亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        網(wǎng)絡(luò)安全策略中防火墻技術(shù)的應(yīng)用

        2013-07-02 07:48:54
        科學(xué)時代·上半月 2013年5期
        關(guān)鍵詞:源地址防火墻技術(shù)網(wǎng)絡(luò)安全

        雷 震

        【摘 要】防火墻一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),也是用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)相連的標(biāo)準(zhǔn)安全隔離設(shè)備。本文通過介紹防火墻策略路由與NAT技術(shù),重點闡述了基于源地址的策略路由的實現(xiàn)形式,并總結(jié)了策略路由與路由策略的區(qū)別與策略路由的實際應(yīng)用情況,為類似研究工程提供借鑒的意義。

        【關(guān)鍵詞】防火墻技術(shù);策略路由;源地址;網(wǎng)絡(luò)安全

        1.引言

        隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)得到不斷的普及,非法存取、病毒、網(wǎng)絡(luò)資源非法占有和黑客攻擊等威脅網(wǎng)絡(luò)安全運行的不安全因素也越來越多,這對網(wǎng)絡(luò)安全技術(shù)的要求也有所提高。防火墻技術(shù)作為網(wǎng)絡(luò)安全運行的一項重要技術(shù),指的是在內(nèi)網(wǎng)和外網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的界面上建立一道安全屏障,以控制不同信任程度區(qū)域間數(shù)據(jù)流的傳輸。防火墻自身具有較強的抗攻擊免疫力,所有網(wǎng)絡(luò)數(shù)據(jù)流需要符合安全策略數(shù)據(jù)流的標(biāo)準(zhǔn)才能通過防火墻,這在很大程度上提高了網(wǎng)絡(luò)安全運行的可靠性,避免了網(wǎng)絡(luò)運行遭受一些不安全因素的影響。本文通過探討網(wǎng)絡(luò)安全策略中防火墻技術(shù)的應(yīng)用,結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換,有效提高了網(wǎng)絡(luò)出口資源的利用率,保護了校園網(wǎng)絡(luò)運行的安全。

        2.策略路由與NAT技術(shù)

        2.1策略路由

        防火墻的策略路由優(yōu)先級高于靜態(tài)路由和缺省路由,低于直連路由。策略路由可以在指定位置上靈活修改,添加和刪除。一個接口應(yīng)用策略路由后,將根據(jù)預(yù)先設(shè)定的策略對該接口接收到的所有數(shù)據(jù)包進行匹配,如果匹配到一條策略,就按照策略路由進行轉(zhuǎn)發(fā);如果沒有匹配到任何策略,就按照路由表中轉(zhuǎn)發(fā)路徑來進行路由。

        策略路由分為三種:源地址路由、目的地址路由和智能均衡的策略方式。源地址路由根據(jù)路由源地址來進行策略,目的地址路由根據(jù)路由的目的地址來實施策略。智能均衡策略,是策略路由的發(fā)展方向。

        2.2 NAT

        NAT有三種實現(xiàn)方式:靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復(fù)用。靜態(tài)地址轉(zhuǎn)換為每一個內(nèi)部地址映射一個唯一的全局地址,內(nèi)部地址與全局地址是一對一的,一成不變的。動態(tài)地址轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為合法IP地址時,IP地址是隨機的、不確定的。設(shè)置一個NAT地址池,全局地址在地址池中列出,當(dāng)內(nèi)部用戶與外部通信時,從NAT地址池中隨機選擇全局地址進行轉(zhuǎn)換。當(dāng)ISP提供的公有IP地址數(shù)量比內(nèi)部網(wǎng)絡(luò)的計算機數(shù)量少時,可以采用動態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用是指改變連接到外部網(wǎng)絡(luò)接口的數(shù)據(jù)包的源端口并進行端口映射。端口地址轉(zhuǎn)換也是一種動態(tài)地址轉(zhuǎn)換,但是允許多個內(nèi)部本地地址共用一個合法IP地址。目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。

        3.基于源地址的策略路由的實現(xiàn)

        下面以《計算機通信與網(wǎng)絡(luò)實驗》課程實驗為例,說明實驗室開放與實驗課堂教學(xué)的配合。防火墻默認(rèn)管理端口IP地址:192.168.10.100/24,可將管理主機IP配置為192.168.10.200/24,與防火墻WAN接口相連,通過WEB方式登錄防火墻管理界面。

        內(nèi)網(wǎng)用戶PC1通過銳捷RG-WALL防火墻WAN1口訪問ISP-1,內(nèi)網(wǎng)用戶PC2通過RG-WALL防火墻DMZ口訪問ISP-2。WAN1口的ip地址:172.16.9.240/24,DMZ口的ip地址:172.16.8.240/24,LAN口的ip地址:192.168.1.1/24、192.168.2.1/24。PC1的IP地址:192.168.2.200/24,PC2的IP地址:192.168.1.100/24。

