以下关于USG系列防火墙说法中,正确是( )。
安全域间数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。入方向:数据由低优先级安全区域向高优先级安全区域传输。出方向:数据由高优先级安全区域向低优先级安全区域传输。通常情况下,通信双方一定会交互报文,即安全域间两个方向上都有报文传输。而判断一条流量方向应以发起该条流量第一个报文为准。通常对发起连接终端位于Trust区域,它向位于Untrust区域Web服务器发送了第一个报文,以请求建立HTTP连接。由于Untrust区域安全级别比Trust区域低,所以防火墙设备将认为这个报文属于Outbound方向,并根据Outbound方向上安全策决定是放行还是丢弃。如果这个连接能够建立,那么设备将为其建立一条会话表。会话表项中记录了这条连接五元组:源和目IP地址,源和目端口号,协议类型。此后凡是符合这五元组定义报文,包括客户端后续发给Web服务器报文以及Web服务器回应给客户端报文,都会根据会话表来进行处理,而不会根据报文实际传输方向重新检查安全策。
