安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备
目录
一、防火墙支持那些NAT技术,主要应用场景是什么?
二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
四、防火墙支持那些接口模式,一般使用在那些场景?
五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验
1、域间双向NAT(内网服务器没有外网路由时)
2、域内双向NAT(当内网PC以公网形式访问内网服务器时)
3、基于VRRP的双机热备
一、防火墙支持那些NAT技术,主要应用场景是什么?
- 源NAT --- 内网主机访问外网主机
- server NAT --- 外网主机访问内网服务器
- 域间双向NAT --- 解决内网服务器没有外网路由的问题
- 域内双向NAT --- 内网PC以公网形式访问内网服务器
- 双出口NAT --- 当同时连接电信宽带和联通宽带时(把路由与NAT转换通过下一跳做关联)
二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
服务器会通过内网直接给PC回包,不会经过公网
解决办法是做域内双向NAT --- 转换前PC访问一个公网IP(100.1.1.100),转换后再由另一个公网IP(100.1.1.200)去访问内网服务器,回包时服务器也会回给100.1.1.200,再转换为100.1.1.100,然后发给PC
三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
(1)当主防火墙挂了,虽然通过VRRP流量能够转移到通向备用防火墙的链路,但是流量无法穿过备用防火墙。流量切下来后,备用防火墙不能建立对应会话表,因为会话表的建立是要依靠于流量的第一个包(会话表首包建立)。不能建立会话表,流量就不能通过备用防火墙。
(2)当流量从主防火墙穿越访问到对端,但对端回包时走备用防火墙。这时回去的包肯定不是首包,不能建立会话表,所以不能通过备用防火墙。
(3)当主防火墙的下行链路断开时,VRRP理应将流量切到下面关于备用防火墙的链路上,假设流量能通过防火墙到达对端终端,那么对端回包时,该流量应该也是走关于备用防火墙的链路。但是两个防火墙的会话状态没有同步,两边的VRRP没有进行同步,所以该流量会走主防火墙。
所以当一个防火墙的一边的链路断掉了,那么另外一边也要进行切换,两边的VRRP必须同步状态,成为"一致行动人"。
--------------------------------------------------------------------------------------------
那么这里就会用到一个协议来解决这个VRRP同步的问题,VGMP
VGMP 是为防止可能导致的VRRP状态不一致现象的发生,负责统一管理加入其中的各备份组VRRP状态
--------------------------------------------------------------------------------------------
解决了VRRP同步问题,流量也过不去,因为无法建立会话表,需要一个会话同步的机制,所以用到 HRP
HRP 华为双机热备协议(Huawei Redundancy Protocol)
可同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。
四、防火墙支持那些接口模式,一般使用在那些场景?
- 路由模式 --- 以第三层对外连接(接口具有IP 地址)
- 交换模式 --- 通过第二层对外连接(接口无IP 地址)
- 旁路模式 --- 该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务。
- 接口对模式 --- 加快接口的转发效率(不需要查看MAC地址表)
五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
(1)路由的问题,可能是该地区的路由没有写完整,没有写缺省之类的,其次可能是网关地址没有配置正确。
(2)dns,该地区指向的dns服务器出现问题,域名解析错误,无法访问互联网。
(3)策略,在防火墙上没有对相关区域的线路的流量没有放行,导致无法连接互联网。
(4)双机热备,在实际情况中,私网访问公网会有多个防火墙,当遇到没有配置正确的双机热备的防火墙,例如vrrp和HRP这些协议没有实现完成,都会影响私网访问互联网的情况。
六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验
1、域间双向NAT(内网服务器没有外网路由时)
2、域内双向NAT(当内网PC以公网形式访问内网服务器时)
注:最后访问100.1.1.100时开始不成功,是因为之前SW1的接口划分了vlan,而server2(172.16.2.3)连接SW1的接口没有配置access接口
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 2
3、基于VRRP的双机热备
SW1
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 10
FW2
[USG6000V1-GigabitEthernet0/0/0]ip address 10.1.1.3 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
FW1和FW2的g1/0/3和g1/0/4聚合
FW1
FW1配置hrp区
FW1配置策略
FW1上配置双机热备
FW2
FW2配置hrp区
FW2配置策略
FW2上配置双机热备
测试(断开FW1的g1/0/0)
FW1变为备
FW2变为主
————————————————
本文有部分参考CSDN博主「石头人张飞」的原创文章
原文链接:https://blog.csdn.net/a1706620451/article/details/126781279
安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备相关推荐
- 防火墙、IDS(入侵检测系统)与双机热备
一.知识点总结 防火墙 1. 防火墙如何处理双通道协议? 多通道协议:控制进程与传输进程分离,意味着控制进程的协议和端口与传输进程的协议和端口不一致. (FTP , RSTP , DNS , QQ , ...
