坪地防火墙-云服科技-防火墙-

情景描述：

防火墙做出口---，内网三层交换机上总共有十个vlan网段，其中九个可以正常上网，另外一个vlan无法上网，现场---抓包分析防火墙没有回包。

---过程：

---现场---，防火墙上存在对应网段的回包路由，策略全部放通，源地址转换也有，中间也没有其它安全设备，正常有这些配置就可以上网了，电话里没有发现异常，那就远程---吧。远程接入后查看设备配置，发现设备其中一个接口，配置了这个不能上网vlan的地址，询问现场---接口为什么要配置这个地址，他回答该ip准备作为防火墙ha的互联地址，跟他解释了一通，去掉这个ip后，该vlan上网正常。

原因分析：

防火墙接口上存在该vlan地址，防火墙-对比，导致该网段上网异常。防火墙配置该网段，会在设备上生成直连路由，而直连路由的优先级是大于静态路由的，导致数据无---常通过回执路由回包，数据包直接发送给其它接口，从而导致网络不通。

2）状态检测防火墙

工作层次——3/4/5层

工作原理——维持会话表通信状态；会话表包括五个元素（源目的ip，源目的端口，协议号）

优点：可以识别会话状态控制通信；

能动态生成放通回程报文的策略。

缺点：不能防范应用层攻击、应用data不能检测、对ftp等多连接应用兼容性差。

3）应用代理防火墙

工作层次——3/4/5/7层

工作原理——应用数据data检查:动态协商的端口、url、 ftp操作指令、http请 求方法等，防火墙-，允许动态通道(端口都是随机动态协商的，如ftp )的数据进入防火墙。

优点：可以检测应用层数据，防范简单的应用层攻击；

缺点：软件处理，消耗资源。