收藏
下载资源

浅析硬件防火墙在市级广播电台网站中的典型应用

上传人:E**** 文档编号:111051203 上传时间:2019-11-01 格式:PDF 页数:5 大小:239.62KB
返回 下载 相关 举报
浅析硬件防火墙在市级广播电台网站中的典型应用_第1页
第1页 / 共5页
浅析硬件防火墙在市级广播电台网站中的典型应用_第2页
第2页 / 共5页
浅析硬件防火墙在市级广播电台网站中的典型应用_第3页
第3页 / 共5页
浅析硬件防火墙在市级广播电台网站中的典型应用_第4页
第4页 / 共5页
浅析硬件防火墙在市级广播电台网站中的典型应用_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《浅析硬件防火墙在市级广播电台网站中的典型应用》由会员分享,可在线阅读,更多相关《浅析硬件防火墙在市级广播电台网站中的典型应用(5页珍藏版)》请在金锄头文库上搜索。

1、浅析硬件防火墙在市级广播电台网站中的应用 浅析硬件防火墙 在市级广播电台网站中的典型应用 宁波人民广播电台陈起来 1 防火墙在广播网站应用的必要性 目前越来越多的广播电台在互联网上建立了自己的网站,成为拓展广播电台发展空间的新渠道 和对外宣传的有力工具。现阶段国内各地广播电台网站发展程度不一,国家级电台和省级( 含副省级) 电台经过几年发展,基本上已具有一定的影响和规模,并已投入一定的人、财、物力用于网站的建设 维护和日常信息更新;地市级及县级电台也有相当一部分建起了互联网站,但仍有一些尝在酝酿建站 或刚起步,一般来说,建站伊始,由于资金、人力等因素,规模不会很大。设备也不会一步到位,经 过一

2、到二年的运行,随着网站影响不断扩大,各种应用越来越多,并达到一定的规模,这时一个典型 问题即网络安全就会很突出。整个系统服务平台的稳定性,可靠性,安全性成为不可忽视的因素,为 增强抵御外来攻击能力,广播网站配置防火墙成为比较普遍的解决办法,如何正确使用防火墙,使它 既加固了网络系统的安全,同时不至于成为网络应用中的一个瓶颈,就成为一个摆在众多广播从业人 员面前急需解决的问题。 2 防火墙的一般功能和几种应用方式 众所周知,防火墙是一种专用网络安全设备,其目的是提供对网络的安全保护,它可以用来阻 止网络中黑客或一些非法访问,目前,市场上的防火墙可以分为软件防火墙、硬件防火墙两种。软件 防火墙的弱

3、点是它的性能相对比较低,一般要基于操作系统才能发挥作用,目前由于操作系统本身存 在的许多不安全因素,如微软系列操作系统均存在着”B U G ”,进而安全性也无法得到很好的保证,对 于用户来说,防火墙首先要保证自身的安全。显然对有一定影响的广播网站来说,软件防火墙并不适 合,因此硬件防火墙成为我们的首选。目前国外比较知名的防火墙产品有C h e c k P o i n t 的F i r e W a l l I 。 C i s c o 的P I X 防火墙,N A I 的G a u n l e t 防火墙性能良好,C y b e r g u a r d 的C y b e r g u a r dF

4、i r e w a l l 和 N e t s c r e e n 的N e t s c r e e n - 1 0 0 等等。国内的防火墙产品包括北大青鸟的网关防火墙,天融信的网络卫 士防火墙和东大阿尔派的网眼防火墙等等。各类防火墙功能大同小异,一般具有: ( 1 ) 作为网络安全的屏障 一个防火墙( i F 为阻塞点、控制点) 能极大地提高一个内部网络的安全性,并通过过滤不安全 的服务而降低风险。 ( 2 ) 可以强化网络安全策略 2 7 2 第三届全国因特网与音视频广播发展研讨会2 0 0 3 4 浅析硬件防火墙在市级广播电台网站中的应用 通过以防火墙为中心的安全方案配置,能将所有安全软

