防火墙双通协议，NAT，双机热备及IDS问题

Posted 2023-04-01 流年ꦿ

目录标题

• • • 1.防火墙如何处理双通道协议？
    • 2.防火墙如何处理nat?
    • 3.防火墙支持那些NAT技术，主要应用场景是什么？
    • 4.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？
    • 5.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明
    • 6.防火墙支持那些接口模式，一般使用那些场景？
    • 7.什么是IDS？
    • 8.IDS和防火墙有什么不同？
    • 9.IDS的工作原理
    • 10.IDS的主要检测方法有哪些详细说明？
    • 11.IDS的部署方式有哪些？
    • 12.IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

1.防火墙如何处理双通道协议？

双通道：控制和传输失离的，符合双进程的
主要有FTP RTSP DNS等
控制进程与传输进程分离意味着控制进程的协议和端口与传输进程的协议和端口不一致
多通道协议无法用安全策略表去解决如果强行解决会导致安全策略的颗粒度过大，防护墙防御失效。

解决办法，使用ASPF技术，查看协商端口号并动态建立server-map表放过协商通道的数据。

ASPF也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息开放相应的访问规则。

2.防火墙如何处理nat?

在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生成传输进程返回的nat映射。
ALG（Application Level Gateway）应用网关用来处理上述应用层数据在nat场景转换问题。这也是导致交换机一般没有nat的主要原因。
ALG在nat会抓包，生成一个返回的映射，重新校验。
三层交换机和路由器的区别：

• 看有无nat技术
• 三层交换机nat火很重，没有特殊的硬件支撑，内存和cup能力是比较薄弱的
• 路由器内存大，CPU能力强
• nat就是对数据包进行一次大的手术，地址的转换，校验重新计算，多通道协议的分析，动态生成一个返回的映射，工作繁重。

3.防火墙支持那些NAT技术，主要应用场景是什么？

源NAT 主要应用于私网用户访问公网场景
server nat 主要应用于公网用户访问私网服务的场景
双向NAT 双向NAT主要应用在同时有外网用户访问内部服务器的场景

4.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？

私网进行回包来回路径不一致
解决方案
防火墙上做域内双转
给域内搭建一台dns服务器

5.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

双机热备：防火墙部署在网络出口位置时，为了防止防止发生故障影响业务，部署两台两台防火墙成双机热备，两台防护墙的型号、类型、数量都要相同。
存在问题：

• 当主防火墙坏掉，自动选择备用，但不会进入会话层，因为会话层是由首保机制建立解决方案：关闭流量监测，使用非首包建立会话表。
• 当防火墙的线路有一条断开，并不会切换到另外一台防火墙。解决：备份组

6.防火墙支持那些接口模式，一般使用那些场景？

部署透明模式（L2）:使用与用户不希望改变有网络规划和配置的场景
部署路由模式（L3）：适用于需要防火墙提供路由和NAT功能的场景
部署混合模式（L1）：适用于防火墙在网络中即有二层接口，又有三层接口的场景
部署旁路模式（Tap）：适用于用于希望试用防火墙的监控、统计、入侵防御等功能，暂时不将防火墙直连到网络里。

7.什么是IDS？

IDS（入侵检测系统）：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理，提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。
入侵检测主要面对的三类用户：

• 合法用户
• 伪装用户
• 秘密用户

8.IDS和防火墙有什么不同？

防火墙是针对黑客攻击的一种被动防御，旨在保护；IDS则是主动出击寻找潜在攻击者，发现入侵行为。
防护墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动。
防火墙是设置在保护网络（本地网络）和外部网络之间的一道防御系统。
防火墙只是防御为主，通过防护墙的数据便不再进行任何操作，IDS则进行实时检测，发现入侵行即可做出反应，是对防火墙弱点的修补。

9.IDS的工作原理

识别入侵者
识别入侵行为
检测和监视已成功的入侵
为对抗入侵提供信息与依据，防止时态扩大

10.IDS的主要检测方法有哪些详细说明？

异常检测模型（Anomaly Detection）
首先总结正常操作应具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为入侵。
误用检测模型（Misuse Detection）
收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）。

11.IDS的部署方式有哪些？

共享模式和交换模式：从HUB上的任意一个接口，或者在交换机做端口镜像的端口上收集信息。
隐蔽模式：在其他模式的基础上将探测器的探测接口IP地址去除，使得IDS在对外界不可见的情况下正常工作
Tap模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网路的所有流量，能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易。
In-line模式：直接将IDS串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击。
**混合模式：**通过监听所有连接到防火墙的网段，全面了解网络状况。

12.IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过数据流和入侵防御签名进行比较来检测和防御攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名名为预定义和自定义签名。
签名过滤器：由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，过滤。
签名过滤器的动作：

• 阻断：丢弃命中签名的报文，并记录日志
• 告警：对命中签名的报文放行，但记录日志。
  采取签名的缺省动作，实际动作以签名的缺省动作为准

例外签名：由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。
动作：

• 阻断：丢弃命中签名的报文并记录日志
• 告警：对命中签名的报文放行，但记录日志。
• 放行：对命中签名的报文放行，且不记录日志。

华为防火墙双机热备（详细介绍VRRP，VGMP）

一.双机热备的工作原理
华为的双机热备是通过部署俩台或多台防火墙实现热备及负载均衡，俩台防火墙相互协同工作，犹如一个更大的防火墙

• 双机热备概述
  随着互联网的发展，人们生活中的大多数问题可以通过网络解决，但与此同时，网络安全问题也逐渐暴露出来。
• 华为防火墙的双机热备包含以下俩种模式

