包過(guò)濾保障網(wǎng)絡(luò)安全

引言：筆者單位的Radius系統(tǒng)承擔(dān)著寬帶用戶計(jì)費(fèi)和認(rèn)證等重要責(zé)任，它的安全不容忽視。本文就如何實(shí)現(xiàn)Radius和強(qiáng)推服務(wù)器的共存，并實(shí)現(xiàn)強(qiáng)推功能等問(wèn)題展開(kāi)討論。最終通過(guò)使用路由和包過(guò)濾策略具體實(shí)現(xiàn)了網(wǎng)絡(luò)需求。

面對(duì)互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的復(fù)雜環(huán)境，網(wǎng)絡(luò)的安全越來(lái)越受到運(yùn)維人員的重視。筆者單位的Radius系統(tǒng)承擔(dān)著寬帶用戶計(jì)費(fèi)和認(rèn)證等重要責(zé)任，它的安全不容忽視。為更好的服務(wù)用戶，提高其上網(wǎng)體驗(yàn)。計(jì)劃實(shí)現(xiàn)寬帶到期提醒。針對(duì)該功能的實(shí)現(xiàn)并考慮到Radius設(shè)備安全，本文就如何實(shí)現(xiàn)Radius和強(qiáng)推服務(wù)器的共存，并實(shí)現(xiàn)強(qiáng)推功能等問(wèn)題展開(kāi)討論。最終通過(guò)使用路由和包過(guò)濾策略具體實(shí)現(xiàn)了網(wǎng)絡(luò)需求。

強(qiáng)推服務(wù)器主要來(lái)解決用戶到期提醒的問(wèn)題，其工作原理是用戶到期后可以正常撥號(hào)，但不同的是Radius會(huì)回復(fù)BRAS信息，該用戶已經(jīng)到期。根據(jù)這個(gè)信息BRAS會(huì)將該到期用戶正常上網(wǎng)行為限制。而且利用服務(wù)器Web強(qiáng)推功能，在用戶瀏覽網(wǎng)頁(yè)的時(shí)候，會(huì)強(qiáng)制轉(zhuǎn)到一個(gè)服務(wù)器設(shè)置好的頁(yè)面，在該頁(yè)面上會(huì)出現(xiàn)用戶到期等相關(guān)內(nèi)容。接下來(lái)依據(jù)其原理根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行服務(wù)器和硬件服務(wù)器的部署。具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖1中可以看到強(qiáng)推服務(wù)器計(jì)劃部署在新增硬件防火墻的內(nèi)側(cè)，和強(qiáng)推服務(wù)器并列的還有Radius服務(wù)器集群。當(dāng)前要實(shí)現(xiàn)的網(wǎng)絡(luò)需求是互聯(lián)網(wǎng)用戶能正常訪問(wèn)強(qiáng)推服務(wù)器，但是不能訪問(wèn)Radius服務(wù)器；同時(shí)Radius還要和BRAS通訊。得知這一具體的網(wǎng)絡(luò)需求，接下來(lái)計(jì)劃使用路由來(lái)實(shí)現(xiàn)寬帶用戶和強(qiáng)推服務(wù)器、Radius和BRAS的通訊。具體的配置分別在核心路由器和防火墻上實(shí)現(xiàn)。兩臺(tái)核心路由器上配置命令即：

//在核心路由器1上設(shè)置靜態(tài)路由,并定義出接口和下一跳IP地址

ip route 10.253.141.0 255.255.255.224 gei-0/3/0/17 172.28.0.54

//在核心路由器2上設(shè)置靜態(tài)路由,并定義出接口和下一跳IP地址

以上完成了在兩臺(tái)核心路由器端口互聯(lián)地址和靜態(tài)路由的設(shè)置。緊接著在核心路由器BGP路由中重分發(fā)靜態(tài)和直連路由即可，然后將Radius服務(wù)器的網(wǎng)關(guān)設(shè)置在防火墻上，最后在防火墻上設(shè)置兩條等價(jià)的默認(rèn)路由指向核心路由器就可以以實(shí)現(xiàn)BRAS和Radius的正常通信。當(dāng)然在這里防火墻端口以及Radius集群使用交換機(jī)的配置命令就不再一一介紹。

