《项目四校园网防火墙的使用课件.ppt》由会员分享,可在线阅读,更多相关《项目四校园网防火墙的使用课件.ppt(45页珍藏版)》请在三一办公上搜索。
1、校园网防火墙的使用,局域网交换机和路由器的配置与管理,校园网防火墙的使用,1、防火墙功能概述2、防火墙的体系结构3、防火墙的基本配置过程和基本配置思路4、学院防火墙安全需求分析5、防火墙接口和网络对象的定义6、校园网防火墙的路由设计7、防病毒与攻击的策略8、网络带宽及会话管理策略9、网页内容过滤策略10、防火墙VPN功能的实现,防火墙功能概述,校园网防火墙的使用,防火墙的功能有两个:一个是阻止,另一个是允许。,防火墙的体系结构,校园网防火墙的使用,屏蔽路由器,防火墙的体系结构,校园网防火墙的使用,双穴主机网关,防火墙的体系结构,校园网防火墙的使用,被屏蔽主机网关,防火墙的体系结构,校园网防火墙
2、的使用,被屏蔽子网,防火墙的基本配置过程和基本配置思路,校园网防火墙的使用,防火墙的基本配置过程:定义防火墙设备各个接口的地址。(1)配置路由策略,数据能够按照应用需求从防火墙对应的接口转发。(2)配置数据包访问控制策略,并将策略应用到防火墙设备对应的接口。,防火墙的基本配置过程和基本配置思路,校园网防火墙的使用,防火墙安全策略的制定过程:(1)确立指导思想。(2)建立策略集(3)对策略进行测试(4)策略维护,防火墙的基本配置过程和基本配置思路,校园网防火墙的使用,学院防火墙安全需求分析多出口情况下的路由选择,校园网防火墙的使用,学院防火墙安全需求分析对外发布校园网服务器资源并保障服务器安全,
3、校园网防火墙的使用,服务器对外发布资源的同时,也给黑客留下入侵的“后门”。黑客通常会扫描服务器开放的端口并入侵,或者利用TCP/IP协议漏洞进行攻击,如DDOS攻击,造成服务器不能正常提供服务,也给校园网带来安全隐患。要求校园网服务器在正常发布资源的同时,制定访问限制策略保障服务器的安全。,学院防火墙安全需求分析防止外部对校园网内部机器的非法入侵,校园网防火墙的使用,目前各类病毒、木马猖獗,虽然校园网内部每个机器都装有单机版杀毒软件,但单机版杀毒软件存在管理维护不集中的问题,会存在病毒库过期或由于系统等原因造成杀毒软件不能正常运行等情况,为黑客入侵提供了方便。必须从校园网出口源头做好防范措施,
4、将非法入侵抵挡在“门外”。,学院防火墙安全需求分析限制由内到外网的访问,校园网防火墙的使用,由内网到外网的威胁较严重,对由内到外网的访问需要限制。用户机器感染病毒或木马后,不仅会在内网中散播,还会向外发出扫描和攻击,消耗大量校园网网关出口流量和会话资源,严重降低校园网出口有效利用率。对校园网用户向外网访问控制可以降低这一威胁。有些部门的电脑安全性高,需要降低访问外网的权限和级别,要求仅允许访问指定的外网信息内容或不允许访问外网。,学院防火墙安全需求分析校园网流量控制与会话资源控制,校园网防火墙的使用,校园网用户众多,网络出口流量高,并发连接数量大,对主干设备性能要求很高。学生经常利用BT、电驴
5、、迅雷等P2P软件下载视频等文件,这些软件在做下载任务的同时也在上传信息,而且是多任务、多线程,给校园网出口带宽和并发连接会话带来很大负担,经常造成网络出口拥堵现象。需要研究并设计出控制校园网流量和会话资源的方案,保障校园网出口数据交换畅通。,学院防火墙安全需求分析校园网出口负载均衡需求,校园网防火墙的使用,目前我院校园网出口有电信和教育网两个出口。教育网带宽资源利用率很低,网络出口资源闲置现象严重。而电信带宽不够用,经常出现电信出口拥堵现象。如何平衡地使用这两大网络出口成为提高用户上网桌面速率关键性手段。,学院防火墙安全需求分析教职工在校外访问校内图书馆电子资源的需求,校园网防火墙的使用,由
6、于图书馆电子资源基本来源于购买和自建,出于对电子资源自身知识产权保护的考虑,大部分电子资源是限制访问的,即不对外网发布。教师迫切需要像在校园里一样,能够获取学院图书馆丰富的电子资源。,学院防火墙安全需求分析过滤校园网访问外网信息内容的需求,校园网防火墙的使用,学生的自制力较差,比较倾向于浏览成人、娱乐等不安全或政策、法律禁止的网站。虽然辅导员、思想政治教师给学生做了很多思想健康教育工作,但大学教育已不可能像中小学那样严格,而且学生上网时间和地点分散,给此类工作带来一定的困难。如果能从技术上限制用户对外网内容访问,将彻底解决这一难题。,学院防火墙安全需求分析,校园网防火墙的使用,我院上网用户多,
