文檔簡介：

10年積累的做網(wǎng)站、成都網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程，更有彌勒免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

    ASA處理雙向流量的順序，關(guān)鍵點(diǎn)在于是否存在會話，各個廠家處理的順序不一致，附錄juniper以及huawei防火墻的處理順序

當(dāng)處理來自或者去往內(nèi)外網(wǎng)的數(shù)據(jù)包時，ASA設(shè)備經(jīng)歷了路由查找，對主機(jī)會話的數(shù)量進(jìn)行限制，將數(shù)據(jù)包與所配置的訪問控制列表（ACL）進(jìn)行匹配檢查等一系列操作。

取決于接收流量的接口（流量的方向），ASA以不同的順序處理這些操作。下面列出了ASA從Inside接口收到了一個目的地址是位于外部接口的一個主機(jī)的數(shù)據(jù)包時所經(jīng)歷的操作順序。

• 從接口收到數(shù)據(jù)包：Inside。

• 查找流：這個數(shù)據(jù)包屬于一個現(xiàn)有的數(shù)據(jù)流的條目嗎？

• 查找路由：將數(shù)據(jù)包的目標(biāo)IP地址與ASA路由表的路由信息進(jìn)行匹配，對路由表執(zhí)行最長的掩碼查找與找到匹配的路由。

• 訪問控制列表：將數(shù)據(jù)包與接收路徑中所配置的訪問控制列表進(jìn)行匹配。

• IP選項（模塊化策略框架[MPF]）：將數(shù)據(jù)包與所配置的MPF策略進(jìn)行匹配（服務(wù)質(zhì)量、半連接等）。

• 匹配××× crypto：這個數(shù)據(jù)包是通過×××隧道訪問另一個主機(jī)嗎？

• NAT：基于所配置的NAT規(guī)則，對數(shù)據(jù)包中的字段執(zhí)行NAT轉(zhuǎn)換。

• NAT主機(jī)限制：這個數(shù)據(jù)包受制于任何限制從而被丟棄嗎（例如，半開放連接）？

• IP選項（MPF）：將數(shù)據(jù)包與所配置的MPF策略進(jìn)行匹配（QoS、半連接等）。

• 建立流：如果這個數(shù)據(jù)包屬于一個新流，在設(shè)備上為它建立一個新的數(shù)據(jù)流條目。

• 從這個接口發(fā)送數(shù)據(jù)包：Outside。

下面顯示了ASA從Outside接口收到了一個數(shù)據(jù)包而這個數(shù)據(jù)包的目標(biāo)地址是與內(nèi)部接口相接的一個網(wǎng)絡(luò)的主機(jī)時，ASA采取的操作順序。

• 從接口收到數(shù)據(jù)包：Outside。

• 查找流。

• 查找路由。

• 訪問控制列表。

• IP選項（MPF）。

• 匹配××× crypto。

• NAT（反向路徑查找[RPF]）：路由表中與數(shù)據(jù)包源IP地址匹配的最佳路由的出方向的接口與ASA接收這個數(shù)據(jù)包的入方向的接口是同一個嗎？

• NAT對主機(jī)會話的限制。

• 查找NAT。

• 從接口發(fā)送數(shù)據(jù)包：Inside。

思科官方文檔中的數(shù)據(jù)包處理流程圖

附錄：

juniper 報文處理順序：與思科的區(qū)別在于先匹配NAT再查找路由再匹配安全策略

huawei報文處理順序：與思科總的流程上是一致的