边界防火墙的配置

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

边界防火墙的配置:由于在该学院网络边界处已经配备的防火墙可能不支持TOPSEC 联动协议,因此将此防火墙更换掉用于其他网络部分,如可以放置在9、10层计算机实验室的出口处用于保护学生上网时对教学区、图书馆网络的非法访问。根据网络具体流量情况,采用型号为NGFW4000,支持TOPSEC联动协议,标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接外网和内网两个网段,第三个口可以作为预留。

内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,因此必须在其级联的P33交换机与核心交换机P550R处配备一台能够支持TOPSEC联动协议的、高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处建议采用型号为NGFW4000-S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。

原来边界防火墙的再利用:由于原来的边界防火墙不支持TOPSEC联动协议,把它替换后可以将其放置在9、10层的就计算机实验室网络的出口处,用于保护其对教学网和图。

D、天融信网络卫士4000防火墙特点:

·防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,独创了系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代防火墙产品。

·应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。

·管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容。

·提供面向对象的服务模板功能,可以方便的定制过滤规则。

·支持双向地址路由功能,带宽管理功能,流量控制功能

·确保只允许符合网络安全策略的网络访问和网络服务,进出北京城市学院网络系统,或进入相应安全域隔离带。

·防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase 数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的要求会不完全一样。

·深层日志及灵活、强大审计分析功能,提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。

·更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能。

·采用独创的最新最先进核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能。:

实施安全应管理先行,安全组织体系的建设势在必行。应在学校建立网络安全建设领导委员会,该委员会应由一个主管领导,网络管理员,安全操作员等人员组成。主管领导应领导安全体系的建设实施,在安全实施过程中取得相关部门的配合。网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。

随着该校园网络安全建设的实施,对于性能卓越、操作简单、应用灵活的管理工具便成为网络安全基础设施的重要组成部分。天融信公司的Topsec Manager安全管理平台不仅能够对校园网络系统的路由器、交换机,而且还能够对网络中心的网络安全设备,如防火墙、加密机、入侵检测系统、网络安全扫描等进行管理。这样,通过使用一种网络安全管理平台,将网络中所有的网络设备和安全设备完全地联系起来。

相关文档
最新文档