防火墙技术及应用

本书全面介绍防火墙技术及应用知识。全书共5章，主要内容包括防火墙基本知识、防火墙技术、防火墙网络部署、防火墙安全功能应用和典型案例。每章*后提供了相应的思考题。
本书既适合作为网络空间安全、信息安全等专业的本科生相关专业基础课程的教材，也适合作为网络安全研究人员的入门基础读物。 

本书全面介绍防火墙技术及应用知识。全书共5章，主要内容包括防火墙基本知识、防火墙技术、防火墙网络部署、防火墙安全功能应用和典型案例。每章*后提供了相应的思考题。
本书由360企业安全集团针对高校网络空间安全专业的教学规划组织编写，既适合作为网络空间安全、信息安全等专业的本科生相关专业基础课程的教材，也适合作为网络安全研究人员的入门基础读物。

目录
第1章防火墙基本知识1
1.1防火墙概述1
1.1.1防火墙产生的原因1
1.1.2防火墙定义1
1.1.3防火墙的作用2
1.2防火墙的前世今生3
1.2.1防火墙发展历史及分类3
1.2.2防火墙的新技术趋势5
1.3安全域和边界防御思想6
1.3.1安全域6
1.3.2边界防御思想7
1.3.3防火墙部署方式8
1.4防火墙产品标准10
1.4.1防火墙产品性能指标10
1.4.2防火墙产品标准演进历史11
1.4.3GB/T 20281—2015简介13
1.5下一代防火墙产品架构14
思考题15

第2章防火墙技术16
2.1包过滤技术16
2.1.1包过滤技术原理16
2.1.2包过滤技术的优缺点16
2.2应用代理技术17
2.2.1应用代理技术原理18
2.2.2应用代理技术的优缺点19
2.3会话机制和状态检测19
2.3.1防火墙会话机制19
2.3.2状态检测技术原理19
2.3.3状态检测技术的优缺点20防火墙技术及应用目录2.4应用识别技术21
2.4.1DPI技术23
2.4.2DFI技术24
2.5内容检查技术25
2.5.1内容检查技术原理25
2.5.2内容检查技术的优缺点27
思考题27

第3章防火墙网络部署28
3.1安全域和接口28
3.2IP协议29
3.2.1IP地址的基本概念29
3.2.2IP协议31
3.2.3IPv4向IPv6的过渡32
3.3VLAN技术38
3.3.1VLAN技术原理38
3.3.2VLAN技术的优缺点41
3.4路由41
3.4.1静态路由42
3.4.2默认路由43
3.4.3动态路由44
3.4.4策略路由46
3.4.5ISP路由及对称路由49
3.5二层透明网桥模式49
3.6三层路由模式51
3.7地址转换53
3.7.1静态NAT技术55
3.7.2动态NAT技术56
3.7.3端口地址转换技术57
3.8混合模式58
3.9旁路模式58
3.10DHCP服务59
3.11DNS透明代理61
3.12代理ARP63
3.13VPN65
3.13.1IPSec VPN65
3.13.2SSL VPN66
3.14QoS67
思考题69

第4章防火墙安全功能应用70
4.1安全策略概述70
4.1.1基本概念70
4.1.2一体化安全策略70
4.1.3安全策略智能管理72
4.2访问控制策略73
4.2.1行为管控74
4.2.2关键字过滤75
4.2.3内容过滤76
4.2.4文件过滤76
4.2.5邮件过滤78
4.2.6URL过滤81
4.3安全认证83
4.3.1本地用户认证83
4.3.2AD用户认证83
4.3.3LDAP用户认证84
4.3.4RADIUS用户认证85
4.3.5IEEE 802.1x认证85
4.4攻击防御86
4.4.1恶意扫描防御87
4.4.2欺骗防御87
4.4.3单包攻击防御88
4.4.4流量型攻击防御90
4.4.5应用层Flood攻击防御93
4.5入侵防御97
4.5.1网络入侵技术简介98
4.5.2入侵防御原理99
4.5.3入侵防御功能核心技术102
4.6病毒防御104
4.6.1病毒基本概念104
4.6.2病毒检测105
4.7SSL解密107
4.8云管端协同联动108
4.8.1云管端概述108
4.8.2云管端动态协同防御109
4.9基于网络的检测与响应110
4.9.1NDR的基础——数据驱动110
4.9.2安全问题发现111
4.9.3分析与响应中心113
4.10安全运维管理113
4.10.1运维管理113
4.10.2安全审计114
4.10.3高可用性115
4.11虚拟防火墙120
4.11.1虚拟系统的基本组成120
4.11.2虚拟系统管理及配置120
4.12集中管理121
思考题122

第5章典型案例124
5.1企业互联网边界安全解决方案124
5.1.1背景及需求124
5.1.2解决方案及分析125
5.2行业专网网络安全解决方案128
5.2.1背景及需求128
5.2.2解决方案及分析129
5.3企业级数据中心出口防护解决方案131
5.3.1背景及需求131
5.3.2解决方案及分析133
5.4多分支企业组网及网络安全解决方案136
5.4.1背景及需求136
5.4.2解决方案及分析137
思考题140

附录A防火墙技术英文缩略语141

参考文献144

网络空间安全重点规划丛书编审委员会顾问委员会主任： 沈昌祥（中国工程院院士）
特别顾问： 姚期智（美国国家科学院院士、美国人文及科学院院士、中国科学院院士、“图灵奖”获得者）
何德全（中国工程院院士）蔡吉人（中国工程院院士）
方滨兴（中国工程院院士）吴建平（中国工程院院士）
王小云（中国科学院院士）
主任： 封化民
副主任： 韩臻李建华张焕国冯登国
委员： （按姓氏拼音为序）
蔡晶晶曹珍富陈克非陈兴蜀杜瑞颖杜跃进
段海新范红高岭宫力谷大武何大可
侯整风胡爱群胡道元黄继武黄刘生荆继武
寇卫东来学嘉李晖刘建伟刘建亚马建峰
毛文波潘柱廷裴定一钱德沛秦玉海秦志光
卿斯汉仇保利任奎石文昌汪烈军王怀民
王劲松王军王丽娜王美琴王清贤王新梅
王育民吴晓平吴云坤徐明许进徐文渊
严明杨波杨庚杨义先俞能海张功萱
张红旗张宏莉张敏情张玉清郑东周福才
左英男
丛书策划： 张民21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化已成为当今世界发展的潮流和核心，而信息安全在信息社会中将扮演极为重要的角色，它会直接关系到国家安全、企业经营和人们的日常生活。 随着信息安全产业的快速发展，全球对信息安全人才的需求量不断增加，但我国目前信息安全人才极度匮乏，远远不能满足金融、商业、公安、军事和政府等部门的需求。要解决供需矛盾，必须加快信息安全人才的培养，以满足社会对信息安全人才的需求。为此，教育部继2001年批准在武汉大学开设信息安全本科专业之后，又批准了多所高等院校设立信息安全本科专业，而且许多高校和科研院所已设立了信息安全方向的具有硕士和博士学位授予权的学科点。
