当存在防火墙时,内网的通讯包无法直接发送到外网中因为防火墙并不是一个路由器无法转发。想要发送到外网就要将包扔到防火墙在防火墙做一个域间双向NAT实现内网网的通信。
优点:控制了内网对对外网的访问,一般用于解决内网服务器没有外网路由的问题
缺点:外网传递一个攻击包,那么内网收到的包因为防火墙处做了NAT策略破坏了数据包的完整性(所有包的源地址都相同),造成内网用户分辨不了攻击包,这样就会出现内网用户被攻击的现象。
注意:
NAT策略:注意转换前数据包源、目的地址是什么,及转换后源、目的地址是什么安全策略:注意没有做NAT时数据应该放行的参数,即做完NAT后应该放行的参数
内网用户请求的是同在内网服务器的公网地址,但是返回时是服务器的私网地址。
此时用户等待的IP地址却是服务器公网地址,返回的IP地址不同,此时的数据包不会被采用。
去的适合用防火墙,回来使用内网。
域内NAT转换:
在 防火墙处服务器回包时:源IP=私网IP,目的IP=公网IP
在防火墙NAT转换后:源IP=公网IP,目的IP=客户端私网IP
如果在出口连接的处存在两个运营商,此时有两个结构:主备结构、负载结构。我们去往不同服务器就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一条网段线路,回来的时候在没有做策略的情况下有可能会转移到第二条线路返回。如此导致不同运营商的路线不同回来后转换的ip也会不同。
在以上情况我们就需要设置域内双出口NAT解决。即写两个NAT
总体来说就是域内双向NAT,是解决内网的客户端通过使用公网IP访问外网【此时源地址为客户端在内网的地址】,如此外网服务器要返回包的时候会直接使用内网客户端的内网ip地址,然后就服务器使用内网ip通过内网的路由回包给客户端的问题。
补充:
主备结构:使用浮动静态路由,两条缺省,一条优先级大,一条优先级小。
负载结构:将运营商的网段进行汇总,浮动路由+缺省路由
客户端使用公网ip【源地址为客户端内网地址】去访问服务器时,服务器会直接使用内网的ip通过内网路由给客户端回包。此时客户端收到的回包是内网的ip,但是客户端访问的是服务器是要外网公网ip回包的。那么就会将数据包丢弃。
使用域内双向NAT解决问题
将原数据包的源地址改为公网ip地址,目的地址由公网ip改为服务器的内网地址。如此服务器收到的包源ip就是公网ip,如此回包就会使用公网ip地址。内网客户端就不会丢弃ip回包。
VRRP:虚拟路由冗余模式,用于提高网络可靠性。在主机下一跳设备出现故障时,及时将业务切换到备份设备,保障网络通信的连续性和可靠性
VRRP实现双机热备问题
1、出现原因是因为首包机制,当首包通过主用防火墙,就会生成一个session表,当主用防火墙就下线了,然后使用备用防火墙。但是备用防火墙上没有首包生成的session表导致后面的会话无法建立是无法通过备用防火墙建立会话的。
2、根本问题:session表主备没有同时建立,没有同步信息。从而导致出去与回来的包找不到出口或入口
我们知道根本原因是主备没有同时建立相同的session表内容,信息不同步导致的。于是
解决方法:
1、使用HRP(华为双机热备协议)解决同步问题,将主的动态数据和关键命令进行备份。使同步共享了信息避免了首包机制的问题
2、使用VGMP解决一致行动问题,进行统一管理,有抢占管理的功能
3、关闭状态检测机制,使非首包也能建立会话表
防火墙支持4种接口模式。详细如下:
**路由模式:**防火墙位于内部网络和外部网络之间,需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的IP地址,此时的防火墙就相当于一台路由器。(路由模式下可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能)【实现这一效果可以直接运行所有动作】
换模式(透明模式):防火墙采用透明模式时对于子网用户和路由器是透明的,这种模式对安全性没有影响起到一个交换机的功能。此模式下无法进行NAT,无法作为服务器也无法使用VPN。
旁路检测模式:当只对流量有审计需求、监控和网络行为控制的情况下,可以采用旁路检测模式。在改模式下防火墙作为一个旁挂的终端,仅可以流量进行统计、扫描或记录,它不能进行数据包的转发。需要进行端口映像将被被旁挂的设备的流量复制到防火墙上。这个时候防火墙不阻止大部分流量的传输。通常情况下旁站检测模式就只是检测功能,起到一个IDS/IPS的作用。
接口对:采用两个接口,分为同口进出和不同口进出,接口对可以提高速度,不需要查表并且可以对该接口对进行隔离。
不同口进出:将两个同类型接口组成接口对后,从一个接口进入的流量固定从另一个接口转发出去,不需要查询路由表或MAC地址表。
同口进出:如果进、出接口配置为同一个接口,则从该接口进入的报文经过设备处理后仍然从该接口转发出去。
1、防火墙的安全策略可能出现了问题,检查安全策略中是否策略中没有允许某个区域的oc数据包通过防火墙。
2、防火墙的接口ip地址配置错误,导致无法准确连接各个区域。