防火墙报文转发流程

网络设备对流量的处理最终都是通过对单个报文的识别、转发、丢弃和改造来实现的。根据报文的类型和所配置的策略不同，FW对报文的处理过程也有所不同。USG6000典型的IP报文从接收到发送的简化转发流程如下图所示：

总体可以分为三个阶段：分析会话前、会话中、会话后的转发流程

会话前

主要目的是解析出报文中的帧头部和IP头部。再根据头部中的信息进项一些基础的安全检测。

收到一个数据包首先检测是否有配置MAC地址过滤

配置MAC地址的包过滤可以通过屏蔽主机MAC地址来防止ARP攻击，以及根据协议类型来控制报文的通过

*补充：MAC地址过滤的时候只是扫描出MAC地址，根据MAC地址来进行MAC地址过滤。后面的解析帧头部能完整的解析整个帧头部。

 然后解析帧头部，再根据接收口为二层三层做进一步的判断，如果接收为三层口，防火墙需要报文中的目的地址来表明路由表，以决定此类报文的出接口，所以此类报文会在解析和剥离头部信息后进行后续的处理（剥离头部解析IP报文，是为了确定目的IP，以用作后续的路由表查询，然后确定出接口）。对于二层接口接收到的报文，防火墙需要判断这个真是否需要跨VLAN转发，对于同一VLAN内的报文，防火墙根据报文中的MAC地址查询MAC地址转发表，以此确定报文的出接口；对于需要跨VLAN转发的报文来说，防火墙需要获取其VLAN ID,找到对应的子接口或者VLAN-IF接口，子接口和VLAN-IF接口都是虚拟的三层接口，因为此类报文按照了类似于三层接口接受的一样处理，获取报文中的目的地址来表明路由表为后续查询路由表确定出接口奠定基础

然后防火墙会根据管理员是否开启IP/MAC地址绑定，入口带宽阈值，单包攻击防范依次检测是否将报文过滤或丢弃

在这里进行进行单包攻击防范的原因是：因为很多单包攻击都是基于IP、MAC来攻击的，在此之前，防火墙已经获取到了数据包的IP、MAC信息，已经可以很有效地抵御单包攻击了

会话中

查询会话表，根据查询结果对报文做不同的安全机制检测和处理，此阶段是防火墙的核心处理环节，主要的安全功能都在这个阶段实现。