第7章防火墻技術(shù)

1、曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 防火墻是在網(wǎng)絡(luò)安全防范中使用最多的技術(shù)，已成為企業(yè)網(wǎng)絡(luò)中實施安全保護的核心，企業(yè)安全管理員利用防火墻實現(xiàn)相關(guān)的安全規(guī)則，來保護企業(yè)內(nèi)部的網(wǎng)絡(luò)設(shè)備和信息，目前為止，這是最有效的網(wǎng)絡(luò)和設(shè)備保護措施。本章主要介紹了防火墻的功能與分類、防火墻的主要技術(shù)、防火墻體系結(jié)構(gòu)、防火墻配置、防火墻的選型、主流防火墻產(chǎn)品簡介、防火墻發(fā)展動態(tài)與趨勢、防火墻部署實例。第第7章防火墻技術(shù)章防火墻技術(shù)7.1防火墻基礎(chǔ)7.1.1防火墻的定義7.1.2 防火墻的特點7.2 防火墻的功能與分類7.2.1防火墻的功能7.2.2防火墻的分類7

2、.3防火墻的主要技術(shù)7.3.1包過濾技術(shù)7.3.2應(yīng)用級網(wǎng)關(guān)防火墻7.3.3 深度包過濾技術(shù)7.4防火墻體系結(jié)構(gòu)7.5防火墻配置7.5.1網(wǎng)絡(luò)防火墻配置7.5.2防火墻的組網(wǎng)結(jié)構(gòu)7.5.3個人防火墻配置第第7章章 防火墻技術(shù)防火墻技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 7.6防火墻的選型7.6.1 防火墻的選擇原則7.6.2 選擇防火墻的兩個要素7.7 主流防火墻產(chǎn)品簡介7.7.1 天融信防火墻7.7.2 聯(lián)想防火墻7.7.3 瑞星防火墻7.7.4 360 arp防火墻7.8 防火墻發(fā)展動態(tài)與趨勢7.9 防火墻部署實例7.9.1 某校園網(wǎng)防

3、火墻部署7.9.2 某公司網(wǎng)絡(luò)防火墻部署7.9.3 某餐飲企業(yè)防火墻方案第第7章章 防火墻技術(shù)防火墻技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 防火墻是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的防御系統(tǒng)。防火墻技術(shù)是保護網(wǎng)絡(luò)不受侵犯的最主要技術(shù)之一。防火墻一般位于網(wǎng)絡(luò)的邊界上，按照一定的安全策略，對兩個或多個網(wǎng)絡(luò)之間的數(shù)據(jù)包和連接方式進行檢查，來決定對網(wǎng)絡(luò)之間的通信采取何種動作，比如允許，拒絕，或者轉(zhuǎn)換。其中被保護的網(wǎng)絡(luò)通常稱為內(nèi)部網(wǎng)絡(luò)，其它稱為外部網(wǎng)絡(luò)。 7.17.1防火墻基礎(chǔ)防火墻基礎(chǔ) 7.1.1 7.1.1 防火墻的定義防火墻的定義 曾湘黔主編：曾湘黔主編

4、： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版典型的防火墻具有以下三個方面的基本特征： 1內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 2只有符合安全策略的數(shù)據(jù)流才能通過防火墻 3防火墻自身應(yīng)具有非常強的抗攻擊免疫力7.1.2 7.1.2 防火墻的特點防火墻的特點曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版防火墻的主要有以下功能 1網(wǎng)絡(luò)安全的屏障2強化網(wǎng)絡(luò)安全策略3防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。

5、另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是一項非常重要的工作。4防止內(nèi)部信息的外泄7.2 7.2 防火墻的功能與分類防火墻的功能與分類7.2.1 7.2.1 防火墻的功能防火墻的功能曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 現(xiàn)有的防火墻主要有：包過濾型、應(yīng)用級網(wǎng)關(guān)型、復(fù)合型以及其他類型防火墻。 包過濾通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過濾的功能。包過濾規(guī)則以IP包信息為基礎(chǔ)，對IP源地址、目標(biāo)地址、封裝協(xié)議、端口號等進行篩選。包過濾在網(wǎng)絡(luò)層進行。 應(yīng)用級網(wǎng)關(guān)型防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點（Pr

