防火墙知识点

1、防火墙如何处理双通道协议？
防火墙使用ASPF处理双通道协议，ASPF可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则，开启ASPF功能后，防火墙通过协商报文的应用层携带的地址和端口信息，自动生成响应的server-map表，用于放行后续建立数据通道报文，相当于自动创建了一条精明的“安全策略”。

2、防火墙如何处理nat？
在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生 成传输进程返回的nat映射。

ALG Application Level Gateway 应用网关，用来处理上述应用层数据在NAT场景转换问题。 这也是导致交换机一般没有nat的主要原因。ALG 在nat会 抓包，生成一个返回的映射，重新算校验

3、防火墙支持那些NAT技术，主要应用场景是什么？
(1) 源NAT
内网主机访问外网主机
(2) server NAT
外网主机访问内网服务器
(3) 域间双向NAT
一般是解决内网服务器没有外网路由的问题
注意点：
NAT策略： 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么
安全策略： 把握住在没有做NAT时数据应该放行的参数，就是做完NAT后应该放行的参数
(4) 域内双向NAT：
内网用户请求的是同在内网服务器的公网地址，但是返回时是服务器的私网地址
此时用户等待的IP地址却是服务器公网地址，返回的IP地址不同，此时的数据包不会被采用
去的适合用防火墙，回来使用内网。
当内网PC以公网形式访问内网服务器时，需要用到域内NAT转换：
在防火墙处服务器回包时：源IP=私网IP，目的IP=公网IP
在防火墙NAT转换后：源IP=公网IP，目的IP=客户端私网IP
(5) 出口NAT：
如果在出口连接的处存在两个运营商，此时有两个结构：主备结构、负载结构。我们去往不同服务器就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一条网段线路，回来的时候在没有做策略的情况下有可能会转移到第二条线路返回。如此导致不同运营商的路线不同回来后转换的ip也会不同。
在以上情况我们就需要设置域内双出口NAT解决。即写两个NAT，双出口会出现NAT转换错乱
解决方案:
启动防火墙多出口选项，网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法。

4、当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？
客户端使用公网ip去访问服务器时，服务器会直接使用内网的ip通过内网路由给客户端回包。此时客户端收到的回包是内网的ip，但是客户端访问的是服务器是要外网公网ip回的。那么就会将数据包丢弃。
解决服务器回包使用内网ip地址问题
使用域内双向NAT解决问题：
将原数据包的源地址改为公网ip地址，目的地址由公网ip改为服务器的内网地址。如此服务器收到的包源ip就是公网ip，如此回包就会使用公网ip地址。内网客户端就不会丢弃ip回包。

5、防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？
当数据包回程不一致时，由于备用防火墙缺失会话表（首包机制）导致数据包不能通过。
解决方法：
（1）使用HRP（华为双机热备协议）解决同步问题，将主的动态数据和关键命令进行备份。使同步共享了信息避免了首包机制的问题。
（2）使用VGMP解决一致行动问题，进行统一管理，有抢占管理的功能。
（3）关闭状态检测机制，使非首包也能建立会话表。

6、防火墙支持那些接口模式，一般使用在那些场景？
路由模式
防火墙的接口三层路由接口的形式参与组网
交换模式
防火墙的接口二层交换接口的形式参与组网
接口对模式
接口对模式是一种特殊的二层模式，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的MAC寻址，也就类似网线的形式转发，速度快。
旁路模式
旁路模式的接口也是二层的交换机接口，该接口一般用于接收镜像流量，向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任务，功能是最少的。

7、什么是IDS？
IDS是入侵检测系统（Intrusion Detection System）的缩写，入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。
主要面对的三种用户：合法用户，伪装用户，秘密用户

8、IDS和防火墙有什么不同？
防火墙是针对黑客攻击的一种被动的防御，旨在保护；IDS则是主动出击寻找潜在的攻击者，发现入侵行为。
防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动。
防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统。
防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补。

