防火墙的基础知识——第二天

1.防火墙都支持哪些NAT？？分别说明

NAT是一种地址转换技术，可以以将IPv4的报文头中的地址转换为另一个地址；NAT技术可以将IPv4报文头中的私网地址转换为公网地址，可以让私网区域的用户使用到少量的公网地址。
NAT类型
根据转化的方式不同，NAT被分为了三类：
1.源NAT——源地址转换的NAT
源NAT转换的内容是源IP地址，他分为两类，分别是地址池方式和出接口方式：
a.地址方式：
转换源IP同时也可以选择转换端口或者不转换；采用地址吃中的公网地址为私网用户进行地址转换，使用于大量私网用户访问Internet的场景。
b.出接口地址方式：
转换源IP地址和端口；内网之际直接借用公网接口的IP地址访问Internet，特别适用于公网接口IP地址是动态获取的情况
2.目的NAT——将目的地址做转换
使用于修改去往google、dns的流量到国内dns的流量
3.双向NAT——又做了源地址的转换，又做了目的地址的转换

NAT地址池：用NAT转换时候哟关于分配公网的IP地址范围，进行转换的时候，设备会从该地址池中选择一个地址，用于替换报文的源IP地址

NAT技术
1.No-PAT：
这是一种NAT转换时值转换地址，不转换端口，实现私网弟子到公网地址一对一的地址转换方式。在这种方式下，公网地址和私网地址属于一对一转化吧，如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网的时候不会在进行一个NAT的转换，直到地址池中又空闲地址的时候才会进行一个NAT转换
2.NAPT：
这是一种转换的通过是转换地址和端口，实现多个私网地址共用一个或者多个公网地址的转换方式，
3.Easy IP：
Easy IP是一种利用出接口的公网ip地址作为NAt转后的地址，同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景，Easy IP也是一样支持的。
同时Easy IP是不会产生Server-map的并且不需要配置黑洞路由
4.Smart NAT：
Smart NAT是No-PAT方式的一种补充，他是一种可以在No-PAT的NAT模式下，指定某个IP地址预留做NAPT方式的地址转换方式。这种方式适用于平时上网啊用户数量少，公网IP地址数量于同时上网用户数基本相同，但个别时段上网用户数突然增加的场景
5.三元组NAT

三元组包括：源IP、源端口、协议号。为PAT产生srver-map，老化事件内保持不变，并且支持外网主动访问，保障P2P应用，动态端口对外一致性。

三元组NAT是一种转换时候同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。他允许Internt上的用户主动访问私网用户，与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好的共存。

NAT技术
1.域间双向NAT
一般是解决内网服务器没有外网路由的问题
优点：避免了因为路由的原因无法将包放到外网的问题，可以直接将包放到防火墙处，然后实现内外通信
缺点： 如果外网传递的是攻击包的话，因为做了NAT策略破坏了数据包的完整性，造成了内网用户分辨不出来攻击包。
2.域内双向路由
内网用户请求的是同在内网服务器的公网地址，但是返回的时候是服务器的私网地址，此时用户等待IP地址等的是服务器的公网地址，这样造成了返回包的不同，不会被采用
3.双出口NAT
在出口处连接的又两个运营商，此时有两个结构：主备结构和负载结构；我门去往不同服务器就要走不同的路线，此时就会造成数据包出去的时候走的是第一个网段，回来的时候在没有做策略的情况下有可能会转移到第二条路线返回。

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

存在问题
内网用户请求的是同在服务器的公网地址，但是返回的时候是私网地址，这个就造成了收到的与等待的不一致。
解决方案
设置一个域内的双向路由；这样的话内网设备发送包时源IP就是内网设备的IP，目标IP是请求的内网服务器的公网IP，然后在防护墙里面进行了一个NAT转换，将目的IP变成了服务器的内网；而服务器进行回包的时候，所传送到源IP是服务器的私网而目标IP是服务器的公网，在进行防火墙的NAT转换的时候，在相互对调。

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

什么是VRRP
VRRP的中文名叫做虚拟路由冗余协议；虚拟路由冗余模式，用于提高网络可靠性。在主机下一跳设备出现故障时，及时将业务切换到备份设备，保障网络通信的连续性和可靠性。
VRRP的特点
1） IP地址备份（主要功能）
2）最优路径指示
3）最小化不必要的服务器终端
4）广泛的安全性；它可以在多种不同的交互环境中采用不同的安全策略，它只需要极少的配置和开销就可与i进行严格的验证
5）在可扩展网络有效的工作
VRRP双机热备出现的问题

• 来回的路径不同
• 在主机出现问题之后就会切换到备份的防火墙上面，但是会话表存在一个首包机制——绘画比爱哦是首个包建立的，如果它切换到备份防火墙上面，那么久不会建立会话表，这样的就导致了流量无法通过

4.防火墙支持那些接口模式，一般使用在那些场景？

路由模式
当防火墙位于内部网络和外部网络之间时候，需要将防火墙与内部网络、外部网络以及DMZ（服务器）三个区域相连接的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器
交换模式
也可叫做透明模式，在这个接口模式下，可以避免改变拓扑结构造成的麻烦 ，此时防火墙对于子网用户和路由器来说是完全透明的；这种模式对安全性没有影响，但是不能使用NAT、VPN等功能。
接口对模式
接口对模式是一种特殊的二层模式，这个接口是成对出现的，这一对接口之间转发数据不会经过二层的MAC寻址，也就是类似网线的形式转发，速度快
旁路模式
如果只对流量由审计需求，监控和网络行为控制的情况下，可以使用这种技术；它支队流量进行统计、扫描和记录，并不是对流量进行转发。它的接口撞他为交换形态，但是旁路数终端设备，只需要一根网线就可以完成，一般采用端口镜像的方式

端口镜像：通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定的端口来事项网络的监听，指定的端口就叫做镜像端口或目的端口，在不严重影响源端口正常吞吐量的情况下，可以通过镜像端口对网络的流量进行监控分析

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

1）路由器：查看路由器是否出现了什么故障
2）DNS：对DNS进行测试，查看指定的DNS服务器是否正确或者是否指定的有DNS服务器
3）双击热备：对各防火墙使用的VRRP、双机热备是否应用正确