防火墙知识点

小黑#

已于 2023-03-23 00:48:22 修改

阅读量333

点赞数

文章标签：安全 Powered by 金山文档

于 2023-03-23 00:45:59 首次发布

本文链接：https://blog.csdn.net/m0_72333437/article/details/129722131

版权

防火墙如何处理双通道协议？

双通道协议指控制层流量和数据层流量不在同一个端口，比如FTP的主动模式，登录使用21端口，然后沟通一个随机端口进行数据传输，在状态防火墙中，无法得知协议沟通得到的端口，所以无法放行数据层的流量。

这就需要另一个协议ASPF（应用层报文过滤），该协议可以读取指定协议的协商端口的报文，并将协商出的端口加入server-map表，用来放行流量，相当于创建了一条临时的安全策略。

ASPF(针对应用层的包过滤)：也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”。

ASPF对多通道协议的支持：创建Server-map→匹配Server-map（存在时间很短）

防火墙如何处理nat

华为防火墙收到报文后，查找NAT Server生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤4处理，如果报文没有匹配到Server-Map表，则进行步骤2处理

查找基于ACL的目的NAT，如果报文符合匹配条件，则转换报文的目的地址，然后进行步骤4处理，如果报文不符合基于ACL的目的NAT的匹配条件，则进行步骤3处理

查找NAT策略中目的NAT，如果报文符合匹配条件，则转换报文的目的地址后进行路由处理，如果报文不符合目的NAT的匹配条件，则直接进行路由处理

根据报文当前的信息查找路由（包括策略路由），如果找到路由，则进入步骤5处理，如果没有找到路由，则丢弃报文

查找安全策略，如果安全策略允许报文通过且之前并未匹配过NAT策略（目的NAT或者双向NAT），则进行步骤6处理，如果安全策略允许报文通过且之前匹配过双向NAT，则直接进行源地址转换，然后创建会话并进入步骤7处理，如果安全策略允许报文通过且之前匹配过目的NAT，则直接创建会话，然后进行步骤7处理，如果安全策略不允许报文通过，则丢弃报文

查找NAT策略中源NAT，如果报文符合源NAT的匹配条件，则转换报文的源地址，然后创建会话，如果报文不符合源NAT的匹配条件，则直接创建会话

华为防火墙发送报文

防火墙支持哪些NAT技术，主要应用场景是什么？

源NAT --- 内网主机访问外网主机

server NAT --- 外网主机访问内网服务器

域间双向NAT --- 解决内网服务器没有外网路由的问题

域内双向NAT --- 内网PC以公网形式访问内网服务器

双出口NAT --- 当同时连接电信宽带和联通宽带时（把路由与NAT转换通过下一跳做关联）

当内网PC通过公网域名解析访问内网服务器时，会存在什么问题？

服务器会通过内网直接给PC回包，不会经过公网

解决办法是做域内双向NAT --- 转换前PC访问一个公网IP（100.1.1.100），转换后再由另一个公网IP（100.1.1.200）去访问内网服务器，回包时服务器也会回给100.1.1.200，再转换为100.1.1.100，然后发给PC

防火墙使用VRRP实现双机热备时会遇到什么问题？如何解决

（1）当主防火墙挂了，虽然通过VRRP流量能够转移到通向备用防火墙的链路，但是流量无法穿过备用防火墙。流量切下来后，备用防火墙不能建立对应会话表，因为会话表的建立是要依靠于流量的第一个包（会话表首包建立）。不能建立会话表，流量就不能通过备用防火墙。

（2）当流量从主防火墙穿越访问到对端，但对端回包时走备用防火墙。这时回去的包肯定不是首包，不能建立会话表，所以不能通过备用防火墙。

（3）当主防火墙的下行链路断开时，VRRP理应将流量切到下面关于备用防火墙的链路上，假设流量能通过防火墙到达对端终端，那么对端回包时，该流量应该也是走关于备用防火墙的链路。但是两个防火墙的会话状态没有同步，两边的VRRP没有进行同步，所以该流量会走主防火墙。

所以当一个防火墙的一边的链路断掉了，那么另外一边也要进行切换，两边的VRRP必须同步状态，成为"一致行动人"。

防火墙支持哪些接口模式，一般使用在哪些场景?

路由模式 --- 以第三层对外连接（接口具有IP 地址）

交换模式 --- 通过第二层对外连接（接口无IP 地址）

旁路模式 --- 该接口一般用于接收镜像流量，向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任务。

接口对模式 --- 加快接口的转发效率（不需要查看MAC地址表)

什么是IDS？

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测

IDS和防火墙有什么不同？

IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

IDS的工作原理是什么？

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

IDS的主要检测方法有哪些?

异常检测之完整性分析:

完整性分析对象->文件 / 目录 / 任意数字资源->例如：文件和目录的内容及属性

完整性分析方法->建立完整性分析对象在正常状态时的完整性签名

完整性分析匹配->匹配签名值是否发生改变->若发生改变，则认定目标对象被入侵篡改

常见异常检测算法:基于特征选择异常检测。基于贝叶斯推理异常检测·基于贝叶斯网络异常检测·基于神经网络异常检测。基于贝叶斯聚类异常检测

误用检测之模式匹配:

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式规则集进行比较，从而发现违反安全策略的行为

入侵模式的表示方法:

一个过程（如执行一条指令)

一个输出（如获得权限)

入侵模式的匹配过程

字符串匹配：精确匹配、模糊匹配

状态机迁移序列匹配

常用误用检测算法

基于条件概率误用检测

基于专家系统误用检测

基于状态迁移误用检测

IDS的部署方式有哪些？

直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点

单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS

旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御

IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS签名：入侵防御签名用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器中为这些签名统一设置新的动作，操作非常便捷。

签名过滤器的作用：由于设备长时间工作，累积了大量签名，需要对其进行分类，没有价值会被过滤器过滤掉。起到筛选的作用。