安全防御第二天：防火墙

一、ASFP（多通道协议）

1.多通道协议

多通道协议，一般是指FTP RTSP DNS QQ 微信 MSN，其一般控制进程与传输进程分离，意味着控制进程的协议和端口与传输进程的协议和端口不一致，多通道协议无法用安全策略表去解决，否则强行解决会导致颗粒度过大，防火墙防御失效。

ASPF多通道协议其实就是指可以抓取并分析多通道协议的控制报并找到传输进程所需的详细网络参数（多通道协议都是通过控制进程报文协商处理传输进程网络参数），最后通过ASPF分析控制进程的特殊报文找到传输进程的报文参数，生成server-map表，放行传输进程报文。之后传输进程匹配server-map表后生成会话表，传输进程后续进行报文匹配会话表。

2.server-map表

多于多通道协议比如FTP、VOIP等协议，通道是随机协商出的，防火墙不能设置策略也无法形成会话表（按照目前所学）。解决办法，使用ASPF技术，查看协商端口号并动态建立server-map表放过协商通道的数据。ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”。

3.STUN类型协议与server-map表

要实现QQ2在外网主动向QQ1内网的语音或者视频连接，也需要防火墙对该应用采用ASPF的方式处理来监听协商端口。MSN等用户连接服务器时，设备会记录下用户的IP地址和端口信息，并动态生成STUN类型的Servermap。这个Server-map表项中仅包含三元组信息，即通信一方的IP地址，端口号和协议号。这样其他用户可以直接通过该IP和端口与该用户进行通信。只要有相关的流量存在，STUN动态的Server-map就将一直存在。在所有相关流量结束后，Server-map表开始老化。

4.端口识别

端口识别是把非标准协议端口映射可识别的应用协议端口

[NGFW]acl 2000
[NGFW-acl-basic-2000]rule permit source 20.0.0.1 0
[NGFW]port-mapping FTP port 31 acl 2000

二、 NAT ALG

在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生成传输进程返回的nat映射。

1.ALG

Application Level Gateway 应用网关，用来处理上述应用层数据在NAT场景转换问题。

这也是导致交换机一般没有nat的主要原因。

2.一般NAT使用场景

（1）普通NAT转换（接口转换）

（2）端口映射NAT转换（把外网地址转换为公网端口的IP地址）

（3）域外NAT转换（一般把外网地址转换为公网地址，然后在转换成DMZ区域的公共地址，之后目

的为dmz）

（4）域间NAT转换（一般先给外网做一个端口映射，再给内网做一个nat接口的转换）

三、双机热备

1. 需要HRP（会话同步协议）和VGMP（组管理协议）才可以实现其高可用

2. 双机热备部署的主要图

3.如何解决防火墙在双机热备的时候出现的问题

4.HRP

5.作用

双击热备和负载分担一般是为了帮助我们做备份设备，当我们的主设备挂掉以后，我们的备用设备可以接替我们的主设备继续进行通信，保证我们网络的畅通性