防火墙处理双通道协议以及实现高可靠

已于 2023-04-18 11:44:05 修改
阅读量567 收藏 2
点赞数
文章标签: 网络安全 信息与通信
于 2023-04-18 11:40:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59082856/article/details/130213430
版权

文章目录

防火墙处理双通道协议

多通道协议是控制进程和传输进程使用的端口不同
缺陷:
如果用防火墙策略来进行规则匹配,由于使用的端口不同,所以要使服务正常进行就会导致防火墙的颗粒度过大,匹配不够精细。可能会使防火墙失效
解决方案:
使用ASPF技术可以抓取和分析多通道协议的控制进程的报文,分析出传输进程所使用的详细的网络参数,生成server-map表,放行传输进程的报文
传输进程在匹配到server-map表之后会生成会话表。后续的传输报文就会匹配会话表

ASPF(Application Specific Packet Filter,针对应用层的包过滤)
也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息
并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文
的应用层携带的地址和端口信息,自动生成相应的Server-map表,
用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。

防火墙处理NAT

在路由器上nat针对多通道协议也会项防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生成传输进程返回的nat映射

缺陷:

普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。

例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。

在这里插入图片描述

解决方案:

NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。

NAT ALG为内部网络和外部网络之间的通信提供了基于应用的访问控制,具有以下优点:

  • ALG统一对各应用层协议报文进行解析处理,避免其它模块对同一类报文应用层协议的重复解析,可以有效提高报文转发效率。
  • 可支持多种应用层协议:FTP、H.323(包括RAS、H.225、H.245)、SIP、DNS、ILS、MSN/QQ、NBT、RTSP、SQLNET、TFTP等

防火墙处理报文的顺序是目标地址转换→安全策略→源地址转换,所以在NAT环境中,安全策略的源地址应该是源地址转换之前的地址,目标地址应该是目标地址转换之后的地址
在这里插入图片描述

防火墙支持的NAT类型以及适用场景

源NAT

适用场景: 源NAT是指对报文中的源地址进行转换,通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet

server NAT

适用场景:主要应用于实现私网服务器以公网IP地址对外提供服务的场景

域内双向NAT

适用场景:内网PC以公网形式访问内网服务器 — 通过服务器公网地址访问服务器,内网PC先转换私网地址为公网地址,然后访问服务器。公网地址访问服务器过程就是域内NAT双向转换

解决的问题:

对于域内NAT,是为了内网的用户能通过公网地址访问服务器,如果不做域内NAT,则服务器对内网访问的回应的目标地址则是内网的地址,其数据流不会经过USG,其数据连接也不成功。所以要在USG的安全区域内做域内NAT。使得内网用户通过公网访问服务器,其数据在USG上的目标地址转换为私网服务器地址,源地址转换为公网地址。

域间双向NAT

适用场景:解决内网服务器没有外网路由的问题

双出口NAT

适用场景:使用多个运营商进行通信链路的冗余
缺陷:双出口NAT会出现NAT转换错乱,链路不能正常跳转
解决方案:启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法
原理:就是通过上述手段把路由与NAT转换通过下一跳做了关联,因为防火墙不同于路由器在接口做NAT转换,防火墙在做冗余备份时切换路由但不会切换NAT。
可以理解为防火墙NAT是一种策略,将路由和NAT转换关联,在路由故障切换时将对应的NAT也切换

防火墙实现双机热备

问题1:

防火墙需要检测到链路故障,防火墙检测到链路故障需要进行切换
解决方案:
在上行和下行业务端口都配置VRRP组,实现链路切换
但是两个VRRP组是独立运行的,可能会出现运行状态不一致的情况
由于双机热备导致设备出问题时可能会来回路径不一致,因为主备切换了,所以引入了VGMP来进行VRRP的管理

问题2:

在主备切换后不能继续未完成的会话
解决方案:
使用HRP来同步会话表
状态检测防火墙对于每一个会话连接都有一个会话表项与之对应,主用设备处理业务过程中创建了很多动态会话表项,而备用设备没有流量经过,因此没有创建会话表。如果备用设备切换为主用设备前,会话表项没有备份到备用设备,则会导致先前经过主用设备的业务流量因为无法匹配会话表而中断。为了实现主用备用设备平滑切换,必须在主用和备用设备之间备份关键配命令和会话表状态信息,为此防火培引入了HRP ( Huawei Redundancy Protocol) 协议,实现防火墙双机之间动态状态数据和关键配置命令的实时备份。在双机热备组网中,指定心跳线作为专门的备份通道,用于备份配置命令和状态信息。
在这里插入图片描述