5、件( 如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更加经济、合理。 ( 3 ) 可以对网络存取和访问进行监控审计 防火墙能记录网络存取和访问的日志,同时也能提供网络使用情况的统计数据。这些数据对网 络今后的升级提供依据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和 攻击的详细信息。 ( 4 ) 切实防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏 感网络安全问题对全局网络造成的影响。 综观各类防火墙,其典型的应用有三种: ( 1 ) 透明工作模式( 网桥模

6、式) :可以透明接入与透明连接,不影响原有网络设计和配置:防火 墙在透明方式下类似于网桥,使用户不需要对保护网络主机属性进行重新设置,用户使用极为方便。 ( 2 ) 路由工作模式:防火墙相当于静态路由器,提供路由功能。 ( 3 ) 混合工作模式:防火墙在透明模式和路由模式同时工作,极大提高网络应用的灵活性。 三种应用目前都比较广泛,在安装防火墙时,如果您的网络配置已经完毕,并且网络应用不允许 中止的情况下,一般可选择透明方式,只需将防火墙接入即可,不需要改变内部网络的配置,而且防 火墙没有固定I P 地址,对其自身的安全有利。 对于大多数单位用户特别是中小企业来说,可以采用路由方式,此时的防火

7、墙即可以保证网络的 安全,也可以行使路由功能。意味着可以节省路由器的投入。 混合方式用得也很多,用户可以将同一子网设成透明方式,而不同子网设成路由方式,即保证了 网络的安全,同时对减少了防火墙的负荷,提高网络的工作效率,但设置相对比较繁琐,对内部网络 原有的结构会有比较大的影响,一经出现故障,查找具体部位需要花费一定的时间。 3 广播网站对防火墙需求的应用分析 分析国内各广播网站所提供的应用服务,除了常用的w e b 浏览、信息发布外,有一些还提供了 B B S 和在线聊天的功能,核心服务是网上广播包括实时广播,音乐及成品节目点播,有一些规模大的 网站已经开始涉足视频点播和语音聊天,并有短信中

8、心等增值服务,同时提供了邮件服务功能等。此 外,由于大多数广播网站内部访问互联网与广播网站一般使用同一条数据线路,要求防火墙应该具有 比较好的内外网隔离功能,确保内网安全。根据上述分析,我们首先要求防火墙没有带宽的瓶颈,目 前的防火墙均为百兆吞吐率,满足现有的各项服务,没有任何问题,并且还留有一些冗余:其次要尽 可能满足音频服务的实时性的要求,即互联网用户从开始点击音频链接到实现收听所费的无谓延迟要 尽可能短,另外要有比较高的可靠性,防火墙通常情况下接在网络的出口,如果防火墙不能稳定工作, 将会影响到网络的畅通,最终将影响用户业务的开展; 再是广播电台财力有限,性价比也不可忽视; 同时针对广播

9、电台从事网络管理专业人才缺乏的特殊性,要求易于维护,最好是可以即插即用,免维 护,网络结构不要过于复杂,并且要有备份机制。 2 0 0 3 4 第三届全田因特网与音视频广播发展研讨会2 7 3 浅析硬件防火墙在市级广播电台网站中的应用 4 宁波广播在线网硬件防火墙的实施过程 我台自2 0 0 1 年建成宁波广播在线网站,除提供各类信息外,还提供电子邮件,网上广播等服务, 每天有上万人收听实时广播和点播各类音频节目,网站的日点击量保持在1 2 万人次左右,目前已具 有一定的规模;经过二年左右的发展,系统内目前拥有单独的W E B 发布,音频、新闻采集、d n s 、社 区、邮件、代理服务器,由于

10、建站初始时资金缺乏的原因,系统一直未配置防火墙,为确保系统更加 稳固,去年底,我们向市财政部门申请了专项资金用于购置防火墙,考虑到系统目前已在运行中,为 实现系统平稳升级,要求不能对现有网络拓扑结构有大的改动,同时要兼顾性价比和易用性等因素, 通过对对市场的充分调研,我们采用了一台北大青鸟公司J B F l 网关防火墙,通过对目前网站提供 各项服务的分析,我们决定采用防火墙的路由方式来实施,网络升级前的拓扑图( 无硬件防火墙环境) 见图l 。 图l 网络升级前的拓扑图 网络升级后的拓扑图( 有硬件防火墙环境) 见图2 。 图2 网络升级后的拓扑图 2 7 4 第三届全国因特网与音视频广播发展研

