李勝

摘要：根據(jù)源地址及目的地址選擇路由走向，進行天融信防火墻的策略路由配置，來控制穿越防火墻的數(shù)據(jù)流，從而實現(xiàn)內(nèi)網(wǎng)分流訪問互聯(lián)網(wǎng)；通過設(shè)置VPN功能，實現(xiàn)從外部網(wǎng)絡(luò)訪問單位內(nèi)部網(wǎng)絡(luò)的功能。

關(guān)鍵詞：雙線路；源地址；靜態(tài)路由；策略路由；VPN

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）09-2087-02

隨著網(wǎng)絡(luò)通信資費的下調(diào)和新業(yè)務(wù)的增加，現(xiàn)在有些單位有兩條或兩條以上的外網(wǎng)線路，如何有效利用網(wǎng)絡(luò)帶寬，合理分流網(wǎng)絡(luò)流量，顯得十分必要。另外，出差在外不能在單位辦公時，如何訪問單位內(nèi)部網(wǎng)絡(luò)也是大家關(guān)心的問題。

1 雙線路路由

1.1 雙線路路由簡介

在天融信防火墻的兩個ETH口同時接入不同外網(wǎng)線路，該文中ETH1接內(nèi)網(wǎng)網(wǎng)絡(luò)，ETH2接電信線路、ETH3接聯(lián)通線路，通過設(shè)置天融信防火墻的策略路由，使得內(nèi)網(wǎng)不同網(wǎng)段分別經(jīng)由電信和聯(lián)通線路訪問外網(wǎng)，合理地解決了單位因機器過多，造成單條線路負載過大或要求不同業(yè)務(wù)互不干擾等問題，使得網(wǎng)絡(luò)更加暢通。

1.2 具體設(shè)置

1.2.1 初始配置

拿到一個新的防火墻后，首先就要從Console口登陸，對它進行初始化設(shè)置，配置其web管理接口，具體方法如下[1]：

首先定義一個防火墻的管理域，并給這個域命名

define area add name area_內(nèi)網(wǎng) attribute 'eth1 ' access on

其次給這個域賦予webui管理權(quán)限

pf service add name webui area area_內(nèi)網(wǎng) addressname any

再次給管理接口eth1配置內(nèi)網(wǎng)地址

network interface eth1 ip add 內(nèi)網(wǎng)IP地址 mask 內(nèi)網(wǎng)的子網(wǎng)掩碼

最后啟動防火墻的web服務(wù)

system httpd start

打開瀏覽器，輸入https：//內(nèi)網(wǎng)IP，這樣就可以從瀏覽器登陸并配置防火墻了。

1.2.2 配置內(nèi)網(wǎng)網(wǎng)段的機器上外網(wǎng)

1.2.2.1 定義區(qū)域

在左側(cè)菜單區(qū)找到“資源管理/區(qū)域”，然后添加一些接口區(qū)域命名，用來標識內(nèi)網(wǎng)或外網(wǎng)，“被選屬性”要選實際的接口ethx

1.2.2.2 配置接口IP地址

在左側(cè)菜單區(qū)找到“網(wǎng)絡(luò)管理/接口”，給其它接口ethx配置接口IP地址

1.2.2.3 添加雙線路路由

首先添加一條電信外網(wǎng)的靜態(tài)路由，在左側(cè)菜單區(qū)找到“網(wǎng)絡(luò)管理/路由/靜態(tài)路由”，添加外網(wǎng)路由，目的地址和目的掩碼都是0.0.0.0，網(wǎng)關(guān)是電信外網(wǎng)網(wǎng)關(guān)，接口選接電信外網(wǎng)的eth2；其次添加內(nèi)網(wǎng)回指路由，目的地址寫內(nèi)網(wǎng)B類網(wǎng)段地址，接口選接內(nèi)網(wǎng)的eth1；最后添加兩條策略路由：

源地址為內(nèi)網(wǎng)網(wǎng)段1，目的地址為0.0.0.0，網(wǎng)關(guān)為電信外網(wǎng)網(wǎng)關(guān)，接口為eth2

源地址為內(nèi)網(wǎng)網(wǎng)段2，目的地址為0.0.0.0，網(wǎng)關(guān)為聯(lián)通外網(wǎng)網(wǎng)關(guān)，接口為eth3

1.2.2.4 添加地址轉(zhuǎn)換

在左側(cè)菜單區(qū)找到“防火墻/地址轉(zhuǎn)換”，轉(zhuǎn)換類型選“源轉(zhuǎn)換”，“源”選內(nèi)網(wǎng)區(qū)域，“目的”選電信外網(wǎng)區(qū)域，“源地址轉(zhuǎn)換為”選電信外網(wǎng)的eth2；再添加一條地址轉(zhuǎn)換，轉(zhuǎn)換類型選“源轉(zhuǎn)換”，“源”選內(nèi)網(wǎng)區(qū)域，“目的”選聯(lián)通外網(wǎng)區(qū)域，“源地址轉(zhuǎn)換為”選聯(lián)通外網(wǎng)的eth3。

1.3 命令行方式設(shè)置

當然，也可以使用命令行方式設(shè)置防火墻的雙線路路由，方法如下：

首先是設(shè)置防火墻各接口IP地址的命令：

2 VPN設(shè)置

2.1 VPN簡介[2]

VPN，虛擬專用網(wǎng)絡(luò)（Virtual Private Network）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。首先通過公用互聯(lián)網(wǎng)連接到單位的

VPN服務(wù)器，然后利用其作為跳板進入單位內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理，有了數(shù)據(jù)加密，就可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就如同專門架設(shè)了一個專用網(wǎng)絡(luò)一樣，但實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)，VPN技術(shù)實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一條數(shù)據(jù)通訊隧道。

2.2 VPN設(shè)置

首先在左側(cè)菜單找到“系統(tǒng)管理/配置/開放服務(wù)”，開放外網(wǎng)區(qū)域的L2TP或PPTP服務(wù)；其次在“用戶認證/用戶管理”中添加一個用戶，用戶認證方式選本地認證；最后在“虛擬專網(wǎng)/L2TP”中設(shè)置VPN的本地地址，起始地址和結(jié)束地址池，地址池要和內(nèi)網(wǎng)地址在同一網(wǎng)段，然后啟動L2TP或PPTP服務(wù)即可。

2.3 命令行方式

3 結(jié)論

我單位目前使用的天融信防火墻，就是通過設(shè)置雙線路路由，有效地利用了網(wǎng)絡(luò)帶寬，合理地分流了網(wǎng)絡(luò)流量，實現(xiàn)業(yè)務(wù)和辦公機器互不干擾；通過設(shè)置VPN，實現(xiàn)了異地如在單位辦公一樣方便。

參考文獻：

[1] 張選波，吳麗征，周金鈴，等.設(shè)備調(diào)試與網(wǎng)絡(luò)優(yōu)化學(xué)習(xí)指南[M].北京：科學(xué)出版社，2009：198-218.

[2] 天融信公司網(wǎng)站.http：//www.topsec.com.cn.