网络安全策略防火墙篇.docx

1、网络安全策略防火墙篇校园局域网安全策略防火墙篇项目名称：校园局域网安全策略防火墙篇专业班级：姓名学号指导老师1引言 32关键词注释 53企业现有网络结构 74用户现有需求及总体架构设计 94.1网络拓扑结构 94.2网络系统组成 94.3安全策略 105.效果 135.1服务器系统安全 135.2网络防病毒系统 135.3网络安全设备选型与配置 136资金预算： 151引言 随着办公自动化的需要，校园使用的计算机数目越来越多，并且，一些办公设备如打印机、传真机和扫描仪等也是用户所必须使用的。面对这种情况，最好的解决的办法是组建一个校园局域网，共享这些资源。局域网（LAN）是指在小范围内由服务器

2、和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：（1）欺骗性的软件使数据安全性降低；（2）计算机病毒及恶意代码的威胁；（3）服务器区域没有进行独立防护；（4）IP地址冲突；（5）局域网用户安全意识不强；正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。随着Internet、网络信息技术的迅速发展及各种应用的日益普及，各单位

3、计算机局域网已成为重要的基础设施，但随之而来的网络安全问题也显得尤为重要。凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段。防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但

4、防火墙不只是用于因特网，也用于Internet中的部门网络之间。在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备路由器，2关键词注释2.1 RIP (Route Information Protocol) ；2.2 PAT (Port Address Translation)；2.3 PIX (Private Internet Exchange)；2.4 NAT (Network Address Translation)；3企业现有网络结构本企业计算机网络是以3Com公司CoreBuilder 9000为企业核心层交换机，以3Com Core

5、Builder 7000HD、CoreBulider 3500和Cisco Catalyst 4006为各二级单位分布层交换机，以3Com SSII 1100/3300和Cisco Catalyst 3500为访问层交换机的三层星型网络结构，采用先进的千兆以太网技术，融合历史的ATM网络技术，结合Cisco 2511、1601等提供的DDN链路进行远程局域网络连接和移动用户拨号访问，利用Cisco 3661 的2M DDN 串型链路连接Internet。 星型网络结构4用户现有需求及总体架构设计4.1网络拓扑结构图5.3校园局域网网络拓扑结构图4.2网络系统组成硬件系统是计算机网络的基础。硬件

6、系统中设备的组合形式决定了计算机网络的类型。 （1）服务器(Unix系统)服务器是一台速度快,存储量大的计算机,它是网络系统的核心设备,负责网络资源管理和用户服务。服务器可分为文件服务器、远程访问服务器、数据库服务器、打印服务器等,是一台专用或多用途的计算机。在互联网中,服务器之间互通信息,相互提供服务,每台服务器的地位是同等的。服务器需要专门的技术人员对其进行管理和维护,以保证整个网络的正常运行。 (2)工作站工作站是具有独立处理能力的计算机,它是用户向服务器申请服务的终端设备。用户可以在工作站上处理日常工作,并随时向服务器索取各种信息及数据,请求服务器提供各种服务(如传输文件,打印文件等等

7、)。 (3)路由器路由器(Router)是互联网中使用的连接设备。它可以将两个网络连接在一起,组成更大的网络。被连接的网络可以是局域网也可以是互联网,连接后的网络都可以称为互联网。路由器不仅有网桥的全部功能,还具有路径的选择功能。路由器可根据网络上信息拥挤的程度,自动地选择适当的线路传递信息。(4)交换机交换机的三个主要功能：学习：以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。转发/过滤：当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。消除回路

8、：当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。4.3安全策略PIX 防火墙能对诸如Web、FTP、Telnet、和 SMTP等网络服务分别提供安全策略，使企业网络安全配置具有灵活性和高性能。为了有效地在企业网络中使用防火墙，需要规划网络安全策略以保护重要的数据资源，通过建立和改进企业网络安全策略，能防止企业外部网络的非法恶意攻击，控制企业网络失效的概率。 网络安全策略必须确保用户只能执行被授权的任务和获取被授权的信息，不能具有对关键数据、应用程序和系统操作环境破坏的能力。为了建立全面的网络安全策略，网络管理员需确定以下作：（1）出企业网络完全示意

