一个会话有两个方向:
一个是发起方向,一个是返回方向
比如会话发起方向: In接口(eth0/0)1.1.1.1 sport(3333)-> 222.222.2222.222 dport (80) Out接口(eth/1)
会话返回方向:In接口(eth0/1) 222.222.222.222 src (80)->1.1.1.1 dport(3333) out接口(eth0/0)
防火墙设备会话表保存会话信息,并根据会话表进行包转发及安全控制。
逆向路由
默认为:自动 意思为会话发起的逆方向,即返回的会话进入防火墙路由查找模块后需要查返回会话发起的源地址的路由(222.222.222.222)(比如策略路由,ISP路由,目的路由等),如果查到222.222.222.222从eth0/3路由出去,该返回会话就会从eth0/3出去,如果没有查到,则按照原路返回,即从eth0/0转发出去。
强制:基本同上,不同是如果没有查到返回的路由,则丢弃该返回包
关闭:返回会话不进行路由查询,即返回给222.222.222.222直接按照会话发起的原始方向进行返回,即从eth0/0转发出去,即便防火墙配置了到222.222.222.222的走Eth0/3的策略路由。
阅读(8038) | 评论(0) | 转发(0) |
