防火墙NAT以及入侵检测系统IDS

一、防火墙如何处理双通道协议

单通道协议就是基于一个端口的协议，顾名思义，双通道协议就是基于两个端口的协议，但是双通道协议无法做到精准策略，所以就会采用ASPF技术，即Application Specific Packet Filter，应用层的包过滤，及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息，通过维护会话的状态和检查会话报文的协议和端口号等信息，使得某些特殊应用的报文能够正常转发。

ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口，在严格安全策略的情况下，这些随机端口发出的报文可能得不到正常转发。通过ASPF功能，可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开发相应的访问规则，解决这些协议不能正常转发的过程。

二、防火墙如何处理nat？

1) 当流量进入防火墙的入接口以后，防火墙会查找目的的nat转换表，查看请求的目的地址是否需要进行转换，如果需要进行地址转换会进行转换，如果不需要地址转换会直接进入下一跳，不过无论是否命中nat转换表都会进行创建会话，此时再查看路由表，如果命中路由表中的条目则会送到相应的位置，如果没有匹配到会直接丢弃，接下来会进行安全策略里边的检查，如果匹配到了会送到下一个流程，否则会被丢弃， 流量从出接口送出。

三、防火墙支持哪些nat技术？主要的应用场景是什么？

NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约 公网IP地址，使用情况较少。

NAPT（Network Address and Port Translation，网络地址和端口转换）：NAPT即转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约公网IP地址，使用场景较多。

出接口地址（Easy-IP）：因其转换方式非常简单，所以也被称为Easy-IP、和NAPT一样，即转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址

NAT Server：静态一对一发布，主要用于内部服务器需要对Internet提供服务时使用。

Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行NAT No-PAT转换，该方式不太常用。

三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普遍NAT中无法实现的问题。主要应用于外部用户访问局域网的一些P2P应用。

四、当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

内网pc用户通过公网访问内网服务器，防火墙会将目的地址转换为内网服务器的私网地址，而回包的过程中是不经过防火墙的，直接经过路由进行匹配，无法匹配上正确的地址会进行丢弃，但是回包时源地址为内网服务器的私网地址，目的地址是pc的私网地址，没有进行转换，此时我们就需要进行域内双向转换，使回包的时候在进行防火墙，进行一次nat地址转换。

域内NAT的作用就是让回应报文也要经过防火墙，这就需要回应报文的目的地址是防火墙上的一个地址，所以请求报文要先经过NAT Server完成目的地址的转换后，又要做一个源地址NAT（也就是域内NAT）把PC的地址转换成防火墙上的一个地址

五、防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

当防火墙存在双机热备，就是存在主防火墙和备用防火墙，虽然在主防火墙挂掉以后会立即启用备用防火墙，但是流量过去以后不会穿过防火墙进行返回，因为流量在经过防火墙以后首包机制，只有首包才可以建立会话，才可以决定流量的走向，但主防火墙挂掉以后，会话表并没有同步在备用防火墙上，所以流量回去的时候是无法返回的。此时解决这个问题就要将两个防火墙进行同步数据以及会话同步，这样在主防火墙挂掉以后，备用防火墙有相关的数据信息以及会话表。当然也可以进行关闭首包建立会话的机制，但是这样会降低网络的安全性，不建议使用这种办法。

防火墙双机热备同步数据就需要用到VGMP这个协议进行。VRRP组管理协议VGMP（VRRP Group Management Protocol），负责统一管理加入其中的各备份组VRRP状态

解决了VRRP同步问题，流量也过不去，因为无法建立会话表，需要一个会话同步的机制，所以用到 HRP

HRP华为双机热备协议（Huawei Redundancy Protocol）可同步防火墙之间的ARP信息、NAT/PAT信息，以及防火墙上配置的安全策略信息等，能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。

