欢迎访问有用文档网!

当前位置: 有用文档网 > 作文大全 >

浅谈华为路由器实现防火墙功能的方法

| 浏览次数:

摘 要 当今时代,信息技术飞速发展,信息安全的重要性日益凸显,信息传输及存储安全更显得尤为重要。本文通过利用访问控制列表、网络地址转换等安全技术,对路由器上的防火墙功能实现进行探究,并提出了实现方法。

关键词 路由器;访问控制;地址转换;流量监管

华为路由器除了支持丰富的路由协议外,为了提高网络安全性,提供了一个全面的网络安全解决方案,包括用户验证、授权、数据保护等,可以在一定程度上代替防火墙,建立第一道安全防护屏障。下面以华为路由器为例,通过利用访问控制列表、网络地址转换等安全措施,让路由器实现相应的防火墙功能。

1 数据包过滤功能

通过配置访问控制列表(Access Control List)可以实现数据包过滤功能。该技术的原理是在路由器端口上读取网络层及传输层数据包中的“五元组”:源IP地址、目的IP地址、协议号、源端口、目的端口,根据预先定义好的规则对数据包进行检查,从而达到过滤掉相关数据的目的。

华为路由器的访问控制列表分为两种:

基本ACL:编号2000-2999,只能匹配源IP地址,定义允许或禁止某一个网段或某一个主机访问。

高级ACL:编号3000-3999,可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。

1.1 屏蔽常见病毒的攻击端口

135、139、445、593、1434等端口是Windows系统默认开放的端口,而这些端口也是蠕虫病毒经常攻击的端口。

配置过程有两步,以在路由器上禁止135、139、445端口为例:

第一步,定义访问控制列表

第二步,在接口上应用访问控制列表

Interface Ethernet 0/1

Traffic-filter inbound acl 3001

端口应用访问控制列表后即可生效。

1.2 过滤外网流量

通过TCP过滤,限制外网对内网的访问,使其只能访问某一个服务,禁止其他一切流量。下面以只能访问FTP服务为例,配置流量过滤。

Acl number 3002

Rule permit tcp source any destination 1.4.1.10 0.0.0.0 destination-port eq ftp

Rule deny ip source any destination any

Interface ethernet 0/2

Traffic-filter inbound acl 3002

2 地址轉换功能

地址转换功能,即NAT。它将内部网络地址转换为外部网络地址,从而使内部网络用户使用一个或多个外部IP地址与外部网络通信。

华为路由器提供的NAT类型有三种:静态NAT、动态NAT、PAT。

静态NAT,是指将内部网络的私有IP地址转换为公有IP地址,某个私有IP地址只转换为某个公有IP地址。

动态NAT,内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,所有被授权的私有IP地址可随机转换为任何指定的合法IP地址。

PAT,即端口地址转换(PAT,Port Address Translation),采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。

在网络规划中,动态NAT较为常用,配置如下:

(1)首先定义ACL指定允许转换的内部地址范围,这里允许的地址范围为一个C类地址段192.168.1.0;

(2)定义映射到外部的地址池,这里设定为两个地址100.1.10.5和100.1.10.6;

[Huawei]nat address-group 1 100.1.10.5 100.1.10.6

(3)指定地址转换接口;

[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

3 基于网络的流量监管功能

流量监管由三部分组成:

Meter:通过令牌桶机制对网络流量进行度量,向Marker输出度量结果;

Marker:根据Meter的度量结果对报文进行染色,报文会被染成green、yellow、red三种颜色;

Action:根据Marker对报文的染色结果,对报文进行一些动作,动作包括:pass:对测量结果为“符合”的报文继续转发;remark + pass:对测量结果为“不符合”的报文修改其内部优先级后再转发;discard:对测量结果为“不符合”的报文进行丢弃。

经过流量监管,如果某流量速率超过标准,超出标准部分的报文其测量结果为“不符合”,此时设备可以选择降低报文优先级再进行转发或者直接丢弃。

配置步骤:

