问防火墙(pfSense)如何根据规则检查数据包

EN

pfSense是一个开放源码的软件防火墙，所以他们如何做到这一点，最明显的答案就是“看看源代码”。无论如何，编程技术在这里都是不讨论的。

作为一个软件防火墙，pfSense不需要像ASIC或TCAM这样的特殊硬件。它可以使用NIC提供的卸载功能，但仅此而已。所以这都是关于代码效率的。

基于硬件的防火墙可以大量使用TCAM，从而实现非常高效的表查找.ASICs可以进一步加速更复杂的处理。

考虑到一个好的CPU的速度，基于软件的方法可以提供出色的吞吐量和总体性能，但是基于硬件的防火墙可能仍然有更好的延迟。

如果数据包源ip地址、目标ip地址、服务端口、应用程序id与防火墙中的策略匹配，并进一步检查路由入口。如果它与防火墙配置包相匹配，则允许防火墙向外到内网络和内到外网络。

如果上述参数不匹配，那么防火墙将简单地删除带有引用的数据包，以清除规则。