六、防火墙支持那种接口模式，一般使用在那些场景？

部署透明模式(L2)：适用于用户不希望改变现有网络规划和配置的场景

部署路由模式(L3)：适用于需要防火墙提供路由和NAT功能的场景

部署混合模式(L1)：适用于防火墙在网络中即有二层接口，又有三层接口的场景

部署旁路模式(Tap)：适用于用户希望试用防火墙的监控、统计、入侵防御等功能，暂时不将防火墙直连在网络里

七、什么是IDS？

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

八、IDS与防火墙有什么不同？

IDS是对内网进行监控，而防火墙设置在内网外，当流量先经过防火墙的一系列检查以后进入内网区域，然后IDS对内网流量进行监控，并且在遇到问题以后采取主动的反应措施以及警报

九、IDS工作原理

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高；误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。用户都采取两种模式相结合的策略。

十、IDS主要检测方法有哪些详细说明

异常检测方法

基于贝叶斯推理检测法：是通过在任何给定的时刻，测量变量值，推理判断系统是否发生入侵事件。

基于特征选择检测法：指从一组度量中挑选出能检测入侵的度量，用它来对入侵行为进行预测或分类。

基于贝叶斯网络检测法：用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。按给定全部节点组合，所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图，弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时，就允许将它吸收为证据，为其他的剩余随机变量条件值判断提供计算框架。

基于模式预测的检测法：事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件，其特点是事件序列及相互联系被考虑到了，只关心少数相关安全事件是该检测法的最大优点。

基于统计的异常检测法：是根据用户对象的活动为每个用户都建立一个特征轮廓表，通过对当前特征与以前已经建立的特征进行比较，来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新，其保护去多衡量指标，这些指标值要根据经验值或一段时间内的统计而得到。

基于机器学习检测法：是根据离散数据临时序列学习获得网络、系统和个体的行为特征，并提出了一个实例学习法IBL，IBL是基于相似度，该方法通过新的序列相似度计算将原始数据（如离散事件流和无序的记录）转化成可度量的空间。然后，应用IBL学习技术和一种新的基于序列的分类方法，发现异常类型事件，从而检测入侵行为。其中，成员分类的概率由阈值的选取来决定。

数据挖掘检测法：数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在，审计记录大多都是以文件形式存放的。如果靠手工方法来发现记录中的异常现象是远远不够的，所以将数据挖掘技术应用于入侵检测中，可以从审计数据中提取有用的知识，然后用这些知识区检测异常入侵和已知的入侵。采用的方法有KDD算法，其优点是善于处理大量数据的能力与数据关联分析的能力，但是实时性较差。

基于应用模式的异常检测法：该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较，从而发现异常行为。

基于文本分类的异常检测法：该方法是将系统产生的进程调用集合转换为“文档”。利用K邻聚类文本分类算法，计算文档的相似性。

误用检测方法

模式匹配法：是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较，从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担，有较高的检测率和准确率。

专家系统法：这个方法的思想是把安全专家的知识表示成规则知识库，再用推理算法检测入侵。主要是针对有特征的入侵行为。

基于状态转移分析的检测法：该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为，防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中，一个渗透过程可以看作是由攻击者做出的一系列的行为而导致系统从某个初始状态变为最终某个被危害的状态。

十一、IDS部署方式

IDS（入侵检测系统）部署模式：旁路部署

(56条消息) IPS与IDS部署场景_ips部署位置以及部署方式_曹世宏的博客的博客-优快云博客

(56条消息) 网络入侵检测系统（IDS）的安装部署_入侵检测系统要数据库吗_暗哑于秋~的博客-优快云博客

十二、IDS签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

入侵防御签名用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击

签名过滤器的作用： 由于设备长时间工作，累积了大量签名，需要对其进行分类，没有价值会被过滤器过滤掉。起到筛选的作用。

签名过滤器的动作分为：

阻断：丢弃命中签名的报文，并记录日志。

告警：对命中签名的报文放行，但记录日志。

采用签名的缺省动作，实际动作以签名的缺省动作为准。

例外签名

由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名作用：

就是为了更加细化的进行流量的放行，精准的控制。

例外签名的动作分为：

阻断：丢弃命中签名的报文并记录日志。

告警：对命中签名的报文放行，但记录日志。

放行：对命中签名的报文放行，且不记录日志。

添加黑名单：是指丢弃命中签名的报文，阻断报文

所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单