系统设计目标
(1)首先建立安装防火墙使用可编程路由器作为包过滤器,此法是目前用得最普通的网络互连安全结构。路由器根据源/目的地址或包头部的信息,有选择地使数据包通过或阻塞。
(2)其次建立安装防火墙的基本方法是,把防火墙安装在一台双端口的主机系统中,连接内部网络。而不管是内部网络还是外部网络均可访问这台主机,但外部网络不能与内部网上的主机直接进行通信。
(3)另外由于计费的需要,防火墙系统对外防火墙,对内审计、计费系统。
实际上防火墙需是集IP流量计费、流量控制、网络管理、用户验证、安全控制于一身的综合防火墙。本系统的主要功能包括:防止外部攻击,保护内部网络、解决网络边界的安全问题。通过防火墙隔离内外网络支持访问代理功能对IP地址进行访问控制对端口进行访问控制对协议进行访问控制。
防火区结构构架
我们实际上采用的是在内部网络与INTERNET接入网之间设立一个防火区。防火区由Cisco 2501路由和E-MAIL服务器、WEB服务器和代理服务器组成,相互之间用HUB相连。允许外部INTERNET用户作限定的访问。允许内部网站通过代理服务器对外访问。
过滤路由器
其中Cisco 2501通过MODEM和DDN专线负责接入CHINANET(163)及CHINAINFO(169国内多媒体信息网),实现与INTERNET连接。其主要用作过滤路由和网络地址转换(NAT)。虽然防火区内每个服务器都配有163地址和169地址,但是防火区中的服务器网段上,实际只配置了169地址网段,这样所有需要访问上述服务器含163地址(202.96.XX.XX)的IP包都被转成对应的含169地址(10.103.XX.XX)的IP包。这项任务由路由器2501来完成。这样处理可以既 不影响速度,也减少了设备,又便于进行管理。
代理服务器
配置及主要功能
代理服务器配置为:P11/512M内存/6.4G硬盘4只/3C509网卡2块/LUNIX操作系统其主要作为内部网络访问外界的代理服务器,也是主要的防火墙,一般由其外发的IP包的地址为设置成202.96.XX.5格式,这样在黑客截走这个包后再企图对该服务器进行进攻会招致失败。另外该服务器还作为front page服务器,这样使得在内部对相同的网站进行访问时,只要提 供从服务器自身获取数据即可。这样可以提高速度降低费用。
流量控制
在流量统计方面可以分别按IP地址,按服务类型进行流量统计,可以对国内国外、流入流出进行统计,用户可以根据情况自定义国内和国外子网段,针对不同的子网段可以有不同的访问控制和计费标准。流入流量就是由外部网络到内部子网的流量,流出流量是由内部子网访问外部网络的流量。IP防火墙可分别统计从内部子网到国内国外的流量,以及内外子网流入流出的流量。可按流量日志统计管理,支持数据库,支持统计、计算、查询和报表,实时监控,显示网络的通断状态。
防火墙可实时监控网络状态,并留有历史记录,管理员可以通过图表查看网络通断状态。管 理员可监控每一个用户的使用流量并根据需要中止该用户当月的使用。
主要技术
主要技术有IP包过滤、IP计费、IP和MAC地址的对应、RADIUS用户验证和授权、主机安全、 地址转译。
其他服务器
WEB服务器
配置为:P11/256MB内存/6.4GB硬盘2只/3C509网卡1块/WINDOWS NT其主要用于存放公司主页等;另外为了访问安全和提高访问速度,我们要求另在169系统上 申请一个300MB的存储空间,主要作为主页的访问镜像。
E-MAIL及DNS服务器
配置为:P11/256MB内存/6.4GB硬盘2只/3C509网卡2块/LUNIX主要外来的电子邮件接收、外出邮件发送和域名转换。提供SMTP和P0P3功能。
系统安装
网络地址配备
在安装前首先向电信部门申请DDN专线,同时在申请到20个169的IP地址(10.103.XX .XX)及8个163的IP地址(202.96.XX.XX)。对IP地址进行分配。其中:3个163 IP地址用于线路及路由器,还有5个地址用于服务器。4个169 IP地址用于网络连接,3个169 IP地址用于线路及路由器。5个169 IP地址用于公有的163地址作对应,即还有4个169的地址保留。
我们的网段分配如下:
路由器、WEB服务器、EMAIL SERVER、代理服务器各分配到1个163地址和169地址,这些设备之间通过同一网段169网段连接。我们为163设置虚拟网段,由路由负责将163网络地址转换成169地址。内部网络的IP地址统一为172.16.XX.XX,为了实现代理服务器、MAIL SERVER等与内部网络连接,我们给代理服务器和MAIL SERVER各分配了一个内部网络地址。
系统安装
a 网络连接
b 路由及各服务器操作系统安装调试
c 根据地址分配设置网卡地址,注意代理服务器的169地址应该设置成网关地址(GATEWAY)
d 代理服务器计费软件和Front Page安装调试
e WEB服务器调试
f MAIL SERVER域名转换安装调试
防火墙系统的维护原则
防火墙的维护防火墙的管理维护工作,是一项长期、细致的工作。必须经过一定水平的业务培训,对自己的计算机网络系统,包括防火墙在内的结构配置要清楚。
实施定期的扫描和检查,发现系统结构出了问题,能及时排除和恢复。
保证系统监控及防火墙之间的通信线路能够畅通无阻,以便对安全问题进行报警、修复、处理其他的安装信息等。
保证整个系统处于优质服务状态,必须全天候的对主机系统进行监控、管理和维护,达到万无一失。
总结
我们目前设计的系统已经实现了基本安全和日常流量控制,主要包括:
①通过虚拟地址设立,有效控制外来访问,实现防止外来入侵目的;
②控制双向信息流向和信息包,并对进出流量进行计算以控制费用;
③通过地址转换隐藏内部IP地址和实际网络结构;
④便于提供VPN功能。
目前的系统设计上,不能完全阻挡有经验的黑客袭击,特别是内部黑客的袭击。服务器使用 的是Red Hat的Linux,系统本身不会受到常见病毒的感染,但其不能对病毒进行过滤,工作站受病毒侵袭的可能依然存在。所以今后网络安全在技术和管理上还有待于进一步发展。
湘公网安备 44010402000311号