防火墙转发原理
老设备:早期包过滤防火墙是按照逐包检测机制转发,转发效率低;新设备:转发机制:状态检测机制,状态检测机制以流量为单位来对报文进行检测和转发,即对一条流量的报文进行包过滤规则检查,并将判断结果作为该条流量的状态记录下来,对于该流量的后续报文都直接根据这个状态来判断是转发还是丢弃,而不会再次检报文的数据内容,这个状态就是我们平常所述的回话表项,这种机制有效提升了防火墙产品的检查速率和转发效率,已经成为目前主流的检测机制;
五元组:即源IP地址、目的IP地址、源端口号、目的端口号、协议类型; 通过判断hIP数据报文的五元组,就可以判断一条数据流相同的IP数据报文
安全策略分类
类型说明
域间安全策略域间转发规则域内安全策略接口包过滤
域间安全策略
