防火墙双机热备及入侵检测

防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

1、会话表同步问题。

防火墙根据会话表进行通信，每一个会话连接都有一个会话表对应，当主设备宕机时，备设备中并不会有主设备的会话表，导致主设备的流量无法匹配会话表而中断。

华为使用HRP协议，主备防火墙连接一条心跳线同步会话表。（不同厂商的防火墙不能进行双机热备）

2、VRRP同步切换问题。

为了解决单点故障，在防火墙的内网和外网都需要做VRRP，当主设备F1内网宕机后，将备设备F2切换为主设备，所有流量都走向F2。但外网设备依旧认为内网F1是主设备，流量继续发往F1，因此导致网络不通的情况。也就是VRRP切换不同步的问题。

使用VGMP组管理协议，将VRRP备份组都加入到一个VGMP组中，由VGMP组来集中监控并管理所有的VRRP备份组状态，保证VRRP备份组状态的一致性。

防火墙支持那些接口模式，一般使用在那些场景？

路由模式：防火墙接口以三层路由的形式参与组网

交换模式：防火墙接口以二层交换接口的形式参与组网

接口对模式：是一种特殊的二层模式，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的MAC寻址，类似网线的形式（虚拟网线）转发，速度快。

旁路模式：也是二层的交换机接口，该接口一般用于接收镜像流量，向主机一样旁挂在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口，这个场景防火墙可以做IPS，审计，流量分析等任务，功能是最少的。

什么是IDS？

相当于一个“监控系统”进行实时监控，一旦有陌生人进入或内部人员有越界行为，它会发现情况并发出警告。

IDS是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

专业上来讲，IDS（入侵检测系统）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

IDS和防火墙有什么不同？

防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护的网络有害的流量或数据包）的设备。而IDS则是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

IDS工作原理？

• 系统和网络日志文件
• 目录和文件中的不期望的改变
• 程序执行中的不期望行为
• 物理形式的入侵信息

数据分析：一般通过三种技术手段进行分析

• 模式匹配：用于实时的入侵检测
• 统计分析：用于实时的入侵检测
• 完整性分析：用于事后分析

在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。