11、讨会2 0 0 3 4 浅析硬件防火墙在市级广播电台网站中的应用 从前后的网络结构看,加入防火墙后,系统结构没有大的变动,服务器上的设置均保持不变,原 来的路由器作为备份,万一防火墙故障,可以热插拔恢复到原有系统。网站的所有服务可以在1 0 秒 钟恢复正常,符合冗余备份的要求。 , 确定网络结构后,我们开始了网络安全策略的制定。根据网站对外提供的所有服务,对各类服 务器的I P 地址、需开放的服务端口、具体应用等进行量化并造表罗列出来。具体见表l : 表1 服务器名 I P 地址 具体应用服务端口 E B 发布8 0 W E B 服务器 2 1 0 8 3 1 2 5 - k , F T P2

12、 l 音频发布5 5 4 音频服务器 2 1 0 8 3 1 2 5 - J r 远程管理 9 0 9 0 W E B 收发8 0 邮件服务器 2 1 0 8 3 1 2 5 P O P 3 1 1 0 S M T P2 5 社区服务器 2 1 0 8 3 1 2 5 - oB B S ,聊天8 0 8 8 新闻采集 新闻采集兼统计 2 1 0 8 3 1 2 5 - k3 0 0 0 服务器8 0 网页计数 1 0 0 0 0 D N S2 l O 8 3 1 2 5 - k 域名服务 5 3 安全策略制定后,我们进行了实施,按策略要求进行规则输入,具体如下: ( 1 ) 所有服务器对互联网

13、络的访问:单向开放所有端口,即采用O n e W a y A l l 规则; ( 2 ) 互联网对代理服务器的访问:不开通任何端口: ( 3 ) 互联网对音频点播服务器的访问:开通5 5 4 、9 0 9 0 端口: ( 4 ) 互联网对1 E B 服务器的访问:开通2 l 、8 0 端口: ( 5 ) 互联网对邮件服务器的访问:开通2 5 、8 0 、1 1 0 端口; ( 6 ) 互联网对新闻采集、统计服务器的访问:开通8 0 、8 8 、3 0 0 0 、1 0 0 0 0 端口; ( 7 ) 互联网对D N S I t 艮务器的访问:开通5 3 端口: ( 8 ) 互联网对社区服务器的

14、访问:开通8 0 端口; 网络内所有P C 机除上述规则所定义,其它的任何地址和服务全部被禁止。联机运行后,为验证 防火强是否发挥作用,使用网络扫描工具软件对所有服务器进行端口扫描,发现扫描结果与预计结果 2 0 0 3 4 第三届全田因特网与音视频广播发展研讨会2 7 5 浅析硬件防火墙在市级广播电台网站中的应用 相同,只有开放的端口可见,表明防火墙已经工作。防火墙工作半年来,一直正常可靠运行,通过对 升级后网络的观察,普遍反映良好,在防火墙的配置过程中,我们发现其使用的规则越少,性能越好, 另外在初次使用青鸟防火墙时,因为没有掌握要点,前期曾出现在正常配置的情况下,发现使用二天 左右出现不

15、间断的网络中断,内网和外网均不得访问的故障。起初曾怀疑硬件故障,但在更换防火墙 后,故障依旧,后与北大青鸟公司的研发人员一起,仔细分析了故障原因,最后更改了一个t c p 协议 的默认标识,防火墙才恢复正常。 5 结束语 防火墙作为保障网络安全的一种工具,目前仍在不断地改进和完善。笔者认为,不管防火墙技术 如何完善,都不是绝对安全的。有行家曾经把网络安全比喻成防御城墙,不管城墙多么高大坚固,如 果无人守备,都是极易被攻破的。所以制定合理的安全管理策略,仔细设置安全规划,实施严格的管 理和监控制度,才是保证防火墙不被攻击的基本条件。 2 7 6 第三届全圄因特网与音视频广播发展研讨会2 0 0 3 4

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号