校园网防火墙设计

网络系统设计之防火墙设计

防火墙——需求分析

1、首先分析网络拓扑结构和需要保护的内容

网络拓扑结构是否存在不合理

总线型拓扑结构的缺点：

(1) 总线拓扑的网不是集中控制，故障检测需在网上各个站点进行，使故障诊断困难。

(2) 如果传输介质损坏整个网络将不可瘫痪。

(3) 在总线的干线基础上扩充，可采用中继器，但此时需重新配置，包括电缆长度的剪

裁，终端

器的调整等。

(4) 接在总线上的站点要有介质访问控制功能，因此站点必须具有智能，从而增加了站

点的硬件

和软件费用。

(5) 所有的工作站通信均通过一条共用的总线，导致实时性很差。

环型拓扑的缺点：

(1) 扩充环的配置比较困难，同样要关掉一部分已接入网的站点也不容易。

(2) 由于信息是串行穿过多个节点环路接口，当节点过多时，影响传输效率，使网络响

应时间变长。但当网络确定时，其延时固定，实时性强。

(3) 环上每个节点接到数据后，要负责将它发送至环上，这意味着要同时考虑访问控制

协议。节点发送数据前，必须事先知道传输介质对它是可用的。

环型网结构比较适合于实时信息处理系统和工厂自动化系统。

FDDI(Fiber Distributed Data Interface)是环型结构的一种典型网络，在二十世纪九十年代中期，就已达到100Mbps 至200Mbps 的传输速率。但在近期，该种网络没有什么发展，已经很少采用。

树型网的缺点：

(1) 除叶节点及其相连的链路外，任何一个工作站或链路产生故障都会影响整个网络系

统的正常运行。

(2) 对根的依赖性太大，如果根发生故障，则全网不能正常工作。因此这种结构的可靠

性问题和星型结构相似。

星型结构的缺点：

(1) 一条通信线路只被该线路上的中央节点和一个站点使用，因此线路利用率不高；

(2) 中央节点负荷太重，而且当中央节点产生故障时，全网不能工作，所以对中央节点

的可靠性和冗余度要求很高。

(3) 电缆长度和安装：星型拓扑中每个站点直接和中央节点相连，需要大量电缆，电缆

沟、维护、安装等一系列问题会产生，因此而增加的费用相当可观。

星型拓扑结构广泛应用于网络中智能集中于中央节点的场合。从目前的趋势看，计算机的发展已从集中的主机系统发展到大量功能很强的微型机和工作站，在这种环境下，星

型拓扑的使用还是占支配地位。在以太网中，星型结构仍旧是它的主要基本网络结构。

其传输速率可达1000Mbps

⏹OSI/RM参考模型中各层通信的安全隐患

/thread-29-1-1.html

➢在物理层上存在安全风险主要体现在传输线路上的电磁泄漏、网络线路和网络设备的物理破坏，以及数据的备份与恢复。黑客通过相应的技术手段，在传输线路上依

靠电磁泄漏进行侦听，可以实现非法截取通信数据；也可以通过非法手段进网络设

备进行破坏，致使网络全部或局部的瘫痪。

➢数据链路层的主要特征就是形成MAC地址，并对物理层上的比特流进行编码、成帧，然后就是链路层上的可靠数据传输。这样一来，黑客基于数据链路层的攻击行

为也就清楚了，一是进行MAC地址欺骗，如ARP病毒，再就是对数据编码、成帧

机制进行干扰，致使形成错误的数据帧，也可以导致数据在数据链路上的传输错误，甚至数据丢失。数据链路层还有一个安全风险就是大量的广播包，致使网络链路带

宽资源匮乏，而最最终使网络瘫痪。

⏹本地网络接入情况

⏹本地关键数据的部署

⏹防火墙能够防护的内容

⏹部署防火墙的保护目标（具体化）

1.边界防火墙

2.内部防火墙

3.重要数据和应用服务器防火墙

2、分析高安全性、一般安全性、低安全性范围

3、与ISP一起就管理问题进行讨论

防火墙——概要设计

1、防火墙在网络安全防护中的主要应用

⏹控制来自互联网对内部网络的访问

⏹控制来自第三方局域网对内部网络的访问

⏹控制局域网内部不同部门网络之间的访问

⏹控制对服务器数据中心的网络访问

2、防火墙选型

⏹防火墙类型的选型考虑

1.包过滤型防火墙

2.应用代理防火墙

3.状态包过滤型防火墙

⏹软、硬防火墙的选型考虑

1.软件防火墙

2.硬件防火墙

⏹防火墙选购考虑

产品类型、端口数量、协议支持、访问控制配置、自身安全性、防御功能、连接性能、管理功能、记录报表功能、可扩展可升级性、和其它安全方式的协同工作能力、品牌知名度、经济预算等

3、防火墙在网络体系结构中的位置与部署方案

⏹屏蔽路由器

⏹双宿主机模式堡垒主机

⏹屏蔽主机模式屏蔽子网

⏹非军事区结构模式

4、用Visio绘制简要的网络拓扑结构示意图，体现设计思路和策略

在拓扑图上标记子网边界（子网边界的划分根据管理的需要，可以是楼名、院名、部门名等），根据需求，论述防火墙的选择依据，确定选择方案

防火墙——详细设计/实现

1.防火墙设计细化

a)边界防火墙设计细化

⏹保护对象与目标

⏹内部网络与外部网络界定

⏹考虑DMZ区（非军事区或停火区）

⏹边界防火墙规则制定

⏹边界防火墙可用性需求

1.无冗余

2.有冗余

3.容错防火墙集

b)内部防火墙设计细化

⏹用户分类