安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备

最新推荐文章于 2024-09-16 16:09:33 发布
最新推荐文章于 2024-09-16 16:09:33 发布
阅读量4.5k 收藏 26
点赞数 6
分类专栏: 安全防御 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58299245/article/details/126816700
版权

 

目录

一、防火墙支持那些NAT技术,主要应用场景是什么?

二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明 

四、防火墙支持那些接口模式,一般使用在那些场景? 

五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因? 

六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验

1、域间双向NAT(内网服务器没有外网路由时)

2、域内双向NAT(当内网PC以公网形式访问内网服务器时)

3、基于VRRP的双机热备

一、防火墙支持那些NAT技术,主要应用场景是什么?

  • 源NAT --- 内网主机访问外网主机
  • server NAT --- 外网主机访问内网服务器
  • 域间双向NAT --- 解决内网服务器没有外网路由的问题
  • 域内双向NAT --- 内网PC以公网形式访问内网服务器
  • 双出口NAT --- 当同时连接电信宽带和联通宽带时(把路由与NAT转换通过下一跳做关联)

二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

服务器会通过内网直接给PC回包,不会经过公网

解决办法是做域内双向NAT --- 转换前PC访问一个公网IP(100.1.1.100),转换后再由另一个公网IP(100.1.1.200)去访问内网服务器,回包时服务器也会回给100.1.1.200,再转换为100.1.1.100,然后发给PC

三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明 

(1)当主防火墙挂了,虽然通过VRRP流量能够转移到通向备用防火墙的链路,但是流量无法穿过备用防火墙。流量切下来后,备用防火墙不能建立对应会话表,因为会话表的建立是要依靠于流量的第一个包(会话表首包建立)。不能建立会话表,流量就不能通过备用防火墙。

(2)当流量从主防火墙穿越访问到对端,但对端回包时走备用防火墙。这时回去的包肯定不是首包,不能建立会话表,所以不能通过备用防火墙。

(3)当主防火墙的下行链路断开时,VRRP理应将流量切到下面关于备用防火墙的链路上,假设流量能通过防火墙到达对端终端,那么对端回包时,该流量应该也是走关于备用防火墙的链路。但是两个防火墙的会话状态没有同步,两边的VRRP没有进行同步,所以该流量会走主防火墙。

所以当一个防火墙的一边的链路断掉了,那么另外一边也要进行切换,两边的VRRP必须同步状态,成为"一致行动人"。

--------------------------------------------------------------------------------------------

那么这里就会用到一个协议来解决这个VRRP同步的问题,VGMP   

VGMP  是为防止可能导致的VRRP状态不一致现象的发生,负责统一管理加入其中的各备份组VRRP状态

--------------------------------------------------------------------------------------------

解决了VRRP同步问题,流量也过不去,因为无法建立会话表,需要一个会话同步的机制,所以用到  HRP

HRP   华为双机热备协议(Huawei Redundancy Protocol)

