论文部分内容阅读
摘要:高校校园网结构比较复杂,除了用户众多外,存在多个对外出口,通常使用防火墙实现与外网的通信。在防火墙上进行细致的策略路由设计,对提高出口资源利用率,保护校园网的安全非常重要。通过路由配置、地址转换、虚拟专用网、流量控制、安全防范等研究,特别是基于规则的策略路由和路由备份、路由和NAT混杂的接入模式,同一接口路由加NAT等实践,提供了一种高效可靠的校园网多出口策略路由的应用案例。
关键词:策略路由;校园网;防火墙;网络;路由
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)01-0042-05
Multi-export Policy Routing of Campus Network Application Cases
GUO Jing, XIAO Cheng
(Modern Education Technology Center, Southwest Petroleum University, Chengdu 610500, China)
Abstract: The structure of campus network is complicated, including several outside interfaces apart from many users, which usually uses firewall to achieve communication with the external network. Improving the export of resource utilization and protection of the campus network security, it is very important to design detailed policy routing in firewall. Through the routing configuration, address translation, virtual private networks, traffic control, safety precautions and other research, especially rule-based policy routing and route backup, routing and NAT mixed access mode, the same interface plus NAT and other routing practices, which provides a kind of more efficient and reliable multi-export policy routing of campus network application cases.
Key words: policy routing; campus network; firewall; network; routing
1 概述
象高校校园网这样大型复杂的网络,对外往往使用多出口,需要根据学校的实际情况对防火墙做细致的路由选择设计,达到提高网络出口资源利用率,保护校园网的安全目的[1]。我校成都校区校园网虽然是多出口,但是出口资源仍然有限。为了保证有效使用出口带宽资源,我们对防火墙进行了详细设计、配置和调试,使用了五张路由表,每张表超过上百条路由数。特别是基于规则的策略路由和路由备份,路由和NAT混杂接入模式,同一接口路由加NAT等都是经典的应用[2]。上述策略的部署保证了该校区上万用户对外网访问的需求。
2 问题的提出
我校成都校区校园网有注册用户12000多人,有中国教育网(CERnet)、中国电信(TELnet)和中国联通(CNCnet)三个出口,总出口带宽为434Mbps。其中中国教育网出口仅为34Mbps。通过日志分析,平均同时在线人数在5000人左右,参看图1,同时在线人均获得带宽资源为86.8bps。与省内其他高校相比带宽资源是比较紧张的。
中国电信和中国联通实行包月制,无论使用流量多大,每月费用固定不变。由于通过这两个出口访问中国教育网的资源速度慢,并且中国教育网有些资源对外屏蔽,外网完全无法访问,所以只使用中国电信和中国联通出口,会造成无法正常访问中国教育网资源。中国教育网出口可以访问部分免费地址,其余地址的访问将会按照流量收费。完全通过中国教育网对外访问,则会造成网络资费过高。
