《公司网络管理与安全实训.docx》由会员分享,可在线阅读,更多相关《公司网络管理与安全实训.docx(59页珍藏版)》请在三一办公上搜索。
1、企业网络管理与安全实训在企业组建网络基础设施后,还需要提供给用户各种的网络和信息服务,同时随着互联网各种应用的不断发展,大量的网络应用成为黑客/病毒制造者的攻击目标,需要企业采取必要的技术、设备和措施来保证企业网络的正常稳定运行,还需要运用各种网络管理工具、软件、设备对企业网络的交换设备、路由设备、服务器、防火墙等各种网络设备进行进行配置管理、性能管理、故障管理、安全管理和计费管理,保障网络的正常运行和性能优化。 校园网数据中心系统实施1 项目内容 某学院校园网基础设施已根据项目2组建完成,并通过两条线路分别接入了电信互联网和CERTNET教育网,现在需要提供校内外用户提供各种网络服务和信息服
2、务,分别提供校园网IP地址分配、内外网域名解析、学院网站、FTP资源下载等服务,请给出解决方法并进行实施。2 项目流程 图5-1 项目流程图3 项目调查与需求分析5.3.1 项目目标 本项目针对学院需要提供各种基础网络服务,分别实现IP地址分配、内外网域名解析、学院网站、FTP资源下载等服务。5.3.2 需求与分析1)具体需求经调查和与用户沟通,具体的需求如下: 需求1:为校园网各区域用户提供IP地址等参数分配,需要两台服务器提供服务,一台备用。 需求2:为校园网各区域用户提供校园网各服务器的域名解析和互联网的域名解析,需要两台服务器提供服务,一台备用,学院的域名解析可根据校园网的两条线路分别
3、对不同来源IP地址解析出对应线路的服务器IP以提高用户访问效率。 需求3:架设校园网的WWW服务器提供信息访问、FTP服务器提供资源下载,WWW服务器需要为多个部门提供不同网站,并考虑服务器的安全和稳定性。3)需求分析 分析1: 分析2: 分析3: 5.4 项目实训要求 要求1(必做):模拟本项目的网络服务组建并完成项目的需求分析、规划、实施文档。 要求2(必做):安装配置DHCP服务器、DNS服务器、WEB服务器、FTP服务器,分别在Windows Server和Linux环境下进行安装配置提供相同功能。 要求3(选做)在Linux下实现DNS服务器对于同一域名根据来源不同的IP解析出不同的
4、地址。5.5 项目实施5.5.1 实施原则1可靠性提供网络服务的服务器必须稳定可靠,为校园网用户和校外用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性,避免出现网络安全事故而影响校园网服务。3可扩充性 校园网需要提供的服务将随着信息服务的需求和发展进行增加和扩充,规划和实施的各项网络服务应具有可扩充性。4实用性 校园网具有用户数量多、应用环境复杂的特点,应能使用户方便实用地访问各种校园网服务。5.5.2 项目知识点 DHCP服务器 DHCP( Dynamic Host Configuration Protocol,动态主机配置协议) 可以减少管理的复杂性和负担,DHCP 使用了租约
5、的概念,或称为计算机 IP 地址的有效期。租用时间是不定的,主要取决于用户在某地联接 Internet 需要多久,这对于用户频繁改变的环境是很实用的。通过较短的租期, DHCP 能够在一个计算机比可用 IP 地址多的环境中动态地重新配置网络。1)DHCP系统组成DHCP客户:DHCP客户通过DHCP来获得网络配置参数 Internet主机,通常就是普通用户的工作站DHCP服务器:DHCP服务器提供网络设置参数给DHCP客户Internet主机DHCP中继代理:在DHCP客户和服务器之间转发 DHCP 消息的主机或路由器2)DHCP 服务器DHCP服务器控制一段IP地址范围,客户机登录服务器时就
6、可以自动获得服务器分配的IP地址和子网掩码。DHCP作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。 DHCP服务器可以使用Windows Server、Linux等网络操作系统担当,也可以使用具有DHCP功能的交换机、路由器等设备。 DNS 服务器DNS(Domain Name System,域名系统)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS是一种包含
