1、防火墙如何处理双通道协议
2、防火墙如何处理nat
3.防火墙支持哪些NAT技术,主要应用的场景是什么?
4.当内网PC通过公网域名解析访问内网服务器的时候,会存在什么问题,如何解决?请详细说明
5.防火墙使用VRRP实现双机热备会遇到什么问题,如何解决?请详细说明
6.防火墙支持哪些接口模式,一般使用在哪些场景?
域间双向编辑 双机热备实验
FTP采用典型的C/S架构(即服务器端与客户端模型),客户端与服务器端建立TCP连接之后即可实现文 件的上传、下载。
针对传输的文件类型不同,FTP可以采用不同的传输模式: ASCII模式:传输文本文件(TXT、LOG、CFG )时会对文本内容进行编码方式转换,提高传输效 率。当传输网络设备的配置文件、日志文件时推荐使用该模式。 Binary(二进制)模式:非文本文件(cc、BIN、EXE、PNG),如图片、可执行程序等,以二进 制直接传输原始文件内容。当传输网络设备的版本文件时推荐使用该模式。这些文件无需转换格式 即可传输。 FTP存在两种工作方式:主动模式(PORT)和被动模式(PASV)。
在主动模式客户端向服务端的TCP的21号端口发起三次握手,建立控制连接,客户端通过FTP PORT命令通知服务端自己的随机端口为P,由服务端向客户端的TCP PORT P 发起三次握手,建立传输连接其中服务端的源端口为20.
在被动模式下,客户端向服务端的TCP 的21端口发起三次握手,建立控制连接,客户端向服务端发送PASV命令,服务端通过Enter PASV命令告知客户端自己的随机端口为M,由客户端向服务端的TCP PORT M发起三次握手,建立传输连接。
NAT ALG
在路由器上nat针对多通道协议也会项防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生 成传输进程返回的nat映射。
困境
某些协议会在应用层携带通信ip,这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是 转三层ip,这就导致某些协议的通信阶段在nat场景下失败。
防火墙nat类型的server-map
dis firewall server-map
2023-03-18 08:07:54.050
Current Total Server-map : 1
Type: Nat Server, ANY -> 100.1.1.111:80[10.1.2.2:80], Zone: untrust , protoc ol:tcp
Vpn: public -> public
源NAT
场景:主要应用在内网用户没有外网服务的路由时,在内网用户想要访问外网的某台服务器时,发送的数据包的源IP为自己的私网IP,目的IP为服务器的公网IP,在通过边界路由器或者防火墙时,需要将自己的私网IP转换成公有IP去访问。服务端回包时的源IP为自己的公有IP,目的IP为私网用户的公有IP。
server-nat
场景:私网服务器需要对外网用户提供服务时;在网络中无法访问一个私网的用户,当服务器处于私网内部时,外部人员无法访问;此时,就需要将内网服务器的IP和服务通过server-nat映射到私网边界的路由器或者防火墙的公网IP。让外网人员通过访问边界设备的公有IP来达到访问内网服务器的目的。
域间双向转换
场景:假设内网服务器只允许内网用户访问,但是由于某种特殊要求,现在需要外网用户对内网服务器也发起访问,就需要在访问的时候将源目IP都进行NAT。
域内双向转换
场景:假设内网有一台服务器,在内网用户想要去访问的时候,一般先去DNS服务器解析出服务器的IP地址,在服务映射的情况下,向外提供的是公网IP,所以在内网用户访问的时候也是使用公网IP访问,就需要在做域内双向转换。
双出口nat
场景:某个企业使用两条运营商的宽带;需要将属于某个运营商的网段进行nat然后与该运营商的下一跳进行关联,就不会出现nat转换错乱的问题。
发生问题:数据通信无法实现
DNS域名解析解析出来是公网地址,就是内网用户向外网用户发送DNS查询,外网DNS会给内网用户回复,如果防火墙上面加了DNS参数,防火墙就会监控DNS回包,如果发现DNS回包的地址是映射到内网了,那么防火墙就会修改DNS回包把answer的地址改为内网的地址。
DNS属于多通道协议,防火墙默认开启了ALG功能,可以检测到DNS Response报文数据域answer字段的IP地址,查看是否匹配server-map表项,如果能匹配,则将对应的公网IP地址转换为私网IP地址,因此,在内网访问服务器直接通过私网IP地址进行访问,不会导致访问失败的现象出现。而通过公网地址访问的时候防火墙ALG进程会通过匹配server-map表项,修改回程会话
交换模式 --- 通过第二层对外连接(接口无IP 地址)
路由模式 --- 以第三层对外连接(接口具有IP 地址)
接口对模式 --- 加快接口的转发效率(不需要查看MAC地址表)
旁路模式 --- 该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务。
server-nat
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 3
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/3]port default vlan 3
sw1]ip route-static 0.0.0.0 0 10.1.2.254
[sw1-Vlanif3]ip add 10.1.2.1 24
[sw1-Vlanif2]ip add 10.1.1.1 24
fw2
fw3
双机热备配置
另一个防火墙也是同样操作
另一个防火墙也是同样操作