论文部分内容阅读
摘要:随着时代的发展,防火墙安全课程已经成为了绝大多数高等院校的必修课或专业选修课。如何指导学生学好防火墙安全方面的专业知识,如何更大限度的将安全理论用于实践已经成为防火墙安全课程的核心点。本文以思科防火墙设备里面的VRF为例,通过一个详细案例步步剖析以达到正确理解和牢固掌握防火墙相关知识并引导学生树立正确的学习观。
关键词:VRF;防火墙;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)31-0021-03
近日,广东省教育厅透露,广东省发改委、教育厅、财政厅等部门近期将对不受学生欢迎的课程,不积极投入教学或者授课水平较差教师逐步予以淘汰,从而形成教师教学竞争和淘汰机制 [1]。教好一门课程是教师的天职,同样的一门课程有的老师讲授出来学生大呼受益,而有些老师讲课学生呼呼大睡。可见课程教学方法非常重要。在众多课程中,防火墙安全是网络专业的专业必修课,也是绝大多数工科院校学生首选专业课,学好防火墙安全对学生来说有章可循,对教师来说也将有很多值得总结的地方。本文以防火墙安全里VRF技术为例,通过详细步骤研究ZONE-BASE防火墙的具体实现。
1 VRF简介
VRF(Virtual Routing Forwarding)即虚拟路由转发的意思。在路由器里面,该技术可以将一台实际的物理路由器划分成相互隔离的N台虚拟路由器。防火墙启用VRF技术,即将防火墙分割成多台虚拟防火墙。
在一台防火墙上启用N个VRF后,意味着该防火墙分割成了(N 1)台防火墙,能很好地起到隔离用户数据作用,保护数据安全。例如某一台路由器型防火墙共有三个接口,分别是F0/0,F0/1和F0/2。在该防火墙上启用两个VRF:gdufs1,gdufs2;并将F0/0,F0/1接口分别划分到gdufs1,gdufs2。分别执行查看路由表操作,如下:
FW#showip route
执行结果显示,只可以查看到F0/2口网段对应的路由条目;
FW#showip routevrf gdufs1
执行结果显示,只可以查看到F0/0口网段对应的路由条目;
FW#showip routevrf gdufs2
执行结果显示,只可以查看到F0/1口网段对应的路由条目。
由此可见,该路由器型防火墙被分割成三台防火墙,即一台实际防火墙和两台虚拟防火墙,三个接口分别归属于其中的一台防火墙,接口之间实现了隔离,不同接口的数据在默认策略下是无法相互访问的,保证了数据的安全。
2 ZONE-BASE防火墙
ZONE就是区域,ZONE-BASE防火墙就是基于区域划分的一种新技术。因为区域化分防火墙是基于区域的,策略也只能在区域间传递数据时才生效,在区域内是不生效的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略[2]。但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只要划入同一个区域,它们之间就可以任意互访了。ZONE是应用防火墙策略的最小单位,一个ZONE中可以包含一个接口,也可以包含很多接口。
ZONE-BASE防火墙是一门实践性非常强的课程,注重培养学生网络安全方面能力,同时也要求学生能掌握一定网络基础理论知识[3]。课程主要包括几大模块:ZONE-BASE策略透明防火墙,ZONE-BASE策略虚拟防火墙,ZONE-BASE策略防火墙NAT技术,ZONE-BASE策略虚拟防火墙应用层过滤方法等。笔者在几届的教学过程中发现很多同学在学习ZONE-BASE策略虚拟防火墙技术时碰到许多困惑,在此,我将通过一个实例同大家一起分享在VRF里面采用ZONE BASE实现防火墙的学习心得。
3 基于VRF技术的ZONE-BASE防火墙具体配置和实现
本文采用思科模拟器GNS3搭建实验拓扑图,拓扑图包括内网和外网两大块,内网部署一台简单的PC,外网架构一台服务器,中间是一台两接口的防火墙,如图一所示。本实验为了简单起见,只在防火墙上启用一个VRF,防火墙的两个接口都划分到该VRF中。实验最终目的是在该虚拟防火墙中进行策略配置,满足用户需求,具体策略见3.1要求。
3.1 需求描述
在图1的拓扑图中,显示了各个设备名称,网段,IP地址等。
具体需求:在VRF下配置虚ZONE-BASE策略,完成以下动作:
