FW(防火墙)通过状态检测功能对报文的链路状态进行合法性检测,丢弃链路状态不合法的报文。
FW(防火墙)不仅能够检测普通报文,还能检测内层报文(vpn解封装后的报文)
当FW(防火墙)作为网络的唯一出口时,一次通信过程来回两个方向的报文都通过FW处理,这种组网环境称为报文来回路径一致的组网环境,此时可在FW上开启状态检测功能,来保证业务安全。
但在报文来回路径不一致的组网环境中,FW可能只会收到通信过程中的后续报文,而没有收到首包,为保证业务正常,就需要关闭FW的状态检测功能。当关闭FW的状态检测功能后,FW可以通过后续报文建立会话,保证业务正常运行。
FW创建会话的提前是报文要通过设备上包括安全策略在内的各项安全机制的检查。
引自华为FW的技术文档;
| 留言与评论(共有 0 条评论) “” |
