馬朝輝

摘要：隨著時代的發(fā)展，防火墻安全課程已經(jīng)成為了絕大多數(shù)高等院校的必修課或?qū)I(yè)選修課。如何指導(dǎo)學(xué)生學(xué)好防火墻安全方面的專業(yè)知識，如何更大限度的將安全理論用于實踐已經(jīng)成為防火墻安全課程的核心點。本文以思科防火墻設(shè)備里面的VRF為例，通過一個詳細案例步步剖析以達到正確理解和牢固掌握防火墻相關(guān)知識并引導(dǎo)學(xué)生樹立正確的學(xué)習(xí)觀。

關(guān)鍵詞：VRF；防火墻；安全

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）31-0021-03

近日，廣東省教育廳透露，廣東省發(fā)改委、教育廳、財政廳等部門近期將對不受學(xué)生歡迎的課程，不積極投入教學(xué)或者授課水平較差教師逐步予以淘汰，從而形成教師教學(xué)競爭和淘汰機制 [1]。教好一門課程是教師的天職，同樣的一門課程有的老師講授出來學(xué)生大呼受益，而有些老師講課學(xué)生呼呼大睡?？梢娬n程教學(xué)方法非常重要。在眾多課程中，防火墻安全是網(wǎng)絡(luò)專業(yè)的專業(yè)必修課，也是絕大多數(shù)工科院校學(xué)生首選專業(yè)課，學(xué)好防火墻安全對學(xué)生來說有章可循，對教師來說也將有很多值得總結(jié)的地方。本文以防火墻安全里VRF技術(shù)為例，通過詳細步驟研究ZONE-BASE防火墻的具體實現(xiàn)。

1 VRF簡介

VRF（Virtual Routing Forwarding）即虛擬路由轉(zhuǎn)發(fā)的意思。在路由器里面，該技術(shù)可以將一臺實際的物理路由器劃分成相互隔離的N臺虛擬路由器。防火墻啟用VRF技術(shù)，即將防火墻分割成多臺虛擬防火墻。

在一臺防火墻上啟用N個VRF后，意味著該防火墻分割成了（N+1）臺防火墻，能很好地起到隔離用戶數(shù)據(jù)作用，保護數(shù)據(jù)安全。例如某一臺路由器型防火墻共有三個接口，分別是F0/0，F(xiàn)0/1和F0/2。在該防火墻上啟用兩個VRF：gdufs1，gdufs2；并將F0/0，F(xiàn)0/1接口分別劃分到gdufs1，gdufs2。分別執(zhí)行查看路由表操作，如下：

FW#showip route

執(zhí)行結(jié)果顯示，只可以查看到F0/2口網(wǎng)段對應(yīng)的路由條目；

FW#showip routevrf gdufs1

執(zhí)行結(jié)果顯示，只可以查看到F0/0口網(wǎng)段對應(yīng)的路由條目；

FW#showip routevrf gdufs2

執(zhí)行結(jié)果顯示，只可以查看到F0/1口網(wǎng)段對應(yīng)的路由條目。

由此可見，該路由器型防火墻被分割成三臺防火墻，即一臺實際防火墻和兩臺虛擬防火墻，三個接口分別歸屬于其中的一臺防火墻，接口之間實現(xiàn)了隔離，不同接口的數(shù)據(jù)在默認策略下是無法相互訪問的，保證了數(shù)據(jù)的安全。

2 ZONE-BASE防火墻

ZONE就是區(qū)域，ZONE-BASE防火墻就是基于區(qū)域劃分的一種新技術(shù)。因為區(qū)域化分防火墻是基于區(qū)域的，策略也只能在區(qū)域間傳遞數(shù)據(jù)時才生效，在區(qū)域內(nèi)是不生效的，所以我們就可以將需要使用策略的接口劃入不同的區(qū)域，這樣就可以應(yīng)用我們想要的策略[2]。但是，有時某些接口之間可能不需要彼此使用策略，那么這樣的接口只要劃入同一個區(qū)域，它們之間就可以任意互訪了。ZONE是應(yīng)用防火墻策略的最小單位，一個ZONE中可以包含一個接口，也可以包含很多接口。