7、DNS 主机名到 IP 地址映射的分布式、分层式数据库,DNS 是 Internet 名称方案的基础和企业名称方案的基础。InterNIC 负责全球域名空间的委派管理和域名注册。1) DNS组件DNS 服务器:运行 DNS 服务的计算机,承载一个名称空间或部分名称空间(域), 对名称空间或域具有权威性,负责解析 DNS 客户端(DNS 客户端即解析器)提交的名称解析请求。DNS 客户端:运行 DNS 客户端服务的计算机DNS 资源记录:DNS 数据库中将主机名映射到资源的项目因特网上的 DNS 服务器DNS 服务器DNS 客户端根 “.”.com.edu资源记录资源记录 图5-1 DNS组件2
8、) DNS域名空间DNS 命名格式中,域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构,一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字,由分布式名字服务器组实施。区域是 DNS 名称空间的一个管理单元,它可以由单一的 DNS 域或者结合了部分或全部子域的域组成 ;DNS 服务器的管辖范围不是以“域”为单位,而是以“区域”为单位。图5-2 DNS域名空间结构3) DNS服务器的类型根域名服务器:根域名服务器是最重要的域名服务器。所有的根域名服务器都知道所有的顶级域名服务器的域名和 IP 地址。不管是哪一个本地域名服务器,若要对因特
9、网上任何一个域名进行解析,只要自己无法解析,就首先求助于根域名服务器。在因特网上共有13 个不同 IP 地址的根域名服务器,它们的名字是用一个英文字母命名,从a 一直到 m(前13 个字母)。顶级域名服务器:负责管理在该顶级域名服务器注册的所有二级域名。当收到 DNS 查询请求时,就给出相应的回答(可能是最后的结果,也可能是下一步应当找的域名服务器的 IP 地址)。权限域名服务器:负责一个区的域名服务器。当一个权限域名服务器还不能给出最后的查询回答时,就会告诉发出查询请求的 DNS 客户,下一步应当找哪一个权限域名服务器。本地域名服务器:本地域名服务器对域名系统非常重要。当一个主机发出 DNS
10、 查询请求时,这个查询请求报文就发送给本地域名服务器。每一个因特网服务提供者都可以拥有一个本地域名服务器,这种域名服务器有时也称为默认域名服务器。4) DNS查询 查询是向 DNS 服务器发出的名称解析请求。查询有两种类型:递归查询和迭代查询。递归查询:递归查找是将查询提交给 DNS 服务器,DNS 客户端需要 DNS 服务器提供一个完整的查询应答。迭代查询:迭代查询是 DNS 客户端向 DNS 服务器发出的查询请求,DNS 服务器无需通过其他 DNS 服务器而给出查询结果的查询。迭代查询通常发生在上级域指引到下级域。图5-3 DNS查询过程DNS服务器可以使用Windows Server20
11、03安装和配置DNS服务作为DNS服务器,Linux服务器使用著名的BIND(Berkeley Internet Name Domain)软件实现,DNS客户端可通过DHCP服务器分配DNS参数或手动指定。 WEB服务器WEB服务器也称为WWW(World Wide Web)服务器,主要功能是提供网上信息浏览服务,是互联网发展最快和目前用的最广泛的服务。其应用层使用HTTP协议,使用HTML文档格式传输信息资源,客户机浏览器使用统一资源定位器(URL)来访问WEB服务器资源。目前使用最多的 web server 服务器软件有:微软的信息服务器(IIS)和Apache:1)IISIIS是英文In
12、ternet Information Server(Internet信息服务)的缩写,它是微软公司主推的WEB服务器, IIS与Window Server完全集成在一起,因而用户能够利用Windows Server和NTFS内置的安全特性,建立强大,灵活而安全的Internet站点。IIS支持HTTP(Hypertext Transfer Protocol,超文本传输协议),FTP(Fele Transfer Protocol,文件传输协议)以及SMTP协议,通过使用CGI和ISAPI,IIS可以得到高度的扩展。IIS支持与语言无关的脚本编写和组件,通过IIS,开发人员就可以开发新一代动态的,
13、富有魅力的Web站点。IIS不需要开发人员学习新的脚本语言或者编译应用程序,IIS完全支持VBscript,Jscript开发软件以及Java,它也支持CGI和WinCGI,以及ISAPI扩展和过滤器。2)Apache HTTP ServerApache HTTP Server源于NCSAhttpd服务器,经过多次修改,成为世界上最流行的Web服务器软件之一。Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。因为它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache支持许多特性,大部分通过编译的模块实现。这些特性从服务器端的编程语言支持到身份认证
