【安全防御】防火墙(二)

这篇具有很好参考价值的文章主要介绍了【安全防御】防火墙(二)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

1、防火墙如何处理双通道协议

2、防火墙如何处理nat

3、防火墙支持哪些NAT,主要应用的场景是什么?

4、当内网PC通过公网域名解析访问内网服务器的时候,会存在什么问题,如何解决?请详细说明

5.防火墙使用VRRP实现双机热备会遇到什么问题,如何解决?请详细说明

 6、防火墙支持哪些接口模式,一般使用在哪些场景?

 8、双机热备实验


1、防火墙如何处理双通道协议

FTP是一个典型的多通道协议,在主动模式客户端向服务端的TCP的21号端口发起三次握手,建立控制连接,客户端通过FTP PORT命令通知服务端自己的随机端口为P,由服务端向客户端的TCP PORT P 发起三次握手,建立传输连接其中服务端的源端口为20.

在被动模式下,客户端向服务端的TCP 的21端口发起三次握手,建立控制连接,客户端向服务端发送PASV命令,服务端通过Enter PASV命令告知客户端自己的随机端口为M,由客户端向服务端的TCP PORT M发起三次握手,建立传输连接。

安全策略存在的问题:对于类似于FTP这种双通道协议,由于其中端口的随机性,导致无法书写安全策略的参数,假如对于端口参数选择any,会使得颗粒度较大,以至于让防火墙失去效果。

ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息(可以理解为在双方建立传输通道之前协商端口的报文)并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。

2、防火墙如何处理nat

NAT ALG

在路由器上nat针对多通道协议也会项防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生 成传输进程返回的nat映射。

困境

某些协议会在应用层携带通信ip,这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是 转三层ip,这就导致某些协议的通信阶段在nat场景下失败。

【安全防御】防火墙(二)

  防火墙nat类型的server-map

<USG6000V1>dis firewall server-map
2023-03-18 08:07:54.050
Current Total Server-map : 1
Type: Nat Server, ANY -> 100.1.1.111:80[10.1.2.2:80], Zone: untrust , protoc
ol:tcp
Vpn: public -> public

3、防火墙支持哪些NAT,主要应用的场景是什么?

源NAT

场景:主要应用在内网用户没有外网服务的路由时,在内网用户想要访问外网的某台服务器时,发送的数据包的源IP为自己的私网IP,目的IP为服务器的公网IP,在通过边界路由器或者防火墙时,需要将自己的私网IP转换成公有IP去访问。服务端回包时的源IP为自己的公有IP,目的IP为私网用户的公有IP。

server-nat

场景:私网服务器需要对外网用户提供服务时;在网络中无法访问一个私网的用户,当服务器处于私网内部时,外部人员无法访问;此时,就需要将内网服务器的IP和服务通过server-nat映射到私网边界的路由器或者防火墙的公网IP。让外网人员通过访问边界设备的公有IP来达到访问内网服务器的目的。

域间双向转换

场景:假设内网服务器只允许内网用户访问,但是由于某种特殊要求,现在需要外网用户对内网服务器也发起访问,就需要在访问的时候将源目IP都进行NAT。

域内双向转换

场景:假设内网有一台服务器,在内网用户想要去访问的时候,一般先去DNS服务器解析出服务器的IP地址,在服务映射的情况下,向外提供的是公网IP,所以在内网用户访问的时候也是使用公网IP访问,就需要在做域内双向转换。

双出口nat

场景:某个企业使用两条运营商的宽带;需要将属于某个运营商的网段进行nat然后与该运营商的下一跳进行关联,就不会出现nat转换错乱的问题。 

4、当内网PC通过公网域名解析访问内网服务器的时候,会存在什么问题,如何解决?请详细说明

场景:私网内部有一台服务器提供服务(192.168.56.63),现私网内部人员(192.168.1.15)通过DNS解析出来的地址去访问私网服务器,由于DNS解析出的地址为公有IP(14.2.23.5);

转换前数据包格式:

源IP:192.168.1.15         目IP:14.2.23.5

如果只是在简单的server-nat下,只会转换目的IP

转换后数据包格式:

源IP:192.168.1.15        目IP:192.168.56.63

在服务端回包时,会按照转换后的数据包进行回包,但接收方(客户端)收到的报文格式与本端发送时不一致,就回丢弃该报文,导致双方通信失败。

解决方法:域间双向nat

转换前数据包格式:

源IP:192.168.1.15                          目IP:14.2.23.5

转换后数据包格式:

源IP:14.2.23.6(公网池地址)       目IP:192.168.56.63

发包和收包报文格式一致,双方正常通讯。

5.防火墙使用VRRP实现双机热备会遇到什么问题,如何解决?请详细说明

【安全防御】防火墙(二)

 6、防火墙支持哪些接口模式,一般使用在哪些场景?

