防火墙技术及其在校园网中的设计方案
防火墙技术及其在校园网中的设计方案
作 者 李 旭
一. 网络安全技术
目前,各种网络安全技术在不断涌现,但最常用的技术就是防火墙技术。
防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其它操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。
防火墙通过一些特殊的方法,实现内部网络的访问控制及其它安全策略,从而降低内部网络的安全风险,保护内部网络的安全。但基于防火墙自身的的弱点,使其无法避免某些安全风险,例如网络内部的攻击,内部网络与Internet的直接连接等。
二. 防火墙的工作原理
(1)包过滤防火墙
包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则,也可以在建立防火墙之后,根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分:执行动作和选择准则,执行动作包括拒绝和准许,分别表示拒绝或者允许数据包通行;选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后,防火墙在接收到一个数据包之后,就根据所建立的准则,决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。
(2)代理防火墙
代理防火墙一般应用层网关来实现。应用层网关位于TCP/IP协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中,应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时,在访问Internet之前首先应登录到代理服务器,代理服务器对该用户进行身份验证检查,决定其是否允许访问Internet,如果验证通过,用户就可以登录到Internet上的远程服务器。同样,从Internet到内部网络的数据流也由代理服务器代为接收,在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层,因此对不同的Internet服务应有相应的代理服务器,常见的代理服务器有Web、Ftp、Telnet代理等。
三. 校园网拓扑结构和设计方案
该所大学现有教职工总数1000多人,在校大学生总数10000多人。学校的校园网络建设比较发达,校园资金比较雄厚。网络接口到每一个学生宿舍,因此上网用户非常多,校园内共有32个合法的C类地址用于教职工网络,用1个私有的B类地址用于学生上网。
1)拓扑结构
2)防火墙的选购
由于该大学的资金比较充裕,故我们选择具有高性能的锐捷公司的新一代防火墙产品RG-WALL 1000(如下图所示)。
RG-WALL 1000拥有极其优良的性能。它具有1.8Gbps的数据吞吐量和200万最大并发连接数,VPN吞吐量达到了400Mbps,最大策略数也达到了65535个,平均无故障时间达到了50000个小时以上,并且无限制用户数,整体性能非常强劲,适合于大型校园网络。
这款硬件防火墙最大的特色就是采用了锐捷网络公司独有的分类算法,这种分类算法让RG-WALL 1000不受策略数和会话数多少影响,并且安装后不会影响校园网络速度。RG-WALL 1000在核心层处理数据包的接收,分类,转发工作,不会造成网络流量瓶紧现象发生。这款硬件防火墙具有入侵监控功能,并且可判断黑客攻击的方式,提供解决措施,防止黑客攻击,RG-WALL 1000在进行入侵监控的时候,并不会影响防火墙的性能。RG-WALL 1000提供了URL过滤功能,可以控制校园用户对非法站点的访问。它可以实现IP地址和MAC地址的绑定,防止校园内部网络用户更换IP地址,进行恶意攻击。这款硬件防火墙具有流量控制功能,可以分配合理的带宽给校园用户。RG-WALL 1000还具有HTTP透明代理,NAT功能和VPN等功能,能够充分满足校园网络的需要。
RG-WALL 1000拥有2个10/100MB端口和2个1000MB端口,并且具有4个扩展插槽,可连接锐捷公司提供的其他模块,达到扩展作用。这款硬件防火墙支持锐捷公司专用的图形界面软件 ,使用十分方便,便于校园用户管理。
RG-WALL 1000的整体性能强劲,其独有的分类算法技术,大大提高了这款硬件防火墙的性能。这款硬件防火墙的功能也十分丰富,能阻挡很多攻击方式,并且可通过在线升级软件,修补各种漏洞 ,对大中型高校来说,无疑是一个绝佳的选择。
