F1000-AI-90防火墙策列命中与会话生成问题

问题一：防火墙会话建立机制

对于 SW1 访问 SW2 和 SW2 访问 SW1 的会话建立流程如下：

1. SW1 主动访问 SW2：

   • 正向流（SW1 → SW2）：首包触发安全策略检查，匹配策略后创建会话表项（包括源目IP、端口、协议等信息）。
   • 反向流（SW2 → SW1）：回包直接匹配已建立的会话表项，无需再次匹配安全策略（状态检测机制自动放行）。

2. SW2 主动访问 SW1：

   • 正向流（SW2 → SW1）：首包触发安全策略检查，需匹配策略才能创建会话表项。
   • 反向流（SW1 → SW2）：回包同样直接匹配会话表项，无需策略检查。

关键点：

• 防火墙基于 首包触发策略检查，会话建立后双向流量均通过会话表转发。
• 若未配置 双向放行策略，SW2 主动访问 SW1 的首包会被策略拦截，无法建立会话。

问题二：快速定位流量匹配的安全策略

在不使用 debugging 的情况下，可通过以下方式快速定位：

1. 查看会话表：

   display session table source-ip <SW1_IP> destination-ip <SW2_IP> verbose

   输出中 Rule ID 字段显示匹配的安全策略规则ID。

2. 根据 Rule ID 查找策略：

   display security-policy rule all | include "Rule ID: <rule_id>"

   可获取策略名称及具体规则。

3. 开启策略命中统计（需提前配置）：

   security-policy count enable # 开启全局统计 display security-policy statistics rule <policy_name> # 查看命中次数

注意：

• 策略匹配遵循 自上而下的顺序，首条匹配的策略生效。
• 若会话已存在，需清除会话后重新触发流量才能更新统计信息。

总结

1. 会话建立：双向流量均依赖首包触发策略检查，回包通过状态检测自动放行。
2. 策略定位：通过会话表中的 Rule ID 结合策略配置快速定位匹配规则。