汤小萌的博客

原创 给定一个整数数组和一个目标值，找出数组中和为目标值的两个数(同样的元素只能用一次)

解决方案*方法一:暴力法:public static int[] twoSum01(int[] nums, int target) { for(int i = 0; i < nums.length; i++) { for(int j = i + 1; j < nums.length; j ++) { if(nums[j] =...

原创 防火墙双机热备01（主备模式）

摘要：本文详细分析了VRRP与华为HRP协议在防火墙场景下的应用差异。VRRP作为标准三层冗余协议，仅实现网关IP/MAC同步，无法解决防火墙状态化会话和配置同步问题。华为HRP协议专为防火墙设计，通过实时同步会话表、Server-Map表和配置信息，实现业务无缝切换。重点阐述了华为防火墙双机热备的三层架构（VRRP/VGMP/HRP协同工作），其中VGMP统一管理VRRP优先级，HRP负责状态同步。实验部分展示了负载分担与主备模式的配置方法，强调HRP_M/HRP_S（配置主备）与Active/Stand

原创 防火墙双机热备技术之VRRP

VRRP（虚拟路由器冗余协议）是一种基于接口的网关备份协议，通过将多台物理路由器组合成虚拟路由器，为主机提供不间断的网关服务。其核心机制包括：虚拟IP和MAC地址、Master/Backup角色选举（基于优先级）、定时通告检测（默认1秒）、故障自动切换（＜3秒）和抢占模式。配置时需在接口视图下指定VRID、虚拟IP和优先级，支持多接口独立运行不同VRRP组实现负载分担。该协议通过虚拟MAC地址和免费ARP实现快速透明切换，确保网络高可用性，是双机热备方案的基础。

原创 NAT ALG （应用层网关）

摘要：NATALG是防火墙/NAT设备上用于解析和修改应用层协议的特殊功能，解决FTP等协议穿越NAT时的地址转换问题。主动模式下需在客户端侧NAT设备开启ALG，被动模式则在服务器侧。ALG与ASPF对比：ALG修改应用层数据并处理NAT转换，ASPF仅动态放行端口。配置示例展示了FTP和ICMP的NATServer区别，以及防火墙如何同时实现ASPF和ALG功能。

原创 双向NAT

摘要：本文讨论了NAT转换的类型，指出所述案例并非双向NAT，而是在NAT1阶段进行源地址转换，在NAT2阶段进行目的地址转换的两个独立过程。文章提供了关于双向NAT的分析链接，帮助区分单向NAT与双向NAT的差异。内容涉及网络地址转换的技术细节，适合网络技术人员参考。（98字）

原创 Full Cone Nat

安全策略只需要写一边就够了，因为后面使用的是完全圆锥型NAT进来的，因为完全圆锥型NAT出去的时候就会生成server map表，这个server map表可以让后续的流量绕过安全策略的检查，所以不用写回来的方向。如果不用完全圆锥型NAT，就需要再放行untrust到trust的一个UDP流量，其实并不知道回来的端口号是什么，回来的端口是随机的，所以都要放行，不然回不来。Nat分为对称型Nat和圆锥型Nat，圆锥型又分为：端口受限，IP受限，Full Cone（完全圆锥）。使用TFTP上传文件，查看。

原创 NAT策略

1、NO-PAT# NO-PAT配置示例（华为）nat address-group 1 202.100.1.100 202.100.1.100 # 单个IPnat-policysource-address 192.168.1.100 32 # 只转换这个IPaction source-nat address-group 1 no-pat # 关键：no-pat参数为什么NO-PAT模式下安全策略优先？原因：需要基于真实身份做安全检查情景：内网服务器通过NO-PAT对外提供服务。