第一步,配置流分类;

Traffic classifier c1创建一个流分类并进入流分类视图

根据实际情况定义流分类中的匹配规则,例如:

if-match vlan 10

第二步,配置流行为;

Traffic behavior 1 创建流行为

[Huawei-behavior-1]car cir 2000

[Huawei-behavior-1] statistics enable 使能流量统计功能

第三步,配置流策略;

[Huawei] traffic policy p1 创建流策略

[Huawei -trafficpolicy-p1] classifier c1 behavior b1 将流分类和流行为进行绑定

第四步,应用流策略。

[Huawei] interface GE1/0/1

[Huawei -GE1/0/1] traffic-policy p1 inbound 将策略应用到接口入方向

通过上面的配置,将特定的流量进行监管,达到带宽控制、流量整形和包丢弃等防火墙策略。

4 结束语

大数据时代的到来,网络技术飞速发展,使计算机网络安全尤为重要。因此在实践中,需要掌握不同的安全防范措施,使得各项措施优势最大化发挥,不断提高网络安全防范的效果,共同建设可靠的网络环境

作者简介

蒋宁宁(1977-),女,黑龙江哈尔滨人;学历:硕士,工程师,现就职单位:91001部队,研究方向:计算机网络及信息系统运维。

推荐访问:华为 浅谈 路由器 防火墙 功能

热门排行Top Ranking

支部组织生活方面存在问题清单和整改措施 党组织生活个人问题整改清单

下面是小编为大家精心整理的支部组织生活方面存在问题清单和整改措施党组织生活个人问题整改清单文章,供大家阅读参考

2021年党员个人问题清单及整改措施 党组织生活个人问题整改清单

下面是小编为大家精心整理的2021年党员个人问题清单及整改措施党组织生活个人问题整改清单文章,供大家阅读参考。

浅析军队战斗力损耗的新变化

关键词:军队;战斗力损耗;新变化军队战斗力的结构,是战斗力各要素间的结合方式和相互关系。军队战斗力的

小学六年级毕业演讲稿100字左右9篇

小学六年级毕业演讲稿100字左右9篇小学六年级毕业演讲稿100字左右篇1敬爱的老师,亲爱的同学们:大

问题及整改措施 (2) 药房个人存在问题及整改措施

下面是小编为大家精心整理的问题及整改措施(2)药房个人存在问题及整改措施文章,供大家阅读参考。精品文章《问题及

个人问题清单及整改措施(最新) 能力作风建设个人问题清单及整改措施

下面是小编为大家精心整理的个人问题清单及整改措施(最新)能力作风建设个人问题清单及整改措施文章,供大家阅读参考。在认真

疫情防控赞美警察诗朗诵 关于警察的诗朗诵

下面是小编为大家精心整理的疫情防控赞美警察诗朗诵关于警察的诗朗诵文章,供大家阅读参考。疫情防控赞美警

纳税人满意度调查存在不足及对策探讨 提升纳税人满意度的方式方法有哪些

下面是小编为大家精心整理的纳税人满意度调查存在不足及对策探讨提升纳税人满意度的方式方法有哪些文章,供大家阅读参考。纳

小学思想品德教育面临的问题及对策

摘要:小学思想品德课程是小学教育教学过程中不可或缺的一门综合性课程,它对学生良好品德的形成具有重要影

2020党支部班子查摆问题清单及整改措施 农村党支部问题清单

下面是小编为大家精心整理的2020党支部班子查摆问题清单及整改措施农村党支部问题清单文章,供大家阅读参

消防安全检查简报 派出所校园消防安全检查简报

下面是小编为大家精心整理的消防安全检查简报派出所校园消防安全检查简报文章,供大家阅读参考。简报第2期申扎县中学

2021教师党员年度个人总结8篇

2021教师党员年度个人总结8篇2021教师党员年度个人总结篇1敬爱的党组织:我是一个普通年轻的人民