目录

一、防火墙支持那些NAT技术,主要应用场景是什么?

二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

四、防火墙支持那些接口模式,一般使用在那些场景?

五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?

六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验

1、域间双向NAT(内网服务器没有外网路由时)

2、域内双向NAT(当内网PC以公网形式访问内网服务器时)

3、基于VRRP的双机热备

一、防火墙支持那些NAT技术,主要应用场景是什么?

  • 源NAT --- 内网主机访问外网主机
  • server NAT --- 外网主机访问内网服务器
  • 域间双向NAT --- 解决内网服务器没有外网路由的问题
  • 域内双向NAT --- 内网PC以公网形式访问内网服务器
  • 双出口NAT --- 当同时连接电信宽带和联通宽带时(把路由与NAT转换通过下一跳做关联)

二、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

服务器会通过内网直接给PC回包,不会经过公网

解决办法是做域内双向NAT --- 转换前PC访问一个公网IP(100.1.1.100),转换后再由另一个公网IP(100.1.1.200)去访问内网服务器,回包时服务器也会回给100.1.1.200,再转换为100.1.1.100,然后发给PC

三、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

(1)当主防火墙挂了,虽然通过VRRP流量能够转移到通向备用防火墙的链路,但是流量无法穿过备用防火墙。流量切下来后,备用防火墙不能建立对应会话表,因为会话表的建立是要依靠于流量的第一个包(会话表首包建立)。不能建立会话表,流量就不能通过备用防火墙。

(2)当流量从主防火墙穿越访问到对端,但对端回包时走备用防火墙。这时回去的包肯定不是首包,不能建立会话表,所以不能通过备用防火墙。

(3)当主防火墙的下行链路断开时,VRRP理应将流量切到下面关于备用防火墙的链路上,假设流量能通过防火墙到达对端终端,那么对端回包时,该流量应该也是走关于备用防火墙的链路。但是两个防火墙的会话状态没有同步,两边的VRRP没有进行同步,所以该流量会走主防火墙。

所以当一个防火墙的一边的链路断掉了,那么另外一边也要进行切换,两边的VRRP必须同步状态,成为"一致行动人"。

--------------------------------------------------------------------------------------------

那么这里就会用到一个协议来解决这个VRRP同步的问题,VGMP

VGMP  是为防止可能导致的VRRP状态不一致现象的发生,负责统一管理加入其中的各备份组VRRP状态

--------------------------------------------------------------------------------------------

解决了VRRP同步问题,流量也过不去,因为无法建立会话表,需要一个会话同步的机制,所以用到  HRP

HRP   华为双机热备协议(Huawei Redundancy Protocol)

可同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。

四、防火墙支持那些接口模式,一般使用在那些场景?

  • 路由模式 --- 以第三层对外连接(接口具有IP 地址)
  • 交换模式 --- 通过第二层对外连接(接口无IP 地址)
  • 旁路模式 --- 该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务。
  • 接口对模式 --- 加快接口的转发效率(不需要查看MAC地址表)

五、客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?

(1)路由的问题,可能是该地区的路由没有写完整,没有写缺省之类的,其次可能是网关地址没有配置正确。

(2)dns,该地区指向的dns服务器出现问题,域名解析错误,无法访问互联网。

(3)策略,在防火墙上没有对相关区域的线路的流量没有放行,导致无法连接互联网。

(4)双机热备,在实际情况中,私网访问公网会有多个防火墙,当遇到没有配置正确的双机热备的防火墙,例如vrrp和HRP这些协议没有实现完成,都会影响私网访问互联网的情况。

六、NAT实验 --- 域间双向NAT、域内双向NAT、双机热备实验

1、域间双向NAT(内网服务器没有外网路由时)

2、域内双向NAT(当内网PC以公网形式访问内网服务器时)

注:最后访问100.1.1.100时开始不成功,是因为之前SW1的接口划分了vlan,而server2(172.16.2.3)连接SW1的接口没有配置access接口

[SW1-GigabitEthernet0/0/4]port link-type access   
[SW1-GigabitEthernet0/0/4]port default vlan 2

3、基于VRRP的双机热备

SW1

[SW1-GigabitEthernet0/0/5]port link-type access 
[SW1-GigabitEthernet0/0/5]port default vlan 10

FW2

[USG6000V1-GigabitEthernet0/0/0]ip address 10.1.1.3 24 
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