四. 体系构建
高端硬件防火墙一般比较昂贵。即使可以 $100 的低价格购买,但防火墙的成本也要高得多,因为价格通常是基于并发会话的数量、吞吐量和可用性要求的。但对于这样资金雄厚的大学来说,值得装这样的防火墙。其体系结构如下:
五、合理配置和管理策略
防火墙并不是万无一失的安全策略,所以对它们必须加以合理的管理。说到保护网络资产和业务关键基础设施免受攻击,大多数组织设立的第一道防线就是防火墙,但遗憾的是,防火墙往往又是最后一道防线。许多组织认为,防火墙就是保护基础设施投资的护身盔甲。更贴切的说法应该是胸甲——它护得了要害部位,但护不住头和脚。有鉴于此,防火墙应当仍然构成第一道防线,但必须同时得到其它深度防御安全策略的援助。
尽管业界已尽了最大努力,但没有哪个防火墙能保护主机避免针对网络服务的“零时间”漏洞(zero-day exploit)。然而,如果配置及维护得当,就有助于约束攻击者通过被入侵主机进行的破坏行为。控制离开被入侵网络的网络流量,这往往能阻挠攻击者获得进一步获取权限或者入侵其它内部主机所必要的工具。防火墙往往是项目安全预算当中最大的单笔开支。防火墙安装在环境内时备受关注,而且往往配置准确。然而,等到基础设施运行了一年半载,防火墙却通常再也无法提供过去的那种保护。
专业人员在评估及审查了众多防火墙策略(有时含有成百上千条规则)之后,强烈建议:应当对防火墙策略安排年度审查以及“彻底清理”。防火墙管理员和基础设施的开发人员及维护人员都能够出面评估所需的策略更改,这很重要。重点应当放在尽量降低策略的复杂性,同时确保进出网络流量得到控制。
然后,利用各种端口扫描和确认方法,测试防火墙的安全性。对防火墙进行扫描本身作用有限,不过有助于发现通常应当禁止的任何服务或系统响应(譬如,对ICMP、路由协议和开放管理端口的响应)。不过,对与 防火墙相连的所有网段的每个主机进行扫描,并且把发现结果同基于策略的预期结果进行对照,这极其重要。就长期而言,要确保防火墙管理员在使用最新的防火墙和主机操作系统方面接受全面培训。如果运行基于防火墙的VPN隧道服务,还要评估各种相关的策略及配置。 正如不该把防火墙视为万无一失的安全防御机制那样,还应确保这个重要部件得到妥善维护和管理。毕竟,护身盔甲上的胸甲的保护功效完全取决于钢板和铁匠。
路由器防火墙保护的几个主要漏洞
(1)防火墙应用系统和主机操作系统没有打上安全补丁,予以更新。
(2)随意向要求更改防火墙策略的受保护环境添加新主机。增添主机规则时,又往往是千篇一律的规则,从而影响了现有主机的安全性。
(3)从基础设施移走主机时未对防火墙策略进行相应更改。万一主机遭到远程入侵,就会造成策略“漏洞百出”。
(4)增添“临时的”策略更改,试图解决一年到头出现的一次性问题。获取及安装受保护主机的最新安全补丁或更新程序的系统管理员往往喜欢这样。
(5)重新审查防火墙日志的次数越来越少。管理员用于监控防火墙日常运转的时间不是很多,结果没人注意攻击。
(6)管理防火墙的任务交给了水平较差、更改防火墙策略能力较差的人,尤其是增添的规则往往限制入站流量,却对出站流量未加任何限制。
(7)许多人获得了管理防火墙的权限,结果弄得谁也不知道为什么要制订某些规则,也不知道更改规则的重要性。
六.经费预算和实施计划
我们选用的防火墙是锐捷网络RG-WALL 1000得防火墙,报价:39万元左右。
交换机采用华为3Com Quidway S1526(10台):报价:20000元/10台
合计:410000元
七、网络物理安全管理
1. 机房的安全技术管理
(a)机房的安全要求。电梯和楼梯不能直接进入机房;
(b)建筑物的周围应有足够亮度的照明设施和防止非法进入的设施;
(c)外部容易接近的进出口应有栅栏或监控措施,而周边应有物理屏障和监视报警系统;
(d)机房进出口须设置应急电话;
(e)机房供电系统要将照明用电系统和计算机供电系统分开;
(f)机房建筑物方圆 100m 内不能有危险建筑物;
(g)机房内应设置更衣室和换鞋外,机房的门窗具有良好的封闭性能。
2. 通信线路安全管理
采用加压电缆、报警系统和加强警卫等措施。
3. 设备安全管理
①硬件设备的维护管理。
③信息存储媒体的安全管理。
②电磁兼容和电磁辐射的防护。
防火墙技术及其在校园网中的设计方案相关推荐
- 防火墙技术在计算机网络安全中的应用分析,计算机网络安全中防火墙技术的应用分析...
