基于VRF技术ZONE—BASE防火墙的研究和实践

马朝辉

摘要：随着时代的发展，防火墙安全课程已经成为了绝大多数高等院校的必修课或专业选修课。如何指导学生学好防火墙安全方面的专业知识，如何更大限度的将安全理论用于实践已经成为防火墙安全课程的核心点。本文以思科防火墙设备里面的VRF为例，通过一个详细案例步步剖析以达到正确理解和牢固掌握防火墙相关知识并引导学生树立正确的学习观。

关键词：VRF；防火墙；安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）31-0021-03

近日，广东省教育厅透露，广东省发改委、教育厅、财政厅等部门近期将对不受学生欢迎的课程，不积极投入教学或者授课水平较差教师逐步予以淘汰，从而形成教师教学竞争和淘汰机制 [1]。教好一门课程是教师的天职，同样的一门课程有的老师讲授出来学生大呼受益，而有些老师讲课学生呼呼大睡。可见课程教学方法非常重要。在众多课程中，防火墙安全是网络专业的专业必修课，也是绝大多数工科院校学生首选专业课，学好防火墙安全对学生来说有章可循，对教师来说也将有很多值得总结的地方。本文以防火墙安全里VRF技术为例，通过详细步骤研究ZONE-BASE防火墙的具体实现。

1 VRF简介

VRF（Virtual Routing Forwarding）即虚拟路由转发的意思。在路由器里面，该技术可以将一台实际的物理路由器划分成相互隔离的N台虚拟路由器。防火墙启用VRF技术，即将防火墙分割成多台虚拟防火墙。

在一台防火墙上启用N个VRF后，意味着该防火墙分割成了（N+1）台防火墙，能很好地起到隔离用户数据作用，保护数据安全。例如某一台路由器型防火墙共有三个接口，分别是F0/0，F0/1和F0/2。在该防火墙上启用两个VRF：gdufs1，gdufs2；并将F0/0，F0/1接口分别划分到gdufs1，gdufs2。分别执行查看路由表操作，如下：

FW#showip route

执行结果显示，只可以查看到F0/2口网段对应的路由条目；

FW#showip routevrf gdufs1

执行结果显示，只可以查看到F0/0口网段对应的路由条目；

FW#showip routevrf gdufs2

执行结果显示，只可以查看到F0/1口网段对应的路由条目。

由此可见，该路由器型防火墙被分割成三台防火墙，即一台实际防火墙和两台虚拟防火墙，三个接口分别归属于其中的一台防火墙，接口之间实现了隔离，不同接口的数据在默认策略下是无法相互访问的，保证了数据的安全。

2 ZONE-BASE防火墙

ZONE就是区域，ZONE-BASE防火墙就是基于区域划分的一种新技术。因为区域化分防火墙是基于区域的，策略也只能在区域间传递数据时才生效，在区域内是不生效的，所以我们就可以将需要使用策略的接口划入不同的区域，这样就可以应用我们想要的策略[2]。但是，有时某些接口之间可能不需要彼此使用策略，那么这样的接口只要划入同一个区域，它们之间就可以任意互访了。ZONE是应用防火墙策略的最小单位，一个ZONE中可以包含一个接口，也可以包含很多接口。

ZONE-BASE防火墙是一门实践性非常强的课程，注重培养学生网络安全方面能力，同时也要求学生能掌握一定网络基础理论知识[3]。课程主要包括几大模块：ZONE-BASE策略透明防火墙，ZONE-BASE策略虚拟防火墙，ZONE-BASE策略防火墙NAT技术，ZONE-BASE策略虚拟防火墙应用层过滤方法等。笔者在几届的教学过程中发现很多同学在学习ZONE-BASE策略虚拟防火墙技术时碰到许多困惑，在此，我将通过一个实例同大家一起分享在VRF里面采用ZONE BASE实现防火墙的学习心得。

3 基于VRF技术的ZONE-BASE防火墙具体配置和实现

本文采用思科模拟器GNS3搭建实验拓扑图，拓扑图包括内网和外网两大块，内网部署一台简单的PC，外网架构一台服务器，中间是一台两接口的防火墙，如图一所示。本实验为了简单起见，只在防火墙上启用一个VRF，防火墙的两个接口都划分到该VRF中。实验最终目的是在该虚拟防火墙中进行策略配置，满足用户需求，具体策略见3.1要求。

3.1 需求描述

在图1的拓扑图中，显示了各个设备名称，网段，IP地址等。

具体需求：在VRF下配置虚ZONE-BASE策略，完成以下动作：

放行从内到外的UDP/ICMP/FTP/TELNET流量。并要求在内网的PC进行ping外部服务器的测试以及远程登录（telnet）外部服务器测试。

IP地址分配见表1：

表1 设备IP地址一览表

[＼&IP地址＼&子网掩码＼&默认网关＼&防火墙＼&F0/0＼&202.100.1.10＼&255.255.255.0＼&------------------＼&F0/1＼&192.168.1.10＼&255.255.255.0＼&------------------＼&外网服务器＼&F0/0＼&202.100.1.1＼&255.255.255.0＼&202.100.1.10＼&内网PC＼&F0/1＼&192.168.1.1＼&255.255.2550＼&192168.1.10＼&]

