防火墙与IDS

1. 防火墙如何处理双通道协议？

多通道协议

FTP、RTSP、DNS、MSN

防火墙处理双通道使用的是ASPF技术

     控制进程与传输进程分离：意味着控制进程协议和端口与传输进程协议与端口不一致。

    多通道协议无法用安全策略解决，强行解决会导致安全策略的颗粒度过大，防火墙防御失效。

ASPF技术---多通道协议技术

      可以抓取和分析多通道协议的控制报文并找到传输进程所需的详细网络参数（多通道协议都是通过控制进程报文协商处理传输过程的网络参数）--->生成server-map表

Server-map表 ---根据ASPF分析控制进程特殊报文找到传输进程的参数，生成server-map表，放行传输进程报文。

      传输进程匹配server-map表生成会话表

2. 防火墙如何处理nat？

NAT（Network Address Translation），是指网络地址转换

NAT ALG

       在路由器上NAT针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数报文，进而生成输出进程放回的nat映射，和校验的重新计算。

困境

       某些协议会在应用层携带通信ip，这个IP用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是转三层IP会导致某些协议的通信阶段在nat场景下失败。

nat技术会占用大量的内存

ALG 应用网关用来处理应用层数据在NAT场景转换问题

3. 防火墙支持那些NAT技术，主要应用场景是什么？

源NAT    私网访问公网

目的NAT   公网访问私网

双向NAT    私网地址只能被内部私网地址访问，公网地址想访问该私网地址

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

存在问题：内网服务器会直接通过私网回包，导致来回路径不一致

解决方法：在防火墙使用NAT的域内双向转换

Pc端将离开私网访问处于公网的DNS服务器进行域名解析，解析完成后再通过防火墙将信息传递带内网的server服务器，然而内网服务器在内网回包

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

会话的同步问题

解决方法：1，关闭首包机制(不安全)    2，通过HRP同步会话表

        当通信进行到一半时主防火墙断开，使用备用防火墙时无法使用主防火墙产生的会话表，导致通信不能继续。

vrrp不同组步调不一致

解决方法：VGMP组管理协议

        防火墙左右端口属于不同的vrp，会导致步调时间存在偏差。会导致左右切换不一致。

6. 防火墙支持那些接口模式，一般使用在那些场景？

部署混合模式(L1)：适用于防火墙在网络中即有二层接口，又有三层接口的场景

部署透明模式(L2)：适用于用户不希望改变现有网络规划和配置的场景

部署路由模式(L3)：适用于需要防火墙提供路由和NAT功能的场景

部署旁路模式(Tap)：适用于用户希望试用防火墙的监控、统计、入侵防御等功能，暂时不将防火墙直连在网络里

7. 什么是IDS？

入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

8. IDS和防火墙有什么不同？

防火墙：是通过策略来限制流量的进出

IDS一般是并联在网络中，以旁路监听的方式实时监测网络可疑流量，是用来监听内部网络的活动。

      入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵 弥补防火墙对应用层检查的缺失

9. IDS工作原理？

识别入侵者

识别入侵行为

检测和监视已成功的入侵

为对抗入侵提供信息与依据，防止时态扩大

10. IDS的主要检测方法有哪些详细说明？

            

       对系统的运行状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、机密 性、可用性）。是一个软件与硬件的组合系统。

       异常检测：当某个事件与一个 已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常 主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

       特征检测：IDS核心是特征库（签名）。 签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为

         异常检测模型**（Anomaly Detection） 首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是 入侵。

         误用检测模型**（Misuse Detection） 收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系 统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）。

融合使用异常检测与误用检测：

11. IDS的部署方式有哪些？

        共享模式和交换模式：从HUB上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。

         隐蔽模式：在其他模式的基础上将探测器的探测口IP地址去除，使得IDS在对外界不可见的情况下正常工作

         Tap模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易

         In-Iine模式：直接将IDS串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击

         混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。

12. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

       签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为

       签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用 于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于 筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过 滤器中为这些签名统一设置新的动作，操作非常便捷。

置新的动作，操作非常便捷。

签名过滤器的动作分为： 阻断：丢弃命中签名的报文，并记录日志。 告警：对命中签名的报文放行，但记录日志。 采用签名的缺省动作，实际动作以签名的缺省动作为准。

作用：由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

 签名过滤器的动作分为：

 阻断：丢弃命中签名的报文，并记录日志。

         告警：对命中签名的报文放行，但记录日志。

         放行：对命中签名的报文放行，且不记录日志。添加黑名单：是指丢弃命中签名的报文，阻断报文 所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单。