馬朝輝

摘要：隨著時(shí)代的發(fā)展，防火墻安全課程已經(jīng)成為了絕大多數(shù)高等院校的必修課或?qū)I(yè)選修課。如何指導(dǎo)學(xué)生學(xué)好防火墻安全方面的專業(yè)知識(shí)，如何更大限度的將安全理論用于實(shí)踐已經(jīng)成為防火墻安全課程的核心點(diǎn)。本文以思科防火墻設(shè)備里面的VRF為例，通過一個(gè)詳細(xì)案例步步剖析以達(dá)到正確理解和牢固掌握防火墻相關(guān)知識(shí)并引導(dǎo)學(xué)生樹立正確的學(xué)習(xí)觀。

關(guān)鍵詞：VRF；防火墻；安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）31-0021-03

近日，廣東省教育廳透露，廣東省發(fā)改委、教育廳、財(cái)政廳等部門近期將對(duì)不受學(xué)生歡迎的課程，不積極投入教學(xué)或者授課水平較差教師逐步予以淘汰，從而形成教師教學(xué)競爭和淘汰機(jī)制 [1]。教好一門課程是教師的天職，同樣的一門課程有的老師講授出來學(xué)生大呼受益，而有些老師講課學(xué)生呼呼大睡?？梢娬n程教學(xué)方法非常重要。在眾多課程中，防火墻安全是網(wǎng)絡(luò)專業(yè)的專業(yè)必修課，也是絕大多數(shù)工科院校學(xué)生首選專業(yè)課，學(xué)好防火墻安全對(duì)學(xué)生來說有章可循，對(duì)教師來說也將有很多值得總結(jié)的地方。本文以防火墻安全里VRF技術(shù)為例，通過詳細(xì)步驟研究ZONE-BASE防火墻的具體實(shí)現(xiàn)。

1 VRF簡介

VRF（Virtual Routing Forwarding）即虛擬路由轉(zhuǎn)發(fā)的意思。在路由器里面，該技術(shù)可以將一臺(tái)實(shí)際的物理路由器劃分成相互隔離的N臺(tái)虛擬路由器。防火墻啟用VRF技術(shù)，即將防火墻分割成多臺(tái)虛擬防火墻。

在一臺(tái)防火墻上啟用N個(gè)VRF后，意味著該防火墻分割成了（N+1）臺(tái)防火墻，能很好地起到隔離用戶數(shù)據(jù)作用，保護(hù)數(shù)據(jù)安全。例如某一臺(tái)路由器型防火墻共有三個(gè)接口，分別是F0/0，F(xiàn)0/1和F0/2。在該防火墻上啟用兩個(gè)VRF：gdufs1，gdufs2；并將F0/0，F(xiàn)0/1接口分別劃分到gdufs1，gdufs2。分別執(zhí)行查看路由表操作，如下：

FW#showip route

執(zhí)行結(jié)果顯示，只可以查看到F0/2口網(wǎng)段對(duì)應(yīng)的路由條目；

FW#showip routevrf gdufs1

執(zhí)行結(jié)果顯示，只可以查看到F0/0口網(wǎng)段對(duì)應(yīng)的路由條目；

FW#showip routevrf gdufs2

執(zhí)行結(jié)果顯示，只可以查看到F0/1口網(wǎng)段對(duì)應(yīng)的路由條目。

由此可見，該路由器型防火墻被分割成三臺(tái)防火墻，即一臺(tái)實(shí)際防火墻和兩臺(tái)虛擬防火墻，三個(gè)接口分別歸屬于其中的一臺(tái)防火墻，接口之間實(shí)現(xiàn)了隔離，不同接口的數(shù)據(jù)在默認(rèn)策略下是無法相互訪問的，保證了數(shù)據(jù)的安全。

2 ZONE-BASE防火墻

ZONE就是區(qū)域，ZONE-BASE防火墻就是基于區(qū)域劃分的一種新技術(shù)。因?yàn)閰^(qū)域化分防火墻是基于區(qū)域的，策略也只能在區(qū)域間傳遞數(shù)據(jù)時(shí)才生效，在區(qū)域內(nèi)是不生效的，所以我們就可以將需要使用策略的接口劃入不同的區(qū)域，這樣就可以應(yīng)用我們想要的策略[2]。但是，有時(shí)某些接口之間可能不需要彼此使用策略，那么這樣的接口只要?jiǎng)澣胪粋€(gè)區(qū)域，它們之間就可以任意互訪了。ZONE是應(yīng)用防火墻策略的最小單位，一個(gè)ZONE中可以包含一個(gè)接口，也可以包含很多接口。