原创 FW旁挂实验

从内部client发出的访问请求的流量直接穿过路由器，服务器接收到请求后，回包流量经过路由器，然后推给防火墙，防火墙上配置了默认路由，又会丢回给路由器。主要的配置在路由器连接服务器的接口 GE0/0/2上做PBR，把外部服务器过来的流量丢给防火墙，不能通过直连路由直接回给客户端。而旁挂防火墙的性能瓶颈在于。客户端是代表内网区域，内部区域流量出去的时候不过防火墙，当服务器的回来的流量是过防火墙的。，将需要分析的流量引向防火墙的接口即可。现在路由器上去ping服务器，防火墙，客户端，都是能通的。

原创 FW基本概述

1. 基于五元组的访问控制（最基础且核心）这是防火墙策略的基石。源IP地址目的IP地址源端口号目的端口号协议类型（如TCP、UDP、ICMP）通过这五元组，防火墙可以制定极其精细的策略，例如：“只允许财务部的IP段访问服务器的TCP 443端口，其他一律拒绝2. 基于用户/用户组的控制现代防火墙能将IP地址与具体用户身份绑定。策略可以写成：“允许‘市场部员工组’在上班时间访问‘社交媒体应用类’”，而不是写一串复杂的IP地址。这大大提升了策略的可读性和管理效率。

原创 TK_网络基础和常见攻击（笔记）

它确保内网中每一个IP地址的使用者都是经过授权、身份明确的设备，防止“内鬼”作乱。再vlan下启用user-bind报表检查（也可以在接口下，但是范围更小一些）它不信任外部来的报文，通过路径反查，过滤掉大量源IP不。没有命中的arp报文会认为是非法的而丢弃。真实（伪造）的攻击流量，如反射放大攻击。发送第一个数据包时进行拦截。企图毒化他人缓存时进行阻断。：按攻击发生的时间顺序。网络的第一步就进行控制。：在攻击者接入网络后，是否在同一个隔离组。

原创 AAA配置实验_解决ensp路由器ssh防火墙问题

你的防火墙（USG6000V1， V500R005C10SPC300）配置的SSH服务器算法较新且严格，而你的路由器（AR2220， V200R003C00）是一个非常老的版本，其内置的SSH客户端支持的算法很可能非常陈旧。当数据包的目的IP是防火墙自身的接口IP时（如您的 192.168.1.1），防火墙会优先使用 service-manage 这个独立的控制列表进行判断，而不会进入普通的安全策略 (security-policy) 匹配流程。G1/0/0接口是通往“城区A”（trust区）的大门。

原创 防火墙用户管理技术

NASNetwork access server（网络接入服务器）不一定是一台服务器，可以是交换机也可以是防火墙。问题：为什么中间要有NAS，而不是直接连接AAA服务器。

原创 入侵防御与反病毒概述

本文概述了入侵防御系统(IPS)的工作原理及实现机制。IPS通过预定义签名库检测网络攻击特征，结合安全策略进行防御。文章详细介绍了签名过滤器的作用——筛选适用签名以提升检测效率，并说明了签名与安全策略的关联关系。同时解释了例外签名的应用场景，以及入侵防御对数据流的处理流程。最后提供了华为防火墙配置IPS的实操步骤，包括创建安全配置文件、绑定策略等关键操作。全文以通俗类比方式，帮助读者理解漏洞与病毒的区别，以及IPS如何像"电子警察"一样保护网络安全。

原创 防火墙双机热备HRP

华为防火墙双机热备技术解析 本文探讨了华为防火墙双机热备技术(HRP)的工作原理和部署方案。主要内容包括： 问题背景：当流量从FW1出站但经FW2返回时，由于会话表不同步导致业务访问异常。 解决方案： 采用主备备份模式，确保流量始终通过同一台防火墙 通过VRRP+VGMP协议组合实现故障切换 技术实现： VRRP提供虚拟IP地址冗余 VGMP(华为专有协议)防止"脑裂"，实现整机状态管理 适用于下游连接二层设备的场景 部署对比： 主备模式简单易维护 负载分担模式需分析多路径，故障时可能导

