目录
4、当内网PC通过公网域名解析访问内网服务器的时候,会存在什么问题,如何解决?请详细说明
5.防火墙使用VRRP实现双机热备会遇到什么问题,如何解决?请详细说明
1、防火墙如何处理双通道协议
FTP是一个典型的多通道协议,在主动模式客户端向服务端的TCP的21号端口发起三次握手,建立控制连接,客户端通过FTP PORT命令通知服务端自己的随机端口为P,由服务端向客户端的TCP PORT P 发起三次握手,建立传输连接其中服务端的源端口为20.
在被动模式下,客户端向服务端的TCP 的21端口发起三次握手,建立控制连接,客户端向服务端发送PASV命令,服务端通过Enter PASV命令告知客户端自己的随机端口为M,由客户端向服务端的TCP PORT M发起三次握手,建立传输连接。
安全策略存在的问题:对于类似于FTP这种双通道协议,由于其中端口的随机性,导致无法书写安全策略的参数,假如对于端口参数选择any,会使得颗粒度较大,以至于让防火墙失去效果。
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息(可以理解为在双方建立传输通道之前协商端口的报文)并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
2、防火墙如何处理nat
NAT ALG
在路由器上nat针对多通道协议也会项防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生 成传输进程返回的nat映射。
困境
某些协议会在应用层携带通信ip,这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是 转三层ip,这就导致某些协议的通信阶段在nat场景下失败。
防火墙nat类型的server-map
<USG6000V1>dis firewall server-map
2023-03-18 08:07:54.050
Current Total Server-map : 1
Type: Nat Server, ANY -> 100.1.1.111:80[10.1.2.2:80], Zone: untrust , protoc
ol:tcp
Vpn: public -> public
3、防火墙支持哪些NAT,主要应用的场景是什么?
源NAT
场景:主要应用在内网用户没有外网服务的路由时,在内网用户想要访问外网的某台服务器时,发送的数据包的源IP为自己的私网IP,目的IP为服务器的公网IP,在通过边界路由器或者防火墙时,需要将自己的私网IP转换成公有IP去访问。服务端回包时的源IP为自己的公有IP,目的IP为私网用户的公有IP。
server-nat
场景:私网服务器需要对外网用户提供服务时;在网络中无法访问一个私网的用户,当服务器处于私网内部时,外部人员无法访问;此时,就需要将内网服务器的IP和服务通过server-nat映射到私网边界的路由器或者防火墙的公网IP。让外网人员通过访问边界设备的公有IP来达到访问内网服务器的目的。
域间双向转换
场景:假设内网服务器只允许内网用
最低0.47元/天 解锁文章
1336
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