ZONE-BASE防火墻是一門實踐性非常強的課程，注重培養(yǎng)學(xué)生網(wǎng)絡(luò)安全方面能力，同時也要求學(xué)生能掌握一定網(wǎng)絡(luò)基礎(chǔ)理論知識[3]。課程主要包括幾大模塊：ZONE-BASE策略透明防火墻，ZONE-BASE策略虛擬防火墻，ZONE-BASE策略防火墻NAT技術(shù)，ZONE-BASE策略虛擬防火墻應(yīng)用層過濾方法等。筆者在幾屆的教學(xué)過程中發(fā)現(xiàn)很多同學(xué)在學(xué)習(xí)ZONE-BASE策略虛擬防火墻技術(shù)時碰到許多困惑，在此，我將通過一個實例同大家一起分享在VRF里面采用ZONE BASE實現(xiàn)防火墻的學(xué)習(xí)心得。

3 基于VRF技術(shù)的ZONE-BASE防火墻具體配置和實現(xiàn)

本文采用思科模擬器GNS3搭建實驗拓撲圖，拓撲圖包括內(nèi)網(wǎng)和外網(wǎng)兩大塊，內(nèi)網(wǎng)部署一臺簡單的PC，外網(wǎng)架構(gòu)一臺服務(wù)器，中間是一臺兩接口的防火墻，如圖一所示。本實驗為了簡單起見，只在防火墻上啟用一個VRF，防火墻的兩個接口都劃分到該VRF中。實驗最終目的是在該虛擬防火墻中進行策略配置，滿足用戶需求，具體策略見3.1要求。

3.1 需求描述

在圖1的拓撲圖中，顯示了各個設(shè)備名稱，網(wǎng)段，IP地址等。

具體需求：在VRF下配置虛ZONE-BASE策略，完成以下動作：

放行從內(nèi)到外的UDP/ICMP/FTP/TELNET流量。并要求在內(nèi)網(wǎng)的PC進行ping外部服務(wù)器的測試以及遠程登錄（telnet）外部服務(wù)器測試。

IP地址分配見表1：

表1 設(shè)備IP地址一覽表

[＼&IP地址＼&子網(wǎng)掩碼＼&默認網(wǎng)關(guān)＼&防火墻＼&F0/0＼&202.100.1.10＼&255.255.255.0＼&------------------＼&F0/1＼&192.168.1.10＼&255.255.255.0＼&------------------＼&外網(wǎng)服務(wù)器＼&F0/0＼&202.100.1.1＼&255.255.255.0＼&202.100.1.10＼&內(nèi)網(wǎng)PC＼&F0/1＼&192.168.1.1＼&255.255.2550＼&192168.1.10＼&]

3.2 實驗拓撲

為了幫助學(xué)生輕松理解VRF及在VRF里進行防火墻的策略設(shè)置，我們采用了如下拓撲結(jié)構(gòu)：

圖1 網(wǎng)絡(luò)拓撲圖

3.3 配置步驟

步驟1：按照表1IP規(guī)劃，給服務(wù)器，防火墻以及內(nèi)網(wǎng)PC各個接口進行

正確的IP設(shè)置。實現(xiàn)效果是內(nèi)網(wǎng)可以連通，外網(wǎng)之間也能連通；

步驟2：分別在服務(wù)器和內(nèi)部PC設(shè)置一條默認路由指向防火墻，保證內(nèi)網(wǎng)和外網(wǎng)之間連通，服務(wù)器設(shè)置默認路由方法如下：

Server（conf）#ip route 0.0.0.0 0.0.0.0 202.100.1.10

步驟3：在防火墻上創(chuàng)建一個VRF，取名“gdufs”，并將相應(yīng)接口加入到VRF轉(zhuǎn)發(fā)表項中。完成這一步必須特別小心，因為原來接口所配置的IP地址已經(jīng)沒了，需要重新進行配置。

