防御保护第六天笔记

一、防火墙的用户认证

用户、行为、流量 --- 上网行为管理三要素

防火墙管理员登录认证的作用有两点：检验身份的合法性，划分身份权限

用户认证 --- 上网行为管理的一部分

用户认证分类有以下三类：

1、上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行

为，我们希望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。

2、入网用户认证 --- 二层认证 --- 我们的设备在接入网络中，比如插入交换机或者接入wifi

后，需要进行认证才能正常使用网络。

3、接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的

用户认证方式

1、本地认证 --- 用户信息在防火墙上，整个认证过程都在防火墙上执行

2、服务器认证 --- 对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将

认证结果返回，防火墙执行对应的动作即可

3、单点登录 --- 和第三方服务器认证类似。

防火墙下新建登录用户：

用户认证策略：

1、Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网

认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证。

2、免认证 --- 需要在IP/MAC双向绑定的情况下使用，则对应用户在对应设备上登录时，就可以

选择免认证，不做认证。

3、匿名认证 --- 和免认证的思路相似，认证动作越透明越好，选择匿名认证，则登录者不需要输

入用户名和密码，直接使用IP地址作为其身份进行登录。

4、不认证---顾名思义就是不用认证

二、防火墙的NAT

什么是nat技术?

NAT（Network Address Translation）是一种地址转换技术，可以将IPv4报文头中的地址转换为另一个地址。通常情况下，利用NAT技术将IPv4报文头中的私网地址转换为公网地址，可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此，NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT --- easy ip

--- 多对多的NAPT

还有服务器映射，以上都是属于不同的nat

1、源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT，动态NAT，NAPT都属于源

NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

2、目标NAT --- 基于目标IP地址进行转换。服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器

3、双向NAT --- 同时转换源IP和目标IP地址

4、源NAT是在安全策略之后执行。

nat策略的具体编写需要按照实际需求，本专栏有具体实验例子进行讲解，可移步观看，此处仅介绍大致理论。

在进行多对多的nat转换时，需要勾选配置黑洞路由这一选项：

黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指

向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址

不再同一个网段中的场景。

而下面的端口地址转换则是决定了使用的是动态NAT还是NAPT的逻辑。

NAT类型

1、五元组NAT --- 针对源IP，目标IP，源端口，目标端口，协议这五个参数识别出

的数据流进行端口转换

2、三元组NAT --- 针源IP，源端口，协议三个参数识别出的数据流进行端口转换，因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合

五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端

之间可以正常通信

！！！源NAT在安全策略之后执行，目标NAT在安全策略之前执行（因为自动生成的安全策略的目标地址是转换后的地址，说明需要先进行转换，再触发安全策略）

多出口NAT

源NAT

第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT

第二种：出去还是一个区域，选择出接口来进行转换

目标NAT

第一种：也可以分两个不同的区域做服务器映射

第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址

池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。

三、防火墙的智能选路

1、就近选路：我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高

通信效率，避免绕路。

2、策略路由（PBR）传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。

策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维

度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐

含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行

转发。

注意：！如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照

对应动作执行，不再向下匹配。

3、智能选路 --- 全局路由策略

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以从该接口通过外，接口将不再参与智能选路，需要新建会话表的流量将从其余链路中按照比例转发。

基于链路质量进行负载分担：

1、丢包率 --- FW会发送若干个探测报文（默认5个），将统计丢包的个数。丢包率等于回

应报文个数除以探测报文个数。丢包率是最重要的评判依据。

2、时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均

时延作为结果进行评判

3、延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时

抖动的平均值

权重是由网络管理员针对每一条链路手工分配的，分配之后，将按照权重比例分配流

量

基于链路优先级的主备备份，优先级也是由网络管理员针对每一条链路手工分配的。

1，接口没有配置过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故

障，则优先级次高的链路开始转发流量。其余链路依旧不工作。

2，接口配置了过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超

过保护阈值，则优先级次高的链路开始工作

DNS透明代理

它是一种网络代理技术，它在计算机和DNS服务器之间插入代理服务器，拦截所有的DNS请求，并根据自己的策略修改或替换域名解析结果， DNS透明代理的前提是开启就近选路。

