网络安全策略中防火墙技术的应用

来源 :科学时代·上半月 | 被引量 : 0次 | 上传用户:chrong
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】防火墙一种位于内部网络与外部网络之间的网络安全系统,也是用户网络和互联网相连的标准安全隔离设备。本文通过介绍防火墙策略路由与NAT技术,重点阐述了基于源地址的策略路由的实现形式,并总结了策略路由与路由策略的区别与策略路由的实际应用情况,为类似研究工程提供借鉴的意义。
  【关键词】防火墙技术;策略路由;源地址;网络安全
  1.引言
  随着互联网的快速发展,网络技术得到不断的普及,非法存取、病毒、网络资源非法占有和黑客攻击等威胁网络安全运行的不安全因素也越来越多,这对网络安全技术的要求也有所提高。防火墙技术作为网络安全运行的一项重要技术,指的是在内网和外网之间、专用网和公共网之间的界面上建立一道安全屏障,以控制不同信任程度区域间数据流的传输。防火墙自身具有较强的抗攻击免疫力,所有网络数据流需要符合安全策略数据流的标准才能通过防火墙,这在很大程度上提高了网络安全运行的可靠性,避免了网络运行遭受一些不安全因素的影响。本文通过探讨网络安全策略中防火墙技术的应用,结合网络地址转换,有效提高了网络出口资源的利用率,保护了校园网络运行的安全。
  2.策略路由与NAT技术
  2.1策略路由
  防火墙的策略路由优先级高于静态路由和缺省路由,低于直连路由。策略路由可以在指定位置上灵活修改,添加和删除。一个接口应用策略路由后,将根据预先设定的策略对该接口接收到的所有数据包进行匹配,如果匹配到一条策略,就按照策略路由进行转发;如果没有匹配到任何策略,就按照路由表中转发路径来进行路由。
  策略路由分为三种:源地址路由、目的地址路由和智能均衡的策略方式。源地址路由根据路由源地址来进行策略,目的地址路由根据路由的目的地址来实施策略。智能均衡策略,是策略路由的发展方向。
  2.2 NAT
  NAT有三种实现方式:静态转换、动态转换和端口多路复用。静态地址转换为每一个内部地址映射一个唯一的全局地址,内部地址与全局地址是一对一的,一成不变的。动态地址转换是指将内部网络的私有IP地址转换为合法IP地址时,IP地址是随机的、不确定的。设置一个NAT地址池,全局地址在地址池中列出,当内部用户与外部通信时,从NAT地址池中随机选择全局地址进行转换。当ISP提供的公有IP地址数量比内部网络的计算机数量少时,可以采用动态转换的方式。端口多路复用是指改变连接到外部网络接口的数据包的源端口并进行端口映射。端口地址转换也是一种动态地址转换,但是允许多个内部本地地址共用一个合法IP地址。目前网络中应用最多的就是端口多路复用方式。
  3.基于源地址的策略路由的实现
  下面以《计算机通信与网络实验》课程实验为例,说明实验室开放与实验课堂教学的配合。防火墙默认管理端口IP地址:192.168.10.100/24,可将管理主机IP配置为192.168.10.200/24,与防火墙WAN接口相连,通过WEB方式登录防火墙管理界面。
  内网用户PC1通过锐捷RG-WALL防火墙WAN1口访问ISP-1,内网用户PC2通过RG-WALL防火墙DMZ口访问ISP-2。WAN1口的ip地址:172.16.9.240/24,DMZ口的ip地址:172.16.8.240/24,LAN口的ip地址:192.168.1.1/24、192.168.2.1/24。PC1的IP地址:192.168.2.200/24,PC2的IP地址:192.168.1.100/24。
  3.1配置接入网络的接口IP地址
  3.2配置针对源地址的策略路由
  配置第一条策略路由,源地址为172.16.8.240,下一跳地址为172.16.8.1。配置第二条策略路由,源地址为172.16.9.240,下一跳地址为172.16.9.1。配置策略路由时选择LAN网口按源IP路由进行转发。
  3.3定义客户端PC的IP地址对象
  定义两个PC的IP地址对象,PC1(192.168.2.200、255.255.255.255)定义为NAT-1,PC2(192.168.1.100、255.255.255.255)定义为NAT-2,配置地址列表。
  3.4配置NAT规则
  配置PC2的NAT规则,源地址为NAT-2,目的地址和服务为any,源地址转换为172.16.8.240。同理配置PC1的NAT規则,源地址转换为172.16.9.240。
