细节
A 帕洛阿尔托网络收到的包 firewall 将根据匹配会话的状态以不同的方式处理。 本文档说明数据包处理慢路径、 快速路径和包 Offloaded 之间的差异。
本文档还将提及大多数 hardware Palo Alto 网络设备中常用的组件。
MAC 物理芯片
处理物理层连接 SFP (,以太网端口),并执行以太网框架。
流量引擎
执行流查找,并可能根据查找结果转发到 Dataplane(未找到流或找到流,但启用了第 7 层)。
Dataplane
多核心处理器的 L4 L7 安全处理。
缓慢的路径
注: 此文档的图表中的编号方块表示同一会话的传入数据包(每个数据包一个平方)。
当第一个数据包时,会话尚未创建。
此数据包将会考虑慢路径中,因为一组独特的操作必须在 Dataplane 中:
- 用于 FIB 获取出口区的转发查找
- NAT Policy 如果应用查找+第二次转发查找 DNAT
- 首次安全 policy 查找(将规则与配置为"任何"应用程序的服务端口匹配)
- 数据包将被丢弃或新的会话是创建安装在 Dataplane。
快速路径
同一届会议的以下数据包将考虑快速路径中。
在缓慢的路径操作不需要做到了,除了转发我们在做为每个数据包之前,将其转发到外出接口的查找。
在慢路径转发查找是为了得到疏散区域,政策查找所需。
卸载
一旦应用程序 ID 和内容检查完全完成,会话和后续数据包可以完全卸载到流引擎中。 入口数据包将永远不会再到达数据平面,流引擎将完全管理数据包转发。 此操作将会减轻 Dataplane 内核上的负载。
注: 重要的是要了解,所有数据包将始终流经流引擎,即使会话未卸载。 争抢会议决策算法是超出本文的范围。
未卸载的会话条件 hardware
可以在流引擎中卸载活动会话,以减轻 CPU 上的负载。
默认情况下,所有会话都都有资格为卸载,但也都有一些将防止这种情况的条件。
A 未确认申请( APP-ID 尚未完成)的会话不能卸载。
A 内容检查尚未完成的会话不能卸载。
这种情况包括:
- 应用安全配置文件时正在扫描的威胁的会话
- 运行应用程序,可以变为另一种,其中潜在隧道其他应用程序的会话
还有一种类型的流量,将只处理 CPU ,永远不会卸载。
- ARP (和所有其他非 IP 交通)
- Ipsec
- 解密的会话
- VPN 会话
- 非 TCP UDP /(某些协议除外,如通过 GRE / IPSEC 等)
- Firewall 绑定会话
- 除 vsys 会话
- PBF 会话没有下一个跳
- NAT64
所有者: nbilly