防火墙支持的接口模式

1、路由模式
适用场景:防火墙的接口三层路由接口的形式参与组网 。
2、交换模式
适用场景:防火墙的接口二层交换接口的形式参与组网。
3、接口对模式
适用场景:
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。相当于一根虚拟网线。
4、旁路模式:
旁路模式的接口也是二层的交换机接口,该接口一般用于接收镜像流量,向主机一样旁观在设备上。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS ,审计,流量分析等任 务,功能是最少的。

m0_59082856
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙-多通道协议与Server-map表项.docx
09-06
防火墙-多通道协议与Server-map表项.docx
华三F100 系列防火墙 - 浮动路由联动NQA 实现线路自动切换
weixin_30892987的博客
07-27 1531
公司 有两条公网线路,一条移动作为日常主用线路,一条联通作为备用线路。 为了实现主备线路自动切换,配置了浮动路由 但浮动路由只能在 主用接口为down状态时才能浮出接管默认路由。如果故障为非物理链路故障,比如光纤异常,光猫损坏等情况下,因为主用线路的接口还是up状态,所以浮动路由永远不会生效,也就失去了其存在的意义。 介于此,使用NQA检测机制,对移动公网网关进行持续的ICMP检测。...
华为防火墙线路故障自动切换
qq_17202735的博客
04-22 4617
背景:因XX项目要求,要求具备一主一备线路,来保证在一条线路出现故障的情况下,能够在短时间内做到自动切换到备用线路,不会影响到项目正常业务。 要求:防火墙主备线路自动切换 防火墙具体操作步骤 1、配置健康检查 这里我设置的是ping公网的地址,可根据自己选择。 配置完成防火墙会跟踪目标地址延迟、抖动、丢包率。可以通过看此反映出线路状态。 2、外网接口调用健康检查 3、设置全局路由选路策略 这里我选择的是根据质量负载分担选路,这样选择的好处是可以根据线路的质量(延迟、抖动、丢包率),...
防火墙的一些主流技术
qq_51563725的博客
09-09 1337
答:个别区域无法上网,说明有些区域是可以上网的,说明只是防火墙的策略问题,我们可以去 检查防火墙的策略,检查防火墙是否放行这个区域的流量,如果策略也配置好还是无法上 网,此时可能是内网某段的路由问题,可以从从终端逐级的ping看能不能通,直至某段不通 说明问题就出现在那,便可以查看路由。接口对:接口对是指两个接口,它有两种模式:一种是流量可以从一个接口只能出不能进,一个能进不能出,还有一个模式是流量可以从一个接口能进能出。
固定端口的socket通信
success_by_choice的balabala
11-14 1767
在多台机器互联的场景下,可能会出现无法通信的情形,可能原因有:代码出错,地址出错,防火墙。对于防火墙的命令,后面会提及。 对于前两种错误debug就可以解决。如果这两种情况都不是,那么极有可能是防火墙的问题,我们可以通过wireshark来抓包进行分析。在wireshark抓包中,我们看到当fedora作为服务器接受到客户端的请求之后,给主机发回的信息会被host administratively
华为防火墙接口类型
weixin_46503909的博客
03-19 5939
防火墙接口类型  物理接口 1) 防火墙支持的接口可以是二层接口或者三层接口 2) 二层接口:portswitch 3) 三层接口:undo portswitch  逻辑接口 1) VT(virtual template)接口、dialer接口 2) tunnel接口、null接口 3) vlanif接口 4) 三层以太网子接口 5) Eth-Trunk接口、loobacp接口 防火墙的Eth-trunk  优点: 1) 本质是要提链路的带宽 2) 可靠性(LACP协
【CyberSecurityLearning 21】防火墙
_Co1a
02-23 2791
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、级应用—机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙
性能可靠扩展性分布式防火墙架构
02-27
技术含量不断提,都要求有一个可靠性、质量和安全性的网络来承载,支撑由此带来的网络流量、管理控制、交换传输的复杂变化对网络的新要求,并保证网络以及信息系统的安全。为了满足上述信息系统安全需求,...
华为防火墙如何为基础协议开放安全策略
09-16
如何为基础协议开放安全策略
华为防火墙如何为管理协议开放安全策略
09-16
如何为管理协议开放安全策略
华为防火墙企业出口专线,配置策略路由实现多个ISP出接口的智能选路和向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
你知道VGMP、VRRP和HRP之间的区别是什么吗
最新发布
qq_40427481的博客
08-21 832
