第二次作业

一、结合以下问题对当天内容进行总结

1. 防火墙如何处理双通道协议？

○ 单通道协议：通信过程中只需占用一个端口的协议。如：WWW只需占用80端口

○ 多通道协议：通信过程中需占用两个或两个以上端口的协议。如：FTP被动模式下需占用21号端口以及一个随机端口（FTP主动模式下是20和21号端口）

使用单纯的包过滤方法，如何精确定义（端口级别）多通道协议所使用的端口呢？遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义。

防火墙处理双通道是使用ASPF技术，查看协商端口号并动态建立Server-map表放过协商通道的数据。

ASPF(针对应用层的包过滤)：也叫基于状态的报文过滤，ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过 检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据 通道的报文，相当于自动创建了一条精细的“安全策略”。

ASPF对多通道协议的支持：创建Server-map→匹配Server-map（存在时间很短）

Server Map的作用

○ Server-map是一种映射关系，当数据连接匹配了动态Server-map表项时，不需要再查找包过滤策略，保证了某些特殊应用的正常转发。（NAT Server、NAT No-PAT产生的Server-map需要查找安全策略）

○ 另一种情况，当数据连接匹配Server-map表，会对报文中IP和端口进行转换。

○ Server-map通常只是用检查某个报文，通道建立后的报文还是根据会话表来转发。

Server Map的产生：转发多通道协议；转发QQ/MSN、TFTP等STUN类型协议；NAT Server或SLB时；NAT No-PAT
 

2. 防火墙如何处理nat？

         华为防火墙收到报文后，查找NAT Server生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤4处理，如果报文没有匹配到Server-Map表，则进行步骤2处理
查找基于ACL的目的NAT，如果报文符合匹配条件，则转换报文的目的地址，然后进行步骤4处理，如果报文不符合基于ACL的目的NAT的匹配条件，则进行步骤3处理
查找NAT策略中目的NAT，如果报文符合匹配条件，则转换报文的目的地址后进行路由处理，如果报文不符合目的NAT的匹配条件，则直接进行路由处理
根据报文当前的信息查找路由（包括策略路由），如果找到路由，则进入步骤5处理，如果没有找到路由，则丢弃报文
查找安全策略，如果安全策略允许报文通过且之前并未匹配过NAT策略（目的NAT或者双向NAT），则进行步骤6处理，如果安全策略允许报文通过且之前匹配过双向NAT，则直接进行源地址转换，然后创建会话并进入步骤7处理，如果安全策略允许报文通过且之前匹配过目的NAT，则直接创建会话，然后进行步骤7处理，如果安全策略不允许报文通过，则丢弃报文
查找NAT策略中源NAT，如果报文符合源NAT的匹配条件，则转换报文的源地址，然后创建会话，如果报文不符合源NAT的匹配条件，则直接创建会话
华为防火墙发送报文

3. 防火墙支持那些NAT技术，主要应用场景是什么？

 

当主机访问外网时，华为防火墙的处理过程如下：

• 当私网地址用户访问Internet的报文到达华为防火墙时，华为防火墙将报文的源IP地址由私网地址转换为公网地址
• 当回程报文返回至华为防火墙时，华为防火墙再将报文的目的地址由公网地址转换为私网地址

防火墙支持的NAT技术主要包括基本NAT、静态NAT、动态NAT和端口地址转换（PAT）等。

• 基本NAT是一种简单的技术，以家庭和小型公共网络环境为主。它可以将内部网络地址转换为公共网络地址，以便实现物理隔离和保护内部网络安全的目的。

• 静态NAT是一种固定映射地址的技术，适用于将内部网络上的服务器对外公网的IP地址进行映射。例如，当内部网络的服务器提供对外服务时，管理员可以将服务器的内网地址映射到公网上的固定IP地址，以便外部用户访问该服务器。静态NAT技术可以提高内部网络的安全性和可靠性。

• 动态NAT是一种动态分配公共网络地址的技术，适用于大型组织和企业的内部网络。它可以在内部网络和公网之间分配IP地址，以便实现动态分配IP地址的功能。例如，当内部网络上的多个计算机需要与外部主机进行通信时，动态NAT技术可以将内部计算机的内网IP地址转换为公网IP地址，以便在内部网络中实现IP地址的动态分配。

• 端口地址转换（PAT）是一种基于动态NAT的技术，它可以在网络层将多个内部IP地址映射到同一个公共网络IP地址，并且每个内部计算机拥有自己的端口号。当内部计算机需要访问公网时，PAT技术会将端口号映射到公网上的唯一IP地址上，通过不同端口识别出不同计算机发送的数据。PAT技术可以是内部网络兼容设备的数量更多。例如，ISP提供商就广泛使用此项技术，以便为客户同时提供多台设备的访问。

