文章目录
一、总结
1、防火墙如何处理双通道协议
多通道协议:控制进程与传输进程分离,意味着控制传输进程协议和端口与传输进程的协议和端口不一致,如:FTP、RTSP、DNS、QQ、微信
**处理方案:**使用ASPF
技术,抓取并分析多通道协议的控制报文并找到传输进程所需要的详细网络参数(多通道协议都是通过控制进程报文协商处理传输进程网络参数)---->根据ASPF分析控制进程特殊报文找到传输进程,生成server-map表,放行传输进程报文,传输进程匹配server-map表后生成会话表,传输进程后续报文匹配会话表
ASPF:针对应用层的包过滤,也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息开放相应的访问规则,开启ASPF功能后,FW通过检测协报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
2、防火墙如何处理nat?
普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换。
解决常见NAT转换缺陷方式:
NAT ALG
(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。
例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
3、防火墙支持那些NAT技术,主要应用场景是什么?
1.源NAT — 内网主机访问外网主机
2. server NAT — 外网主机访问内网服务器
3 .域间双向NAT:一般是解决内网服务器没有外网路由的问题
注意点:
NAT策略: 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么
安全策略: 把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数
4. 域内双向NAT:
内网用户请求的是同在内网服务器的公网地址,但是返回时是服务器的私网地址。
此时用户等待的IP地址却是服务器公网地址,返回的IP地址不同,此时的数据包不会被采用。
去的适合用防火墙,回来使用内网。
当内网PC以公网形式访问内网服务器时,需要用到
域内NAT转换:
在 防火墙处服务器回包时:源IP=私网IP,目的IP=公网IP
在防火墙NAT转换后:源IP=公网IP,目的IP=客户端私网IP
5. 双出口NAT:
如果在出口连接的处存在两个运营商,此时有两个结构:主备结构、负载结构。我们去往不同服务器
就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一条网段线路,回来的时候在没有做
策略的情况下有可能会转移到第二条线路返回。如此导致不同运营商的路线不同回来后转换的ip也会不同。
在以上情况我们就需要设置域内双出口NAT解决。即写两个NAT
双出口会出现NAT转换错乱
解决方案:
启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法。
4、 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
客户端使用公网ip【源地址为客户端内网地址】去访问服务器时,服务器会直接使用内网的ip通过内网路由给客户端回包。此时客户端收到的回包是内网的ip,但是客户端访问的是服务器是要外网公网ip回的。那么就会将数据包丢弃。解决服务器回包使用内网ip地址问题
使用域内双向NAT解决问题
将原数据包的源地址改为公网ip地址,目的地址由公网ip改为服务器的内网地址。如此服务器收到的包源ip就是公网ip,如此回包就会使用公网ip地址。内网客户端就不会丢弃ip回包。
5、 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
1、出现原因是因为首包机制,当首包通过主用防火墙,就会生成一个session表,当主用防火墙就下线了,然后使用备用防火墙。但是备用防火墙上没有首包生成的session表导致后面的会话无法建立是无法通过备用防火墙建立会话的。
根本问题:session表主备没有同时建立,没有同步信息。从而导致出去与回来的包找不到出口或入口
解决方法:
1、使用HRP(华为双机热备协议)解决同步问题,将主的动态数据和关键命令进行备份。使同步共享了信息避免了首包机制的问题
2、使用VGMP解决一致行动问题,进行统一管理,有抢占管理的功能
3、关闭状态检测机制,使非首包也能建立会话表
6、 防火墙支持那些接口模式,一般使用在那些场景?
