防火墙作为庞大的Internet网络体系中的一部分,在实现安全测试和防御功能的基础上,也需要实现将一个数据包从一个网络转发到另一个网络的功能。所谓的路由,也就是指导IP数据包发送的路径信息。
与路由器一样,防火墙也维护着一张路由表,所以报文的发送和转发都通过查找路由表从相应的端口发送,这张路由表可以是静态配置的,也可以是动态路由协议产生的,路由表中的每条路由项都指明数据包到某子网或某主机应通过防火墙的哪个物理端口发送,然后就可到达该路径的下一个网络设备,或者不再经过别的网络设备而传送到直接相连的网络中的目的主机。
路由表中包含了下列关键项:
(1)目的地址(Destination) 用来标识IP包的目的地址或目的网络。
(2)网络掩码(Mask) 与目的地址一起来标识目的主机或路由器所在的网段的地址。
将目的地址和网络掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。例如,目的地址为8.0.0.0,掩码为255.0.0.0的主机或路由器所在网段的地址为8.0.0.0。掩码由若干个连续“1”构成,即可以用点分十进制表示,也可以用掩码中连续“1”的个数来表示。
(3)出接口(Interface) 说明IP包将从该路由器哪个接口转发。
(4)下一跳IP地址(Nexthop) 说明IP包所经由的下一个路由器的接口地址。在路由表项中还指明了路由的来源,即路由是如何生成的。路由的来源主要有4种:
①链路层协议发现的路由(Direct)。开销小,配置简单,无需人工维护,只能发现本接口所属网段拓扑的路由。
②手工配置的静态路由(Static)。静态路由是一种特殊的路由,它由管理员手工配置而成。通过静态路由的配置可建立一个互通的网络,但这种配置问题在于:当一个网络故障发生后,静态路由不会自动修正,必须有管理员的介入。静态路由无开销,配置简单,适合简单拓扑结构的网络。(www.xing528.com)
③缺省路由(Default)。缺省路由也是一种静态路由。简单地说,缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有在没有合适的路由时,缺省路由才被使用。在路由表中,缺省路由以到网络0.0.0.0(掩码为0.0.0.0)的路由形式出现。如果报文的目的地址不能与路由表的任何入口项相匹配,那么该报文将选取缺省路由。如果没有缺省路由且报文的目的地址不在路由表中,那么该报文被丢弃的同时,将返回源端一个ICMP报文指出该目的地址或网络不可达。
缺省路由在网络中是非常有用的。在一个包含上百个路由器的典型网络中,选择动态路由协议可能耗费较大量的带宽资源,使用缺省路由意味着采用适当带宽的链路来替代高带宽的链路以满足大量用户通信需求。
Internet上大约99.99%的路由器上都存在一条缺省路由。缺省路由并不一定是手工配置的静态路由,有时也可以由动态路由协议产生。OSPF路由协议配置了Stub区域的ABR路由器会动态产生一条缺省路由。
④动态路由协议发现的路由(RIP,OSPF,…)。当网络拓扑结构十分复杂时,手工配置静态路由工作量大而且容易出现错误,这时就可用动态路由协议,让其自动发现和修改路由,无需人工维护,但动态路由协议开销大,配置复杂。
2.防火墙路由模式
当防火墙工作在路由模式时,防火墙作为三层设备,可以帮助解决内部网络使用私有地址问题,例如图2.85中,防火墙将内部网络、外部网络和服务器群分别划分到Trust,Untrust和DMZ域,与3个区域相连接的接口分属不同的网段,Trust域内使用私有地址,通过防火墙提供的NAT功能将源IP地址转换成公网地址,从而达到访问Interne的目的。
图2.85 防火墙路由模式
路由器模式下,防火墙可以完成包过滤、NAT、ALG、ASPF、攻击防范等功能,但需要在防火墙上配置路由信息,防火墙和内部网络也需要进行相应的调整(内部网络用户需要更改网关、路由器需要更改路配置等),这是一件相当复杂的工作,因此在使用该模式时需权衡利弊。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
