防火墙看不到会话

因为防火墙在没有匹配到允许策略时，直接丢弃了数据包，根本没有为这个流量创建会话。

1. 防火墙的处理流程：先查策略，后建会话

现代防火墙（包括华三防火墙）处理一个数据包的简化逻辑是：

1. 接收数据包：接口收到来自安全域A的包。

2. 策略匹配：防火墙查找从“安全域A”到“安全域B”的策略。

   • 如果匹配到拒绝策略，直接丢包。

   • 如果没有匹配到任何策略（即未放行），则根据默认规则（通常是丢弃）处理。

   • 如果匹配到允许策略，才会进入下一步。

3. 创建会话：只有策略允许通过后，防火墙才会提取包的五元组（源IP、目的IP、端口等）信息，在会话表里创建一条记录。

4. 后续加速：同一个流的后续数据包直接匹配会话表转发，不再过策略。

2. 为什么未放行时看不到会话？

你提到：“该ip未放行，访问不通，查看会话时看不到该访问的会话”。

• 原因：因为数据包在第2步就被丢弃了。既然包都丢了，防火墙自然不会浪费时间给它创建会话。

• 结论：看不到会话 = 数据包没到创建会话那一步。

3. 为什么放行后就能看到会话？

你提到：“策略把源ip放行，再次访问，就可以看到会话”。

• 原因：数据包通过了第2步的检查，成功进入第3步，系统为该流量创建了会话表项。

• 结论：看到会话 = 数据包被允许，且通信已经建立。

4. 为什么策略配置错误会出现类似情况？

虽然你这里没有提到，但有一种情况也会让你看不到会话：策略配置错误导致报文没有匹配。
例如，如果策略源IP写的是 192.168.2.0/24，但实际访问的源IP是 192.168.1.100：

1. 防火墙找不到匹配的策略。

2. 默认丢弃，不创建会话。

3. 现象和你现在描述的一模一样：不通，无会话。

看不到会话的话大概率是被防火墙给丢弃了，或者流量没有过防火墙，再防火墙开启debugging security-policy ip packet acl xxx 看一下吧

你需要在添加策略的时候，勾选日志

只有通过匹配安全策略的，才能建立会话