安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备
目录
一、防火墙支持那些NAT技术,主要应用场景是什么?
二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
四、防火墙支持那些接口模式,一般使用在那些场景?
五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验
1、域间双向NAT(内网服务器没有外网路由时)
2、域内双向NAT(当内网PC以公网形式访问内网服务器时)
3、基于VRRP的双机热备
一、防火墙支持那些NAT技术,主要应用场景是什么?
- 源NAT --- 内网主机访问外网主机
- server NAT --- 外网主机访问内网服务器
- 域间双向NAT --- 解决内网服务器没有外网路由的问题
- 域内双向NAT --- 内网PC以公网形式访问内网服务器
- 双出口NAT --- 当同时连接电信宽带和联通宽带时(把路由与NAT转换通过下一跳做关联)
二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
服务器会通过内网直接给PC回包,不会经过公网
解决办法是做域内双向NAT --- 转换前PC访问一个公网IP(100.1.1.100),转换后再由另一个公网IP(100.1.1.200)去访问内网服务器,回包时服务器也会回给100.1.1.200,再转换为100.1.1.100,然后发给PC
三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
(1)当主防火墙挂了,虽然通过VRRP流量能够转移到通向备用防火墙的链路,但是流量无法穿过备用防火墙。流量切下来后,备用防火墙不能建立对应会话表,因为会话表的建立是要依靠于流量的第一个包(会话表首包建立)。不能建立会话表,流量就不能通过备用防火墙。
(2)当流量从主防火墙穿越访问到对端,但对端回包时走备用防火墙。这时回去的包肯定不是首包,不能建立会话表,所以不能通过备用防火墙。
(3)当主防火墙的下行链路断开时,VRRP理应将流量切到下面关于备用防火墙的链路上,假设流量能通过防火墙到达对端终端,那么对端回包时,该流量应该也是走关于备用防火墙的链路。但是两个防火墙的会话状态没有同步,两边的VRRP没有进行同步,所以该流量会走主防火墙。
所以当一个防火墙的一边的链路断掉了,那么另外一边也要进行切换,两边的VRRP必须同步状态,成为"一致行动人"。
--------------------------------------------------------------------------------------------
那么这里就会用到一个协议来解决这个VRRP同步的问题,VGMP
VGMP 是为防止可能导致的VRRP状态不一致现象的发生,负责统一管理加入其中的各备份组VRRP状态
--------------------------------------------------------------------------------------------
解决了VRRP同步问题,流量也过不去,因为无法建立会话表,需要一个会话同步的机制,所以用到 HRP
HRP 华为双机热备协议(Huawei Redundancy Protocol)
可同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。
四、防火墙支持那些接口模式,一般使用在那些场景?
- 路由模式 --- 以第三层对外连接(接口具有IP 地址)
- 交换模式 --- 通过第二层对外连接(接口无IP 地址)
- 旁路模式 --- 该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务。
- 接口对模式 --- 加快接口的转发效率(不需要查看MAC地址表)
五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
(1)路由的问题,可能是该地区的路由没有写完整,没有写缺省之类的,其次可能是网关地址没有配置正确。
(2)dns,该地区指向的dns服务器出现问题,域名解析错误,无法访问互联网。
(3)策略,在防火墙上没有对相关区域的线路的流量没有放行,导致无法连接互联网。
(4)双机热备,在实际情况中,私网访问公网会有多个防火墙,当遇到没有配置正确的双机热备的防火墙,例如vrrp和HRP这些协议没有实现完成,都会影响私网访问互联网的情况。
六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验
1、域间双向NAT(内网服务器没有外网路由时)
2、域内双向NAT(当内网PC以公网形式访问内网服务器时)
注:最后访问100.1.1.100时开始不成功,是因为之前SW1的接口划分了vlan,而server2(172.16.2.3)连接SW1的接口没有配置access接口
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 2
3、基于VRRP的双机热备
SW1
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 10
FW2
[USG6000V1-GigabitEthernet0/0/0]ip address 10.1.1.3 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
FW1和FW2的g1/0/3和g1/0/4聚合
FW1
FW1配置hrp区
FW1配置策略
FW1上配置双机热备
FW2
FW2配置hrp区
FW2配置策略
FW2上配置双机热备
测试(断开FW1的g1/0/0)
FW1变为备
FW2变为主
————————————————
本文有部分参考CSDN博主「石头人张飞」的原创文章
原文链接:https://blog.csdn.net/a1706620451/article/details/126781279