1、防火墙如何处理双通道协议?
防火墙使用ASPF处理双通道协议,ASPF可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,防火墙通过协商报文的应用层携带的地址和端口信息,自动生成响应的server-map表,用于放行后续建立数据通道报文,相当于自动创建了一条精明的“安全策略”。
2、防火墙如何处理nat?
首先通过acl抓取路由,再在端口上设置nat,最后通过端口识别,将nat的非标准协议端口映射成可识别的应用协议端口。
3、 防火墙支持那些NAT技术,主要应用场景是什么?
(1)源NAT — 内网主机访问外网主机
(2)server NAT — 外网主机访问内网服务器
(3)域间双向NAT:
一般是解决内网服务器没有外网路由的问题
注意点:
NAT策略: 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么
安全策略: 把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数
(4)域内双向NAT:
内网用户请求的是同在内网服务器的公网地址,但是返回时是服务器的私网地址。
此时用户等待的IP地址却是服务器公网地址,返回的IP地址不同,此时的数据包不会被采用。
去的适合用防火墙,回来使用内网。
当内网PC以公网形式访问内网服务器时,需要用到域内NAT转换:
在防火墙处服务器回包时:源IP=私网IP,目的IP=公网IP
在防火墙NAT转换后:源IP=公网IP,目的IP=客户端私网IP
(5)出口NAT:
如果在出口连接的处存在两个运营商,此时有两个结构:主备结构、负载结构。我们去往不同服务器就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一条网段线路,回来的时候在没有做策略的情况下有可能会转移到第二条线路返回。如此导致不同运营商的路线不同回来后转换的ip也会不同。
在以上情况我们就需要设置域内双出口NAT解决。即写两个NAT,双出口会出现NAT转换错乱
解决方案:
启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法。
4、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明。
客户端使用公网ip【源地址为客户端内网地址】去访问服务器时,服务器会直接使用内网的ip通过内网路由给客户端回包。此时客户端收到的回包是内网的ip,但是客户端访问的是服务器是要外网公网ip回的。那么就会将数据包丢弃。
解决服务器回包使用内网ip地址问题
使用域内双向NAT解决问题:
将原数据包的源地址改为公网ip地址,目的地址由公网ip改为服务器的内网地址。如此服务器收到的包源ip就是公网ip,如此回包就会使用公网ip地址。内网客户端就不会丢弃ip回包。
5、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明。
当数据包回程不一致时,由于备用防火墙缺失会话表(首包机制)导致数据包不能通过。
解决方法:
(1)使用HRP(华为双机热备协议)解决同步问题,将主的动态数据和关键命令进行备份。使同步共享了信息避免了首包机制的问题。
(2)使用VGMP解决一致行动问题,进行统一管理,有抢占管理的功能。
(3)关闭状态检测机制,使非首包也能建立会话表。
最低0.47元/天 解锁文章
838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
