如上图所示，PC访问互联网，符合防火墙安全策略，其操作是允许，因此流量可以通过防火墙。如果操作为“拒绝”,流量将无法通过防火墙。

安全策略由匹配条件、动作、安全配置文件组成。

匹配条件包括五元组(源地址、目的地址、源端口、目的端口、协议)、VLAN、源安全区、目的安全区、用户、时间段等。

安全配置文件：

内容检测包括防病毒、防入侵等。通过引用安全策略中的安全配置文件来实现。

默认情况下，有一个默认的安全策略default。默认安全策略位于策略列表的底部，优先级最低，所有匹配条件为任意，默认情况下禁止该操作。如果配置的策略都不匹配，将匹配默认的安全策略默认值。

会话表

第一个包到达防火墙，创建一个会话表项(如下)；防火墙会话表中标记了“http”协议和连接信息，在公共路由表中识别出该流量是转发的；

在防火墙打开状态检测的情况下，只有第一个报文会创建一个会话表项，后续报文如果匹配会话表就可以转发；

会话表老化时间

对于已建立的会话表条目，只有当它不断地被消息匹配时才需要存在。如果长时间没有消息匹配，说明通信双方可能已经断开连接，不再需要会话条目。

为了节省系统资源，系统会在一段时间没有匹配到的条目，即会话条目已经老化后，将其删除。

长连接

对于某些特殊服务，一次对话中两个连续消息之间的间隔可能很长。

例如：

当用户通过FTP下载大文件时，需要很长时间才能在控制信道中继续发送控制消息。用户需要查询数据库服务器上的数据，这些查询的时间间隔比TCP的会话老化时间要长得多。如果只是通过延长这些服务所属的协议的老化时间来解决这个问题，那么一些同样属于这个协议但实际上不需要这么长老化时间的会话，是不会老化很久的。

这会导致大量系统资源被占用，性能下降，甚至无法为其他服务建立会话。因此，需要缩小流量范围来延长老化时间。

长连接功能可以解决这个问题。长连接功能可以为这些特殊流设置较长的老化时间。

Server-map

1.为什么会出现服务器映射表？

由于会话表对哪些消息属于同一流量要求过于严格，一些特殊协议无法正确匹配会话表。

服务器映射表可以解决这个问题。

例如，当使用FTP协议的端口模式传输文件时：

客户端需要主动向服务器发起控制连接；它还要求服务器启动到客户端的服务器数据连接。如果设备上配置的安全策略允许单向消息主动通过，FTP文件传输将无法成功。

2.服务器映射表原理

通常，如果在设备上配置了严格的安全策略，设备将只允许内部网络中的用户单向主动访问外部网络。

为了解决这类问题，FW引入了服务器映射表，用来存储映射关系。

这种映射关系可以是控制数据协商的数据连接关系；或者在NAT中配置地址映射关系；以便外部网络可以通过该设备主动访问内部网络。

在生成服务器映射表之后，如果数据连接匹配服务器映射表条目，则可以由设备正常转发，并且在匹配服务器映射表之后，创建会话以确保后续消息可以根据会话表转发。

3.服务器-映射表消息转发过程

防火墙收到报文后，如果没有命中session表，防火墙进入第一个报文处理流程，查询是否命中server-map表。

如果是，生成会话表并转发报文；如果没有命中，则执行其他分组处理流程。