<--:该符号为防火墙接收(或是回包)的流量;-->:该符号为防火墙发出(发包)的流量,一些高端设备可能会出现<==和==>符号,通常指使用了加速板卡
10.1.1.168:1057 +-> 192.168.1.242:21 PolicyName: permit_ftp // 10.1.1.168:1057 +-> 192.168.1.242:21:五元组信息含原IP:原端口 目的IP:目的端口,其中+->表示为开启ASPF功能,因为需要使用到该功能解决FTP多通道的问题,一般都是-->符号居多;PolicyName:已匹配中的策略名
TCP State: established //TCP状态,这里已建立的状态
<USG6000V2>display firewall session table verbose protocol icmp //查看ICMP会话
<USG6000V2>reset firewall session table //清除会话表
Warning:Reseting session table will affect the system's normal service. //警告:重置会话表会影响系统的正常业务。
Continue? [Y/N]:y //这里提示是否继续,输入y继续