问

防火墙会话-33343

会话

2025-04-08提问

0关注
0收藏，489浏览

0_1

0_1 三段

粉丝：0人关注：1人

问题描述：

源1.1.1.1，目的2.2.2.2 经过防火墙会创建会话表项，回包业务匹配这个会话表项吗？

模拟器测试，为什么只看到1.1.1.1去2.2.2.2的会话表项，没有2.2.2.2回1.1.1.1的会话。回包匹配的是哪个会话？

最佳答案

已采纳

zhiliao_ua4bPm

zhiliao_ua4bPm 四段

粉丝：1人关注：0人

回包匹配的就是正向表项，可以加verbose查看

暂无评论

4 个回答

按时间按赞数

无名之辈

无名之辈九段

粉丝：112人关注：0人

您好，在防火墙中，源IP为1.1.1.1、目的IP为2.2.2.2的流量会创建会话表项，而回包业务会匹配这个会话表项。以下是详细解释：

会话表的创建：当源IP为1.1.1.1的首包到达防火墙时，防火墙会根据安全策略创建一个会话表项。这个会话表项记录了源IP、目的IP、源端口、目的端口、协议等信息。
回包匹配机制：当2.2.2.2返回数据时，防火墙会根据会话表项中的信息进行匹配。回包的源IP和目的IP与会话表项中的记录相反，但防火墙会将其视为同一会话的反向流量，直接匹配已有的会话表项。
会话表的显示：在防火墙的会话表中，通常只会显示去程的会话表项，而回程的流量会直接匹配该表项。因此，在模拟器测试中，您可能只看到去程的会话表项，而回程的流量会通过会话表的反向匹配进行处理。

如果您在模拟器中没有看到回程的会话表项，可能是因为防火墙的状态检测机制默认开启，回包直接匹配已有的会话表项，而不是单独创建新的会话表项

暂无评论

jaceyjc

jaceyjc 八段

粉丝：16人关注：1人

你是怎么看会话的？要看完整的会话和计数的话，把session stat 打开，然后dis session table ipv4 地址 verbose，就可以看到来回得了，参考下：

# 显示所有的IPv4单播会话表项的详细信息。

<Sysname> display session table ipv4 verbose

Slot 1:

Initiator:

Source IP/port: 192.168.1.18/1877

Destination IP/port: 192.168.1.55/22

DS-Lite tunnel peer: -

VPN instance/VLAN ID/Inline ID: -/-/-

Protocol: TCP(6)

Inbound interface: GigabitEthernet1/0/1

Source security zone: Trust

Responder:

Source IP/port: 192.168.1.55/22

Destination IP/port: 192.168.1.18/1877

DS-Lite tunnel peer: -

VPN instance/VLAN ID/Inline ID: -/-/-

Protocol: TCP(6)

Inbound interface: GigabitEthernet1/0/2

Source security zone: Local

State: TCP_SYN_SENT

FPGA state: TCP_SYN_SENT

Application: SSH

Rule ID: 1

Rule name: test

Start time: 2011-07-29 19:12:36 TTL: 28s

Initiator->Responder: 1 packets 48 bytes

Responder->Initiator: 0 packets 0 bytes

Total sessions found: 1

表1-19 display session table命令显示信息描述表

字段	描述
Initiator	发起方到响应方的连接对应的会话信息
Responder	响应方到发起方的连接对应的会话信息
Source IP/port	源IP地址/端口号
Destination IP/port	目的IP地址/端口号
DS-Lite tunnel peer	DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时，本字段显示为“-”
VPN instance/VLAN ID/Inline ID	各字段含义解释如下： · 会话所属的MPLS L3VPN · 二层转发时会话所属的VLAN ID · 二层转发时会话所属的INLINE 未指定的参数则显示为“-”
Protocol	传输层协议类型，取值包括：DCCP、ICMP、ICMPv6、Raw IP、SCTP、TCP、UDP、UDP-Lite 括号中的数字表示协议号
Inbound interface	报文的入接口
Source security zone	源安全域，即入接口所属的安全域。若接口不属于任何安全域，则显示为“-”
State	会话状态
FPGA state	逻辑会话状态： · 当查询不到逻辑会话状态时，显示为“NA” · 若能查询到逻辑会话状态，则显示为查询到的会话状态 · 若设备不支持硬件快速转发功能（即不支持hardware fast-forwarding enable命令）或通过执行undo hardware fast-forwarding enable命令关闭此功能，则不显示该字段
Application	应用层协议类型，取值包括：FTP、DNS等，OTHER表示未知协议类型，其对应的端口为非知名端口
Rule ID	安全策略规则的ID
Rule name	安全策略规则的名称
Start time	会话创建时间
TTL	会话剩余存活时间，单位为秒
Initiator->Responder	发起方到响应方的报文数、报文字节数
Responder->Initiator	响应方到发起方的报文数、报文字节数
Total sessions found	当前查找到的会话表项总数