信息安全是计算机、通信、物理、数学等领域的交叉学科，对于这一新兴学科的培养模式和课程设置，各高校普遍缺乏经验，因此中国计算机学会教育专业委员会和清华大学出版社联合主办了“信息安全专业教育教学研讨会”等一系列研讨活动，并成立了“高等院校信息安全专业系列教材”编审委员会，由我国信息安全领域著名专家肖国镇教授担任编委会主任，指导“高等院校信息安全专业系列教材”的编写工作。编委会本着研究先行的指导原则，认真研讨国内外高等院校信息安全专业的教学体系和课程设置，进行了大量前瞻性的研究工作，而且这种研究工作将随着我国信息安全专业的发展不断深入。系列教材的作者都是既在本专业领域有深厚的学术造诣、又在教学第一线有丰富的教学经验的学者、专家。
该系列教材是我国第一套专门针对信息安全专业的教材，其特点是：
① 体系完整、结构合理、内容先进。
② 适应面广： 能够满足信息安全、计算机、通信工程等相关专业对信息安全领域课程的教材要求。
③ 立体配套： 除主教材外，还配有多媒体电子教案、习题与实验指导等。
④ 版本更新及时，紧跟科学技术的新发展。
在全力做好本版教材，满足学生用书的基础上，还经由专家的推荐和审定，遴选了一批国外信息安全领域优秀的教材加入到系列教材中，以进一步满足大家对外版书的需求。“高等院校信息安全专业系列教材”已于2006年年初正式列入普通高等教育“十一五”国家级教材规划。
2007年6月，教育部高等学校信息安全类专业教学指导委员会成立大会暨第一次会议在北京胜利召开。本次会议由教育部高等学校信息安全类专业教学指导委员会主任单位北京工业大学和北京电子科技学院主办，清华大学出版社协办。教育部高等学校信息安全类专业教学指导委员会的成立对我国信息安全专业的发展起到重要的指导和推动作用。2006年教育部给武汉大学下达了“信息安全专业指导性专业规范研制”的教学科研项目。2007年起该项目由教育部高等学校信息安全类专业教学指导委员会组织实施。在高教司和教指委的指导下，项目组团结一致，努力工作，克服困难，历时5年，制定出我国第一个信息安全专业指导性专业规范，于2012年年底通过经教育部高等教育司理工科教育处授权组织的专家组评审，并且已经得到武汉大学等许多高校的实际使用。2013年，新一届“教育部高等学校信息安全专业教学指导委员会”成立。经组织审查和研究决定，2014年以“教育部高等学校信息安全专业教学指导委员会”的名义正式发布《高等学校信息安全专业指导性专业规范》（由清华大学出版社正式出版）。
防火墙技术及应用出版说明2015年6月，国务院学位委员会、教育部出台增设“网络空间安全”为一级学科的决定，将高校培养网络空间安全人才提到新的高度。2016年6月，中央网络安全和信息化领导小组办公室（下文简称中央网信办）、国家发展和改革委员会、教育部、科学技术部、工业和信息化部及人力资源和社会保障部六大部门联合发布《关于加强网络安全学科建设和人才培养的意见》（中网办发文〔2016〕4号）。为贯彻落实《关于加强网络安全学科建设和人才培养的意见》，进一步深化高等教育教学改革，促进网络安全学科专业建设和人才培养，促进网络空间安全相关核心课程和教材建设，在教育部高等学校信息安全专业教学指导委员会和中央网信办资助的网络空间安全教材建设课题组的指导下，启动了“网络空间安全重点规划丛书”的工作，由教育部高等学校信息安全专业教学指导委员会秘书长封化民校长担任编委会主任。本规划丛书基于“高等院校信息安全专业系列教材”坚实的工作基础和成果、阵容强大的编审委员会和优秀的作者队伍，目前已经有多本图书获得教育部和中央网信办等机构评选的“普通高等教育本科国家级规划教材”“普通高等教育精品教材”“中国大学出版社图书奖”和“国家网络安全优秀教材奖”等多个奖项。
“网络空间安全重点规划丛书”将根据《高等学校信息安全专业指导性专业规范》（及后续版本）和相关教材建设课题组的研究成果不断更新和扩展，进一步体现科学性、系统性和新颖性，及时反映教学改革和课程建设的新成果，并随着我国网络空间安全学科的发展不断完善，力争为我国网络空间安全相关学科专业的本科和研究生教材建设、学术出版与人才培养做出更大的贡献。
我们的Email地址是： [email protected]，联系人： 张民。

“网络空间安全重点规划丛书”编审委员会没有网络安全，就没有国家安全；没有网络安全人才，就没有网络安全。
为了更多、更快、更好地培养网络安全人才，如今许多学校都在努力培养网络安全人才，都在下大功夫、花大本钱，聘请优秀老师，招收优秀学生，建设一流的网络空间安全专业。
网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是网络空间安全专业人才培养的关键。但是，这是一项十分艰巨的任务。原因有二： 其一，网络空间安全的涉及面非常广，至少包括密码学、数学、计算机、通信工程、信息工程等多门学科，因此，其知识体系庞杂，难以梳理；其二，网络空间安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。
“防火墙技术及应用”是网络空间安全和信息安全专业的基础课程，全面介绍防火墙技术及应用知识。全书共5章。第1章介绍防火墙基本知识，第2章介绍防火墙技术，第3章介绍防火墙网络部署，第4章介绍防火墙安全功能应用，第5章介绍典型案例。
本书既适合作为网络空间安全、信息安全等专业的本科生相关专业基础课程的教材，也适合作为网络安全研究人员的入门基础读物。本书将随着新技术的发展而更新。
由于作者水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。

作者2018年11月

第3章第3章防火墙网络部署

在介绍了防火墙的基本原理和技术之后，本章主要介绍防火墙的网络部署，主要包括以下内容： 防火墙的几种部署模式以及每种模式的实现过程；IP协议及IPv6技术，VLAN技术的原理及组网方式，划分VLAN的原因及优缺点；各种路由协议概念及原理，DHCP服务、DNS透明代理，代理ARP、VPN、QoS等知识。
3.13.1安全域和接口安全域是一个或多个接口的集合。防火墙通过安全域来划分网络，标识数据流动的“路线”。当数据在不同的安全域之间流动时，防火墙会根据安全域的安全策略决定数据包的情况。
防火墙通过接口来连接网络，将接口划分到安全域后，通过接口就把安全域和网络关联起来，如图31所示，通常说某个安全域，就可以表示该安全域中接口所连接的网络。