原创 NAT技术总结

原创 知识点10：NAT ALG

NAT ALG（应用层网关）是解决NAT环境下应用层协议通信问题的关键技术。它能深度检测并修改数据包应用层内容中嵌入的IP/端口信息，解决因NAT只转换IP包头而导致的通信故障。典型应用场景包括FTP主动模式（PORT命令）、SIP、H.323等协议，这些协议会在数据载荷中携带网络层信息。在华为防火墙中，NAT ALG功能已集成在ASPF模块内，通过统一的应用感知引擎实现协议识别、状态跟踪、地址转换和动态策略生成。与HTTP等无需ALG的协议不同，需要ALG的协议都存在"双重地址"问题，

原创 知识点9：华为查看产品手册

hdx结尾的可以直接用浏览器打开，chm结尾的需要下载到本地才能看。

原创 知识点8：server map 表

摘要： Server-map本质是一个存储多种NAT和安全策略条目的容器，不同于会话表。ASPF生成的Server-map可充当临时安全策略，而NAT Server生成的仅用于地址转换。NAT Server需预生成Server-map以"开门迎客"，通过哈希查找（O(1)复杂度）快速响应外部访问；动态目的NAT则需实时匹配策略（O(n)复杂度），适用于按需转换场景。关键差异在于：NAT Server确保服务确定性（配置即生效），而动态NAT依赖流量触发，灵活性高但效率较低。两者分别满足固

原创 知识点7：Nat处理流程

本文通过多张流程图展示了NAT(网络地址转换)的处理流程，包括数据包在不同网络环境中的转换过程。图示详细描述了NAT技术如何实现内网地址与公网地址之间的映射转换，涉及地址转换表、端口映射等核心机制。流程图中还展示了NAT设备如何处理入站和出站数据包，以及不同类型NAT(如静态NAT、动态NAT)的工作方式。这些可视化资料为理解NAT技术原理提供了直观参考。

原创 知识点6：Web界面配置Nat

本文介绍了防火墙配置中的关键概念与功能。首先，防火墙配置会附带un-route用于防环路由。其次，"安全区域"设置用于定义允许访问的网络区域。在NAT配置方面，不勾选"指定协议"时，一个公网IP只能映射给一个私网IP；勾选后则可针对特定协议指定端口。最后，勾选相关选项后，将不会生成no-reverse规则。这些配置选项为网络安全管理提供了灵活的控制手段。

原创 知识点5：目的NAT的no-reverse跟Nat Server 的no-reverse

摘要：no-reverse是NAT配置中的一个特殊参数，用于创建单向NAT转换（仅正向会话）。它主要应用于特殊网络架构和引流场景，会破坏NAT的对称性，导致内部服务器无法主动访问外部网络。实际测试表明，no-reverse只影响静态Server-map表的生成，不影响动态会话表的建立，因此外部发起的连接仍能正常获得响应。该参数与常规NAT Server配置存在关键差异，需特别注意其适用场景和潜在影响。

原创 知识点4：Nat Server的Server-map 跟ASPF中的server map区别与联系

摘要： 防火墙中的Server-map表分为静态（NAT Server）和动态（ASPF）两种。NAT Server的Server-map是预先配置的静态映射，允许外部主动访问内部服务（如将公网IP:端口映射到内网服务器）。ASPF的Server-map是临时生成的动态规则，用于放行多通道协议（如FTP、SIP）协商的数据端口，解决“非首包”流量通过问题。两者协同工作：静态映射开放固定服务，动态规则处理临时通道，共同保障复杂应用在NAT环境下的正常运行。

原创 知识点3：动态目的NAT的配置总结

安全策略决定“能不能过”，NAT策略决定“怎么换IP”。流量先过安全策略，再过NAT策略。

原创 知识点2：为什么说Nat Server是“源NAT+目的NAT“的结合？

NAT Server在配置目的NAT时，会自动完成双向地址转换。外部用户访问公网IP时，防火墙不仅将目的IP转换为内网地址，还会在服务器回包时自动将源IP改回公网IP，形成完整的NAT会话。这种状态化处理机制确保了双向通信的地址一致性，无论是静态NAT Server还是动态负载均衡场景都遵循这一原则。核心在于防火墙通过会话表跟踪连接状态，自动完成回包的源地址转换，使通信过程对两端透明。