1.热备模式：同一时间只有一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表。

2 负载均衡模式：同一时间，多台防火墙同时转发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙是主设备也是备份设备，防火墙之间同步会话表及Server-map表
负载均衡模式下，针对一些流量（如黑色圈流量），FW1是主用设备，Fw2是备用设备，所以该流量默认通过FW1转发，而针对另外一些流量（灰色流量），FW2是主设备，FW1是备用设备，所以改流量默认通过FW2转发，FW1又作为（灰色）流量的备用设备，当FW2损坏时，FW1依然可以转发（灰色）流量，同理，FW2也可以在FW1损坏时转发（黑色）流量

• VRRP
  在双机热备技术中，即使选举出了主用设备和备用设备，默认情况下流量也通过主用设备转发，而备用设备处于备份状态
  1.VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）由IETF进行维护，用来解决网关单点故障的路由协议，VRRP可以应用在路由器中提供网关冗余，也可以用在防火墙中做双机热备

（1）VRRP路由器：运行VRRP协议的路由器
（2）虚拟路由器：由一个主用路由器和若干个备用路由器组成的一个备份组，一个备份组，一个备份组对客户端提供一个虚拟网关
（3）VRID：virtual Router ID ，虚拟路由器标识，用来唯一的标识一个备份组
（4）虚拟IP地址：提供给客户端的网关IP地址，也是分配给虚拟路由器的IP地址，在所有的VRRP中配置，只有主用设备提供该IP地址的ARP响应
（5）虚拟MAC地址：基于VRID生成的用于VRRP的MAC地址，在客户端通过ARP协议解析网关的MAC地址时，主用路由器将提供该MAC地址
（6）IP地址拥有者：若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址，那么该成员被称为IP地址拥有者
（7）优先级：用于标识VRRP路由器的优先级，并通过每个VRRP路由器的优先级选举主用设备及备份设备
（8）抢占模式：在抢占模式下，如果备用路由器的优先级高于备份组中的其他路由器（包括当前的主用路由器），则不会立即成为新的主用路由器
（9）非抢占模式：在非抢占模式下，如果备用路由器的优先级高于备份组中的其他路由器（包括当前的主用路由器），则不会立即成为主用路由器，直到下一次公平选举

• VRRP的工作原理和之前介绍的Cisco的HSRP基本相同，只是在细节上有一些区别

• VRRP是公有协议，而HSRP是Cisco私有协议

• VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址，而HSRP不可以

• VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID，而HSRP的虚拟MAC地址前缀是00-00-0c-07-AC-组号

• VRRP的状态机有三个，而HSRP的状态机包含五个（初始，学习，监听，发言，备份，活动）

• VRRP只有一种报文，HSRP有三个（hello，政变，辞职）

• VRRP不支持接口跟踪，而HSRP支持

1. VRRP的角色
   工作在VRRP模式下的路由器有俩种角色，分别是Master路由器和Backup路由器
   Master路由器：正常情况下由Master路由器负责ARP响应及提供数据包的转发，并且默认每个1s向其他路由器通告Master路由器当前的状态信息

Backup路由器：是Master路由器的备用路由器，正常情况下不提供数据包的转发，当Master路由器故障时，在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器，接替转发数据包的工作，从而保证业务不中断
2.VRRP的状态机
VRRP定义了三种工作状态，分别是
Initalize状态，Master状态，Backup状态

3.VRRP的工作原理
VRRP选举Master路由器和Backup路由器的流程如下
首先选举优先级的设备成为Master路由器，如果路由器相同，再比较接口的IP地址大小，IP地址大（数值大）的设备将成为Master路由器，而备份组中的其他路由器将成为Backup路由器

• VGMP
  工作原理
  
  VGMP的工做原理表现如下：

1.VGMP的状态决定了VRRP备份组的状态，即设备的角色（Master和Backup）不再通过VRRP报文选举，而是通过VGMP同意管理

2.VGMP的状态通过比较优先级决定，优先级高的VGMP将成为Active，优先级低的VGMP组成为Standby

3.默认情况下，VGMP组的优先级为45000

4.VGMP根据组内VRRP备份组的状态自动调整优先级，一旦检测到备份组的状态变成Initialize

5.VGMP通过心跳线协商VGMP状态信息

VGMP的工作原理

• 双机热备的备份方式

1.自动备份：该模式下，和双机热备相关的配置命令只能在主用路由器设备上配置，并自动同步到备用设备中，主用设备自动将状态信息同步到备用设备中
2.手工批量备份：主用设备上所有的配置命令和状态信息，只有在手工执行批量备份命令时才会同步到备用设备
3.快速备份：不同步配置命令，只同步状态信息

开启双机热备功能

配置自动模式备份

开启双机热备后，执行可以同步的命令时会有（+B）的提示

配置快速备份命令

案例如下：

1.配置IP略（路由器配置一条默认路由，下一跳为虚拟IP的10.1.1.100 ，PC1网关为下游的虚拟IP192.168.1.100）
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全区域并配置安全策略（FW1和FW2配置一样）

3.配置VRRP备份组（FW1与FW2配置）

FW2配置

4.配置心跳接口

5.启用双机热备

6.配置备份方式

FW1配置如下

FW2配置如下

7.配置检查及检查

查看双机热备的状态信息

查看心跳接口状态

在PC1上ping路由器R1

可以ping IP地址 -t 一直ping 然后把FW1的 g0/1/2 口shudown掉，会发现ping的过程中丢掉了俩个包

也可以查看安全规则及会话表

!!!!!!!!!!!!!!!!!!!!!!!!!