基于速度、费用、资源利用等考虑,一般采用中国教育网出口访问其提供的免费地址列表资源。除此之外的资源,通过电信、联通提供的出口访问。参看图2校园网出口结构示意图。
当使用三个网络出口后,校园网要解决以下问题:
1) 校园网用户使用私有IP地址,能分别够通过wan-cer、wan-tel、wan-cnc三个出口访问不同的网络资源。
2) 校园网用户访问中国教育网的资源时,使用wan-cer出口。
3) 中国教育网用户访问我校校园网的Web、Mail、DNS等其他服务器,通过wan-cer线路入口进入DMZ。
4) 校园网用户访问电信商和国外等网络资源时,使用wan-tel、wan-cnc出口。
5) 电信和联通等外网用户,能够正常访问校园网的Web、Mail、DNS等其他服务器。
解决上述问题要求防火墙能够根据目的地址和源地址使用策略路由实现不同网络的接入。
3 路由设计
1) 直连路由
直连路由(接口路由),是数据包到达防火墙时,首先选择的路由信息表。它直接给出了网络访问的范围。如果被转发的数据包目标地址属于某网络,就直接将其转发到对应的接口。直连路由设计实例如表1[3]所示。
2) 静态路由
数据转发主要有静态路由来实现,它的优先级低于直连路由。在实际环境中,我们设计了校园内网、教育网、联通和电信四条静态路由主通道。静态路由设计如表2[3]所示。
3) 缺省路由
通过静态路由表检索,如果未发现所需要的路由网络,则将执行缺省路由。对缺省路由设计为:当内网用户访问Internet的数据包到达防火墙时,首先判断该包的目的地址是否在教育网内,符合条件就转发到wan-cer。如果不是,接着判断是否在联通网范围内,符合条件就转发到wan-cnc。如果也不是,就转发到默认接口wan-tel。
在配置缺省路由表时,从路由安全冗余考虑,我们实际上是设置两条缺省路由,主缺省路由为电信,备份缺省路由为联通,如表3[3]所示。在一般情况下电信路由表起作用,如果电信线路发生故障,该路由表将失去作用,这时会自动将联通线路切换为主线路,以保证缺省路由的存在。判断线路是否处于良好状态,是在监视器中通过设置路由表的实时监测度量值实现的。这个过程用户是察觉不到停顿的现象。
4) 策略路由
高校校园网一个重要的特点,是对Internent提供了web、mail、FTP、mail等比较齐全的网络应用服务。为了保证内外网都能正常访问这些服务器,我们使用了从防火墙不同接口过来数据包,按照原来的接口返回的路由策略。其策略路由如表4[3]所示。
需要说明的是表4中的四条路由必须配合相应的规则才能生效,例如:
PBR-cer用于服务器做教育网地址映射。如果访问该服务器的数据包来自电信,则必须使用该策略路由,将该包返回路由强行指向防火墙的教育网接口。
PBR-cer-first用于服务器做教育网地址映射。如果访问该服务器的数据包来自联通,则必须使用该策略路由,将该包返回路由强行指向防火墙的教育网接口。
PBR-tel用于服务器做电信地址映射。如果访问该服务器的数据包来自内网,则必须使用该条策略路由,将该包返回路由强行指向防火墙内网接口;如果访问该服务器的数据包来自其它接口(教育网、联通、电信),都强行返回防火墙上的电信接口。
PBR-cnc用于服务器做联通地址映射,如果访问该服务器的数据包来自内网,则必须使用该策略路由,将该包返回路由强行指向防火墙内网接口;如果访问该服务器的数据包来自其它接口(教育网、联通、电信),都强行返回防火墙上的联通接口。
以上路由的优先级别从高到低依次为:直连路由、静态路由、缺省路由、策略路由。
4 解决方案
4.1 内网用户访问外网资源
1) 静态路由接入方式
如图2所示,对访问教育网免费资源使用教育网出口,访问非免费地址则使用电信和联通出口,这样既避免了不必要的国际流量,又能提高访问速度。
在主路由表上配置静态路由,根据数据包目的方向决定包的路由方向。当内网用户主动发起访问外网连接时,根据该数据包的目的地址,决定将该包发往防火墙指定的端口。如:内网用户访问中国教育网时,发往wan-cer;访问电信资源时,则发往wan-tel。以教育网配置为例:
①置教育网路由,如图3所示。
②设置内网访问教育网规则,如图4所示。
2)冗余缺省路由
当要访问的目的地址不存在静态路由表中时,选定电信线路作为缺省,将数据包发往wan-tel接口, 通过该接口进行包转发。如果电信线路发生故障,联通wan-cnc自动升级为缺省路由,实现校园网出口冗余。配置实例:
