雷 震

【摘 要】防火墻一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，也是用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)相連的標(biāo)準(zhǔn)安全隔離設(shè)備。本文通過介紹防火墻策略路由與NAT技術(shù)，重點闡述了基于源地址的策略路由的實現(xiàn)形式，并總結(jié)了策略路由與路由策略的區(qū)別與策略路由的實際應(yīng)用情況，為類似研究工程提供借鑒的意義。

【關(guān)鍵詞】防火墻技術(shù)；策略路由；源地址；網(wǎng)絡(luò)安全

1.引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)得到不斷的普及，非法存取、病毒、網(wǎng)絡(luò)資源非法占有和黑客攻擊等威脅網(wǎng)絡(luò)安全運行的不安全因素也越來越多，這對網(wǎng)絡(luò)安全技術(shù)的要求也有所提高。防火墻技術(shù)作為網(wǎng)絡(luò)安全運行的一項重要技術(shù)，指的是在內(nèi)網(wǎng)和外網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上建立一道安全屏障，以控制不同信任程度區(qū)域間數(shù)據(jù)流的傳輸。防火墻自身具有較強的抗攻擊免疫力，所有網(wǎng)絡(luò)數(shù)據(jù)流需要符合安全策略數(shù)據(jù)流的標(biāo)準(zhǔn)才能通過防火墻，這在很大程度上提高了網(wǎng)絡(luò)安全運行的可靠性，避免了網(wǎng)絡(luò)運行遭受一些不安全因素的影響。本文通過探討網(wǎng)絡(luò)安全策略中防火墻技術(shù)的應(yīng)用，結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換，有效提高了網(wǎng)絡(luò)出口資源的利用率，保護了校園網(wǎng)絡(luò)運行的安全。

2.策略路由與NAT技術(shù)

2.1策略路由

防火墻的策略路由優(yōu)先級高于靜態(tài)路由和缺省路由，低于直連路由。策略路由可以在指定位置上靈活修改，添加和刪除。一個接口應(yīng)用策略路由后，將根據(jù)預(yù)先設(shè)定的策略對該接口接收到的所有數(shù)據(jù)包進行匹配，如果匹配到一條策略，就按照策略路由進行轉(zhuǎn)發(fā)；如果沒有匹配到任何策略，就按照路由表中轉(zhuǎn)發(fā)路徑來進行路由。

策略路由分為三種：源地址路由、目的地址路由和智能均衡的策略方式。源地址路由根據(jù)路由源地址來進行策略，目的地址路由根據(jù)路由的目的地址來實施策略。智能均衡策略，是策略路由的發(fā)展方向。

2.2 NAT

NAT有三種實現(xiàn)方式：靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復(fù)用。靜態(tài)地址轉(zhuǎn)換為每一個內(nèi)部地址映射一個唯一的全局地址，內(nèi)部地址與全局地址是一對一的，一成不變的。動態(tài)地址轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為合法IP地址時，IP地址是隨機的、不確定的。設(shè)置一個NAT地址池，全局地址在地址池中列出，當(dāng)內(nèi)部用戶與外部通信時，從NAT地址池中隨機選擇全局地址進行轉(zhuǎn)換。當(dāng)ISP提供的公有IP地址數(shù)量比內(nèi)部網(wǎng)絡(luò)的計算機數(shù)量少時，可以采用動態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用是指改變連接到外部網(wǎng)絡(luò)接口的數(shù)據(jù)包的源端口并進行端口映射。端口地址轉(zhuǎn)換也是一種動態(tài)地址轉(zhuǎn)換，但是允許多個內(nèi)部本地地址共用一個合法IP地址。目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。

3.基于源地址的策略路由的實現(xiàn)

下面以《計算機通信與網(wǎng)絡(luò)實驗》課程實驗為例，說明實驗室開放與實驗課堂教學(xué)的配合。防火墻默認(rèn)管理端口IP地址：192.168.10.100/24，可將管理主機IP配置為192.168.10.200/24，與防火墻WAN接口相連，通過WEB方式登錄防火墻管理界面。