14、方案。一些通用的语言接口支持Perl,Python, Tcl和 PHP。流行的认证模块包括 mod_access, mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持(mod_ssl), 代理服务器 (proxy) 模块,很有用的URL重写(由 mod_rewrite 实现),定制日志文件(mod_log_config),以及过滤支持(mod_include 和 mod_ext_filter)。Apache日志可以通过网页浏览器使用免费的脚本AWStats或Visitors来进行分析。 FTP服务器文件传输协议 (FTP) 是一种常用的应用层协议。FTP 用于客
15、户端和服务器之间的文件传输。FTP 客户端是一种在计算机上运行的应用程序。通过运行 FTP 守护程序 (FTPd),FTP 客户端可以从服务器中收发文件。为了保障文件的成功传输,FTP 要求在客户端和服务器之间建立两条连接:一条是命令和回复连接,另一条是实际文件传输连接。客户端在 TCP 的 21 号端口建立第一条连接。该连接由客户端命令和服务器回复组成,用于管理传输流量;第二条连接建立在 TCP 的 20 号端口。每当有文件需要传输时建立该连接,用于实际文件传输。在两个方向上,都可以进行文件传输。即客户端可以从服务器中下载(取)文件,也可以向服务器中上传(放)文件。常用的组建FTP服务器方法
16、有:Windows下使用IIS架设FTP站点、Linux下的wu-ftpd、vsftpd、使用FTP服务器软件(Serv-U、Gene6等)。5.5.3 项目实施规划 实训设备与软件设备类型设备型号数量(每组)备注交换机H3C3100 1台服务器宏基P42台计算机宏基P44台服务器操作系统Windows Server20032可使用虚拟机环境服务器操作系统CentOS 5.22可使用虚拟机环境 服务器命名规则服务器命名没有绝对的标准,一般都是按工程惯例和管理规范来进行命名,应本着明确、简洁、无二义性的原则。实训项目中服务器命名规则建议如下:SrvDHCP-01序号服务器功能 服务器功能中,Sr
17、v表示服务器、DHCP表示服务器功能。服务器序号中,01代表第一台,02代表第二台,依此类推。 服务器参数及分配的网络参数规划表Win2008-01安装dns 和dhcp ip地址192.168.1.1Win2008-03 安装 web和 ftp ip 地址192.168.1.2Win2003-03 验证机1 ip地址 192.168.1.3Win2003-01 验证机2 DHCP获取 实施步骤规划1)规划分配服务器参数2)安装服务器操作系统3)安装配置DHCP、DNS、WEB、FTP等网络服务4)配置计算机参数并根据需求验证实现的功能5)完成项目文档资料5.5.4 实施步骤(请将主要实施步骤
18、整理列出)连接FTP查看IP地址等5.6 项目验收5.6.1 软件验收5.6.2 功能验收5.7 项目总结项目 6 集团公司网络集中管理6.1 项目内容 某集团公司一家在全国各地区有多个分公司的物流大型企业,在完成项目3内容的组建基础上,现需要对公司网络进行统一管理,总部和各地分公司都能使用统一账号访问公司资源,为了保证网络信息安全,需要提供公司各服务器和计算机微软操作系统的补丁自动更新,请进行规划和模拟实施。6.2 项目流程 图6-1 项目流程图6.3 项目调查与需求分析6.3.1 项目目标本项目针对集团军公司的网络进行管理,实现使用统一账号访问公司资源,并提供操作系统的补丁更新。6.3.2
19、 具体调查与需求分析1)具体调查经具体调查和与用户的沟通,该集团公司分为总部和三个分公司网络,分公司通过专线与总部连接,总部约有400台计算机和多台服务器,各分公司分别有50-100台计算机,各分公司也各有1台服务器提供网络服务。2)具体需求 需求1:采用先进的网络技术和合理的结构完成企业网的网络集中管理,以实现企业信息化的基础。 需求2:在总部和各地分公司均使用统一账号高效稳定地登录和访问公司资源,简单有效。 需求3:在总公司架设一台服务器以提供公司各服务器和计算机操作系统的补丁自动更新。3)需求分析 分析1: 分析2: 分析3:6.4 项目实训要求 要求1(必做):模拟本项目的网络服务组建