总之，防火墙支持的NAT技术可以在内部网络和公共网络之间光滑地传输信息，隐藏内部网络的真实地址，加强网络安全控制和运营管理。每种NAT技术都有其适用场景，需要根据具体的网络环境、设备数量、业务需求等因素来选择。

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

 

1.解析问题：内网PC无法通过公网域名解析出内网服务器的实际IP地址，因为大多数DNS服务器只会解析外部网络的域名，而未进行内网地址的解析；

2.路由问题：即使内网PC通过域名解析得到了内网服务器的IP地址，但也可能因为路由设置问题而无法建立连接，因为公网设备无法直接访问内网地址。

为解决以上问题，可以采用如下两种方式：

1.内网搭建DNS服务器，解决内网地址解析问题。将内网DNS指向内部服务器的IP地址，可以避免内网PC解析域名时遇到无法解析内网地址的问题。在内网中搭建DNS服务器的步骤如下：

（1）在内网中安装一台DNS服务器；

（2）设置DNS服务器的解析域名和解析记录，让内网PC能够通过域名解析到内部服务器的IP地址；

（3）修改内网PC的DNS配置，将DNS地址指向内网的DNS服务器；

（4）最后，通过公网向内网的服务器发送请求，内网DNS将能够正确解析，并将请求转发到内部服务器。

2.配置端口映射，解决路由问题。在路由器中配置端口映射，将公网IP的指定端口转发到内部服务器的相应端口，以实现内部的服务器被公网访问的功能。具体步骤如下：

（1）在路由器中配置端口映射，将公网IP的端口与内网服务器的端口进行映射。例如，将公网IP的80端口映射到内网服务器的80端口；

（2）当外部网络访问公网IP的80端口时，路由器会将请求转发到内部服务器；

（3）为了保证安全性，可以只映射必要的端口，并设置访问规则（如IP过滤、协议限制、端口限制等）。

注：以上两种方式也可以结合使用，既实现内网地址的解析，又保证内网服务器的访问安全。

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

1.节点优先级失效：VRRP中设备根据优先级进行主备切换，但在实际使用中可能会出现节点优先级失效的情况，导致本应是备用节点的设备却成为了主设备；

2.状态不同步：VRRP主备设备的状态同步非常重要，如果状态发生不同步可能会导致网络中断和数据丢失；

3.心跳问题：VRRP设备之间需要进行心跳检测，以便及时发现主设备故障并进行切换。但可能会出现心跳延迟、链路故障等问题，导致主备切换的时间过长或切换错误。

为了解决以上问题，可以采用如下方案：

1.预防节点优先级失效：在VRRP设备中设置正确的优先级，避免因设置错误或丢失优先级配置文件等原因导致节点优先级失效的情况。

2.确保状态同步：VRRP设备之间需要确保状态同步，以便能够实现主备切换。可以采用如下方式：

（1）使用VRRP协议作为通信协议：主备节点之间通过VRRP协议进行通信，可以确保状态信息的实时同步；

（2）使用同步技术确保状态同步：采用同步技术，如同步策略和同步配置文件，确保必要的状态信息同步；

（3）使用高可用软件，如KeepaliveD、Heartbeat等，确保主备节点状态同步。

3.预防心跳问题：VRRP中心跳检测非常重要，因此可以采用如下方式预防心跳问题：

（1）选择不同的心跳方式：不同的心跳方式对不同的场景有不同的适用性。例如，可以采用UDP心跳、ARP欺骗、ICMP ping等方式；

（2）对心跳检测结果进行多重校验：在选用心跳方式的同时，对检测结果进行多重校验，以确保检测结果的正确性；

（3）进行心跳检测时间和重试次数的设置：将心跳检测时间和重试次数设置得合理，以平衡检测精度和性能开销。

6. 防火墙支持那些接口模式，一般使用在那些场景？

1.路由模式：防火墙将自己作为路由器使用，接收和转发网络数据包。该模式适用于多个LAN之间相互连接，需要实现路由器功能的场景。

2.透明模式：防火墙像一个透明网桥一样将网络数据转发，不需要配置路由信息。该模式适用于需要监控和过滤内部网络流量的场景。

3.虚拟线模式：虚拟线模式是将每个接口看作一条独立的连接，不同的接口之间不会有任何物理交换。该模式适用于需要对多个网络进行隔离和保护的场景，如DMZ等。

4.混合模式：混合模式将以上几种模式进行混合使用，根据实际场景进行灵活配置。

不同接口模式在不同场景下有不同的应用：