① 别为两条缺省路由设定不同度量值。
图5为缺省电信路由表;图6灾缺省联通路由表。
② 通过监视器监控路由故障,查寻ARP响应时间来判断链路的质量,我们设置的参数为1000ms。
图7为路由监视器。
3) 基于源地址的策略路由
如果要求部分内网用户只能访问中国教育网,可以设定源地址路由来限定这些用户只能通过wan-cer出口对外访问。配置实例:
① 置需要限定的用户子网,如:172.16.64.0/19,该子网名称为Net_LAN-2。
图8为设定网段。
② 应用策略规则,将子网Net_LAN-2绑定到wan-cer。
图9为策略规则。
4.2 对外访问地址转换和透明接入
1) 动态地址转换(NAT)
网络地址转换是一种将一个IP地址域映射到另一个IP地址域技术,它常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题[4]。考虑到校园网对外连接是多出口,电信与联通分配的合法地址数量有限,内部使用私有地址部署等因素,内网用户访问外网资源时,利用静态路由表和缺省路由表进行路由选择。当数据包匹配了出口路由同时,还必须经过地址转换才能实现通信。在三个对外接口上,我们分别采用接口地址对要访问外网的用户地址进行动态地址转换。利用防火墙动态地址转换机制,同时转换源地址和接口地址的端口,理论上可以将一个地址转换成无数个地址。配置实例如图10。
2) 透明接入
内网部分服务器使用教育网地址,需在防火墙上建立二层透明路由使其与外界通信。配置实例:
① 将要作透明的接口定义到一个接口组中,即包含教育网地址的内网接口和三个外网接口。
图11为透明接口组。
② 将透明接口组添加至二层透明路由表中。
图12为二层透明路由表。
4.3 外网访问校园网资源
我校对外提供访问的服务器使用的是教育网地址,怎样解决不同网络对这些服务器的访问呢?解决方法是按照数据包发起方向来决定包的路由方向。
对于来自教育网访问的设置相对简单,通过wan-cer进入DMZ即可。对于来自电信和联通的访问,则通过防火墙源地址策略路由,并结合访问规则把所有的返回数据包发往wan-cer,以保证正常的通信。这是因为基于状态检测的防火墙要求数据包必须从同一个接口进出。以DNS服务器配置为例,如图13-图14所示。
由于不同运营商及其网络互连的复杂性,电信和联通的用户按照上述策略访问学校资源是比较慢的,甚至有时不可到达。为了解决这个问题,我门将部分重要服务器,如:WWW、Mail、DNS等做了电信地址映射。对于来自电信和联通的访问,通过各自接口进入DMZ,通过设置电信源和联通地址策略路由,并结合访问规则把所有的返回包分别发往wan-tel和wan-cnc。配置实例如图15。
4.4 关键业务带宽保证
校园网内部用户实现域名地址解析的DNS服务器归属教育网域名系统,教育网根域名服务器是其上级服务器。由于我校教育网连接带宽为34M,保证DNS这些重要应用的带宽不被其它应用抢占是一个需要重视的问题。配置实例:
① 在防火墙上建立DNS服务器优先管道,定义优先级的初始值。
图16为DNS服务器优先管道
② 设置教育网的总带宽34Mbps,选择最高优先级为7的管道,赋予DNS服务器5Mbps的带宽。
图17为管道带宽。
③设置管道规则,保证DNS服务器访问教育网的上行和下行带宽。
图18为管道规则。
4.5 出口安全
1) 对来自内部并发数的控制
校园网用户众多且集中,来自网内任一IP地址的有意或无意攻击都可能造成网络出口阻塞,当病毒爆发或者当使用P2P应用时,单个IP会产生大量并发连接,或者黑客对网络设备进行DOS/DDOS攻击等,都将耗费网络资源[5]。
通过在防火墙流量管理中建立阀值规则,控制IP最大并发连接数来预防上述情况发生。我们在实际工作中对用户每秒TCP/UDP连接会话数设定了上限值为100,如图19所示。
2) 对外网安全防范
我校校园网运行中曾出现在一段时间来自电信运营线路反复振荡现象,造成网络不稳定。经故障排查,发现是电信运营网络内有arp欺骗造成。在防火墙接口模块上,我们针对外网三个接口做了静态地址绑定(接口MAC地址和IP地址进行关联),从而有效防止了线路振荡问题。静态地址绑定配置实例如图20。
3) 虚拟专用网(VPN)
虚拟专用网被定义为通过一个公用网络建立一个临时安全的连接,是一条穿过混乱的公用网络的安全稳定的隧道[6]。通过在防火墙上配置VPN服务,建立用户认证数据库、设置认证规则、分配IP地址及DNS等,实现了基于PPTP /L2TP连接技术的VPN,并建立了电信线路的VPN通道,为居住校外教师提供访问校园网内部资源服务。配置实例:
