Search  

Fortigate 防火牆 如何處理封包 匹配policy 
第 1 步是封包進入。
• 如果在DOS policy命中,它就會生效。

• 在 IP 層,檢查封包的 CRC 是否與標頭中的 CRC 匹配,以確保封包在傳輸過程中沒有損壞。

• IPSec session相關封包被發送到KERNEL或晶片以進行負載解密。

• 在路由之前應用DNAT。

• 如果這是一個新的session,或者路由已經改變,FortiGate 將進行路由查找。



第 2 步是狀態檢查。
• 此流量是否以 FortiGate 本身為目的地,例如管理 GUI、SSL VPN、身份驗證、DNS 查詢,還是 FortiGuard?

• 此流量是policy已建立的session轉發,還是應檢查比對policy?

• 流量是否需要session helper打開動態port,在應用層重寫地址標題等?



第三步是內容檢查。 FortiGate 應用您在此處的policy中選擇的安全配置文件。
內容檢查主要有兩種類型:
• flow base
• proxy base

檢查的順序很重要。僅當流量未被上一步阻止時,下一步才適用。

Downliad FGT1_03_Firewall_Policies.pdf


TOP


[ add comment ] ( 21 views )   |  permalink  |  print article  |  related link  |   ( 3.1 / 348 )

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |