一、根据以下问题总结当天课程:
1.防火墙支持那些NAT技术,主要应用场景是什么?
域间双向转换
一般是解决内网服务器没有外网路由的问题
注意点
nat策略 把握住转换前数据包原木地址是什么以及转换后源目地址是什么
安全策略 把握住在没有做nat时 应该放行的数据参数 就是做完nat 后应该放行的数据
域内双向转换
当内网PC以公网形式访问内网服务器时,需要用到
私网用户与内部服务器在同一安全区域同一网段时,私网用户希望像外网用户一样,通过公网地址来访问内部服务器的场景。
目的:由于私网用户与死亡服务器被规划到同一个网络中,为了提高内部网络的安全性,使私网服务器的回应报文也经过防火墙,就需要配置域内NAT。
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
这台PC在在输入内网服务器的域名后,经过域名解析 通过防火墙访问服务器的IP地址,
当服务器收到这个报文后,因为源IP 是PC主机的,就会发送下一个状态报文,通过内网直达PC主机,这时候就出现了三角环路,PC不接受这个报文
解决办法:
在防火墙上面做一个域内双向策略,因为PC访问内网服务器的流量经过防火墙,就把这一经过的流量的源IP地址映射为防火墙出接口IP段内的一个地址,这样服务器收到报文后,因为源IP 不在内网之内,所以回复的报文不经过内网到达PC,而是经过防火墙到达PC
- 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
当PC的一段数据的首包经过防火墙后,这时候防火墙突然挂掉了,PPC后面的数据会走备份的防火墙,单此时,PC发送给防火墙的数据已经不是首包了,防火墙的会话表就不会记录
解决办法: 关闭流量检测,使用非首包建立会话表
- 防火墙支持那些接口模式,一般使用在那些场景?
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
一般是发送包和回复包流向不一致 ,追踪一下发送包和回复包的流向,实现放行
- 复现当天课程中的NAT演示实验包括源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验
在原来的拓扑结构上面继续做策略
域间双向策略
新建nat策略
写一个去往DMA的安全策略
启动HTTP 服务,用客户端测试
域内双向转换
在172.16.2.0 内网段加一台服务器
IP地址配置为 172.16.2.3
把g0/0/4 的接口类型改为access 并且 属于vlan2
做域内nat策略
安全策略
然后用客户端 测试一下
抓包
进行了域内的转换
基于静态的双机热备份
在原来的拓扑结构上面新增一个防火墙 连线如图
Sw 2 的g0/0/4的接口 设置为 access 属于vlan 10
对防火墙的 g0/0/0 口配置的IP地址为 19.168.219.3 /24
开启该接口的服务管理
将fw1 fw2 上面的g1/0/5 和g1/0/6 接口做一个链路聚合 并配置同网段的地址
对两台防火墙中间的心跳线 做放行策略
建立一个新的 区域叫hrp 将聚合链路放进去
对hrp区域做一个策略
接着是配置热备份防火墙
Fw1 也做一下热备份
做好之后 双方进行一致性检查 并同步状态
挂掉防火墙的g1/0/0 接口观察主备份 切换情况
切换完成
扫一扫
272
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