① 建立VPN用户认证数据库。
图21为VPN用户认证信息。
② 设置VPN基础信息。
图22为VPN网络地址信息。
③ 设置VPN访问规则。
图23为VPN规则信息。
4) 安全日志
根据相关规定,需保存校园网对外访问的应用日志信息,相关配置实例:
① 设置日志接收器。
图24为日志接收器。
② 在规则中勾选需记录的日志条目。
图25为日志生成记录。
③ 查看日志数据信息。
图26为日志数据信息。
5 小结
在出口防火墙进行策略路由的设计,实现了大量内网用户对有限出口带宽资源的合理使用,提高了资源利用率,有效的保护了校园网的安全[7]。在电信、联通出口实现NAT,选择禁止了内部局域网用户从教育网出口访问有偿服务网络资源,有效控制了国际流入量的费用。对于需要访问教育网出口的内部用户制定源地址路由。所有对校园网资源的访问,增加了相应的策略路由、安全策略和VPN通道,不仅为外网访问(包括:学校教师对校内资源访问)提供了途径,而且增强了内部网络的安全性。有效地解决了高校校园网多个对外出口结构下的内外网的通信应用。
参考文献:
[1] 陈志平.校园网络安全与防火墙技术[J].现代计算机, 2007, 25 (1):47-49.
[2] 熊晖.阿姆瑞特防火墙的管理器详解.阿姆瑞特(亚洲)网络有限公司, 2008.
[3] 肖诚.防火墙在校园网的应用[J].甘肃科技,2009,25(3):28-29.
[4] 谢希仁.计算机网络[M].北京: 电子工业出版社,2008.
[5] 熊晖.阿姆瑞特防火墙安全配置.阿姆瑞特(亚洲)网络有限公司, 2008.
[6] 张千里, 陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
[7] 田红风, 邸永峰.网络安全与防火墙[J].电脑开发与应用,1999,12(2):29-31.
关键词:策略路由;校园网;防火墙;网络;路由
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)01-0042-05
Multi-export Policy Routing of Campus Network Application Cases
GUO Jing, XIAO Cheng
(Modern Education Technology Center, Southwest Petroleum University, Chengdu 610500, China)
Abstract: The structure of campus network is complicated, including several outside interfaces apart from many users, which usually uses firewall to achieve communication with the external network. Improving the export of resource utilization and protection of the campus network security, it is very important to design detailed policy routing in firewall. Through the routing configuration, address translation, virtual private networks, traffic control, safety precautions and other research, especially rule-based policy routing and route backup, routing and NAT mixed access mode, the same interface plus NAT and other routing practices, which provides a kind of more efficient and reliable multi-export policy routing of campus network application cases.