        3.1配置接入網(wǎng)絡(luò)的接口IP地址

        3.2配置針對源地址的策略路由

        配置第一條策略路由,源地址為172.16.8.240,下一跳地址為172.16.8.1。配置第二條策略路由,源地址為172.16.9.240,下一跳地址為172.16.9.1。配置策略路由時選擇LAN網(wǎng)口按源IP路由進行轉(zhuǎn)發(fā)。

        3.3定義客戶端PC的IP地址對象

        定義兩個PC的IP地址對象,PC1(192.168.2.200、255.255.255.255)定義為NAT-1,PC2(192.168.1.100、255.255.255.255)定義為NAT-2,配置地址列表。

        3.4配置NAT規(guī)則

        配置PC2的NAT規(guī)則,源地址為NAT-2,目的地址和服務(wù)為any,源地址轉(zhuǎn)換為172.16.8.240。同理配置PC1的NAT規(guī)則,源地址轉(zhuǎn)換為172.16.9.240。

        3.5驗證策略路由

        客戶端PC1通過訪問ISP-1,對ISP-1(172.16.9.1)進行PING通測試,結(jié)果為可以PING通。同理客戶端PC2也可以PING通ISP-2(172.16.8.1)。因為直連路由的優(yōu)先級高于策略路由,為了測試策略路由生效,需要PING通目的地址為防火墻定義端口網(wǎng)段以外的網(wǎng)絡(luò)地址。在防火墻DMZ口連接路由器(RG-R系列或者RG-RSR系列路由器),在路由器上設(shè)置IP地址:與防火墻互聯(lián)的接口IP地址設(shè)置為172.16.8.1,另外設(shè)置一個本地環(huán)回接口Loopback,設(shè)置Loopback接口的IP地址為172.16.6.1。最后在路由器上設(shè)置一條缺省路由iproute0.0.0.00.0.0.0172.16.8.240。

        驗證策略路由,PC2可以PING通172.16.6.1。如果刪除基于源地址的策略路由,配置時不選擇LAN網(wǎng)口按源IP路由進行轉(zhuǎn)發(fā)即可,此時PC2無法PING通172.16.6.1。

        同理,可以在WAN1口連接路由器,同樣的方法配置路由器:與防火墻的互聯(lián)接口為172.16.9.1,Loopback接口為172.16.7.1。加策略路由的情況,PC1可以ping通192.168.7.1。刪除策略路由,PC1無法PING通172.16.7.1。

        4.策略路由與路由策略

        策略路由與路由策略是兩個不同的概念,應(yīng)用領(lǐng)域不同。

        策略路由是數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則,依據(jù)用戶制定的策略進行路由選擇的機制,與單純依照IP報文的目的地址查找路由表進行轉(zhuǎn)發(fā)不同,可應(yīng)用于安全、負(fù)載分擔(dān)等目的。路由器中存在兩種類型和層次的表,分別是路由表和轉(zhuǎn)發(fā)表。轉(zhuǎn)發(fā)表是由路由表映射過來的,策略路由直接作用于轉(zhuǎn)發(fā)表,不改變路由表中任何內(nèi)容。

        路由策略是路由發(fā)現(xiàn)規(guī)則,在正常的路由協(xié)議之上,根據(jù)某種規(guī)則,通過改變某些參數(shù)或者設(shè)置某種控制方式來改變路由產(chǎn)生、發(fā)布、選擇的結(jié)果,最終改變的是結(jié)果(即路由表)。路由策略直接作用于路由表,是在路由發(fā)現(xiàn)的時候產(chǎn)生作用。

        策略路由的優(yōu)先級高于路由策略,當(dāng)路由器進行數(shù)據(jù)包轉(zhuǎn)發(fā)的時候,會優(yōu)先匹配策略路由的規(guī)則,如果匹配一致,則按照策略路由來轉(zhuǎn)發(fā),否則根據(jù)路由表中的轉(zhuǎn)發(fā)路徑來轉(zhuǎn)發(fā)。

        5.策略路由在多出口校園網(wǎng)中的應(yīng)用

        我國高校信息化建設(shè)正在經(jīng)歷巨大變遷,數(shù)字校園的建設(shè)包括三個層面:基礎(chǔ)網(wǎng)絡(luò)設(shè)施;公共服務(wù)體系,如郵件服務(wù)、安全防護等;業(yè)務(wù)應(yīng)用層包括教學(xué)應(yīng)用、科研應(yīng)用、管理應(yīng)用等。校園網(wǎng)單一接入教育網(wǎng)的模式已不能滿足廣大師生的網(wǎng)絡(luò)需求。許多高校增加了教育網(wǎng)以外的其他ISP連接,比如電信、聯(lián)通等,形成了多出口校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)。

