云南農(nóng)業(yè)大學(xué)校園網(wǎng)防火墻配置方案.docx

網(wǎng)絡(luò)信息安全技術(shù)課程作業(yè)學(xué)院：工程技術(shù)學(xué)院專業(yè)：電氣工程及其自動(dòng)化姓名：楊雪森學(xué)號(hào)：2010311274個(gè)人防火墻與病毒防火墻的區(qū)別1.個(gè)人防火墻是位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，安裝了個(gè)人防火墻的計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。使用個(gè)人防火墻是保障網(wǎng)絡(luò)安全的第一步，選擇一款合適的個(gè)人防火墻，是保護(hù)信息安全不可或缺的一道屏障。2.因?yàn)椴《痉阑饓头阑饓浖旧矶ㄎ徊煌?，所以在安裝反病毒軟件之后，還不能阻止黑客攻擊，用戶需要再安裝防火墻類軟件來(lái)保護(hù)系統(tǒng)安全。3.病毒防火墻主要用來(lái)防病毒，防火墻軟件用來(lái)防黑客攻擊。4.病毒為可執(zhí)行代碼，黑客攻擊為數(shù)據(jù)包形式。5.病毒通常自動(dòng)執(zhí)行，黑客攻擊是被動(dòng)的。6.病毒主要利用系統(tǒng)功能，黑客更注重系統(tǒng)漏洞。7.當(dāng)遇到黑客攻擊時(shí)病毒防火墻無(wú)法對(duì)系統(tǒng)進(jìn)行保護(hù)。8.對(duì)于初級(jí)用戶，可以選擇使用個(gè)人防火墻軟件配置好的安全級(jí)別。9.個(gè)人防火墻軟件需要對(duì)具體應(yīng)用進(jìn)行規(guī)格配置。10.個(gè)人防火墻不處理病毒奧聯(lián)APN網(wǎng)絡(luò)構(gòu)架 客戶背景： 北京同仁堂連鎖藥店是著名的老字號(hào)中國(guó)北京同仁堂（集團(tuán)）有限責(zé)任公司旗下的藥品零售連鎖經(jīng)營(yíng)企業(yè)，也是同仁堂面向國(guó)內(nèi)外市場(chǎng)的窗口。從2001年成立至今，它有百余家連鎖店，在多個(gè)城市設(shè)有配送中心。 在未來(lái)兩三年內(nèi)，同仁堂連鎖店將在北京地區(qū)擴(kuò)展到100家，在全國(guó)擴(kuò)展到400家，在海外建立上百家的規(guī)模，而這些藍(lán)圖的實(shí)現(xiàn)，最基礎(chǔ)的工作就是搞好信息化建設(shè)。 方案實(shí)施： 根據(jù)同仁堂的具體情況，為其設(shè)計(jì)了以APN GW系列為VPN基礎(chǔ)平臺(tái)，搭建集團(tuán)內(nèi)部網(wǎng)絡(luò)的解決方案。 各點(diǎn)基于IPSec建立VPN通道，傳輸?shù)臄?shù)據(jù)經(jīng)過(guò)AES/3DES等多種加密算法加密；同時(shí)采用MD5/SHA1 數(shù)據(jù)摘要算法，保護(hù)數(shù)據(jù)傳輸?shù)耐暾裕?方案特點(diǎn)： APN可以使整個(gè)系統(tǒng)可以形成網(wǎng)狀、星狀、任意形狀的網(wǎng)絡(luò)拓?fù)?。而且這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)可以按照需要隨時(shí)做新的調(diào)整；APN可以自己定義節(jié)點(diǎn)的邏輯關(guān)系。如：可以設(shè)定A與B連接，與C又不可連接，而B(niǎo)與C又可以連接等； APN將同仁堂的內(nèi)部的藥店拓?fù)浣Y(jié)構(gòu)定義為網(wǎng)狀，而對(duì)于一些加盟店、供應(yīng)商則定義為星狀聯(lián)接。并在防火墻中設(shè)置了，具體的訪問(wèn)規(guī)則，很好的保護(hù)了VPN網(wǎng)絡(luò)的安全。 APN解決了總部對(duì)各門店的網(wǎng)絡(luò)管理問(wèn)題，可以對(duì)各門店的網(wǎng)絡(luò)進(jìn)行統(tǒng)一指揮、統(tǒng)一管理 。 方案實(shí)現(xiàn)功能： 1、運(yùn)行協(xié)力商霸.net管理系統(tǒng)。 2、總部和庫(kù)房運(yùn)行VOIP系統(tǒng)。 方案實(shí)現(xiàn)拓?fù)鋱D 校園網(wǎng)絡(luò)防火墻設(shè)計(jì)無(wú)論是大中型企業(yè)網(wǎng)絡(luò)，還是小型家庭辦公網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全方面的要求一直保持上升趨勢(shì)。微軟公司的官方網(wǎng)站尚且難逃黑客的魔爪，普通的中小網(wǎng)絡(luò)更難以抵抗了。解決網(wǎng)絡(luò)完全問(wèn)題最常用的防護(hù)手段就是安裝網(wǎng)絡(luò)防火墻，尤其是對(duì)大中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言，網(wǎng)絡(luò)防火墻更是必不可少的網(wǎng)絡(luò)設(shè)備。