目录
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
1.防火墙如何处理双通道协议?
双通道协议指控制层流量和数据层流量不在同一个端口,比如FTP的主动模式,登录使用21端口,然后沟通一个随机端口进行数据传输,在状态防火墙中,无法得知协议沟通得到的端口,所以无法放行数据层的流量。
这就需要另一个协议ASPF(应用层报文过滤),该协议可以读取指定协议的协商端口的报文,并将协商出的端口加入server-map表,用来放行流量,相当于创建了一条临时的安全策略。
ASPF(针对应用层的包过滤):也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过 检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据 通道的报文,相当于自动创建了一条精细的“安全策略”。
ASPF对多通道协议的支持:创建Server-map→匹配Server-map(存在时间很短)
2. 防火墙如何处理nat?
在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生 成传输进程返回的nat映射。
ALG Application Level Gateway 应用网关,用来处理上述应用层数据在NAT场景转换问题。 这也是导致交换机一般没有nat的主要原因。
ALG 在nat会 抓包,生成一个返回的映射,重新算校验
三层交换机和路由器的区别:
看有无nat技术
三层交换机 nat的活很重,没有特殊的硬件支撑,内存和cup能力是比较薄弱的
路由器:内存大,cup能力强。
nat其实就是对数据包做一次大的手术,地址的转换,校验重新计算,多通道协议的分析,动态生成一个返回的映射,工作繁重。
3. 防火墙支持那些NAT技术,主要应用场景是什么?
源NAT 主要应用于私网用户访问公网的场景
server nat 主要应用于公网用户访问私网服务的场景
域间双向NAT 双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景。
域内双向NAT 内网PC以公网形式访问内网服务器
双出口NAT 当同时连接电信宽带和联通宽带时(把路由与NAT转换通过吓一跳做关联)
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
服务器会通过内网直接给PC回包,不会经过公网
解决办法是做域内双向NAT --- 转换前PC访问一个公网IP(100.1.1.100),转换后再由另一个公网IP(100.1.1.200)去访问内网服务器,回包时服务器也会回给100.1.1.200,再转换为100.1.1.100,然后发给PC
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
(1)当主防火墙挂了,虽然通过VRRP流量能够转移到通向备用防火墙的链路,但是流量无法穿过备用防火墙。流量切下来后,备用防火墙不能建立对应会话表,因为会话表的建立是要依靠于流量的第一个包(会话表首包建立)。不能建立会话表,流量就不能通过备用防火墙。
(2)当流量从主防火墙穿越访问到对端,但对端回包时走备用防火墙。这时回去的包肯定不是首包,不能建立会话表,所以不能通过备用防火墙。
(3)当主防火墙的下行链路断开时,VRRP理应将流量切到下面关于备用防火墙的链路上,假设流量能通过防火墙到达对端终端,那么对端回包时,该流量应该也是走关于备用防火墙的链路。但是两个防火墙的会话状态没有同步,两边的VRRP没有进行同步,所以该流量会走主防火墙。
所以当一个防火墙的一边的链路断掉了,那么另外一边也要进行切换,两边的VRRP必须同步状态,成为"一致行动人"。
6. 防火墙支持那些接口模式,一般使用在那些场景?
路由模式 --- 以第三层对外连接(接口具有IP 地址)
交换模式 --- 通过第二层对外连接(接口无IP 地址)
旁路模式 --- 该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务。
接口对模式 --- 加快接口的转发效率(不需要查看MAC地址表)
7. 什么是IDS?
IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测
8.IDS与防火墙有什么区别
IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文
9. IDS工作原理?
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
10. IDS的主要检测方法有哪些详细说明?
异常检测之完整性分析:
完整性分析对象->文件 / 目录 / 任意数字资源->例如:文件和目录的内容及属性
完整性分析方法->建立完整性分析对象在正常状态时的完整性签名
完整性分析匹配->匹配签名值是否发生改变->若发生改变,则认定目标对象被入侵篡改
常见异常检测算法:基于特征选择异常检测。基于贝叶斯推理异常检测·基于贝叶斯网络异常检测·基于神经网络异常检测。基于贝叶斯聚类异常检测
误用检测之模式匹配:
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式规则集进行比较,从而发现违反安全策略的行为
入侵模式的表示方法:
一个过程(如执行一条指令)
一个输出(如获得权限)
入侵模式的匹配过程
字符串匹配:精确匹配、模糊匹配
状态机迁移序列匹配
常用误用检测算法
基于条件概率误用检测
基于专家系统误用检测
基于状态迁移误用检测
11. IDS的部署方式有哪些?
-
直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
-
单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
-
旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
12. IDS的签名是什么意思?签名过滤器有什么作用?例
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文
1635
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
