防火墙疑惑点

小董董

最近在学习防火墙知识心中一直有个疑惑点1）当FW收到数据包首先会进行匹配会话表，若会话存在便会根据会话表进行转发数据包，若没有匹配到会话便会进行目的NAT、路由查询、以及安全策略匹配，也就是说当会话匹配不成功时，只要FW上存在去往该数据包的路由以及安全策略运行通过的话 ，FW是不会丢弃该数据包的，会进行正常转发；
2）而当数据包来回路径不一致时，当防火墙（开启了状态监测功能）只收到SYN+ACK的报文 ，由于会话表不匹配会进行丢包，这两者我咋感觉冲突呀 、这个问题一直困惑我好久了，在网上也找了好多资料，也没解决 、希望哪位大神能指点下我 ，非常感谢！

klinuxe

你要先理清楚：
1.防火墙对穿越自身的流量进行过滤
2.高安全级别能访问低安全级别
3.状态化连接如telnet，回包将被允许
4.inbound 流量，默认拒绝。策略允许的话再查路由、NAT 等等