禁止：表示拒绝符合条件的流量通过。

• 如果动作为“禁止”，防火墙不仅可以将报文丢弃；

• 还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后，可以快速结束会话并让用户感知到请求被阻断。

（3）安全配置文件：

内容安全检测包括反病毒、入侵防御等，它是通过在安全策略中引用安全配置文件实现的。

• 如果其中一个安全配置文件阻断该流量，则防火墙阻断该流量。

• 如果所有的安全配置文件都允许该流量转发，则防火墙允许该流量转发。
  

3、安全策略匹配过程

防火墙的安全策略一般配置很多条，如果都可以匹配应该优先匹配哪一条呢?

安全策略的匹配按照策略列表顺序执行，从上往下逐条匹配，如果匹配了某条策略，将不再往下匹配。

因此，配置安全策略的顺序很重要，需要优先配置精确的安全策略，然后再配置粗略的安全策略。

系统默认存在一条缺省安全策略default。

缺省安全策略位于策略列表的最底部，优先级最低，所有匹配条件均为any，动作默认为禁止。如果所有配置的策略都未匹配，则将匹配缺省安全策略default。

会话表

1、什么会话表？

会话表用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据；

那么什么是基于连接状态转发报文呢？防火墙基于“状态”转发报文：

（1）只对首包或者少量报文进行检测然后确认一个连接状态；（会话表）

（2）后续大量的报文根据连接状态进行控制；

会话表就记录了大量的连接状态；这种机制大大的提升了防火墙的检测和转发效率。

如上图所示：客户端PC1访问服务器PC2，PC1向PC2发起HTTP连接；

（1）PC1发送报文；

（2）首包达到防火墙，创建会话表项（如下）；防火墙会话表中标示出“http”协议和连接信息，并识别出此流量在公共路由表中被转发；

（3）防火墙放行报文；

（4）PC2回复报文；

（5）回复报文匹配防火墙会话；

（6）防火墙转发报文；

2、会话表的创建

防火墙在开启状态检测情况下，只有首包会创建会话表项，后续报文匹配会话表即可转发；

3、会话表老化时间

对于一个已经建立的会话表表项，只有当它不断被报文匹配才有存在的必要。如果长时间没有报文匹配，则说明可能通信双方已经断开了连接，不再需要该条会话表项了。

为了节约系统资源，系统会在一条表项连续未被匹配一段时间后，将其删除，即会话表项已经老化。

4、长连接

对于某些特殊业务中，一条会话的两个连续报文可能间隔时间很长。

例如：

• 用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文。

• 用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间。