不同的防火墙(安全网关)供应商具有不同的解决方案来处理通过的流量。这篇文章汇编了一些有用的Internet文章,这些文章解释了主要供应商的解决方案,包括:
1.检查站
2.帕洛阿尔托
3.鼓吹
4.思科
5.杜松
6. F5

1.检查站防火墙数据包流:

注意:Checkpoint可以定义目标NAT发生在客户端(默认)或服务器端。源NAT始终在出站,并且在NAT之前检查ACL。更多细节在 SK85460

您也可以通过网关命令行检查数据包检查顺序/链(根据启用的功能,它会有所不同):

1.1固件CP1> FW CTL链

in chain (18):
       0:-7f800000(f28854f0)(ffffffff)IP选项条(输入)(ipopt_strip)
       1:-7d000000(F1796F10)(00000003)VPN Multik转发
       2:– 2000000(f177cb70)(00000003)vpn解密(vpn)
       3:– 1fffff8(f1787c00)(00000001)l2tp入站(l2tp)
       4:– 1fffff6(f2886ca0)(00000001)无状态验证(in)(asm)
       5:– 1fffff5(f28bce30)(00000001)fw multik misc原型转发
       6:– 1fffff2(f17a4df0)(00000003)VPN标记入站(标记)
       7:– 1fffff0(f177a150)(00000003)vpn解密验证(vpn_ver)
       8:– 1000000(f29049c0)(00000003)SecureXL conn sync(secxl_sync)
        9:        0(f282f810)(00000001)fw VM入站 (fw)
        10:        1(f28a6b30)(00000002)线VM入站 (wire_vm)
        11:  2000000(f177b5e0)(00000003)VPN策略入站(vpn_pol)
        12:  10000000(f2902cb0)(00000003)SecureXL入站(secxl)
        13:  7F600000(F287AB70)(00000001)FW SCV入站(SCV)
        14:  7f730000(f2a13500)(00000001)被动流式传输(输入)(pass_str)
        15:  7f750000(f2c0bef0)(00000001)TCP流(输入)(cpas)
        16:  7f800000(f2885890)(ffffffff)IP选项还原(输入)(ipopt_res)
        17:  7fb00000(f2fac050)(00000001)HA转发(ha_for)
外链(15):
       0:-7f800000(f28854f0)(ffffffff)IP选项条(输出)(ipopt_strip)
       1:-78000000(F1796EF0)(00000003)VPN Multik转发出去
       2:– 1ffffff(f1779a10)(00000003)VPN nat出站(vpn_nat)
       3:– 1fffff0(f2c0bd70)(00000001)TCP流(输出)(cpas)
       4:– 1ffff50(f2a13500)(00000001)被动流式传输(输出)(pass_str)
       5:– 1ff0000(f17a4df0)(00000003)VPN标记出站(标记)
       6:– 1f00000(f2886ca0)(00000001)无状态验证(输出)(asm)
        7:        0(f282f810)(00000001)fw VM出站(fw)
        8:        1(f28a6b30)(00000002)线VM出站 (wire_vm)
        9:  2000000(F1779C30)(00000003)VPN策略出站(vpn_pol)
        10:  10000000(f2902cb0)(00000003)SecureXL出站(secxl)
        11:  1ffffff0(f17887b0)(00000001)l2tp出站(l2tp)
        12:  20000000(F177D5B0)(00000003)VPN加密(VPN)
        13:  7f700000(f2c0e340)(00000001)TCP流式传输后虚拟机(cpas)
        14:  7f800000(f2885890)(ffffffff)IP选项还原(输出)(ipopt_res)

1.2客户端NAT流的检查点示例:

  1. 发送到服务器的NAT IP 172.16.0.100的数据包到达“源/客户端”一侧的安全网关的入站接口eth0(预入站链)。
  2. 数据包通过了安全策略规则(在虚拟机内部)。
  3. 如果接受,则连接记录在连接表中(表ID 8158)。
  4. 数据包与目标的NAT规则匹配。如果找到匹配项,则将数据包转换-在这种情况下,将从IP 172.16.0.100转换为IP 10.0.0.100。
  5. 数据包通过了其他检查(入站后链)。
  6. 数据包到达基础操作系统的TCP / IP堆栈,并路由到出站接口eth1。
  7. 数据包通过出站接口eth1(预出站链)。
  8. 数据包通过了安全策略规则(在虚拟机内部)。
  9. 数据包与源的NAT规则匹配(如果存在此类规则)。如果找到匹配项,则对数据包进行翻译–在这种情况下,不会进行翻译。
  10. 数据包通过了其他检查(出站后链)。
  11. 数据包离开安全网关计算机。

1.3 检查站策略的安装流程从 大众知识博客:

2.加强FortiOS:

2.1包流流程:

2.2客户端/服务器连接示例:

可以从FortiOS手册–故障排除PDF文件中获取更多数据包流示例。

3.帕洛阿尔托交通流量:

下一代防火墙的流逻辑

4.思科 IOS / ASA流量:


有关NAT顺序的更多详细信息, 我以前的帖子中的ACL订单等: 思科公司 IOS / ASA分组传递操作顺序

5. JunOS流量:

Junos SRX数据包流
JunOS流模块

下图有更多详细信息:

6. F5 

感谢Amaud对于F5 TCP流量图的建议:
TMOS操作顺序– TCP流量路径图
新版本 from F5 TCP流量路径图页面 – 2015年12月:
图片文字
F5 LTM交通流

以下F5架构图来自 辛索的帖子:

参考:

通过 约翰

关于“”的3条想法

发表评论