溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
文檔簡介:
ASA處理雙向流量的順序,關鍵點在于是否存在會話,各個廠家處理的順序不一致,附錄juniper以及huawei防火墻的處理順序
當處理來自或者去往內外網的數據包時,ASA設備經歷了路由查找,對主機會話的數量進行限制,將數據包與所配置的訪問控制列表(ACL)進行匹配檢查等一系列操作。
取決于接收流量的接口(流量的方向),ASA以不同的順序處理這些操作。下面列出了ASA從Inside接口收到了一個目的地址是位于外部接口的一個主機的數據包時所經歷的操作順序。
從接口收到數據包:Inside。
查找流:這個數據包屬于一個現有的數據流的條目嗎?
查找路由:將數據包的目標IP地址與ASA路由表的路由信息進行匹配,對路由表執行最長的掩碼查找與找到匹配的路由。
訪問控制列表:將數據包與接收路徑中所配置的訪問控制列表進行匹配。
IP選項(模塊化策略框架[MPF]):將數據包與所配置的MPF策略進行匹配(服務質量、半連接等)。
匹配××× crypto:這個數據包是通過×××隧道訪問另一個主機嗎?
NAT:基于所配置的NAT規則,對數據包中的字段執行NAT轉換。
NAT主機限制:這個數據包受制于任何限制從而被丟棄嗎(例如,半開放連接)?
IP選項(MPF):將數據包與所配置的MPF策略進行匹配(QoS、半連接等)。
建立流:如果這個數據包屬于一個新流,在設備上為它建立一個新的數據流條目。
從這個接口發送數據包:Outside。
下面顯示了ASA從Outside接口收到了一個數據包而這個數據包的目標地址是與內部接口相接的一個網絡的主機時,ASA采取的操作順序。
從接口收到數據包:Outside。
查找流。
查找路由。
訪問控制列表。
IP選項(MPF)。
匹配××× crypto。
NAT(反向路徑查找[RPF]):路由表中與數據包源IP地址匹配的最佳路由的出方向的接口與ASA接收這個數據包的入方向的接口是同一個嗎?
NAT對主機會話的限制。
查找NAT。
從接口發送數據包:Inside。
思科官方文檔中的數據包處理流程圖
附錄:
juniper 報文處理順序:與思科的區別在于先匹配NAT再查找路由再匹配安全策略
huawei報文處理順序:與思科總的流程上是一致的
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