图31安全域划分示意图
防火墙可以预定义安全域，通常为受信域、DMZ和非受信域。用户可以根据需要自行添加新的安全域。
受信域内网络的受信任程度高，通常用来定义内部用户所在的网络。
DMZ内网络的受信任程度中等，通常用来定义公开的服务器所在的网络。
非受信域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。
如图32所示，假设接口1连接的是内部用户，将这个接口划分到受信域中；接口2连接内部服务器，将这个接口划分到DMZ中；接口3连接Internet，将它划分到非受信域。防火墙技术及应用第3章防火墙网络部署图32安全域示意图
在防火墙上，每个安全域都有一个唯一的安全级别，用数字表示，数字越大，则代表该区域内的网络越可信。
防火墙在引入安全域概念的同时也引入了域间的概念。任何不同的安全域之间形成域间关系，防火墙上大部分规则都在域间配置。为便于描述域间关系，又引入了域间方向的概念：
 报文从低级别的安全域向高级别的安全域流动时为入方向（Inbound）。
 报文从高级别的安全域向低级别的安全域流动时为出方向（Outbound）。
当报文在两个方向上流动时，将会触发不同的安全检查。图33标明了本地域、受信域、DMZ和非受信域之间的域间方向。
图33域间方向
通过安全域，防火墙划分出等级森严、关系明确的网络，成为连接各个网络的节点。以此为基础，防火墙就可以对各个网络之间流动的报文进行安全检查和实施管控策略。
3.23.2IP协议3.2.1IP地址的基本概念
互联网中需要有一个全局的地址系统，它能够给每一台主机或路由器的网络连接分配一个全局唯一的地址。TCP/IP协议中网络层使用的地址标识符叫作IP地址，是IP协议的重要组成部分，它可以识别接入互联网中的任意一台设备。IP地址可以分为IPv4和IPv6两大类。
IP地址采用分层结构，由网络号（Net ID）与主机号（Host ID）两部分组成。IPv4地址长度为32位，为点分十进制（dotted decimal）地址。在实际运用中，IP地址资源并不足以应对迅速增长的互联网设备数量，因此从IP地址中拿出一部分作为私有IP地址，此类IP地址不能被路由到Internet骨干网上，需要使用网络地址转换（Network Address Translation，NAT）转换为公有地址。根据不同的取值范围，IP地址共分为5类：
（1） A类IP地址。网络号长度为8位，主机号长度为24位，地址范围为0.0.0.0～127.255.255.255。网络号为全0和第一位为0、其余7位为全1（用十进制表示为0与127）的两个地址保留用于特殊目的，因此实际允许有126个不同的A类网络。A类IP地址结构适用于有大量主机的大型网络。在A类IP地址中，私有IP地址范围为10.0.0.0～10.255.255.255，即10.0.0.0/8。
（2） B类IP地址。网络号长度为16位，主机号长度为16位，地址范围为128.0.0.0～191.255.255.255。B类IP地址适用于国际性大公司与政府机构等使用。在B类IP地址中，私有IP地址范围为172.16.0.0～172.31.255.255，即172.16.0.0/12。
（3） C类IP地址。网络号长度为24位，主机号长度为8位，地址范围为192.0.0.0～223.255.255.255。C类IP地址适用于小公司与普通的研究机构。在C类IP地址中，私有IP地址范围为192.168.0.0～192.168.255.255，即192.168.0.0/16。
（4） D类IP地址。不标识网络，地址范围为224.0.0.0～239.255.255.255，用于其他特殊的用途，如多播（multicasting）。
（5） E类IP地址。地址范围为240.0.0.0～255.255.255.255，E类地址保留给实验和将来使用。
IP地址的分配是一个政策性的问题。ICANN（Internet Corporation for Assigned Names and Numbers）是Internet的中心管理机构。ICANN的IANA（Internet Assigned Numbers Authority）部门负责将IP地址分配给5个区域性的互联网注册机构（Reginal Internet Registry，RIR）。RIR将地址进一步分配给当地的ISP，如中国电信和中国网通。ISP再根据自己的情况，将IP地址分配给机构或者直接分配给用户。机构可以进一步在局域网内部将IP地址分配给各个主机。
3.2.2IP协议
IP（Internet Protocol，互联网协议）是网络层的主要协议之一，它是为了计算机网络相互连接进行通信而设计的协议，规定了连接到互联网上的所有计算机在通信时应遵守的规则。IP协议是一种不可靠、无连接的数据报传送服务协议，是点对点网络层通信协议。
网络层（network layer）是实现互联网的最重要的一层。正是在网络层上，各个局域网根据IP协议相互连接，最终构成覆盖全球的互联网。更高层的协议，无论是TCP还是UDP，必须通过网络层的IP数据包来传递信息。
IP数据包是符合IP协议的信息。IP包分为头部（header）和数据（data）两部分。头部是为了能够实现传输而附加的信息，数据部分是要传送的信息。
1. IPv4协议
IPv4协议是IP协议的第4版，是第一个被广泛使用，也是构成现今互联网技术基石的协议。IPv4地址长度为32位，分为网络地址和主机地址两个部分。IPv4数据包由头部和实际数据组成： 数据一般用来传送其他协议；包头主要包括版本、包头长度、服务类型、包总长度等部分。IPv4数据包格式如图34所示。
图34IPv4数据包格式
2 IPv6协议
随着互联网用户的增多，32位地址资源已经不能满足用户的需求了。IPv6的优势就在于它大大地扩展了地址的可用空间，其地址占16B，可以满足互联网发展的需要。IPv6地址有128位，通常写成8组，每组为4个十六进制数的形式。IPv6还对包头进行了简化，提高了路由器的吞吐量，同时强化了安全功能，支持数据包的加密。
IPv6网络中仍需要使用防火墙、入侵检测系统等安全设备，但由于IPv6的一些新特点，IPv4网络中现有的这些安全设备在IPv6网络中不能直接使用，还需要做出一些改进。
由于IPv6相对于IPv4在数据包头上有了很大的改变，所以原来的防火墙产品在IPv6网络上不能直接使用，必须做一些改进。针对IPv6的Socket（套接口）函数已经在RFC 3493： Basic Socket Interface Extensions for IPv6中定义，以前的应用程序都必须参考新的API做相应的改动。