四、防火墙的可靠性

防火墙和路由器在进行可靠性备份时，路由器备份可能仅需要同步路由表中的信息就可以了，

但是，防火墙是基于状态检测的，所以，还需要同步记录状态的会话表等。所以，防火墙需要

使用到双机热备技术。

双机 --- 目前防火墙的双机热备技术仅支持两台设备

热备 --- 两台设备同时运行，在一台设备出现故障的情况下，另一台设备可以立即替代原设备

双机热备技术采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链路保护。

VRRP（VirtualRouter Redundancy Protocol）是一种基本的容错协议。

备份组：同一个广播域的一组路由器组织成一个虚拟路由器，备份组中的所有路由器一起，共同提供一个虚拟IP地址，作为内部网络的网关地址。

主（Master）路由器：在同一个备份组中的多个路由器中，只有一台处于活动状态，只有主路由器能转发以虚拟IP地址作为下一跳的报文。

备份（Backup）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路由器均为备份路由器，处于备份状态。

主路由器通过组播方式定期向备份路由器发送通告报文（HELLO），备份路由器则负责监听通告报文，以此来确定其状态。由于VRRPHELLO报文为组播报文，所以要求备份组中的各路由器通过二层设备相连，即启用VRRP时上下行设备必须具有二层交换功能，否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足，则不能使用VRRP。

然后就是VGMP ---- VRRP Group Management Protocol

这是一个华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组，之后统一进行

管理，统一切换的协议。以此来保证VRRP组状态的一致性

在防火墙的双机热备中，我们不论时VRRP组还是VGMP组，主备的叫法发生了变化，主

统一被称为Active，备被称为Standby

这个图清晰明了的表示这两台fw之间进行的vgmp步骤：

这里简单表述一下：当主设备的下联口发生故障，则这个接口的vrrp状态将由原来的Active状态切换为initialize状态，VGMP组发现VRRP组出现变化，将降低自身的优先级。说明，在VGMP组中，也存在优先级的概念。一开始，每台设备中都会存在两个VGMP组，一个叫做Active组，另一个叫做Standby组。Active组初始的默认优先级为65001，Standby组初始的默认优先级为65000，

当一个VRRP组的状态变为initialize，则VGMP则的优先级-2。之后，原主设备会发送一

个VGMP请求报文给对端，里面包含了自己当前变化后的优先级，当原来的后备设备接收到请求报文后，看到里面的优先级时64999，而低于自身的65000，则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时，发送一个同意请求报文给原主设备，然后原主设备接收到对方的应答报文之后，将会把自身VGMP_ACTIVE组的状态由原来的ACTIVE切换为STANDBY，

在原备设备发送应答报文的同时，因为其VGMP组的状态切换，所以，其内部的 VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之后，因为将其VGMP组状态切换，所以，同时将其内部的VRRP组状态由原来的active状态切换为standby状态。

HRP --- Huawei Redundancy Protocol --- 华为冗余协议

这是一款华为的私有协议 --- 备份配置信息和状态信息。

HRP备份有一个前提，就是两台设备之间必须专门连一根用于备份的线路，这跟线路我们称为心跳线，广义上，任何两台设备之间的链路都可以叫做心跳线）心跳线的接口必须是一个三层接口，需要配置对应的IP地址。这条备份数据的链路不受路由策略限制（直连场景。非直连场景依然需要配置安全策略。

HRP协议本身算是VGMP协议的一部分，HRP的心跳线也会传递心跳报文，用于检测对端是否处于工作状态。这个周期时间默认1s，逻辑和vrrp一样，只有主设备会周期发送，备设备仅监听即可，如果在三个周期内，都没有收到HRP的心跳报文，则将认定原主设备故障，则将进行失效判断，认定自身为主。 VGMP的报文也是通过这条心跳线发送的

备份方式有以下几种：

1、自动备份

2、手工备份

3、快速备份

各场景过程：

1、主备形成场景