3.2 实验拓扑

为了帮助学生轻松理解VRF及在VRF里进行防火墙的策略设置，我们采用了如下拓扑结构：

图1 网络拓扑图

3.3 配置步骤

步骤1：按照表1IP规划，给服务器，防火墙以及内网PC各个接口进行

正确的IP设置。实现效果是内网可以连通，外网之间也能连通；

步骤2：分别在服务器和内部PC设置一条默认路由指向防火墙，保证内网和外网之间连通，服务器设置默认路由方法如下：

Server（conf）#ip route 0.0.0.0 0.0.0.0 202.100.1.10

步骤3：在防火墙上创建一个VRF，取名“gdufs”，并将相应接口加入到VRF转发表项中。完成这一步必须特别小心，因为原来接口所配置的IP地址已经没了，需要重新进行配置。

Ipvrfgdufs

Int f0/0

Ipvrfforwarding gdufs

步骤4：在防火墙定义两个ZONE（区域），分别是内部区域INSIDE和外部区域OUTSIDE， 然后将防火墙的f0/0口和f0/1口对应加入到外部区域和内部区域：

FW（config）#ZONE SECURITY INSIDE //定义内部ZONE：INSIDE

FW（config）#ZONE SECURITY OUTSIDE //定义外部ZONE：OUTSIDE

FW（config）#int f0/0

FW（config-if）#ZONE MEMBER SECURITY INSIDE //f0/0接口加入到INSIDE

FW（config）#int f0/1

FW（config -if）#ZONE MEMBER SECURITY OUTSIDE //f0/1接口加入到OUTSIDE

完成第四步后测试：

PC#PING 202.100.1.1

PC#TELNET 202.100.1.1

结果既不能拼通，也不能远程管理。

分析原因：VRF内部不同的ZONE之间流量默认是拒绝访问。

步骤5：在防火墙上创建Class-map，匹配要放行的流量。设置如下：

FW（config）#class-map type inspect match-any in-to-out.class

FW（config）#Match protocol telnet/udp/icmp/ftp

步骤6：在防火墙上创建Policy-map，调用第五步创建的class-map，采取放行动作，从而实现了对第五步匹配的流量或协议放行。设置如下：

FW（config）#policy-map type inspect in-to-out.poly //创建policy-map

FW（config）# class type insect in-to-out.class //调用class-map

FW（config）#inspect //放行

步骤7：在防火墙上创建zone-pair，即区域对，调用第六步创建的policy-map，从而实现内部区域到外部区域的流量放行

FW（config）#zone-pair security in-to-out-pair source INSIDE destination OUTSIDE

FW（config）# service-policy type inspect in-to-out.poli//调用policy-map

完成第七步后测试：

PC#ping 202.100.1.1

Pinging 202.100.1.1 with 32 bytes of data：

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=31ms TTL=255

Reply from 202.100.1.1： bytes=32 time=15ms TTL=255

PC#telnet 202.100.1.1

结果既能拼通，也能远程管理。

3.4 结论

在VRF里面定义两个ZONE，并将防火墙两个接口分别加入到不同ZONE，默认情况下ZONE之间流量是禁止访问的，内部接口和外部接口无法相互访问。通过进行策略的设置可以实现对指定流量放行处理，从而实现安全可靠地放行允许的流量，对不必要的其他流量采取了阻断处理，保证了相关数据的安全。整个实验的演示过程可以很好的帮助学生理解VRF，ZONE，ZONE之间策略等含义。步骤1到步骤7演示表明，在VRF里面基于ZONE_BASE进行策略的设置切实可行。

4 结束语

通过详细的实验步骤来帮助学生掌握防火墙课程中碰到的难点知识非常可行。笔者在教学过程中一直秉承在实践教学中教理论，让枯燥的理论变得简单，有趣。学生不再觉得防火墙课程理论晦涩，不好懂，反而有更多的学生喜欢上这门课程。防火墙课程不但提高了学生的动手能力和竞争力，而且对于他们更好的学习其他课程提供了一定借鉴意义。

参考文献：

[1] 知识并非都是有趣的不受欢迎的课该淘汰吗？（2014-10-10）.http：//www.nxnews.net/jy/system/2014/10/10/011060933.shtml.

[2] 于婷婷. 浅谈Internet防火墙技术[J].计算机光盘软件与应用，2012（4）.

[3] Zone-base-FW基于区域防火墙[EB/OL].（2011-9-9）. http：//3y.uu456.com/bp-cass7446a300a6c30c22qfqd-1.html.