IPv4中防火墙过滤的依据是IP地址和TCP/UDP端口号。IPv4中IP头部和TCP头部是紧接在一起的，而且其长度是固定的，所以防火墙很容易找到头部，并应用相应的策略。然而在IPv6中TCP/UDP头部的位置有了根本的变化，它们不再是紧接在一起的，通常中间还间隔了其他扩展头部，如路由选项头部、AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤操作，这对防火墙的处理性能会有很大的影响。
3.2.3IPv4向IPv6的过渡
2017年11月26日，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，并发出通知，要求各地区各部门结合实际认真贯彻落实。希望用5～10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络，实现下一代互联网在经济社会各领域深度融合应用，成为全球下一代互联网发展的重要主导力量。
目前，网络上的绝大部分设备都是IPv4设备，若把这些设备全部换成IPv6设备，所需的成本巨大；另外，网络的升级换代还要保证不中断现有业务。综合以上因素，从IPv4过渡到IPv6注定是一个渐进的过程，而且这一过程要持续相当长的时间。为了解决这些问题，IETF（Internet Engineering Task Force,互联网工程任务组）设计了3种IPv4向IPv6过渡的技术：
（1） 双协议栈（dual stack）： 节点上同时运行IPv4和IPv6两套协议栈。
（2） 隧道技术（tunneling）： 该技术将IPv6的分组作为无结构意义的数据封装在IPv4数据包中，并把这些封装了的数据包通过IPv4网络送往一个IPv4目的节点。
（3） 附带协议转换器的网络地址转换器（Network Address TranslationProtocol Translation，NATPT）： NATPT进行IPv4地址和IPv6地址转换，并包括协议翻译。
1. 双协议栈
双栈是指同时支持IPv4协议栈和IPv6协议栈。双栈节点同时支持与IPv4和IPv6节点的通信，当和IPv4节点通信时需要采用IPv4协议栈，当和IPv6节点通信时需要采用IPv6协议栈。双栈节点访问业务时支持通过DNS解析结果选择通信协议栈。即当域名解析结果返回IPv4或IPv6地址时，节点可用相应的协议栈与之通信。
双栈方式是一种直观地解决IPv4/IPv6共存问题的方式，但只有当通信双方数据包通路上的所有节点设备都支持双栈后，这种方式才能充分发挥其作用。
一个典型的IPv4/IPv6双协议栈结构如图35所示。在以太网中，数据包头的协议字段分别用值0x86DD和0x0800来区分所采用的是IPv6还是IPv4。
图35IPv4/IPv6双协议栈结构双栈方式的工作机制可以简单描述为： 链路层解析出接收到的数据包的数据段，拆开并检查包头。如果IPv4/IPv6包头图36IPv4和IPv6双协议栈
的工作过程
中的第一个字段，即IP包的版本号是4，该包就由IPv4的协议栈来处理；如果版本号是6，则由IPv6的协议栈处理。
IPv4/IPv6双协议栈的工作过程如图36所示。
双栈机制是使IPv6节点与IPv4节点兼容的最直接的方式，互通性好，易于理解。但是双协议栈的使用将增加内存开销和CPU占用率，降低设备的性能，也不能解决地址紧缺问题。同时由于需要双路由基础设施，这种方式反而增加了网络的复杂度。
2. 隧道技术
随着IPv6网络的发展，出现了许多局部的IPv6网络。为了实现这些孤立的IPv6网络之间的互通，人们采用了隧道技术。隧道技术是在IPv6网络与IPv4网络间的隧道入口处，由路由器将IPv6的数据分组封装到IPv4分组中。IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处拆封IPv4分组并剥离出IPv6数据包。
隧道技术的优点在于隧道的透明性，IPv6主机之间的通信可以忽略隧道的存在，隧道只起到物理通道的作用。在IPv6发展初期，隧道技术穿越现存IPv4网络，实现了IPv6孤岛间的互通，逐步扩大了IPv6的实现范围，因而是IPv4向IPv6过渡初期最易于采用的技术。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。
IPv6网络边缘设备收到IPv6网络的IPv6报文后，将IPv6报文封装在IPv4报文中，成为一个IPv4报文，在IPv4网络中传输到目的IPv6网络的边缘设备后，解封装，即去掉外部IPv4头，恢复原来的IPv6报文，进行IPv6转发，如图37所示。
图37IPv6报文穿越IPv4隧道
用于IPv6穿越IPv4网络的隧道技术主要有两个。
1）  IPv6手工配置隧道
IPv6手工配置隧道的源和目的地址是手工指定的，它提供了一个点到点的连接。IPv6手工配置隧道可以建立在两个边界路由器之间，为被IPv4网络分离的IPv6网络提供稳定的连接；或建立在终端系统与边界路由器之间，为终端系统访问IPv6网络提供连接。隧道的端点设备必须支持IPv4/IPv6双协议栈。其他设备只需实现单协议栈即可。
IPv6手工配置隧道要求在设备上手工配置隧道的源地址和目的地址。如果一个边界设备要与多个设备建立手工隧道，就需要在设备上配置多个隧道。所以手工隧道通常用于两个边界路由器之间，为两个IPv6网络提供连接。
一个手工隧道在设备上以一个虚拟隧道接口的方式存在，从IPv6侧收到一个IPv6报文后，根据IPv6报文的目的地址查找IPv6转发表，如果该报文是从此虚拟隧道接口转发出去的，则根据隧道接口配置的隧道源端和目的端的IPv4地址进行封装。封装后的报文变成一个IPv4报文，交给IPv4协议栈处理。报文通过IPv4网络转发到隧道的终点。
隧道终点收到一个隧道协议报文后，进行隧道解封装。并将解封装后的报文交给IPv6协议栈处理。一个设备上不能配置两个源和目的地址都相同的IPv6手工隧道。手动配置隧道如图38所示。
图38手动配置隧道
2） 6to4自动隧道
6to4自动隧道也是使用内嵌在IPv6地址中的IPv4地址建立的。6to4自动隧道可以将多个IPv6域通过IPv4网络连接到IPv6网络。与IPv4兼容自动隧道不同，6to4自动隧道支持路由器到路由器、主机到路由器、路由器到主机、主机到主机。这是因为6to4地址用IPv4地址作为网络标识，其地址格式如图39所示。