內(nèi)網(wǎng)用戶PC1通過銳捷RG-WALL防火墻WAN1口訪問ISP-1，內(nèi)網(wǎng)用戶PC2通過RG-WALL防火墻DMZ口訪問ISP-2。WAN1口的ip地址：172.16.9.240/24，DMZ口的ip地址：172.16.8.240/24，LAN口的ip地址：192.168.1.1/24、192.168.2.1/24。PC1的IP地址：192.168.2.200/24，PC2的IP地址：192.168.1.100/24。

3.1配置接入網(wǎng)絡(luò)的接口IP地址

3.2配置針對源地址的策略路由

配置第一條策略路由，源地址為172.16.8.240，下一跳地址為172.16.8.1。配置第二條策略路由，源地址為172.16.9.240，下一跳地址為172.16.9.1。配置策略路由時選擇LAN網(wǎng)口按源IP路由進行轉(zhuǎn)發(fā)。

3.3定義客戶端PC的IP地址對象

定義兩個PC的IP地址對象，PC1（192.168.2.200、255.255.255.255）定義為NAT-1，PC2（192.168.1.100、255.255.255.255）定義為NAT-2，配置地址列表。

3.4配置NAT規(guī)則

配置PC2的NAT規(guī)則，源地址為NAT-2，目的地址和服務(wù)為any，源地址轉(zhuǎn)換為172.16.8.240。同理配置PC1的NAT規(guī)則，源地址轉(zhuǎn)換為172.16.9.240。

3.5驗證策略路由

客戶端PC1通過訪問ISP-1，對ISP-1（172.16.9.1）進行PING通測試，結(jié)果為可以PING通。同理客戶端PC2也可以PING通ISP-2（172.16.8.1）。因為直連路由的優(yōu)先級高于策略路由，為了測試策略路由生效，需要PING通目的地址為防火墻定義端口網(wǎng)段以外的網(wǎng)絡(luò)地址。在防火墻DMZ口連接路由器（RG-R系列或者RG-RSR系列路由器），在路由器上設(shè)置IP地址：與防火墻互聯(lián)的接口IP地址設(shè)置為172.16.8.1，另外設(shè)置一個本地環(huán)回接口Loopback，設(shè)置Loopback接口的IP地址為172.16.6.1。最后在路由器上設(shè)置一條缺省路由iproute0.0.0.00.0.0.0172.16.8.240。

驗證策略路由，PC2可以PING通172.16.6.1。如果刪除基于源地址的策略路由，配置時不選擇LAN網(wǎng)口按源IP路由進行轉(zhuǎn)發(fā)即可，此時PC2無法PING通172.16.6.1。

同理，可以在WAN1口連接路由器，同樣的方法配置路由器：與防火墻的互聯(lián)接口為172.16.9.1，Loopback接口為172.16.7.1。加策略路由的情況，PC1可以ping通192.168.7.1。刪除策略路由，PC1無法PING通172.16.7.1。

4.策略路由與路由策略

策略路由與路由策略是兩個不同的概念，應(yīng)用領(lǐng)域不同。

策略路由是數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則，依據(jù)用戶制定的策略進行路由選擇的機制，與單純依照IP報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同，可應(yīng)用于安全、負(fù)載分擔(dān)等目的。路由器中存在兩種類型和層次的表，分別是路由表和轉(zhuǎn)發(fā)表。轉(zhuǎn)發(fā)表是由路由表映射過來的，策略路由直接作用于轉(zhuǎn)發(fā)表，不改變路由表中任何內(nèi)容。

路由策略是路由發(fā)現(xiàn)規(guī)則，在正常的路由協(xié)議之上，根據(jù)某種規(guī)則，通過改變某些參數(shù)或者設(shè)置某種控制方式來改變路由產(chǎn)生、發(fā)布、選擇的結(jié)果，最終改變的是結(jié)果（即路由表）。路由策略直接作用于路由表，是在路由發(fā)現(xiàn)的時候產(chǎn)生作用。

