防火墻轉發流量的原理

切忌搞清楚轉發原理（理解防火墻怎樣的執行順序至關重要）

簡單概要防火墻包轉發順序：
千萬要註意： 防火墻包轉發的第一步也是最重要的一步是查詢會話表

一： 外網訪問內網（通過目標nat映射的情況）
（訪問流量） 外網口接收報文-->查詢會話表-->（會話記錄不存在）創建會話-->查詢nat映射（有的情況，無直接拒絕）-->查找路由表-->安全檢查（如安全策略）--->轉發報文
（回程流量） 內網口接收報文-->查詢會話表-->（會話記錄存在）-->執行安全檢查（如安全策略）--->轉發報文

二：內網主動訪問外網
跟外網訪問內網類似，從內到外的時候，創建會話，外網流量回來的時候查詢會話

華為官方解釋：
NAT處理流程簡述如下：
NGFW收到報文後，查找服務器映射生成的Server-Map表，如果報文匹配到Server-Map表，則根據表項轉換報文的目的地址，然後進行步驟3處理；如果報文沒有匹配到Server-Map表，則進行步驟2處理。
2. 查找目的NAT，如果報文符合目的NAT的匹配條件，則轉換報文的目的地址後進行路由處理；如果報文不符合目的NAT的匹配條件，則直接進行路由處理。
3. 根據報文當前的信息查找路由（包括策略路由），如果找到路由，則進入步驟4處理；如果沒有找到路由，則丟棄報文。
4. 查找安全策略，如果安全策略允許報文通過，則進行源NAT處理；如果安全策略不允許報文通過，則丟棄報文。
5. 查找源NAT，如果報文符合源NAT的匹配條件，則轉換報文的源地址，然後創建會話；如果報文不符合源NAT的匹配條件，則直接創建會話。
6. NGFW發送報文。
了解NAT在報文轉發流程中大致位置，有利於您在配置設備時合理安排數據，以及業務出現故障時定位故障產生的原因。例如，安全策略的處理順序位於服務器映射和源NAT之間，因此在安全策略的規則中指定源/目的地址信息時，目的地址應為經過服務器映射處理後的服務器私網地址，源地址應為源NAT轉換前的私網地址。

防火墻轉發流量的原理