计算机网络安全中防火墙技术的应用分析 张忠霜 湛江科技学院 524000 摘要:在我国计算机技术不断发展和进步的现阶段,这项技术已经广泛应用于各行各业的建设中,为我国居民的生活和工作提供了更多的便利, ...
- VB多层防火墙技术的研究-状态检测
word完整版可点击如下下载>>>>>>>> VB多层防火墙技术的研究-状态检测(源代码+系统+开题报告+中期报告).rar-VB文档类资源-CSDN下 ...
- 【转】校园网综合布线系统设计方案
计算机网络技术与综合布线系统息息相关.计算机和通信技术的飞速发展,网络应用已成为人们日益增长的一种需求:而结构化布线是网 络实现的基础,是现今和未来计算机网络和通信系统的有力支撑环境.所以在设计综合布 ...
- 施工管理在计算机上的应用论文,【计算机专业毕业论文】关于计算机应用技术在工程项目管理中的应用...
[计算机专业毕业论文]关于计算机应用技术在工程项目管理中的应用 (6页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦! 9.9 积分 [计算机专业毕业论文]关 ...
- 《CCNP安全防火墙642-618认证考试指南》——1.4节防火墙技术
本节书摘来自异步社区<CCNP安全防火墙642-618认证考试指南>一书中的第1章,第1.4节防火墙技术,作者[美]David Hucaby , Dave Garneau , Anthon ...
- 网络安全技术 —— 防火墙技术基础
点击上方"蓝字"关注我们吧 什么是防火墙 防火墙在计算机术语中是一种用来隔离两个或多个网络的软硬件一体的网络设备.它位于多个网络的连接处,如本地网与广域网的连接处等网络位置,通过安 ...
- 技术干货 | Docker容器中需要避免的十种常见误区
当下最火爆的Docker,是一个开源的应用容器引擎.大家已经开始认同并接受容器技术,并意识到它能够解决多种现实问题并具备一系列无可比拟的优势.今天小数就和大家聊一聊容器技术的优势和误区,帮助大家更好地 ...
- stk在计算机仿真中的应用_浅析仿真技术在激光系统设计中的应用
摘要:激光系统仿真技术是指仿真技术与激光工程技术相结合,为激光系统及激光器的设计分析.技术风险预估.复杂环境模拟及性能评估等提供理论验证手段和模拟平台.激光系统仿真技术包括系统仿真与建模技术,多物理场 ...
- 计算机网络在实践中的应用,计算机网络技术及在实践中的应用
摘 要隨着社会的快速发展,计算机网络技术也得到迅猛发展,计算机网络技术已经广泛应用于人们的生活和工作中.如今,计算机网络技术已经趋向成熟,应用范围也在不断扩大.计算机网络技术实际上是以下几种技术的结合 ...
最新文章
- 系统技术方案 系统构架_构架系统时应注意的事项
- Cloud Native概念
- java对话框背景图片插入_关于java编程窗体加背景图片的问题
- 开源Math.NET基础数学类库使用(04)C#解析Matrix Marke数据格式
- apache 官方 Dubbo 文档
- C++开发工程师进阶路线
- Unity加载模块深度解析(网格篇)
- 虚拟化:侧信道攻击案例
- 服务端渲染(SSR)
- 2021.4.19-2021.4.25周报
- 计组中原码一位乘和原码二位乘方法和注意事项
- 北鲲云超算平台助力国产芯片设计
- java关于ServletConfig FilterConfig什么用
- A股数据分析之收集数据:股票列表和股价
- 公司php笔试题实习生2018,2018 新浪校招 PHP 实习生 电话面试总结
- 把软件装进U盘,真正做到即插即用
- Vue中 使用vue-particles(粒子背景)插件美化登录页面
- 如何阻断华为员工的自杀之路
- 离人眼里的百度百态——献给过往
- jackson多态序列化与反序列化