1.路由模式主要用于建立WAN和LAN之间的连接，实现数据包的路由和转发等功能，在企业和ISP等网络中广泛应用。

2.透明模式主要用于防火墙的监控和过滤内部网络流量，以及应对DDoS攻击等安全事件，常用于金融、电信等对网络安全要求比较高的行业中。

3.虚拟线模式主要用于对多个网络进行隔离和保护，如将企业内部网络和公网隔离，防范攻击等。

4.混合模式结合以上几种模式的优点，在不同的场景下进行适当的配置。例如，在企业内部网络中，可以采用路由模式和透明模式互相配合，实现对内外网的监控和防护。

7. 什么是IDS？

IDS（Intrusion Detection System），即入侵检测系统，是一种安全设备或软件，它可以检测网络或系统中的异常流量或行为，并尝试识别是否存在安全漏洞或恶意攻击，从而能够帮助防止和响应各种入侵事件。

IDS可以有多种不同的实现方式和部署形式，如：

1.网络IDS：通过对网络流量进行分析，检测是否存在恶意流量或安全漏洞。

2.主机IDS：检测系统内部是否存在异常的进程、文件等。

3.边界IDS：部署于网络边缘，对流量进行监控，防止外部威胁进入企业内部网络。

4.分布式IDS：将多个IDS设备部署在不同的位置，共同协作检测和响应安全事件。

IDS通常拥有以下特点：

1.检测入侵事件：IDS能够检测和分析网络和系统中的异常流量和行为，此包括但不仅限于基于漏洞的攻击、DoS攻击、拒绝服务攻击和恶意软件和病毒等。

2.快速响应：IDS能够及时响应并采取必要的行动来遏制和消除入侵事件，从而保护系统或网络的安全。

3.网络监控：IDS可以检测流量、源地址、目的地址、协议和端口等网络信息，并记录安全事件的详细信息来帮助追踪安全事件源。

4.事件记录：IDS能够记录安全事件的详细信息，包括事件发生的时间、位置、源和目的地址、协议、攻击方式等。

5.自动化响应：IDS可以自动化响应安全事件，例如根据策略自动阻塞来自某个IP地址的流量。

总之，IDS是企业网络安全中不可或缺的重要组成部分，能够发现并响应网络和系统入侵的一系列威胁和攻击，保护企业的数据和网络安全。

8. IDS和防火墙有什么不同？

IDS（Intrusion Detection System）和防火墙（Firewall）是两种安全设备，它们的主要区别在于两种设备的工作原理和应用场景上存在着很大的不同。

1.工作原理

防火墙的工作原理是基于规则的过滤，通过事先设定规则来阻止非法的网络流量，从而保护企业网络的安全。主要通过检查数据包的源IP地址、目标IP地址、端口号和协议等信息，将合法的数据包通过，丢弃非法的。防火墙通常只检查网络和数据包的流量，对内部主机和应用程序的异常行为并不进行检测。

IDS则是基于行为分析和特征分析的，它在网络和主机上监测异常行为和攻击，并尝试识别是否存在安全漏洞或恶意攻击。IDS不仅仅只检测网络流量，还可以检测主机上的异常进程、文件等。

2.应用场景

防火墙通常位于企业网络的边缘，起到保护企业网络免受外部攻击的作用。它可以过滤非法的数据流量，防止黑客入侵，控制网络的访问权限，以此保证企业网络的安全和稳定。

相比之下，IDS部署在企业网络的处于核心位置，通过检测网络和主机上的异常行为和攻击，尽早发现网络和系统中的安全漏洞和攻击威胁，防止网络被入侵和攻击，保护企业重要信息的安全性和完整性。

3.工作方式

防火墙通常在企业网络中的较为靠前的位置，可以通过阻断来自外部的威胁流量，以防止网络的入侵和恶意行为。

相反，IDS需要在企业网络的不同位置部署多个节点，进行流量监控和威胁检测，通过数据分析，聚合异常行为，协助IT专业人员快速的发现威胁，并迅速采取相应的措施应对，以尽量减少网络威胁对企业带来的损失。

综上，IDS和防火墙是两个独立的安全设备，其定位和应用场景不同，可以互相协作，提高企业整体网络安全防御水平。

9. IDS工作原理？

 

1.流量监测

IDS通过监测网络和系统中的流量，可以分析出传输的信息，如源地址、目标地址、端口号、数据包长度、协议类型等信息。IDS分析这些流量信息，来判断流量是否是正常的。

2.异常检测

IDS能够将已知的或预先编制的恶意程序和攻击方式与监测到的网络流量或主机行为进行比对，通过检测与比对，判断是否存在异常或不是规范的行为。这样，它就能够检测出一些不规范或者恶意的行为，包括入侵、DoS攻击、拒绝服务攻击、恶意软件和病毒等。

