网络安全策略中防火墙技术的应用

雷 震

【摘 要】防火墙一种位于内部网络与外部网络之间的网络安全系统，也是用户网络和互联网相连的标准安全隔离设备。本文通过介绍防火墙策略路由与NAT技术，重点阐述了基于源地址的策略路由的实现形式，并总结了策略路由与路由策略的区别与策略路由的实际应用情况，为类似研究工程提供借鉴的意义。

【关键词】防火墙技术；策略路由；源地址；网络安全

1.引言

随着互联网的快速发展，网络技术得到不断的普及，非法存取、病毒、网络资源非法占有和黑客攻击等威胁网络安全运行的不安全因素也越来越多，这对网络安全技术的要求也有所提高。防火墙技术作为网络安全运行的一项重要技术，指的是在内网和外网之间、专用网和公共网之间的界面上建立一道安全屏障，以控制不同信任程度区域间数据流的传输。防火墙自身具有较强的抗攻击免疫力，所有网络数据流需要符合安全策略数据流的标准才能通过防火墙，这在很大程度上提高了网络安全运行的可靠性，避免了网络运行遭受一些不安全因素的影响。本文通过探讨网络安全策略中防火墙技术的应用，结合网络地址转换，有效提高了网络出口资源的利用率，保护了校园网络运行的安全。

2.策略路由与NAT技术

2.1策略路由

防火墙的策略路由优先级高于静态路由和缺省路由，低于直连路由。策略路由可以在指定位置上灵活修改，添加和删除。一个接口应用策略路由后，将根据预先设定的策略对该接口接收到的所有数据包进行匹配，如果匹配到一条策略，就按照策略路由进行转发；如果没有匹配到任何策略，就按照路由表中转发路径来进行路由。

策略路由分为三种：源地址路由、目的地址路由和智能均衡的策略方式。源地址路由根据路由源地址来进行策略，目的地址路由根据路由的目的地址来实施策略。智能均衡策略，是策略路由的发展方向。

2.2 NAT

NAT有三种实现方式：静态转换、动态转换和端口多路复用。静态地址转换为每一个内部地址映射一个唯一的全局地址，内部地址与全局地址是一对一的，一成不变的。动态地址转换是指将内部网络的私有IP地址转换为合法IP地址时，IP地址是随机的、不确定的。设置一个NAT地址池，全局地址在地址池中列出，当内部用户与外部通信时，从NAT地址池中随机选择全局地址进行转换。当ISP提供的公有IP地址数量比内部网络的计算机数量少时，可以采用动态转换的方式。端口多路复用是指改变连接到外部网络接口的数据包的源端口并进行端口映射。端口地址转换也是一种动态地址转换，但是允许多个内部本地地址共用一个合法IP地址。目前网络中应用最多的就是端口多路复用方式。

3.基于源地址的策略路由的实现

下面以《计算机通信与网络实验》课程实验为例，说明实验室开放与实验课堂教学的配合。防火墙默认管理端口IP地址：192.168.10.100/24，可将管理主机IP配置为192.168.10.200/24，与防火墙WAN接口相连，通过WEB方式登录防火墙管理界面。

内网用户PC1通过锐捷RG-WALL防火墙WAN1口访问ISP-1，内网用户PC2通过RG-WALL防火墙DMZ口访问ISP-2。WAN1口的ip地址：172.16.9.240/24，DMZ口的ip地址：172.16.8.240/24，LAN口的ip地址：192.168.1.1/24、192.168.2.1/24。PC1的IP地址：192.168.2.200/24，PC2的IP地址：192.168.1.100/24。

3.1配置接入网络的接口IP地址

3.2配置针对源地址的策略路由

配置第一条策略路由，源地址为172.16.8.240，下一跳地址为172.16.8.1。配置第二条策略路由，源地址为172.16.9.240，下一跳地址为172.16.9.1。配置策略路由时选择LAN网口按源IP路由进行转发。

3.3定义客户端PC的IP地址对象

定义两个PC的IP地址对象，PC1（192.168.2.200、255.255.255.255）定义为NAT-1，PC2（192.168.1.100、255.255.255.255）定义为NAT-2，配置地址列表。

3.4配置NAT规则

配置PC2的NAT规则，源地址为NAT-2，目的地址和服务为any，源地址转换为172.16.8.240。同理配置PC1的NAT规则，源地址转换为172.16.9.240。