可同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。

最低0.47元/天 解锁文章
爱喝咖啡的果子
关注
专栏目录
网络——双向NAT技术
Jay
04-18 1541
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置了NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 2747
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT双向NAT根据作用的ZONE不一样,可以分为域间双向NAT双向NAT
防火墙域间双向NAT双向NAT双机热备实验
m0_68498873的博客
08-08 1303
USG6000V1-GigabitEthernet1/0/1]service-manage all permit 保存主防火墙配置。
防火墙--NAT技术,基于源NATNAT服务器,双向NAT
最新发布
weixin_74749868的博客
09-16 1031
Nat server 中192.168.100.200为公网地址,192.168.1.1为私网地址。当在后面添加no-reverse时,server-map表项只会生成生成正向server-map。在上面中发现两个私网IP地址转换了同一个出接口IP地址(192.168.2.254),但是端口号不同,同样不会生成server-map表。双向NAT是源NATNAT server的组合,并不是说同时配置了源NATNAT server。一个私网地址转换了一个公网地址,而另外两个转换了一个公网地址(预留地址)
华赛USG NAT
weixin_33782386的博客
07-26 244
配置双向NAT举例(NAT和内部服务器) 组网需求 如图1所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,者通过交换机与统一安全网关相连。需求如下: FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。 ...
双向NAT技术
奋斗Zalvin_JE(奋斗Zhy)的个人博客
07-09 3928
双向NAT 实验目的 企业内部有需要想要将内网的HTTP Server中WEB服务映射到公网地址10.1.12.100的80端口上,一般该需求只需要我们部署NAT Server,就可以使得其他网络内的客户端通过公网地址10.1.12.100访问内网HTTP 服务器的目的。 此时如果我们内网客户端也想要通过该公网地址去访问HTTP Server,那么会出现错误导致无法访问。将HTTP Server的私网地址直接透露出来,也不利于保障WEB服务器的安全性。 本实验通过部署双向NAT,使得内网地址能够通过
防火墙USG6000V)双向NAT详解
YancyYue颜悦的专栏
07-01 1479
NAT+NAT Server、域间NAT+NAT Server
基于防火墙VRRP技术--华为防火墙双机热备--VGMP
墨鱼菜鸡
08-17 183
目录 主备备份双机热备配置 负载分担双机热备配置 为了解决多个VRRP备份组状态不一致的问题,华为防火墙引入VGMP(VRRP Group Management Protocol)来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。我们将防火墙上的所有VRRP备份组都加入到一个VGM...
H3C-IRF堆叠-VRRP双机热备-IPSecvpan
weixin_45986422的博客
12-06 1897
1:链路聚合[H3C]sys Sw1 [Sw1]int GigabitEthernet 1/0/6 [Sw1-GigabitEthernet1/0/6]port link-mode route [Sw1-GigabitEthernet1/0/6]ip address 192.168.100.2 24[H3C]sys R1 [R1]int GigabitEthernet 0/0 [R1-GigabitEthernet0/0]ip address 192.168.100.1 24[R1]int GigabitE
网络实验】eNSP模拟华为防火墙配置双机热备VRRP
Vector_seven的博客
08-19 4272
心跳线双方的接口编号一定要一样;华为防火墙不止三个区,还可以自定义区,只是这里刚好三个区,可以就用dmz区;但是设定其他自定义区也没事,反正默认都不能互通;防火墙vrrp和路由器的vrrp有区别:路由器的vrrp是在路由器内部设,如果只是双机热备,就只用设置一组vrid防火墙vrrp即使是双机热备也要设置两组,且是一个防火墙的上行链路接口和下行链路接口各为一组,且两个口都要配置虚拟ip。
ensp防火墙NAT配置、通过VRRP实现双机热备
dyslhl的博客
09-12 1417
防火墙NATVRRP配置
五、双向NAT
u012451051的博客
11-24 2412
NAT地址池中的地址配置成和私网服务器在同一网段,当私网服务器回应公网用户的访问请求时,发现自己的地址和目的地址在同一网段,此时私网服务器就不会去查找路由,而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响,但是配置了有它本身的好处。在配置源NAT策略时,destination-address:由于先进行NAT Server转换,再进行源NAT转换,所以此处的目的地址是NAT Server转换后的地址,即服务器的私网地址。这里配置的源NAT,虽然叫源NAT,考虑的时候是反着来的。
防火墙双向NAT
坏坏-5的博客
10-23 2714
本篇是防火墙双向NAT的简单配置!
双向NAT应用场景和配置
Richardlygo的博客
08-28 1476
网内有一台或多台服务器可能需要对外映射提供服务,如内网终端也需要访问,这时如终端通过映射后的公网地址访问会出现无法访问的情况,这时就需要双向NAT(华三很多路由器会有hairpin这个功能,勾选应用则开启,或在内网接口配置nat hairpin enable)在两个不同的局网(地址重叠的情况),其中一个局网中的客户端需要访问另外一个局网中的服务器时,例如双方局网IP网段都为192.168.1.0/24,客户端会检测源地址,和服务器目的地址为相同网段,则直接发送ARP解析。
防火墙实验——实现域间双向NAT双机热备实验
lml_0916的博客
09-12 1236
这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的。这里的目的端口转换填写的是80;然后备用防火墙(FW2)变成了主用装态。添加一个新的防火墙和一个hub。同样还是在刚刚的界面;它的撞他已经改位是备用状态。对于源转换地址池的配置。
NAT配置之双向NAT详解
Mario_Ti的博客
12-28 3872
本文将收录NAT合集专栏,此文主要是讲解NAT技术之双向NAT的原理以及配置。
防火墙NAT
2302_77035737的博客
01-27 1162
-- 基于源IP地址进行转换。我们之前接过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。--- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器。--- 同时转换源IP和目标IP地址。
NAT、server nat双向nat域间双向nat配置
weixin_64311421的博客
03-27 940
对于防火墙来说,我们需要考虑转换和放行。NAT策略只是转换了,防火墙不放行,所以还需要做个放行策略。最后可以在LSW1上接个路由器,用路由器ping 100.1.1.3。在分别在g1/0/1、g1/0/0、g1/0/2上添加IP地址和安全。在浏览器上输入刚添加的IP地址,进入华为防火墙图形化界面。然后在WF1上配置0/0/0接口IP地址并开启服务。先做nat策略(trust双转)开启DMZ区的http服务器。新建一个名称为du的NAT策略。访问服务器,发现外网可以访问。转包可以看见,转换成功。
华为防火墙-NAT
君临天下的博客
07-17 439
将内网PC主机访问内网服务器的时候,把源地址转换为防火墙的接口IP(或者地址池),这样服务器接收到数据报文就会返回给防火墙处理,从而实现源目地址一致。步骤3:这一步服务器查询路由表后,数据包不会发送至防火墙,而是发送至PC,PC无法识别该会话,因此会丢弃该数据包,造成访问不通。场景:创建了服务器映射并开放了安全策略,但是在测试业务的时候出现外网访问公网地址正常,但是内网访问公网地址却不通。图一:服务器映射后,外网访问路径:1-2-3-4,可实现正常访问。图:服务器映射后,内网访问外网地址,访问异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值