包過濾保障網(wǎng)絡(luò)安全

引言：筆者單位的Radius系統(tǒng)承擔著寬帶用戶計費和認證等重要責任，它的安全不容忽視。本文就如何實現(xiàn)Radius和強推服務(wù)器的共存，并實現(xiàn)強推功能等問題展開討論。最終通過使用路由和包過濾策略具體實現(xiàn)了網(wǎng)絡(luò)需求。

面對互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的復雜環(huán)境，網(wǎng)絡(luò)的安全越來越受到運維人員的重視。筆者單位的Radius系統(tǒng)承擔著寬帶用戶計費和認證等重要責任，它的安全不容忽視。為更好的服務(wù)用戶，提高其上網(wǎng)體驗。計劃實現(xiàn)寬帶到期提醒。針對該功能的實現(xiàn)并考慮到Radius設(shè)備安全，本文就如何實現(xiàn)Radius和強推服務(wù)器的共存，并實現(xiàn)強推功能等問題展開討論。最終通過使用路由和包過濾策略具體實現(xiàn)了網(wǎng)絡(luò)需求。

強推服務(wù)器主要來解決用戶到期提醒的問題，其工作原理是用戶到期后可以正常撥號，但不同的是Radius會回復BRAS信息，該用戶已經(jīng)到期。根據(jù)這個信息BRAS會將該到期用戶正常上網(wǎng)行為限制。而且利用服務(wù)器Web強推功能，在用戶瀏覽網(wǎng)頁的時候，會強制轉(zhuǎn)到一個服務(wù)器設(shè)置好的頁面，在該頁面上會出現(xiàn)用戶到期等相關(guān)內(nèi)容。接下來依據(jù)其原理根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行服務(wù)器和硬件服務(wù)器的部署。具體的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

圖1中可以看到強推服務(wù)器計劃部署在新增硬件防火墻的內(nèi)側(cè)，和強推服務(wù)器并列的還有Radius服務(wù)器集群。當前要實現(xiàn)的網(wǎng)絡(luò)需求是互聯(lián)網(wǎng)用戶能正常訪問強推服務(wù)器，但是不能訪問Radius服務(wù)器；同時Radius還要和BRAS通訊。得知這一具體的網(wǎng)絡(luò)需求，接下來計劃使用路由來實現(xiàn)寬帶用戶和強推服務(wù)器、Radius和BRAS的通訊。具體的配置分別在核心路由器和防火墻上實現(xiàn)。兩臺核心路由器上配置命令即：

//在核心路由器1上設(shè)置靜態(tài)路由,并定義出接口和下一跳IP地址

ip route 10.253.141.0 255.255.255.224 gei-0/3/0/17 172.28.0.54

//在核心路由器2上設(shè)置靜態(tài)路由,并定義出接口和下一跳IP地址

以上完成了在兩臺核心路由器端口互聯(lián)地址和靜態(tài)路由的設(shè)置。緊接著在核心路由器BGP路由中重分發(fā)靜態(tài)和直連路由即可，然后將Radius服務(wù)器的網(wǎng)關(guān)設(shè)置在防火墻上，最后在防火墻上設(shè)置兩條等價的默認路由指向核心路由器就可以以實現(xiàn)BRAS和Radius的正常通信。當然在這里防火墻端口以及Radius集群使用交換機的配置命令就不再一一介紹。

圖2 防火墻包過濾配置示意圖

回到文章開頭的網(wǎng)絡(luò)需求，引進用戶到期提醒強推功能后，用戶強推是以Web的形式體現(xiàn)，用戶可以根據(jù)強推服務(wù)器的地址進而攻擊Radius系統(tǒng)，從而威脅到網(wǎng)絡(luò)的安全性，這就是需要在Radius系統(tǒng)與用戶、強推服務(wù)器之間新增一臺防火墻的重要原因，防火墻主要滿足以下三點要求：一是強推服務(wù)器只與寬帶用戶通訊，而且強推服務(wù)器使用虛擬機實現(xiàn)，方便用戶攻擊后通過鏡像快速恢復強推功能；二是核心路由器與Radius之間互相通訊；三是只有網(wǎng)管人員方可登錄Radius系統(tǒng)。剛才在核心路由器和防火墻上進行靜態(tài)路由的配置，可以實現(xiàn)互聯(lián)網(wǎng)用戶和強推服務(wù) 器、Radius和 BRAS的通訊，這樣雖然實現(xiàn)了網(wǎng)絡(luò)需求，但是為了保障Radius服務(wù)的安全，這就需要配置策略來拒絕互聯(lián)網(wǎng)用戶訪問Radius的請求，這里就需要使用到包過濾技術(shù)。

包過濾技術(shù)主要是通過在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，再根據(jù)防火墻的規(guī)則表來檢測攻擊行為，并通過在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。下面就開始在防火墻上進行包過濾的配置，具體的配置如圖2所示。

通過圖2可以看到定義的發(fā)起方源IP即寬帶用戶，發(fā)起方目的IP即Radius服務(wù)器地址，執(zhí)行的動作是丟棄，然后啟用該策略即可。該策略的作用是將寬帶用戶訪問Radius服務(wù)器的請求執(zhí)行丟棄動作，從而在一定程度上提高了Radius服務(wù)器集群的安全性。完成該包過濾策略的設(shè)置后，緊接著刪除防火墻設(shè)置的指向兩臺核心路由器的默認路由，取而代之的是增加明細路由回執(zhí)至核心路由器，這里明細路由的目的地址包括互聯(lián)網(wǎng)用 戶、BRAS的 Loopback地址以及運維人員網(wǎng)管IP地址，這樣再結(jié)合防火墻上配置的包過濾策略一起使用就可以實現(xiàn)網(wǎng)絡(luò)的需求。完成這一系列配置后，在使用寬帶用戶上網(wǎng)環(huán)境來訪問Radius服務(wù)器結(jié)果是不能成功的，而訪問強推服務(wù)器是沒有問題的。這樣就實現(xiàn)了寬帶用戶可以訪問強推服務(wù)器，但是拒絕其訪問Radius服務(wù)器的請求，同時還嚴格限制了訪問Radius服務(wù)器的群體的三項網(wǎng)絡(luò)需求。

總結(jié)

綜上所述，通過對網(wǎng)絡(luò)需求的分析，根據(jù)現(xiàn)有網(wǎng)絡(luò)狀況因地制宜的增加硬件防火墻來實現(xiàn)需求，在此過程中首先使用路由將網(wǎng)絡(luò)進行聯(lián)通，然后使用包過濾策略進行限制，從而達到了網(wǎng)絡(luò)的需求。也在一定程度上提高了核心服務(wù)器集群的安全系數(shù)。