NGFW一体化引擎数据包处理流程

一体化引擎即在初始系统架构设计时即采用一体化的思想，充分考虑到现在及未来的安全业务情景，将所有的安全需求纳入引擎设计中去。

这样的一个明显的优点是去除冗余，更加高效，理想的实现是每个报文只需要解析一遍便可完成所有安全模块的检查。更形象的说就好像工厂里面的流水线概念，原来是多条流水线共同完成的一个任务，重新设计以后是一条流水线独立完成一个任务。

绿盟科技产品市场经理段继平认为下一代防火墙的一体化引擎数据包处理流程大致分为以下几个阶段：1. 数据包入站处理阶段入站主要完成数据包的接收及L2-L4 层的数据包解析过程，并且根据解析结果决定是否需要进入防火墙安全策略处理流程，否则该数据包就会被丢弃。在这个过程中还会判断是否经过VPN 数据加密，如果是，则会先进行解密后再做进一步解析。2. 主引擎处理阶段主引擎处理大致会经历三个过程：防火墙策略匹配及创建会话，应用识别，内容检测。1) 创建会话信息

当数据包进入主引擎后，首先会进行会话查找，看是否存在该数据包相关的会话。如果存在，则会依据已经设定的防火墙策略进行匹配和对应。如果经过查找发现不存在对应的会话信息，则需要进行该数据包的会话创建过程。具体步骤如下：进行转发相关的信息查找，而后进行NAT 相关的策略信息查找（仅当设备处于三层部署模式下生效），最后进行防火墙的策略查找，检查策略是否允许。如果允许则按照之前的策略信息建立对应的会话，如果不允许则丢弃该数据包。2) 应用识别数据包进行完初始的防火墙安全策略匹配并创建对应会话信息后，会进行应用识别检测和处理，如果该应用为已经可识别的应用，则对此应用进行识别和标记并直接进入下一个处理流程。如果该应用为未识别应用，则需要进行应用识别子流程，对应用进行特征匹配，协议解码，行为分析等处理，从而标记该应用。应用标记完成后，会查找对应的应用安全策略，如果策略允许，则准备下一阶段流程；如果策略不允许，则直接丢弃。3) 内容检测主引擎工作的最后一个流程为内容检测流程，主要是需要对数据包进行深层次的协议解码，内容解析，模式匹配等操作，实现对数据包内容的完全解析；然后通过查找相对应的内容安全策略进行匹配，最后依据安全策略执行诸如：丢弃，报警，记录日志等动作。3. 数据包出站处理阶段当数据包经过内容检测模块后，会进入出站处理流程。首先系统会路由等信息查找，然后执行QOS，IP 数据包分片的操作，如果该数据走VPN 通道的话，还需要通过VPN 加密，最后进行数据转发。