1.什么是防火墙?
防火墙也称为防护墙,简单来说就是位于内部网络与外部网络之间的网络安全系统。这是一项信息安全的防护系统,依照特定的规则,允许或者限制传输的数据通过。
在网络中,防火墙过滤的就是承载通讯数据的通讯包。实际上是一种隔离技术。
总的来说,防火墙就是一种(非授权用户在区域间)并且检查过滤(对受保护网络有害的流量或者数据包)的设备。
2.状态防火墙的工作原理?
状态防火墙使用各种会话表来追踪TCP会话和UDP伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接,以对UDP连接过程进行状态监控的会话。
状态防火墙使用的是会话追踪技术 ----处于网络层和传输层之间
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash算法处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
首包机制
颗粒度细
速度快
UTM---深度包检查技术---应用层
把应用网关和ISP设备在状态防火墙的基础上进行整合和统一。
把原来分散的设备进行统一管理,有利于节约资金和学习成本。
统一有利于各设备之间的协作。
设备负荷较大并且检查也是逐个功能模块来进行的,(在一个大的框架下,同样是分开的)速度慢。
防火墙的基本原理:
包过滤:工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
同时包过滤防火墙使用的是访问控制列表技术,其优点是简单、速 度快,但是检查的颗粒度“粗”
应用代理:工作在应用层,通过编写不同的应用代理程序,实现对应用层数据的检测和分析。
状态检测:工作在数据链路层和传输层之间,访问控制方式与包过滤差不多,但是处理对象不是单个数据包,而是整个连接,通过规则表和连接状态表,综合判断是否允许数据包通过。
完全内容检测:工作在数据链路层和应用层之间,不仅要分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。
3.防火墙如何处理双通道协议?
“对于多通道协议比如FTP、VOIP等协议,通道是随机协商出来的,防火墙不能设置策略也无法形成会话表”。
解决的办法:
使用ASPF技术,查看协商端口号,并且动态建立server-map表放过协商通道的数据;
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息,并且根据应用层信息放开相应的访问规则,开起ASPF功能后,防火墙通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的server-map表,用于放行后续建立通道的报文,相当于创建了一条精细的“安全策略”。
4.防火墙如何处理地址转换nat?
NAT技术的基本原理:
NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使得大量的私网IP地址通过共享少量的公网IP地址来访问公网。
NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程,一般的NAT转换设备都是维护这一张地址转换表,所有经过NAT的设备(处于内部网络和外部网络的连接处,常见的设备有:路由器、防火墙等)并且需要进行地址转换的报文,都会通过这个表做相应的修改,地址转换的机制分为两个部分。
1.内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。
2.外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。
源NAT地址池方式:
不带端口转换的地址池方式(no-pat)
通过配置NAT地址池来实现,NAT地址池中可以包含多个公网地址,转换时只转换地址,不转换端口,实现私网地址到公网地址一对一转换。如果地址池中的地址已经全部分配出去了,则剩余内网主机访问外网是不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
带端口转换的地址池方式(pat)
通过配置NAT地址池来实现,NAT地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口,即可实现多个私网地址共用一个或者多个公网地址的需求(多对一) 由于在地址转换的同时还要进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,防火墙根据端口区分不同的用户。
总结: 不带端口:实现一对一的IP地址转换,端口不进行转换。
带端口:将不同内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。
easy ip (出接口地址方式)
直接使用接口的公网地址作为转换后的地址,不需要配置的NAT地址池,转换时同时转换地址和端口,即可实现多个私网地址共用外网接口的公网地址的需求。(多对一)
NAT ALG(应用级网关)
特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。
5.有哪些防火墙,以及防火墙的 技术的分类。
常见的有:
HiSecEngine USG12000系列AI防火墙
HiSecEngine USG6600E系列AI防火墙(盒式)
分类:
1、软、硬件形式分类:软件防火墙、硬件防火墙、芯片级防火墙。
2、防火墙技术分类:包过滤型防火墙、应用代理型防火墙 。
3、防火墙结构分类:单一主机防火墙、路由器集成式防火墙、分布式防火墙。
4、防火墙的应用部署位置分类:边界防火墙、个人防火墙、混合防火墙。
5、防火墙性能分类:百兆级防火墙、千兆级防火墙。
6、防火墙使用方法分类:网络层防火墙、物理层防火墙、链路层防火墙。
附带实验:
路由问题比较简单:
R2:172.16.2.2 再加一条缺省指到 交换机上 再从sw2交换机上指一条缺省到防火墙上即可
在防火墙上写一条回城路由到R2,下一跳到172.16.1.2上
然后就是R1写一条缺省指到 防火墙上即可
先组建拓扑图,再配好路由,对于各个区域进行分配好资源