本文格式為Word版，下載可任意編輯——淺談華為路由器實(shí)現(xiàn)防火墻功能的方法

摘要當(dāng)今時(shí)代，信息技術(shù)飛速進(jìn)展，信息安好的重要性日益凸顯，信息傳輸及存儲(chǔ)安好更顯得尤為重要。本文通過(guò)利用訪問(wèn)操縱列表、網(wǎng)絡(luò)地址轉(zhuǎn)換等安好技術(shù)，對(duì)路由器上的防火墻功能實(shí)現(xiàn)舉行探究，并提出了實(shí)現(xiàn)方法。

關(guān)鍵詞路由器;訪問(wèn)操縱;地址轉(zhuǎn)換;流量監(jiān)管

華為路由器除了支持豐富的路由協(xié)議外，為了提高網(wǎng)絡(luò)安好性，供給了一個(gè)全面的網(wǎng)絡(luò)安好解決方案，包括用戶驗(yàn)證、授權(quán)、數(shù)據(jù)養(yǎng)護(hù)等，可以在確定程度上代替防火墻，建立第一道安好防護(hù)屏障。下面以華為路由器為例，通過(guò)利用訪問(wèn)操縱列表、網(wǎng)絡(luò)地址轉(zhuǎn)換等安好措施，讓路由器實(shí)現(xiàn)相應(yīng)的防火墻功能。

1數(shù)據(jù)包過(guò)濾功能

通過(guò)配置訪問(wèn)操縱列表（AccessControlList）可以實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾功能。該技術(shù)的原理是在路由器端口上讀取網(wǎng)絡(luò)層及傳輸層數(shù)據(jù)包中的“五元組”：源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的端口，根據(jù)預(yù)先定義好的規(guī)矩對(duì)數(shù)據(jù)包舉行檢查，從而達(dá)成過(guò)濾掉相關(guān)數(shù)據(jù)的目的。

華為路由器的訪問(wèn)操縱列表分為兩種：

根本ACL：編號(hào)2000-2999，只能匹配源IP地址，定義允許或遏止某一個(gè)網(wǎng)段或某一個(gè)主機(jī)訪問(wèn)。

高級(jí)ACL：編號(hào)3000-3999，可以匹配源IP、目標(biāo)IP、源端口、目標(biāo)端口等三層和四層的字段。

1.1屏蔽常見病毒的攻擊端口

135、139、445、593、1434等端口是Windows系統(tǒng)默認(rèn)開放的端口，而這些端口也是蠕蟲病毒經(jīng)常攻擊的端口。

配置過(guò)程有兩步，以在路由器上遏止135、139、445端口為例：

第一步，定義訪問(wèn)操縱列表

其次步，在接口上應(yīng)用訪問(wèn)操縱列表

InterfaceEthernet0/1

Traffic-filterinboundacl3001

端口應(yīng)用訪問(wèn)操縱列表后即可生效。

1.2過(guò)濾外網(wǎng)流量

通過(guò)TCP過(guò)濾，限制外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問(wèn)，使其只能訪問(wèn)某一個(gè)服務(wù)，遏止其他一切流量。下面以只能訪問(wèn)FTP服務(wù)為例，配置流量過(guò)濾。

Aclnumber3002

Rulepermittcpsourceanydestination0destination-porteqftp

Ruledenyipsourceanydestinationany

Interfaceethernet0/2

Traffic-filterinboundacl3002

2地址轉(zhuǎn)換功能

地址轉(zhuǎn)換功能，即NAT。它將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為外部網(wǎng)絡(luò)地址，從而使內(nèi)部網(wǎng)絡(luò)用戶使用一個(gè)或多個(gè)外部IP地址與外部網(wǎng)絡(luò)通信。

華為路由器供給的NAT類型有三種：靜態(tài)NAT、動(dòng)態(tài)NAT、PAT。

靜態(tài)NAT，是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。

動(dòng)態(tài)NAT，內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，全體被授權(quán)的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。

PAT，即端口地址轉(zhuǎn)換（PAT，PortAddressTranslation），采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的全體主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地儉約IP地址資源。

在網(wǎng)絡(luò)規(guī)劃中，動(dòng)態(tài)NAT較為常用，配置如下：

（1）首先定義ACL指定允許轉(zhuǎn)換的內(nèi)部地址范圍，這里允許的地址范圍為一個(gè)C類地址段;

（2）定義映射到外部的地址池，這里設(shè)定為兩個(gè)地址和;

[Huawei]nataddress-group1

（3）指定地址轉(zhuǎn)換接口;

[Huawei-GigabitEthernet0/0/1]natoutbound2000address-group1

3基于網(wǎng)絡(luò)的流量監(jiān)管功能

流量監(jiān)管由三片面組成：

Meter：通過(guò)令牌桶機(jī)制對(duì)網(wǎng)絡(luò)流量舉行度量，向Marker輸出度量結(jié)果;

Marker：根據(jù)Meter的度量結(jié)果對(duì)報(bào)文舉行染色，報(bào)文會(huì)被染成green、yellow、red三種顏色;

Action：根據(jù)Marker對(duì)報(bào)文的染色結(jié)果，對(duì)報(bào)文舉行一些動(dòng)作，動(dòng)作包括：pass：對(duì)測(cè)量結(jié)果為“符合”的報(bào)文持續(xù)轉(zhuǎn)發(fā);remark+pass：對(duì)測(cè)量結(jié)果為“不符合”的報(bào)文修改其內(nèi)部?jī)?yōu)先級(jí)后再轉(zhuǎn)發(fā);discard：對(duì)測(cè)量結(jié)果為“不符合”的報(bào)文舉行丟棄。

經(jīng)過(guò)流量監(jiān)管，假設(shè)某流量速率超過(guò)標(biāo)準(zhǔn)，超出標(biāo)準(zhǔn)片面的報(bào)文其測(cè)量結(jié)果為“不符合”，此時(shí)設(shè)備可以選擇降低報(bào)文優(yōu)先級(jí)再舉行轉(zhuǎn)發(fā)或者直接丟棄。

配置步驟：

第一步，配置流分類;

Trafficclassifierc1創(chuàng)造一個(gè)流分類并進(jìn)入流分類視圖

根據(jù)實(shí)際處境定義流分類中的匹配規(guī)矩，例如：

if-matchvlan10

其次步，配置流行為;

Trafficbehavior1創(chuàng)造流行為

[Huawei-behavior-1]carcir2000

[Huawei-behavior-1]statisticsenable使能流量統(tǒng)計(jì)功能

第三步，配置流策略;

[Huawei]trafficpolicyp1創(chuàng)造流策略

[Huawei-trafficpolicy-p1]classifierc1behaviorb1將流分類和流行為舉行綁定

第四步，應(yīng)用流策略。

[Huawei]interfaceGE1/0/1

[Huawei-GE1/0/1]traffic-policyp1inbound將策略應(yīng)用到接口入方向

通過(guò)上面的配置，將特定的流量舉行監(jiān)管，達(dá)成帶寬操縱、流量整形和包丟棄等防火墻策略。

4終止語(yǔ)

大數(shù)據(jù)時(shí)代的到來(lái)，網(wǎng)絡(luò)技術(shù)飛速進(jìn)展，使計(jì)算機(jī)網(wǎng)絡(luò)安好尤為重要。因此在實(shí)踐中，需要