| フロー項目 |
説明 |
| 1. ソースゾーンの決定 |
パケットを受信したインターフェースを確認し、インターフェースがバインドされる
ソースゾーン(送信元のゾーン)を確認する。パケットがカプセル化されていない
場合、ソースゾーンは受信I/Fがバインドされているセキュリティゾーンとなる。
パケットがカプセル化され、トンネルI/FがVPNトンネルにバインドされている場合
ソースゾーンは、トンネルI/Fが構成されているセキュリティゾーンとなる。
|
| 2. スクリーンフィルタ |
UntrustゾーンにScreenオプションが有効になっていれば、セキュリティデバイス
はこの時点でScreenモジュールをアクティブにする。異常な動きを検出した場合
パケットの破棄を行ったり、異常がなければB以降の決定プロセスを続行する。
|
| 3. 既存セッションであるか? |
このセッション内のパケットを以前に受信したことがあり通過を許可していた場合
その情報がセッションテーブルに保持されているので、パケット転送にその情報
を使用しプロセス終了。新規フローの場合、C以降の決定プロセスを続行していく。 |
| 4. VIP/MIPの解決 |
VIPやMIPアドレスが使用されている場合、ルーティングテーブルから実際の
アドレスを検索できるように、アドレスマッピングモジュールがVIP/MIPを解決。
|
| 5. 宛先に到達可能か? |
ScreenOSでは、ポリシーテーブルをチェックする前に、ルーティングテーブルを
確認する。ルーティングテーブルに宛先がなければ、その時点でドロップされる。
ルーティングテーブルに宛先があれば、E以降の決定プロセスを続行していく。
※ ルーティングテーブルよりも前にPBR(Policy Based Routing)が適用される。
|
6. ゾーンをまたぐ?
イントラゾーンブロック? |
パケットの着信したインターフェースと、パケットが送出されるインターフェースの
所属するゾーンが異なる場合、(ゾーンをまたぐ場合)、またはゾーンが同じ場合
でも、Block Intra-Zone Trafficにチェックがあれば、Fのポリシーチェックを実施。
|
| 7. ポリシーで許可しているか? |
ゾーン間に適用されたポリシーで許可されていないパケットである場合、破棄。
許可されている場合、パケットは転送されて、セッションテーブルに追加される。 |
| 8. NAT-dst/NAT-src 処理 |
ポリシーで、NAT-Dst や NAT-Src が設定されている場合、アドレス変換が行われる。
NAT-DstとNAT-Srcの両方が設定されている場合は、NAT-Dst を先に実行して、次に
NAT-Srcが実行される。
|
| 9. ARPクエリ― |
パケットが次に転送されるデバイス(ネクストホップのデバイス)のMACアドレス
を解決するために、ARPクエリ―を実行する。 |
