網(wǎng)絡(luò)安全近些年來(lái)一直是網(wǎng)絡(luò)運(yùn)維人員老生常談的話題，那么如何實(shí)現(xiàn)網(wǎng)絡(luò)安全呢？從最常見的硬件防護(hù)到軟件加固，這些都是增加網(wǎng)絡(luò)安全的必要因素。筆者認(rèn)為網(wǎng)絡(luò)安全是一個(gè)持久堅(jiān)持不懈的工作，只有在網(wǎng)絡(luò)運(yùn)維過(guò)程中不斷的發(fā)現(xiàn)問(wèn)題，解決問(wèn)題這是一個(gè)途徑，還有就是在網(wǎng)絡(luò)開通初期就要盡可能向網(wǎng)絡(luò)安全方面考慮，只有養(yǎng)成良好的習(xí)慣，才能將工作達(dá)到事半功倍的效果。

本文將從一次網(wǎng)絡(luò)開通開始講起，在考慮網(wǎng)絡(luò)正常通訊的同時(shí)，較好的利用策略路由來(lái)實(shí)現(xiàn)網(wǎng)段間的限制訪問(wèn)。從而在一定程度上保證了網(wǎng)絡(luò)的安全。接下來(lái)就詳細(xì)介紹一下網(wǎng)絡(luò)實(shí)現(xiàn)的全過(guò)程。

近日，某托管服務(wù)器計(jì)劃部署在筆者單位數(shù)據(jù)核心機(jī)房，并且需要滿足該總部和分部辦公用戶能夠訪問(wèn)，由于該服務(wù)器的性質(zhì)特殊，該專線單位還提出了一個(gè)要求，只允許該總部和和分部辦公用戶（可以訪問(wèn)Internet）訪問(wèn)。簡(jiǎn)單的講就是服務(wù)器只允許該單位授權(quán)用戶訪問(wèn)，其他是不可以訪問(wèn)的。

知悉該網(wǎng)絡(luò)需求后，結(jié)合單位網(wǎng)絡(luò)拓?fù)鋵?shí)際情況，計(jì)劃對(duì)該專線用戶的辦公區(qū)進(jìn)行互聯(lián)網(wǎng)覆蓋，由于該專線用戶群體比較大，從易管理、易調(diào)度的角度考慮為該專線用戶分配了一個(gè)域名即@nwzx,為實(shí)現(xiàn)特定群體訪問(wèn)服務(wù)器，那么這里我們就定義只有該域名的用戶可以訪問(wèn)服務(wù)器，要想實(shí)現(xiàn)限制用戶訪問(wèn)服務(wù)器有二種方案可供選擇。

方案一，由于全網(wǎng)BGP和ISIS路由可達(dá)，服務(wù)器和核心路由器三層互聯(lián)后，該服務(wù)器的網(wǎng)段作為路由器的直連路由會(huì)全網(wǎng)通告，毫無(wú)安全可言，對(duì)網(wǎng)段進(jìn)行限制發(fā)布和學(xué)習(xí)可以使用路由策略來(lái)解決。

方案二，在服務(wù)器接入網(wǎng)絡(luò)前安裝硬件防火墻，使用安全策略以及地址轉(zhuǎn)換的方法進(jìn)行防護(hù)。簡(jiǎn)單了解完兩種解決方案后，接下來(lái)比較下兩種方案的優(yōu)缺點(diǎn)，以便于從兩種方案中選出比較好的辦法來(lái)解決問(wèn)題。

