策略路由在網(wǎng)絡安全中的應用

網(wǎng)絡安全近些年來一直是網(wǎng)絡運維人員老生常談的話題，那么如何實現(xiàn)網(wǎng)絡安全呢？從最常見的硬件防護到軟件加固，這些都是增加網(wǎng)絡安全的必要因素。筆者認為網(wǎng)絡安全是一個持久堅持不懈的工作，只有在網(wǎng)絡運維過程中不斷的發(fā)現(xiàn)問題，解決問題這是一個途徑，還有就是在網(wǎng)絡開通初期就要盡可能向網(wǎng)絡安全方面考慮，只有養(yǎng)成良好的習慣，才能將工作達到事半功倍的效果。

本文將從一次網(wǎng)絡開通開始講起，在考慮網(wǎng)絡正常通訊的同時，較好的利用策略路由來實現(xiàn)網(wǎng)段間的限制訪問。從而在一定程度上保證了網(wǎng)絡的安全。接下來就詳細介紹一下網(wǎng)絡實現(xiàn)的全過程。

近日，某托管服務器計劃部署在筆者單位數(shù)據(jù)核心機房，并且需要滿足該總部和分部辦公用戶能夠訪問，由于該服務器的性質特殊，該專線單位還提出了一個要求，只允許該總部和和分部辦公用戶（可以訪問Internet）訪問。簡單的講就是服務器只允許該單位授權用戶訪問，其他是不可以訪問的。

知悉該網(wǎng)絡需求后，結合單位網(wǎng)絡拓撲實際情況，計劃對該專線用戶的辦公區(qū)進行互聯(lián)網(wǎng)覆蓋，由于該專線用戶群體比較大，從易管理、易調度的角度考慮為該專線用戶分配了一個域名即@nwzx,為實現(xiàn)特定群體訪問服務器，那么這里我們就定義只有該域名的用戶可以訪問服務器，要想實現(xiàn)限制用戶訪問服務器有二種方案可供選擇。

方案一，由于全網(wǎng)BGP和ISIS路由可達，服務器和核心路由器三層互聯(lián)后，該服務器的網(wǎng)段作為路由器的直連路由會全網(wǎng)通告，毫無安全可言，對網(wǎng)段進行限制發(fā)布和學習可以使用路由策略來解決。

方案二，在服務器接入網(wǎng)絡前安裝硬件防火墻，使用安全策略以及地址轉換的方法進行防護。簡單了解完兩種解決方案后，接下來比較下兩種方案的優(yōu)缺點，以便于從兩種方案中選出比較好的辦法來解決問題。

方案一是在現(xiàn)有的動態(tài)路由的基礎上增加路由策略，這里即然提到路由策略，我們就先簡單了解下路由策略的概念，路由策略是根據(jù)一些規(guī)則，使用某種策略改變規(guī)則中影響路由發(fā)布、接收或路由選擇的參數(shù)而改變路由發(fā)現(xiàn)的結果，最終改變的是路由表的內容。是在路由發(fā)現(xiàn)的時候產(chǎn)生作用。這是基于軟件來實現(xiàn)網(wǎng)絡安全的一種辦法。方案二是使用硬件防火墻進行防護，同時增加了NAT地址的轉換，另外使用防火墻自身所帶的一些安全防護策略，從而保證了服務器的安全，如果從服務器安全角度考慮，第二種方案是不二的選擇。既然方案二作為此次網(wǎng)絡部署的方案，那么就按照方案二中的辦法進行網(wǎng)絡搭建。具體的網(wǎng)絡拓撲圖如圖1所示。

通過圖1可以看到服務器位于防火墻的后方，防火墻連接核心路由器，專線辦公用戶使用PPPOE撥號到BRAS，然后BRAS設備連接核心路由器，這樣一個流程下來，就實現(xiàn)了網(wǎng)絡拓撲結構的搭建。

接下來詳細介紹一下網(wǎng)絡設備的配置，首先從防火墻的配置開始，這次在連接服務器的端口不再簡單的使用一些ACL來進行限制，而是使用較常見策略路由的辦法來實現(xiàn)。這也是本文的重點。

由于該防火墻是Web配置頁面，在敘述設備配置時候，如果使用截圖來介紹，不大形象，這里采用圖表的方式，即將配置的步驟使用圖表的方式一一呈現(xiàn)出來，只是方式不同，但是圖表更能形象的將配置步驟展現(xiàn)出來。策略路由的配置方法如表1所示。

表1 策略路由配置步驟

通過表1中的策略路由配置，我們可以清晰地看到，訪問服務器的網(wǎng)段只有10.116.99.0/24這一網(wǎng)段，也就是說只有該網(wǎng)段可以訪問服務器，而且服務這里只開啟了HTTP服務。完成策略路由的配置后，接下來我們在防火墻上對服務器添加安全策略，這里的安全策略也是和剛剛配置的策略路由互相補充，主要從CF（內容過濾）、IDS（入侵偵測）、IPS（入侵防護）三方面進行了設置。完成上面的操作后，同時也將服務器使用Linux系統(tǒng)，因為Linux系統(tǒng)很少被病毒攻擊，同時將在該操作系統(tǒng)內部部署防火墻策略，進一步穩(wěn)固了網(wǎng)絡安全。

圖1 網(wǎng)絡拓撲圖

上面通過對專線單位網(wǎng)絡需求進行了分析，然后提出了兩種解決方案，并對兩種方案的可行性進行了比較，最后得出使用硬件防火墻來實現(xiàn)網(wǎng)絡安全這一需求。

本文通過使用策略路由、防火墻自帶安全防護策略以及操作系統(tǒng)的選擇上，多方面來增加網(wǎng)絡安全的系數(shù)。通過這三步完成了防火墻的一個基本初級防護。

總之，安全只有相對而言，可以說沒有絕對的安全。但是作為網(wǎng)絡運維人員，只有把網(wǎng)絡安全融入到網(wǎng)絡運維中去，這種點點滴滴的積累才能為網(wǎng)絡安全打下基礎，這樣才不至于在每一次網(wǎng)絡的開通，都埋下一個安全隱患。