10分钟教你完全掌握防火墙配置!!!!!

今日提问 

1.防火墙支持那些NAT技术,主要应用场景是什么?
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
4.防火墙支持那些接口模式,一般使用在那些场景?
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?

 

1.防火墙支持那些NAT技术,主要应用场景是什么? 

防火墙支持的NAT技术有:

1、NAT ALG

        某些协议会在应用层携带通信ip,这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是 转三层ip,这就导致某些协议的通信阶段在nat场景下失败。

2、域间双向转换NAT

  一般是解决内网服务器没有外网路由的问题

- NAT策略:把握住转换前数据包源目地址是什么以及转换后源目地址是什么
- 安全策略:把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数

内网不需要外网路由,只需要外网转换后的路由即可

3、域内双向转换NAT

当我们有内网用户通过公网访问内网服务器需求时,做域内双向NAT(常见于内网通过域名访问服务器的场景)

可以避免与服务器在同一网段的用户在通过DNS访问内网服务器时,服务器所回应的路由的地址为内网IP地址从而导致session表不建立会话的情况

4、双出口NAT

一般于双运营商

其原理就是将路由与NAT转换通过下一跳做关联

2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

        如图,当PC通过公网域名解析访问内网服务器时,通过DNS服务器所解析到的IP地址为公网IP地址,则访问时,源IP为PC的私网地址192.168.1.5,目标IP为202.202.1.1,当服务器接收到这个包时,看见源地址与自己同一个网段,则直接通过私有地址进行回复。回复时,源IP为192.168.1.1,目标IP为192.168.1.5。但PC的会话表所要的回复地址应该是服务器的公网地址,所以会将回复的包丢弃。

        解决方法是设置域内双向转换NAT,强制的使内网PC访问内网服务器使,将IP转换为公网地址后再访问内网服务器,内网服务器查看到访问IP是公网,则也通过公网地址进行回复。

 

 3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

         如图,假设PC1正在与PC2发包时,主防火墙突然突然发生故障,后续的包因为首包机制的缘故无法通过备用防火墙。或者,PC1和PC2发包发完,当PC2给PC1回包时,主防火墙发生故障时,备用的防火墙无法建立返回包的会话。

        我们就要在两个防火墙左边的网关有一个vrrp1,右边的网关有一个vrrp2,因为由于上面问题,我们知道vrrp1变化的时候,vrrp2也要变化。两者行动要一致。 于是我们又需要一个技术叫做VGMP

(VGMP:用于同步两个防火墙左边的VRRP1和右边的VRRP2,解决组一致行动 )

4.防火墙支持那些接口模式,一般使用在那些场景?

        接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。

 

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?

去向流量包与回包流量不一致,查看防火墙,解决方案是让来回路径一致或者关闭防火墙的状态检测。

二: 实验:

拓扑:

 

 域间双向nat:

 

 

 抓包:

域内双向nat:

转换过程:

172.16.3.1->10.1.1.116

10.1.1.115->172.16.2.5

 1、域内nat的配置

2、安全策略

3、测试:

 

抓包:

 

 

  • 1
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值