欢迎来到专业的唐家秘书网平台! 工作总结 工作计划 心得体会 思想汇报 发言稿 申请书 述职报告 自查报告
当前位置:首页 > 专题范文 > 公文范文 > 正文

浅谈华为路由器实现防火墙功能的方法

时间:2022-10-22 20:50:03 来源:网友投稿

摘 要 当今时代,信息技术飞速发展,信息安全的重要性日益凸显,信息传输及存储安全更显得尤为重要。本文通过利用访问控制列表、网络地址转换等安全技术,对路由器上的防火墙功能实现进行探究,并提出了实现方法。

关键词 路由器;访问控制;地址转换;流量监管

华为路由器除了支持丰富的路由协议外,为了提高网络安全性,提供了一个全面的网络安全解决方案,包括用户验证、授权、数据保护等,可以在一定程度上代替防火墙,建立第一道安全防护屏障。下面以华为路由器为例,通过利用访问控制列表、网络地址转换等安全措施,让路由器实现相应的防火墙功能。

1 数据包过滤功能

通过配置访问控制列表(Access Control List)可以实现数据包过滤功能。该技术的原理是在路由器端口上读取网络层及传输层数据包中的“五元组”:源IP地址、目的IP地址、协议号、源端口、目的端口,根据预先定义好的规则对数据包进行检查,从而达到过滤掉相关数据的目的。

华为路由器的访问控制列表分为两种:

基本ACL:编号2000-2999,只能匹配源IP地址,定义允许或禁止某一个网段或某一个主机访问。

高级ACL:编号3000-3999,可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。

1.1 屏蔽常见病毒的攻击端口

135、139、445、593、1434等端口是Windows系统默认开放的端口,而这些端口也是蠕虫病毒经常攻击的端口。

配置过程有两步,以在路由器上禁止135、139、445端口为例:

第一步,定义访问控制列表

第二步,在接口上应用访问控制列表

Interface Ethernet 0/1

Traffic-filter inbound acl 3001

端口应用访问控制列表后即可生效。

1.2 过滤外网流量

通过TCP过滤,限制外网对内网的访问,使其只能访问某一个服务,禁止其他一切流量。下面以只能访问FTP服务为例,配置流量过滤。

Acl number 3002

Rule permit tcp source any destination 1.4.1.10 0.0.0.0 destination-port eq ftp

Rule deny ip source any destination any

Interface ethernet 0/2

Traffic-filter inbound acl 3002

2 地址轉换功能

地址转换功能,即NAT。它将内部网络地址转换为外部网络地址,从而使内部网络用户使用一个或多个外部IP地址与外部网络通信。

华为路由器提供的NAT类型有三种:静态NAT、动态NAT、PAT。

静态NAT,是指将内部网络的私有IP地址转换为公有IP地址,某个私有IP地址只转换为某个公有IP地址。

动态NAT,内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,所有被授权的私有IP地址可随机转换为任何指定的合法IP地址。

PAT,即端口地址转换(PAT,Port Address Translation),采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。

在网络规划中,动态NAT较为常用,配置如下:

(1)首先定义ACL指定允许转换的内部地址范围,这里允许的地址范围为一个C类地址段192.168.1.0;

(2)定义映射到外部的地址池,这里设定为两个地址100.1.10.5和100.1.10.6;

[Huawei]nat address-group 1 100.1.10.5 100.1.10.6

(3)指定地址转换接口;

[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

3 基于网络的流量监管功能

流量监管由三部分组成:

Meter:通过令牌桶机制对网络流量进行度量,向Marker输出度量结果;

Marker:根据Meter的度量结果对报文进行染色,报文会被染成green、yellow、red三种颜色;

Action:根据Marker对报文的染色结果,对报文进行一些动作,动作包括:pass:对测量结果为“符合”的报文继续转发;remark + pass:对测量结果为“不符合”的报文修改其内部优先级后再转发;discard:对测量结果为“不符合”的报文进行丢弃。

经过流量监管,如果某流量速率超过标准,超出标准部分的报文其测量结果为“不符合”,此时设备可以选择降低报文优先级再进行转发或者直接丢弃。

配置步骤:

第一步,配置流分类;

Traffic classifier c1创建一个流分类并进入流分类视图

根据实际情况定义流分类中的匹配规则,例如:

if-match vlan 10

第二步,配置流行为;

Traffic behavior 1 创建流行为

[Huawei-behavior-1]car cir 2000

[Huawei-behavior-1] statistics enable 使能流量统计功能

第三步,配置流策略;

[Huawei] traffic policy p1 创建流策略

[Huawei -trafficpolicy-p1] classifier c1 behavior b1 将流分类和流行为进行绑定

第四步,应用流策略。

[Huawei] interface GE1/0/1

[Huawei -GE1/0/1] traffic-policy p1 inbound 将策略应用到接口入方向

通过上面的配置,将特定的流量进行监管,达到带宽控制、流量整形和包丢弃等防火墙策略。

4 结束语

大数据时代的到来,网络技术飞速发展,使计算机网络安全尤为重要。因此在实践中,需要掌握不同的安全防范措施,使得各项措施优势最大化发挥,不断提高网络安全防范的效果,共同建设可靠的网络环境。

作者简介

蒋宁宁(1977-),女,黑龙江哈尔滨人;学历:硕士,工程师,现就职单位:91001部队,研究方向:计算机网络及信息系统运维。

推荐访问:华为 浅谈 路由器 防火墙 功能

猜你喜欢