Ipvrfgdufs

Int f0/0

Ipvrfforwarding gdufs

步驟4：在防火墻定義兩個ZONE（區(qū)域），分別是內(nèi)部區(qū)域INSIDE和外部區(qū)域OUTSIDE， 然后將防火墻的f0/0口和f0/1口對應(yīng)加入到外部區(qū)域和內(nèi)部區(qū)域：

FW（config）#ZONE SECURITY INSIDE //定義內(nèi)部ZONE：INSIDE

FW（config）#ZONE SECURITY OUTSIDE //定義外部ZONE：OUTSIDE

FW（config）#int f0/0

FW（config-if）#ZONE MEMBER SECURITY INSIDE //f0/0接口加入到INSIDE

FW（config）#int f0/1

FW（config -if）#ZONE MEMBER SECURITY OUTSIDE //f0/1接口加入到OUTSIDE

完成第四步后測試：

PC#PING 202.100.1.1

PC#TELNET 202.100.1.1

結(jié)果既不能拼通，也不能遠程管理。

分析原因：VRF內(nèi)部不同的ZONE之間流量默認是拒絕訪問。

步驟5：在防火墻上創(chuàng)建Class-map，匹配要放行的流量。設(shè)置如下：

FW（config）#class-map type inspect match-any in-to-out.class

FW（config）#Match protocol telnet/udp/icmp/ftp

步驟6：在防火墻上創(chuàng)建Policy-map，調(diào)用第五步創(chuàng)建的class-map，采取放行動作，從而實現(xiàn)了對第五步匹配的流量或協(xié)議放行。設(shè)置如下：

FW（config）#policy-map type inspect in-to-out.poly //創(chuàng)建policy-map

FW（config）# class type insect in-to-out.class //調(diào)用class-map

FW（config）#inspect //放行

步驟7：在防火墻上創(chuàng)建zone-pair，即區(qū)域?qū)?，調(diào)用第六步創(chuàng)建的policy-map，從而實現(xiàn)內(nèi)部區(qū)域到外部區(qū)域的流量放行

FW（config）#zone-pair security in-to-out-pair source INSIDE destination OUTSIDE

FW（config）# service-policy type inspect in-to-out.poli//調(diào)用policy-map

完成第七步后測試：

PC#ping 202.100.1.1

Pinging 202.100.1.1 with 32 bytes of data：

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=15ms TTL=255

PC#telnet 202.100.1.1

結(jié)果既能拼通，也能遠程管理。

3.4 結(jié)論

在VRF里面定義兩個ZONE，并將防火墻兩個接口分別加入到不同ZONE，默認情況下ZONE之間流量是禁止訪問的，內(nèi)部接口和外部接口無法相互訪問。通過進行策略的設(shè)置可以實現(xiàn)對指定流量放行處理，從而實現(xiàn)安全可靠地放行允許的流量，對不必要的其他流量采取了阻斷處理，保證了相關(guān)數(shù)據(jù)的安全。整個實驗的演示過程可以很好的幫助學(xué)生理解VRF，ZONE，ZONE之間策略等含義。步驟1到步驟7演示表明，在VRF里面基于ZONE_BASE進行策略的設(shè)置切實可行。

4 結(jié)束語

通過詳細的實驗步驟來幫助學(xué)生掌握防火墻課程中碰到的難點知識非?？尚小９P者在教學(xué)過程中一直秉承在實踐教學(xué)中教理論，讓枯燥的理論變得簡單，有趣。學(xué)生不再覺得防火墻課程理論晦澀，不好懂，反而有更多的學(xué)生喜歡上這門課程。防火墻課程不但提高了學(xué)生的動手能力和競爭力，而且對于他們更好的學(xué)習(xí)其他課程提供了一定借鑒意義。

參考文獻：

[1] 知識并非都是有趣的不受歡迎的課該淘汰嗎？（2014-10-10）.http：//www.nxnews.net/jy/system/2014/10/10/011060933.shtml.

[2] 于婷婷. 淺談Internet防火墻技術(shù)[J].計算機光盤軟件與應(yīng)用，2012（4）.

[3] Zone-base-FW基于區(qū)域防火墻[EB/OL].（2011-9-9）. http：//3y.uu456.com/bp-cass7446a300a6c30c22qfqd-1.html.