**
1.详细描述防火墙安全策略匹配原则和流程?
**
答:
匹配原则:
首包流程,做安全策略过滤,建立新会话列表—>未命中会话列表执行首包流程—>命中会话列表执行后续包流程
【首包流程做安全策略匹配,后续包(已通过会话包检查的)流程不做安全匹配(满足会话表要求)】
匹配流程:
1)匹配条件:
流量进防火墙,匹配源安全区域,目的安全区域,源地址,目的地址,用户,服务,应用,时间段等
第一条不满足,匹配第二个条,如果还不满足,继续,如果都不满足,禁止
匹配到某一条
服务:源端口号,目的端 口号
2)动作:允许(permit),禁止(deny)
3)配置文件:
匹配到文件某条过滤没通过的,pass掉,数据同样被丢弃
只有配置文件每一条都通过,才到达对端
2.总结源NAT地址池转换方式?
答:
1)不带端口转换的地址池方式
一对一的ip地址的转换,端口不进行转换(只针对ip转换)。NAT地址池中可以包含多个公网地址。
2)带端口转换的地址池方式
将不同的内部地址映射到同一公有地址的不同端口上,转换时同时转换地址和端口,即可实现多个私网地址共用一个或多个公网地址的需求。实现多对一地址转换。NAT地址池中可以包含一个或多个公网地址。
3.总结为什么要有域间双向NAT,如何实现的?
答:为简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。
当配置NAT Server时,服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置,避免配置到公网地址的路由,则可以对外网用户的源IP地址也进行转换,转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发给网关,即设备本身,由设备来转发回应报文。
实现:NAT Server+源NAT
内网服务器dmz区域;外网intnet用户untrust区域
1)外网用户访问内网服务器时,目的地址是防火墙对外公网地址
防火墙进行地址转化,将目的地址变为内网服务器地址
2)内网服务器回复外网时,由于没有公网路由,需要先添加地址
4.防火墙双机热备实验
实验要求如下:
创建两个VRRP备份组,trust区域vrid为1,untrust区域vrid为2,防火墙之间启用HRP备份,IP地址规划如下:
配置命令(粘贴命令)
**
1.配置ip地址
**
FW1
[FW1]interface g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.2.1 24
[F
最低0.47元/天 解锁文章
261
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
