zj2059129607的博客

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。双机热备典型组网图。

当通过global IP地址配置nat server后，再通过基于接口地址的方式配置nat server，当被借用的接口的地址与global IP地址相同时，二者冲突，基于接口方式的nat server不生效。当内网部署了一台服务器，其真实IP是私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置nat server，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。外部网络的用户访问内部服务器时，nat将请求报文的目的地址转换成内部服务器的私有地址。将接口加入防火墙区域。

入侵防御是一种安全机制，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。介绍URL过滤特性的概述以及URL过滤与DNS过滤的关系。员工在工作时间随意地访问与工作无关的网站，严重影响了工作效率。员工随意访问非法或恶意的网站，造成公司机密信息泄露，甚至会带来病毒、木马和蠕虫等威胁攻击。在内部网络拥堵时段，无法保证员工正常访问与工作相关的网站（如公司主页、搜索引擎等），影响工作效率。

NAT Server会生成Server-map表，并通过Server-map保存地址转换前后的映射关系。与NAT Server不同，基于NAT策略的静态目的NAT不会产生Server-map表。但如果转换前的地址没有变化,转换后的目的地址也不会改变，转换前后的目的依然会存在固定的映射关系。FW在进行地址转换的过程中还可以选择是否多个地址转换为同一个目的地址，是否选择端口转换，以满足不同场景的需求。静态目的NAT是一种转换报文目的IP地址的方式，且转换前后的地址存在一种固定的映射关系。将接口加入防火墙区域。

随着内部用户数量的不断增加，地址池中的地址数可能不再能满足用户上网需求，部分用户将得不到转换地址而无法访问Internet。Smart NAT是一种可以在No-PAT的NAT模式下，指定某个IP地址预留做NAPT方式的地址转换方式。查看会话表发现，此方式下，FW优先采用No-PAT的方式转换地址。当可被No-PAT方式的公网地址用完时，新的用户连接将使用预留的这个IP地址做NAPT方式的地址转换。当可被No-PAT方式的公网地址用完时，新的用户连接将使用预留的这个IP地址做NAPT方式的地址转换。

VRRP（Virtual Router Redundancy Protocol）是一种容错协议，它保证当主机的下一跳路由器（默认网关）出现故障时，由备份路由器自动代替出现故障的路由器完成报文转发任务，从而保持网络通信的连续性和可靠性。在FW上配置VRRP时，是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备，拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。和。

此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，FW根据端口区分不同用户，所以可以支持同时上网的用户数量更多。此外，NAPT方式不会生成Server-map表，这一点也与NAT No-PAT方式不同。NAPT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。查看会话表去往外网的流量会被转换成NAT地址池中的1.1.1.10IP地址。NAPT工作原理示意图。

当FW的公网接口通过拨号方式动态获取公网地址时，如果只想使用这一个公网IP地址进行地址转换，此时不能在NAT地址池中配置固定的地址，因为公网IP地址是动态变化的。此时，可以使用Easy IP方式，即使出接口上获取的公网IP地址发生变化，FW也会按照新的公网IP地址来进行地址转换。查看会话表发现此方式下，私网IP都转换为出接口的公网IP地址1.1.1.1，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，FW根据端口区分不同用户，所以可以支持同时上网的用户数量更多。

NAT No-PAT是一种NAT转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的地址转换方式。如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网时不会进行NAT转换，直到地址池中有空闲地址时才会进行NAT转换。全局NO-PAT生成的Server-Map表中不包含安全区域参数，一旦建立，所有安全区域的Server都可以访问内网Host。本地NO-PAT生成的Server-Map表中包含安全区域参数，只有此安全区域的Server可以访问内网Host。NAT No-PAT工作原理示意图。

目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址，使公网用户可以利用私网地址访问内部Server。转换过程如所示。目的NAT工作原理示意图根据转换后的目的地址是否固定，目的NAT分为静态目的NAT和动态目的NAT。

以此类推，如果所有安全策略都不匹配，则FW会执行缺省安全策略的动作（缺省安全策略的动作默认为“禁止”）。一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测，根据检测的结果执行安全配置文件的动作。FW会对收到的流量进行检测，检测出流量的属性，包括：VLAN ID、源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协议类型）、应用、URL分类和时间段。另外，FW的所有内容安全功能都可以通过安全策略引用安全配置文件实现，真正做到了配置的一体化，降低了配置难度。