防火墙会话机制与基本概念

一、会话概念：
当数据流经过AF转发时，AF会生成一个记录五元组、出入接口、路由匹配情况、策略匹配情况、nat转换情况等信息的表项，此表项称为会话

二、会话作用：
AF转发数据时为了提升数据转发效率率并减少重复判断策略匹配情况而损耗设备性能，通过会话记录的策略等信息，进行数据快处理

三、会话的机制介绍：
A：会话建立的条件参数：
1.老架构（五元组）：源IP，目的IP，源端口，目的端口，协议

2.新架构（七元组）：源IP，目的IP，源端口，目的端口，协议，VLAN，数据为二层或三层（数据经过AF时，AF是2层转发还是3层转发）

B、会话匹配：
1.老架构：仅通过识别五元组信息是否已有会话一致，一致则根据对应会话转发并刷新老化时间，否则生成新会话。

2.新架构：在标准五元组场景的前提上针对数据包VLAN标签，以及首包为二层或三层的识别标签，共同组成七元组进行识别。若七元组完全一致则根据对应会话转发并刷新老化时间，否则生成新会话。

C、会话更新：
1、自然更新会话
TCP会话默认老化时间为30min，UDP会话默认老化时间为3min，ICMP默认老化时间为30s（对应时间可以在控制台修改），老化时间超过后会话过期清除，若同一五元组（七元组）数据在老化前再次触发则会刷新老化时间重新进老化计算。

2、recheck更新会话
recheck是指路由或者策略发生变化时（增/删/改操作），通知会话立即重新按照当前策略或路由的匹配情况进行更新并刷新老化时间。例如路由变化了，那已经建立的会话，需要重新去匹配路由，查询下一跳和出接口，如果转发情况发生变化则清理老会话并重新建立会话（recheck）。但是并非所有recheck场景均会重建所有会话，例如黑名单修改仅仅会让修改的IP相关会话recheck。
注：老架构存在NAT策略调整下发后不及时recheck的情况，可通过打包优化解决-- KB-AF-20210904-NatRebuild-AF8.0.45_SP1

四、会话具体应用场景以及使用实践：
1、会话正常作用场景举例
外网电脑通过公网映射地址访问内网某台服务器时，电脑访问目标服务器时数据到达出口防火墙后由于数据初次到达防火墙暂无访问记录，因此防火墙上针对对应访问数据匹配映射策略与应用控制策略后查询路由表转发并生成新会话。
在终端与防火墙会话老化前若终端再次发起对应公网业务访问动作，数据包到达防火墙查询五元组（七元组）参数后直接按照历史会话后从防火墙对应接口转发，无需在重新查询策略匹配情况。

2、recheck机制场景如果存在异常可能导致的问题，例如老架构NAT场景。
会话正常场景时，NAT策略发生变动调整后正常情况下会触发recheck导致会话刷新重新命中策略，如会话未及时更新导致，会话未重新匹配策略从而使新配置策略出现未生效的情况。对应情况下可通过安装KB-AF-20210904-NatRebuild-AF8.0.45_SP1补丁优化recheck机制解决。

3、多次穿透复用会话存在的影响举例
sangforvpn场景下，分支终端需要走vpn从总部（AF）出口上网，总部AF是出口设备，且客户要求分支上网数据过一遍总部核心交换机审计后再发给外网，此数据流走向：分支--总部AFvpntun口--总部AF内网口--总部核心交换机--总部AF内网口--总部AF外网口--公网；
此场景中，分支上网数据存在多次穿过AF，第一次：分支--总部AFvpntun口--总部AF内网口；第二次：总部核心交换机--总部AF内网口--总部AF外网口 ；但由于数据7元组一致，导致第二次数据只会匹配上第一次生成会的话，而第二次数据需要做snat才能上网，所以此场景就会导致数据不通；
解决方案是：将第一次过来的数据流来回做多次穿越配置，让其生成第二次数据流会话即可；