思科firepower数据流处理流程

1、数据流从端口进入设备，先检查数据包中L2&NAT信息；接着检查数据流状态表；然后是L3层的信息和端口信息；然后检查HW rules；

2、如果数据包是加密流量，那么接下来需要进行数据包解码，将数据流全部变为明文形式，然后进行后续的检测。这个部分可以体现下一代防火墙对于数据流量可视性的增强；接着检查数据安全性与IP合法性和流检查；接着是对数据包进行ACL匹配检查，这里的ACL可以检查的内容较多，可根据自己需求进行定义，例如url/user id/app stats等。

    这部分检查内容，更多的是深入检查数据流内容，将原来的防火墙无法看见的加密流量解密，从而在看得见的情况下保护自己的网络；内容的安全与否不再单单凭借IP地址、端口、数据报文，IP地址不等于用户，端口也不再等于应用数据，数据报文也不等于传输内容，一切的安全根据自己的数据库判断，数据库是根据安全团队实时更新的，辅助以数据行为判断，杜绝零日威胁和APT、恶意软件等安全事件。

3、如果经过以上检查之后，防火墙对数据流放行，那数据流可以放行。同时，经过这些检查之后，如果客户还需要对数据流进行更多检查，那么可以对数据流进行network to monitor检查，IPS检查，文件类型和恶意软件检查，这是下一代墙相较于原来的防火墙最具优势的地方。

    怎么说这是下一代墙的优势呢？其实对于思科来说，firepower相当于ASA+firepower IPS，对于ASA来说，不存在威胁情报以及受到攻击后的缓解攻击功能，只能够在防御攻击时起到“静态”防御的功能。下一代墙在提升网络安全可视性后，赋予了防火墙“动态”防御的功能，还增加了网络安全报表等一系列服务，为网络安全管理人员提供改善网络安全状况提供了可靠的素材。