安全HCIP之防火墙转发原理
防火墙转发原理
- 老设备:早期包过滤防火墙是按照逐包检测机制转发,转发效率低;
- 新设备:转发机制:状态检测机制,状态检测机制以流量为单位来对报文进行检测和转发,即对一条流量的报文进行包过滤规则检查,并将判断结果作为该条流量的状态记录下来,对于该流量的后续报文都直接根据这个状态来判断是转发还是丢弃,而不会再次检报文的数据内容,这个状态就是我们平常所述的回话表项,这种机制有效提升了防火墙产品的检查速率和转发效率,已经成为目前主流的检测机制;
五元组:即源IP地址、目的IP地址、源端口号、目的端口号、协议类型;
通过判断hIP数据报文的五元组,就可以判断一条数据流相同的IP数据报文
安全策略分类
| 类型 | 说明 |
|---|---|
| 域间安全策略 | 域间转发规则 |
| 域内安全策略 | |
| 接口包过滤 |
- 域间安全策略