原创 知识点1：防火墙是如何方式IP欺骗的

状态检测防火墙不能完全阻止IP欺骗：如果攻击者只发送SYN包进行DoS攻击，防火墙可能允许创建半开连接。攻击者无法建立完整的有状态连接无法进行双向通信（看不到服务器响应）无法窃取数据或执行命令不要只依赖IP地址做访问控制结合认证、加密、入侵检测等多层防护定期更新策略，监控异常流量。

原创 防火墙地址转换技术NAT之目的NAT

本文介绍了目的NAT的概念及其两种实现方式。静态目的NAT通过固定映射实现公网地址到私网地址的转换，支持端口号转换，可让一个公网IP映射多个私网服务器。动态目的NAT则采用地址池方式，转换关系不固定。文章重点对比了NAT Server与传统SNAT/DNAT的区别：NAT Server通过server map表实现双向地址转换，既能处理外部访问内部的需求，也能让内部主机主动访问外部，相当于SNAT和DNAT的结合。最后通过实验验证了NAT Server的双向转换功能，并指出实际应用中通常仅使用其目标地址转换

原创 防火墙地址转换技术NAT

摘要：本文主要探讨了NAT(地址转换)技术的背景、分类及配置应用。NAT技术主要用于解决IPv4地址不足问题，同时隐藏内部网络结构提升安全性。文章详细介绍了静态NAT、动态NAT和NAPT三种转换方式，并通过实验拓扑演示了NAPT的具体配置过程。重点分析了ICMP协议在NAPT转换时的特殊处理机制，以及安全策略中源地址的书写规范，强调应使用转换前的私网IP地址。实验结果表明，NAPT能有效实现私网到公网的地址转换，同时通过会话表可查看转换后的连接状态。

原创 ASPF技术详解，原理，server map表

防火墙ASPF技术解决FTP多通道协议问题 摘要：本文分析了防火墙在处理FTP等多通道协议时面临的问题。传统安全策略无法预判FTP数据通道的随机端口，导致主动/被动模式均存在连接问题。ASPF技术通过监听控制通道协商过程，动态生成server-map表作为临时安全策略，解决随机端口放行难题。实验显示，开启ASPF后防火墙能自动记录FTP协商信息，形成"控制通道基于安全策略，数据通道基于server-map表"的协同机制。文章详细拆解了数据包在防火墙各表项中的匹配流程，阐明会话表与serv

原创 防火墙会话表及ASPF产生背景

防火墙安全策略与ASPF技术解析 防火墙安全策略数量多源于精细化业务管控需求，需针对不同业务制定精准访问规则。会话表机制是防火墙核心功能，通过display命令可查看流量是否通过防火墙，用于故障定位。会话老化时间根据协议类型动态调整，防止资源耗尽并提升安全性。 ASPF技术解决了传统防火墙对应用层协议支持不足的问题，通过深度检测实现动态放行多通道协议流量。实验表明，合理配置安全策略（如限制FTP流量）并结合ASPF，可在保障安全的同时满足业务需求。防火墙策略需平衡安全性与业务灵活性，通过会话表监控和ASPF

原创 防火墙基础技术

本文介绍了防火墙的基本概念与华为USG6000V防火墙的配置方法。主要内容包括：1）使用eNSP模拟器导入USG6000V镜像并启动设备；2）通过创建环回网卡实现网页版登录防火墙；3）防火墙安全区域（Trust、Local等）的配置原理；4）关键的安全策略设置流程。文章详细演示了接口IP配置、区域划分、ping测试等操作，并提供了命令行和网页两种配置方式，帮助理解防火墙在网络隔离中的核心作用。配置过程中需注意密码复杂度、接口权限等安全要求。

