防火墙的策略

这篇具有很好参考价值的文章主要介绍了防火墙的策略。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.防火墙支持哪些NAT技术,主要的应用场景是什么?

首先,NAT的分类:

        在内外网之间,流量进出的两个方向,而NAT技术是包含源地址转换和目标地址转换这两类,在通常的情况下,源地址转换是主要用于解决内部局域网计算机访问外部网络的场景;而目标地址转换时用于解决外部网络用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。

                1.NAT NO-PAT

                            NAT NO-PAT : 类似于思科的动态转化,多对多,不转化端口,不能解约公网IP地址        

                             它的实际应用场景比较少,主要用内网访问外网的用户比较少,而公网IP地址足够多的场景。

                

                2.NPAT

                             NPAT(网络地址和端口转换):类似于思科的PAT转换,NAPT转换就是转换报文的源地址,又转换源端口。转换后的地址不能是外网接口的IP地址。

                              属于多对多或这多对一的转换,可以节约公网IP地址,使用场景较多。

                3.EASY-IP

                              出接口地址:因为转换方式比较简单,所以被称为easy-ip。和napt一样,就是转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是nat设备外网接口所配置的IP地址,属于多对一转换。可以节约IP地址。

                4.NAT Server

                               静态一对一发布,主要用于内部服务器需要对外网提供服务时使用。

                5.Smart NAT

                               Smart nat  智能转换,通过预留一个公网地址进行napt转换,而其他的公网地址用来进行nat no-pat转换,因为方式比较独特,该方式一般不常用。

                6.三元组NAT

                                三元组NAT和源IP地址、源端口、协议类型有关的一种转换。将源IP地址和源端口转换为固定公网IP地址和端口,解决一些特殊应用在普遍NAT中无法实现的问题。

                                主要应用于外部用户访问局域网的一些P2P应用。

2.防火墙如何解决内网设备通过域名访问内网服务器问题?

        当用防火墙将内网服务器发布到公网上,供外网用户访问的过程中,会出现一种现象,就是web服务器已经成功发布了,外网的用户能够成功的访问,但是内网的用户却无法访问到web服务器,这就属于到路由回流。会造成路由回流的原因主要是因为出口设备路由器或者防火墙做了NAT/PAT也就是源地址转换和端口映射,使得在出去的地址在通过防火墙回来时不知道对选择哪个端口,从而使得内网用户访问不了web服务器。

        需要做NAT的路由器或防火墙上配置域内的NAT转换,让pc访问该公网域名时,防火墙或者路由器能正确的寻址。

3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

防火墙策略,服务器,网络,linux,系统安全

        因为首包机制的存在,在主防火墙down掉时,备份防火墙不能继续传输,需要同步会话表才能继续接替主防火墙的工作。(需要对应的会话表才能接替主防火墙的工作)

            这种情况,可以断开会话重新连接,但是中间会有一段响应时间,对用户体验不好。

            还可以关闭防火墙的状态检测机制实现,但是会有隐患。

        第二种就是使用vrrp实现双击热备时会遇到的情况,当流量从主防火墙通过访问到终端,但是终端回包时,路由选路没有选号,走的备用防火墙。这个时候回去的包就不是首包的那条的路,在备份防火墙的会话表中没有这条路的首包记录,也不能通过备份防火墙。

        当三种可能就是链路可能断开的情况,当主防火墙的物理链路以外断掉,vrrp协议将流量切换到下方的备份防火墙的链路上去,如果在断开之前,主防火墙发送的首包,那么断开之后,对端回包的时应该是走备用的防火墙的线路。 如果两个防火墙的会话表没有同步,vrrp也没有进行同步,流量还是会走主防火墙,即使物理链路断掉。这样的结果就是终端收不到回包。所以:当一个防火墙的物理链路断掉,那么在它与备份防火墙中的vrrp必须要进行同步状态才能接过 主防火墙未完成的使命。

        在以上过程中,为了解决vrrp同步的问题,就需要一个新的协议VGMP

        VGMP 是为了防止可能导致在vrrp状态下双方信息不一致现象的发生。这是H3C在vrrp基础上进行的扩展,推出的vrrp组管理协议VGMP,负责统一管理加入其中的各备份组VRRP状态。

        这解决了vrrp同步问题,但是此时流量还是过不去,因为备份无法建立会话表(首包机制),所以才需要建立一个会话同步机制,需要用到HRP

        HRP        华为双机热备协议

        可以同步防火墙之间的ARP信息、NAT\PAT信息,以及防火墙上配置的安全策略信息等,能够保证主防火墙down之后备防火墙的回包流量能够顺利的接收,还能够检测主备防火墙之间的运行状态。

        


4.防火墙支持那些接口模式,一般使用在那些场景?
        物理接口:防火墙支持的接口可以是二层的接口,也可以是三层接口

                        二层接口:交换接口  portswitch

                         三层接口: undo portswitch     类似于路由器的接口

        逻辑接口:

                          1.tunnel接口,null接口

                          2.vlanif接口

                          3.三层以太网子接口(备份时)、loopbak接口

                           

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?