20、并完成项目的需求分析、规划、实施文档。 要求2(必做):模拟本项目的网络组建并完成项目实施的文档,模拟实现企业网总部及1个分公司区域的网络,实现统一管理和站点登录。 要求3(选做):在以上基础上实现公司微软操作系统补丁服务器的架设和配置。6.5 项目实施6.5.1 实施原则1可靠性提供网络服务的服务器必须稳定可靠,为企业网用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性,避免出现网络安全事故而影响企业网服务。3可扩充性 企业网需要提供的服务将随着信息服务的需求和发展进行增加和扩充,规划和实施的各项网络服务应具有可扩充性。4实用性 应能使用户方便实用地访问各种企业网服务并接受管理。6
21、.5.2 项目知识点 活动目录(Active Dirctory)活动目录(Active Directory)是Windows 2003完全实现的目录服务,也是Windows 2000网络体系的基本结构模型,是Windows 2003网络操作系统的核心支柱,也是中心管理机构。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active
22、Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织Microsoft在Windows 2003中提供的活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。活动目录采用了Internet的标准协议,它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源,比如计算机对象、用户账户、打印机等,它也充分考虑了现代应用的业务需求,为这些应用提供了基本的管理对象模型,比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构,而且活动目录也具有很好的扩充
23、能力,允许应用程序定制目录中对象的属性或者添加新的对象类型。1) 活动目录用户与组Windows Server 2003所支持的用户账户分为以下两种类型:域用户账户:域用户账户存储在域控制器的Active Directory数据库内。用户可以利用域用户账户登录域,并利用它访问网络上的资源, 本地用户账户:本地用户账户是创建在非域控制器的“本地安全账户数据库”内,而不是域控制器的Active Directory数据库内。Windows Server 2003将位于域中的组分为以下两种类型:安全组:安全组可以被用来设置权限,例如,可以设置让安全组对文件具备“读取”的权限。安全组也可以用在与安全无关
24、的任务上,例如,可以通过电子邮件软件将电子邮件发送给安全组。分布式组:分布式组是用在与安全(权限的设置等)无关的任务上,例如,可以通过电子邮件软件将电子邮件发送给分布式组。用户无法设置分布式组的权限。2) 活动目录站点与复制活动目录“站点”是由一个或多个IP子网所组成,这些子网络之间是通过高速连接所串接起来的,而这里所谓的“高速”是指这些子网之间的连接速度要够快才可以,否则应该将它们分别规划为不同的站点。 域是逻辑的分组,站点是物理的分组。每个站点可能包含多个域,一个域内的计算机可能同时分别属于不同的站点。同一个站点内的同一个域控制器会自动设置执行复制,其默认的复制频率比不同站点之间快。除了非
25、常小的网络之外,目录数据必须驻留在网络上的多个位置,以便于所有用户均等地使用。通过复制,Active Directory目录服务在多个域控制器上保留目录数据的副本,从而确保所有用户的目录可用性和性能。Active Directory 使用一种多主机复制模型,允许在任何域控制器上(而不只是委派的主域控制器上)更改目录。Active Directory 依靠站点概念来保持复制的效率,并依靠知识一致性检查器 (KCC) 来自动确定网络的最佳复制拓扑。3) 组策略组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略,可以完成用户
26、所需软件的自动安装、自动定制用户环境、自动将用户的文件夹重定向等一系列高级功能。例如,可使用“组策略”帮助用户自动安装软件、从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer等多种功能。要实现用“组策略”管理网络中的计算机和用户,需要网络中有Active Directory服务器,工作站须是Windows 2000、Windows XP或Windows Server2003等操作系统,并且加入到Active Directory域中,还需创建与配置“组织单位”的组策略