ZONE-BASE防火墻是一門實(shí)踐性非常強(qiáng)的課程，注重培養(yǎng)學(xué)生網(wǎng)絡(luò)安全方面能力，同時(shí)也要求學(xué)生能掌握一定網(wǎng)絡(luò)基礎(chǔ)理論知識(shí)[3]。課程主要包括幾大模塊：ZONE-BASE策略透明防火墻，ZONE-BASE策略虛擬防火墻，ZONE-BASE策略防火墻NAT技術(shù)，ZONE-BASE策略虛擬防火墻應(yīng)用層過濾方法等。筆者在幾屆的教學(xué)過程中發(fā)現(xiàn)很多同學(xué)在學(xué)習(xí)ZONE-BASE策略虛擬防火墻技術(shù)時(shí)碰到許多困惑，在此，我將通過一個(gè)實(shí)例同大家一起分享在VRF里面采用ZONE BASE實(shí)現(xiàn)防火墻的學(xué)習(xí)心得。

3 基于VRF技術(shù)的ZONE-BASE防火墻具體配置和實(shí)現(xiàn)

本文采用思科模擬器GNS3搭建實(shí)驗(yàn)拓?fù)鋱D，拓?fù)鋱D包括內(nèi)網(wǎng)和外網(wǎng)兩大塊，內(nèi)網(wǎng)部署一臺(tái)簡單的PC，外網(wǎng)架構(gòu)一臺(tái)服務(wù)器，中間是一臺(tái)兩接口的防火墻，如圖一所示。本實(shí)驗(yàn)為了簡單起見，只在防火墻上啟用一個(gè)VRF，防火墻的兩個(gè)接口都劃分到該VRF中。實(shí)驗(yàn)最終目的是在該虛擬防火墻中進(jìn)行策略配置，滿足用戶需求，具體策略見3.1要求。

3.1 需求描述

在圖1的拓?fù)鋱D中，顯示了各個(gè)設(shè)備名稱，網(wǎng)段，IP地址等。

具體需求：在VRF下配置虛ZONE-BASE策略，完成以下動(dòng)作：

放行從內(nèi)到外的UDP/ICMP/FTP/TELNET流量。并要求在內(nèi)網(wǎng)的PC進(jìn)行ping外部服務(wù)器的測試以及遠(yuǎn)程登錄（telnet）外部服務(wù)器測試。

IP地址分配見表1：

表1 設(shè)備IP地址一覽表

[＼&IP地址＼&子網(wǎng)掩碼＼&默認(rèn)網(wǎng)關(guān)＼&防火墻＼&F0/0＼&202.100.1.10＼&255.255.255.0＼&------------------＼&F0/1＼&192.168.1.10＼&255.255.255.0＼&------------------＼&外網(wǎng)服務(wù)器＼&F0/0＼&202.100.1.1＼&255.255.255.0＼&202.100.1.10＼&內(nèi)網(wǎng)PC＼&F0/1＼&192.168.1.1＼&255.255.2550＼&192168.1.10＼&]

3.2 實(shí)驗(yàn)拓?fù)?/p>

為了幫助學(xué)生輕松理解VRF及在VRF里進(jìn)行防火墻的策略設(shè)置，我們采用了如下拓?fù)浣Y(jié)構(gòu)：

圖1 網(wǎng)絡(luò)拓?fù)鋱D

3.3 配置步驟

步驟1：按照表1IP規(guī)劃，給服務(wù)器，防火墻以及內(nèi)網(wǎng)PC各個(gè)接口進(jìn)行

正確的IP設(shè)置。實(shí)現(xiàn)效果是內(nèi)網(wǎng)可以連通，外網(wǎng)之間也能連通；

步驟2：分別在服務(wù)器和內(nèi)部PC設(shè)置一條默認(rèn)路由指向防火墻，保證內(nèi)網(wǎng)和外網(wǎng)之間連通，服務(wù)器設(shè)置默認(rèn)路由方法如下：

Server（conf）#ip route 0.0.0.0 0.0.0.0 202.100.1.10

步驟3：在防火墻上創(chuàng)建一個(gè)VRF，取名“gdufs”，并將相應(yīng)接口加入到VRF轉(zhuǎn)發(fā)表項(xiàng)中。完成這一步必須特別小心，因?yàn)樵瓉斫涌谒渲玫腎P地址已經(jīng)沒了，需要重新進(jìn)行配置。