图396to4自动隧道地址格式
其格式前缀（FP）为二进制的001，这是可聚合全局单播地址的格式前缀；TLA为0x0002，这是顶级聚合标识符。也就是说，6to4节点的IPv6地址前缀是统一的2002::/16地址空间，而一个6to4网络可以表示为2002:IPv4地址::/48。
通过6to4自动隧道，可以让孤立的IPv6网络之间通过IPv4网络连接起来。6to4自动隧道是通过虚拟隧道接口实现的，6to4自动隧道入口的IPv4地址手工指定，隧道的目的地址根据通过隧道转发的报文来决定。如果IPv6报文的目的地址是6to4隧道地址，则从报文的目的地址中提取出IPv4地址作为隧道的目的地址；如果IPv6报文的目的地址不是6to4隧道地址，但下一跳是6to4隧道地址，则从下一跳地址中取出IPv4地址作为隧道的目的地址，这也称为6to4中继。6to4隧道的工作过程如图310所示。
图3106to4隧道的工作过程
3. 附带协议转换器的网络地址转换器
附带协议转换器的网络地址转换器允许只支持IPv6协议的主机与只支持IPv4协议的主机互联，一个位于IPv4网络和IPv6网络边界的设备负责在IPv4报文与IPv6报文之间进行转换。NATPT把SIIT协议转换技术和IPv4网络的动态地址转换技术结合在一起，它利用了SIIT技术的工作机制，同时又利用传统的IPv4下的NAT技术来动态地给访问IPv4节点的IPv6节点分配IPv4地址，很好地解决了SIIT技术中全局IPv4地址池规模有限的问题。同时，通过传输层端口转换技术使多个IPv6主机共用一个IPv4地址。NATPT的工作原理如图311所示。
图311NATPT的工作原理
NATPT设备上需要设置IPv4主机的转换规则、IPv6主机的转换规则、IPv6主机使用的IPv4地址。报文经过NATPT设备时，根据NATPT的转换规则对报文进行协议转换。转换规则分为如下几种：
 IPv4主机的静态规则： 一个IPv4主机对应一个虚拟的IPv6地址。
 IPv4主机的动态规则： 规定一组IPv4主机的地址如何映射成IPv6地址。通常是指定一个96位的前缀添加在原IPv4地址前面组成一个IPv6地址。
 IPv6主机的静态转换规则： 一个IPv6主机对应一个虚拟IPv4地址。
 IPv6主机的动态转换规则： 规定一组IPv6主机与IPv4地址的对应关系，IPv4地址是多个IPv6主机共享的资源。
静态NATPT 是由NATPT网关静态配置IPv6和IPv4地址绑定关系。当IPv4主机与IPv6主机之间互通时，其报文在经过NATPT网关时由网关根据配置的绑定关系进行转换。不管是IPv6主机还是IPv4主机，如果配置了静态绑定关系，则另一侧的主机可以主动向其发起连接，如图312所示。
图312静态NATPT工作原理
静态配置对那些经常在线或需要提供稳定连接的主机比较适合。对于那些不经常使用的主机，可以采用动态配置的方法。
如图313所示，IPv4侧主机采用了静态映射，而IPv6侧主机采用动态映射。当PC1向PC2发送报文时，其源地址为2001:db2::1，目的地址为2001：ad::1。此报文在到达NATPT网关时，目的地址符合IPv4静态规则，IPv4报文的目的地址为101.1.1.1。而IPv6报文的源地址符合IPv6主机的动态规则，则从规则的地址池中选择一个未使用的地址，假设是16.1.1.10，作为IPv4报文的源地址。那么转换后的IPv4报文就是源地址为16.1.1.10，目的地址为101.1.1.1。
图313动态NATPT示意图
在动态NATPT中，IPv4地址池中的地址可以复用，也就是若干个IPv6地址可以转换为一个IPv4地址，它利用了上层协议（UDP/TCP的端口）映射的方法。
动态NATPT改进了静态NATPT配置复杂、消耗大量IPv4地址的缺点。由于它采用了上层协议映射的方法，所以只用很少的IPv4地址就可以支持大量的IPv6地址到IPv4地址的转换。但由于IPv6侧的映射是动态的，如果IPv4主机向IPv6主机发起连接，由于不知道IPv6主机应用映射后的结果，所以无法直接与IPv6主机连接。这需要结合DNS ALG来实现。
应用层网关（Application Level Gateway，ALG）通过使用DNS ALG，可以做到IPv4与IPv6网络中任一方均可主动发起连接，只需要配置一个DNS服务器的静态映射即可。
例如，IPv4主机要访问IPv6主机www.abc.com，首先向IPv6网络中的DNS发出名字解析请求，报文类型为A类查询报文。这个请求到达NATPT后，NATPT对报文头部按普通报文进行转换。同时，由于DNS报文需要进行ALG处理，把A类查询报文转换成AAAA或A6类查询报文，然后将此报文转发给IPv6网络内的DNS，如图314所示。
图314NATPT DNS ALG示意图
IPv6网络中的DNS收到报文后，查询自己的记录表，解析出主机www.abc.com的IPv6地址是2001:db2::1，回应查询结果。NATPT对此报文的报文头进行转换，同时，DNS ALG将其中的DNS应答部分也进行修改，把AAAA或A6类应答转成A类应答，并从IPv4地址池中分配一个地址17.1.1.11，替换应答中的IPv6地址2001:db22::1，并记录二者之间的映射信息。
IPv4主机在收到此DNS应答之后，就知道了主机www.abc.com的IPv4地址是17.1.1.11。于是发起到主机www.abc.com的连接。由于在NATPT中已经记录了IPv4地址17.1.1.11与IPv6地址2001:db2::1之间的映射信息，因此可以对地址进行转换。
NATPT 不必修改已存在的IPv4网络就可实现内部网络IPv4主机对外部网络IPv6主机的访问，且通过上层协议映射使大量的IPv6主机使用同一个IPv4地址，节省了宝贵的IPv4地址，所以是一个很优秀的IPv4与IPv6网络之间的过渡技术。但NATPT也有它的缺点，属于同一会话的请求和响应都要通过同一NATPT设备，对NATPT设备的性能要求很高。
3.33.3VLAN技术3.3.1VLAN技术原理
虚拟局域网（Virtual Local Area Network，VLAN）是一种不受物理网络分段或者传统LAN限制的一组网络服务。它可以根据企业或机构的组织结构的需要，基于功能、部门及应用等因素将交换网络从逻辑上分段，而不受网络用户的物理位置限制，所有在同一个VLAN里的主机可以共享资源，如图315所示。
图315虚拟局域网示意图