        首先,考虑路由的问题,可能是该地区的路由没有写完整,没有写缺省之类的,其次可能是网关地址没有配置正确。

        dns,该地区指向的dns服务器出现问题,域名解析错误,无法访问互联网。

        策略,在防火墙上没有对相关区域的线路的流量没有放行,导致无法连接互联网。

        双机热备,在实际情况中,私网访问公网会有多个防火墙,当遇到没有配置正确的双机热备的防火墙,例如vrrp和HRP这些协议没有实现完成,都会影响私网访问互联网的情况。

实现双机热备需要三种东西:VRRP(解决虚拟网关的问题)、VGMP(解决VRRP一致行动的问题)、HRP(解决同步会话的问题)

实验:

防火墙策略,服务器,网络,linux,系统安全

 注意:我先写入的是备份机(第二台机器,和这个顺序不同)

主设备机:

防火墙策略,服务器,网络,linux,系统安全

 配置安全区域:防火墙策略,服务器,网络,linux,系统安全

 防火墙策略,服务器,网络,linux,系统安全

 防火墙策略,服务器,网络,linux,系统安全

 防火墙策略,服务器,网络,linux,系统安全

此时

 

第二台设备: 

防火墙策略,服务器,网络,linux,系统安全

 

 在第二个接口列表需要重新写入新的:防火墙策略,服务器,网络,linux,系统安全

 定义一个区域:(HRP区域)

防火墙策略,服务器,网络,linux,系统安全

 再做一个HRP策略:(其中发现没有HRP协议可选,我们就用any代替,但是实际操作中必然选HRP协议)

防火墙策略,服务器,网络,linux,系统安全

 

 接下来就是配备备份机器的参数:

防火墙策略,服务器,网络,linux,系统安全

 防火墙策略,服务器,网络,linux,系统安全

 防火墙策略,服务器,网络,linux,系统安全

 这边备份就弄好了,接下里切换到主机上去

此时:第二台机子的情况已经完成:

防火墙策略,服务器,网络,linux,系统安全

 还需要一致性检查:

防火墙策略,服务器,网络,linux,系统安全

再次切换到主设备上去:

防火墙策略,服务器,网络,linux,系统安全 

 看看效果:

当断开主机旁边的线路时

防火墙策略,服务器,网络,linux,系统安全

 结果:

防火墙策略,服务器,网络,linux,系统安全

 最后实验大功告成!文章来源地址https://www.toymoban.com/news/detail-640881.html

到了这里,关于防火墙的策略的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 服务器防火墙和安全组放开

    我的项目上传后安全组也放开了但是访问项目地址404,最后发现是服务器防火墙没放行。 下面介绍一下如何排查防火墙问题。 查看防火墙状态:systemctl status firewalld 禁用防火墙:systemctl stop firewalld 启动防火墙:systemctl start firewalld 设置开机启动:systemctl enable firewalld 重启防

    2024年03月11日
    浏览(45)
  • 华为防火墙实现服务器负载均衡

    292、实验:服务器的负载均衡SLB 实验topo: 实验场景: 一些访问流量较大的服务,会面临着有多个服务器的情况,所以我们就要在多个服务器之间做负载均衡; 实验需求: 新建一条负载均衡NAT,让外网访问内网服务器的时候,能够实现负载均衡,并且,负载均衡使用轮询算

    2023年04月08日
    浏览(48)
  • 防火墙之部署服务器NAT

    NAT(Network Address Translation),是指网络地址转换,1994年提出的。 当在 专用网 内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网(私网IP)连接到因

    2024年02月08日
    浏览(44)
  • 服务器防火墙开放端口(解决服务器端口无法访问问题)

    目录 一、解决思路 1. 判断服务器使用的是firewall还是iptable 2. 判断firewall当前开启的服务和端口,查看当前firewall的所有信息 3. 添加http服务 4. 重新执行 5. 添加开放端口 6.查看端口是否开放成功 补充 1、查看firewall服务状态 2、查看firewall的状态 3、开启、重启、关闭、firewall

    2024年02月15日
    浏览(48)
  • 服务器防火墙的应用技术有哪些?

           随着互联网的发展,网络安全问题更加严峻。服务器防火墙技术作为一种基础的网络安全技术,对于保障我们的网络安全至关重要。本文将介绍服务器防火墙的概念和作用,以及主要的服务器防火墙技术,包括数据包过滤、状态检测、代理服务、应用层网关等,帮助

    2024年02月21日
    浏览(40)
  • 常用UOS服务器防火墙设置常用命令

    目录 1.UOS支持的防火墙 2. 防火墙设置 3. 防火墙脚本 4. 关闭防火墙(清空所有规则,删除脚本,关闭重启) 5. 配置黑白名单 iptables ufw firewalld Netfilter区别?         iptables ufw firewall 都是前端管理,Netfilter是内核。         统信的UOS服务器操作系统是基于Debian开发的,因

    2024年02月05日
    浏览(94)
  • 阿里云国际版云服务器防火墙设置

    阿里云国际版云服务器防火墙设置 入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。本文介绍了入侵防御页面展示的信息和相关操作,下面和012一起来了解阿里云国际版云服务器防火墙设置: 前提条件 您需要先在防护

    2024年02月15日
    浏览(50)
  • Linux 服务器 Firewalld 防火墙配置端口转发

    业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。 流量转发命令语法为: firewalld-cmd --permanent --zone=区域

    2024年02月06日
    浏览(50)
  • 腾讯云轻量应用服务器开放端口(在防火墙设置)

    1. 在腾讯云轻量应用服务器控制台   2.选择“防火墙”--“添加规则”  3.在创建新的规则窗口,端口中输入8001    

    2024年02月06日
    浏览(54)
  • 阿里云国际账号云服务器防火墙怎么设置呢?

    入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。本文介绍了入侵防御页面展示的信息和相关操作,下面一起来了解阿里云国际账号云服务器防火墙设置: 前提条件 您需要先在防护配置页面,开启基础防御功能,云防

    2024年02月16日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包