ファイアウォールのALG、NAT、デュアルマシンホットスタンバイの知識ポイントを詳しく解説

プログラミング 2023-07-28 18:01:29 訪問数: null

特定の NAT およびデュアル マシン ホット スタンバイの実験については、NAT およびデュアル マシン ホット スタンバイの実験を参照してください。

目次

1、ALG

2、夜将軍

3. NAT ドメイン間の双方向変換

4. NAT ドメイン内の双方向変換

5.デュアル出力NAT

6. ファイアウォールのデュアルマシンホットバックアップ

解決策 1: VGMP

6.1 デュアルシステムホットバックアップ技術の背景:

6.2 マルチエリアファイアウォールネットワーキングにおける VRRP の適用

6.3 ファイアウォールでの VRRP アプリケーションの欠陥:

6.4 VGMP の基礎

6.5 VGMP グループ管理

解決策 2: HRP

6.6 バックアップ内容: セッションテーブルのバックアップ、構成のバックアップ

6.7 バックアップの方向:

6.8 バックアップチャンネル:

6.9 ファイアウォールデュアルシステムホットバックアップアクティブ/スタンバイ切り替えの障害シナリオ

1、ALG

アプリケーション ゲートウェイは、NAT 変換シナリオにおける上記のアプリケーション層の変換問題に対処するために使用されます。

ALG の機能の 1 つ: マルチチャネル プロトコルのネゴシエーション パケットを観察する

2、夜将軍

一部のプロトコルはアプリケーション層で通信 IP を運びます (つまり、NAT 変換の前に IP はありません)。この IP は通信の次の段階で使用されます。ただし、nat のアドレス変換はアプリケーション層ではなく 3 層の ip に転送されるため、nat シナリオでは一部のプロトコルの通信フェーズが失敗します。

質問 1: nat は転送プロセス中にソース IP の整合性を破壊するため

したがって、サーバーマップを使用して、NATアドレスを出入りできる非表示のチャネルを作成する必要があります

質問 2: TCP チェックサムは、IP の送信元 IP アドレスと宛先 IP アドレスをチェックします。

NAT 変換アクション: IP を変更し、TCP チェックサムに移動して、変更されたチェックサムを再度チェックします (ヘッダー チェックはありません)。

NAT 変換は IP ヘッダーだけでなく、TCP ヘッダーにも関係します

ファイアウォールのソリューション:

1.NATを作成する 

2. サーバーマップの非表示チャネルを作成する

注: ファイアウォール設定では実際のアドレスのみを書き込むことはできません

    サービス マッピング NAT: 外部 -> 内部ターゲット書き込みイントラネット サーバー IP    

    内部 -> 外部ソース書き込みローカルホスト IP

3. NAT ドメイン間の双方向変換

外部ネットワークはイントラネット サーバーにアクセスし、イントラネット サーバーも外部ネットワークにアクセスする必要があります。

4. NAT ドメイン内の双方向変換

使用シナリオ: イントラネット上のユーザーはイントラネット上のサーバーにアクセスしたいと考えていますが、DNS 解決は外部ネットワークで解決する必要があり、PC のアクセスはサーバーの応答パスと一致しません。

5.デュアル出力NAT

二重 NAt は NAT アドレス変換の混乱を引き起こす

解決:

ファイアウォールの複数出口オプションを有効にする、ゲートウェイ、デフォルト、ソース入力、ソース出力のルーティング制御を有効にする必要があります。これは、複数の出口が 1 つのセキュリティ エリアにあるか、複数のセキュリティ エリアにあるかに関係なく当てはまります。

原則として、上記の手段を通じてルーティングと NAT 変換を関連付けます。

注: ファイアウォールの IP をグラフィカルに構成する場合は、必ずデフォルト ゲートウェイを記述し、複数出口オプションにチェックを入れることを忘れないでください。

6. ファイアウォールのデュアルマシンホットバックアップ

解決策 1: VGMP

6.1 デュアルシステムホットバックアップ技術の背景:

内部ユーザーと外部ユーザーとの対話パケットがすべてファイアウォール A を通過する場合。ファイアウォール A に障害が発生すると、内部ネットワーク内のファイアウォール A をデフォルトゲートウェイとして使用する通信がすべて遮断され、通信の信頼性が保証できなくなります。

1 台のデバイスの予期しない障害が発生してネットワークの中断やビジネスの中断を引き起こすことを防ぐために、2 つのファイアウォールを使用してデュアル マシンのバックアップを形成できます。

6.2 マルチエリアファイアウォールネットワーキングにおける VRRP の適用

複数のリージョンがデュアルホスト機能を提供しないようにするには、各ファイアウォールで複数の VRRP バックアップ グループを構成する必要があります。

6.3 ファイアウォールでの VRRP アプリケーションの欠陥:

従来の VRRP 方式では、プライマリおよびバックアップ ファイアウォールのステータス情報と VRRP の複数グループのステータスの一貫性を実現できませんでした。

6.4 VGMP の基礎

すべての VRRP バックアップ グループの切り替えの一貫性を確保するために、VRRP をベースに拡張し、この制限を補うために VGMP (VRRP Group Protocol Management Protocol) を導入します。同じ保護ウォール上の複数の VRRP バックアップ グループを VGMP 管理グループに追加すると、管理グループはすべての VRRP バックアップ グループのステータスを統一した方法で管理し、管理グループ内のすべての VRRP バックアップのステータスが一貫していることを保証します。

  • ファイアウォール VGMP グループのステータスは、次の 3 つのカテゴリに分類されます。 ロード バランシング ロード バランシング アクティブ、スタンバイ。

