目录
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
12. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
二、复现当天课程中的NAT演示实验包括源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验,练习课堂IPS配置实验。
安全策略的定义
规则就是实施安全控制,在防火墙转发报文的过程中起着重要的作用,只要规则永续通过,报文才可以在安全区域之间流动,否则报文会被丢弃。
那么规则在防火墙上的具体体现就是“安全 策略”
从上图可知,安全策略基于安全区域的域间关系来呈现,它包含两个组成部分。
条件:检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。
动作:对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作。
通过安全策略的介绍,对安全策略有了一定的了解,但是有些协议还是充满变化的,不受安全策略的控制,比如最常用的FTP协议、SIP协议、MGCP协议等,它们的报文交互过程让安全策略防不胜防这种情况下,单凭安全策略无法完全掌控报文的转发,此时就需要利用防火墙中ASPF技术实现报文转发的控制。
1. 防火墙如何处理双通道协议?
举个例子,例如常用的FTP协议就是一个典型的多通道协议,在其工作过程中,FTP客户端和FTP服务器之间将会建立两条连接:控制连接和数据连接。控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息;数据连接用来获取目录及传输数据。
根据数据连接的发起方式,FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)。主动模式中,FTP服务器主动向FTP客户端发起数据连接;被动模式中,FTP服务器被动接收FTP客户端发起的数据连接。
首先FTP客户端使用随机端口xxxx向FTP服务器的21端口发起连接请求建立控制连接,然后使用PORT命令协商两者进行数据连接的端口号,协商出来的端口是yyyy。然后FTP服务器主动向FTP客户端的yyyy端口发起连接请求,建立数据连接。数据连接建立成功后,才能进行数据传输。我们只配置了允许FTP客户端访问FTP服务器的安全策略,即控制连接能成功建立。但是当FTP服务器访问FTP客户端yyyy端口的报文到达防火墙后,对于防火墙来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,防火墙上就必须配置了安全策略允许其通过,但是我们没有配置FTP服务器到FTP客户端这个方向上的安全策略,所以该报文无法通过防火墙,导致FTP访问失败。
若是在FTP服务器到FTP客户端这个方向上也配置一条安全策略,但是数据连接使用的端口是在控制连接中临时协商出来的,具有随机性,我们无法精确预知,所以只能开放客户端的所有端口,这样就会给FTP客户端带来安全隐患。
这个时候就要用到ASPF(Application Specific Packet Filter,针对应用层的包过滤)技术。ASPF主要是检测报文的应用层信息,记录应用层信息中携带的关键数据,针对不受安全策略的多通道协议报文起到关键性作用。记录应用层信息中关键数据的表项称为Server-map表,报文命中该表后,不再受安全策略的控制,这相当于在防火墙上开启了一条“隐形通道”。当然这个通道不是随意开启的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。
ASPF可以根据报文应用层中的信息动态生成Server-map表项,既简化了安全策略的配置又确保了安全性。我们可以把ASPF看作是一种穿越防火墙的技术,ASPF生成的Server-map表项,相当于在防火墙上打开了一个通道,使类似FTP的多通道协议的后续报文不受安全策略的控制,利用该通道就可以穿越防火墙。
2. 防火墙如何处理NAT?
首先我们要知道为什么IPv6不火了?
IPv4时代,由于IPv4地址的分配空间不足,IPv6运用而生,IPv6的地址长度比IPv4长,所有IPv6可以提供更多的地址,那么现网中IPv6的应用较少,存在的原因是IPv6部署成本较高需要大量的工作将其部署,在一个就是IPv4和IPv6不兼容,因此需要进行转换,可能会导致性能、安全性、兼容性会下降,然而随着技术的发展,IPv4地址的更有效利用,使用NAT地址转换技术可以缓解IPv4地址短缺的问题,
NAT地址转换技术有多种场景场景应用,NAT技术对IP报文的源地址进行转换,将私网IP地址转换成公网IP地址,NAT技术就是使大量私网用户可以利用少量公网IP地址访问外网,大大减少了对公网IP地址的消耗。当私网用户访问外网的报文到达防火墙时,防火墙将报文的源IP地址由私网地址转换为公网地址;当回程报文返回至防火墙时,防火墙再将报文的目的地址由公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和外网上的主机来说是完全透明的。
3. 防火墙支持那些NAT技术,主要应用场景是什么?
华为防火墙支持的NAT转换技术以及应用场景有
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
存在数据无法通信的情况
DNS属于多通道协议,防火墙默认开启了ALG功能,可以检测到DNS Response报文数据域answer字段的IP地址,查看是否匹配server-map表项,如果能匹配,则将对应的公网IP地址转换为私网IP地址,因此,在内网访问服务器直接通过私网IP地址进行访问,不会导致访问失败的现象出现。而通过公网地址访问的时候防火墙ALG进程会通过匹配server-map表项,修改回程会话。
解决方法:
1.通过域内双向转换解决
将源地址转换为公网地址
目的地址为服务器地址目标地址
2.通过关闭ALG对DNS报文的检测来解决问题(前提是内网可以可以通过公网IP访问内网服务器)
Firewall zone trust
Undo detect dns
Firewall zone untrust
Undo detect dns
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
两台防火墙会话备份的问题,使两台防火墙主备状态切换时,如何保证已经建立的业务不中断?
