防火墙ldap怎么设置 防火墙ids功能

一、知识点总结

防火墙

1. 防火墙如何处理双通道协议？

多通道协议：控制进程与传输进程分离，意味着控制进程的协议和端口与传输进程的协议和端口不一致。

（FTP , RSTP , DNS , QQ , 微信 ，MSN ···）

解决办法：使用ASPF技术，可以抓取并分析多通道协议的控制报文并找到传输进程所需的详细网络参数

（多通道协议都是通过控制进程报文协商出传输进程网络参数）查看协商端口号并动态建立server-map

表放过协商通道的数据。根据ASPF分析控制进程特殊报文，找到传输进程的报文参数，生成sever-map

表，放行传输进程报文。数据传输进程匹配sever-map表后生成会话表，传输进程后续报文匹配会话

表。

ASPF

可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过

检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据

通道的报文，相当于自动创建了一条精细的“安全策略”。

2. 防火墙如何处理nat？

防火墙关于nat的安全策略仍按转换前的样子写，因为安全策略执行的位置类比为房间的话，是在房间内

部，而nat转换相当于是在门口，所以安全策略按照原来的ip和区域写就好。

server nat服务器映射nat使用转换后

源 nat 源地址映射nat使用转换前

3. 防火墙支持那些NAT技术，主要应用场景是什么？

源NAT --- 内网主机访问外网主机

2. server NAT --- 外网主机访问内网服务器

3 .域间双向NAT：

一般是解决内网服务器没有外网路由的问题

注意点：

NAT策略： 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么

安全策略： 把握住在没有做NAT时数据应该放行的参数，就是做完NAT后应该放行的参数

4. 域内双向NAT：

内网用户请求的是同在内网服务器的公网地址，但是返回时是服务器的私网地址。

此时用户等待的IP地址却是服务器公网地址，返回的IP地址不同，此时的数据包不会被采用。

去的适合用防火墙，回来使用内网。

当内网PC以公网形式访问内网服务器时，需要用到

域内NAT转换：
在 防火墙处服务器回包时：源IP=私网IP，目的IP=公网IP
在防火墙NAT转换后：源IP=公网IP，目的IP=客户端私网IP

5. 双出口NAT：

如果在出口连接的处存在两个运营商，此时有两个结构：主备结构、负载结构。我们去往不同服务器

就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一条网段线路，回来的时候在没有做

策略的情况下有可能会转移到第二条线路返回。如此导致不同运营商的路线不同回来后转换的ip也会不同。

在以上情况我们就需要设置域内双出口NAT解决。即写两个NAT

双出口会出现NAT转换错乱

解决方案:

启动防火墙多出口选项，网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域

还是多个安全区域都是如此做法。

原理就是通过上述手段把路由与NAT转换通过下一跳做了关联

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

存在的问题：

客户端使用公网ip【源地址为客户端内网地址】去访问服务器时，服务器会直接使用内网的ip通过内网

路由给客户端回包。此时客户端收到的回包是内网的ip，但是客户端访问的是服务器是要外网公网ip回

包的。那么就会将数据包丢弃。

解决服务器回包使用内网ip地址问题

使用域内双向NAT解决问题

将原数据包的源地址改为公网ip地址，目的地址由公网ip改为服务器的内网地址。如此服务器收到的包

源ip就是公网ip，如此回包就会使用公网ip地址。内网客户端就不会丢弃ip回包。

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

VRRP：虚拟路由冗余模式，用于提高网络可靠性。在主机下一跳设备出现故障时，及时将业务切换到备

份设备，保障网络通信的连续性和可靠性

VRRP实现双机热备问题

1、出现原因是因为首包机制，当首包通过主用防火墙，就会生成一个session表，当主用防火墙就下线

了，然后使用备用防火墙。但是备用防火墙上没有首包生成的session表导致后面的会话无法建立是无法

通过备用防火墙建立会话的。

1. 根本问题：session表主备没有同时建立，没有同步信息。从而导致出去与回来的包找不到出口或入口

我们知道根本原因是主备没有同时建立相同的session表内容，信息不同步导致的。于是

解决方法：

1、使用HRP（华为双机热备协议）解决同步问题，将主的动态数据和关键命令进行备份。使同步共享了信息避免了首包机制的问题

2、使用VGMP解决一致行动问题，进行统一管理，有抢占管理的功能

3、关闭状态检测机制，使非首包也能建立会话表

6. 防火墙支持那些接口模式，一般使用在那些场景？

路由模式（接口具有IP地址）

防火墙的接口三层路由接口的形式参与组网

防火墙位于内部网络和外部网络之间，需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别

配置成不同网段的P地址，此时的防火墙就相当于一台路由器。(路由模式下可以完成ACL包过滤、ASPF

动态过滤、NAT转换等功能)[实现这一效果可以直接运行所有动作）

交换模式（接口无IP地址）

防火墙的接口二层交换接口的形式参与组网

防火墙采用透明模式时对于子网用户和路由器是透明的，这种模式对安全性没有影响起到一个交换机的功

能。此模式下无法进行NAT，无法作为服务器也无法使用VPN。

接口对模式（不需要查看MAC地址表）

接口对模式是一种特殊的二层模式，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的

MAC寻址，也就类似网线的形式转发，速度快。

（1.）设置接口为接口对形式

（2.）把两个接口都设置为接口对模式

（3.）在接口对中把两个接口加入到接口对

不同口进出：将两个同类型接口组成接口对后，从一个接口进入的流量固定从另一个接口转发出去，不需要查询路由表或MAC地址表。
同口进出：如果进、出接口配置为同一个接口，则从该接口进入的报文经过设备处理后仍然从该接口转发出去。