  • ファイアウォールの VGMP グループは、Hello 優先度に従ってマスター デバイスとバックアップ デバイスを決定するために、VGMP メッセージを送信することで自身の実行ステータスを通知します。マスター デバイスの VGMP グループのステータスは Active、バックアップ デバイスのステータスはデバイスはスタンバイ状態です。

  • ファイアウォール上の VGMP グループがアクティブ/スタンバイの場合、グループ内のすべての VRRP バックアップ グループの状態はアクティブ/スタンバイになります。

  • 障害発生時、VGMP は一律に VRRP バックアップグループ 1 と VRRP バックアップグループ 2 の状態に切り替わります。VGMP グループのステータスが Active の場合、VRRP バックアップ グループのステータスは Master、VGMP グループのステータスがバックアップの場合

6.5 VGMP グループ管理

状態整合性管理: VGMP 管理グループは、すべての VRRP バックアップ グループの統合切り替えを制御します。VRRP バックアップ グループを管理グループに追加した後は、状態を個別に切り替えることはできません

プリエンプション管理:

  • 元の障害のあるマスター デバイスが回復すると、その VGMP 管理グループの優先順位も復元され、この時点で、自身の VGMP 管理グループのステータスを再びマスターとしてプリエンプトできます。

  • VRRP バックアップ グループが VGMP 管理グループに追加されると、バックアップ グループの元のプリエンプション機能は無効になり、プリエンプションが発生するかどうかは VGMP 管理グループによって決定される必要があります。

チャネル管理: いわゆるチャネル管理は、デュアル システム ホット スタンバイの 2 つのファイアウォール間でどのインターフェイスが利用可能であるかを決定することであり、VGMP および HRP モジュールは、VGMP および HRP メッセージを送信するために利用可能なインターフェイスを自動的に選択します。

ノート:

  • VGMP はマスターとバックアップを独自に選択します。

  • VRRP のマスターとバックアップは VGMP によって選出されます。

解決策 2: HRP

HRP (Huawei Redundancy Protocol) プロトコル。2 つのファイアウォール間で状態情報と主要な設定コマンドの動的バックアップを実装するために使用されます。

6.6 バックアップ内容: セッションテーブルのバックアップ、構成のバックアップ

  • ポリシー: セキュリティ ポリシー、NAT ポリシー、認証ポリシー、攻撃防御、ASPF など。

  • オブジェクト: アドレス、地域、サービス、アプリケーション、ユーザー、認証サーバー、期間アドレス プール、URL 分類、キーワード グループ、電子メール アドレス グループ、署名およびセキュリティ構成ファイルなど。

  • ネットワーク: 新しい論理インターフェイス、セキュリティ ゾーン、DNS、静的ルーティング (バックアップは hrpauto-sync config static-route を構成した後にのみ実行できます)、IPSec、SSLVPN などを作成します。

  • システム: 管理者、仮想システム、ログ設定など。

  • 状態情報: セッション テーブル、サーバー マップ テーブル、ブラック/ホワイト リスト、アドレス マッピング テーブル、MAC テーブル、ユーザー テーブル、IPSec セキュリティ アソシエーションおよびトンネルなど。

6.7 バックアップの方向:

  • バックアップをサポートする設定コマンドは、デフォルトではマスター デバイスでのみ実行でき、セキュリティ ポリシー設定コマンド、NAT ポリシー設定コマンドなどのコマンドは自動的にバックアップ デバイスにバックアップされます。

  • アクティブ/スタンバイ バックアップ ネットワークでは、アクティブ バックアップのみがサービスを処理でき、アクティブ デバイスはサービス エントリを生成し、それらをバックアップ デバイスにバックアップします。負荷分散ネットワークでは、両方のファイアウォール デバイスがビジネスを処理し、ビジネス エントリを生成してピア デバイスにバックアップします。

6.8 バックアップチャンネル:

  • 構成とステータスでは、ネットワーク管理者がバックアップ用のバックアップ チャネル インターフェイスを指定する必要があります。一般に、2 つのデバイスに直接接続されているポートはバックアップ チャネルとして使用され、「ハートビート ライン」と呼ばれることもあります。

バックアップ方法:

  • 自動バックアップ

  • 手動バッチバックアップ

  • デバイスが再起動されると、アクティブ ファイアウォールとスタンバイ ファイアウォールの構成が自動的に同期されます。

  • セッション高速バックアップ

6.9 ファイアウォールデュアルシステムホットバックアップアクティブ/スタンバイ切り替えの障害シナリオ

  • ビジネスラインの失敗

  • 機械の故障

  • ハートビート障害

おすすめ

転載: blog.csdn.net/qq_68163788/article/details/131893894
おすすめ
ランキング
Web側のオンラインクラウド編集ソリューション
2つのシナリオでのJVMチューニングケース(基本テンプレートの概要-G1)-ピット概要ハイライト21を踏む(週に1回更新)
Node Sass は現在の環境のバインディングを見つけることができませんでした
RabbitMQのコマンドラインの使用方法は、手動でキューrabbitmqadminを作成します
币圈韭菜十大致命操作(八)热爱幻想,无视现实
Wide Face+YOLOV7 顔検出
shrioの研究ノート
Eclipseは「:不明なMavenの設定の問題」を示します
6512. [3.18] GDOI2020シミュレーションツリーとパス
不像总结的总结
アーカイブ
もっと
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)
2024-04-28(12)

コードワールド

© 2018 codetd.com