目录
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
12. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
二、复现当天课程中的NAT演示实验包括源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验,练习课堂IPS配置实验。
安全策略的定义
规则就是实施安全控制,在防火墙转发报文的过程中起着重要的作用,只要规则永续通过,报文才可以在安全区域之间流动,否则报文会被丢弃。
那么规则在防火墙上的具体体现就是“安全 策略”
从上图可知,安全策略基于安全区域的域间关系来呈现,它包含两个组成部分。
条件:检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。
动作:对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作。
通过安全策略的介绍,对安全策略有了一定的了解,但是有些协议还是充满变化的,不受安全策略的控制,比如最常用的FTP协议、SIP协议、MGCP协议等,它们的报文交互过程让安全策略防不胜防这种情况下,单凭安全策略无法完全掌控报文的转发,此时就需要利用防火墙中ASPF技术实现报文转发的控制。
1. 防火墙如何处理双通道协议?
举个例子,例如常用的FTP协议就是一个典型的多通道协议,在其工作过程中,FTP客户端和FTP服务器之间将会建立两条连接:控制连接和数据连接。控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息;数据连接用来获取目录及传输数据。
根据数据连接的发起方式,FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)。主动模式中,FTP服务器主动向FTP客户端发起数据连接;被动模式中,FTP服务器被动接收FTP客户端发起的数据连接。
首先FTP客户端使用随机端口xxxx向FTP服务器的21端口发起连接请求建立控制连接,然后使用PORT命令协商两者进行数据连接的端口号,协商出来的端口是yyyy。然后FTP服务器主动向FTP客户端的yyyy端口发起连接请求,建立数据连接。数据连接建立成功后,才能进行数据传输。我们只配置了允许FTP客户端访问FTP服务器的安全策略,即控制连接能成功建立。但是当FTP服务器访问FTP客户端yyyy端口的报文到达防火墙后,对于防火墙来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,防火墙上就必须配置了安全策略允许其通过,但是我们没有配置FTP服务器到FTP客户端这个方向上的安全策略,所以该报文无法通过防火墙,导致FTP访问失败。
若是在FTP服务器到FTP客户端这个方向上也配置一条安全策略,但是数据连接使用的端口是在控制连接中临时协商出来的,具有随机性,我们无法精确预知,所以只能开放客户端的所有端口,这样就会给FTP客户端带来安全隐患。
这个时候就要用到ASPF(Application Specific Packet Filter,针对应用层的包过滤)技术。ASPF主要是检测报文的应用层信息,记录应用层信息中携带的关键数据,针对不受安全策略的多通道协议报文起到关键性作用。记录应用层信息中关键数据的表项称为Server-map表,报文命中该表后,不再受安全策略的控制,这相当于在防火墙上开启了一条“隐形通道”。当然这个通道不是随意开启的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。
ASPF可以根据报文应用层中的信息动态生成Server-map表项,既简化了安全策略的配置又确保了安全性。我们可以把ASPF看作是一种穿越防火墙的技术,ASPF生成的Server-map表项,相当于在防火墙上打开了一个通道,使类似FTP的多通道协议的后续报文不受安全策略的控制,利用该通道就可以穿越防火墙。
2. 防火墙如何处理NAT?
首先我们要知道为什么IPv6不火了?
IPv4时代,由于IPv4地址的分配空间不足,IPv6运用而生,IPv6的地址长度比IPv4长,所有IPv6可以提供更多的地址,那么现网中IPv6的应用较少,存在的原因是IPv6部署成本较高需要大量的工作将其部署,在一个就是IPv4和IPv6不兼容,因此需要进行转换,可能会导致性能、安全性、兼容性会下降,然而随着技术的发展,IPv4地址的更有效利用,使用NAT地址转换技术可以缓解IPv4地址短缺的问题,
NAT地址转换技术有多种场景场景应用,NAT技术对IP报文的源地址进行转换,将私网IP地址转换成公网IP地址,NAT技术就是使大量私网用户可以利用少量公网IP地址访问外网,大大减少了对公网IP地址的消耗。当私网用户访问外网的报文到达防火墙时,防火墙将报文的源IP地址由私网地址转换为公网地址;当回程报文返回至防火墙时,防火墙再将报文的目的地址由公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和外网上的主机来说是完全透明的。
3. 防火墙支持那些NAT技术,主要应用场景是什么?
华为防火墙支持的NAT转换技术以及应用场景有
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
存在数据无法通信的情况
DNS属于多通道协议,防火墙默认开启了ALG功能,可以检测到DNS Response报文数据域answer字段的IP地址,查看是否匹配server-map表项,如果能匹配,则将对应的公网IP地址转换为私网IP地址,因此,在内网访问服务器直接通过私网IP地址进行访问,不会导致访问失败的现象出现。而通过公网地址访问的时候防火墙ALG进程会通过匹配server-map表项,修改回程会话。
解决方法:
1.通过域内双向转换解决
将源地址转换为公网地址
目的地址为服务器地址目标地址
2.通过关闭ALG对DNS报文的检测来解决问题(前提是内网可以可以通过公网IP访问内网服务器)
Firewall zone trust
Undo detect dns
Firewall zone untrust
Undo detect dns
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
两台防火墙会话备份的问题,使两台防火墙主备状态切换时,如何保证已经建立的业务不中断?
防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。双机热备功能启动后,正常情况下,两台防火墙会根据管理员的配置分别成为主用设备和备用设备。成为主用设备的防火墙FW1会处理业务,并将设备上的会话、Server-map表等重要状态信息以及配置