策略路由的優(yōu)先級高于路由策略，當(dāng)路由器進行數(shù)據(jù)包轉(zhuǎn)發(fā)的時候，會優(yōu)先匹配策略路由的規(guī)則，如果匹配一致，則按照策略路由來轉(zhuǎn)發(fā)，否則根據(jù)路由表中的轉(zhuǎn)發(fā)路徑來轉(zhuǎn)發(fā)。

5.策略路由在多出口校園網(wǎng)中的應(yīng)用

我國高校信息化建設(shè)正在經(jīng)歷巨大變遷，數(shù)字校園的建設(shè)包括三個層面：基礎(chǔ)網(wǎng)絡(luò)設(shè)施；公共服務(wù)體系，如郵件服務(wù)、安全防護等；業(yè)務(wù)應(yīng)用層包括教學(xué)應(yīng)用、科研應(yīng)用、管理應(yīng)用等。校園網(wǎng)單一接入教育網(wǎng)的模式已不能滿足廣大師生的網(wǎng)絡(luò)需求。許多高校增加了教育網(wǎng)以外的其他ISP連接，比如電信、聯(lián)通等，形成了多出口校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)。

為了保證網(wǎng)絡(luò)的可用性，國內(nèi)許多高校采用同時接入教育網(wǎng)和電信（或聯(lián)通、移動）等多網(wǎng)接入方案，實現(xiàn)多鏈路并行。由于教育網(wǎng)和公眾網(wǎng)不同網(wǎng)絡(luò)運營商之間的網(wǎng)絡(luò)連通性問題，校園網(wǎng)用戶訪問不同的ISP時速度明顯變慢。校園網(wǎng)的路由有特殊需求，多出口網(wǎng)絡(luò)結(jié)構(gòu)使得路由實現(xiàn)及相關(guān)問題更加復(fù)雜難解。

對于校園網(wǎng)，需要根據(jù)源IP地址進行路由選擇，強制其通過指定出口進行路由轉(zhuǎn)發(fā)，訪問教育網(wǎng)資源走教育網(wǎng)出口，訪問其它資源走公網(wǎng)出口。這樣，一方面提高了出口速度，另一方面也提高校園網(wǎng)出口的冗余，增加校園網(wǎng)的穩(wěn)定性。在電信、聯(lián)通出口實現(xiàn)NAT，禁止校園網(wǎng)用戶從教育網(wǎng)出口訪問收費站點資源，有效減少教育網(wǎng)的國際流量費用。針對需要訪問教育網(wǎng)資源的校園網(wǎng)用戶制定源地址路由，這樣不僅降低網(wǎng)絡(luò)運行費用，還能防止校園網(wǎng)一個鏈路發(fā)生故障而斷開和Internet的連接。本文提出的策略路由和NAT相結(jié)合的配置方案，能夠充分利用現(xiàn)有網(wǎng)絡(luò)的多出口，盡可能的節(jié)約校園網(wǎng)運行成本，為廣大師生提供可靠高效的網(wǎng)絡(luò)訪問。

6.結(jié)束語

在網(wǎng)絡(luò)安全防范體系中，防火墻與路由器是最為重要的因素，也是內(nèi)外網(wǎng)絡(luò)的邊界。本文將策略路由和NAT相結(jié)合的方案應(yīng)用于校園網(wǎng)絡(luò)環(huán)境當(dāng)中，使得校園網(wǎng)的用戶能夠通過不同的出口方位不同的網(wǎng)絡(luò)資源，有效提高了網(wǎng)絡(luò)出口資源的利用率，實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡，并進一步確保了校園網(wǎng)絡(luò)運行的安全。

參考文獻：

[1] 回金強.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].城市建設(shè)理論研究.2013年第02期

[2] 許孝明.淺析防火墻在計算機安全中的應(yīng)用[J].電腦知識與技術(shù).2012年第21期