27、。 Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是设计用来大量精简IT系统在执行重大更新时的程序。通过使用 Windows Server 更新服务 (WSUS),管理员可以快速而可靠地将 Windows 2000 操作系统和更高版本、Office XP 和更高版本、Exchange Server 2003 以及 SQL Server 2000 的最新关键更新和安全更新部署到 Windows 2000 和更高版本的操作系统。Windows 自动更新是W
28、indows 的一项功能,当适用于您的计算机的重要更新发布时,它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新操作系统,修复系统漏洞,保护计算机安全。在小规模的网络当中,客户端可以通过windows系统自带的自动更新来从微软下载补丁。但在大中型的网络当中,如果每台计算机都单独去微软更新补丁,那么则会极大的影响企业的外部网络带宽。WSUS的思路是先用一台计算机(wsus)去微软检测并选择要下载补丁,然后网络内其他的计算机从WSUS服务器来下载补丁,它也可直接下发补丁。这样也既不会浪费外部网络带宽,也能让所有的计算机得到更新。6.5.3 项目实施规划 实训设备与软件设备类型设备型号数量(
29、每组)备注交换机H3C3100 1台服务器宏基P43台计算机宏基P43台服务器操作系统Windows Server20033可使用虚拟机环境 服务器参数及分配的网络参数规划表 实施步骤规划1)规划分配服务器参数2)安装配置Windows Server 2003活动目录(用户管理、计算机加入域、站点与复制)3)安装配置WSUS服务器(WSUS、组策略)4)配置计算机参数并根据需求验证实现的功能5)完成项目文档资料6.5.4 实施步骤(请将主要实施步骤整理列出)6.6 项目验收6.6.1 设备验收6.6.2 功能验收6.7 项目总结项目 7 校园网网络安全系统7.1 项目内容 某高等职业学院已经在
30、项目2的基础上组建了校园园区网,校园各区域均已连通,校园网计划有两条出口线路分别与CHINANET和CERNET连接,需实现校园网所有用户对外访问,同时校园网的WEB、FTP等服务器需要提供校外用户访问,还可提供学校用户在家访问学校的一些内部网络应用,同时为了保障校园网络安全,需要对校园网的服务器操作系统进行安全防护,并且计划部署全网的防病毒系统,请进行校园网的安全进行规划和模拟实施。7.2 项目流程 图7-1 项目流程图7.3 项目调查与需求分析7. 3. 1 项目目标本项目针对校园园区网的网络安全进行建设和管理,提供内外网转换和外部安全访问校园网内部,并进行防病毒系统的部署。7. 3. 2
31、 具体调查与需求分析1) 具体调查经具体调查和与用户的沟通,校园网有近6000用户、约30台服务器提供服务,校园网通过租用1条100M电信线路和1条10M教育网线路分别连接互联网和CERNET。其中互联网线路分配的其中部分IP地址范围为:119.4.179.230/27 119.4.179.237/27。2)具体需求 需求1:采用先进的网络通信技术和合理的网络结构进行校园网出口部分的建设,实现内部用户快捷安全访问互联网和教育网。 需求2:一些校园网服务器需提供外部的公共访问服务(WWW、FTP等服务),使互联网用户能安全方便地访问学校的公共资源和信息。 需求3:一些校园网内部的资源(例如办公系
32、统、电子图书等)需要提供学校的教职员工在外安全访问。 需求4:保障和加强服务器安全性,对校园网的服务器操作系统进行安全防护,为校园网系统提供稳定的网络服务。 需求5:为保障校园网全网安全,加强各用户计算机的安全防护,安装使用防病毒软件。3)需求分析 分析1: 分析2: 分析3: 分析4: 分析5:7.4 项目实训要求 要求1(必做):模拟本项目的网络安全系统组建并完成项目实施的文档,模拟实现校园网络的安全防护。 要求2(必做):使用防火墙或软件进行校园网出口互联网部分的内外网转换(NAT),服务器的对外发布访问和安全(SAT)。 要求3(必做):进行服务器操作系统的安全配置和防护。(主机安全)
