防火墙双机热备及入侵检测

防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

1、会话表同步问题。

防火墙根据会话表进行通信，每一个会话连接都有一个会话表对应，当主设备宕机时，备设备中并不会有主设备的会话表，导致主设备的流量无法匹配会话表而中断。

华为使用HRP协议，主备防火墙连接一条心跳线同步会话表。（不同厂商的防火墙不能进行双机热备）

2、VRRP同步切换问题。

为了解决单点故障，在防火墙的内网和外网都需要做VRRP，当主设备F1内网宕机后，将备设备F2切换为主设备，所有流量都走向F2。但外网设备依旧认为内网F1是主设备，流量继续发往F1，因此导致网络不通的情况。也就是VRRP切换不同步的问题。

使用VGMP组管理协议，将VRRP备份组都加入到一个VGMP组中，由VGMP组来集中监控并管理所有的VRRP备份组状态，保证VRRP备份组状态的一致性。

防火墙支持那些接口模式，一般使用在那些场景？

路由模式：防火墙接口以三层路由的形式参与组网

交换模式：防火墙接口以二层交换接口的形式参与组网

接口对模式：是一种特殊的二层模式，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的MAC寻址，类似网线的形式（虚拟网线）转发，速度快。

旁路模式：也是二层的交换机接口，该接口一般用于接收镜像流量，向主机一样旁挂在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任务，功能是最少的。

什么是IDS？

相当于一个“监控系统”进行实时监控，一旦有陌生人进入或内部人员有越界行为，它会发现情况并发出警告。

IDS是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

专业上来讲，IDS（入侵检测系统）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

IDS和防火墙有什么不同？

防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护的网络有害的流量或数据包）的设备。而IDS则是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

IDS工作原理？

• 系统和网络日志文件
• 目录和文件中的不期望的改变
• 程序执行中的不期望行为
• 物理形式的入侵信息

数据分析：一般通过三种技术手段进行分析

• 模式匹配：用于实时的入侵检测
• 统计分析：用于实时的入侵检测
• 完整性分析：用于事后分析

在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。

IDS的主要检测方法有哪些详细说明？

异常检测（针对行为）：

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。

当某个事件与一个 已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

特征检测（比对签名）：

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，特征检测也称为误用检测。

IDS核心是特征库（签名），签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为。

IDS的部署方式有哪些？

IPS直路部署：

当NIP作为IPS设备直路部署时，用户只需要将接口对串行接入到需要保护的网络链路上，即完成 了部署。直路部署的IPS设备，能有效防御攻击。

IPS单臂部署：
通过VLAN引流，单臂部署的方式的优势在于：不需要改变网络拓扑结构，节省NIP物理接口。

当NIP作为IPS设备单臂部署或作为IDS设备时，用户只需要使用接口对中的一个接口旁挂在网络中。

NIP在单臂部署方式下支持的功能不如直路部署方式时全面，不支持流量Bypass

IPS旁路部署：

通过交换机镜像引流。

NIP提供的固定接口对缺省工作在直路IPS模式，旁路部署时需要将接口对切换到IDS模式，使用接口对中的IDS接口进行旁路部署。

• 直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点
• 单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS
• 旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御

IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS签名：入侵防御签名用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器作用：由于设备长时间工作，累积了大量签名，需要对其进行分类，没有价值会被过滤器过滤掉。起到筛选的作用。

例外签名配置作用：为了更加细化的进行流量的放行（特殊流量），精准的控制。

双机热备及负载均衡实验

双机热备

trust区域SW2配置：

写一条到防火墙虚拟网关的路由

untrust区域SW3配置

同样写一条到防火墙虚拟网关的路由


FW1


写一条回内网路由
写一条去外网路由

FW2与FW1的配置相同

接一条FW1和FW2的心跳线做双机热备


配置双机热备：
FW1做主设备

trust区域：将VRRP备份组1放入VGMP组管理协议中，并配置虚拟网关。

untrust区域：将VRRP备份组2放入VGMP组管理协议中，并配置虚拟网关。
FW2做备用设备，配置与FW1相同
主设备启用接口监控就行



配置完成


做FW1安全策略，FW2的策略由双机热备同步过去。


FW2

验证：

正常情况下走FW1

当FW1链路down后走FW2

FW1

FW2

链路恢复后FW1重新成为主设备
FW1

FW2

负载均衡

做两组虚拟网关，10.1.2.251与10.1.2.254，100.1.2.251与100.1.2.254。FW1为10.1.2.254与100.1.2.254的主设备，FW2为10.1.2.251与100.1.2.251的主设备。
PC1/2流量走FW1，PC3/4流量走FW2。



SW2

在写一条去往外网的路由

SW3与SW2做法相同

FW1

FW2配置相同

配置负载分担
FW1




FW2



配置完成


做策略放通流量！！！
验证：

入侵检测配置

在对象—安全配置文件中找到入侵防御进行配置




匹配完记得提交

进入安全策略选择匹配好的入侵防御