FW1和FW2的g1/0/3和g1/0/4聚合

FW1

FW1配置hrp区

FW1配置策略

FW1上配置双机热备

FW2

FW2配置hrp区

FW2配置策略 

FW2上配置双机热备

测试(断开FW1的g1/0/0)

FW1变为备

FW2变为主

————————————————
本文有部分参考CSDN博主「石头人张飞」的原创文章
原文链接:https://blog.csdn.net/a1706620451/article/details/126781279

安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备相关推荐

  1. 防火墙、IDS(入侵检测系统)与双机热备

    一.知识点总结 防火墙 1. 防火墙如何处理双通道协议? 多通道协议:控制进程与传输进程分离,意味着控制进程的协议和端口与传输进程的协议和端口不一致. (FTP , RSTP , DNS , QQ , ...

  2. 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!

    防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...

  3. 磁盘阵列 和 双机热备(二)

    双机热备这一概念包括了广义与狭义两种意义. 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务.当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情 ...

  4. 防火墙实验二——实现域间、域内双向NAT、双机热备实验

    实验的拓扑图 这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的 图片里面交换机.防火墙等的配置 域间双向NAT 首先建立一个新的域间双向的NAT策略 对于源转换地址池的配置 对于目的 ...

  5. 使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)

    目录 前言 实验拓扑 配置过程 一.导入设备包 二.登陆USG6000v 三.配置接口IP地址 四.配置防火墙安全区域 五.配置内网路由器协议OSPF 五.配置VRRP 六.配置IP-Link联动双机 ...

  6. 华为 USG6000防火墙配置镜像模式双机热备

    网络拓扑 要求: 企业前期是一台防火墙,为了提高网络可靠性,并且在不影响原先防火墙配置情况下,新增一台防火墙做双机热备.两台FW的业务接口都工作在三层,下行为三层核心交换机.上行为二层交换机连接运营商 ...

  7. 华为防火墙(NGFW)的双机热备

    目录 VRRP技术 VGMP协议 VGMP报文格式 VGMP组管理 HRP HRP心跳接口 双机热备的备份方式 实验 实验拓扑 实验说明 实验配置 实现网络高可靠性的一种技术 VRRP技术 虚拟路由冗 ...

  8. 防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计

    文章目录 目录: 一.防火墙双机热备技术概念 二.配合使用的相关技术指导 三.设计要求及拓扑图 四:配置过程及相应命令 总结 一.防火墙热备概述:         一般而言,防火墙部署于公司网络的出口 ...

  9. 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理

    防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...

最新文章

  1. 20155222 第二周测试
  2. LeetCode 31 Next Permutation(下一个全排列)
  3. C语言学习之从键盘输入一个小于1000的正数,要求输出它的平方根(如平方根不是整数,则输出其整数部分)
  4. redis安装redis集群
  5. exchange 2010 relay设定
  6. JVM为什么需要GC
  7. 运维架构师-并不遥远的彼岸
  8. 年度最流行英文字体20款
  9. qrc路径_C语言 在Qt中获取qrc文件的路径
  10. 关于 iOS 应用申请 Admob 广告时如何获取商店信息
  11. python3 云词(wordcloud)安装失败解决方案
  12. 会计科目中的借贷理解
  13. MPLS流量工程(TE)
  14. android 人物行走动画,android 3D 游戏实现之人物行走(MD2)
  15. 湖北颁发首批测绘资质新证
  16. 修改idea的启动参数,让你的idea健步如飞
  17. 基于百度AI做内容审核
  18. 【计组】字长、数据总线、地址总线
  19. 全心全意的服务,让转行的我能够成功斩获自己心仪的offer——享学课堂
  20. 如何选择MySQL中除一列外的所有列

热门文章

  1. 目标检测学习————Keras搭建yolo3目标检测平台
  2. ubuntu 修改默认用户名_Ubuntu更改用户名的方法
  3. flume-异常Closing file:log.xxxtmp failed. Will retry again in 180 seconds
  4. 第一章 MySQL数据库的简介
  5. 锚定物决定成败?四国央行数字货币对比
  6. Teradata 记事本
  7. Unity安卓Android平台StreamingAssets下文件的读取
  8. MD5密码哈希算法(c语言实现)
  9. 谐振电路的品质因数(Q值)zz
  10. kibana java_Kibana安装及使用说明