6、oxy Server)連接，中間節(jié)點再與提供服務(wù)的服務(wù)器實際連接。與包過濾防火墻不同的是，內(nèi)外網(wǎng)間不存在直接的連接，而且代理服務(wù)器提供日志（Log）和審計服務(wù)。 復(fù)合型包過濾和應(yīng)用級網(wǎng)關(guān)兩種方法結(jié)合起來，形成新的防火墻，由堡壘主機提供代理服務(wù)。.2防火墻的分類防火墻的分類曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 包過濾防火墻一般上作在網(wǎng)絡(luò)層，通常基于一定的規(guī)則完成數(shù)據(jù)包的匹配和過濾，規(guī)則內(nèi)容包括:源/口標(biāo)地址，源口標(biāo)端口號，協(xié)議和標(biāo)志位等。包過濾防火墻的關(guān)鍵在于過濾規(guī)則的設(shè)計。它的優(yōu)點在于實現(xiàn)方式簡單，靈活，對內(nèi)部網(wǎng)絡(luò)用戶和應(yīng)用程

7、序完全透明，性能開銷小，處理速度較快。但缺點也很明顯，其定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來問題，允許數(shù)據(jù)包自接通過，容易造成數(shù)據(jù)驅(qū)動式攻擊的潛在危險。而且由于上作信息不完全，無法有效的區(qū)分同一IP地址上的不同用戶，它的安全性相對較低。它對欺騙性攻擊很脆弱，一旦被攻破，無法查找攻擊來源。當(dāng)采用嚴(yán)格過濾標(biāo)準(zhǔn)時，會降低網(wǎng)絡(luò)傳輸性能。 7.37.3防火墻的主要技術(shù)防火墻的主要技術(shù).1包過濾技術(shù)包過濾技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 應(yīng)用級網(wǎng)關(guān)防火墻主要上作在應(yīng)用層，應(yīng)用代理服務(wù)技術(shù)能將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，使得網(wǎng)

8、絡(luò)內(nèi)部的客戶不自接與外部的服務(wù)器通信。它的基本上作過程是:當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，再由代理服務(wù)器將數(shù)據(jù)傳給客戶機。由于外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。 .2應(yīng)用級網(wǎng)關(guān)防火墻應(yīng)用級網(wǎng)關(guān)防火墻曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版深度包過濾，就是將入侵檢測系統(tǒng)和IPS整合起來。不僅過濾網(wǎng)絡(luò)層和傳輸數(shù)據(jù)包頭部，而且在應(yīng)用層深入到正在服務(wù)器的數(shù)據(jù)包的有效載荷的內(nèi)容部分，搜尋合法或者非法的內(nèi)容以決定是否允許數(shù)據(jù)包

9、通過，或者查找常見的攻擊，并丟棄與之相關(guān)的會話。1.主要優(yōu)勢體現(xiàn)在以下幾方面: （1）理解更深層次的協(xié)議。 （2）漏檢率更低。 （3）更強的防御能力。2.深度包過濾主要有數(shù)據(jù)包內(nèi)容分析和管理應(yīng)用程序兩方面的功能。 (1)數(shù)據(jù)包內(nèi)容分析 (2)管理應(yīng)用程序 3.深度包過濾的步驟策略 7.3.3 7.3.3 深度包過濾技術(shù)深度包過濾技術(shù)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 1雙重宿主主機體系結(jié)構(gòu):雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑，至少有2個網(wǎng)絡(luò)接口。 2被屏蔽主機體系結(jié)構(gòu):被屏蔽主機體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開

10、，這種體系結(jié)構(gòu)主要的安全由數(shù)據(jù)包過濾提供 3被屏蔽子網(wǎng)體系結(jié)構(gòu):被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu) 7.47.4防火墻體系結(jié)構(gòu)防火墻體系結(jié)構(gòu)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 網(wǎng)絡(luò)防火墻的默認(rèn)設(shè)置一般都只能是普遍的設(shè)置，也就是說這樣的設(shè)置要大致適合成千上百用戶。其實不同用戶對于上網(wǎng)的安全要求是不一樣的，普通的設(shè)置就不一定適合所有用戶。 1.功能設(shè)置2.規(guī)則設(shè)置 7.57.5防火墻配置防火墻配置7.5.1網(wǎng)絡(luò)防火墻配置網(wǎng)絡(luò)防火墻配置曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版1.

11、 控制來自因特網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問這是一種應(yīng)用得最廣、最為重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護內(nèi)部網(wǎng)絡(luò)不遭受外網(wǎng)用戶的攻擊。目前很多企業(yè)、特別是中小型企業(yè)采用防火墻的主要原因。在這種應(yīng)用環(huán)境中，防火墻網(wǎng)絡(luò)可劃分為3個不同級別的安全區(qū)域：內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、DMZ（非軍事區(qū)）。用戶需要對不同的安全區(qū)域應(yīng)用不同的安全策略。 2. 控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問這種應(yīng)用環(huán)境就是在一個企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對一些安全安全敏感的部門進行隔離保護。通過防火墻保護內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問。 .2防火墻的組網(wǎng)結(jié)構(gòu)防火墻的組網(wǎng)結(jié)構(gòu)曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)