33、 要求3(选做):使用防火墙或软件进行校园网的外部安全访问内部网络(VPN)。 要求4(选做):进行校园网的网络防病毒系统配置和实施。7.5 项目实施7.5.1 实施原则1可靠性提供网络服务的服务器必须稳定可靠,为校园网用户和校外用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性,避免出现网络安全事故而影响校园网服务。3可扩充性 校园网需要提供的服务将随着信息服务的需求和发展进行增加和扩充,规划和实施的各项网络服务应具有可扩充性。4实用性 校园网具有用户数量多、应用环境复杂的特点,应能使用户方便实用地访问各种校园网服务。7.5.2 项目知识点 防火墙传统意义的防火墙被设计用来防止火从
34、大厦的一部份。在网络上防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。防火墙是一种高级访问控制设备,置于不同安全域之间,是不同安全域之间的唯一通道,能根据企业有关的安全政策执行允许,拒绝,监视,记录进出网络的行为。防火墙是一个或一组系统,用于管理两个网络直接的访问控制及策略,所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙;只有在被定义的数据流才可以通过防火墙(如果通过其他方式带出信息,则无法防备),防火墙本身必须有很强的免疫力。1) 防火墙技术防火墙通常使用的安全控制手段主要有包
35、过滤、状态检测、代理服务。包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状
36、态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火
37、墙具有可伸缩性差的缺点。2) 防火墙工作模式防火墙一般位于企业内部网络出口与互联网直接相连是企业网络的第一道屏障。根据防火墙和内外网络的结构,防火墙具有三种工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墙就好象是一台网桥,不改动其原有的网络拓扑结构。网络设备和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。透明模式的防火墙结构如下图所示。 2.路由模式传统防火墙一般工作于路由模式,防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信并可将内部私有IP地址转换为互联网地址。路由模式的防火墙结构如
38、下图所示:3.混合模式在企业复杂的网络环境中常常需要使用透明及路由的混合模式。混合模式防火墙结构如下图所示:3) 防火墙产品简介1阿姆瑞特防火墙阿姆瑞特防火墙为无系统内核,即:防火墙没有操作系统,因此不会存在通用操作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为操作系统需要不断地去维护、升级,无操作系统就不存在此类问题,这也排除了因为系统升级、打补丁破坏防火墙功能、性能的问题。阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU、网卡、总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了操作系统的开销,因此可以最快的处理数据,使其成
39、为市场上现有的最快的防火墙之一。2ISA(Internet Security and Acceleration Server)ISA Server是微软公司出品的企业级别的路由软件防火墙,它可以让企业内部网络安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的,可以在网络的任何地方,如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISA Server 来对网络或主机进行防护。ISA Server的主要特性:(1)多层防火墙安全防火墙可以通过各种方
40、法增强安全性,包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙,如 ISA Server 所提供的那一种,综合了所有这三种方法,在多个网络层提供保护,为企业提供最低的投入的基础上最高的回报。(2)状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层,ISA Server 检查在 IP 消息头中指明的通信来源和目标,以及在标识所采用的网络服务或应用程序的 TCP 或 UDP 消息头中的端口。动态数据包筛选器能够使窗口的打开只响应用户的请求,并且打开端口的持续时间恰好满足该请求的需要,从而减少与打开端口相关的攻击。ISA Server 可以动态地确定,哪些数据包可以
