HCIE-Security大神学习笔记

preview
试读
290页
HCIE-Security
华为认证
需积分: 0 34 下载量 135 浏览量 更新于2023-09-13 2 收藏 23.86MB PDF 举报
HCIE-Security大神学习笔记,非常详细
文中内容仅仅是我个人备考
HCIE
Security方向所做的笔记,其中包含了强叔侃墙的记录以及HedEx的记录,很多内容都是个人的理解,所以肯定有存在错误的地方,本人不对文中
内容的对错负责,请读者自行验证,不过很欢迎有疑问的朋友加我QQ一起探讨49864758,或者QQ:103888724一起交流;
鲍中帅
HCIE 2083
RS&Security
前言
分区 Security 的第 1
0Session中有时候会出现+,这个是什么意思?产生的条件是什么?
1L2TP 强制CHAP与强制LCP有什么具体不同(抓包对比一下再说)
3IPSec 头部的SPI是什么时候生成的?具体在哪个报文里?
4NAT-T后,会存在一个NAT-keepalive包一直在周期性的发送,这个报文的意义是什么?
5ISAKMP对报文的验证范围?
6、为什么在转发流程里,是先进行MAC地址过滤才是解析帧头部?
7、应用关联表会刷新吗?如果会,在什么时候刷新?流程图里对于后续报文的处理流程是没有查找应用关联表这一项
8、对于后续报文的处理进行状态检测的目的是什么?
9IPSec快速模式,携带ID的作用是什么?
10、在防火墙报文转发流程里,源NAT转换是放在最后做的,那为何还需要在首包的时候进行源NAT策略匹配,这个策略匹配的目的是什么?
11DSVPN Normal模式中,在Spoke间通信成功后,NHRP表项中有一条TypeLocalPeer,它的作用是什么?
12DSVPN Shortcut模式中,Spoke两端在更新NHRP应表以后,后续的业务报文就通过动MGRE隧道转发,具体流量是凭借什么来送入对端隧道呢?
13、策略路由、明细路由、默认路由、智能选路、源进源出,他们的优先顺序是什么?
14IKEv1不协商安全ACL,那么是不是意味着两端的ACL配置不镜像不会影响IKE SA以及IPSec SA的建立,只会影响业务报文的通信?
15、自动备份中其中有一个“只为UDP首包创建,而不被后续包匹配的会话”是不能备份的,有这样的会话吗?
16、虚拟墙之间通信的Session,主墙真的存在?模拟器USG6000V主墙是不会存在备墙之间的会话;
17、认证策略部分:
18、带宽策略部分:
19SYN FloodTCP代理过程中,对于通过认证的源地址有加入白名单的机制吗(TCP源验证里在认证通过后,会将目标源加入白名单)TCP代理中,更新报
文窗口是怎么样的一个工作过程?
20UDP Flood的指纹学习阶段,这个报文能够到达目标服务器吗?也就是说这个学习阶段FW将报文拦截下来进行学习还是监听攻击者与目标服务器之间交
互的报文,而非直接拦截;
21、基于原地址的多出口和基于双机热备的多出口组网场景?
22IPSec抗重放如何实现的?
23HTTP FloodCC Flood攻击的区别?
24IPSGDHCP Snooping中的检测IP的区别?
Question
分区 Security 的第 2
分类
是否转换端口
特点
基于源地址的
NAT
NAT No-PAT 源IP地址 采用地址池中的公网地址为私网用户进行地址转换,适合公网IP地址数量
充足的、仅有少量私网用户访问Internet的场景。
NAPT
采用地址池中的公网地址为私网用户进行地址转换,适合大量的私网用户
访问Internet的场景。
出接口地址方式
(Easy IP)
内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口
IP地址是动态获取的情况。
Smart NAT
预留的一个IP地址转换端口,其
IP地址不转换端口
在No-PAT的模式下,指定某个IP地址预留进行NAPT方式的转换。
三元组NAT 源IP地址 保证基于P2P技术的文件共享、语音通信、视频传输等业务在NAT场景中可
以正常应用。
基于目的地址
的NAT
NAT Server(服务
器映射)
目的IP地址 可选
公网地址和私网地址一对一进行映射,用在公网用户访问私网内部服务器
的场景。
目的NAT
可选
主要用在转换手机用户WAP网关地址,使手机用户可以正常上网的场景。
双向NAT 源NAT+NAT Server 源IP地址+目的
IP地址
可选 避免在内部服务器上设置网关,简化配置
域内NAT+NAT
Server
源IP地址+目的
IP地址
可选
私网用户通过公网地址来访问内部服务器,两者交互的报文都经过防火墙
来转发。
NAT处理流程:
1.FW收到报文后,查找NAT Server生成的Server-Map表,如果报文匹配到Server-Map表,
则根据表项转换报文的目的地址,然后进行步骤3处理;如果报文没有匹配到Server-Map
表,则进行步骤2处理
2.查找目的NAT,如果报文符合目的NAT的匹配条件,则转换报文的目的地址后进行路由处
理;如果报文不符合目的NAT的匹配条件,则直接进行路由处理。
3.根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤4处理;
如果没有找到路由,则丢弃报文
4.查找安全策略,如果安全策略允许报文通过,则进行源NAT处理;如果安全策略不允许
报文通过,则丢弃报文。
5.查找源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;如
果报文不符合源NAT的匹配条件,则直接创建会话。
6.FW发送报文。
A、注意人为定义针对address-group的黑洞路由;
B、决定源NAT地址池选择的是源地址,和访问的目标地址无关;
CNO-PAT会产生Server map表,此时如果存在外网用户能够主动访问内网的安全策略,那么外网用户可以通过访问公网地址,来达到访问内网用户的作用;
一、No-PAT
#
nat address-group out 0
mode no-pat local //表示本地的三元组模式或No-PAT模式,生成的Server-Map表中包含安全区域参数,受域间关系限制。而对应global则不受域间关系限制;
