1.当业务访问出现来回路径不一致时(一半流量过防火墙、一半不过),对于TCP、ICMP,如果是非数据首包,会直接丢包(TCP就算是首包,第三次握手会被丢弃?),TCP访问不正常,ICMP部分访问正常,此时可以通过关闭防护墙会话状态检测功能解决;
2.防护墙会话表针对进包有下一跳等信息,针对回包无下一跳等信息,只是不用查询安全策略表;
3.防火墙开启智能选路功能时,当使用接口地址作为SNAT或DNAT时,需要在接口下开启原进原出功能。
原文:https://www.cnblogs.com/chen-wg/p/12945266.html