浅谈方正防火墙设置与校园网络构建
摘要:随着21世纪信息时代的迅猛发展,学校作为科教兴国的前沿阵地,其校园网络的构建为教育的实施提供了一个更好的表现平台。方正防火墙3000-FG-E具备很强的防黑能力和入侵监控能力,防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,以免其在目标计算机上被执行,其防火墙技术的安全性已经成为网络中最关键的问题。本文介绍了校园网络的布局,防火墙的基础知识,防火墙与三层交换机设备的主要配置技术,以实现防火墙对校园网的保护能力,同时为校园网络的构建提供一个实践操作基础。
关键词:校园网络 防火墙 交换机 设置
学校中心机房的一次故障,使校园网络无法上网。一时有关校领导问个不停,也搞得我们信息技术组的老师一片忙碌,询问电信那边说没问题,但Ping外网IP不通,内网IP也不通。于是检查光纤收发器、三层交换机、防火墙等设备的工作状态,关闭所有设备10分钟后重启,故障依旧,最后绕过防火墙用笔记本电脑直接接外网,可以上网了。原来是防火墙出问题了,其保修已刚过期,送回厂家检查后说什么坏了,报了一大堆,不好修了,可能是被雷电击了。离高考不到二个月了,高考网上巡视系统必须要正常运行,为此学校只好又买了一个方正防火墙3000-FG-E。通过这次事件,学校认识到日常维护管理的重要性,抽派了二位老师专门负责学校信息技术设备的管理与维护。使我有机会对防火墙有更进一步的认识,更难得的是给了我一次亲身实战的锻炼操作经验。现把它整理出来,希望尊敬的导师能给予指正。
一、 概述
1、 校园网络
我校的校园网络主要有2个学生机房,高考网上巡视监控系统,多媒体功能教室,电子阅览室,电子备课室,学校办公室,教工宿舍区等组成,有专门的网站WEB服务器,FTP服务器,信息点有250个左右,通过一个公网IP经方正防火墙3000-FG-E连接INTERNET,再由一个千兆三层交换机HUAWEI Quidway s5624p 通过各交换机连接内网。 2、 校园网络简易平面拓朴图(如图1)
1
InterNet 防火墙 方正3000-FG-E 中心机房DMZ区 WEB服务器(1.1.1.10) FTP服务器(192.168.0.2) 高考监控服务器(192.168.1.254) 串口 网口1网口2网口3网口4 华为S-5600 POWER 学校办公、学生机房 网段3(192.168.0.0) 用于所有网段出口用 网段10(1.1.1.2) 南、北教学区 高考监控巡视系统
图1
二、 防火墙及其对校园网络安全的影响
(一)防火墙基础知识 1、 防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,是提供信息安全服务,实现网络和信息安全的基础设施。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息
2
流,且本身具有较强的抗攻击能力。防火墙不是一个单独的计算机程序或设备,在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。 2、 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之,防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。 3、防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 4、安全保护作用
防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标
计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 主要作用:
(1)Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内; (2)能强化安全策略;
(3)能有效记录Internet上的活动; (4)可限制暴露用户点; (5)它是安全策略的检查点。
(二)对校园网络安全的影响
虽然校园网络建设为广大教师在教学工作和课外学习中提供了丰富的教学资源和精神生活上的一些享受,但在使用校园网络的同时往往却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园网计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。因其分布的校园网络是由公共网络互联起来,在信息纷繁的互联网世界中,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露等。而防火墙是安全防范的最有效也是最基本的手段之一,防火墙具有很好的网络安全保护作用,入侵者
3
必须首先穿越防火墙的安全防线,才能接触目标计算机,防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务和非法网站而降低风险,因此,可以说防火墙是校园网络安全的“净化工厂”,为校园网的正常运行提供了有力的物质保障。 三、 防火墙的部署和配置规则 1、防火墙的部署位置
安装防火墙的位置是内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵。如上图1示例。
2、防火墙的配置规则
① inside可以访问任何outside和dmz区域。 ② dmz可以访问outside区域。
③ inside访问dmz需要配合static(静态地址转换)。 ④ outside访问dmz需要配合acl(访问控制列表)。 四、防火墙设备的设置步骤 (一)硬件设备初始化 1、安装
用交叉网线连接控制机与防火墙的网口一。用配置光盘进行软件安装,成功后会在开始菜单中增加FireControl项,运行FCint对防火墙进行初始化配置,配置好本机IP地址,必须与连接控制端口的网卡位于同一网段,不然的话不能通信。 2、设置“新建实施域”,创建登录用户名和密码。
以admin帐号登录防火墙,设置管理员策略及审计权限。 3、设置防火墙的工作模式
进入“设备配置”模块,设置防火墙的工作模式。 (二)具体配置 1、基本配置 A、添加系统监控端口
① 要求:
增加一个用于高考网上巡视系统监控端口(范围:5000-5004),以备于高考监控服务器之用。 ②操作方法:
进入配置程序FireControl,单击基本配置→别名→添加→输入别名相关内容→提交,如下图2:
4
图2
B、 校园子网别名设定
按照添加系统监控端口方法,分别依次设定以下子网别名,如下图3。 ① 向电信局申请3个公网IP,设置好对应的别名与值。
公网IP1:
GW-WWW-IP:220.162.113.21,用于学校WEB网站服务器; 公网IP2:
5