一、NAT ALG
ALG(Application Level Gateway,应用层网关)用来处理上述应用层在nat转换场景转换问题。其作用之一就是观测多通道协议的协商包。
普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如FTP、TCP/UDP等载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。
而NAT ALG技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。
防火墙的具体解决方案:
- 创建一个nat
- 创建server-map隐形通道
二、双机热备
双机热备份技术产生的背景:当内部用户和和外部用户的交互式报文全部通过防火墙A。如果防火墙A出现故障,则内部网络中所有以防火墙A作为默认网关的通讯将会中断,通讯可靠性无法保证。为了防止一台设备出现意外故障而导致网络中断业务中断,可以采用两台防火墙形成双机备份。
1、解决方案1:VGMP
(1)VRRP在多区域防火墙组网中的应用
为了防止多个区域提供双机如被功能时,需要在每一台防火墙上配置多个VRRP备份组。
(2)VRRP在防火墙中应用的缺陷:
使用传统的VRRP方式无法实现主、备防火墙状态信息和多组VRRP状态的一致性。
(3)VGMP的基本原理
为了保证所有的VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP组协议管理协议)来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP备份组的状态,来保证管理组内的所有VRRp备份状态都是一致的。
防火墙VGMP组状态分为三类:load-balance负载均衡 Active、standy。
防火墙VGMP组通过发送VGMP报文通告自身的运行状态,从而根据hello优先级决定主备设备,主设备VGMP组的状态为Active,备设备的状态为standby;当防火墙上的VGMP组为Active/standby时,组内的所有VRRP备份组的状态都是Active/standby;当发生故障时,VGMP统一切换到VRRP备份组1与VRRP备份组2的状态。当VGMP组状态为Active时,VRRP备份组的状态都是Master;当VGMP组状态都是backup。
(4)VGMP组管理
状态一致性管理:VGMP管理组控制所有的VRRP备份组统一切换,VRRP备份组加入到管理组后状态不能单独切换。
抢占管理:当原来出现故障的主设备故障恢复时,其VGMP管理组优先级也会恢复,此时可以重新将自己的VGMP管理组状态抢占为主;当VRRP备份组加入到VGMP管理组后,备份组上原来的抢占功能将失效,抢占行为发生与否必须由VGMP管理组统一决定。
通道管理:所谓通道管理,就是为了确定双机热备的两台防火墙之间有哪些接口是可用的,VGMP、HRP模块将自动选用可用接口来发送VGMP、HRP报文。
2、解决方案2:HRP
(1)HRP基本概念
HRP(huawei redundancy protocol)协议,用来实现防火墙双机之间状态信息和关键配置命令的动态备份。
备份方向:
- 支持备份的配置命令默认只能在配置主设备上执行,这些命令会自动备份到备设备上,例如:安全策略配置命令、NAT策略配置命令等。
- 主备备份组网中,只有主备份会处理业务,主设备上生成业务表项,并向备份设备备份。负载均衡分担组网中,两台防火墙设备都会处理业务,都会生成业务表项并向对端设备备份
备份通道:
配置和状态需要网络管理员指定备份通道接口进行备份。一般情况下,在两台设备上直连的端口作为备份通道,有时候也称为“心跳线”。
(2)备份方式
- 自动备份
- 手动批量备份
- 设备重启主备防火墙的配置自动同步
- 会话快速备份
(3)备份内容---设备配置和状态信息
设备配置:
- 策略: 安全策、NAT策略、认证策略、攻击防范和ASPF等;
- 对象: 地址、地区、服务、应用、用户、认证服务器、时间段地址池、URL分类、关键字组、邮件地址组、签名和安全配置文件等;
- 网络: 新建逻辑接口、安全区域、DNS、静态路由(配置hrpauto-sync config static-route后才可以备份)、IPSec和SSLVPN等
- 系统:管理员、虚拟系统、日志配置等。
状态信息:会话表、Sever-map表、黑白名单、地址映射表、MAC表、用户表、IPSec安全联盟和隧道等。
2730
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
