网络安全策略中防火墙技术应用.docVIP

网络安全策略中防火墙技术应用 　　【摘 要】防火墙一种位于内部网络与外部网络之间的网络安全系统，也是用户网络和互联网相连的标准安全隔离设备。本文通过介绍防火墙策略路由与NAT技术，重点阐述了基于源地址的策略路由的实现形式，并总结了策略路由与路由策略的区别与策略路由的实际应用情况，为类似研究工程提供借鉴的意义。 　　【关键词】防火墙技术；策略路由；源地址；网络安全 　　1.引言 　　随着互联网的快速发展，网络技术得到不断的普及，非法存取、病毒、网络资源非法占有和黑客攻击等威胁网络安全运行的不安全因素也越来越多，这对网络安全技术的要求也有所提高。防火墙技术作为网络安全运行的一项重要技术，指的是在内网和外网之间、专用网和公共网之间的界面上建立一道安全屏障，以控制不同信任程度区域间数据流的传输。防火墙自身具有较强的抗攻击免疫力，所有网络数据流需要符合安全策略数据流的标准才能通过防火墙，这在很大程度上提高了网络安全运行的可靠性，避免了网络运行遭受一些不安全因素的影响。本文通过探讨网络安全策略中防火墙技术的应用，结合网络地址转换，有效提高了网络出口资源的利用率，保护了校园网络运行的安全。 　　2.策略路由与NAT技术 　　2.1策略路由 　　防火墙的策略路由优先级高于静态路由和缺省路由，低于直连路由。策略路由可以在指定位置上灵活修改，添加和删除。一个接口应用策略路由后，将根据预先设定的策略对该接口接收到的所有数据包进行匹配，如果匹配到一条策略，就按照策略路由进行转发；如果没有匹配到任何策略，就按照路由表中转发路径来进行路由。 　　策略路由分为三种：源地址路由、目的地址路由和智能均衡的策略方式。源地址路由根据路由源地址来进行策略，目的地址路由根据路由的目的地址来实施策略。智能均衡策略，是策略路由的发展方向。 　　2.2 NAT 　　NAT有三种实现方式：静态转换、动态转换和端口多路复用。静态地址转换为每一个内部地址映射一个唯一的全局地址，内部地址与全局地址是一对一的，一成不变的。动态地址转换是指将内部网络的私有IP地址转换为合法IP地址时，IP地址是随机的、不确定的。设置一个NAT地址池，全局地址在地址池中列出，当内部用户与外部通信时，从NAT地址池中随机选择全局地址进行转换。当ISP提供的公有IP地址数量比内部网络的计算机数量少时，可以采用动态转换的方式。端口多路复用是指改变连接到外部网络接口的数据包的源端口并进行端口映射。端口地址转换也是一种动态地址转换，但是允许多个内部本地地址共用一个合法IP地址。目前网络中应用最多的就是端口多路复用方式。 　　3.基于源地址的策略路由的实现 　　下面以《计算机通信与网络实验》课程实验为例，说明实验室开放与实验课堂教学的配合。防火墙默认管理端口IP地址：192.168.10.100/24，可将管理主机IP配置为192.168.10.200/24，与防火墙WAN接口相连，通过WEB方式登录防火墙管理界面。 　　内网用户PC1通过锐捷RG-WALL防火墙WAN1口访问ISP-1，内网用户PC2通过RG-WALL防火墙DMZ口访问ISP-2。WAN1口的ip地址：172.16.9.240/24，DMZ口的ip地址：172.16.8.240/24，LAN口的ip地址：192.168.1.1/24、192.168.2.1/24。PC1的IP地址：192.168.2.200/24，PC2的IP地址：192.168.1.100/24。 　　3.1配置接入网络的接口IP地址 　　3.2配置针对源地址的策略路由 　　配置第一条策略路由，源地址为172.16.8.240，下一跳地址为172.16.8.1。配置第二条策略路由，源地址为172.16.9.240，下一跳地址为172.16.9.1。配置策略路由时选择LAN网口按源IP路由进行转发。 　　3.3定义客户端PC的IP地址对象 　　定义两个PC的IP地址对象，PC1（192.168.2.200、255.255.255.255）定义为NAT-1，PC2（192.168.1.100、255.255.255.255）定义为NAT-2，配置地址列表。 　　3.4配置NAT规则 　　配置PC2的NAT规则，源地址为NAT-2，目的地址和服务为any，源地址转换为172.16.8.240。同理配置PC1的NAT规则，源地址转换为172.16.9.240。 　　3.5验证策略路由 　　客户端PC1通过访问ISP-1，对ISP-1（172.16.9.1）进行PING通测试，结果为可以PING通。同理客户端PC2也可以PING通ISP-2（172.16.8.1）。因为直连路由的优先级高于策略路由，为了测试策略路由生效，需要PING通目的地址