  3.5验证策略路由
  客户端PC1通过访问ISP-1,对ISP-1(172.16.9.1)进行PING通测试,结果为可以PING通。同理客户端PC2也可以PING通ISP-2(172.16.8.1)。因为直连路由的优先级高于策略路由,为了测试策略路由生效,需要PING通目的地址为防火墙定义端口网段以外的网络地址。在防火墙DMZ口连接路由器(RG-R系列或者RG-RSR系列路由器),在路由器上设置IP地址:与防火墙互联的接口IP地址设置为172.16.8.1,另外设置一个本地环回接口Loopback,设置Loopback接口的IP地址为172.16.6.1。最后在路由器上设置一条缺省路由iproute0.0.0.00.0.0.0172.16.8.240。
  验证策略路由,PC2可以PING通172.16.6.1。如果删除基于源地址的策略路由,配置时不选择LAN网口按源IP路由进行转发即可,此时PC2无法PING通172.16.6.1。
  同理,可以在WAN1口连接路由器,同样的方法配置路由器:与防火墙的互联接口为172.16.9.1,Loopback接口为172.16.7.1。加策略路由的情况,PC1可以ping通192.168.7.1。删除策略路由,PC1无法PING通172.16.7.1。   4.策略路由与路由策略
  策略路由与路由策略是两个不同的概念,应用领域不同。
  策略路由是数据包转发规则,依据用户制定的策略进行路由选择的机制,与单纯依照IP报文的目的地址查找路由表进行转发不同,可应用于安全、负载分担等目的。路由器中存在两种类型和层次的表,分别是路由表和转发表。转发表是由路由表映射过来的,策略路由直接作用于转发表,不改变路由表中任何内容。
  路由策略是路由发现规则,在正常的路由协议之上,根据某种规则,通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,最终改变的是结果(即路由表)。路由策略直接作用于路由表,是在路由发现的时候产生作用。
  策略路由的优先级高于路由策略,当路由器进行数据包转发的时候,会优先匹配策略路由的规则,如果匹配一致,则按照策略路由来转发,否则根据路由表中的转发路径来转发。
  5.策略路由在多出口校园网中的应用
  我国高校信息化建设正在经历巨大变迁,数字校园的建设包括三个层面:基础网络设施;公共服务体系,如邮件服务、安全防护等;业务应用层包括教学应用、科研应用、管理应用等。校园网单一接入教育网的模式已不能满足广大师生的网络需求。许多高校增加了教育网以外的其他ISP连接,比如电信、联通等,形成了多出口校园网网络结构。
  为了保证网络的可用性,国内许多高校采用同时接入教育网和电信(或联通、移动)等多网接入方案,实现多链路并行。由于教育网和公众网不同网络运营商之间的网络连通性问题,校园网用户访问不同的ISP时速度明显变慢。校园网的路由有特殊需求,多出口网络结构使得路由实现及相关问题更加复杂难解。
  对于校园网,需要根据源IP地址进行路由选择,强制其通过指定出口进行路由转发,访问教育网资源走教育网出口,访问其它资源走公网出口。这样,一方面提高了出口速度,另一方面也提高校园网出口的冗余,增加校园网的稳定性。在电信、联通出口实现NAT,禁止校园网用户从教育网出口访问收费站点资源,有效减少教育网的国际流量费用。针对需要访问教育网资源的校园网用户制定源地址路由,这样不仅降低网络运行费用,还能防止校园网一个链路发生故障而断开和Internet的连接。本文提出的策略路由和NAT相结合的配置方案,能够充分利用现有網络的多出口,尽可能的节约校园网运行成本,为广大师生提供可靠高效的网络访问。
  6.结束语
  在网络安全防范体系中,防火墙与路由器是最为重要的因素,也是内外网络的边界。本文将策略路由和NAT相结合的方案应用于校园网络环境当中,使得校园网的用户能够通过不同的出口方位不同的网络资源,有效提高了网络出口资源的利用率,实现网络负载均衡,并进一步确保了校园网络运行的安全。
  参考文献:
  [1] 回金强.防火墙技术在网络安全中的应用[J].城市建设理论研究.2013年第02期
  [2] 许孝明.浅析防火墙在计算机安全中的应用[J].电脑知识与技术.2012年第21期
其他文献
