安全防御设备---防火墙2

1.防火墙支持那些NAT技术，主要应用场景是什么？

1）域间双向NAT

优点：因为路由的原因没有办法直接将包扔到外网，但是我们可以将包扔到防火墙处，然后在防火墙处做一个域间双向NAT实现内外网通讯。

缺点：若外网传递一个攻击包，那么内网收到的包因为防火墙处做了NAT策略破坏了数据包的完整性（所有包的源地址都相同），造成内网用户分辨不了攻击包，这样就会出现内网用户被攻击的现象。

注意：

• NAT策略：注意转换前数据包源、目的地址是什么，及转换后源、目的地址是什么

• 安全策略：注意没有做NAT时数据应该放行的参数，即做完NAT后应该放行的参数

2）域内双向路由

现象：内网用户请求的是同在内网服务器的公网地址，但是返回时是服务器的私网地址，此时用户等待的IP地址却是服务器公网地址，返回的IP地址不同，此时的数据包不会被采用。

域内NAT转换：

• 在防火墙处服务器回包时：源IP=私网IP，目的IP=公网IP
• 在防火墙NAT转换后：源IP=公网IP，目的IP=客户端私网IP

3）双出口NAT

现象：在出口连接的有两个运营商，此时有两个结构：主备结构、负载结构。我们去往不同服务器就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一天网段，回来的时候在没有做策略的情况下有可能会转移到第二条线路返回。

主备结构如何设置：使用浮动静态路由，两条缺省，一条优先级大，一条优先级小。

负载结构如何设置：将运营商的网段进行汇总，浮动路由+缺省路由

解决方法：写两条NAT，通过下一跳、出接口进行关联

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

出现的问题：内网用户请求的是同在内网服务器的公网地址，但是返回时是服务器的私网地址，此时用户等待的IP地址却是服务器公网地址，返回的IP地址不同，此时的数据包不会被采用。

解决方法：设置域内双向路由

• 此时内网设备发包时源IP就是内网设备的IP，目标IP时请求的内网服务器的公网IP；在进入防火墙后NAT转换后，将目的IP转换成服务器内网IP。
• 在服务器回包时，源IP就是服务器私网IP，目的地址是公网IP；传输到防火墙后，NAT转换将数据包的源IP转换成公网IP，目的地址转换成内网设备的私网IP。

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

VRRP：虚拟路由冗余模式，用于提高网络可靠性。在主机下一跳设备出现故障时，及时将业务切换到备份设备，保障网络通信的连续性和可靠性。

VRRP双机热备出现的问题：

• 来回路径不一致
• 在主机出现问题后，VRRP切换到备用设备，但是备用设备不能立马建立起来会话表，因为切到会话表时，一定不是第一个包，但是会话表是首包建立的，所以备用设备无法建立会话表，流量就不会通过该设备。

解决方法：

• 关闭状态检测机制，使非首包也能建立会话表
• 使用VGMP解决一致行动问题，进行统一管理，有抢占管理的功能
• 使用HRP（华为双机热备协议）解决同步问题，将主的动态数据和关键命令进行备份

4.防火墙支持那些接口模式，一般使用在那些场景？

防火墙的接口模式一共有四种：

• 路由模式：防火墙位于内部网络和外部网络之间，需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的IP地址，此时的防火墙就相当于一台路由器。（路由模式下可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能）
• 交换模式（透明模式）：防火墙采用透明模式时对于子网用户和路由器是透明的，这种模式对安全性没有影响，但是不能使用NAT、VPN等功能。
• 旁路检测：在仅对流量有审计需求、监控和网络行为控制的情况下，可以采用旁路检测模式。在该模式下，仅对流量进行统计、扫描或记录，并不对流量进行转发。接口为交换形态，但是旁路是终端设备，只需要一根网线就可以完成，一般采用端口镜像的方式。（端口镜像就是在流量进入的接口上将进入的流量复制一份发送到旁路检测的接口上）
• 接口对：一进一出两个接口。将两个同类型接口组成接口对后，从一个接口进入的流量固定从另一个接口转发出去，不需要查询路由表或MAC地址表。如果进、出接口配置为同一个接口，则从该接口进入的报文经过设备处理后仍然从该接口转发出去。

PS：在旁路模式下并不是一点防御都没有，如：在检测到TCP流量有问题时，设置回弹RST阻止TCP流量的传递。

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

1. 物理设备：查看PC的网卡、驱动、网线是否有故障
2. DHCP协议：DHCP是否给PC分配了IP，IP地址是否过期，IP地址是否冲突
3. 路由器：查看路由是否出现故障
4. DNS：对DNS进行测试，查看是否指定的有DNS服务器
5. 防火墙：查看防火墙的策略，是否对该PC的流量有限制
6. 双机热备：多个防火墙使用的VRRP、双机热备的配置是否正确