安全防御——防火墙二

1、防火墙支持哪些NAT技术，主要应用场景是什么？

NAT类型：

根据转化方式的不同，NAT可以分为三类：

1、源NAT，源地址转化的NAT。

​ 有：NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT

2、目的NAT：将目的地址做转化。

​ 有：NAT-Server， SLB

3、双向NAT：即做源地址转化，又做目的地址转化。

NAT地址池： 是指用NAT转换时用于分配公网的IP地址范围。进行转换时，设备会从该地址池中选择一个地址，用于替换报文的源IP地址。

源NAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP地址转换成公网IP地址，使私网用户可以利用公网地址访问Internet。

目的NAT是指对报文中的目的地址和端口进行转换。

双向nat：针对同一数据流，如果需要同时改变报文的源地址和目的地址，就可以配置“源NAT + NAT Server”，称此类NAT技术为双向NAT。

2、当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明。

问题—路由回流

当用路由器防火墙等设备将内网服务器发布到公网上，供外网用户访问的过程中出现的一种现象，就是你发现web服务器已经成功发布了，外网用户能够成功访问，但内网用户确无法访问到web服务器，这就是路由回流。造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT（也被称作源地址转换）和端口映射（也被称为目标地址转换）造成的。

解决方案

1、内部NAT方案

​ 内网用户与服务器使用不同网段

​ 内网用户与服务器相同网段

2、内网DNS方案

在内网配置一台DNS服务器，内网的所有客户端的DNS的IP都填写这台内网的DNS服务器的IP地址，还需要在内网DNS服务器上配置转发器，转发器中填写公网上的运营商DNS服务器的IP地址就可以解决访问其他网站的问题了。
3、防火墙DNS Mapping方案

注意不是所有的防火墙都支持路由回流，配置域名+外网IP+内网IP即可。
4、路由器DNS Mapping方案

[R1] nat dns-map www.abc.com 192.168.1.100 80 tcp
5、其他方案

如果内网需要使用域名访问的用户不多，则可以在内网机器上的C:\Windows\System32\drivers\etc\hosts添加以一行记录，192.168.1.100 www.abc.com，这样就可以了。

3、防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明。

问题1：

主防火墙挂掉后，VRRP会将流量转到备用防火墙，但是备用防火墙无法新建会话表信息，因为建立会画表需要首包，防火墙肯定检测不到首包，所以流量不能通过。
选择让用户重新发送流量：用户体验不佳
关闭检测，直接通过
1
2
3

问题2：

当用户发送的流量通过主防火墙到目的端后主防火墙挂了，目的端回包使用备用防火墙，备用防火墙中没有会话表，通过不了。
1

问题3：

当主防火墙一边的链路断了，显然链路直接不通了，如果VRRP没有同步状态，而流量还是会发送给主防火墙
当一个防火墙的一边的链路断掉了，那么另外一边也要进行切换，两边的VRRP必须同步状态，成为"一致行动人"。
1
2

解决方法：

借助VGMP机制，可以实现对多个VRRP备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理等。
1

VGMP的作用：

防火墙主备状态控制切换
1

VRRP管理组的功能：

状态一致性管理（管理组内VRRP备份组同步状态切换）

抢占管理（屏蔽VRRP备份组抢占）

通道管理（trans-only）
1
2
3
4
5

解决了VRRP同步问题，流量也过不去，因为无法建立会话表，需要一个会话同步的机制，所以用到 HRP

HRP 华为双机热备协议（Huawei Redundancy Protocol）
可同步防火墙之间的ARP信息、NAT/PAT信息，以及防火墙上配置的安全策略信息等，能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。

4、防火墙支持哪些接口模式，一般使用在那些场景？

L1 ~ L3 模式是将防火墙进行串连，TAP 模式是防火墙进行旁挂

L3 模式

也叫做 NAT 模式，和路由器接口一样，是拥有 IP 地址的接口。使用路由 选择、NAT 以及连接 IPSec VPN 或 SSL VPN 时，必须使用 L3 模式接口。接口可配置静态 IP 地址，也可通过 PPPoE、DHCP 动态获取 IP 地址。

L2 模式

也叫做透传模式或透明模式，和交换机一样，是进行交接的接口。进行 IP 地址分配时，需要使用 VLAN。

L1 模式

也叫做虚拟线缆模式。把两个接口组成一组，流量在一个接口输入， 在另一个接口输出。这个模式下无法进行路由和桥接。

TAP 模式

与交换机镜像端口连接的模式。对交换机的数据帧进行检测。由于不是串连，无法阻止非法通信。

5、客户反馈在部署防火墙后网络出现个别区域的PC无法访问互联网，你觉得会是什么原因

原因：一般来说都是防火墙的设置有问题，才会导致这种情况发生。

步骤：
1、先打开“控制面板”，找到并依次单击打开“系统和安全”——>“允许应用通过windows防火墙”。

2、打开之后，在右侧的选项里找到“windows防火墙”，在选项下面有两个小的选项，先点击“允许应用通过windows防火墙设置”，然后在出现的允许应用里面找到“核心网络”，在前面的小方块打上勾。

3、然后我们返回到“windows防火墙”选项中，选择“检查防火墙状态”选项，在新页面中，我们点击左侧菜单栏的“启用或关闭windows防火墙”选项，然后把“阻止所有传入连接，包括位于允许应用列表中的应用”选项前的勾去掉。

4、做完之后就可以上网了。