Key words: policy routing; campus network; firewall; network; routing
1 概述
象高校校园网这样大型复杂的网络,对外往往使用多出口,需要根据学校的实际情况对防火墙做细致的路由选择设计,达到提高网络出口资源利用率,保护校园网的安全目的[1]。我校成都校区校园网虽然是多出口,但是出口资源仍然有限。为了保证有效使用出口带宽资源,我们对防火墙进行了详细设计、配置和调试,使用了五张路由表,每张表超过上百条路由数。特别是基于规则的策略路由和路由备份,路由和NAT混杂接入模式,同一接口路由加NAT等都是经典的应用[2]。上述策略的部署保证了该校区上万用户对外网访问的需求。
2 问题的提出
我校成都校区校园网有注册用户12000多人,有中国教育网(CERnet)、中国电信(TELnet)和中国联通(CNCnet)三个出口,总出口带宽为434Mbps。其中中国教育网出口仅为34Mbps。通过日志分析,平均同时在线人数在5000人左右,参看图1,同时在线人均获得带宽资源为86.8bps。与省内其他高校相比带宽资源是比较紧张的。
中国电信和中国联通实行包月制,无论使用流量多大,每月费用固定不变。由于通过这两个出口访问中国教育网的资源速度慢,并且中国教育网有些资源对外屏蔽,外网完全无法访问,所以只使用中国电信和中国联通出口,会造成无法正常访问中国教育网资源。中国教育网出口可以访问部分免费地址,其余地址的访问将会按照流量收费。完全通过中国教育网对外访问,则会造成网络资费过高。
基于速度、费用、资源利用等考虑,一般采用中国教育网出口访问其提供的免费地址列表资源。除此之外的资源,通过电信、联通提供的出口访问。参看图2校园网出口结构示意图。
当使用三个网络出口后,校园网要解决以下问题:
1) 校园网用户使用私有IP地址,能分别够通过wan-cer、wan-tel、wan-cnc三个出口访问不同的网络资源。
2) 校园网用户访问中国教育网的资源时,使用wan-cer出口。
3) 中国教育网用户访问我校校园网的Web、Mail、DNS等其他服务器,通过wan-cer线路入口进入DMZ。
4) 校园网用户访问电信商和国外等网络资源时,使用wan-tel、wan-cnc出口。
5) 电信和联通等外网用户,能够正常访问校园网的Web、Mail、DNS等其他服务器。
解决上述问题要求防火墙能够根据目的地址和源地址使用策略路由实现不同网络的接入。
3 路由设计
1) 直连路由
直连路由(接口路由),是数据包到达防火墙时,首先选择的路由信息表。它直接给出了网络访问的范围。如果被转发的数据包目标地址属于某网络,就直接将其转发到对应的接口。直连路由设计实例如表1[3]所示。
2) 静态路由
数据转发主要有静态路由来实现,它的优先级低于直连路由。在实际环境中,我们设计了校园内网、教育网、联通和电信四条静态路由主通道。静态路由设计如表2[3]所示。
3) 缺省路由
通过静态路由表检索,如果未发现所需要的路由网络,则将执行缺省路由。对缺省路由设计为:当内网用户访问Internet的数据包到达防火墙时,首先判断该包的目的地址是否在教育网内,符合条件就转发到wan-cer。如果不是,接着判断是否在联通网范围内,符合条件就转发到wan-cnc。如果也不是,就转发到默认接口wan-tel。
在配置缺省路由表时,从路由安全冗余考虑,我们实际上是设置两条缺省路由,主缺省路由为电信,备份缺省路由为联通,如表3[3]所示。在一般情况下电信路由表起作用,如果电信线路发生故障,该路由表将失去作用,这时会自动将联通线路切换为主线路,以保证缺省路由的存在。判断线路是否处于良好状态,是在监视器中通过设置路由表的实时监测度量值实现的。这个过程用户是察觉不到停顿的现象。
4) 策略路由
高校校园网一个重要的特点,是对Internent提供了web、mail、FTP、mail等比较齐全的网络应用服务。为了保证内外网都能正常访问这些服务器,我们使用了从防火墙不同接口过来数据包,按照原来的接口返回的路由策略。其策略路由如表4[3]所示。
需要说明的是表4中的四条路由必须配合相应的规则才能生效,例如:
