关于防火墙的这些问题，你知道多少？

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

1.优点

首包机制
检查的颗粒度细
速度快

2.缺点

状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

三、防火墙如何处理双通道协议

ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则，开启ASPF功能后， FW 通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”。ASPF是针对应用层的包过滤。

在多通道协议中，如FTP，控制通道和数据通道是分开的。数据通道是在控制报文中动态协商出来的。为了避免协商出来的通道不因其他规则的限制（如ACL）而中断，需要临时开启一个通道，ServerMap表就是为了满足这种应用而设计的一种数据结构。

从图中可以看出，ServerMap表项是对FTP控制通道中动态监测过程中产生的。当报文通过防火墙时，ASPF将报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文将被直接丢弃。

如果该报文时用于打开一个新的控制连接或数据连接，ASPF将动态的产生ServerMap表项，对于回来的报文只有是属于一个已经存在的有效连接才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能穿过防火墙。

ServerMap是一种映射关系，当数据连接匹配了动态ServerMap表项时，不需要再查找包过滤策略，保证了某些特殊应用的正常转发。
ServerMap通常只是用来检查首个报文，通道建立后的报文还是根据会话表来转发。

四、你还了解哪些防火墙，以及其技术分类

包过滤防火墙访问控制列表技术三层技术

简单，速度快
检查的颗粒度粗

应用代理防火墙中间人技术应用层

通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

代理技术只能针对特定的应用来实现，应用间不能通用。
技术复杂，速度慢
能防御应用层威胁，内容威胁

状态检测防火墙会话追踪技术网络层、传输层

能够提供状态数据包检查（ stateful packet inspection ，缩写为 SPI ）或状态查看（ stateful inspection ）功能的防火墙，能够持续追踪穿过这个防火墙的各种网络连接（例如 TCP 与 UDP 连接）的状态。

这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。

在包过滤（ ACL 表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。

首包机制
检查的颗粒度细
速度快

下一代防火墙（UTM升级版）

下一代防火墙，即 Next Generation Firewall ，简称 NG Firewall ，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎， NGFW 能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

2008 年 Palo Alto Networks 公司发布了下一代防火墙（ Next-Generation Firewall ），解决了多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。2009年 Gartner （一家 IT 咨询公司）对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。

Gartner 把 NGFW 看做不同信任级别的网络之间的一个线速（ wire-speed ）实时防护设备，能够对流量执行深度检测，并阻断攻击。 Gartner 认为， NGFW 必须具备以下能力：

1.传统防火墙的功能

NGFW 是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状态检测、 NAT 、 VPN 等。

2. IPS 与防火墙的深度集成

NGFW 要支持 IPS 功能，且实现与防火墙功能的深度融合，实现 1+1>2 的效果。 Gartner 特别强调 IPS 与防火墙的“集成”而不仅仅是“联动”。例如，防火墙应根据 IPS 检测到的恶意流量自动更新下发安全策略，而不需要管理员的介入。换言之，集成 IPS 的防火墙将更加智能。 Gartner 发现， NGFW 产品和独立 IPS 产品的市场正在融合，尤其是在企业边界的部署场景下， NGFW 正在吸收独立 IPS 产品的市场。

3.应用感知与全栈可视化

具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是 NGFW 引进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。 NGFW 能对七层检测，可以清楚地呈现网络中的具体业务，并实行管控。

4.利用防火墙以外的信息，增强管控能力

防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全策略。例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下， IP 地址变化带来的管控难题。

五、防火墙如何处理NAT

1.根据转化方式的不同，NAT可以分为三类：

1）源NAT，源地址转化的NAT。

有：NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT

2）目的NAT：将目的地址做转化。

有：NAT-Server， SLB

3）双向NAT：即做源地址转化，又做目的地址转化

2.NAT策略分类，以及应用场景

1）NAT No-PAT
NAT No-PAT类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下

2）NAPT
NAPT （Network Address and Port Translation，网络地址和端口转换）类似于Cisco的PAT 转换，NAPT既转换报文的源地址，又转换源端口，转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网IP地址可用的场景下

3）Easy-IP
出接口地址（Easy-IP）因其转换方式非常简单，所以也称为Easy-IP，和NAPT一样，既转换源IP地址，又转换源端口，区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标

4）Smart NAT
Smart NAT（智能转换）通过预留一个公网地址进行 NAPT 转换，而其他的公网地址用来进行NAT No-PAT转换，其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT No-PAT转换，但是偶尔会出现上网用户倍增的情况下

5）三元组NAT
三元组NAT是与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题，其主要用于外部用户访问局域网用户的一些P2P应用

3.NAT策略组成

NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成

地址池类型包括源地址池（NAT No-PAT、NAPT、三元组NAT、Smart NAT）和目的地址池，根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式。
匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出接口、服务、时间段，根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换。
动作包括源地址转换或者目的地址转换，无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。

4.NAT匹配规则

如果创建了多条NAT策略，设备会从上到下依次进行匹配，如果流量匹配了某个NAT策略，进行NAT转换后，将不再进行下一个NAT策略的匹配，双向NAT策略和目的NAT策略会在源NAT策略的前面，双向NAT策略和目的NAT策略之间按配置先后顺序排列，源NAT策略也按配置先后顺序排列，新增的策略和被修改NAT动作的策略都会被调整到同类NAT策略的最后面，NAT策略的匹配顺序可根据需要进行调整，但是源NAT策略不允许调整到双向NAT策略和目的NAT策略之前。

5.NAT处理流程

FW收到报文时，首先检查报文是否匹配Nat Server或者目的Nat，以便得出报文要去往的目的地址，从而匹配对应的路由。如果存在对应的路由，则检查安全策略是否放行，如果安全策略放行，FW会根据是否配置有源Nat，来决定是否转换报文中的源地址，最后放行报文。

即：目的NAT处于匹配安全策略之前，源NAT处于匹配安全策略之后。

七、当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明。

路由回流：当用路由器、防火墙等设备将内网服务器发布到公网上，供外网用户访问的过程中出现的一种现象，就是你发现web服务器已经成功发布了，外网用户能够成功访问，但内网用户确无法访问到web服务器。

造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT（也被称作源地址转换）和端口映射（也被称为目标地址转换）造成的。

解决办法：在防火墙上做NAT域内双向转换，强制使服务器回包是从公网回而不是从内网回。

八、防火墙的双机热备需要用到哪些技术？详细说明。

防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备技术：VRRP。

关于华为防火墙的双机热备技术：HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。

两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备。

HRP是华为的冗余备份协议，Eudemon防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

VGMP（vrrp group management protocol ）是VRRP的组管理协议，同样VGMP协议也是华为私有的协议。

在使用vrrp实现双机热备的时候遇到的问题有：

主设备出现问题在切换为备设备时，主设备通过首包机制建立会话表；而备设备无首包，会话表无法建立。可以通过关闭状态检测机制解决。

通过VGMP管理多个VRRP，保持左右两边防火墙动作一致。