F1000-AI-90防火牆策列命中與會話生成問題

問題一：防火牆會話建立機製

對於 SW1 訪問 SW2 和 SW2 訪問 SW1 的會話建立流程如下：

1. SW1 主動訪問 SW2：

   • 正向流（SW1 → SW2）：首包觸發安全策略檢查，匹配策略後創建會話表項（包括源目IP、端口、協議等信息）。
   • 反向流（SW2 → SW1）：回包直接匹配已建立的會話表項，無需再次匹配安全策略（狀態檢測機製自動放行）。

2. SW2 主動訪問 SW1：

   • 正向流（SW2 → SW1）：首包觸發安全策略檢查，需匹配策略才能創建會話表項。
   • 反向流（SW1 → SW2）：回包同樣直接匹配會話表項，無需策略檢查。

關鍵點：

• 防火牆基於 首包觸發策略檢查，會話建立後雙向流量均通過會話表轉發。
• 若未配置 雙向放行策略，SW2 主動訪問 SW1 的首包會被策略攔截，無法建立會話。

問題二：快速定位流量匹配的安全策略

在不使用 debugging 的情況下，可通過以下方式快速定位：

1. 查看會話表：

   display session table source-ip <SW1_IP> destination-ip <SW2_IP> verbose

   輸出中 Rule ID 字段顯示匹配的安全策略規則ID。

2. 根據 Rule ID 查找策略：

   display security-policy rule all | include "Rule ID: <rule_id>"

   可獲取策略名稱及具體規則。

3. 開啟策略命中統計（需提前配置）：

   security-policy count enable # 開啟全局統計 display security-policy statistics rule <policy_name> # 查看命中次數

注意：

• 策略匹配遵循 自上而下的順序，首條匹配的策略生效。
• 若會話已存在，需清除會話後重新觸發流量才能更新統計信息。

總結

1. 會話建立：雙向流量均依賴首包觸發策略檢查，回包通過狀態檢測自動放行。
2. 策略定位：通過會話表中的 Rule ID 結合策略配置快速定位匹配規則。