返回
网络安全策略中防火墙技术应用

网络安全策略中防火墙技术应用

ID:46800074

大小:76.00 KB

页数:7页

时间:2019-11-27

网络安全策略中防火墙技术应用_第1页
网络安全策略中防火墙技术应用_第2页
网络安全策略中防火墙技术应用_第3页
网络安全策略中防火墙技术应用_第4页
网络安全策略中防火墙技术应用_第5页
资源描述:

《网络安全策略中防火墙技术应用》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络安全策略中防火墙技术应用【摘要】防火墙一种位于内部网络与外部网络之间的网络安全系统,也是用户网络和互联网相连的标准安全隔离设备。本文通过介绍防火墙策略路由与NAT技术,重点阐述了基于源地址的策略路由的实现形式,并总结了策略路由与路由策略的区别与策略路由的实际应用情况,为类似研究工程提供借鉴的意义。【关键词】防火墙技术;策略路由;源地址;网络安全1.引言随着互联网的快速发展,网络技术得到不断的普及,非法存取、病毒、网络资源非法占有和黑客攻击等威胁网络安全运行的不安全因素也越来越多,这对网络安全技术的要求也有所提高。防火墙技术

2、作为网络安全运行的一项重要技术,指的是在内网和外网之间、专用网和公共网之间的界面上建立一道安全屏障,以控制不同信任程度区域间数据流的传输。防火墙自身具有较强的抗攻击免疫力,所有网络数据流需要符合安全策略数据流的标准才能通过防火墙,这在很大程度上提高了网络安全运行的可靠性,避免了网络运行遭受一些不安全因素的影响。本文通过探讨网络安全策略中防火墙技术的应用,结合网络地址转换,有效提髙了网络出口资源的利用率,保护了校园网络运行的安全。2.策略路由与NAT技术2.1策略路由防火墙的策略路由优先级高于静态路由和缺省路由,低于直连路由。策

3、略路由可以在指定位置上灵活修改,添加和删除。一个接口应用策略路由后,将根据预先设定的策略对该接口接收到的所有数据包进行匹配,如果匹配到一条策略,就按照策略路由进行转发;如果没有匹配到任何策略,就按照路由表中转发路径来进行路由。策略路由分为三种:源地址路由、目的地址路由和智能均衡的策略方式。源地址路由根据路由源地址来进行策略,目的地址路由根据路由的目的地址来实施策略。智能均衡策略,是策略路由的发展方向。2.2NATNAT有三种实现方式:静态转换、动态转换和端口多路复用。静态地址转换为每一个内部地址映射一个唯一的全局地址,内部地址

4、与全局地址是一对一的,一成不变的。动态地址转换是指将内部网络的私有IP地址转换为合法IP地址时,IP地址是随机的、不确定的。设置一个NAT地址池,全局地址在地址池中列出,当内部用户与外部通信时,从NAT地址池中随机选择全局地址进行转换。当ISP提供的公有IP地址数量比内部网络的计算机数量少时,可以采用动态转换的方式。端口多路复用是指改变连接到外部网络接口的数据包的源端口并进行端口映射。端口地址转换也是一种动态地址转换,但是允许多个内部本地地址共用一个合法IP地址。目前网络中应用最多的就是端口多路复用方式。3•基于源地址的策略路

5、由的实现下面以《计算机通信与网络实验》课程实验为例,说明实验室开放与实验课堂教学的配合。防火墙默认管理端口IP地址:192.168.10.100/24,可将管理主机IP配置为192.168.10.200/24,与防火墙WAN接口相连,通过WEB方式登录防火墙管理界面。内网用户PC1通过锐捷RG-WALL防火墙WAN1口访问ISP-1,内网用户PC2通atRG-WALL防火墙DMZ口访问ISP-2。WAN1口的ip地址:172.16.9.240/24,DMZ口的ip地址:172.16.8.240/24,LAN口的ip地址:192

6、.16&1.1/24、192.168.2.l/24oPCI的IP地址:192.168.2.200/24,PC2的IP地址:192.168.1.100/24o1.1配置接入网络的接口IP地址3.2配置针对源地址的策略路由配置第一条策略路由,源地址为172.16.8.240,下一跳地址为172.16・8・1。配置第二条策略路由,源地址为172.16.9.240,下一跳地址为172.16.9.1。配置策略路由时选择LAN网口按源IP路由进行转发。3.3定义客户端PC的IP地址对象定义两个PC的IP地址对象,PC1(192.16&2.

7、200、255.255.255.255)定义为NAT-1,PC2(192.168.1.100.255.255.255.255)定义为NAT-2,配置地址列表。3.4配置NAT规则配置PC2的NAT规则,源地址为NAT-2,目的地址和服务为any,源地址转换为172.16.8.240。同理配置PC1的NAT规则,源地址转换为172.16.9.240o3.5验证策略路由客户端PC1通过访问ISP-1,对ISP-1(172.16.9.1)进行PING通测试,结果为可以PING通。同理客户端PC2也可以PING通ISP-2(172.1

8、6.8.l)o因为直连路由的优先级高于策略路由,为了测试策略路由生效,需要PING通目的地址为防火墙定义端口网段以外的网络地址。在防火墙DMZ口连接路由器(RG-R系列或者RG-RSR系列路由器),在路由器上设置IP地址:与防火墙互联的接口IP地址设置为172.16.8.1,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。