安全防御——防火墙二
1、防火墙支持哪些NAT技术,主要应用场景是什么?
NAT类型:
根据转化方式的不同,NAT可以分为三类:
1、源NAT,源地址转化的NAT。
? 有:NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT
2、目的NAT:将目的地址做转化。
? 有:NAT-Server, SLB
3、双向NAT:即做源地址转化,又做目的地址转化。
NAT地址池: 是指用NAT转换时用于分配公网的IP地址范围。进行转换时,设备会从该地址池中选择一个地址,用于替换报文的源IP地址。
源NAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。
目的NAT是指对报文中的目的地址和端口进行转换。
双向nat:针对同一数据流,如果需要同时改变报文的源地址和目的地址,就可以配置“源NAT + NAT Server”,称此类NAT技术为双向NAT。
2、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明。
问题—路由回流
当用路由器防火墙等设备将内网服务器发布到公网上,供外网用户访问的过程中出现的一种现象,就是你发现web服务器已经成功发布了,外网用户能够成功访问,但内网用户确无法访问到web服务器,这就是路由回流。造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT(也被称作源地址转换)和端口映射(也被称为目标地址转换)造成的。
解决方案
1、内部NAT方案
? 内网用户与服务器使用不同网段
? 内网用户与服务器相同网段
2、内网DNS方案
在内网配置一台DNS服务器,内网的所有客户端的DNS的IP都填写这台内网的DNS服务器的IP地址,还需要在内网DNS服务器上配置转发器,转发器中填写公网上的运营商DNS服务器的IP地址就可以解决访问其他网站的问题了。
3、防火墙DNS Mapping方案
注意不是所有的防火墙都支持路由回流,配置域名+外网IP+内网IP即可。
4、路由器DNS Mapping方案
[R1]?nat?dns-map?www.abc.com?192.168.1.100?80?tcp
5、其他方案
如果内网需要使用域名访问的用户不多,则可以在内网机器上的C:\Windows\System32\drivers\etc\hosts添加以一行记录,192.168.1.100 www.abc.com,这样就可以了。
3、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明。
问题1:
主防火墙挂掉后,VRRP会将流量转到备用防火墙,但是备用防火墙无法新建会话表信息,因为建立会画表需要首包,防火墙肯定检测不到首包,所以流量不能通过。
选择让用户重新发送流量:用户体验不佳
关闭检测,直接通过
问题2:
当用户发送的流量通过主防火墙到目的端后主防火墙挂了,目的端回包使用备用防火墙,备用防火墙中没有会话表,通过不了。
问题3:
当主防火墙一边的链路断了,显然链路直接不通了,如果VRRP没有同步状态,而流量还是会发送给主防火墙
当一个防火墙的一边的链路断掉了,那么另外一边也要进行切换,两边的VRRP必须同步状态,成为"一致行动人"。
解决方法:
借助VGMP机制,可以实现对多个VRRP备份组(虚拟路由器)的状态一致性管理、抢占管理和通道管理等。
VGMP的作用:
防火墙主备状态控制切换
VRRP管理组的功能:
状态一致性管理(管理组内VRRP备份组同步状态切换)
抢占管理(屏蔽VRRP备份组抢占)
通道管理(trans-only)
解决了VRRP同步问题,流量也过不去,因为无法建立会话表,需要一个会话同步的机制,所以用到 HRP
HRP 华为双机热备协议(Huawei Redundancy Protocol)
可同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。
4、防火墙支持哪些接口模式,一般使用在那些场景?
L1 ~ L3 模式是将防火墙进行串连,TAP 模式是防火墙进行旁挂
L3 模式
也叫做 NAT 模式,和路由器接口一样,是拥有 IP 地址的接口。使用路由 选择、NAT 以及连接 IPSec VPN 或 SSL VPN 时,必须使用 L3 模式接口。接口可配置静态 IP 地址,也可通过 PPPoE、DHCP 动态获取 IP 地址。
L2 模式
也叫做透传模式或透明模式,和交换机一样,是进行交接的接口。进行 IP 地址分配时,需要使用 VLAN。
L1 模式
也叫做虚拟线缆模式。把两个接口组成一组,流量在一个接口输入, 在另一个接口输出。这个模式下无法进行路由和桥接。
TAP 模式
与交换机镜像端口连接的模式。对交换机的数据帧进行检测。由于不是串连,无法阻止非法通信。
5、客户反馈在部署防火墙后网络出现个别区域的PC无法访问互联网,你觉得会是什么原因
原因:一般来说都是防火墙的设置有问题,才会导致这种情况发生。
步骤:
1、先打开“控制面板”,找到并依次单击打开“系统和安全”——>“允许应用通过windows防火墙”。
2、打开之后,在右侧的选项里找到“windows防火墙”,在选项下面有两个小的选项,先点击“允许应用通过windows防火墙设置”,然后在出现的允许应用里面找到“核心网络”,在前面的小方块打上勾。
3、然后我们返回到“windows防火墙”选项中,选择“检查防火墙状态”选项,在新页面中,我们点击左侧菜单栏的“启用或关闭windows防火墙”选项,然后把“阻止所有传入连接,包括位于允许应用列表中的应用”选项前的勾去掉。
4、做完之后就可以上网了。