第一阶段
1. mac地址过滤:防火墙是否配置了mac过滤;
2. 解析帧头部:查看目的mac地址;
3. 检查接收接是二层还是三层
3.1 如果是二层接口,基于vlan及mac地址表,检查流量的出接口;
3.2 如果是三层接口,跳过;
4. 剥离帧头部:二层头部解封装;
5. 解析IP包头;
6. IP/MAC绑定:如果定义了ip-mac绑定,则判断是否合规;
8. 单包攻击防范:[畸形报文]类的网络攻击
——基于以上信息,防火墙可以掌握流量的接收接口、源IP、目的IP等信息
第二阶段(基于掌握的信息,检查是否有匹配的会话表)
1. 如果有,则直接通过会话表转发;
a. 刷新在线用户表(基于认证策略,识别IP地址与用户的对应关系)
b. 基于流的攻击防范(如DDoS攻击,需要开启相应的防范功能)
c. 状态检测
d. 是否刷新会话
1) 不刷新会话时,检查服务器负载均衡;
2) 刷新会话时
2.1) 检查服务器负载均衡
2.2) 路由表
2.3) 安全策略(包过滤)
2.4) 黑名单
2.5) 用户重定向(用户认证策略时配置)
2. 如果没有,开始准备创建会话表;
a. 状态检测(基于首包的过滤机制)
b. 黑名单(源IP、目的IP)
c. Server-map
d. 服务器映射(nat-server)
e. 在线用户表(防火墙基于认证策略,可以识别IP地址与用户的对应关系)
f. 路由表
g. 认证策略
h. 首包处理
i. 安全策略(包过滤)
j. 源nat策略匹配(是否需要进行源地址转换,只是看,不动作)
k. 连接数限制(会话表的最大值)
l. 创建会话
——创建或匹配会话后,防火墙进入数据包的转发流程
第三阶段
1. 带宽策略(保证带宽、最大带宽、连接数限制)
2. 安全策略(内容安全)
3. 源NAT处理(进行源NAT转换)
4. VPN策略
5. 出接口带宽阈值
6. 发送报文