【摘 要】实行招投标制度是水利工程项目招投标活动未来发展的趋势,但目前的招投标活动中仍存在围标串标的现象,严重影响到其他投标人的合法权益。为此,本文结合笔者多年的工作经验,重点就水利工程项目招标中围标串标存在的原因进行探讨,并提出一些切实有效的防范对策,以供类似研究参考。  【关键词】水利工程;招投标;串标;防范对策  随着我国经济建设发展的不断加速,建筑行业之间的竞争日趋激烈化,特别是水利工程项
【摘 要】预结算已经成为工程建设中十分重要的一个环节,直接影响了工程的造价的有效控制和工程的投资效益,对于市政工程而言,做好其预结算工作显得更尤为重要。本文详细阐述了当前市政工程预结算的现状,指出了暴露出来的弊端,并提出了相关的对策和措施,有效保障了市政工程的效益。  【关键词】市政工程;工程造价;預结算;现状;对策措施  随着经济建设的蓬勃发展,市政基础建设工程规模不断扩大,市政工程的造价能否有
【摘 要】10kV配电线路是供电企业电力设施的重要组成部分,它担负着向客户供电的重要任务,由于长期处于露天运行,又具有点多、面广、线长等特点,因此在运行中的10kV线路经常发生事故跳闸,不但给供电企业造成经济损失,而且还影响了工业生产和民用生活用电。本文对配电线路故障及处理进行了分析,探讨在用电负荷不断增长的情况下,如何向客户不间断的供电,保证电网安全稳定运行。  【关键词】配电线路;故障分析;预
【摘 要】近年来,我国钢结构工程被广泛地应用于建筑领域,随之其质量事故问题也日益突出。如何控制钢结构工程质量,减少质量事故就显得尤为重要。本文对钢结构制安工程质量控制进行了探讨。  【关键词】钢结构;制安工程;质量控制  一、前言  随着我国钢结构工程在建筑领域的逐步推广,钢结构施工安装质量管理与控制水平逐渐完善,但是仍存在某些钢结构安装单位,尤其是某些资质等级比较偏低的施工单位,在工程建设中,完
【摘 要】可控整流电路形式多样,要设计一个可控整流电路,需要如何选择晶闸管型号、选择变压器容量、选择导线。本文通过具体的实例介绍如何合理的设计电路。  【关键词】可控;整流;设计  如何根据用户的要求去设计一个可控整流电路,首先要知道可控整流电路的形式。所以了解可控整流电路的形式就有必要了。可控整流电路根据电源的相数分成单相、三相与多相可控整流电路,根据负载的性质分成阻性负载与感性负载,根据电路的
【摘 要】随着社会经济的快速发展,电力市场的需求也不断增长,各个电力企业所面临的市场冲击更是不断增大,这对用电管理提出了更高要求。按照现代用电管理的发展要求,负荷管理系统获得了日益广泛的应用。从该系统的发展来看,其仍具有很好发展前景,我们必须不断完善该系统的功能,以使其为用电管理系统提供丰富地信息资源与有效地技术保证。本文主要介绍了负荷管理系统的概述、用电管理中负荷管理系统的应用以及负荷管理系统的
【摘 要】同塔双回线路是城乡电力行建设的重要组成部分,其绝缘水平直接关系到变电站线路供电的可靠性。为此,本文结合笔者多年的工作经验,探讨了高绝缘和不平衡绝缘方式对线路供电可靠性的作用,并借实际工程设计应用加以说明,以供类似工程研究借鉴。  【关键词】同塔双回;绝缘方式;雷击;工程设计  1.引言  随着我国社会经济建设步伐的不断加快,城市建设规模得到进一步的扩大,土地资源越来越稀缺及珍贵,这也导致
【摘 要】电子设备大都对电压抖动较为敏感,要求有稳定的工作电压,直流稳压电路是直流稳压电源的重要组成部分。本文对分析了常用的几个直流稳压电路的工作原理,总结了各自的特点并给出了对比分析。  【关键词】直流;稳压电路;原理分析  稳压电路是指在输入电压、负载、环境温度、电路参数等发生变化时仍能保持输出电压恒定的电路。这种电路能提供稳定的直流电源,对各种电子设备能够稳定工作起到了重要的作用。常见直流稳
【摘 要】如何保证电网运行安全、避免故障及连锁反应是电力发展迫切需要解决的现实问题。本文就继电保护的基本要求,继电保护安全运行要求,新技术在继电保护中应用进行了探讨。提出了本人的一些看法,可供同行参考借鉴。  【关键词】电力系统;继电保护;应用  1.前言  继电保护技术的发展是电力安全发展趋势的一种必然选择,也是企业在供电过程中不可缺少的一种重要应用工程。该技术的运用必将随着电力的不断发展而提升
【摘 要】高层建筑中进行移动业务覆盖是现今全球运营商需要解决的系统性问题,目前最有效的方法就是建设室内分布系统,而千兆无源光网络(GPON)凭借着诸多优势而广泛应用于这一领域。本文结合千兆无源光网络(GPON)的工作机理,详细介绍了在高层建筑的室分系统中的传输网络改造中引入千兆无源光网络(GPON)技术,可供参考。  【关键词】千兆无源光网络;移动通信;传输网络;技术改造  千兆无源光网络(GPO