1.防火墙支持哪些NAT技术，主要的应用场景是什么？

首先，NAT的分类：

        在内外网之间，流量进出的两个方向，而NAT技术是包含源地址转换和目标地址转换这两类，在通常的情况下，源地址转换是主要用于解决内部局域网计算机访问外部网络的场景；而目标地址转换时用于解决外部网络用户访问局域网服务器的场景，目标地址通常被称为服务器地址映射。

                1.NAT NO-PAT

                            NAT NO-PAT ： 类似于思科的动态转化，多对多，不转化端口，不能解约公网IP地址        

                             它的实际应用场景比较少，主要用内网访问外网的用户比较少，而公网IP地址足够多的场景。

                

                2.NPAT

                             NPAT(网络地址和端口转换）：类似于思科的PAT转换，NAPT转换就是转换报文的源地址，又转换源端口。转换后的地址不能是外网接口的IP地址。

                              属于多对多或这多对一的转换，可以节约公网IP地址，使用场景较多。

                3.EASY-IP

                              出接口地址：因为转换方式比较简单，所以被称为easy-ip。和napt一样，就是转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是nat设备外网接口所配置的IP地址，属于多对一转换。可以节约IP地址。

                4.NAT Server

                               静态一对一发布，主要用于内部服务器需要对外网提供服务时使用。

                5.Smart NAT

                               Smart nat  智能转换，通过预留一个公网地址进行napt转换，而其他的公网地址用来进行nat no-pat转换，因为方式比较独特，该方式一般不常用。

                6.三元组NAT

                                三元组NAT和源IP地址、源端口、协议类型有关的一种转换。将源IP地址和源端口转换为固定公网IP地址和端口，解决一些特殊应用在普遍NAT中无法实现的问题。

                                主要应用于外部用户访问局域网的一些P2P应用。

2.防火墙如何解决内网设备通过域名访问内网服务器问题？

        当用防火墙将内网服务器发布到公网上，供外网用户访问的过程中，会出现一种现象，就是web服务器已经成功发布了，外网的用户能够成功的访问，但是内网的用户却无法访问到web服务器，这就属于到路由回流。会造成路由回流的原因主要是因为出口设备路由器或者防火墙做了NAT/PAT也就是源地址转换和端口映射，使得在出去的地址在通过防火墙回来时不知道对选择哪个端口，从而使得内网用户访问不了web服务器。

        需要做NAT的路由器或防火墙上配置域内的NAT转换，让pc访问该公网域名时，防火墙或者路由器能正确的寻址。

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

        因为首包机制的存在，在主防火墙down掉时，备份防火墙不能继续传输，需要同步会话表才能继续接替主防火墙的工作。（需要对应的会话表才能接替主防火墙的工作）

            这种情况，可以断开会话重新连接，但是中间会有一段响应时间，对用户体验不好。

            还可以关闭防火墙的状态检测机制实现，但是会有隐患。

        第二种就是使用vrrp实现双击热备时会遇到的情况，当流量从主防火墙通过访问到终端，但是终端回包时，路由选路没有选号，走的备用防火墙。这个时候回去的包就不是首包的那条的路，在备份防火墙的会话表中没有这条路的首包记录，也不能通过备份防火墙。

        当三种可能就是链路可能断开的情况，当主防火墙的物理链路以外断掉，vrrp协议将流量切换到下方的备份防火墙的链路上去，如果在断开之前，主防火墙发送的首包，那么断开之后，对端回包的时应该是走备用的防火墙的线路。 如果两个防火墙的会话表没有同步，vrrp也没有进行同步，流量还是会走主防火墙，即使物理链路断掉。这样的结果就是终端收不到回包。所以：当一个防火墙的物理链路断掉，那么在它与备份防火墙中的vrrp必须要进行同步状态才能接过 主防火墙未完成的使命。

        在以上过程中，为了解决vrrp同步的问题，就需要一个新的协议VGMP

        VGMP 是为了防止可能导致在vrrp状态下双方信息不一致现象的发生。这是H3C在vrrp基础上进行的扩展，推出的vrrp组管理协议VGMP，负责统一管理加入其中的各备份组VRRP状态。

        这解决了vrrp同步问题，但是此时流量还是过不去，因为备份无法建立会话表（首包机制），所以才需要建立一个会话同步机制，需要用到HRP

        HRP        华为双机热备协议

        可以同步防火墙之间的ARP信息、NAT\PAT信息，以及防火墙上配置的安全策略信息等，能够保证主防火墙down之后备防火墙的回包流量能够顺利的接收，还能够检测主备防火墙之间的运行状态。

        

4.防火墙支持那些接口模式，一般使用在那些场景？
        物理接口：防火墙支持的接口可以是二层的接口，也可以是三层接口

                        二层接口：交换接口  portswitch

                         三层接口： undo portswitch     类似于路由器的接口

        逻辑接口：

                          1.tunnel接口，null接口

                          2.vlanif接口

                          3.三层以太网子接口（备份时）、loopbak接口

                           

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

        首先，考虑路由的问题，可能是该地区的路由没有写完整，没有写缺省之类的，其次可能是网关地址没有配置正确。

        dns，该地区指向的dns服务器出现问题，域名解析错误，无法访问互联网。

        策略，在防火墙上没有对相关区域的线路的流量没有放行，导致无法连接互联网。

        双机热备，在实际情况中，私网访问公网会有多个防火墙，当遇到没有配置正确的双机热备的防火墙，例如vrrp和HRP这些协议没有实现完成，都会影响私网访问互联网的情况。

实现双机热备需要三种东西：VRRP（解决虚拟网关的问题）、VGMP（解决VRRP一致行动的问题）、HRP（解决同步会话的问题）

实验:

 注意：我先写入的是备份机（第二台机器，和这个顺序不同）

主设备机：

 配置安全区域：

 

 

 

此时

 

第二台设备： 

 

 在第二个接口列表需要重新写入新的：

 定义一个区域：（HRP区域）

 再做一个HRP策略：（其中发现没有HRP协议可选，我们就用any代替，但是实际操作中必然选HRP协议）

 

 接下来就是配备备份机器的参数：

 

 

 这边备份就弄好了，接下里切换到主机上去

此时：第二台机子的情况已经完成：

 还需要一致性检查：

再次切换到主设备上去：

 

 看看效果：

当断开主机旁边的线路时

 结果：

 最后实验大功告成！