原创 vlan间通信之vlanif虚接口、vlan聚合

摘要： 本文探讨了VLAN间通信的实现方式，重点分析三层交换与VLAN聚合技术。通过配置VLANIF虚接口实现跨VLAN通信，指出单臂路由缺乏冗余的局限性。详细介绍VLAN聚合技术（Super VLAN）及其原理，说明如何让多个子VLAN共享同一网段IP以节约地址资源。特别强调代理ARP在VLAN聚合中的关键作用——解决逻辑同网段但物理隔离的通信问题。最后指出配置注意事项：Trunk链路无需放行Super VLAN，因其仅为逻辑三层实体。实验通过华为设备验证了技术可行性，为网络设计提供实践参考。（149字）

原创 MSTP工作原理、MSTP配置案例、MSTP负载均衡

摘要：本文介绍了MSTP（Multiple Spanning Tree Protocol）在网络环境中的应用与配置。通过实验拓扑展示了如何在多VLAN环境中配置MSTP，避免了传统STP将所有VLAN流量集中在单一根桥上的问题。配置步骤包括：设置STP模式为MSTP、定义MST域名称、建立VLAN与实例的映射关系，并通过调整优先级指定不同VLAN的根桥。验证方法展示了如何确认各VLAN流量的转发路径，实现了流量负载均衡。MSTP有效解决了大规模VLAN环境中网络性能优化的问题。（150字）

原创 RSTP（快速生成树协议）

RSTP是STP发展道路上的一个过渡，RSTP仅仅解决了收敛速度的问题，没有解决负载，依然是所有的vlan选择一个设备来做根。

原创 STP协议概述、STP工作原理、STP拓扑计算

摘要：本文详细分析了生成树协议(STP)的工作原理及其在网络中的关键作用。首先阐述了二层环路导致的广播风暴、MAC地址表震荡等危害，指出物理冗余链路与交换机泛洪机制的根本冲突。随后系统介绍了STP的核心功能：通过选举根桥、根端口和指定端口，逻辑上阻断冗余链路，构建无环拓扑结构。文章深入解析了BID、路径开销、端口ID等关键参数的计算规则，以及STP如何动态维护网络拓扑，在保障冗余性的同时避免环路。STP作为网络可靠性与无环运行之间的平衡方案，是构建健壮企业网络的基础协议。

原创 Trunk原理与配置、Eth-Trunk原理、手工模式Eth-trunk

链路聚合的核心在于创建一个逻辑接口（通常称为 Eth-Trunk​ 或 Port-Channel），该接口由多个物理成员接口组成。当转发数据时，系统会通过特定的负载分担算法（例如基于源/目的IP地址、MAC地址等），将数据流分配到不同的活动物理链路上。手工负载分担模式链路聚合的核心在于，Eth-Trunk接口的建立、成员接口的加入均由管理员手动配置，聚合链路的两端设备之间不会像LACP模式那样交互协议报文进行协商​。

原创 网络通信原理

双绞线主要分为两大类：UTP 和 STP。它们的核心区别在于 抗干扰能力和结构。核心区别一览表1. UTP - 非屏蔽双绞线这是我们日常生活中最常见、使用最广泛的网线。结构内部是4对（8根）相互缠绕的绝缘铜线。除了线对外，没有任何额外的金属屏蔽层。最外面是一层塑料护套。完全依赖于 “双绞” 这一物理原理。当两根线紧密缠绕在一起时，它们对外部电磁干扰的感应电势会大小相等、方向相反，从而相互抵消。就像拧麻花一样，绞合得越紧密，抗干扰能力越强，支持的速率也越高。

原创 域网络，域环境搭建

活动目录和域，配置AD域网络，客户机加入域，创建域用户，域用户属性，OU与组策略，域策略应用规则。

原创 FTP服务器

FTP（File transfer protocol）文件传输协议。

原创 IIS服务器

安装与配置IIS服务（Win Server2019）

原创 DNS服务器

DNS概述，DNS原理及配置，安装DNS服务，配置DNS域名解析