浅谈华为路由器实现防火墙功能的方法
摘 要 当今时代,信息技术飞速发展,信息安全的重要性日益凸显,信息传输及存储安全更显得尤为重要。本文通过利用访问控制列表、网络地址转换等安全技术,对路由器上的防火墙功能实现进行探究,并提出了实现方法。
关键词 路由器;访问控制;地址转换;流量监管
华为路由器除了支持丰富的路由协议外,为了提高网络安全性,提供了一个全面的网络安全解决方案,包括用户验证、授权、数据保护等,可以在一定程度上代替防火墙,建立第一道安全防护屏障。下面以华为路由器为例,通过利用访问控制列表、网络地址转换等安全措施,让路由器实现相应的防火墙功能。
1 数据包过滤功能
通过配置访问控制列表(Access Control List)可以实现数据包过滤功能。该技术的原理是在路由器端口上读取网络层及传输层数据包中的“五元组”:源IP地址、目的IP地址、协议号、源端口、目的端口,根据预先定义好的规则对数据包进行检查,从而达到过滤掉相关数据的目的。
华为路由器的访问控制列表分为两种:
基本ACL:编号2000-2999,只能匹配源IP地址,定义允许或禁止某一个网段或某一个主机访问。
高级ACL:编号3000-3999,可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
1.1 屏蔽常见病毒的攻击端口
135、139、445、593、1434等端口是Windows系统默认开放的端口,而这些端口也是蠕虫病毒经常攻击的端口。
配置过程有两步,以在路由器上禁止135、139、445端口为例:
第一步,定义访问控制列表
第二步,在接口上应用访问控制列表
Interface Ethernet 0/1
Traffic-filter inbound acl 3001
端口应用访问控制列表后即可生效。
1.2 过滤外网流量
通过TCP过滤,限制外网对内网的访问,使其只能访问某一个服务,禁止其他一切流量。下面以只能访问FTP服务为例,配置流量过滤。
Acl number 3002
Rule permit tcp source any destination 1.4.1.10 0.0.0.0 destination-port eq ftp
Rule deny ip source any destination any
Interface ethernet 0/2
Traffic-filter inbound acl 3002
2 地址轉换功能
地址转换功能,即NAT。它将内部网络地址转换为外部网络地址,从而使内部网络用户使用一个或多个外部IP地址与外部网络通信。
华为路由器提供的NAT类型有三种:静态NAT、动态NAT、PAT。
静态NAT,是指将内部网络的私有IP地址转换为公有IP地址,某个私有IP地址只转换为某个公有IP地址。
动态NAT,内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,所有被授权的私有IP地址可随机转换为任何指定的合法IP地址。
PAT,即端口地址转换(PAT,Port Address Translation),采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
在网络规划中,动态NAT较为常用,配置如下:
(1)首先定义ACL指定允许转换的内部地址范围,这里允许的地址范围为一个C类地址段192.168.1.0;
(2)定义映射到外部的地址池,这里设定为两个地址100.1.10.5和100.1.10.6;
[Huawei]nat address-group 1 100.1.10.5 100.1.10.6
(3)指定地址转换接口;
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
3 基于网络的流量监管功能
流量监管由三部分组成:
Meter:通过令牌桶机制对网络流量进行度量,向Marker输出度量结果;
Marker:根据Meter的度量结果对报文进行染色,报文会被染成green、yellow、red三种颜色;
Action:根据Marker对报文的染色结果,对报文进行一些动作,动作包括:pass:对测量结果为“符合”的报文继续转发;remark + pass:对测量结果为“不符合”的报文修改其内部优先级后再转发;discard:对测量结果为“不符合”的报文进行丢弃。
经过流量监管,如果某流量速率超过标准,超出标准部分的报文其测量结果为“不符合”,此时设备可以选择降低报文优先级再进行转发或者直接丢弃。
配置步骤:
第一步,配置流分类;
Traffic classifier c1创建一个流分类并进入流分类视图
根据实际情况定义流分类中的匹配规则,例如:
if-match vlan 10
第二步,配置流行为;
Traffic behavior 1 创建流行为
[Huawei-behavior-1]car cir 2000
[Huawei-behavior-1] statistics enable 使能流量统计功能
第三步,配置流策略;
[Huawei] traffic policy p1 创建流策略
[Huawei -trafficpolicy-p1] classifier c1 behavior b1 将流分类和流行为进行绑定
第四步,应用流策略。
[Huawei] interface GE1/0/1
[Huawei -GE1/0/1] traffic-policy p1 inbound 将策略应用到接口入方向
通过上面的配置,将特定的流量进行监管,达到带宽控制、流量整形和包丢弃等防火墙策略。
4 结束语
大数据时代的到来,网络技术飞速发展,使计算机网络安全尤为重要。因此在实践中,需要掌握不同的安全防范措施,使得各项措施优势最大化发挥,不断提高网络安全防范的效果,共同建设可靠的网络环境。
作者简介
蒋宁宁(1977-),女,黑龙江哈尔滨人;学历:硕士,工程师,现就职单位:91001部队,研究方向:计算机网络及信息系统运维。
上一篇:局域网客户端管理策略