防火墙同时也是路由器、交换机，与路由器交换机的区别在于：路由器交换机的主要目的是转发，防火墙的主要目的是丢弃

会话检测：

假设内网需要访问外网，那防火墙会根据内网的地址、端口等信息为这股流量建立一个会话，当外网回来的流量进入防火墙后，需要与会话中的信息完全匹配才能访问到内网。这样就可以实现内网单向访问外网，如果是外网主动访问内网（例如攻击者）则被拒绝。会话是由流量触发的

转发流程：与路由器基本一致，其中在经过交换网板时会将流量上送到SPU中进行各种策略匹配和检测，然后再转发

一、安全区域

local区域：设备本身以及设备所有的进程接口都属于这个区域，且不能更改

Trust区域：信任区域，将接口添加到Trust区域，连接这个接口的网络被称为Trust区域，通常将企业内网视为信任区域。注意：接口本身还是local区域

UnTrust区域：非信任区域。通常将外网视为非信任区域

DMZ区域：非军事化区域。特点是需要被访问，通常作为需要被外网访问的服务器所在的区域。该区域中有一台重要原则，不允许主动访问Trust区域，所以即使该区域被攻击者攻陷，也不会被当做跳板机攻击Trust区域

通常配置策略时不允许其他区域主动访问Trust区域，其他区域依靠会话进行通信

以上四种是华为防火墙设备的默认安全区域，每个区域有不同的优先级，优先级越大则安全优先级越高，但华为下一代USG防火墙已不再使用优先级这个概念了

防火墙中流量的路径以区域为单位，从一个区域到另一个区域

二、安全策略

在对区域间访问做好策略后，还可以根据流量的属性（五元组、用户、时间段等）进行更细致的安全策略匹配。安全策略由匹配条件、动作和安全配置文件组成。匹配条件可以匹配的内容非常广泛，匹配后的动作如果是允许则配置安全配置文件实现内容安全，动作是禁止（拒绝）则可配置反馈报文

匹配过程按顺序从顶端往下匹配，如果匹配成功将不再继续往下匹配，如果没有匹配上则继续匹配。所以越是精细的策略越需要先配置，宽泛的策略后配置

三、会话表

流量触发，防火墙根据流量首包建立会话后放行首包，对端回复，回程报文匹配会话表项（不再匹配策略）后放行。会话表创建和包处理过程：

会话存在老化时间，一条会话超时后被删除。但是某些多通道协议（FTP的20、21）业务中，会话上间隔很长时间才会有第二个报文经过（例如FTP的控制平面报文），此时就不应该删除会话了，而是采用一种“长链接”机制给这些协议设置超长的老化时间解决这个问题

由于防火墙执行严格的区域访问策略，多通道协议还存在其他问题，比如FTP

ftp客户端使用随机端口向ftp服务器的21端口建立控制通道，这里是trust区域主动向UnTrust区域发起的连接，可以建立会话。

当ftp客户端需要下载文件时会与ftp服务器协商数据通道的随机端口号。这里也是在上述会话中进行，可以协商成功。

然后ftp服务器的20端口根据协商的随机端口号发送文件数据，此时是ftp服务器先发起的数据连接，由于服务器在UnTrust区域中，无法建立会话，导致文件数据无法传输

四、ASPF与server-map

为解决上述多通道协议的问题，防火墙需要识别协议在应用层协商的地址和端口，需要开启ASPF针对应用层的包过滤功能，ASPF可以自动检测某些报文中的应用层信息自动生成server-map表，是简化的会话表，在流量到达之前提前生成。当流量到达后成功匹配server-map表后基于这个表生成会话表，然后执行转发

扫码领取 相关技术视频教程

添加老师后发【布丁】 秒通过 领资料