7、达12000人,教工办公电脑和公共机房接入校园网的机器数量达6000多台,对校园网网关产品性能和稳定性要求很高。综合分析与比较,我院采购硬件防火墙,即阿姆瑞特F600+千兆防火墙,通过制定和实施防火墙安全策略解决校园网出口安全需求。,防火墙接口和网络对象的定义,校园网防火墙的使用,在设计防火墙安全策略之前,先定义网络对象地址和接口信息,以备在之后的策略定义中调用。网络对象地址定义(1)定义防火墙内网(Intranet)接口地址、广播地址和网络地址。,防火墙接口和网络对象的定义,校园网防火墙的使用,(2)定义防火墙教育网(Cernet)接口地址、广播地址和网络地址。,防火墙接口和网络对象的定义,
8、校园网防火墙的使用,(3)定义防火墙电信(Chinanet)接口地址、广播地址和网络地址。,防火墙接口和网络对象的定义,校园网防火墙的使用,(4)校园网用户网络地址定义。,防火墙接口和网络对象的定义,校园网防火墙的使用,(5)定义防火墙各接口网关地址。,防火墙接口和网络对象的定义,校园网防火墙的使用,(6)校园网内指定用户(如:饭卡充值机,图书借阅查询机器,保卫处监控机器等)不需要访问外网,为了保障这些设备的安全,防止外网病毒入侵,禁止这些用户访问外网。,防火墙接口和网络对象的定义,校园网防火墙的使用,(7)定义通过校园网不允许访问的外网目标地址信息,并定义“forbid_machines_g
9、roup_external”组将不允许访问的外网目标地址包含在该组里。,防火墙接口和网络对象的定义,校园网防火墙的使用,()定义教育网网络地址(教育网网络地址由https:/,防火墙接口和网络对象的定义,校园网防火墙的使用,(9)定义校园网服务器地址,并设置服务器组“group_server”。,防火墙接口和网络对象的定义,校园网防火墙的使用,(10)定义l2tp服务网关地址和分配地址信息。,防火墙接口和网络对象的定义,校园网防火墙的使用,(11)定义“all_net”,表示所有网络,用于定义默认路由调用。,防火墙接口和网络对象的定义,校园网防火墙的使用,自定义服务端口:在TCP/IP体系结构
10、中,传输层通过“端口”对应用层提供端到端的服务。,防火墙接口和网络对象的定义,校园网防火墙的使用,对于常用的著名端口,防火墙出厂已经定义。超出著名端口范围部分,称为用户自定义端口。,防火墙接口和网络对象的定义,校园网防火墙的使用,网络接口定义:,校园网防火墙的路由设计,校园网防火墙的使用,在防火墙管理工具中设计和定义符合我院需求的路由表,以使得防火墙能够合理地转发数据包,充分利用好校园网电信和教育网两个出口。,在主路由表“main”中定义到各网络的静态路由:,校园网防火墙的路由设计,校园网防火墙的使用,定义策略路由表(PBR):,校园网防火墙的路由设计,校园网防火墙的使用,策略路由数据包过滤方
11、案设计:,校园网防火墙的路由设计,校园网防火墙的使用,策略路由执行过程:,防病毒与攻击的策略,校园网防火墙的使用,限制传输层端口服务的开放:在网上搜索常见的病毒和网络攻击的类型及其使用的服务端口,将这些端口在管理工具“局部对象”-“服务”中定义,并定义策略“DropNetBingdu”,将所有通过这些端口传输的数据丢弃,以阻止病毒和网络攻击数据经过校园网网关转发。,防病毒与攻击的策略,校园网防火墙的使用,过滤校园网出口IP数据包:(1)禁止不需要访问外网的校园网用户上网,防病毒与攻击的策略,校园网防火墙的使用,过滤校园网出口IP数据包:(2)禁止校园网用户访问指定的外网地址,防病毒与攻击的策略,校园网防火墙的使用,过滤校园网出口IP数据包:(3)制定校园网特殊用户对外网的访问限制策略,防病毒与攻击的策略,校园网防火墙的使用,校园网服务器对外发布方案设计:,网络带宽及会话管理策略,校园网防火墙的使用,1把部分访问电信的流量分给教育网出口。2运用防火墙的带宽管理功能。,网页内容过滤策略,校园网防火墙的使用,防火墙VPN功能的实现,校园网防火墙的使用,