旁路模式

旁路模式的接口也是二层的交换机接口，该接口一般用于接收镜像流量，向主机一样旁观在设备上。通过

旁观设备的端口镜像技术收集流量给给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任务，

功能是最少的。

IDS（入侵检测系统）

7. 什么是IDS？

IDS（入侵检测系统）：

对系统的运行状态进行监视，发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全（机密

性、完整性、可用性）

作用：

• 识别入侵者
• 识别入侵行为
• 检测和监视已成功的入侵
• 为对抗入侵提供信息与依据，防止时态扩大

8. IDS和防火墙有什么不同？

防火墙是在内网和外网之间的一道防御系统

IDS是一个旁路监听设备，没有也不需要跨接在任何链路上，无需流量流经过也能进行工作

设备所处点不同

防火墙是在内网和外网之间的一道防御系统

IDS是一个旁路监听设备，没有也不需要跨接在任何链路上，无需流量流经过也能进行工作

作用点不同

通过了防火墙的数据防火墙就不能进行其他操作

入侵检测（IDS） 是防火墙的有力补充，形成防御闭环，可以及时、正确、全面的发现入侵，弥补防火墙对应用层检测的缺失

动作不同

防火墙可以允许内部的一部分主机被外部访问

IDS只有监视和分析用户和系统的活动、行为

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵，弥补防火墙对应

用层检查的缺失。

9. IDS工作原理？

IDS分为实时入侵检测和事后入侵检测：

1. 实时入侵检测：在网络连接过程中进行，发现入侵迹象立即断开当前连接，并收集证据和实施数据恢复。
2. 事后入侵检测：由安全人员进行检测。

入侵检测分类：

1. 基于网络：通过连接在网络的站点捕获数据包，分析是否具有已知攻击模式。
2. 基于主机：通过分析系统审计数据来发现可疑活动，比如内存和文件的变化；输入数据只要来源于系

统日志。

入侵检测技术途径：

1. 信息收集：系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
2. 数据分析

10. IDS的主要检测方法有哪些详细说明？

异常检测（行为）:当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正

常主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。

特征检测（比对）:

签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为

异常检测模型 (Anomaly Detection)

• 首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型 (Misuse Detection)

收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统

就认为这种行为是入侵，误用检测模型也称为特征检测 (signature-based detection)

11. IDS的部署方式有哪些？

旁挂

使用集线器、分光器实现流量复制。(即使是IPS也会有旁挂)

• 直路：直接串连进现网，可以对攻击行为进行实时防护，缺点是部署的时候需要断网，并增加了故障点
• 单臂：旁挂在交换机上，不需改变现网，缺点是流量都经过一个接口，处理性能减半，另外不支持BYPASS
• 旁路：通过流量镜像方式部署，不改变现网，缺点是只能检测不能进行防御

12. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

PS特征库中包含了针对各种攻击行为的海量签名信息，但是在实际网络环境中，业务类型可能比较简

单，不需要使用所有的签名，大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤

器将常用的签名过滤出来。

IDS签名：入侵防御签名用来描述网络种存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较

来检测和防范攻击。

签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用

于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于筛

选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过滤器

中为这些签名统一设置新的动作，操作非常便捷。

签名过滤器的作用：

过滤掉。起到筛选的作用。

签名过滤器的动作分为

• 阻断:丢弃命中签名的报文，并记录日志
• 告警:对命中签名的报文放行，但记录日志。
• 采用签名的缺省动作，实际动作以签名的缺省动作为准

签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作

为准。

例外签名作用：

由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签

名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名的动作分为:

• 阻断: 丢弃命中签名的报文并记录日志
• 告警: 对命中签名的报文放行，但记录日志。
• 放行: 对命中签名的报文放行，且不记录日志。添加黑名单: 是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单

二、实验

双机热备实验：（使用防火墙三层口）

首先给trust，untrust区域的PC配置IP，掩码，网关；交换机创建VLAN，并配置接口IP；防火墙接口划分区域并配置IP

trust：

untrust:

配置静态路由

别忘记写缺省路由：

SW2：
ip route-static 0.0.0.0 0.0.0.0 10.1.2.254
SW3：
ip route-static 0.0.0.0 0.0.0.0 100.1.2.254

策略:

安全策略放通trust区域至untrunst区域的流量（防火墙上存在一条安全策略默认拒绝所有）

双机热备：

主：

备：

配置完成结果显示：

主：

备：

同步配置：（需要给心跳接口设置区域）

完成后即可在备份设备上看见所同步的策略

检验：

shutdown主g1/0/0的接口：

主变成备：

备变成主：

2、NAT练习

按照拓扑分别为三个区域的设备配置IP、掩码和网关，并将防火墙的对应接口进行配置

首先进行源NAT配置的练习

配置完NAT后，还需要编写安全策略来放通trust区域至untrust区域的流量，因为NAT策略和安全策略是两种策略，仅编写NAT策略是无法访问的

此时使用trust区域的PC访问untrust区域区域的设备是可以完成互通的

在防火墙的untrust区域抓取PC1的流量，会发现完成了地址的转换

完成DMZ区域的服务器映射

编写安全策略，需要注意的是源地址应该为any，目的地址为服务器的私网地址

配置完成后使用untrust区域的client来进行测试

假设DMZ区域只能被内部地址访问，但是此时untrust区域的设备又需要访问DMZ区域，

由于之前配置了安全策略，所以此时不需要再进行安全策略的编写

通过抓包可以观察到，源地址和目标地址都进行了转换

NAT域内双向转换

此时，外网可以访问服务器，但是内网设备却无法访问