局域网防火墙关系

浅谈局域网安全与防火墙

(以校园网络为例)

通信1204班谭合欢学号：0909123223

摘要：随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络间不受欢迎的信息交换，而允许那些可接受的通信。随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。

局域网网的安全分析

网络具有信息交流和信息共享的特点，公安部、网监处、教育部门及各级管理机构越来越重视信息的安全与健康，作为教育信息化基石和院校形象保障的校园网的信息安全问题不容乐观。局域网主要面临以下安全隐患：（1）普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重地威胁。局域网络的使用者大多数不是计算机专业人员，对于网络能用就行，一般网络安全意识较差。现在大多数使用者的操作系统是WindowsXP、Windows7等。这些操作系统都存在不同程度的安全隐患。比如最常见的WindowsXP系统安

（2）全漏洞就多达上千处，每周都会有补丁出现，但是很少有用户主动升级Windows的补丁。

内部用户的攻击行为，给局域网造成了不良的影响，网络攻击不仅仅来自于外网。根据观察，来自局域网内部的各种攻击竟高达30％，这当中大多是一些用户因好奇发起的。对于这种“祸起萧墙”的内部攻击，可以加强对用户的分级管理，限制用户的验证和账户管理，降低其使用权限。安装防火墙监控或做TCP／IP过滤，禁止用户从互联网上下载各种病毒和黑客程序。（3）局域网的速度快和规模大。例如高校校园网是最早的宽带网络，普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps，高校学生一般集中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、对网络的影响比较严重。（4）外来的系统入侵、攻击等恶意破坏行为。有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对重点高校的网站和服务器。

对于某学院网络结构分析

2004年3月，四校合并正式组建某学院。学院共分为一个主校区和两个分校区。从学院诞生之日起，就开始了校园网络的升级和改造。其中最重要的工作就是把原来四校各自的校园网整合成一个统一管理、高效运行的新校园网。校园网使用了IBM、HP、SUN、CISCO、HUAWEI 等专业厂商设备，在网络管理上采用了北塔、NetworkPerformanceMonitor等软件，同时还有趋势防病毒网络版处理病毒问题。学院采用了CiscoPix防火墙，HUAWEI8505交换机为核心形成环状拓扑结构。校内“信息高速公路”形成了“千兆主干线、百兆到桌面”，总光纤里程近60公里，总芯数338，接入校园网的终端数达到6000多个。网络布线90％以上的建筑楼，部分区域实现了无线网络覆盖。现在校园网为全校师生提供WWW服务、OA自动

办公服务、FTP服务、DNS服务、身份认证服务、课件资源服务等等。

校园网络防火墙规划

校内办公、教学用户通过电信访问Internet；学生寝室、家属区通过网通访问Internet；域名、招生就业专网使用教育网。校内用户使用私有地址，为了避免ARP等病毒的攻击，校内交换设备IP与用户IP不处于统一网段采用另外的私有地址。所以，校内用户访问外网时必须通过校园网防火墙进行地址转换。其中，学院各种开放的服务中，除学院主页、MAIL、DNS、招生就业服务以及各类二级网站要求在外网防问外，其它服务就只能在校园网内访问。学院通过CNNI注册申请的域名为＃＃．edu．cn，第二域名服务器＃＃．cn。两台DNS设计互为备用方式，即每个DNS对另一个域也作资源记录。通过NAT（网络地址转换）技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽内部网络结构和IP地址，保护内部网络的安全；同时因为是公网IP地址共享，所以可以大大节省公网IP地址的使用。依照学院的网络拓扑将网络划分成三个部分：外网、DMZ区和内部网络。外网与Internet相连；DMZ放置各种应用服务器；内部网络连接校内用户。应用服务当中EMAIL、DNS和WWW服务需要外网能够访问，因此将这些服务规划到DMZ区。

防火墙的配置介绍

防火墙是不同网络或网络信任域与非信任域之间进行通信时的一道关卡。防火墙是一个分离器、一个限制器、一个分析器，有效地监控了内部网和Internet之间的任何活动，保证内部网的安全。在实际的运用中防火墙按照安全级别一般可以分为：（1）内部区域（Inside）。是网络的信任区域，企业的私有网络。这些区域共享一套与外部网络（Internet）有关的公共安全策略。当然，如果要对内部环境进一步分段，如对教务处、人事处、财务处等进行分段，进行相对于其他信任用户的特别保护，内部也可以再设防火墙。（2）外部区域（Outside）。是不被信任的区域，位于防火墙外部。防火墙保护内部和停火区设备免受外部设备的威胁。（3）停火区（DMZ，有时也称公共区）。是一个隔离的网络或几个网络，通常除了允许企业内部访问外，还可以在一定条件约束下，允许企业外部访问，如企业网站的Web服务器等。以上三个区域中，用户需要对不同的安全区域制订不同的安全策略。虽然内部网络和DMZ 区都属于内部网络的一部分，但它们的安全级别（策略）是不同的。对于要保护的大部分内部网络，一般情况下禁止所有来自互联网用户的访问；而由内部网络划分出去的DMZ区，因需为互联网应用提供相关的服务，这些服务器上所安装的服务非常少，所允许的权限非常低，真正有服务器数据是在受保护的内部网络主机上，所以黑客攻击这些服务器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。配置防火墙如下：

（1）配置防火墙接口的名称，并指定安全级别（name－if）。

Pix525（config）＃nameifethernet0outsidesecurity0Pix525（config）＃nameifethernet1insidesecurity100Pix525（config）＃nameifdmzsecurity50 提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（in －side），安全级别是100。安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：Pix525（config）＃nameifpix／intf3security40（安全级别任取）。（2）配置内外网的IP地址

（ipaddress）:①Pix525（config）＃IPaddressoutside61．139．×．×255．255．255．224 Pix525（config）＃ipaddressinside172．16．0．1255．255．255．0 很明显，Pix525防火墙在外网的IP地址是61．139．×．×，内网IP地址是172．16．0．1。②Pix525（config）＃static （inside,outside）61．139．×．×172．16．0．3

Pix525（config）＃conduitpermittcphost61．139．×．×eqwwwany 说明static和conduit