交换模式 --- 通过第二层对外连接(接口无IP 地址)

路由模式 --- 以第三层对外连接(接口具有IP 地址)

接口对模式 --- 加快接口的转发效率(不需要查看MAC地址表)
旁路模式 --- 该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务。

【安全防御】防火墙(二)

 源NAT

【安全防御】防火墙(二)

 server-nat

【安全防御】防火墙(二)

 测试【安全防御】防火墙(二)

域内双向nat

【安全防御】防火墙(二)

【安全防御】防火墙(二)

 域间双向nat

【安全防御】防火墙(二)

 8、双机热备实验

【安全防御】防火墙(二)

[sw1-GigabitEthernet0/0/1]port link-type access 

[sw1-GigabitEthernet0/0/1]port default vlan 2

[sw1-GigabitEthernet0/0/2]port link-type access 

[sw1-GigabitEthernet0/0/2]port default vlan 3

[sw1-GigabitEthernet0/0/3]port link-type access 

[sw1-GigabitEthernet0/0/3]port default vlan 3

sw1]ip route-static 0.0.0.0 0 10.1.2.254

[sw1-Vlanif3]ip add 10.1.2.1 24

[sw1-Vlanif2]ip add 10.1.1.1 24

fw2

【安全防御】防火墙(二)

【安全防御】防火墙(二)

【安全防御】防火墙(二)

 fw3

【安全防御】防火墙(二)

【安全防御】防火墙(二)

【安全防御】防火墙(二) 双机热备配置

【安全防御】防火墙(二)

【安全防御】防火墙(二)

【安全防御】防火墙(二)

另一个防火墙也是同样操作

【安全防御】防火墙(二)

 双机热备测试(抓包) 

【安全防御】防火墙(二)文章来源地址https://www.toymoban.com/news/detail-413520.html

到了这里,关于【安全防御】防火墙(二)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全防御——二、ENSP防火墙实验学习

    我们使用实验进行讲解: 首先我们自行完成安全防御一,进入到如下界面: 这里我们的ENSP拓扑依旧是简单拓扑: 在这里呢,我们经常会发现时常超时,重连,虽然我们不建议配置永不超时,但是我们在实验界面就没那么多硬性要求: 我们可以通过如下命令配置永不超时:

    2024年02月05日
    浏览(46)
  • 网络防御--防火墙

    2024年02月07日
    浏览(38)
  • 防御保护---防火墙综合实验

    办公区的设备可以通过电信链路和移动链路上网 分公司设备可以通过总公司的移动链路和电信链路访问到DMZ区域的HTTP服务器 分公司内部的客户端可以通过公网地址访问到内部的服务器 FW1和FW2组成主备模式双击热备 办公区上网用户限制流量不超过60M,其中销售部10人,每人限

    2024年02月19日
    浏览(52)
  • 如何构筑医疗行业视频监控安全防火墙?

    你有想过自己去医院检查的视频可能会被拍摄泄露到外网被万人围观吗? 这并不是危言耸听,有医生私自接摄像头,也有手术室必要的摄像头,更有公共摄像头拍摄的视频被泄露。 随着近年来不少医院手术室都安上了这只“上帝之眼”,摄像头造成的泄露事件越来越多。

    2024年04月09日
    浏览(46)
  • 网络安全入门:什么是防火墙,防火墙有哪些功能

    网络安全领域是安全行业最基本的领域,研究的技术范畴主要围绕防火墙/NGFW/UTM、网闸技术、入侵检测/防御、VPN网关(IPsec/SSL)、抗DDOS、上网行为管理、负载均衡/应用交付、流量分析、漏洞扫描等。以下主要介绍什么是防火墙,防火墙有哪些功能? 什么是防火墙? 所谓“

    2024年02月09日
    浏览(58)
  • ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    注:所有的通信使用静态路由来保证。 HQ: Partner Branch HQ Partner Branch HQ Partner HQ Branch HQ Branch HQ HQ Partner Branch 注:此为FTP服务器设置 注:客户端Client3成功访问FTP服务器的截图 注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到

    2023年04月08日
    浏览(40)
  • 防火墙安全策略①

    基本定义 防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够

    2024年02月09日
    浏览(47)
  • 防火墙安全策略

    目录 防火墙安全策略 实验图  1.配置防火墙图形界面         先添加UDP端口          添加网段网卡         启动防火墙FW1          查找防火墙 0/0/0 端口默认的IP地址         将地址与回环端口的地址改为同一网段         放行策略,RTPS协议         测试    

    2024年01月19日
    浏览(36)
  • 防火墙部署安全区域

    防火墙主要部署在网络边界起到隔离的作用 防火墙通过安全区域来划分网络、标识报文流动的“路线” 为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别

    2024年01月17日
    浏览(55)
  • 防火墙安全配置

    防火墙 防火墙是一种隔离非授权用户所在区间并过滤对受保护网络有害流量或数据包的设备 防御对象 授权用户 非授权用户 防火墙的区域 区域的划分,根据安全等级来划分 区域拥有不同的安全等级,内网(trust)一般是100,外网(untrust)一般是0,服务器区域(DMZ)一般是

    2024年02月03日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包