目录
1. 数据交换的基本原理
1.ARP协议的工作原理
数据包如图所示。
2、二层交换工作原理
简单解释一下核心概念。
二层交换原理-VLAN标签
3、三层交换工作原理
2、不同AF部署方式的数据传输流程
1.路由模式数据传输处理
3. 每层/组的具体情况说明
1、问题现象分组描述
2. 双向地址转换不起作用时的说明
AF收到请求后没有对数据包进行变换,或者收到响应包后没有将数据包返回给客户端——AF自身的问题判断标准:
外网端口为拨号端口时如何抓包?
3、终端应用客户端访问异常时的说明
思考:如果您的应用程序出现网络异常,与访问公共网站等问题相比,挑战是什么?
4. 应用控制策略无效的案例描述
AF收到请求后没有拦截或传递数据——AF自身的问题:
5、应用控制策略不生效基于域名————的案例描述
原则
方法
情况
新的架构允许您在命令行查看域名之间的对应关系。
拦截恶意域名
僵尸网络防护原理
DNS 窥探
问题
问题1:如果我的防火墙有双向地址转换,或者我的环境有双向地址转换,我如何确定真实IP是谁并快速追踪来源到日志?
问题2:如果客户将内网服务器通过双向地址映射到公网,但不允许公网源ip:5.5.5.1访问该服务器,NAT和ACL分别该如何配置?条件:公网ip:1.1.1.2,服务器ip:172.16.1.1,AF内网端口ip:192.168.1.1,业务端口8083
一、数据交换基本原理
1、ARP协议工作原理
例如,PC A 向PC B 发送数据。当发送数据时,PC A 在其ARP 缓存表中查找目标IP 地址。如果找到了,我们也知道了目标MAC地址,所以我们只需将目标MAC地址写入帧中并发送即可。如果在ARP 缓存表中找不到相应的IP 地址,则PCA 在网络上发送广播。目标MAC地址是“FF FF FF FF.FF FF”。这意味着该广播将被发送到网络中的所有主机。查询:“192.200.121.253 的MAC 地址是多少?”网络上的其他主机只有收到此帧才会响应PC A。 “192.200.121.253的MAC地址是28:51:32:04:ff:45”这样,主机A就知道了主机B的MAC地址,可以向主机B发送信息。同时,它也更新自己的ARP缓存表,下次向主机B发送信息时,ARP缓存表采用老化机制。该表在一定时间内发送给主机B。如果一行未被使用,它将被删除。这显着减少了ARP 缓存表的长度并加快了查询速度。
数据包如图:
ARP请求包:
ARP响应包:
2、二层交换工作原理
二层交换原理是指在计算机网络内部利用二层交换设备(如交换机)转发和交换数据包的原理。二层交换的原理是数据包根据目的MAC地址进行转发。当数据包到达交换机时,交换机会检查数据包中的目标MAC 地址,并将其与交换机的转发表进行比较。转发表记录了与交换机连接的每个接口及其对应的MAC地址。如果转发表中存在目标MAC地址对应的记录,则交换机将数据包转发到相应的接口。如果没有对应的记录,交换机将向所有其他接口广播该数据包以查找目标。设备。二层交换原理的中心思想是建立并维护一张“转发表”,通过学习和更新实现数据包的快速转发。当交换机收到数据包时,它会检查源MAC 地址并将其与其转发表进行比较。如果转发表中没有该源MAC地址对应的记录,则交换机将该地址添加到转发表中,并将报文转发到另一个接口。这样,交换机逐渐获知网络中各个设备的位置,并可以根据目的MAC地址快速转发数据包。二层交换原理的优点是只关注数据包的MAC地址,不需要复杂的网络或传输层处理,从而传输速度更快,效率更高。这使得二层交换设备成为构建局域网的核心设备,提供高速、可靠的数据传输。
简述核心概念:
(1) 当数据到达设备时,首先记录源MAC和接收接口之间的关系,下次传输时,MAC设备就会知道是在这个接口下。
