最近听到了一个关于防火墙的策略挂载方式会导致对业务报错的不同的情况。
首先我们知道,防火墙对策略的应用可以是in
或out
方向。一般来说,会比较推荐in
方向挂载策略。原因在于对防火墙处理时的压力问题。
- 假如防火墙在
in
方向放行所有
,而对应业务的out
方向策略没有开,导致的业务报错为age_out超时
。 - 假如防火墙在
in
方向挂载策略,那么不被允许的业务收到的报错是server_reject服务被拒绝
。
对于1
,防火墙会接收所有包,并在防火墙内部进行处理。对没有放行策略的流量会直接丢弃,而不会回包。
对于2
,防火墙会在接口
进入时,会对没有放行策略的流量丢弃,并返回被拒绝。