1. 防火墙如何处理双通道协议?
使用ASPF技术,查看协商端口号并动态建立server-map表放过协商通道的数据。
ASPF ( 针对应用层的包过滤)也叫基于状态的报文过滤
ASPF 功能:可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则, 开启 ASPF 功能后, FW 通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map 表,用于放行后续建立数据 通道的报文,相当于自动创建了一条精细的“ 安全策略 ” 。
ASPF(Application SpecificPacket Filter)–针对应用层的特殊包过滤技术,其原理是检测通过设备的报文的应用层协议信息,记录临时协商的数据连接,使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。
记录临时协商的数据连接的表项称为Server-map 表,这相当于在防火墙上开通了“隐形通道”,使得像FTP 这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。
防火墙如何处理nat?
常见NAT转换的缺点?
普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据中的字段无能为力,在许多应用层协议中,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换。
解决常见NAT转换缺陷方式:
NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。
防火墙支持那些NAT技术,主要应用场景是什么?
源NAT 主要应用于私网用户访问公网的场景
server nat 主要应用于公网用户访问私网服务的场景
双向NAT 双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景
当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
私网进行回包来回路径不一致
解决方案:防火墙上做域内双转
通过关闭ALG对DNS报文的检测来解决问题(前提是内网可以通过公网IP访问内网服务器)
防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
当数据包回程不一致时,由于备用防火墙缺失会话表(首包机制)导致数据包不能通过
解决方法一:将路由做好使得来回路径一致
解决方法二:关闭状态检测机制
用户的上行链路断掉一根,数据回程的时候走了"断路"
防火墙的上行链路断掉一根,数据前进的时候走了"断路"
解决方法:
会话同步HRP
独立数据通道(三层)—心跳线
备份内容:包括TCP/UDP的会话表、ServerMap表、动态黑名单、NO-PAT表项、ARP表项等
备份方向:有状态为主的VGMP管理组,相对端备份。
防火墙支持那些接口模式,一般使用在那些场景?
部署透明模式(L2):适用于用户不希望改变现有网络规划和配置的场景
部署路由模式(L3):适用于需要防火墙提供路由和NAT功能的场景
部署混合模式(L1):适用于防火墙在网络中即有二层接口,又有三层接口的场景
部署旁路模式(Tap):适用于用户希望试用防火墙的监控、统计、入侵防御等功能,暂时不将防火墙直连在网络里
什么是IDS?
IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。
IDS和防火墙有什么不同?
首先防火墙针对的是非授权的流量进行过滤,而IDS则是针对通过了防火墙的流量进行检测(防火墙是一种被动的防御, IDS则是在主动出击寻找潜在的攻击者;)。
防火墙主要进行控制(意在保护),而IDS只对于检测到的入侵行为进行告警(意在告知)
防火墙可以允许内部一些主机被外网访问,而IDS没有这些功能,IDS只负责检测
IDS工作原理?
IDS的主要检测方法有哪些详细说明?
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
IDS的部署方式有哪些?
直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御
IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS签名:入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。
签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。
签名过滤器的作用:由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。
签名过滤器的动作分为:
阻断:丢弃命中签名的报文,并记录日志。
告警:对命中签名的报文放行,但记录日志。
采用签名的缺省动作,实际动作以签名的缺省动作为准。
例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名作用:
就是为了更加细化的进行流量的放行,精准的控制。
例外签名的动作分为:
阻断:丢弃命中签名的报文并记录日志。
告警:对命中签名的报文放行,但记录日志。
放行:对命中签名的报文放行,且不记录日志。
添加黑名单:是指丢弃命中签名的报文,阻断报文
所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单
扫一扫
1804
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