(2)如果没有找到转发MAC,则泛洪所有接口(入接口除外),当收到当前MAC的响应报文时,按照第一步记录,然后按照后续步骤记录。马苏。数据就会知道MAC和接口的对应关系。
二层交换原理-VLAN标签
在二层交换中,VLAN(虚拟局域网)是一种对网络进行逻辑划分的技术。一个物理局域网可以划分为多个逻辑上独立的虚拟局域网,每个VLAN内的设备可以相互通信,而不受其他VLAN的影响。
接入端口:接入端口是用于连接终端设备(如计算机、IP电话、打印机等)的端口。它只能属于一个VLAN(虚拟LAN),并且只能发送属于该VLAN 的数据包。接入端口通常用于将终端设备连接到交换机并将它们划分到相应的VLAN 中。当数据包从Access端口进入交换机时,交换机会为其打上相应的VLAN ID标签,并将其转发到VLAN内的其他端口。 Trunk端口:Trunk端口用于连接交换机之间的端口,用于发送多个VLAN的数据包。您可以同时发送多个VLAN 的数据,并使用标记来区分不同的VLAN。 Trunk端口通常用于连接交换机,实现VLAN的扩展和互连。当数据包通过Trunk端口进入交换机时,交换机根据标记的VLAN ID将数据包转发到相应的VLAN。
上图中,如果A、B、C都在同一个网段,那么不同VLAN的主机如何相互通信呢?
方法一:使用中继链路收发器标签功能。在交换机的前置Trunk端口上,左侧连接A和B的交换机Trunk专用VLAN设置为10,交换机Trunk专用VLAN设置为10。右侧C连接的VLAN设置为20。这样,当A 和B 到达中继链路时,它们将被标记为VLAN 10。它被标记为VLAN 10,因为它的唯一VLAN 是VLAN 10。当它到达另一端时,数据流没有标记,所以这里唯一的VLAN是20,所以它被标记为VLAN 20并被发送出去,最终到达主机C。这同样适用。对于来自主机C 的回复数据包。方法二:利用接入链路的标签发送/接收功能,配置交换机之间的接入接口,将左边连接A、B的交换机的接入设置为10,将连接C的交换机的接入设置为左边要做的事。因此,根据Access 的标签发送和接收功能,交换机A 的左侧接口接收A 的流量并将其标记为10。当通过Vlan 10 中的接口发送时,它被标记为Switch A。此时的数据流是没有标签的。 Vlan 10 没有标签,因此它被标记为Vlan 20,并最终位于主机C 上。主机C的回复数据包是相同的。
3、三层交换工作原理
三层交换原理是指计算机网络内利用三层交换设备(如三层交换机、路由器)转发和交换数据包的原理。在三层交换原理中,数据包根据目的IP地址进行转发。当数据包到达第3 层交换设备时,该设备会检查数据包中的目标IP 地址并将其与其路由表进行比较。路由表记录了设备连接的每个网络以及对应的下一跳地址。如果路由表中有该目的IP地址对应的记录,则设备将数据包转发到对应的下一跳地址。如果没有对应的记录,设备要么丢弃该数据包,要么将其转发到默认路由。
如图所示,A接入B属于二层交换,A接入C属于三层交换。 A到C访问的具体过程如下(假设路由器有对应的ARP表):
(1) A将自己的IP地址与C的IP地址进行比较,发现两者不在同一子网。发送到A自己的网关处理。
(2)此时数据包的源IP为121.235,目的IP为1.1,源MAC为b1-2f,目的MAC为34-45。
(3) 收到报文的路由器判断为三层报文,检查报文的目的IP地址,验证是否在自己的直连网段上,并连接相应接口(eth1)中的数据包。路由表的源IP 为121.235,目标IP 为1.1,源MAC 为00-02,目标MAC 为00-01。
(4) C收到数据包后,以同样的方式向A发回响应数据包。
二、AF各种部署模式数据转发流程
1、路由模式数据转发流程
三、分层/分组逐一案例讲解
1、问题现象分组说明
2、双向地址转换不生效案例讲解
观察1:为什么这种拓扑不能直接使用目的地址映射来实现访问?
