文檔簡介：

創(chuàng)新互聯(lián)建站"三網合一"的企業(yè)建站思路。企業(yè)可建設擁有電腦版、微信版、手機版的企業(yè)網站。實現(xiàn)跨屏營銷，產品發(fā)布一步更新，電腦網絡+移動網絡一網打盡，滿足企業(yè)的營銷需求！創(chuàng)新互聯(lián)建站具備承接各種類型的網站設計制作、成都網站設計項目的能力。經過10余年的努力的開拓，為不同行業(yè)的企事業(yè)單位提供了優(yōu)質的服務，并獲得了客戶的一致好評。

    ASA處理雙向流量的順序，關鍵點在于是否存在會話，各個廠家處理的順序不一致，附錄juniper以及huawei防火墻的處理順序

當處理來自或者去往內外網的數據包時，ASA設備經歷了路由查找，對主機會話的數量進行限制，將數據包與所配置的訪問控制列表（ACL）進行匹配檢查等一系列操作。

取決于接收流量的接口（流量的方向），ASA以不同的順序處理這些操作。下面列出了ASA從Inside接口收到了一個目的地址是位于外部接口的一個主機的數據包時所經歷的操作順序。

• 從接口收到數據包：Inside。

• 查找流：這個數據包屬于一個現(xiàn)有的數據流的條目嗎？

• 查找路由：將數據包的目標IP地址與ASA路由表的路由信息進行匹配，對路由表執(zhí)行最長的掩碼查找與找到匹配的路由。

• 訪問控制列表：將數據包與接收路徑中所配置的訪問控制列表進行匹配。

• IP選項（模塊化策略框架[MPF]）：將數據包與所配置的MPF策略進行匹配（服務質量、半連接等）。

• 匹配××× crypto：這個數據包是通過×××隧道訪問另一個主機嗎？

• NAT：基于所配置的NAT規(guī)則，對數據包中的字段執(zhí)行NAT轉換。

• NAT主機限制：這個數據包受制于任何限制從而被丟棄嗎（例如，半開放連接）？

• IP選項（MPF）：將數據包與所配置的MPF策略進行匹配（QoS、半連接等）。

• 建立流：如果這個數據包屬于一個新流，在設備上為它建立一個新的數據流條目。

• 從這個接口發(fā)送數據包：Outside。

下面顯示了ASA從Outside接口收到了一個數據包而這個數據包的目標地址是與內部接口相接的一個網絡的主機時，ASA采取的操作順序。

• 從接口收到數據包：Outside。

• 查找流。

• 查找路由。

• 訪問控制列表。

• IP選項（MPF）。

• 匹配××× crypto。

• NAT（反向路徑查找[RPF]）：路由表中與數據包源IP地址匹配的最佳路由的出方向的接口與ASA接收這個數據包的入方向的接口是同一個嗎？

• NAT對主機會話的限制。

• 查找NAT。

• 從接口發(fā)送數據包：Inside。

思科官方文檔中的數據包處理流程圖

附錄：

juniper 報文處理順序：與思科的區(qū)別在于先匹配NAT再查找路由再匹配安全策略

huawei報文處理順序：與思科總的流程上是一致的

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前名稱：ASA防火墻數據包匹配順序-創(chuàng)新互聯(lián)
標題路徑：http://weahome.cn/article/djhgos.html