9、图，说明系统连接至Internet细节，服务器细节及相应的IP地址。（2）识出应被保护的系统，能被外部网络访问的系统等。PIX 防火墙的网络地址转换功能（NAT）能实现这些功能。（3）识出内部网络的么服务能被外部网络访问，并说明外部用户访问这些服务所需的验证和授权方法、类型。（4）标识出与防火墙协调工作的路由器。需要说明的是，PIX防火墙不能防止来自网络内部的恶意攻击，为了防止这些内部威胁，所有的内部网络用户只需分配与其工作相适应的最小权限。我们以校园计算机网络为例，根据PIX防火墙的功能，说明企业网络安全策略的规划和实施。根据校园计算机网络Internet访问的系统配置，画出系统示意图：在此

10、网络中，PIX防火墙安装了两个接口，一个内部接口Inside（10.124.1.253）和一个外部接口Outside（127.104.10.23），Inside接口连接企业内部网络10.124.0.0，Outside接口连接外部Internet。Inside接口连接的企业内部网络使用私有IP地址，Outside接口连接的外部的网络连接设备使用Internet合法的IP地址。此网络的Internet的访问使用一台Cisco 3600路由器，通过2M DDN数据专线连接至Internet，防火墙外设置的一台服务器主要作为DNS服务，进行Web和电子邮件的域名解析。基本的Internet访问安全策略

11、是内部网络授权用户可以访问外部Internet，而外部Internet用户不能访问内部网络；E-mail服务实现内外部网络电子邮件的相互访问，允许外部Internet电子邮件进入内部网络，即内部网络用户只需设置一个邮件账号，即可实现内部网络和外部Internet网络电子邮件的收发；实现企业信息的对外发布。根据上述安全策略的要求，内部网络需设置一台使用Cisco ACS 2.3软件的AAA验证服务器以适合PIX 525防火墙实现Internet访问的授权，只有授权用户才能进行相应服务类型的Internet访问。为了实现内部网络用户访问Internet，利用PIX防火墙的网络地址转换（NAT）功能

12、，将内部网络地址转换为外部合法IP地址。为了允许外部网络访问内部E-mail服务资源，利用PIX防火墙的静态地址映射（Static）功能，将外部虚拟邮件服务器地址127.104.10.25和内部网络邮件服务器地址10.124.1.12映射捆绑而实现内外部网络电子邮件的收发。例如，当内部用户向外部网络发送E-mail时，PIX防火墙将10.124.1.12地址转换为127.104.10.25；当外部用户向内部网络发送E-mail时，PIX防火墙将127.104.10.25地址转换为10.124.1.12，从而实现内外部邮件的收发。为了实现企业信息的对外发布，即可使外部用户访问内部WWW服务器，也

13、可在防火墙外部Outside网络端或Perimeter网络端设置WWW服务器，我们在此选择了在防火墙外部Outside网络端设置了一台WWW服务器用于企业信息的对外发布，此服务器也可进行外部合法IP地址的解析。通过对网络安全策略的分析，总结具体的实现方法，就可利用防火墙相应的功能进行适当的配置以实现Internet访问的安全。5.效果5.1服务器系统安全服务器系统安全的实现,与网络系统的安全策略紧密相关。校园网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接互相访问。内网、外网之间设置非军事区,所有内网、外网之间的访问全部通过防火墙实现。 基本发上原则,校内的网络应用系统服务器安全。WW

14、W、E-mail等服务器设置在非军事区,以实现内网和外网的访问。 5.2网络防病毒系统建议安装卡巴斯基互联网安全套装6.0，该软件功能强大，可反病毒、扫描网络数据流、系统文件保护、主动防御、反间谍软件。网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作；要求提供多种防病毒软件的安装方式；网络管理员可远程监控客户机，发现病毒可以及时得到通知；网络管理员可以对网络中每台计算机进行防病毒控制和管理；所有客户端和服务器具有统一的杀毒版本。该用户选择了瑞星公司的杀毒软件网络版，以此为基础作为网络防病毒解决方案，采用分级管理、多重防护的管理架构。5.3网络安全设备选型与配置防火墙定义：防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙的功能：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。为什么使用防火墙呢？防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。6资金预算：