Ipvrfgdufs

Int f0/0

Ipvrfforwarding gdufs

步驟4：在防火墻定義兩個(gè)ZONE（區(qū)域），分別是內(nèi)部區(qū)域INSIDE和外部區(qū)域OUTSIDE， 然后將防火墻的f0/0口和f0/1口對(duì)應(yīng)加入到外部區(qū)域和內(nèi)部區(qū)域：

FW（config）#ZONE SECURITY INSIDE //定義內(nèi)部ZONE：INSIDE

FW（config）#ZONE SECURITY OUTSIDE //定義外部ZONE：OUTSIDE

FW（config）#int f0/0

FW（config-if）#ZONE MEMBER SECURITY INSIDE //f0/0接口加入到INSIDE

FW（config）#int f0/1

FW（config -if）#ZONE MEMBER SECURITY OUTSIDE //f0/1接口加入到OUTSIDE

完成第四步后測試：

PC#PING 202.100.1.1

PC#TELNET 202.100.1.1

結(jié)果既不能拼通，也不能遠(yuǎn)程管理。

分析原因：VRF內(nèi)部不同的ZONE之間流量默認(rèn)是拒絕訪問。

步驟5：在防火墻上創(chuàng)建Class-map，匹配要放行的流量。設(shè)置如下：

FW（config）#class-map type inspect match-any in-to-out.class

FW（config）#Match protocol telnet/udp/icmp/ftp

步驟6：在防火墻上創(chuàng)建Policy-map，調(diào)用第五步創(chuàng)建的class-map，采取放行動(dòng)作，從而實(shí)現(xiàn)了對(duì)第五步匹配的流量或協(xié)議放行。設(shè)置如下：

FW（config）#policy-map type inspect in-to-out.poly //創(chuàng)建policy-map

FW（config）# class type insect in-to-out.class //調(diào)用class-map

FW（config）#inspect //放行

步驟7：在防火墻上創(chuàng)建zone-pair，即區(qū)域?qū)?，調(diào)用第六步創(chuàng)建的policy-map，從而實(shí)現(xiàn)內(nèi)部區(qū)域到外部區(qū)域的流量放行

FW（config）#zone-pair security in-to-out-pair source INSIDE destination OUTSIDE

FW（config）# service-policy type inspect in-to-out.poli//調(diào)用policy-map

完成第七步后測試：

PC#ping 202.100.1.1

Pinging 202.100.1.1 with 32 bytes of data：

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=15ms TTL=255

PC#telnet 202.100.1.1

結(jié)果既能拼通，也能遠(yuǎn)程管理。

3.4 結(jié)論

在VRF里面定義兩個(gè)ZONE，并將防火墻兩個(gè)接口分別加入到不同ZONE，默認(rèn)情況下ZONE之間流量是禁止訪問的，內(nèi)部接口和外部接口無法相互訪問。通過進(jìn)行策略的設(shè)置可以實(shí)現(xiàn)對(duì)指定流量放行處理，從而實(shí)現(xiàn)安全可靠地放行允許的流量，對(duì)不必要的其他流量采取了阻斷處理，保證了相關(guān)數(shù)據(jù)的安全。整個(gè)實(shí)驗(yàn)的演示過程可以很好的幫助學(xué)生理解VRF，ZONE，ZONE之間策略等含義。步驟1到步驟7演示表明，在VRF里面基于ZONE_BASE進(jìn)行策略的設(shè)置切實(shí)可行。

4 結(jié)束語

通過詳細(xì)的實(shí)驗(yàn)步驟來幫助學(xué)生掌握防火墻課程中碰到的難點(diǎn)知識(shí)非常可行。筆者在教學(xué)過程中一直秉承在實(shí)踐教學(xué)中教理論，讓枯燥的理論變得簡單，有趣。學(xué)生不再覺得防火墻課程理論晦澀，不好懂，反而有更多的學(xué)生喜歡上這門課程。防火墻課程不但提高了學(xué)生的動(dòng)手能力和競爭力，而且對(duì)于他們更好的學(xué)習(xí)其他課程提供了一定借鑒意義。

參考文獻(xiàn)：

[1] 知識(shí)并非都是有趣的不受歡迎的課該淘汰嗎？（2014-10-10）.http：//www.nxnews.net/jy/system/2014/10/10/011060933.shtml.

[2] 于婷婷. 淺談Internet防火墻技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（4）.

[3] Zone-base-FW基于區(qū)域防火墻[EB/OL].（2011-9-9）. http：//3y.uu456.com/bp-cass7446a300a6c30c22qfqd-1.html.