原理:当只进行目的地址映射时,数据流程如下: 如果源PC发送的报文与接收报文的五元组信息不匹配,则直接丢弃该报文。
从拓扑数据流分析可以看出,1个目的地址转换+1个源地址转换=双向地址转换
考虑2:如果AF执行双向地址转换,并且该双向地址之前有关联的源地址转换(五元组可以匹配),则该双向地址转换仍然有效吗?另外,转换后的源IP是源吗?双向转换的IP还是源地址转换的源IP?
之所以启用此功能,是因为无论新架构还是旧架构,DNAT 都优先于SNAT。双向NAT与双向地址转换直接匹配,因为一次目的地址转换+一次源地址转换=双向地址转换。
AF收到请求后未转换数据包,或收到回包后未回包给客户端–AF自身问题判断依据:
(1)从整理的问题信息中,查看发送/接收接口和数据流的五元组信息,使用命令tcpdump -i eth1(接收接口)获取主机源IP以及请求数据流是否到达马苏。主机目标IP 和端口目标port-nn -c 100
(2)抓包接口,检查AF是否正确转发请求并转换信息。 tcpdump -i eth2(输出接口)主机转换的源IP 和主机转换的目标IP 以及端口转换的目标端口-nn -c 100 陷阱:在新架构版本85 及更早版本中,对于源地址转换,设备会转换源地址默认端口,导致服务器因会话原因停止响应相关数据。
(3) 如果数据到达AF但没有传输,首先检查nat配置是否正常。 陷阱:自定义服务源端口受限,无法匹配策略。
(4) 检查自动释放数据的NAT策略是否勾选。如果勾选手动发布,则首先启用直接直通测试。
(5) 验证设备到服务器的路由设置是否正确且有效。您可以在防火墙上使用te1net来测试您的服务器是否可以通过。
陷阱:新架构的默认策略路由优先于静态路由,因此内网通过公网IP访问服务器时,数据包会发送到外网端口。
新架构show session 命令总结:show session src-ip xx.xx.xx.xx dst-ip xx.xx.xx.xx
外网口是拨号口如何抓包?
有相应的数据流,将常规ETH1 端口带入PPPoES。主机应该在最后添加一个额外的协议层,即常规主机,它通常能够捕获PPPOES。
tcpdump -i eth1(接收接口)pppoes和主机源IP和主机目的IP和端口目的端口-nn -c 100
3、终端应用客户端访问异常案例讲解
思考:如果是一个应用联网异常,相比于访问公网网站等问题,难点在哪?
最大的问题是应用程序与公共网络交换的五元组信息无法验证,或者五元组信息频繁变化而无法验证。
使用NM34 应用程序捕获应用程序的数据包。
4、应用控制策略不生效案例讲解
AF收到请求后未拦截或放通数据–AF自身问题:
根据判断:
(1)从整理的问题信息中,查看Ingress/Egress接口和数据流的五元组信息,通过以下命令了解请求数据流是否到达AF。
tcpdump -i eth1(输入/输出接口)主机源IP和主机目标IP和端口目标端口-nn -c 100
注意:客户提供的五元组信息发送给AF时可能不是原始的五元组。发起方可以允许固定长度的数据包测试ping。无法ping 通目的地也没关系,只要能将报文发送到AF 即可。数据包长度— Windows 上指定的长度为-l,Linux 上指定的长度为-s。
(2)验证实际的五元组并与AF验证数据后,使用AF专有的策略模拟匹配工具来测试策略配置是否正确或因与其他ACL策略冲突而无效。陷阱:自定义服务源端口受限,无法匹配策略。这样就允许进行TCP握手,这就造成了Telnet无法通过的情况。
(3) 检查是否存在五元组对应的黑/白名单可以通过开启定向透传来检查是否存在黑/白名单拦截/释放。陷阱:二层方式发布的数据不会产生透传日志,并且黑白名单是基于IP进行拦截的,所以如果配置了关联域名,数据是可以匹配并拦截/可能透传的。
(4) 检查设备是否开启了长期连接。启用长期连接很容易导致设备会话填满并失败。或者,通过配置相关的NAT 策略,NAT 后默认释放数据。