12、安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 天網(wǎng)防火墻是國內(nèi)外針對個人用戶最好的中文軟件防火墻之一，在安裝完天網(wǎng)防火墻時，會彈出設(shè)置向?qū)АＲ话阌脩敉ǔ＿x擇的安全級別為“中”就可以了。 對于高級用戶，有時候需要自己來自定義規(guī)則來實現(xiàn)特殊要求。 1.添加規(guī)則 2.備份與恢復(fù)規(guī)則 3.天網(wǎng)防火墻下實現(xiàn)BT加速 4.擋住部分網(wǎng)頁病毒的方法 .3個人防火墻配置個人防火墻配置曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 防火墻作為網(wǎng)絡(luò)邊界的安全哨卡，其重要性已經(jīng)越來越得到企業(yè)的認(rèn)可。這就意味著防火墻的市場需求越來越大。也因此，國內(nèi)外眾多商家紛

13、紛投身防火墻市場的激烈競爭，這樣就形成了防火墻產(chǎn)品的品牌、檔次五花八門，參差不齊，企業(yè)選擇防火墻也就眼花繚亂，無所適從。那么，作為企業(yè)級用戶，如何來選擇一款既滿足需求，又價格合理的防火墻產(chǎn)品呢？ 7.6 7.6 防火墻的選型防火墻的選型曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 1做好需求分析 選擇產(chǎn)品的第一個步驟就是針對企業(yè)自身的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)、用戶及通信流量規(guī)模、防攻擊能力、可靠性、可用性、易用性等具體需求進行分析。 2.選擇原則 在整理出具體的需求以后，可以得到一份防火墻的需求分析報告。下一步的工作就是在眾多的品牌和檔次中選出滿足各種

14、需求的品牌，并考慮一定的擴展性要求。選擇的主要原則有： （1）以需求為導(dǎo)向 選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項指標(biāo)具有較強的專業(yè)性，因此企業(yè)在選擇時，有必要把防火墻的主要指標(biāo)和需求聯(lián)系起來。另外，還要考慮到企業(yè)可承受的性價比。 （2）對于產(chǎn)品的選型 可參考的指標(biāo)來源有廠家提供的技術(shù)白皮書、各種測評機構(gòu)的橫向?qū)Ρ葴y試報告，從中可以了解產(chǎn)品的一些基本性能情況。 （3）按需求給方案 要完全按照企業(yè)的實際需求來對比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對防火墻在統(tǒng)一測試條件和測試環(huán)境下進行橫向?qū)Ρ取?7.6.1 7.6.1 防火墻的選擇原則防火墻的選擇原則曾湘黔主編：曾湘黔

15、主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 1.防火墻管理的難易度 防火墻管理的難易度是防火墻能否達到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻的原因，除了先前提到的包過濾并不能達到完全的控制之外，設(shè)定工作困難、須具備完整的知識以及不易除錯等管理問題，更是一般企業(yè)不愿意使用的主要原因。 2.防火墻自身的安全性 大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點：防火墻也是網(wǎng)絡(luò)上的主機之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強，也不能完全保護內(nèi)部網(wǎng)絡(luò)。 7.6

16、.2 7.6.2 選擇防火墻的兩個要素選擇防火墻的兩個要素曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.7.1 7.7.1 天融信防火墻天融信防火墻 網(wǎng)絡(luò)衛(wèi)士NGFW ARES系列防火墻產(chǎn)品，是天融信公司為行業(yè)分支機構(gòu)、中小型企業(yè)、教育行業(yè)非骨干節(jié)點院校、單位內(nèi)部的部門級等中小用戶開發(fā)的高性價比的安全平臺。7.7.2 7.7.2 聯(lián)想防火墻聯(lián)想防火墻 網(wǎng)御power v（強五）系列防火墻作為聯(lián)想網(wǎng)御的主流防火墻機型。網(wǎng)御強五防火墻在支持狀態(tài)檢測、地址轉(zhuǎn)換、虛擬主機、端口映射、連接狀態(tài)監(jiān)控、與入侵檢測系統(tǒng)聯(lián)動、雙機熱備、負(fù)載均衡、抗攻擊能力、寬帶管理

17、、p2p應(yīng)用的控制、深度過濾、網(wǎng)絡(luò)多鏈路和對voip的支持等方面均達到了一個新的高度。 7.7 7.7 主流防火墻產(chǎn)品簡介主流防火墻產(chǎn)品簡介 曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.7.3 7.7.3 瑞星防火墻瑞星防火墻瑞星個人防火墻2010是最近推出的防火墻產(chǎn)品。網(wǎng)絡(luò)監(jiān)控 網(wǎng)絡(luò)攻擊攔截：阻止黑客攻擊系統(tǒng)對用戶造成的危險。 出站攻擊防御：最大程度解決“肉雞”和“網(wǎng)絡(luò)僵尸”對網(wǎng)絡(luò)造成的安全威脅。 惡意網(wǎng)址攔截：保護用戶在訪問網(wǎng)頁時，不被病毒及釣魚網(wǎng)頁侵害。工作模式 交易模式：適用于用戶進行炒股、網(wǎng)銀交易、網(wǎng)上購物時的安全要求。 “云安全”（C

