今日提问
1.防火墙支持那些NAT技术,主要应用场景是什么?
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
4.防火墙支持那些接口模式,一般使用在那些场景?
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
1.防火墙支持那些NAT技术,主要应用场景是什么?
防火墙支持的NAT技术有:
1、NAT ALG
某些协议会在应用层携带通信ip,这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是 转三层ip,这就导致某些协议的通信阶段在nat场景下失败。
2、域间双向转换NAT
一般是解决内网服务器没有外网路由的问题
- NAT策略:把握住转换前数据包源目地址是什么以及转换后源目地址是什么
- 安全策略:把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数内网不需要外网路由,只需要外网转换后的路由即可
3、域内双向转换NAT
当我们有内网用户通过公网访问内网服务器需求时,做域内双向NAT(常见于内网通过域名访问服务器的场景)
可以避免与服务器在同一网段的用户在通过DNS访问内网服务器时,服务器所回应的路由的地址为内网IP地址从而导致session表不建立会话的情况
4、双出口NAT
一般于双运营商
其原理就是将路由与NAT转换通过下一跳做关联
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
**如图,当PC通过公网域名解析访问内网服务器时,通过DNS服务器所解析到的IP地址为公网IP地址,则访问时,源IP为PC的私网地址192.168.1.5,目标IP为202.202.1.1,当服务器接收到这个包时,看见源地址与自己同一个网段,则直接通过私有地址进行回复。回复时,源IP为192.168.1.1,目标IP为192.168.1.5。但PC的会话表所要的回复地址应该是服务器的公网地址,所以会将回复的包丢弃。** **解决方法是设置域内双向转换NAT,强制的使内网PC访问内网服务器使,将IP转换为公网地址后再访问内网服务器,内网服务器查看到访问IP是公网,则也通过公网地址进行回复。**
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
如图,假设PC1正在与PC2发包时,主防火墙突然突然发生故障,后续的包因为首包机制的缘故无法通过备用防火墙。或者,PC1和PC2发包发完,当PC2给PC1回包时,主防火墙发生故障时,备用的防火墙无法建立返回包的会话。 我们就要在两个防火墙左边的网关有一个vrrp1,右边的网关有一个vrrp2,因为由于上面问题,我们知道vrrp1变化的时候,vrrp2也要变化。两者行动要一致。 于是我们又需要一个技术叫做VGMP(VGMP:用于同步两个防火墙左边的VRRP1和右边的VRRP2,解决组一致行动 )
4.防火墙支持那些接口模式,一般使用在那些场景?
**接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。**
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
去向流量包与回包流量不一致,查看防火墙,解决方案是让来回路径一致或者关闭防火墙的状态检测。
二: 实验:
拓扑:
域间双向nat:
抓包:
域内双向nat:
转换过程:
172.16.3.1->10.1.1.116
10.1.1.115->172.16.2.5
1、域内nat的配置
2、安全策略
3、测试:
抓包:
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
)
