目录
安全策略
在接口和路由配置完成的基础上直接增加安全策略,设置允许和拒绝的动作,如果允许通过后续还需要进行内容检测,相较于acl更精确
五元组:源ip、目标ip、源端口、目标端口、传输层协议
会话表和状态检测
会话表是基于流的包交换,只有首包需要检测,后续核对hash直接传,提高效率
状态检测就是检测是否符合协议规范对后续报文的定义,就是检测是否是同一个协议,再决定传输或者不传,避免客户端的端口全开启等着收包。
数据通过防火墙流程:如果是首包,匹配不上会话表且路由可达,就判断是否创建会话表,如果不是首包还不可达就直接丢弃。
servermap
ftp-网络传输协议-c/s架构(客户端/服务端)21用于控制链接端口,20用于数据传输。认证阶段都是客户端向服务端21发tcp建立链接,主动模式是客户端通过随机端口给服务器发包,然后服务器通过20建立连接,被动模式是服务器告知客户端一个随机端口等客户端连接。这种协议也叫多通道协议 。
随机端口:
计算公式:8x256+2=2050
tfpt-简单文件传输协议。
这两个的区别是tcp/udp的区别;有认证/无认证;对文件的可操作性高/仅上传下载。
ASPF是针对应用层的包过滤,抓取多通道协议的协商端口,将结果记录在server-map中,相当于开辟一个隐形通道。
用户认证
上网行为管理三要素是用户、行为、流量。
用户认证包括上网(三层认证,所有的跨网段通信,全网包括二层和三层)、入网(二层设备接入,例如网线接入交换机或者连接wifi)、接入(远程接入,vpn)。
认证方式包括本地认证(用户信息在防火墙上,整个认证过程都在防火墙上执行)、服务器认证 (对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可)、单点登录 (和第三方服务器认证类似)。
认证策略包括Portal (仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证)、免认证(需要在IP/MAC双向绑定的情况下使用)、匿名认证(登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录)。
NAT
nat包括静态(1对1,多用于服务器映射)、动态(多对多)和napt(一对多(easyip),多对多)、服务器映射。
在防火墙组网环境下分类分成源nat(基于源IP地址进行转化,内网用户访问公网)、目标nat(基于目标地址进行转化,外网用户访问内网服务器)、双向nat(同时具备前两者功能)。
源nat在安全策略之后执行,目标nat在安全策略之前执行(安全策略的目标地址是nat转换后的地址,所以需要先转换地址才能走过这个安全策略)
配置nat地址池的时候配置黑洞路由可以避免出现环路(地址池中的地址和出接口地址不在同一个网段
动态nat+server-map:在动态nat触发访问流量后会生成两条server-map的记录,其中一条是反向记录。反向记录存在时,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况
下,可以访问到内网的设备;基于端口的NAT转换,是不会生成server-map表的。
三元组nat:在p2p(peer to peer)情况下端口转换的时候会导致使用五元组的客户端无法直接访问。利用三元组(去除源、目标端口)可以正常通信
选路
选路包括:就近选路、策略路由(策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳)、智能选路(带宽、质量、权重负载分担、优先级主备备份)、DNS透明代理 (配合就近选路)
可靠性
做冗余!因为状态检测机制,也就是会话表是临时的,所以要依靠双机热备技术(目前防火墙的双机热备技术仅支持两台设备,两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备。)来同步会话表
主备分别称为Active和Standby。
vrrp:
备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。
然后有VGMP(VRRP Group Management Protocol)这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。
HRP(Huawei Redundancy Protocol)传输备份配置信息和状态信息。前提是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。);HRP协议本身算是VGMP协议的一部分,HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身Active。(VGMP的报文也是通过这条心跳线发送的) 。
备份方式包括自动备份(默认开启,但是有10s左右延迟同步)、手工备份(看立即手工配置)、快速备份(在负载均衡场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不及时而导致业务流量中断。快速备份可以实时同步状态信息,但是不同步配置信息)。
场景:主故障,主备切换。主恢复后有两种情况,没有开启抢占原主设备仍保持备份,开启抢占就切换回来。