【网络安全防御】

目录

安全策略的定义

1. 防火墙如何处理双通道协议? 

2. 防火墙如何处理NAT?

首先我们要知道为什么IPv6不火了?

3. 防火墙支持那些NAT技术,主要应用场景是什么?

4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

6. 防火墙支持那些接口模式,一般使用在那些场景?

7. 什么是IDS?

8. IDS和防火墙有什么不同?

9. IDS工作原理?

10. IDS的主要检测方法有哪些详细说明?

11. IDS的部署方式有哪些?

12. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?

二、复现当天课程中的NAT演示实验包括源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验,练习课堂IPS配置实验。

复现防火墙双通道(FTP)实验

 源NAT实验

server NAT实验

内双向NAT实验

双机热备实验


安全策略的定义

规则就是实施安全控制,在防火墙转发报文的过程中起着重要的作用,只要规则永续通过,报文才可以在安全区域之间流动,否则报文会被丢弃。

那么规则在防火墙上的具体体现就是“安全 策略”

 从上图可知,安全策略基于安全区域的域间关系来呈现,它包含两个组成部分。

 条件:检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。

动作:对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作。

通过安全策略的介绍,对安全策略有了一定的了解,但是有些协议还是充满变化的,不受安全策略的控制,比如最常用的FTP协议、SIP协议、MGCP协议等,它们的报文交互过程让安全策略防不胜防这种情况下,单凭安全策略无法完全掌控报文的转发,此时就需要利用防火墙中ASPF技术实现报文转发的控制。

1. 防火墙如何处理双通道协议? 

举个例子,例如常用的FTP协议就是一个典型的多通道协议,在其工作过程中,FTP客户端和FTP服务器之间将会建立两条连接:控制连接数据连接。控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息;数据连接用来获取目录及传输数据。 

根据数据连接的发起方式,FTP协议分为两种工作模式:主动模式(PORT模式)被动模式(PASV模式)。主动模式中,FTP服务器主动向FTP客户端发起数据连接;被动模式中,FTP服务器被动接收FTP客户端发起的数据连接。

首先FTP客户端使用随机端口xxxx向FTP服务器的21端口发起连接请求建立控制连接,然后使用PORT命令协商两者进行数据连接的端口号,协商出来的端口是yyyy。然后FTP服务器主动向FTP客户端的yyyy端口发起连接请求,建立数据连接。数据连接建立成功后,才能进行数据传输。我们只配置了允许FTP客户端访问FTP服务器的安全策略,即控制连接能成功建立。但是当FTP服务器访问FTP客户端yyyy端口的报文到达防火墙后,对于防火墙来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,防火墙上就必须配置了安全策略允许其通过,但是我们没有配置FTP服务器到FTP客户端这个方向上的安全策略,所以该报文无法通过防火墙,导致FTP访问失败。

若是在FTP服务器到FTP客户端这个方向上也配置一条安全策略,但是数据连接使用的端口是在控制连接中临时协商出来的,具有随机性,我们无法精确预知,所以只能开放客户端的所有端口,这样就会给FTP客户端带来安全隐患。

这个时候就要用到ASPF(Application Specific Packet Filter,针对应用层的包过滤)技术。ASPF主要是检测报文的应用层信息,记录应用层信息中携带的关键数据,针对不受安全策略的多通道协议报文起到关键性作用。记录应用层信息中关键数据的表项称为Server-map表,报文命中该表后,不再受安全策略的控制,这相当于在防火墙上开启了一条“隐形通道”。当然这个通道不是随意开启的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

ASPF可以根据报文应用层中的信息动态生成Server-map表项,既简化了安全策略的配置又确保了安全性。我们可以把ASPF看作是一种穿越防火墙的技术,ASPF生成的Server-map表项,相当于在防火墙上打开了一个通道,使类似FTP的多通道协议的后续报文不受安全策略的控制,利用该通道就可以穿越防火墙。


2. 防火墙如何处理NAT?

首先我们要知道为什么IPv6不火了?

IPv4时代,由于IPv4地址的分配空间不足,IPv6运用而生,IPv6的地址长度比IPv4长,所有IPv6可以提供更多的地址,那么现网中IPv6的应用较少,存在的原因是IPv6部署成本较高需要大量的工作将其部署,在一个就是IPv4和IPv6不兼容,因此需要进行转换,可能会导致性能、安全性、兼容性会下降,然而随着技术的发展,IPv4地址的更有效利用,使用NAT地址转换技术可以缓解IPv4地址短缺的问题,

NAT地址转换技术有多种场景场景应用,NAT技术对IP报文的源地址进行转换,将私网IP地址转换成公网IP地址,NAT技术就是使大量私网用户可以利用少量公网IP地址访问外网,大大减少了对公网IP地址的消耗。当私网用户访问外网的报文到达防火墙时,防火墙将报文的源IP地址由私网地址转换为公网地址;当回程报文返回至防火墙时,防火墙再将报文的目的地址由公网IP地转换为私网地址。整个NAT转换过程对于内部网络中的用户和外网上的主机来说是完全透明的。


3. 防火墙支持那些NAT技术,主要应用场景是什么?

华为防火墙支持的NAT转换技术以及应用场景有


4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

存在数据无法通信的情况

DNS属于多通道协议,防火墙默认开启了ALG功能,可以检测到DNS Response报文数据域answer字段的IP地址,查看是否匹配server-map表项,如果能匹配,则将对应的公网IP地址转换为私网IP地址,因此,在内网访问服务器直接通过私网IP地址进行访问,不会导致访问失败的现象出现。而通过公网地址访问的时候防火墙ALG进程会通过匹配server-map表项,修改回程会话。

解决方法:

1.通过域内双向转换解决

将源地址转换为公网地址
目的地址为服务器地址目标地址

2.通过关闭ALG对DNS报文的检测来解决问题(前提是内网可以可以通过公网IP访问内网服务器)

Firewall zone trust
        Undo detect dns
        Firewall zone untrust
        Undo detect dns


5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

两台防火墙会话备份的问题,使两台防火墙主备状态切换时,如何保证已经建立的业务不中断?

防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。双机热备功能启动后,正常情况下,两台防火墙会根据管理员的配置分别成为主用设备和备用设备。成为主用设备的防火墙FW1会处理业务,并将设备上的会话、Server-map表等重要状态信息以及配置

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值