防火墻（Firewall）是指在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施總稱。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許“被同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將“不被同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)上的防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以使企業(yè)內(nèi)部局域網(wǎng)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)目的。用戶概況云南農(nóng)業(yè)大學(xué)創(chuàng)辦于1938年，前身是國(guó)立云南大學(xué)農(nóng)學(xué)院，1971年與云南農(nóng)業(yè)勞動(dòng)大學(xué)合并成立云南農(nóng)業(yè)大學(xué)。學(xué)校于1993年被列為云南省屬重點(diǎn)大學(xué)。學(xué)校專業(yè)設(shè)置合理、教學(xué)設(shè)施齊全、師資力量雄厚。云南農(nóng)業(yè)大學(xué)建校七十多年來(lái)，一代代師生秉承“開(kāi)學(xué)養(yǎng)正、耕讀至誠(chéng)”的大學(xué)精神，情系稼穡、躬耕疆域、勵(lì)精圖治、矢志創(chuàng)業(yè)，為社會(huì)做出了巨大貢獻(xiàn)。用戶需求 目前,云南農(nóng)業(yè)大學(xué)由于教學(xué)信息化規(guī)模的較大，校園網(wǎng)管理數(shù)據(jù)越來(lái)越多，需要學(xué)校對(duì)外部信息采集和處理能力的提升來(lái)加強(qiáng)與內(nèi)部信息的溝通，以實(shí)現(xiàn)教學(xué)管理共享性和時(shí)效性, 發(fā)掘管理效率. 實(shí)現(xiàn)管理、教學(xué)、決策的統(tǒng)一性，溝通暢通和協(xié)調(diào)管理。 從而最大可能地達(dá)到內(nèi)部和外部資源的最優(yōu)利用，為全校師生帶來(lái)更多的便利，也為云南農(nóng)業(yè)大學(xué)的更好發(fā)展加深基礎(chǔ)?，F(xiàn)實(shí)情況是, 云南農(nóng)業(yè)大學(xué)的招生規(guī)模擴(kuò)大，每個(gè)同學(xué)都可以在校園網(wǎng)自主查詢學(xué)習(xí)相關(guān)知識(shí)，而且校園網(wǎng)還保存有在校師生的相關(guān)重要信息。由于學(xué)校的管理人員對(duì)計(jì)算機(jī)的知識(shí)和維護(hù)技術(shù)能力有限，再加上主機(jī)連接互聯(lián)網(wǎng)后，將直接面臨來(lái)自互聯(lián)網(wǎng)的病毒和黑客的攻擊。曾經(jīng)就發(fā)生過(guò)某些高校的主機(jī)受蠕蟲(chóng)病毒和黑客的攻擊，主機(jī)系統(tǒng)崩潰，導(dǎo)致學(xué)生信息外泄和校園網(wǎng)不能正常工作的嚴(yán)重后果。 值得關(guān)注的是，由于云南農(nóng)業(yè)大學(xué)的發(fā)展日益壯大，更多的高考學(xué)子和社會(huì)企業(yè)會(huì)對(duì)學(xué)校更加關(guān)注，所以所如何才能經(jīng)濟(jì)、安全、方便、快捷的建立起一個(gè)教育網(wǎng)絡(luò)系統(tǒng)，是一個(gè)慎重的問(wèn)題。 技術(shù)方案 針對(duì)云南農(nóng)業(yè)大學(xué)目前的現(xiàn)狀和所面臨的問(wèn)題。認(rèn)真的調(diào)查，并仔細(xì)研究了可實(shí)現(xiàn)的各項(xiàng)解決方案的可能性、可行性和真實(shí)環(huán)境的測(cè)試。最終選擇了NETGEAR公司的ProSafe FR114P防火墻的設(shè)計(jì)方案。 整個(gè)項(xiàng)目設(shè)計(jì)要求最大可能地保證其所有的網(wǎng)絡(luò)設(shè)備和系統(tǒng)的正常運(yùn)行，并且可以獲得良好的管理，能夠完全控制與教育基礎(chǔ)結(jié)構(gòu)相聯(lián)系的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)的總體目標(biāo)是在不影響學(xué)校網(wǎng)絡(luò)系統(tǒng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)學(xué)校的網(wǎng)絡(luò)的安全、高速、穩(wěn)定的實(shí)時(shí)連接。 