防火墙的规则怎么理解 禁止入站之后为啥还能上网

ttt5t5t

GE1 固定IP 连接单位局域网 GE2 DHCP 接我自己的内网
无规则时测试指定GE1地址为网关后 外网可以ping到GE2下的内网机器
配置了GE1完全不允许访问GE2口，试了下外面确实ping不通内部了
但是内部的机器居然还能上网 外面的数据是怎么进来的啊？
难道防火墙还能知道哪些是外面服务器回复我的 哪些是主动要进来的？

continuing

入站是外面向你发起连接，你拦截了是相当于别人给你打电话你设置了个一律骚扰拦截直接挂了，当然接不通
出站是你主动往外面发起连接，等于你给别人打电话
那别人接电话了不就能聊天了

ttt5t5t

continuing 发表于 2024-3-23 21:04
入站是外面向你发起连接，你拦截了是相当于别人给你打电话你设置了个一律骚扰拦截直接挂了，当然接不通
出 ...

所以防火墙是工作在传输层吗

continuing

ttt5t5t 发表于 2024-3-23 21:07
所以防火墙是工作在传输层吗

软件防火墙一般是网络层或者应用层

ttt5t5t

continuing 发表于 2024-3-23 21:17
软件防火墙一般是网络层或者应用层

那个TP的硬件防火墙
FW5600

porsche4me

防火墙都是stateful, 意思是出去的流量(syn), 回来的流量(syn ack)会被视作一个session而被允许.

nn1122

2楼回答有技术水准，你访问公网IP叫出站，公网IP来访问你叫入站，方向不一样，防火墙控制策略也相反

bchb

防火墙可以工作在2~7层
源IP、目的IP、源端口、目的端口、协议构成的五元组能唯一确定一个数据包
往外发起请求的时候防火墙会根据五元组自动创建允许反向的规则，等会话结束或超时再删掉

ttt5t5t

bchb 发表于 2024-3-23 22:37
防火墙可以工作在2~7层
源IP、目的IP、源端口、目的端口、协议构成的五元组能唯一确定一个数据包
往外发起 ...

原来如此 相当于是给回程数据临时开了权限
那每个包防火墙都要拆开审查是吧

bchb

ttt5t5t 发表于 2024-3-23 22:48
原来如此 相当于是给回程数据临时开了权限
那每个包防火墙都要拆开审查是吧 ...

是的
所以防火墙不能走硬件加速，比较耗性能

Jerryhze

porsche4me 发表于 2024-3-23 22:10
防火墙都是stateful, 意思是出去的流量(syn), 回来的流量(syn ack)会被视作一个session而被允许. ...

这个才是正解

zhgna

在用tp路由，v6防火墙只有个开关和接口绑定，一直搞不明白家用该选哪些接口开启防火墙。看了上面帖子，感觉若绑定wan口，应该是阻止出站；绑定lan口，应该是阻止入站。看来家用选lan口是正确的。

Evalyn

bchb 发表于 2024-3-23 22:55
是的
所以防火墙不能走硬件加速，比较耗性能

并不是，基于state的防火墙会走fasttrack，一般来说这种tcp链接进入established状态之后就都是查state然后直接放行

bchb

Evalyn 发表于 2024-3-24 10:55
并不是，基于state的防火墙会走fasttrack，一般来说这种tcp链接进入established状态之后就都是查state然 ...

我觉得科普没必要说的这么清楚的，意思到了就可以
一般来说无状态防火墙可以走加速，有状态不行，fasttrack我认为是软加速，但是加钱上fpga又可以做到除了新建会话全落到芯片，不能一概而论