方案一是在現(xiàn)有的動(dòng)態(tài)路由的基礎(chǔ)上增加路由策略，這里即然提到路由策略，我們就先簡(jiǎn)單了解下路由策略的概念，路由策略是根據(jù)一些規(guī)則，使用某種策略改變規(guī)則中影響路由發(fā)布、接收或路由選擇的參數(shù)而改變路由發(fā)現(xiàn)的結(jié)果，最終改變的是路由表的內(nèi)容。是在路由發(fā)現(xiàn)的時(shí)候產(chǎn)生作用。這是基于軟件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全的一種辦法。方案二是使用硬件防火墻進(jìn)行防護(hù)，同時(shí)增加了NAT地址的轉(zhuǎn)換，另外使用防火墻自身所帶的一些安全防護(hù)策略，從而保證了服務(wù)器的安全，如果從服務(wù)器安全角度考慮，第二種方案是不二的選擇。既然方案二作為此次網(wǎng)絡(luò)部署的方案，那么就按照方案二中的辦法進(jìn)行網(wǎng)絡(luò)搭建。具體的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

通過(guò)圖1可以看到服務(wù)器位于防火墻的后方，防火墻連接核心路由器，專線辦公用戶使用PPPOE撥號(hào)到BRAS，然后BRAS設(shè)備連接核心路由器，這樣一個(gè)流程下來(lái)，就實(shí)現(xiàn)了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的搭建。

接下來(lái)詳細(xì)介紹一下網(wǎng)絡(luò)設(shè)備的配置，首先從防火墻的配置開始，這次在連接服務(wù)器的端口不再簡(jiǎn)單的使用一些ACL來(lái)進(jìn)行限制，而是使用較常見策略路由的辦法來(lái)實(shí)現(xiàn)。這也是本文的重點(diǎn)。

由于該防火墻是Web配置頁(yè)面，在敘述設(shè)備配置時(shí)候，如果使用截圖來(lái)介紹，不大形象，這里采用圖表的方式，即將配置的步驟使用圖表的方式一一呈現(xiàn)出來(lái)，只是方式不同，但是圖表更能形象的將配置步驟展現(xiàn)出來(lái)。策略路由的配置方法如表1所示。

表1 策略路由配置步驟

通過(guò)表1中的策略路由配置，我們可以清晰地看到，訪問(wèn)服務(wù)器的網(wǎng)段只有10.116.99.0/24這一網(wǎng)段，也就是說(shuō)只有該網(wǎng)段可以訪問(wèn)服務(wù)器，而且服務(wù)這里只開啟了HTTP服務(wù)。完成策略路由的配置后，接下來(lái)我們?cè)诜阑饓ι蠈?duì)服務(wù)器添加安全策略，這里的安全策略也是和剛剛配置的策略路由互相補(bǔ)充，主要從CF（內(nèi)容過(guò)濾）、IDS（入侵偵測(cè)）、IPS（入侵防護(hù)）三方面進(jìn)行了設(shè)置。完成上面的操作后，同時(shí)也將服務(wù)器使用Linux系統(tǒng)，因?yàn)長(zhǎng)inux系統(tǒng)很少被病毒攻擊，同時(shí)將在該操作系統(tǒng)內(nèi)部部署防火墻策略，進(jìn)一步穩(wěn)固了網(wǎng)絡(luò)安全。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

上面通過(guò)對(duì)專線單位網(wǎng)絡(luò)需求進(jìn)行了分析，然后提出了兩種解決方案，并對(duì)兩種方案的可行性進(jìn)行了比較，最后得出使用硬件防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全這一需求。

本文通過(guò)使用策略路由、防火墻自帶安全防護(hù)策略以及操作系統(tǒng)的選擇上，多方面來(lái)增加網(wǎng)絡(luò)安全的系數(shù)。通過(guò)這三步完成了防火墻的一個(gè)基本初級(jí)防護(hù)。

總之，安全只有相對(duì)而言，可以說(shuō)沒有絕對(duì)的安全。但是作為網(wǎng)絡(luò)運(yùn)維人員，只有把網(wǎng)絡(luò)安全融入到網(wǎng)絡(luò)運(yùn)維中去，這種點(diǎn)點(diǎn)滴滴的積累才能為網(wǎng)絡(luò)安全打下基礎(chǔ)，這樣才不至于在每一次網(wǎng)絡(luò)的開通，都埋下一個(gè)安全隱患。