3.警报通知

当IDS发现异常行为时，可以通过网络信息传输协议如SNMP、Syslog等，通知系统管理员出现问题并采取相应的应对措施。系统管理员可以根据警报通知，采取一些安全措施来保护系统和网络的安全性，如：断开疑似异常流量的源地址，整改安全漏洞等。

总之，IDS的工作原理是通过实时监测和分析网络和主机行为，发现和警报异常行为，是企业防御网络攻击，保护网络安全的重要手段之一。

10. IDS的主要检测方法有哪些详细说明？

        

1.签名检测法

签名检测法是通过比对已知攻击规则的数据库，来判断当前网络流量是否含有这些攻击的行为。即：IDS将已知的攻击行为和攻击特征做成一份签名库，当网络流量与签名库中匹配时，IDS会发出警报。

2.异常检测法

异常检测法可以检测未知的攻击方式和恶意行为。它通过监测网络和系统中的流量和行为，以分析出传输的信息，如数据包长度、频率、流量量等特征来建模，并将模型中规定的标准与实际行为进行比对，当检测到特征明显偏离预期的行为时，IDS会发出警报。

3.黑白名单检测法

黑白名单检测法是基于一些策略规则，将合法的来源及目的地址与IP、端口、协议等信息配置为白名单，在黑名单中创建一些受限或非法的IP、端口或协议等，IDS可以根据黑白名单的设置来检测源地址、目的地址及流量是否合规，当检测到黑名单中存在的要求时IDS发出警报。

4.行为检测法

行为检测法可以检测出病毒、蠕虫等网络攻击。它通过对操作系统中的行为分析，如系统的调用、修改注册表等，来判断是否存在恶意软件或病毒等。

5.机器学习检测法

机器学习技术通过挖掘和分析网络和主机的大量数据，建立数据模型，并根据数据模型对异常和恶意行为进行识别和检测。它可以不需要事先了解攻击规则建立数据模型，可以克服异常检测法的缺点，实现更加准确和全面的威胁检测。

总之，IDS的主要检测方法可以根据不同的特征和策略规则来检测网络和主机上的异常行为和攻击，为企业提供有效的保护。但是，不同的检测方法都有其局限性，最好采用多种检测方法结合使用，以获得最佳的安全性能。

11. IDS的部署方式有哪些？

 

1.网络边界部署

IDS可以部署在网络边界上，作为企业网络的前线防御，检测和预警外部攻击、恶意流量等问题。

2.内部网络部署

IDS可以部署在内部网络中，对内部网络流量进行监测和分析，检测和警报内部流量的安全问题，防止内部员工和设备的恶意行为带来威胁。

3.专用服务器部署

IDS可以在专门的服务器上部署，作为独立的安全防线，对网络流量进行检测和预警。同时，IDS可以通过远程监控的方式，在多个站点提供全面的监测和报警。

4.虚拟化部署

IDS可以在虚拟化环境中部署，将多个IDS服务部署到一台物理主机上，可大大降低部署与维护成本，同时也方便集中管理。

5.云平台部署

随着云计算技术的发展，IDS也可以通过云平台部署来实现，提供云上的安全服务，帮助企业在云平台上保护其数据和业务。

总之，IDS的部署方式因企业不同的安全需求和网络环境而异。在部署IDS之前，应该对网络和系统进行全面的评估，然后选择最适合企业需求的安全策略和部署方式。

12. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

 

IDS（Intrusion Detection System）的签名是一种检测入侵行为的方法，也就是将已知的入侵行为的特征规则做成一份签名库，当网络流量中存在这些特征时，就会被IDS检测出来。

签名过滤器是IDS中的一项功能，其作用是在对网络流量进行检测时，只检查与特定签名相关的信息，以提高检测效率。签名过滤器可以根据不同的需求进行过滤，例如针对某个特定的攻击行为，可以只检测相关的网络流量和特征，同时忽略其他无关的流量和特征，以提高 IDS 的效率和准确性。

例外签名配置是指定义一些特殊的流量规则，如互联网上的一些公共服务或公司内部的信任关系。对于这些已知的例外情况，IDS不会对其流量进行检测，从而减少误报率，提高 IDS 的准确性。如果例外签名配置不正确或不完善，则可能导致 IDS 无法检测到实际的网络攻击行为，从而使得整个安全策略受到挑战。

总之，IDS的签名技术可以用来寻找已知的入侵行为，签名过滤器可以提高 IDS 的检测效率，而例外签名配置则可以减少 IDS 的误报率，使IDS更加准确和全面地检测网络和系统中的风险和威胁行为。