PBR-cer用于服务器做教育网地址映射。如果访问该服务器的数据包来自电信,则必须使用该策略路由,将该包返回路由强行指向防火墙的教育网接口。
PBR-cer-first用于服务器做教育网地址映射。如果访问该服务器的数据包来自联通,则必须使用该策略路由,将该包返回路由强行指向防火墙的教育网接口。
PBR-tel用于服务器做电信地址映射。如果访问该服务器的数据包来自内网,则必须使用该条策略路由,将该包返回路由强行指向防火墙内网接口;如果访问该服务器的数据包来自其它接口(教育网、联通、电信),都强行返回防火墙上的电信接口。
PBR-cnc用于服务器做联通地址映射,如果访问该服务器的数据包来自内网,则必须使用该策略路由,将该包返回路由强行指向防火墙内网接口;如果访问该服务器的数据包来自其它接口(教育网、联通、电信),都强行返回防火墙上的联通接口。
以上路由的优先级别从高到低依次为:直连路由、静态路由、缺省路由、策略路由。
4 解决方案
4.1 内网用户访问外网资源
1) 静态路由接入方式
如图2所示,对访问教育网免费资源使用教育网出口,访问非免费地址则使用电信和联通出口,这样既避免了不必要的国际流量,又能提高访问速度。
在主路由表上配置静态路由,根据数据包目的方向决定包的路由方向。当内网用户主动发起访问外网连接时,根据该数据包的目的地址,决定将该包发往防火墙指定的端口。如:内网用户访问中国教育网时,发往wan-cer;访问电信资源时,则发往wan-tel。以教育网配置为例:
①置教育网路由,如图3所示。
②设置内网访问教育网规则,如图4所示。
2)冗余缺省路由
当要访问的目的地址不存在静态路由表中时,选定电信线路作为缺省,将数据包发往wan-tel接口, 通过该接口进行包转发。如果电信线路发生故障,联通wan-cnc自动升级为缺省路由,实现校园网出口冗余。配置实例:
① 别为两条缺省路由设定不同度量值。
图5为缺省电信路由表;图6灾缺省联通路由表。
② 通过监视器监控路由故障,查寻ARP响应时间来判断链路的质量,我们设置的参数为1000ms。
图7为路由监视器。
3) 基于源地址的策略路由
如果要求部分内网用户只能访问中国教育网,可以设定源地址路由来限定这些用户只能通过wan-cer出口对外访问。配置实例:
① 置需要限定的用户子网,如:172.16.64.0/19,该子网名称为Net_LAN-2。
图8为设定网段。
② 应用策略规则,将子网Net_LAN-2绑定到wan-cer。
图9为策略规则。
4.2 对外访问地址转换和透明接入
1) 动态地址转换(NAT)
网络地址转换是一种将一个IP地址域映射到另一个IP地址域技术,它常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题[4]。考虑到校园网对外连接是多出口,电信与联通分配的合法地址数量有限,内部使用私有地址部署等因素,内网用户访问外网资源时,利用静态路由表和缺省路由表进行路由选择。当数据包匹配了出口路由同时,还必须经过地址转换才能实现通信。在三个对外接口上,我们分别采用接口地址对要访问外网的用户地址进行动态地址转换。利用防火墙动态地址转换机制,同时转换源地址和接口地址的端口,理论上可以将一个地址转换成无数个地址。配置实例如图10。
2) 透明接入
内网部分服务器使用教育网地址,需在防火墙上建立二层透明路由使其与外界通信。配置实例:
① 将要作透明的接口定义到一个接口组中,即包含教育网地址的内网接口和三个外网接口。
图11为透明接口组。
② 将透明接口组添加至二层透明路由表中。
图12为二层透明路由表。
4.3 外网访问校园网资源
我校对外提供访问的服务器使用的是教育网地址,怎样解决不同网络对这些服务器的访问呢?解决方法是按照数据包发起方向来决定包的路由方向。
对于来自教育网访问的设置相对简单,通过wan-cer进入DMZ即可。对于来自电信和联通的访问,则通过防火墙源地址策略路由,并结合访问规则把所有的返回数据包发往wan-cer,以保证正常的通信。这是因为基于状态检测的防火墙要求数据包必须从同一个接口进出。以DNS服务器配置为例,如图13-图14所示。
