防火墙的NAT技术
1.防火墙如何处理双通道协议?
使用ASPF技术,查看协商端口号并动态建立server-map表放行协商通道的数据ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
2.防火墙如何处理nat?
如果内网的主机想要与外网的主机进行通信,那么防火墙的安全策略就必须放行内网主机的IP,如果外网主机想要与内网服务器进行通信就必须放行内网的服务器IP
3. 防火墙支持那些NAT技术,主要应用场景是什么?
源NAT 主要应用于私网用户访问公网的场景
server nat 主要应用于公网用户访问私网服务的场景
双向NAT 双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
当内网PC访问公网域名时,根据缺省路由,PC会去访问外网的同域名服务器,去外网的dns进行解析,最后访问到公网的同域名服务器。
需要在做NAT的路由器或防火墙上配置域内的NAT转换,让PC访问该公网域名时,防火墙或者路由器能正确的寻址。
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
VRRP的中文名叫做虚拟路由冗余协议;虚拟路由冗余模式,用于提高网络可靠性。在主机下一跳设备出现故障时,及时将业务切换到备份设备,保障网络通信的连续性和可靠性。
VRRP的特点
1) IP地址备份(主要功能)
2)最优路径指示
3)最小化不必要的服务器终端
4)广泛的安全性;它可以在多种不同的交互环境中采用不同的安全策略,它只需要极少的配置和开销就可与i进行严格的验证
5)在可扩展网络有效的工作
VRRP双机热备出现的问题
来回的路径不同
在主机出现问题之后就会切换到备份的防火墙上面,但是会话表存在一个首包机制——绘画比爱哦是首个包建立的,如果它切换到备份防火墙上面,那么久不会建立会话表,这样的就导致了流量无法通过
6. 防火墙支持那些接口模式,一般使用在那些场景?
路由模式
当防火墙位于内部网络和外部网络之间时候,需要将防火墙与内部网络、外部网络以及DMZ(服务器)三个区域相连接的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器
交换模式
也可叫做透明模式,在这个接口模式下,可以避免改变拓扑结构造成的麻烦 ,此时防火墙对于子网用户和路由器来说是完全透明的;这种模式对安全性没有影响,但是不能使用NAT、VPN等功能。
接口对模式
接口对模式是一种特殊的二层模式,这个接口是成对出现的,这一对接口之间转发数据不会经过二层的MAC寻址,也就是类似网线的形式转发,速度快
旁路模式
如果只对流量由审计需求,监控和网络行为控制的情况下,可以使用这种技术;它支队流量进行统计、扫描和记录,并不是对流量进行转发。它的接口撞他为交换形态,但是旁路数终端设备,只需要一根网线就可以完成,一般采用端口镜像的方式