3.5验证策略路由

客户端PC1通过访问ISP-1，对ISP-1（172.16.9.1）进行PING通测试，结果为可以PING通。同理客户端PC2也可以PING通ISP-2（172.16.8.1）。因为直连路由的优先级高于策略路由，为了测试策略路由生效，需要PING通目的地址为防火墙定义端口网段以外的网络地址。在防火墙DMZ口连接路由器（RG-R系列或者RG-RSR系列路由器），在路由器上设置IP地址：与防火墙互联的接口IP地址设置为172.16.8.1，另外设置一个本地环回接口Loopback，设置Loopback接口的IP地址为172.16.6.1。最后在路由器上设置一条缺省路由iproute0.0.0.00.0.0.0172.16.8.240。

验证策略路由，PC2可以PING通172.16.6.1。如果删除基于源地址的策略路由，配置时不选择LAN网口按源IP路由进行转发即可，此时PC2无法PING通172.16.6.1。

同理，可以在WAN1口连接路由器，同样的方法配置路由器：与防火墙的互联接口为172.16.9.1，Loopback接口为172.16.7.1。加策略路由的情况，PC1可以ping通192.168.7.1。删除策略路由，PC1无法PING通172.16.7.1。

4.策略路由与路由策略

策略路由与路由策略是两个不同的概念，应用领域不同。

策略路由是数据包转发规则，依据用户制定的策略进行路由选择的机制，与单纯依照IP报文的目的地址查找路由表进行转发不同，可应用于安全、负载分担等目的。路由器中存在两种类型和层次的表，分别是路由表和转发表。转发表是由路由表映射过来的，策略路由直接作用于转发表，不改变路由表中任何内容。

路由策略是路由发现规则，在正常的路由协议之上，根据某种规则，通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果，最终改变的是结果（即路由表）。路由策略直接作用于路由表，是在路由发现的时候产生作用。

策略路由的优先级高于路由策略，当路由器进行数据包转发的时候，会优先匹配策略路由的规则，如果匹配一致，则按照策略路由来转发，否则根据路由表中的转发路径来转发。

5.策略路由在多出口校园网中的应用

我国高校信息化建设正在经历巨大变迁，数字校园的建设包括三个层面：基础网络设施；公共服务体系，如邮件服务、安全防护等；业务应用层包括教学应用、科研应用、管理应用等。校园网单一接入教育网的模式已不能满足广大师生的网络需求。许多高校增加了教育网以外的其他ISP连接，比如电信、联通等，形成了多出口校园网网络结构。

为了保证网络的可用性，国内许多高校采用同时接入教育网和电信（或联通、移动）等多网接入方案，实现多链路并行。由于教育网和公众网不同网络运营商之间的网络连通性问题，校园网用户访问不同的ISP时速度明显变慢。校园网的路由有特殊需求，多出口网络结构使得路由实现及相关问题更加复杂难解。

对于校园网，需要根据源IP地址进行路由选择，强制其通过指定出口进行路由转发，访问教育网资源走教育网出口，访问其它资源走公网出口。这样，一方面提高了出口速度，另一方面也提高校园网出口的冗余，增加校园网的稳定性。在电信、联通出口实现NAT，禁止校园网用户从教育网出口访问收费站点资源，有效减少教育网的国际流量费用。针对需要访问教育网资源的校园网用户制定源地址路由，这样不仅降低网络运行费用，还能防止校园网一个链路发生故障而断开和Internet的连接。本文提出的策略路由和NAT相结合的配置方案，能够充分利用现有网络的多出口，尽可能的节约校园网运行成本，为广大师生提供可靠高效的网络访问。

6.结束语

在网络安全防范体系中，防火墙与路由器是最为重要的因素，也是内外网络的边界。本文将策略路由和NAT相结合的方案应用于校园网络环境当中，使得校园网的用户能够通过不同的出口方位不同的网络资源，有效提高了网络出口资源的利用率，实现网络负载均衡，并进一步确保了校园网络运行的安全。

参考文献：

[1] 回金强.防火墙技术在网络安全中的应用[J].城市建设理论研究.2013年第02期

[2] 许孝明.浅析防火墙在计算机安全中的应用[J].电脑知识与技术.2012年第21期