9、IDS工作原理？
IDS（入侵检测系统）的工作原理可以分为以下几个步骤：
数据收集：IDS通过监控网络流量、系统日志、文件系统和操作系统等数据源来收集信息。这些数据源通常包括网络流量、主机日志、操作系统事件和系统配置等。
数据分析：IDS会对收集到的数据进行分析，以识别潜在的安全事件。这些事件可以是已知的攻击、漏洞或异常行为。
事件检测：IDS使用已知的规则和策略来检测可能的安全事件。这些规则和策略可以是基于签名的、行为分析的或异常检测的。
报警：如果IDS检测到了潜在的安全事件，它会向管理员发送警报，以通知管理员并提供有关事件的详细信息。管理员可以采取相应的行动来防止或响应安全事件。
IDS有两种不同的工作模式：主动模式和被动模式。在主动模式下，IDS可以采取措施来阻止安全事件，如禁止IP地址、关闭端口等。在被动模式下，IDS只是检测和报告安全事件，而不会采取进一步行动。

10、IDS的主要检测方法有哪些详细说明？
异常检测模型（Anomaly Detection）
首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是 入侵。
误用检测模型（Misuse Detection）
收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系 统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）

11、IDS的部署方式有哪些？
IDS（入侵检测系统）可以根据不同的需求和环境来部署，以下是一些常见的部署方式：
独立部署：将IDS部署为独立的系统，通过网络监控设备或网络镜像捕获流量，并分析和报告潜在的安全事件。这种方式的优点是灵活性高，可以轻松扩展和定制，但需要独立的硬件和软件支持。
网络边界部署：将IDS部署在网络的边界设备上，如防火墙、路由器等，以监视进出网络的流量，并分析和报告潜在的安全事件。这种方式的优点是易于管理和维护，但可能会受到网络拓扑和设备限制的影响。
主机内部部署：将IDS部署在主机内部，监视主机的日志和系统活动，以检测主机上的潜在安全事件。这种方式的优点是可以提供对主机内部的详细监控和报告，但需要在每台主机上安装和配置IDS，会增加管理和维护的成本。
云端部署：将IDS部署在云端环境中，监视云服务提供商的网络流量和系统活动，并分析和报告潜在的安全事件。这种方式的优点是可以提供对云环境的全面监控和报告，但需要考虑云服务提供商的限制和要求。
需要注意的是，在选择IDS部署方式时，需要根据实际需求和安全策略进行权衡和选择。同时，不同的部署方式可能需要不同的技术和资源支持，需要进行充分的规划和准备。

12、IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？
在IDS（入侵检测系统）中，签名是指已知的攻击或恶意代码的特征或指纹。IDS使用签名过滤器来检测已知的攻击或恶意代码，类似于防病毒软件使用病毒库来检测病毒。签名过滤器分析流量或系统数据，并将其与预定义的签名进行比较，如果匹配，则IDS会发出警报，指示可能发生了安全事件。
签名过滤器的作用是提供快速、准确的检测，尤其是对于已知的攻击和恶意代码，可以提供有效的防御和保护。签名过滤器可以是基于规则的，例如使用Snort等IDS的规则集，也可以是基于模式匹配的，例如使用YARA等工具进行模式匹配。
然而，由于攻击者不断地开发新的攻击和恶意代码，签名过滤器可能无法检测到未知的攻击和恶意代码，因此也需要使用其他的检测方法来提高检测的覆盖率和准确性。
除了签名过滤器外，IDS还可以使用例外签名配置。例外签名配置是一种定制化的IDS配置，可以用于忽略或排除特定的签名。这在特定情况下可能很有用，例如在某些环境中，一些正常的网络或系统行为可能会被IDS误报为攻击，这时可以使用例外签名配置来排除这些误报。需要注意的是，例外签名配置应该谨慎使用，只应该用于特定的情况和场景，以免降低IDS的安全性和效果。