- 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...
- 磁盘阵列 和 双机热备(二)
双机热备这一概念包括了广义与狭义两种意义. 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务.当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情 ...
- 防火墙实验二——实现域间、域内双向NAT、双机热备实验
实验的拓扑图 这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的 图片里面交换机.防火墙等的配置 域间双向NAT 首先建立一个新的域间双向的NAT策略 对于源转换地址池的配置 对于目的 ...
- 使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
目录 前言 实验拓扑 配置过程 一.导入设备包 二.登陆USG6000v 三.配置接口IP地址 四.配置防火墙安全区域 五.配置内网路由器协议OSPF 五.配置VRRP 六.配置IP-Link联动双机 ...
- 华为 USG6000防火墙配置镜像模式双机热备
网络拓扑 要求: 企业前期是一台防火墙,为了提高网络可靠性,并且在不影响原先防火墙配置情况下,新增一台防火墙做双机热备.两台FW的业务接口都工作在三层,下行为三层核心交换机.上行为二层交换机连接运营商 ...
- 华为防火墙(NGFW)的双机热备
目录 VRRP技术 VGMP协议 VGMP报文格式 VGMP组管理 HRP HRP心跳接口 双机热备的备份方式 实验 实验拓扑 实验说明 实验配置 实现网络高可靠性的一种技术 VRRP技术 虚拟路由冗 ...
- 防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计
文章目录 目录: 一.防火墙双机热备技术概念 二.配合使用的相关技术指导 三.设计要求及拓扑图 四:配置过程及相应命令 总结 一.防火墙热备概述: 一般而言,防火墙部署于公司网络的出口 ...
- 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理
防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...
最新文章
- 20155222 第二周测试
- LeetCode 31 Next Permutation(下一个全排列)
- C语言学习之从键盘输入一个小于1000的正数,要求输出它的平方根(如平方根不是整数,则输出其整数部分)
- redis安装redis集群
- exchange 2010 relay设定
- JVM为什么需要GC
- 运维架构师-并不遥远的彼岸
- 年度最流行英文字体20款
- qrc路径_C语言 在Qt中获取qrc文件的路径
- 关于 iOS 应用申请 Admob 广告时如何获取商店信息
- python3 云词(wordcloud)安装失败解决方案
- 会计科目中的借贷理解
- MPLS流量工程(TE)
- android 人物行走动画,android 3D 游戏实现之人物行走(MD2)
- 湖北颁发首批测绘资质新证
- 修改idea的启动参数,让你的idea健步如飞
- 基于百度AI做内容审核
- 【计组】字长、数据总线、地址总线
- 全心全意的服务,让转行的我能够成功斩获自己心仪的offer——享学课堂
- 如何选择MySQL中除一列外的所有列
热门文章
- 目标检测学习————Keras搭建yolo3目标检测平台
- ubuntu 修改默认用户名_Ubuntu更改用户名的方法
- flume-异常Closing file:log.xxxtmp failed. Will retry again in 180 seconds
- 第一章 MySQL数据库的简介
- 锚定物决定成败?四国央行数字货币对比
- Teradata 记事本
- Unity安卓Android平台StreamingAssets下文件的读取
- MD5密码哈希算法(c语言实现)
- 谐振电路的品质因数(Q值)zz
- kibana java_Kibana安装及使用说明