文章详细描述了防火墙的工作流程,包括mac地址过滤、帧头解析、IP/MAC绑定、会话表检查、状态检测、安全策略等多个环节,涉及DDoS防御、带宽控制、源NAT处理和内容安全等技术。
第一阶段
1. mac地址过滤:防火墙是否配置了mac过滤;
2. 解析帧头部:查看目的mac地址;
3. 检查接收接是二层还是三层
3.1 如果是二层接口,基于vlan及mac地址表,检查流量的出接口;
3.2 如果是三层接口,跳过;
4. 剥离帧头部:二层头部解封装;
5. 解析IP包头;
6. IP/MAC绑定:如果定义了ip-mac绑定,则判断是否合规;
8. 单包攻击防范:[畸形报文]类的网络攻击
——基于以上信息,防火墙可以掌握流量的接收接口、源IP、目的IP等信息
第二阶段(基于掌握的信息,检查是否有匹配的会话表)
1. 如果有,则直接通过会话表转发;
a. 刷新在线用户表(基于认证策略,识别IP地址与用户的对应关系)
b. 基于流的攻击防范(如DDoS攻击,需要开启相应的防范功能)
c. 状态检测
d. 是否刷新会话
1) 不刷新会话时,检查服务器负载均衡;
2) 刷新会话时
2.1) 检查服务器负载均衡
2.2) 路由表
2.3) 安全策略(包过滤)
2.4) 黑名单
2.5) 用户重定向(用户认证策略时配置)
2. 如果没有,开始准备创建会话表;
a. 状态检测(基于首包的过滤机制)
b. 黑名单(源IP、目的IP)
c. Server-map
d. 服务器映射(nat-server)
e. 在线用户表(防火墙基于认证策略,可以识别IP地址与用户的对应关系)
f. 路由表
g. 认证策略
h. 首包处理
i. 安全策略(包过滤)
j. 源nat策略匹配(是否需要进行源地址转换,只是看,不动作)
k. 连接数限制(会话表的最大值)
l. 创建会话
——创建或匹配会话后,防火墙进入数据包的转发流程
第三阶段
1. 带宽策略(保证带宽、最大带宽、连接数限制)
2. 安全策略(内容安全)
3. 源NAT处理(进行源NAT转换)
4. VPN策略
5. 出接口带宽阈值
6. 发送报文
5185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