防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。双机热备功能启动后,正常情况下,两台防火墙会根据管理员的配置分别成为主用设备和备用设备。成为主用设备的防火墙FW1会处理业务,并将设备上的会话、Server-map表等重要状态信息以及配置信息通过备份通道实时同步给备用设备FW2。成为备用设备的防火墙FW2不会处理业务,只是通过备份通道接收来自主用设备FW1的状态信息以及配置信息。
双机热备保证业务不中断
当主用设备FW1的链路发生故障时,两台防火墙会利用备份通道交互报文,重新协商主备状态。这时FW2会协商成为新的主用设备,处理业务;而FW1会协商成为备用设备,不处理业务。与此同时,业务流量也会被上下行设备的路由信息引导到新的主用设备FW2上。由于FW2在作为备用设备时已经备份了主用设备上的会话和配置等信息,因此业务报文就能够顺利地匹配到会话从而被正常转发。路由以及会话和配置都能够备份就保证了备用设备FW2能够成功接替原主用设备FW1处理业务流量,成为新的主用设备,避免了网络业务中断。
6. 防火墙支持那些接口模式,一般使用在那些场景?
路由模式
防火墙的接口三层路由接口的形式参与组网
交换模式
防火墙的接口二层交换接口的形式参与组网
接口对模式
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。
旁路模式
旁路模式的接口也是二层的交换机接口,该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任 务,功能是最少的。
7. 什么是IDS?
IDS入侵检测(旁路部署)
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。打个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
8. IDS和防火墙有什么不同?
IDS与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
9. IDS工作原理?
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功的入侵
- 为对抗入侵提供信息与依据,防止时态扩大
10. IDS的主要检测方法有哪些详细说明?
异常检测:当某个事件与一个 已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
特征检测:IDS核心是特征库(签名)。签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
异常检测模型**(Anomaly Detection)
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型**(Misuse Detection)收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测(Signature-based detection)。
11. IDS的部署方式有哪些?
旁挂:需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。 也可以使用集线器、分光器实现流量复制。
12. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS中签名就是某种入侵行为所具备的特征,IDS特征检测就是使用特征库与数据特征进行比对,判断是否为入侵行为。
签名过滤器的场景:IPS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的动作分为:
- 阻断:丢弃命中签名的报文,并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。
二、复现当天课程中的NAT演示实验包括源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验,练习课堂IPS配置实验。
复现防火墙双通道(FTP)实验
防火墙上添加策略Trust--Untrust区域,并且启用FTP服务
<USG6000V1>dis firewall server-map
2023-03-24 08:46:08.610
Current Total Server-map : 1
Type: ASPF, 100.1.1.2 -> 10.1.1.3:2060, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:08
Vpn: public -> public
<USG6000V1>dis firewall session table
2023-03-24 08:48:54.870
Current Total Sessions : 5
ftp VPN: public --> public 10.1.1.3:2059 +-> 100.1.1.2:21
ftp VPN: public --> public 10.1.1.3:2050 +-> 100.1.1.2:21
ftp VPN: public --> public 10.1.1.3:2056 +-> 100.1.1.2:21
ftp VPN: public --> public 10.1.1.3:2052 +-> 100.1.1.2:21
tcp VPN: default --> default 192.168.10.100:52618 --> 192.168.10.101:8443
Untrust区域
Ttrust区域
源NAT实验
部署NAT地址转换策略
利用Wireshark 抓包观察被转换的地址
server NAT实验
Untrust区域访问DMZ区域
DMZUntrust区域区域
Untrust区域
服务器映射
部署安全策略 服务类型为HTTP
查看防火墙server-map表项 的NAT server 地址的转换
<USG6000V1>dis firewall server-map
2023-03-24 10:10:32.090
Current Total Server-map : 1
Type: Nat Server, ANY -> 100.1.1.112:80[10.1.2.2:80], Zone: untrust , protoc
ol:tcp
Vpn: public -> public
内双向NAT实验
Untrust区域---Ttrust区域
安全策略
trust区域
Untrust检测外网访问内网服务
此时,要实现内网访问,需要部署域内双向NAT服务
部署双向NAT策略
原地址池
目的地址池
检测访问内网
双机热备实验
基本配置
SW1
[SW1]vlan 20
[SW1]vlan 30
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 10.1.1.1 24
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 10.1.2.1 24
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 30
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 30
[SW1]ip route-static 0.0.0.0 0 10.1.2.254
SW2
[SW2]vlan 20
[SW2]vlan 30
[SW2]interface Vlanif 20
[SW2-Vlanif20]ip address 100.1.2.1 24
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2]interface Vlanif 30
[SW2-Vlanif30]ip address 100.1.1.1 24
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 30
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 30
[SW2]ip route-static 0.0.0.0 0 100.1.1.254
FW1部署
静态路由
FW2部署
静态路由
防火墙主设备
防火墙备用设备