HRP适用于对路由器冗余要求较的大规模企业网络,尤其在与华为设备结合使用时,能够实现效的冗余备份。VGMP、VRRP和HRP作为常见的冗余协议,适用于不同规模和要求的网络环境。选择适合自己网络特点和需求的协议,合理配置和管理,将有助于确保网络的持续运行和效工作。无论是企业网络还是数据中心,了解这些冗余协议的区别与应用,都是网络管理员和技术从业者不可或缺的知识。HRP:支持多主备模式的冗余协议,适用于大规模企业网络,特别是与华为设备配合使用时。HRP:多个路由器充当主节点和备用节点,实现多主备模式。
防火墙基础学习
m0_50488257的博客
03-24 5407
防火墙的最基本的功能作用:区域隔离和访问控制 状态检测:防火墙转发流量时,产生会话表,返回流量如果有会话表,直接根据会话表返回。 路由器的acl是向的,要么是同时通,或者同时不通。 华为防火墙,默认情况下,不同区域的接口默认就是不通的,同一个安全域内部之间是互通的,防火墙的安全策略默认情况控制单播流量【比如ospf,BGP,DHCP等列外也不受控制】,对组播和广播流量不做控制直接放行(也可对组播流量做控制),想让不同区域之间通讯,需要专门做策略放行。特殊情况:抵达华为防火墙自身的Telnet、SS.
防火墙为什么要对多连接协议进行特殊处理
cxw06023273的博客
01-10 491
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: [email protected] 来源:http://yfydz.cublog.cn [code="java"]1. 多连接协议 所谓多连接协议是指在协议完成过程中,除了一个主的通信通道(主连接)外,还会动态打开一些通道(子连接)进...
网络防火墙单向和向_软考网络工程师之网络操作系统NOS(Windows操作系统)
weixin_39677203的博客
11-18 1230
1、网络通信的系统功能调用Socket套接字,unix称之为socket,windows称之为winsock,套接字由协议、IP、端口号组成RPC远程过程调用2、文件系统VFAT虚拟文件分配表,FAT32单个文件最大尺寸4GBNTFSEXT3DFS分布式文件系统NFS网络文件系统Windows操作系统域域domain是windows网络操作系统的逻辑组织单元,是活动目录AD最核心的管理单位和复制单...
华为防火墙基础操作
斜尘的博客
07-23 6855
一、交代背景 做过一段时间的售后实施,发现防火墙设备上架真的很简单,但是对于没有入门的人来说也会有一定的不理解,初次上线我到底该做什么呢? 这个也是我当初开始做的时候的问题,当然了,初始都是利用web界面去操作,但是界面上面那么多的内容,哪些是我该做的呢? 某年某月的有一天,我信心满满的web界面一顿操作,然后客户来了,说我不喜欢web,你给我看配置,这就尴尬了,配置我不会,只知道点点点,怎么杜绝...
华为防火墙向NAT
qq_47529104的博客
03-20 4033
案例1 如图所示,主机1与主机2之间处在同网段,且主机1与主机2之间通过交换机一般来说是可以正常进行二层通信的,且其通信流量不通过防火墙,如若主机2是一台服务器,主机1是一台内网的主机,这时我们不能确定主机1访问服务器的流量是健康的,所以我们希望将主机1的流量进行引流至防火墙,借助防火墙实现流量的阻拦和检查。 实现 我们将内网的服务器的IP地址借助nat server隐藏起来,虽然主机1和主机2之间已经处在内网,但是我们同样可以向其他主机宣告,服务器的IP地址是nat server后的IP地
防火墙热知识【附带三种NAT和机热备实验】
weixin_62107875的博客
09-11 1387
1.防火墙支持那些NAT技术,主要应用场景是什么? 2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明 3.防火墙使用VRRP实现机热备时会遇到什么问题,如何解决?详细说明 4.防火墙支持那些接口模式,一般使用在那些场景? 5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因? NAT演示实验包括源NAT、server nat、域内向NAT、域间向NAT,以及机热备实验
局域网的socket通讯与防火墙
peteryxk的专栏
06-04 6136
  局域网的socket通讯与防火墙   昨天同事写了一个socket通讯程序。很简单,server端在7000端口监听,client端连接后,server向client发送一个字符串,client在收到该字符串后,再向server反馈一个消息。整个通讯过程结束。    Server和client在同一台机器时,整个通讯过程能够很顺利的完成。问题是,server和client在不同的机
建立核心交换机以及出口防火墙的具体原因
05-24
建立核心交换机和出口防火墙的主要原因是提网络的可靠性和安全性。 核心交换机指的是在网络中设置两个核心交换机,并将它们通过堆叠或链路聚合技术进行互联。这样,在其中一个核心交换机发生故障时,另一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值