        為了保證網(wǎng)絡(luò)的可用性,國內(nèi)許多高校采用同時接入教育網(wǎng)和電信(或聯(lián)通、移動)等多網(wǎng)接入方案,實現(xiàn)多鏈路并行。由于教育網(wǎng)和公眾網(wǎng)不同網(wǎng)絡(luò)運營商之間的網(wǎng)絡(luò)連通性問題,校園網(wǎng)用戶訪問不同的ISP時速度明顯變慢。校園網(wǎng)的路由有特殊需求,多出口網(wǎng)絡(luò)結(jié)構(gòu)使得路由實現(xiàn)及相關(guān)問題更加復(fù)雜難解。

        對于校園網(wǎng),需要根據(jù)源IP地址進行路由選擇,強制其通過指定出口進行路由轉(zhuǎn)發(fā),訪問教育網(wǎng)資源走教育網(wǎng)出口,訪問其它資源走公網(wǎng)出口。這樣,一方面提高了出口速度,另一方面也提高校園網(wǎng)出口的冗余,增加校園網(wǎng)的穩(wěn)定性。在電信、聯(lián)通出口實現(xiàn)NAT,禁止校園網(wǎng)用戶從教育網(wǎng)出口訪問收費站點資源,有效減少教育網(wǎng)的國際流量費用。針對需要訪問教育網(wǎng)資源的校園網(wǎng)用戶制定源地址路由,這樣不僅降低網(wǎng)絡(luò)運行費用,還能防止校園網(wǎng)一個鏈路發(fā)生故障而斷開和Internet的連接。本文提出的策略路由和NAT相結(jié)合的配置方案,能夠充分利用現(xiàn)有網(wǎng)絡(luò)的多出口,盡可能的節(jié)約校園網(wǎng)運行成本,為廣大師生提供可靠高效的網(wǎng)絡(luò)訪問。

        6.結(jié)束語

        在網(wǎng)絡(luò)安全防范體系中,防火墻與路由器是最為重要的因素,也是內(nèi)外網(wǎng)絡(luò)的邊界。本文將策略路由和NAT相結(jié)合的方案應(yīng)用于校園網(wǎng)絡(luò)環(huán)境當(dāng)中,使得校園網(wǎng)的用戶能夠通過不同的出口方位不同的網(wǎng)絡(luò)資源,有效提高了網(wǎng)絡(luò)出口資源的利用率,實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡,并進一步確保了校園網(wǎng)絡(luò)運行的安全。

        參考文獻:

        [1] 回金強.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].城市建設(shè)理論研究.2013年第02期

        [2] 許孝明.淺析防火墻在計算機安全中的應(yīng)用[J].電腦知識與技術(shù).2012年第21期

        猜你喜歡
        源地址防火墻技術(shù)網(wǎng)絡(luò)安全
        國內(nèi)互聯(lián)網(wǎng)真實源地址驗證研究進展①
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實戰(zhàn)化”
        上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
        關(guān)于防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用
        網(wǎng)絡(luò)安全與防火墻技術(shù)
        計算機安全與防火墻技術(shù)
        基于防火墻技術(shù)的網(wǎng)絡(luò)安全機制
        我國擬制定網(wǎng)絡(luò)安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        實現(xiàn)RSF機制的分布式域間源地址驗證
        免费看黄色电影| 日本熟妇中出高潮视频| 美腿丝袜诱惑一区二区| 久久精品国产亚洲av高清热| 妺妺窝人体色www在线图片 | 极品 在线 视频 大陆 国产| 免费在线观看视频专区| 美丽的小蜜桃在线观看| 午夜福利av无码一区二区| 亚洲地址一地址二地址三| 免费福利视频二区三区| 丰满人妻中文字幕一区三区| 国产成人精品午夜视频| 亚洲精品老司机在线观看| 青青草免费高清视频在线观看 | 精品一区二区三区婷婷| 一区二区三区av波多野结衣| 欧美亚州乳在线观看| 日本久久精品在线播放| 日韩人妻精品中文字幕专区| 欧美日韩精品一区二区三区高清视频| 欧美极品第一页| 日本岛国视频在线观看一区二区 | 国产精品亚洲综合色区| 福利一区视频| 日本a一区二区三区在线| av影院在线免费观看不卡 | 亚洲精品2区在线观看| 人妖一区二区三区视频| 亚洲av无码久久精品狠狠爱浪潮 | 久久se精品一区精品二区国产| 亚洲av一区二区网址| 欧美午夜理伦三级在线观看| 伊人久久五月丁香综合中文亚洲| 亚洲国产精品久久九色| 高清少妇二区三区视频在线观看 | 成人久久免费视频| 国产美女主播福利一区| 久久国语露脸国产精品电影| 欧美午夜精品一区二区三区电影| 99久久久精品免费|