我們知道不少的教育單位為了保證網路訪問速度, 同時有兩條或是多條互連網出口, 一條是通過教育網的線路串連到Internet ,另外一條就是申請電信的線路直接連接到互連網等多種接入模式。這種多出口環境為了更好的利用頻寬,讓網路中的部分終端走教育網的出口,另外一部分終端走電信線路,這樣可以很好的利用現有的頻寬資源,不會造成頻寬的浪費,在這樣的網路環境中,傳統的網路安全解決方案是在每個出口安裝一台防火牆, 因為一般的路由技術只根據目標地址來做出路由選擇,而目標地址在互連網是唯一的,只是訪問的源地址不一樣。天融信網路衛士防火牆4000 根據通訊的源地址和目標地址來做出路由選擇。這種源和目的的雙地址路由技術可以很好的適應有多個網路出口的環境。從而大大的降低了網路安全建設的成本。
為了便於理解,我們舉例說明.如下圖所示,教育內部網路通過中心交換器串連到防火牆eth2口,防火牆eth1口接電信網關,eth0口接教育網關.內部網路劃分有多個VLAN,VLAN的網關為中心三層交換器,中心交換器的網關為防火牆,內部網路對Internet 的訪問經過防火牆,可以從教育網的網關64.10.6.5串連到中國教育網,中國教育網串連到Internet .同時,通過電信網關202.10.1.2同樣可以串連到Internet。
因為到互連網的目標地址都是一樣的,而我們知道,通常防火牆的預設閘道只有一個,也就是說一般的防火牆只能利用到網路中的一個出口串連到Internet .但是如果針對源地址做路由的話,問題就迎刃而解,我們可以指定辦公網路172.16.0.0/16通過教育網關61.10.6.4串連到 Internet ,而內部學生網路10.0.0.0/8通過電信網關202.10.1.2直接連接到 Internet。這樣一來,內網資料包經過中心交換器轉寄後到達防火牆,防火牆根據資料包的源地址和目的地址,匹配防火牆路由表,決定資料包的下一跳網關. 同樣是瀏覽www.topsec.com.cn網站,由學生網發起的訪問防火牆就把資料報文轉寄到教育網關,而又辦公網發起的訪問防火牆就把資料包轉寄給電信網關。保證網路資源的充分利用。同時,防火牆的源目的雙地址路由功能還有一個特點,就是防火牆的路由表裡在不包含防火牆自身介面的源地址路由的情況下,防火牆可以為內部網路與互連網搭起橋樑,就是說,防火牆為內網提供了到互連網的訪問,而互連網卻不能訪問到防火牆,這也是防火牆自身保護的一個很好的措施。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
