边界网络安全

可信园区网络的设计与部署

----边界网络安全

【摘要】随着校园网络的高速建设与发展，在给师生带来上网冲浪、购物便利的同时，网络安全也日益成为一个不可忽略的问题。本文主要针对现有网络中网络边界上存在的安全问题，进行详尽的安全威胁调研，经过需求分析、概要设计、详细设计、部署安全策略的实施与测试后得出一套完整可行的解决方案。主要解决方案包括：在网络边界部署硬件防火墙设备，防火墙设备的选型，网络地址转换的部署与测试以及网络边界安全策略的制定，其中包括网络信任域的划分，网络互访的限定，网络互访流量的审核。本文中还针对目前网络中普遍存在的DDOS攻击提出相应的解决方案。【关键字】安全的园区网络；网络安全；边界网络安全

1.福建师范大学福清分校校园网现有网络以及网络安全状况概述 (2)

1.1在福建师范大学福清分校网络系统中增加网络安全性的意义 (2)

1.2现有网络概述 (2)

1.2.1 现有网络的物理连接示意图 (2)

1.2.2 现有网络的逻辑规划概述 (3)

1.3现有网络边界存在的主要安全风险 (3)

1.3.1 网络互访存在的安全威胁 (3)

1.3.2 公共服务存在的安全威胁 (3)

1.4现有网络边界存在的主要安全需求 (3)

2.网络边界安全的详细设计和配置 (5)

2.1防火墙的基本定义 (5)

2.2各种防火墙技术简介 (5)

2.2.1包过滤防火墙及其特点 (5)

2.2.2应用代理防洪墙及其特点 (5)

2.2.3状态检测防火墙及其特点 (6)

2.2.4防火墙的附加功能 (6)

2.3 DMZ区域简介 (6)

2.4防火墙的ASA自适应安全算法 (6)

2.5防火墙设备的选型 (6)

2.6网络边界的安全策略的制定 (7)

2.6.1划分安全信任域 (8)

2.6.2用户访问控制策略的制定 (8)

2.6.3流量过滤 (9)

2.6.3.1基本的流量过滤 (9)

2.6.3.2 RFC1918过滤 (10)

2.6.3.3 RFC2728过滤 (11)

2.7在网络边界部署NAT (12)

2.7.1 NAT简介及其相关概念 (12)

2.7.2 NAT的优点 (12)

2.7.3 边界路由器上NAT的配置 (13)

2.7.4 NAT可用性的测试 (14)

3．总结 (16)

4．参考文献 (16)

5．致谢 (16)

1福建师范大学福清分校校园网现有网络以及网络安全状况概述

1.1在福建师范大学福清分校网络系统中增加网络安全性的意义

随着计算机技术、信息技术的发展，计算机网络已经成为广大高校师生学习娱乐的关键平台。与此同时，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。由于广大师生对网络的需求与日俱增，以及计算机网络朝着多媒体方向发展，对网络的性能，如带宽、延时、延时抖动等都提出了更高的要求，原先的福建师大福清分校的二期校园网已经逐渐不能满足广大师生日益增长的上网需求。

校园网络安全系统的建立，必将为学校的行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制止经济情报失、泄密现象发生，避免重大经济案件的发生。

1.2现有网络概述

1.2.1现有网络的物理连接示意图，如图1-1所示：

交换机

交换机

接入点

无线接入点图书馆昌檀楼

4#楼

教工宿舍教工宿舍

页 1

图1-1总体连接拓扑

经过三期改造后的校园网，据有如下特点：

高性能：实现了千兆核心，百兆到桌面。服务器集群与核心交换机之间采用千兆连接，高速的网络

可以满足未来若干年内对网络带宽的需求。在校园网中部署了OSPF路由协议，借由路由协议可以实现链路间的高速切换，同时也有利于后期的扩展。

●健壮性：在原有单核心交换机的基础上加上了双核心交换机，从而大大提高了网络的健壮性。通过

在两台交换机上部署HSPR协议，提供了第一跳网关冗余。

●可扩展性：采用层次化设计，在原有网络中新增加了汇聚层，将原有的核心层/接入层二层设计变

更成三层模型，即核心层，分布层，接入层。各个层次间的分工和地位明确，有利于故障的排查和隔离。

1.2.2现有网络的逻辑规划概述:

1）外部用户访问学校网站和FTP服务器

外部用户可以通过Internet访问学校的网站。

2）内部用户访问外部网络

存在以下两种情况：

内网用户通过10M光纤专线访问互联网，学校现有的公网IP地址为218.5.6.0/24网段。

内网用户通过2M帧中继专线访问福建师范大学校园网。其IP地址段为202.121.0.0/16网段。3）内部部门之间的连接

学校的各个部门之间的网络是相互连接的。现存在两个网段，分别是192.168.0.0/16,100.0.0.0/24网段。其中192.168.0.0/16被分配用与普通网络设备的IP地址，例如教师办公用计算机、教师宿舍楼的计算机、学校机房的计算机等，100.0.0.0/24网段被用于关键部门，其中包括教务处的内部网络，课件服务器，学籍管理系统的服务器等。100.0.0.0/24网段由于承载了许多关键服务，故其对安全性的需求较高。

1.3现有网络边界存在的主要安全风险

由于福建师范大学福清分校的校园网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐渐由单纯的提供内部互联的网络发展到Intranet，现在已经扩展到Internet，网络用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。

1.3.1 网络互访存在的安全威胁

内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也可以容易地访问内部的网络服务器和主机。这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击，且内部的信息也容易遭到外部攻击者的破坏。

由于我国互联网用户众多，而大多数的互联网用户安全意识不足，导致互联网整体安全形势不容乐观。校园网用户在没有适当的防护下，即使正常的访问互联网，如在不知情的情况下打开某些带有木马的网页,下载一些带有病毒的软件，也有可能遭到病毒、木马的侵害，造成不必要的损失。

此外，互联网中的一些有害信息，也需要经过相应的过滤。其中主要包括：

与福建师范大学本部连接的部分；

病毒或不良信息也完全有可能通过与本部相连的2M帧中继专线进入校园网中

1.3.2 公共服务存在的安全威胁

●缺乏对公共服务（public sever）的保护。

现有网络同时还对外开放HTTP服务和FTP服务。由于现今互联网上黑客和不法攻击者甚多，缺乏适当保护的HTTP服务器和FTP服务器无疑将成为黑客和攻击者们的最好目标。常见的攻击手段如DDOS分布式拒绝服务攻击等，随时都将对对外提供服务的服务器造成了重大威胁。

●关键部门缺乏有效防护

重要部门的网络和关键敏感主机（这里主要指学校教务处内网和财务处内网）既没有与非关键网段实行必要的物理隔离也没有实行逻辑隔离，没有制定和实施相应的网络安全策略，如访问控制策略等。使得学校教务处内网和财务处内网随时都面临着重大的威胁，例如关键数据被窃取、篡改、删除等。

1.4现有网络边界存在的主要安全需求