5、应用控制策略不生效案例讲解————基于域名
原理
原理:基于域名的应用控制策略实际上是与IP信息匹配的。一旦设备解析了IP,AF就会匹配之前的IP。将记录的域名和IP信息进行比对匹配,进行拦截或释放。
方式
(1) 主动查询:如果配置主动查询,AF会定期主动解析该域名的IP地址。
(2)被动监控:当与该域名相关的DNS流量经过AF时,AF会记录域名解析结果。
条件
(1)主动查询:AF的DNS与内网DNS服务器一致,保证解析结果一致,对应的域名解析结果不会过多或不断变化。
(2)被动监控:PC DNS解析流量双向经过AF。
新架构可在命令行中查看域名的对应关系:
命令行:show netobj-domain XXX 域名
封堵恶意域名
(1)如果客户指定要拦截的恶意域名,且该域名不在库中,则优先使用自定义僵尸网络。
僵尸网络:检测并拦截基于DNS 的流量。
(2)客户指定域名较多重复(具有相同特征),可根据自定义IPS规则进行拦截。
不使用URL 的原因是因为僵尸网络检测设备检测DNS 域名的流量,而受URL 保护的内容通常是安全的,不能直接拒绝URL 或DNS 解析的流量。在外部网络上进行DNS 解析的唯一方法是拒绝对基于域名的流量进行DNS 解析。
网址方式
自定义IPS可以拦截特定协议
PC访问恶意域名时,通常会首先解析DNS协议的53端口。此时,解析的流量可以检测到其中一台PC LAN正在解析域名。如果解决了,请举报并拦截域名。我们需要想办法拦截他的DNS解析流量。
基于域名拦截的应用控制(不推荐):基于域名拦截的应用控制无法拦截DNS解析流量。在实现基于域名的应用控制之前,DNS解析流量记录必须到达DNS解析流量对应的IP。它将生效。我们开发了基于主动域名查询的应用控制策略逻辑。防火墙可能会主动访问这个恶意域名,也可能会收到外部网络的通知。
确定恶意域名的三个网站(如果两个网站都报告了,则说明不是误报):微步、VT(virustotal.com)情报社区(x.threatbook.com)、深信服威胁情报中心。
僵尸网络防护原理
僵尸网络防护的工作原理:基于DNS 流量决策,防火墙确定它正在解析的域名是谁以及是否与规则库匹配。因此,域名的拦截是基于规则的。那。
DNS Snooping
DNS 监听的工作原理:DNS 监听通过监控网络上的DNS 流量来检测潜在的安全威胁和未经授权的访问尝试。具体来说,DNS 监听会在DNS 请求和响应数据包穿越网络时拦截它们并分析其内容。这些数据包中包含域名和对应的IP地址,以及相关的查询信息。
当有DNS请求需要解析时,DNS Snooping会检查该请求的源IP地址、目的IP地址、查询域名、查询类型等信息。通过分析这些信息,DNS窥探可以识别是否存在异常查询行为,例如频繁的大批量查询、伪造域名或DNS劫持,从而使网络管理员能够识别可能的安全威胁。
DNS Snooping帮助网络管理员监控网络中的DNS流量,及时发现潜在的安全问题,并采取相应措施,提高网络安全防御能力。
问题
问题1:防火墙有双向地址转换,或者环境中有双向地址转换的情况下,如何判断真实IP是谁,快速溯源到日志。
版本8.0.85 中的应用程序控制记录的日志包括NAT 前的源地址和NAT 后的地址。
问题2:如果客户通过双向地址映射内网服务器至公网,但不允许公网源ip:5.5.5.1来访问此服务器,请问NAT、ACL分别需要如何配置 ? 条件:公网ip:1.1.1.2、服务器ip:172.16.1.1、AF内网口ip:192.168.1.1、业务端口8083
黑名单:目的地址转换后,源地址转换前,配置防火墙前的公网IP地址为归属防火墙映射前的地址。要完全阻止对您的服务器的访问,请为您的服务器配置私有IP 地址。
# 以上有关排查网络问题的相关内容摘自互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92261.html