正文

华为fw报文处理流程

author  author  2022-08-28  509

关键词：

以下摘抄自《华为防火墙技术漫谈》，有删减

技术分享

查询会话中的处理过程

协议报文

OSPF、IGMP、HRP等称为协议报文
以OSPF为例，广播环境下，DD是单播，需要安全策略检查；P2P环境中，DD为组播，不需要安全策略检查

业务报文

将穿越防火墙的称为业务报文，比如TCP、UDP承载的数据
这类报文需要创建会话，不能匹配任一会话的就认为是首包

首包处理流程

黑名单匹配（这个不是acl，有专门的黑名单功能）
是否命中正反向server-map表，命中则记录其中的信息
根据第2步结果，查询报文命中哪条路由，优先查策略路由，后查路由表，决定下一跳与出接口；注意此时并没有nat转换，所以得查serve-map表转换后的地址，继而查询真实地址的路由
查询安全策略，已知报文入接口源地址、判断出报文出接口后，就可以查询域间或者是域内安全策略，没有匹配到安全策略或者匹配到deny就丢弃报文
查询是否命中源nat策略，匹配到就记录转换后的源ip和端口信息
创建会话

后续包流程

主要判断会话是否需要刷新
创建会话后，如果路由表、安全策略变化，就需要重新查询并匹配
老化时间会随者报文的交互自动刷新，
故障定位时，是否创建会话是个关键点

查询会话后的处理流程

到这里已经创建好会话了，或者匹配到原来的会话
首先基于ip限流、IPS、UTM等处理
根据已经创建的会话表进行目的转换、源转换（如果有的话）

这里要注意
如果在前面流程中命中了nat server的反向server-map表，就根据这个转换，不再往后匹配源nat策略
报文后续是否要进行vpn加封装，如果此时定义了该数据的源地址转换，那么后续数据流就无法进入vpn协商流程了
nat server优先级非常高，报文走错的情况很少，但是源nat和vpn处理在nat server之后，容易受到nat server干扰，导致业务异常

开始报文分发

外部地址就从接口发出
目的地址是FW自身，交给管理层面
vpn报文则会被解封装，重复以上阶段
如果是要进入vpn隧道，则进行vpn封装

华为防火墙处理icmp报文原理

实验拓扑650)this.width=650;"src="https://s2.51cto.com/oss/201711/14/e3bd4b0a7b2831fa413693c1ca051bf9.png-wh_500x0-wm_3-wmp_4-s_2668292369.png"title="1.png"alt="e3bd4b0a7b2831fa413693c1ca051bf9.png-wh_"/>在查看详情

玩转华为ensp模拟器系列|ipsec网关负载分担双机热备，上下行连接路由器(代码片段)

素材来源：华为防火墙配置指南一边学习一边整理试验笔记，并与大家分享，侵权即删，谢谢支持！附上汇总贴：玩转华为ENSP模拟器系列|合集_COCOgsta的博客-CSDN博客_华为模拟器实验目标介绍负载分担双机... 查看详情

玩转华为ensp模拟器系列|ipsec网关负载分担双机热备，隧道之间不备份(代码片段)

华为od机试独家提供c语言题解-压缩报文还原

最近更新的博客华为od2023|什么是华为od，od薪资待遇，od机试题清单华为OD机试真题大全，用Python解华为机试题|机试宝典【华为OD机试】全流程解析+经验分享,题型分享,防作弊指南）华为od机试，独家整理已参加机试人员的实战技... 查看详情

华为机试真题c++实现报文解压缩

目录题目思路考点Code题目为了提升数据传输的效率，会对传输的报文进行压缩处理。输入一个压缩后的报文，请返回它解压后的原始报文。压缩规则：n[str]，表示方括号内部的str正好重复n次。注意n为正整数（0<n<=100），str... 查看详情

华为机试真题java实现报文解压缩

华为机试真题c++实现报文解压缩

配置华为防火墙为透明交换机

Web配置防火墙为透明交换机：命令配置防火墙为透明交换机：[FW1]firewallzonetrust[FW1-zone-trust]intg1/0/0[FW1-GigabitEthernet1/0/0]quit[FW1]intg1/0/0[FW1-GigabitEthernet1/0/0]portlink-typeaccess[FW1-GigabitEthernet1/0/0]quit[FW1] 查看详情

配置华为防火墙双机热备(代码片段)

Web配置防火墙双机热备：命令行配置防火墙双机热备：FW1[FW1]intg1/0/1//进入接口 [FW1-GigabitEthernet1/0/1]vrrpvrid1virtual-ip192.168.1.1active//配置VRRP为主[FW1-GigabitEthernet1/0/1]quit//退出[FW1]intg1/0/2//进入接口[FW1-GigabitEthernet1/0/2]vrrpvrid2virtu... 查看详情

防火墙转发流量的原理

...内到外的时候，创建会话，外网流量回来的时候查询会话华为官方解释：NAT处理流程简述如下：NGFW收到报文后，查找服务器映射生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤3处... 查看详情

配置华为防火墙为透明交换机

配置华为防火墙双机热备(代码片段)

配置华为防火墙安全策略(代码片段)

Web配置防火墙安全策略：命令配置防火墙安全策略：[FW1]security-policy//配置安全策略 [FW1-policy-security]rulenametrust_dmz//安全策略名称[FW1-policy-security-rule-trust_dmz]source-zonetrust//配置源区域为trust [FW1-policy-security-rule-trust_dmz]destinat... 查看详情

配置华为防火墙nat功能(代码片段)

Web配置NAT功能：命令行配置NAT功能：[FW1]nat-policy//配置NAT策略 [FW1-policy-nat]rulenametrust_ISP//策略名称 [FW1-policy-nat-rule-trust_ISP]source-zonetrust//配置源区域为trust[FW1-policy-nat-rule-trust_ISP]egress-interfaceGigabitEthernet1/0/2//配置出接口为G1... 查看详情

配置华为防火墙允许ping设备(代码片段)

Web配置允许ping设备：命令行配置允许ping设备：[FW1]security-policy//配置安全策略[FW1-policy-security]rulenamelocal_any//配置策略名称[FW1-policy-security-rule-local_any]source-zonelocal//配置源区域为local[FW1-policy-security-rule-local_any]destination-zonea... 查看详情

配置华为防火墙接口ip地址和区域(代码片段)

Web配置防火墙接口IP地址和区域：命令行配置防火墙接口IP地址和区域：[FW1]intgi1/0/0//进入接口[FW1-GigabitEthernet1/0/0]ipaddress192.168.1.124//配置接口IP地址[FW1-GigabitEthernet1/0/0]quit//退出[FW1]firewallzonetrust//进入trust区域[FW1-zone-trust]ad... 查看详情

配置华为防火墙ssh连接(代码片段)

命令配置防火墙SSH连接：[FW1]rsalocal-key-paircreate//产生密钥对相当于启用SSHThekeynamewillbe:FW1_HostTherangeofpublickeysizeis(512~2048).NOTES:Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.Inputthebitsinthemodulus[default=2048]://直接回车Generatingkeys.....&#... 查看详情

http请求流程&&5种io模型

...server端接受请求或者处理请求。2.接受请求,接受来自网络报文中对某一资源的请求过程 3.处理请求：对请求报文进行分析，并获取请求的资源及请求方法等信息<补充说明b>4.访问资源：向系统内核发起调用，获取存储在... 查看详情