VLAN工作在OSI网络参考模型的第二层和第三层，一个VLAN就是一个广播域，VLAN之间的通信是通过第三层的路由器来完成的。二层交换机不能让VLAN之间互相访问，VLAN之间的访问只能通过三层交换机来实现，所以在组建VLAN时一般要求要有三层交换机，这样才能实现不同VLAN之间的通信。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。即使是两台计算机有着同样的网段，但由于它们有不同的VLAN号，它们各自的广播也不会相互转发，从而有助于控制流量，减少设备投资，简化网络管理和提高网络的安全性。
在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间通信时需通过一个或多个路由器。这样的一个广播域就称为VLAN。
VLAN的划分方式共有4种： 基于端口的VLAN、基于MAC地址的VLAN、基于网络层的VLAN和基于IP多播的VLAN。
基于端口的VLAN也称静态VLAN，是最简单、最有效的VLAN划分方法，它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上划分局域网交换机的端口，从而将终端系统划分为不同的部分，各部分相对独立，在功能上模拟了传统的局域网。属于这种VLAN的端口通常通过交换机以命令行的形式加入VLAN，当交换机上某一个端口被加入到某一个VLAN之后，就固定不变，除非重新配置。配置完成以后，当主机连接到某一端口后，该主机就进入该端口所属的VLAN，能与该VLAN中的主机相互通信。此种划分方式如图316所示。
图316基于端口的VLAN
基于MAC地址的VLAN也称为动态VLAN。它是用系统的MAC地址定义的VLAN。这种方式的VLAN根据主机的MAC地址来划分，所以所有用户必须明确地分配一个VLAN。这种VLAN允许工作站移动到网络的其他物理网段时自动保持原来的VLAN成员资格。该方案在网络规模较小的时候是一个很好的选择，并且其相对于静态VLAN最大的优点在于： 当用户的物理位置发生变化时，VLAN不用重新配置，用户会自动保留其所属VLAN组的成员身份。其缺点是： 随着网络规模的扩大和网络设备、用户的增加，其管理难度也会大大增加。此种划分方式如图317所示。
图317基于MAC地址的VLAN基于网络层的VLAN有两种方案： 一种是按网络层协议来划分；另一种则是按网络地址来划分。这种方法在新增节点时实现比较方便、简单，交换机会根据IP 地址自动将其划分到不同VLAN。但其缺点是涉及网络层协议或网络地址的处理，速度比较慢。此种划分方式如图318所示。
图318基于网络层的VLAN
基于IP多播的VLAN认为任何属于同一IP多播组的主机都属于同一VLAN。所有加入同一个广播域的工作站均被视为同一个VLAN 的成员，并且成员身份可根据实际需要保留一定时间。这种方式带来了巨大的灵活性和可延展性，可以将VLAN扩展到广域网，但其效率不高。此种划分方式如图319所示。
图319基于IP多播的VLAN3.3.2VLAN技术的优缺点
采用VLAN时可将某个交换机端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其他VLAN的性能。并且VLAN能确保网络的安全性。共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口就能访问网络；而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址。
基于端口的VLAN的优点为： 由于一个端口就是一个独立的局域网，所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口。如果用户需要将数据发送到其他的VLAN中，就需要先由交换机发往路由器，再由路由器发往其他端口；同时以端口为中心的VLAN中完全由用户自由支配端口，无形之中就更利于管理。但是其不足之处在于： 当用户位置改变时，往往也伴随着网线的迁移。如果不会经常移动客户机，这是一种较好的方式。
静态VLAN与基于端口的VLAN有一些相似之处，用户可在交换机上让一个或多个交换机端口形成一个略大一些的VLAN。从一定意义上讲，静态VLAN在某种程度上弥补了基于端口的VLAN的缺点。从缺陷方面来看，静态 VLAN虽说是可以将多个端口设置成一个VLAN，但是假如两个不同端口、不同VLAN的人员聚到一起协商一些事情，就会出现问题，因为端口及VLAN的不一致往往会直接导致某个VLAN的人员不能正常访问他原先所在的VLAN（静态VLAN的端口在同一时间只能属于同一个VLAN），这样就需要网络管理人员随时配合，及时修改该线路上的端口。
与以上两种VLAN的划分方式相比，动态VLAN具有很多优点。首先，它适用于当前的无线局域网技术。其次，当用户需要对工作基点进行移动时，完全不用担心在静态VLAN与基于端口的VLAN出现的一些问题会在动态VLAN中出现，因为动态VLAN在建立初期已经由网络管理员将整个网络中的所有MAC地址都输入到路由器中，同时由路由器通过MAC地址来自动区分每一台计算机属于哪一个VLAN，之后将这台计算机连接到对应的VLAN中。与以上两种VLAN的组成方式相比，动态VLAN的缺点较少，主要不便之处是： 在VLAN建立初期，网络管理人员需将所有计算机的MAC地址进行登记，然后划分出MAC地址对应计算机的不同权限。与传统的局域网技术相比较，VLAN技术更加灵活。它具有以下优点： 网络设备的移动、添加和修改的管理开销小；可以控制广播活动；可提高网络的安全性。
3.43.4路由在对防火墙设备进行初始化时，为其配置IP路由是最基本的步骤。路由是防火墙设备判断数据包转发路径的进程，路由表中包含了一个IP网络地址列表，防火墙设备可以通过该列表提供路由转发服务。当地址转换和其他处理任务完成以后，路由条目可以判断出为了把数据包发往特定目的网络而应该将数据包交给哪个接口和网关。如果路由表中存在有效的路由条目，路由转发机制使用数据包头部的目的IP地址来决定是否要转发这个数据包；如果路由表中没有有效路由条目，防火墙设备就会丢弃这个数据包。
360新一代智慧防火墙提供了全面、完善的路由功能，不仅支持IPv4静态路由，还支持IPv6静态路由，支持静态多播路由及动态多播路由，支持多种动态路由，如RIP、OSPF、BGP、RIPng、OSPFv3、BGP4 ，扩大了防火墙系统工作在路由模式下时的网络适应能力及对IPv6网络的适应能力。
3.4.1静态路由
