我们知道不少的教育单位为了保证网络访问速度, 同时有两条或是多条互联网出口, 一条是通过教育网的线路连接到Internet ,另外一条就是申请电信的线路直接连接到互联网等多种接入模式。这种多出口环境为了更好的利用带宽,让网络中的部分终端走教育网的出口,另外一部分终端走电信线路,这样可以很好的利用现有的带宽资源,不会造成带宽的浪费,在这样的网络环境中,传统的网络安全解决方案是在每个出口安装一台防火墙, 因为一般的路由技术只根据目标地址来做出路由选择,而目标地址在互联网是唯一的,只是访问的源地址不一样。天融信网络卫士防火墙4000 根据通讯的源地址和目标地址来做出路由选择。这种源和目的的双地址路由技术可以很好的适应有多个网络出口的环境。从而大大的降低了网络安全建设的成本。
为了便于理解,我们举例说明.如下图所示,教育内部网络通过中心交换机连接到防火墙eth2口,防火墙eth1口接电信网关,eth0口接教育网关.内部网络划分有多个VLAN,VLAN的网关为中心三层交换机,中心交换机的网关为防火墙,内部网络对Internet 的访问经过防火墙,可以从教育网的网关64.10.6.5连接到中国教育网,中国教育网连接到Internet .同时,通过电信网关202.10.1.2同样可以连接到Internet。
因为到互联网的目标地址都是一样的,而我们知道,通常防火墙的默认网关只有一个,也就是说一般的防火墙只能利用到网络中的一个出口连接到Internet .但是如果针对源地址做路由的话,问题就迎刃而解,我们可以指定办公网络172.16.0.0/16通过教育网关61.10.6.4连接到 Internet ,而内部学生网络10.0.0.0/8通过电信网关202.10.1.2直接连接到 Internet。这样一来,内网数据包经过中心交换机转发后到达防火墙,防火墙根据数据包的源地址和目的地址,匹配防火墙路由表,决定数据包的下一跳网关. 同样是浏览www.topsec.com.cn网站,由学生网发起的访问防火墙就把数据报文转发到教育网关,而又办公网发起的访问防火墙就把数据包转发给电信网关。保证网络资源的充分利用。同时,防火墙的源目的双地址路由功能还有一个特点,就是防火墙的路由表里在不包含防火墙自身接口的源地址路由的情况下,防火墙可以为内部网络与互联网搭起桥梁,就是说,防火墙为内网提供了到互联网的访问,而互联网却不能访问到防火墙,这也是防火墙自身保护的一个很好的措施。