ASA防火墙数据包匹配顺序

文档简介：

    ASA处理双向流量的顺序，关键点在于是否存在会话，各个厂家处理的顺序不一致，附录juniper以及huawei防火墙的处理顺序

当处理来自或者去往内外网的数据包时，ASA设备经历了路由查找，对主机会话的数量进行限制，将数据包与所配置的访问控制列表（ACL）进行匹配检查等一系列操作。

取决于接收流量的接口（流量的方向），ASA以不同的顺序处理这些操作。下面列出了ASA从Inside接口收到了一个目的地址是位于外部接口的一个主机的数据包时所经历的操作顺序。

• 从接口收到数据包：Inside。

• 查找流：这个数据包属于一个现有的数据流的条目吗？

• 查找路由：将数据包的目标IP地址与ASA路由表的路由信息进行匹配，对路由表执行最长的掩码查找与找到匹配的路由。

• 访问控制列表：将数据包与接收路径中所配置的访问控制列表进行匹配。

• IP选项（模块化策略框架[MPF]）：将数据包与所配置的MPF策略进行匹配（服务质量、半连接等）。

• 匹配××× crypto：这个数据包是通过×××隧道访问另一个主机吗？

• NAT：基于所配置的NAT规则，对数据包中的字段执行NAT转换。

• NAT主机限制：这个数据包受制于任何限制从而被丢弃吗（例如，半开放连接）？

• IP选项（MPF）：将数据包与所配置的MPF策略进行匹配（QoS、半连接等）。

• 建立流：如果这个数据包属于一个新流，在设备上为它建立一个新的数据流条目。

• 从这个接口发送数据包：Outside。

下面显示了ASA从Outside接口收到了一个数据包而这个数据包的目标地址是与内部接口相接的一个网络的主机时，ASA采取的操作顺序。

• 从接口收到数据包：Outside。

• 查找流。

• 查找路由。

• 访问控制列表。

• IP选项（MPF）。

• 匹配××× crypto。

• NAT（反向路径查找[RPF]）：路由表中与数据包源IP地址匹配的最佳路由的出方向的接口与ASA接收这个数据包的入方向的接口是同一个吗？

• NAT对主机会话的限制。

• 查找NAT。

• 从接口发送数据包：Inside。

思科官方文档中的数据包处理流程图

附录：

juniper 报文处理顺序：与思科的区别在于先匹配NAT再查找路由再匹配安全策略

huawei报文处理顺序：与思科总的流程上是一致的