由于不同运营商及其网络互连的复杂性,电信和联通的用户按照上述策略访问学校资源是比较慢的,甚至有时不可到达。为了解决这个问题,我门将部分重要服务器,如:WWW、Mail、DNS等做了电信地址映射。对于来自电信和联通的访问,通过各自接口进入DMZ,通过设置电信源和联通地址策略路由,并结合访问规则把所有的返回包分别发往wan-tel和wan-cnc。配置实例如图15。
4.4 关键业务带宽保证
校园网内部用户实现域名地址解析的DNS服务器归属教育网域名系统,教育网根域名服务器是其上级服务器。由于我校教育网连接带宽为34M,保证DNS这些重要应用的带宽不被其它应用抢占是一个需要重视的问题。配置实例:
① 在防火墙上建立DNS服务器优先管道,定义优先级的初始值。
图16为DNS服务器优先管道
② 设置教育网的总带宽34Mbps,选择最高优先级为7的管道,赋予DNS服务器5Mbps的带宽。
图17为管道带宽。
③设置管道规则,保证DNS服务器访问教育网的上行和下行带宽。
图18为管道规则。
4.5 出口安全
1) 对来自内部并发数的控制
校园网用户众多且集中,来自网内任一IP地址的有意或无意攻击都可能造成网络出口阻塞,当病毒爆发或者当使用P2P应用时,单个IP会产生大量并发连接,或者黑客对网络设备进行DOS/DDOS攻击等,都将耗费网络资源[5]。
通过在防火墙流量管理中建立阀值规则,控制IP最大并发连接数来预防上述情况发生。我们在实际工作中对用户每秒TCP/UDP连接会话数设定了上限值为100,如图19所示。
2) 对外网安全防范
我校校园网运行中曾出现在一段时间来自电信运营线路反复振荡现象,造成网络不稳定。经故障排查,发现是电信运营网络内有arp欺骗造成。在防火墙接口模块上,我们针对外网三个接口做了静态地址绑定(接口MAC地址和IP地址进行关联),从而有效防止了线路振荡问题。静态地址绑定配置实例如图20。
3) 虚拟专用网(VPN)
虚拟专用网被定义为通过一个公用网络建立一个临时安全的连接,是一条穿过混乱的公用网络的安全稳定的隧道[6]。通过在防火墙上配置VPN服务,建立用户认证数据库、设置认证规则、分配IP地址及DNS等,实现了基于PPTP /L2TP连接技术的VPN,并建立了电信线路的VPN通道,为居住校外教师提供访问校园网内部资源服务。配置实例:
① 建立VPN用户认证数据库。
图21为VPN用户认证信息。
② 设置VPN基础信息。
图22为VPN网络地址信息。
③ 设置VPN访问规则。
图23为VPN规则信息。
4) 安全日志
根据相关规定,需保存校园网对外访问的应用日志信息,相关配置实例:
① 设置日志接收器。
图24为日志接收器。
② 在规则中勾选需记录的日志条目。
图25为日志生成记录。
③ 查看日志数据信息。
图26为日志数据信息。
5 小结
在出口防火墙进行策略路由的设计,实现了大量内网用户对有限出口带宽资源的合理使用,提高了资源利用率,有效的保护了校园网的安全[7]。在电信、联通出口实现NAT,选择禁止了内部局域网用户从教育网出口访问有偿服务网络资源,有效控制了国际流入量的费用。对于需要访问教育网出口的内部用户制定源地址路由。所有对校园网资源的访问,增加了相应的策略路由、安全策略和VPN通道,不仅为外网访问(包括:学校教师对校内资源访问)提供了途径,而且增强了内部网络的安全性。有效地解决了高校校园网多个对外出口结构下的内外网的通信应用。
参考文献:
[1] 陈志平.校园网络安全与防火墙技术[J].现代计算机, 2007, 25 (1):47-49.
[2] 熊晖.阿姆瑞特防火墙的管理器详解.阿姆瑞特(亚洲)网络有限公司, 2008.
[3] 肖诚.防火墙在校园网的应用[J].甘肃科技,2009,25(3):28-29.
[4] 谢希仁.计算机网络[M].北京: 电子工业出版社,2008.
[5] 熊晖.阿姆瑞特防火墙安全配置.阿姆瑞特(亚洲)网络有限公司, 2008.
[6] 张千里, 陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
[7] 田红风, 邸永峰.网络安全与防火墙[J].电脑开发与应用,1999,12(2):29-31.