深究防火墙

一、根据以下问题总结当天课程：
1.防火墙支持那些NAT技术，主要应用场景是什么？

        NAT（网络地址转换）：NAT是一种地址转换技术，能够将IP数据报文头的IP地址转换成另一个IP地址，并且通过转换端口号达到地址重用的目的。

NAT的作用：

1. 在一定程度上缓解 IP 地址空间枯竭的压力
2. 有效避免来自外网的攻击，可以很大程度上提高网络安全性（屏蔽私网 ip）
3. 控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题

NAT的分类：

源NAT：源NAT在转换时只将源地址进行转换，主要用于私网用户访问公网时，当年私网用户访问Internet时，私网用户发送的报文到达NAT设备后，NAT设备通过源NAT技术将用户的私网IP转换为公网IP，从而使私网用户能够上网。

目的NAT：目的NAT在转换时只转换目的端口号和目的端口地址，主要用于公网访问私网时，当公网用户发送的报文到达NAT设备后，NAT设备用目的NAT技术将报文中公网目的IP转换为私网IP。

双向NAT：双向NAT是指在转换过程中同时转换报文的源信息和目的信息，双向NAT不是单一的功能，是 源NAT 和 目的NAT 的结合，双向NAT针对同一条流，在经过设备时同时转换源地址和目的地址，双向NAT主要用于同时有公网用户访问私网服务器和私网用户访问私网服务器。

域间双向NAT的应用场景：当配置NAT Server时， 服务器需要配置到公网地址的路由才可正常发送回应报文， 如果要简化配置， 避免配置到公网地址的路由， 则可以对外网用户的源IP地址也进行转换， 转换后的源IP地址与服务器的私网地址在同一网段。
域内双向NAT：当内网用户和服务器部署在同一安全区域的情况下， 仍然希望内网用户只能通过访问服务器的公网地址的场景。 在实现域内NAT过程中， 既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址， 又需要将源地址由私网地址转换为公网地址。

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

原因：路由回流

  当用路由器防火墙等设备将内网服务器发布到公网上，供外网用户访问的过程中出现的一种现象，就是你发现web服务器已经成功发布了，外网用户能够成功访问，但内网用户确无法访问到web服务器，这就是路由回流。造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT（也被称作源地址转换）和端口映射（也被称为目标地址转换）造成的。

解决：需要在做NAT的路由器或防火墙上配置域内的NAT转换，让PC访问该公网域名时，防火墙或者路由器能正确的寻址。

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

 问题1：主防火墙挂掉后，VRRP会将流量转到备用防火墙，但是备用防火墙无法新建会话表信息，因为建立会画表需要首包，防火墙肯定检测不到首包，所以流量不能通过。

选择让用户重新发送流量：用户体验不佳

关闭检测，直接通过

问题2：当用户发送的流量通过主防火墙到目的端后主防火墙挂了，目的端回包使用备用防火墙，备用防火墙中没有会话表，通过不了。

问题3：当主防火墙一边的链路断了，显然链路直接不通了，如果VRRP没有同步状态，而流量还是会发送给主防火墙

当一个防火墙的一边的链路断掉了，那么另外一边也要进行切换，两边的VRRP必须同步状态，成为"一致行动人"。

解决方法：借助VGMP机制，可以实现对多个VRRP备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理等。

VGMP的作用：防火墙主备状态控制切换

VRRP管理组的功能：

状态一致性管理（管理组内VRRP备份组同步状态切换）

抢占管理（屏蔽VRRP备份组抢占）

通道管理（trans-only）

解决了VRRP同步问题，流量也过不去，因为无法建立会话表，需要一个会话同步的机制，所以用到  HRP

HRP   华为双机热备协议（Huawei Redundancy Protocol）

可同步防火墙之间的ARP信息、NAT/PAT信息，以及防火墙上配置的安全策略信息等，能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。
 

4.防火墙支持那些接口模式，一般使用在那些场景？

物理接口

1 )防火墙支持的接口可以是双层接口或者三层接口

2 )双层接口：端口交换机

3 )三层接口：还原端口交换机

逻辑接口

1 )虚拟模板(vt )接口、拨号接口

2 ) tunnel连接器、空连接器

3 ) vlanif接口

4 )三层以太网子连接器

5 )以太网中继接口、loobacp接口

 

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

1.检查区域的物理链路是否正常联通，

2.防火墙并没有相关的安全策略，没有放行该区域的流量，或者是策略中所选服务没有在ASPF中启用

3.双机热备：网络环境中用到了多个防火墙，有VRRP，有双机热备，但他们的热备并没有得到正确的配置