section 0 10.1.23.100 10.1.23.100
#
rule name out
source-zone trust
destination-zone untrust
source-address 10.1.12.1 32
destination-address 10.1.23.3 32
action nat address-group out
#
[USG6000V1]display firewall server-map//mode no-pat local效果;
Current Total Server-map : 2
Type: No-Pat Reverse, ANY -> 10.1.23.100[10.1.12.1], Zone: untrust
Protocol: ANY, TTL:---, Left-Time:---, Pool: 0, Section: 0
Vpn: public
1NAT 详解
分区 Security 的第 3
Vpn: public
Type: No-Pat, 10.1.12.1[10.1.23.100] -> ANY, Zone: untrust
Protocol: ANY, TTL:360, Left-Time:356, Pool: 0, Section: 0
Vpn: public
[USG6000V1]display firewall server-map //mode no-pat global效果
Current Total Server-map : 2
Type: No-Pat Reverse, ANY -> 10.1.23.100[10.1.12.1], Zone:---
Protocol: ANY, TTL:---, Left-Time:---, Pool: 0, Section: 0
Vpn: public
Type: No-Pat, 10.1.12.1[10.1.23.100] -> ANY, Zone:---
Protocol: ANY, TTL:360, Left-Time:358, Pool: 0, Section: 0
Vpn: public
[USG6000V1]display firewall session table
Current Total Sessions : 1
icmp VPN: public --> public 10.1.12.1:53163[10.1.23.100:53163] --> 10.1.23.3:2048
[USG6000V1]display firewall session table verbose
Current Total Sessions : 1
icmp VPN: public --> public ID: c487ff8887050504fbd574304e1
Zone: trust --> untrust TTL: 00:00:20 Left: 00:00:11
Interface: GigabitEthernet1/0/0 NextHop: 10.1.23.3 MAC: 00e0 -fc98-197a
<--packets: 5 bytes: 420 --> packets: 5 bytes: 420
10.1.12.1:53163[10.1.23.100:53163] --> 10.1.23.3:2048 PolicyName: out
ANAPT没有生成server map表,原因也很好理解,NAPT主要是为了满足大量主机访问外网使用,创建过多的server map可能会导致产品性能降低,
B
二、NAPT
三、Smart NAT
四、三元组NAT
分区 Security 的第 4
五、NAT Server与目的NAT
5.1 NAT Server
NAT Server可以提供一对一的地址转换服务,也可以提供端口转换;需要注意的是,配置完成后,FW将会自动生成Server-Map表项,用于存放公网地址和私网地址的
射关系,该表项将一直存在除非静态映射的配置被删除。对报文转换也是通过查找Server-map表项来确定的;
<FW> display firewall server-map
Current Total Server-map : ·1
Slot: 2 CPU: 1
Type: Nat Server, ANY -> 1.1.1.10:80[192.168.1.2:80], Zone:---, protocol:udp
Vpn: public -> public
当Host访问Server时,FW的处理过程如下
1.FW收到Internet上用户访问1.1.1.10的报文的首包后,查找并匹配到Server-Map表项,将报文的目的IP地址转换为192.168.1.2。
2.FW根据目的IP地址判断报文需要在Untrust区域和DMZ区域之间流动,通过域间安全策略检查后建立会话表,然后将报文发送至Intranet。
3.FW收到Server响应Host的报文后,通过查找会话表匹配到2中建立的表项,将报文的源地址替换为1.1.1.10,然后将报文发送至Internet
4.后续Host继续发送给Server的报文,FW都会直接根据会话表项的记录对其进行转换,而不会再去查找Server-map表项。
另外,FW在进行地址映射的过程中还可以选择是否允许端口转换,是否允许服务器采用公网地址上网,以满足不同场景的需求。
5.2 目的NAT
目的NAT将符合特定条件的报文的目的地址以及目的端口转换为指定的地址及端口。其中这些特定条件包含“安全区域”和“ACL”两项,即设备只对来自某一安全区域
且命中特定ACL的报文进行目的NAT。另外,这里不产生Server-map表;
当Host A访问Server时,FW的处理过程如下:
1.FW收到Host ATrustNATIP172.16.16.2192.168.1.2
分区 Security 的第 5

剩余289页未读,继续阅读

资源推荐
资源评论
CodeGolang
  • 粉丝: 154
  • 资源: 1417
上传资源 快速赚钱
voice
center-task 前往需求广场,查看用户热搜

最新资源