圖2 防火墻包過(guò)濾配置示意圖

回到文章開(kāi)頭的網(wǎng)絡(luò)需求，引進(jìn)用戶到期提醒強(qiáng)推功能后，用戶強(qiáng)推是以Web的形式體現(xiàn)，用戶可以根據(jù)強(qiáng)推服務(wù)器的地址進(jìn)而攻擊Radius系統(tǒng)，從而威脅到網(wǎng)絡(luò)的安全性，這就是需要在Radius系統(tǒng)與用戶、強(qiáng)推服務(wù)器之間新增一臺(tái)防火墻的重要原因，防火墻主要滿足以下三點(diǎn)要求：一是強(qiáng)推服務(wù)器只與寬帶用戶通訊，而且強(qiáng)推服務(wù)器使用虛擬機(jī)實(shí)現(xiàn)，方便用戶攻擊后通過(guò)鏡像快速恢復(fù)強(qiáng)推功能；二是核心路由器與Radius之間互相通訊；三是只有網(wǎng)管人員方可登錄Radius系統(tǒng)。剛才在核心路由器和防火墻上進(jìn)行靜態(tài)路由的配置，可以實(shí)現(xiàn)互聯(lián)網(wǎng)用戶和強(qiáng)推服務(wù) 器、Radius和 BRAS的通訊，這樣雖然實(shí)現(xiàn)了網(wǎng)絡(luò)需求，但是為了保障Radius服務(wù)的安全，這就需要配置策略來(lái)拒絕互聯(lián)網(wǎng)用戶訪問(wèn)Radius的請(qǐng)求，這里就需要使用到包過(guò)濾技術(shù)。

包過(guò)濾技術(shù)主要是通過(guò)在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，再根據(jù)防火墻的規(guī)則表來(lái)檢測(cè)攻擊行為，并通過(guò)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。下面就開(kāi)始在防火墻上進(jìn)行包過(guò)濾的配置，具體的配置如圖2所示。

通過(guò)圖2可以看到定義的發(fā)起方源IP即寬帶用戶，發(fā)起方目的IP即Radius服務(wù)器地址，執(zhí)行的動(dòng)作是丟棄，然后啟用該策略即可。該策略的作用是將寬帶用戶訪問(wèn)Radius服務(wù)器的請(qǐng)求執(zhí)行丟棄動(dòng)作，從而在一定程度上提高了Radius服務(wù)器集群的安全性。完成該包過(guò)濾策略的設(shè)置后，緊接著刪除防火墻設(shè)置的指向兩臺(tái)核心路由器的默認(rèn)路由，取而代之的是增加明細(xì)路由回執(zhí)至核心路由器，這里明細(xì)路由的目的地址包括互聯(lián)網(wǎng)用 戶、BRAS的 Loopback地址以及運(yùn)維人員網(wǎng)管IP地址，這樣再結(jié)合防火墻上配置的包過(guò)濾策略一起使用就可以實(shí)現(xiàn)網(wǎng)絡(luò)的需求。完成這一系列配置后，在使用寬帶用戶上網(wǎng)環(huán)境來(lái)訪問(wèn)Radius服務(wù)器結(jié)果是不能成功的，而訪問(wèn)強(qiáng)推服務(wù)器是沒(méi)有問(wèn)題的。這樣就實(shí)現(xiàn)了寬帶用戶可以訪問(wèn)強(qiáng)推服務(wù)器，但是拒絕其訪問(wèn)Radius服務(wù)器的請(qǐng)求，同時(shí)還嚴(yán)格限制了訪問(wèn)Radius服務(wù)器的群體的三項(xiàng)網(wǎng)絡(luò)需求。

總結(jié)

綜上所述，通過(guò)對(duì)網(wǎng)絡(luò)需求的分析，根據(jù)現(xiàn)有網(wǎng)絡(luò)狀況因地制宜的增加硬件防火墻來(lái)實(shí)現(xiàn)需求，在此過(guò)程中首先使用路由將網(wǎng)絡(luò)進(jìn)行聯(lián)通，然后使用包過(guò)濾策略進(jìn)行限制，從而達(dá)到了網(wǎng)絡(luò)的需求。也在一定程度上提高了核心服務(wù)器集群的安全系數(shù)。