放行从内到外的UDP/ICMP/FTP/TELNET流量。并要求在内网的PC进行ping外部服务器的测试以及远程登录(telnet)外部服务器测试。
IP地址分配见表1:
表1 设备IP地址一览表
[\
关键词:VRF;防火墙;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)31-0021-03
近日,广东省教育厅透露,广东省发改委、教育厅、财政厅等部门近期将对不受学生欢迎的课程,不积极投入教学或者授课水平较差教师逐步予以淘汰,从而形成教师教学竞争和淘汰机制 [1]。教好一门课程是教师的天职,同样的一门课程有的老师讲授出来学生大呼受益,而有些老师讲课学生呼呼大睡。可见课程教学方法非常重要。在众多课程中,防火墙安全是网络专业的专业必修课,也是绝大多数工科院校学生首选专业课,学好防火墙安全对学生来说有章可循,对教师来说也将有很多值得总结的地方。本文以防火墙安全里VRF技术为例,通过详细步骤研究ZONE-BASE防火墙的具体实现。
1 VRF简介
VRF(Virtual Routing Forwarding)即虚拟路由转发的意思。在路由器里面,该技术可以将一台实际的物理路由器划分成相互隔离的N台虚拟路由器。防火墙启用VRF技术,即将防火墙分割成多台虚拟防火墙。
在一台防火墙上启用N个VRF后,意味着该防火墙分割成了(N 1)台防火墙,能很好地起到隔离用户数据作用,保护数据安全。例如某一台路由器型防火墙共有三个接口,分别是F0/0,F0/1和F0/2。在该防火墙上启用两个VRF:gdufs1,gdufs2;并将F0/0,F0/1接口分别划分到gdufs1,gdufs2。分别执行查看路由表操作,如下:
FW#showip route
执行结果显示,只可以查看到F0/2口网段对应的路由条目;
FW#showip routevrf gdufs1
执行结果显示,只可以查看到F0/0口网段对应的路由条目;
FW#showip routevrf gdufs2
执行结果显示,只可以查看到F0/1口网段对应的路由条目。
由此可见,该路由器型防火墙被分割成三台防火墙,即一台实际防火墙和两台虚拟防火墙,三个接口分别归属于其中的一台防火墙,接口之间实现了隔离,不同接口的数据在默认策略下是无法相互访问的,保证了数据的安全。
2 ZONE-BASE防火墙
ZONE就是区域,ZONE-BASE防火墙就是基于区域划分的一种新技术。因为区域化分防火墙是基于区域的,策略也只能在区域间传递数据时才生效,在区域内是不生效的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略[2]。但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只要划入同一个区域,它们之间就可以任意互访了。ZONE是应用防火墙策略的最小单位,一个ZONE中可以包含一个接口,也可以包含很多接口。
ZONE-BASE防火墙是一门实践性非常强的课程,注重培养学生网络安全方面能力,同时也要求学生能掌握一定网络基础理论知识[3]。课程主要包括几大模块:ZONE-BASE策略透明防火墙,ZONE-BASE策略虚拟防火墙,ZONE-BASE策略防火墙NAT技术,ZONE-BASE策略虚拟防火墙应用层过滤方法等。笔者在几届的教学过程中发现很多同学在学习ZONE-BASE策略虚拟防火墙技术时碰到许多困惑,在此,我将通过一个实例同大家一起分享在VRF里面采用ZONE BASE实现防火墙的学习心得。
3 基于VRF技术的ZONE-BASE防火墙具体配置和实现
本文采用思科模拟器GNS3搭建实验拓扑图,拓扑图包括内网和外网两大块,内网部署一台简单的PC,外网架构一台服务器,中间是一台两接口的防火墙,如图一所示。本实验为了简单起见,只在防火墙上启用一个VRF,防火墙的两个接口都划分到该VRF中。实验最终目的是在该虚拟防火墙中进行策略配置,满足用户需求,具体策略见3.1要求。
3.1 需求描述
在图1的拓扑图中,显示了各个设备名称,网段,IP地址等。
具体需求:在VRF下配置虚ZONE-BASE策略,完成以下动作:
放行从内到外的UDP/ICMP/FTP/TELNET流量。并要求在内网的PC进行ping外部服务器的测试以及远程登录(telnet)外部服务器测试。
IP地址分配见表1:
表1 设备IP地址一览表
[\