静态路由是实现数据包转发最简单的方式。静态路由将去往特定目的网络的流量转发给路由条目中明确指定的某个下一跳直连设备。对于防火墙设备直连的网络，无须配置任何路由条目来实现转发。在透明模式下，对于由防火墙设备自身产生并去往非直连网络的流量，需要指定静态路由。
静态路由可以为防火墙设备提供路由信息，而不需要使用任何动态路由。静态路由比任何动态路由的优先级都高，在设备需要将流量转发到目的地时，静态路由往往是转发的第一选择。静态路由的管理距离默认为1，这就是说它的优先级高于所有的动态路由，仅次于直连路由。而直连路由的优先级高于所有动态和静态路由。当有很多路由条目都可以匹配某个特定的MAC地址时，优先选择最长匹配的路由条目。最长匹配的条目是指匹配路由掩码位数最多的那个条目。
静态路由需要由用户或网络管理员手工配置路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工修改路由表中相关的静态路由信息。静态路由信息在默认情况下是私有的，不会传递给其他的路由器。当然，网络管理员也可以对路由器进行设置，使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。静态路由转发过程如图320所示。
图320静态路由转发过程
在图320中，当需要经过静态路由A向主机发送数据时，就需要在路由器A中配置路由信息，修改路由表中的信息，例如使用命令ip route 172.16.1.0 255.255.255.0 172.16.2.1，在静态路由A的路由表中添加一条向主机发送数据的路由信息。
静态路由具有以下特点：
（1） 手动配置。静态路由需要网络管理员根据实际需要逐条手工配置，路由器不会自动生成所需的静态路由。静态路由中包括目的节点或目的网络的IP地址，还可以包括下一跳IP地址（通常是下一个路由器与本地路由器连接的接口IP地址），以及在本路由器上使用该静态路由时的数据包出接口等。
（2） 路由路径相对固定。因为静态路由是手工配置的、静态的，所以每个配置的静态路由在本地路由器上的路径基本上是不变的，除非由网络管理员自己修改。另外，当网络的拓扑结构或链路的状态发生变化时，这些静态路由也不能自动修改，需要网络管理员手工修改路由表中相关的静态路由信息。
（3） 不可通告性。静态路由信息在默认情况下是私有的，不会通告给其他路由器，也就是当在一个路由器上配置了某条静态路由时，它不会被通告到网络中相连的其他路由器上。但网络管理员还是可以通过重发布静态路由为其他动态路由，使得网络中其他路由器也可获得此静态路由。
（4） 单向性。静态路由具有单向性，也就是它仅允许数据包沿着下一跳的方向进行路由，不提供反向路由。所以如果你使源节点与目的节点或网络进行双向通信，就必须同时配置回程静态路由。如果配置了到达某节点的静态路由，仍然ping不通目的地址，其中一个重要原因就是没有配置回程静态路由。
3.4.2默认路由
为避免分别为所有可能的目的网络设置静态路由条目，可以用默认路由对在路由表中找不到相应目的地址的数据包进行转发。在一些拓扑结构中，设备没有必要获得所有具体的网络信息，在这种情况下，默认路由可以最大限度地发挥作用。例如在末节网络中或只有单一路径与外部网络相连的时候，默认路由就是一条静态路由，配置默认路由和配置静态路由的方法一样，都要使用route命令，默认路由常常指向外部网络或外部接口。
默认路由（default route）是一种特殊的静态路由，当路由表中与包的目的地址之间没有匹配的表项时，路由器能够使用默认路由。如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃。当设置了默认路由后，如果IP数据包中的目的地址在路由表中找不到路由时，路由器会选择默认路由。
默认路由为0.0.0.0，匹配IP地址时，0表示通配符，任何值都是可以的，所以0.0.0.0和任何目的地址匹配都会成功，实现默认路由要求的效果。
默认路由的配置和静态路由是一样的，不过要将目的IP地址和子网掩码改成0.0.0.0和0.0.0.0。
如图321所示，网络2只有一个到公网的出口，就是路由器B。于是可以通过配置默认路由使得从网络2 内可以访问网络1内的所有IP地址，而不必逐个配置静态路由。当主机172.16.1.0发送数据包的目的地址不在路由表里时，就会使用默认路由B。默认路由B把目的IP地址和子网掩码改成0.0.0.0和0.0.0.0，这样就可以通过默认路由连接到网络1中的目的地址。
图321默认路由转发过程
当数据包到达了一个知道如何到达目的地址的路由器时，这个路由器就会根据最长匹配原则来选择有效的路由。子网掩码匹配目的IP地址而且位数最多的网络会被选择。
默认路由在某些时候非常有效，使用默认路由可以大大简化路由器的配置，减轻路由器对路由表的维护工作量，从而降低内存和CPU的使用率，提高网络性能。
3.4.3动态路由
动态路由指路由器能够自动地建立路由表，并且能够根据实际情况的变化适时地进行调整。如果路由更新信息表明发生了网络拓扑变化，路由选择软件就会重新计算路由，发出路由的更新信息。这些信息通过各个网络，引起各个路由器启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的情况。动态路由协议在一定程度上会占用网络带宽和CPU资源。
常见的动态路由协议有RIP、RIPng、OSPF、BGP等。每种路由协议的工作方式、选路原则等都有所不同。
1. RIP
路由信息协议（Routing Information Protocol，RIP）作为一种较为简单的动态路由协议有着广泛的应用。RIP是一个应用于网关和主机之间交换路由器信息的距离矢量协议。
RIP最初是为Xerox网络系统的通用协议而设计的，是Internet中常用的路由协议。RIP采用距离向量算法，即路由器根据距离向量选择路由，所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径，并且保存到达每个目的地的最少跳数的路由信息，除到达目的地的最佳路由外，任何其他信息均予以丢弃。同时路由器也把所收集的路由信息通知相邻的路由器，这样，正确的路由信息就逐渐扩散到全网。RIP简单、可靠，便于配置，但是RIP只适用于小型的同构网络。
RIP使用UDP报文进行路由信息的交换，其包头的格式如图322所示。RIP使用跳数来衡量到达目的主机的距离，RIP认为路由器到与它直接相连的网络的跳数为0，通过一个路由器可达的网络的跳数为1。为限制收敛时间，RIP规定路由权取值为1～15，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。