18、loud Security）計劃 與全球瑞星用戶組成立體監(jiān)測防御體系，最快速度發(fā)現(xiàn)安全威脅，解決安全問題，共享安全成果。7.7.4 360 arp7.7.4 360 arp防火墻防火墻 360安全衛(wèi)士已經(jīng)集成arp防火墻，可以在360安全衛(wèi)士-360實時保護-功能設(shè)置-Arp防火墻中進行相關(guān)設(shè)置。 曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版1.防火墻技術(shù)發(fā)展概述傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，所以也俗稱“邊界防火墻”。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級

19、網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動態(tài)包過濾技術(shù)，在實際運用中，這些技術(shù)差別非常大，有的工作在OSI參考模式的網(wǎng)絡(luò)層；有的工作在傳輸層，還有的工作在應(yīng)用層。2.防火墻未來的技術(shù)發(fā)展趨勢隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。（1）防火墻包過濾技術(shù)發(fā)展趨勢 （2）多級過濾技術(shù) （3）使防火墻具有病毒防護功能。 7.8 7.8 防火墻發(fā)展動態(tài)與趨勢防火墻發(fā)展動態(tài)與趨勢曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版 3.防火墻的體系結(jié)構(gòu)發(fā)展趨勢隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的

20、要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。 4.防火墻的系統(tǒng)管理發(fā)展趨勢防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面： （1）首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。 （2）強大的審計功能和自動日志分析功能。 （3）網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 5分布式防火墻技術(shù) （1）分布式防火墻的產(chǎn)生 7.8 7.8 防火墻發(fā)展動態(tài)與趨勢防火墻發(fā)展動態(tài)與趨勢曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.9.1 7.9.1 某校園網(wǎng)防火墻部署某校園網(wǎng)

21、防火墻部署 某大學(xué)已經(jīng)實現(xiàn)校園內(nèi)計算機連網(wǎng)、信息資源共享，并通過CERNET與Internet互聯(lián)。校園網(wǎng)現(xiàn)有連網(wǎng)節(jié)點900多個。網(wǎng)絡(luò)結(jié)構(gòu)：建筑物之間采用光纖連接，電教樓為中心點，向校內(nèi)其他建筑物輻射；樓內(nèi)水平線纜采用五類屏蔽雙絞線。中心交換機采用Cisco路由交換機；二級交換機為Cisco路由交換機。1.安全隱患經(jīng)檢查，該校校園網(wǎng)安全隱患有 校園網(wǎng)通過CERNET與Internet相連，有可能面臨著遭遇攻擊的風(fēng)險。 校園網(wǎng)內(nèi)部存在很大的安全隱患。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅會更大一些。 目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。 隨著校園內(nèi)

22、計算機應(yīng)用的大范圍普及，接入校園網(wǎng)的節(jié)點數(shù)日益增多，而這些節(jié)點大部分都沒有采取安全防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。 7.9 7.9 防火墻部署實例防火墻部署實例 曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版2.解決方案 根據(jù)中央財經(jīng)大學(xué)校園網(wǎng)的結(jié)構(gòu)特點及面臨的安全隱患，我們在廣泛征集各方意見，細(xì)心比較的基礎(chǔ)上，決定采用北京瑞星公司設(shè)計的校園網(wǎng)絡(luò)安全體系方案。該方案確定了以下幾個必須考慮的安全防護要點：網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)病毒的防范。 3.防火墻的部署 在Internet與

23、校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺瑞星RFW-100防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。這樣，通過Internet進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。 7.9 7.9 防火墻部署實例防火墻部署實例曾湘黔主編：曾湘黔主編： 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù) 清華大學(xué)出版社出版清華大學(xué)出版社出版7.9.2 7.9.2 某公司網(wǎng)絡(luò)防火墻部署某公司網(wǎng)絡(luò)防火墻部署VigorPro系列防火墻路由器如何配置防火墻？ 用戶背景：隨著Internet應(yīng)用的日益普及，眾多企業(yè)都將自己的企業(yè)內(nèi)部網(wǎng)絡(luò)接入Internet。1.用戶需求 對于企業(yè)而言，希望能夠迅速識別、控制并消除攻擊和病毒、以確保網(wǎng)絡(luò)資源不會受到影響和破壞，同時也對內(nèi)網(wǎng)的安全性和使用的方便