- 路由模式(接口具有IP地址)
防火墙的接口三层路由接口的形式参与组网
防火墙位于内部网络和外部网络之间,需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的P地址,此时的防火墙就相当于一台路由器。(路由模式下可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能)
- 交换模式(接口无IP地址)
防火墙的接口二层交换接口的形式参与组网
防火墙采用透明模式时对于子网用户和路由器是透明的,这种模式对安全性没有影响起到一个交换机的功能。此模式下无法进行NAT,无法作为服务器也无法使用VPN。
- 接口对模式(不需要查看MAC地址表)
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的MAC寻址,也就类似网线的形式转发,速度快。
(1.)设置接口为接口对形式
(2.)把两个接口都设置为接口对模式
(3.)在接口对中把两个接口加入到接口对
不同口进出:将两个同类型接口组成接口对后,从一个接口进入的流量固定从另一个接口转发出去,不需要查询路由表或MAC地址表。
同口进出:如果进、出接口配置为同一个接口,则从该接口进入的报文经过设备处理后仍然从该接口转发出去。
- 旁路模式
旁路模式的接口也是二层的交换机接口,该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
7、什么是IDS?
IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)
作用:
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功的入侵
- 为对抗入侵提供信息与依据,防止时态扩大
8、 IDS和防火墙有什么不同?
防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作
设备所处点不同
防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作
作用点不同
通过了防火墙的数据防火墙就不能进行其他操作
入侵检测(IDS) 是防火墙的有力补充,形成防御闭环,可以及时、正确、全面的发现入侵,弥补防火墙对应用层检测的缺失
动作不同
防火墙可以允许内部的一部分主机被外部访问
IDS只有监视和分析用户和系统的活动、行为
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵,弥补防火墙对应用层检查的缺失。
9、 IDS工作原理?
IDS分为实时入侵检测和事后入侵检测:
实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
事后入侵检测:由安全人员进行检测。
入侵检测分类:
基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
入侵检测技术途径:
信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
数据分析
10、IDS的主要检测方法有哪些详细说明?
异常检测(行为):当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
特征检测(比对): IDS核心是特征库 (签名)
签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为
异常检测模型 (Anomaly Detection)
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型 (Misuse Detection)
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测 (signature-based detection)
11、IDS的部署方式有哪些?
旁挂 : 需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。(即使是IPS也会有旁挂)
- 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
- 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
- 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
12、IDS的签名是什么意思?签名过滤器有什么作用?
PS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。
**IDS签名:**入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作:
- 阻断:丢弃命中签名的报文,并记录日志
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名作用:
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为:
- 阻断: 丢弃命中签名的报文并记录日志
- 告警: 对命中签名的报文放行,但记录日志。
- 放行: 对命中签名的报文放行,且不记录日志。添加黑名单: 是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单
二、NAT练习
1、按照拓扑分别为三个区域的设备配置IP、掩码和网关,并将防火墙的对应接口进行配置
2、首先进行源NAT配置的练习
配置完NAT后,还需要编写安全策略来放通trust区域至untrust区域的流量,因为NAT策略和安全策略是两种策略,仅编写NAT策略是无法访问的
此时使用trust区域的PC访问untrust区域区域的设备是可以完成互通的
在防火墙的untrust区域抓取PC1的流量,会发现完成了地址的转换
3、完成DMZ区域的服务器映射
编写安全策略,需要注意的是源地址应该为any,目的地址为服务器的私网地址
配置完成后使用untrust区域的client来进行测试
4、假设DMZ区域只能被内部地址访问,但是此时untrust区域的设备又需要访问DMZ区域,
由于之前配置了安全策略,所以此时不需要再进行安全策略的编写
通过抓包可以观察到,源地址和目标地址都进行了转换
5、NAT域内双向转换
此时,外网可以访问服务器,但是内网设备却无法访问
配置完域内双向转换内部设备即可访问服务器
三、双机热备实验
1、为所有区域的PC配置IP、掩码和网关,在交换机上创建vlan,并配置接口IP
2、在防火墙上划分区域并配置IP
3、编写路由
[L1]ip route-static 0.0.0.0 0 10.1.2.254
[L2]ip route-static 0.0.0.0 0 100.1.2.254
4、配置双机热备
结果显示:
5、完成配置后即可在备份上看见安全策略
6、测试
主备切换:
关闭1/0/0口后,备的状态变为了主
此时,PC依旧可以访问外网