根據(jù)項(xiàng)目的具體要求及結(jié)合NETGEAR公司安全可靠的防火墻產(chǎn)品，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下： NETGEAR公司ProSafe FR114P方案能確保實(shí)現(xiàn)以下功能： 支持各種寬帶類型線路（ADSL、Cable Modem和以太網(wǎng)接入）；為各客戶端提供了方便、靈活、經(jīng)濟(jì)的通訊方式的選擇。 內(nèi)置4個(gè)10/100 Mbps局域網(wǎng)端口，可直接連接計(jì)算機(jī)或連接原有局域網(wǎng)的交換機(jī)。并且每個(gè)端口都自識(shí)別正反線的連接。 使用簡(jiǎn)單，省去了原有撥號(hào)上網(wǎng)的繁瑣，使用者只需打開(kāi)計(jì)算機(jī)，運(yùn)行業(yè)務(wù)軟件，就可以直接連接學(xué)校的數(shù)據(jù)服務(wù)器。 內(nèi)置先進(jìn)的SPI防火墻+NAT機(jī)制, 具有DoS保護(hù)(拒絕服務(wù)攻擊保護(hù))、入侵檢測(cè)等安全特性，能安全的抵御來(lái)自于互聯(lián)網(wǎng)的侵害； 最安全優(yōu)化的硬件、操作系統(tǒng)和防火墻，實(shí)時(shí)檢測(cè)技術(shù)。比拼湊而成的軟件類方案提供更高級(jí)的安全水平。 能夠根據(jù)IP地址、協(xié)議端口、服務(wù)、關(guān)鍵字以及時(shí)間段提供內(nèi)外雙向的安全控制機(jī)制. 特別是象對(duì)互聯(lián)網(wǎng)上蔓延的“蠕蟲(chóng)”的防護(hù)。 內(nèi)置打印服務(wù)器功能，使用更方便。 具有支持動(dòng)態(tài)IP域名（DDNS）的功能；便于統(tǒng)一遠(yuǎn)程維護(hù)和管理。 更具特色的是-廣域網(wǎng)IP更改通告，當(dāng)各某主機(jī)重新獲得動(dòng)態(tài)IP時(shí)，能及時(shí)將更改的信息通過(guò)E-MAIL的形式告知網(wǎng)管。以防止DDNS發(fā)生異常后，管理員無(wú)法遠(yuǎn)程維護(hù)。 支持受攻擊和異常情況E-MAIL通告.管理員可以及時(shí)獲知防火墻設(shè)備的安全情況。 設(shè)備安裝設(shè)置簡(jiǎn)單方便。內(nèi)置智能安裝向?qū)В苋^(guò)程輔助連接設(shè)置，并且能自動(dòng)識(shí)別各種廣域網(wǎng)線路類型。 內(nèi)置UPnP自動(dòng)端口映射(UPnP TM)技術(shù)，未來(lái)可以提供來(lái)自于互聯(lián)網(wǎng)的語(yǔ)音（VOIP）和視頻服務(wù)的支持，并且能和其他基于以太網(wǎng)的設(shè)備提供更好的互操作性網(wǎng)絡(luò)擴(kuò)展簡(jiǎn)單，每增加主機(jī)只需添加一臺(tái)FR114P防火墻。并且也節(jié)省了校園網(wǎng)建設(shè)成本。產(chǎn)品具有穩(wěn)定性，和可靠性。配置的基本步驟：1. 配置防火墻接口的名字，并指定安全級(jí)別（nameif）2. 配置以太口參數(shù)（interface）3. 配置內(nèi)外網(wǎng)卡的IP地址（ip address）4. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址（nat）5. 指定外部地址范圍（global）6. 設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route） 高級(jí)配置：A. 配置靜態(tài)IP地址翻譯（static） 如果從外網(wǎng)發(fā)起一個(gè)會(huì)話，會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的ip地址，static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址，允許這個(gè)會(huì)話建立。B. 管道命令（conduit） conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口，對(duì)于向內(nèi)部接口的連接，static和conduit命令將一起使用，來(lái)指定會(huì)話的建立。C. 配置fixup協(xié)議 fixup命令作用是啟用，禁止，改變一個(gè)服務(wù)或協(xié)議通過(guò)防火墻，由fixup命令指定的端口是防火墻要偵聽(tīng)的服務(wù)。D. 設(shè)置telnet 當(dāng)從外部接口要telnet到防火墻時(shí)，telnet數(shù)據(jù)流需要用ipsec提供保護(hù)，也就是說(shuō)用戶必須配置防火墻來(lái)建立一條到另外一臺(tái)防火墻，路由器或vpn客戶端