41、传送到内部网络的电路层和应用程序层服务。管理员可以配置访问策略规则,以便只在允许的情况下自动打开端口,然后当通信结束时关闭端口。这一过程称为动态数据包筛选,它使两个方向上暴露的端口数量减到最少,并为网络提供更高的安全性,使问题较少发生。(3)集成的入侵检测ISA Server利用一家名为 Internet Security Systems 的公司所提供的技术,提供帮助管理员识别诸如端口扫描、WinNuke 和 Ping of Death 之类的常见网络攻击的这种服务。并且ISA能够自动对其作出响应。这项技术给 ISA Server 提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时,警
42、报还能同时指出 ISA Server 应采取什么行动,这些行动可包括向系统管理员发送电子邮件或寻呼,停止 Firewall 服务,写入到系统事件日志,或运行任何程序或脚本。(4)高性能 Web 缓存ISA Server 对 Web 缓存进行了彻底的重新设计,使它可以将缓存放入 RAM 中我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的 Web 缓存可提供更强的后端可伸缩性,并提供了更快的 Web 客户机总体响应时间。这对于企业内部来说尤其重要,因为员工需要快速访问 Web 内容,而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。(5
43、)缓存阵列路由协议ISA Server 使用了缓存阵列路由协议(Cache Array Routing Protocol,CARP)。因此您可以通过多台 ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。(6)活动缓存通过一个叫做活动缓存的功能,可配置 ISA Server 使其自动更新缓存中的对象。使用这种功能,ISA Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存,经常被访问的对象在它们到期之前,在低网络流量时段自动更新。(7)统一管理ISA Server 利用基于 Windows Server 的安全性,Active Directory 服务、VPN 和
44、Microsoft 管理控制台(MMC,Microsoft Management Console)。所有这些功能,特别是 MMC,会使得管理更容易,因为操作人员熟悉它,并可从一个控制台同时管理防火墙和 Web 缓存。(8)企业策略和访问控制ISA Server 还支持创建企业级和本地阵列策略,用于集中实施或本地实施。ISA Server 可作为独立服务器安装或作为阵列成员安装。为便于管理,各个阵列成员都使用相同的配置。对阵列配置进行修改时,阵列中的所有 ISA Server 计算机也都将得到修改,包括所有访问和缓存策略。 VPN(Virtual Private Network)VPN即虚拟专用
45、网络,是通过 Internet 公共网络在局域网络之间或单点之间安全地传递数据的技术。虚拟专用网络 (VPN) 是专用网络的扩展。同 Internet 一样,该网络包含共享网络或公用网络之间的链接。使用 VPN,可以通过共享网络或公用网络以模拟点对点专用链接的方式在两台计算机之间发送数据。虚拟专用网络连接是一种创建和配置虚拟专用网络的操作。使用 VPN 连接,在家办公或旅行的用户可以通过公用 Internet 网络(如 Internet)提供的结构,获得到组织服务器的远程访问连接。从用户的角度来说,VPN 是计算机(VPN 客户端)和组织服务器(VPN 服务器)之间的点对点连接。VPN 与共享网络或公用网络的具体结构无关,因为数据就象是通过专用的链接发送的。VPN技术的效果类似于传统的DDN专线联网方式,网络拓扑如下图所示。1) VPN的类型(1)Access VPN移动用户在任何地方、时间采用拨号、ISDN、DSL、移动IP和电缆技术通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。(2)Intranet VPNIntranet VPN通过公用网
