防火墙和IDS

一、结合以下问题对当天内容进行总结

1. 防火墙如何处理双通道协议？

FW通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”

2，防火墙支持那些NAT技术，主要应用场景是什么？

1.源NAT：源NAT在NAT转换时，仅对报文中的源地址进行转换，主要应用于私网用户访问公网的场景。

有：NO-PAT,NAPT,Easy_ip,smart_nat,三元组NAT。

2.目的NAT ：目的NAT在NAT转换时，仅对报文中的目的地址和目的端口号进行转换，主要应用于公网用户访问私网服务的场景。

有：NAT-Server,SLB

 3.双向NAT：指转换过程中同时转换报文的源信息和目的信息，双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景

3. 防火墙如何处理NAT？

NAT ALG
在路由器上nat针对多通道协议也会项防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生
成传输进程返回的nat映射。

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

使用NAT域内双向转换
源地址和目的地址同时转换
公网地址与私网端口一对一转换

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

6. 防火墙支持那些接口模式，一般使用在那些场景？

路由模式-防火墙的接口三层路由接口的形式参与组网
交换模式-防火墙的接口二层交换接口的形式参与组网
接口对模式-接口对模式是一种特殊的二层模式，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的
MAC寻址，也就类似网线的形式转发，速度快。
旁路模式-旁路模式的接口也是二层的交换机接口，该接口一般用于接收镜像流量，向主机一样旁观在设备上。通
过旁观设备的端口镜像技术收集流量给给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任
务，功能是最少的

7. 什么是IDS？

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术

8. IDS和防火墙有什么不同？

IDS和防火墙的区别：防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护的网络有害的流量或数据包）的设备。而IDS则是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备

9. IDS工作原理？

10. IDS的主要检测方法有哪些详细说明？

1）、异常检测：当某个事件与一个已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓，当一个事情在轮廓以外，就认为是异常，IDS就会告警。

特征：IDS核心是特征库（签名），符合特征库的就被干掉。

2）、误用检测：收集非正常操作的行为特征，建立相关的特征库，当检测的用户或者系统行为库中的记录相匹配时，系统就默认这种行为是入侵误用检测模型也称为特征检测。

11. IDS的部署方式有哪些？

IDS产品采用的是
旁路部署方式（旁路其实可以理解一个流量终端，用到旁挂我们就需要用到镜像端口功能，将我们需要检测的流量copy到旁挂的端口）
，一般直接通过交换机的监听口进行网络报文采样，或者在需要监听的网络线路上放置侦听设备（如分光器、集线器

12. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS的签名就是特征的意思，入侵防御签名用来描述网络中存在的攻击行为的特征。

签名过滤器：通俗来讲就是有一堆流量的时候，你只希望选择符合你要求的某一些流量进入，不符合要求的阻难。定义这些要求的工具，就是签名过滤器。

例外签名的配置作用：例如我们设置了很多签名，这些签名都匹配上了动作，但是某个签名有误报，就导致我们一些正常的流量无法获取，所以我们想某个签名放行，这就用到列外签名

。