图322RIP包头
2. RIPng
考虑到RIP与IPv6的兼容性问题，IETF对现有技术进行改造，制定了IPv6下的RIP标准，即RIPng（RIP next generation）。RIPng是基于UDP的协议，并且使用端口521发送和接收数据报。RIPng报文大致可分为两类： 选路信息报文和用于请求信息的报文。运行RIPng的路由器维持一个到所有可能目的网络的路由表，路由器周期性地（RFC推荐为30s）向邻居节点发送该路由器的路由表，接收方通过接收邻居路由器的周期性通告来更新自己的路由表。RIPng的路由器工作过程如图323所示。
图323RIPng的路由器工作过程
在国际性网络（如因特网）中，拥有很多应用于整个网络的路由选择协议。形成网络的每一个自治系统（AS）都有属于自己的路由选择技术，不同的自治系统采用的路由选择技术也不同。内部网关协议（Interior Gateway Protocol，IGP）是一种自治系统内部的路由选择协议。外部网关协议（Exterior Gateway Protocol，EGP）是一种用于在自治系统之间传输路由选择信息的协议。RIPng在中等规模的AS中被用作IGP协议。对于较复杂的网络环境，RIPng不适用。
3. OSPF
20世纪80年代中期，RIP已不能适应大规模异构网络的互联，OSPF（Open Shortest Path First，开放式最短路径优先）随之产生。它是因特网工程任务组织（IETF）的内部网关协议工作组为IP网络而开发的一种路由协议。
使用OSPF路由协议的路由器有责任和邻居路由器会话，并获悉它们的名字。每个路由器构建一个称为链路状态广播（LinkState Advertisement，LSA）的包，该包列出了邻居路由器的名字和到达这些邻居路由器的开销。LSA被传送到所有路由器，每个路由器存储了来自其他路由器的最新的LSA。每个路由器有了完整的拓扑图后，计算出到每个目的地的路由。
OSPF是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其他路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度（metric）和其他一些变量。利用OSPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻居路由器发送路由更新信息。OSPF基于路由器每一个接口指定的开销来决定最短路径。路由的开销是指沿着到达目的网络的路由上所有出接口的开销之和。OSPF的路由器工作过程如图324所示，流入路由器A的带宽为100Mb/s，所以此部分的开销为cost=108/(100×106)=1；从路由器A到路由器B的带宽也为100Mb/s，所以此部分的开销也为cost=108/(100×106)=1；从路由器B到路由器C的带宽为128kb/s，所以此部分的开销为cost=108/(128×103)=781。因此，这段路径的开销为1＋1＋781＝783。
图324OSPF的路由器工作过程
与RIP不同，OSPF将一个自治域再划分为区，相应地有两种类型的路由选择方式： 当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并提高了网络的稳定性。当一个区内的路由器出故障时，并不影响自治域内其他区间路由器的正常工作，这也给网络的管理、维护带来了方便。
4. BGP
BGP（Border Gateway Protocol，边界网关协议）是为TCP/IP互联网设计的外部网关协议，用于多个自治域之间。它既不是基于纯粹的链路状态算法，也不是基于纯粹的距离向量算法。它的主要功能是与其他自治域的BGP交换网络可达信息。各个自治域可以运行不同的内部网关协议。BGP更新信息包括网络号和自治域路径的成对信息，自治域路径包括到达某个特定网络需经过的自治域序列。这些更新信息通过TCP传送出去，以保证传输的可靠性。
3.4.4策略路由
策略路由（policy route）是指在决定一个IP包的下一跳转发地址或下一跳默认IP地址时，不是简单地根据目的IP地址决定，而是综合考虑多种因素。例如可以根据DSCP字段、源和目的端口号、源IP地址等来为数据包选择路径。策略路由可以在一定程度上实现流量工程，使不同服务质量的流或者不同性质的数据（语音、FTP）走不同的路径。
策略路由由以下两部分组成：
（1） 匹配条件。用于区分将要应用策略路由的流量。匹配条件包括报文源IP地址、目的IP地址、协议类型、应用类型等，不同的防火墙可以设置的匹配条件略有不同。在一条策略路由规则中可以包含多个匹配条件，各匹配条件之间是“与”的关系，报文必须同时满足所有匹配条件，才可以执行后续定义的动作。
（2） 动作。对符合匹配条件的流量采取的动作，包括指定出接口和下一跳。
当有多条策略路由规则时，防火墙会按照匹配顺序，先寻找第一条规则，如果满足第一条规则的匹配条件，则按照其指定动作处理报文；否则会寻找下一条策略路由规则。如果所有的策略路由规则的匹配条件都无法满足，报文按照路由表进行转发。策略路由的匹配是在报文查找路由表之前完成的，也就是说策略路由比路由表中的路由的优先级高。策略路由工作流程如图325所示。
图325策略路由工作流程
策略路由根据一定的策略进行报文转发，因此它是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以基于标准和扩展访问控制列表，也可以基于报文的长度。而转发策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的IP优先字段。因此，策略路由是对传统IP路由机制的有效增强。
策略路由能满足基于源IP地址、目的IP址、协议字段甚至TCP和UDP的源、目的端口等多种组合进行选路。使用策略路由的管理人员可以根据它提供的机制指定一个报文采取的具体路径。策略路由工作原理如图326所示。
图326策略路由工作原理
策略路由按报文类型可以分为两种： 单播策略路由，即只针对单播报文进行控制；多播策略路由，即只对多播报文进行控制。策略路由按报文分类的工作过程如图327所示。
图327策略路由按报文分类的工作过程
策略路由既可以应用于转发的报文，此种应用称为接口策略路由；又可以应用于路由器本地产生的报文，此种路由称为本地策略路由。接口策略路由只对转发的报文起作用，对本地产生的报文（比如本地的ping报文）不起作用；而本地策略路由只对本地产生的报文起作用，对转发的报文不起作用。
策略路由具有以下优点：