《校园网防火墙设计》由会员分享,可在线阅读,更多相关《校园网防火墙设计(4页珍藏版)》请在金锄头文库上搜索。
1、网络系统设计之防火墙设计网络系统设计之防火墙设计防火墙防火墙需求分析需求分析1、 首先分析网络拓扑结构和需要保护的内容 网络拓扑结构是否存在不合理总线型拓扑结构的缺点: (1) 总线拓扑的网不是集中控制,故障检测需在网上各个站点进行,使故障诊断困难。 (2) 如果传输介质损坏整个网络将不可瘫痪。 (3) 在总线的干线基础上扩充,可采用中继器,但此时需重新配置,包括电缆长度的剪 裁,终端 器的调整等。 (4) 接在总线上的站点要有介质访问控制功能,因此站点必须具有智能,从而增加了站 点的硬件 和软件费用。 (5) 所有的工作站通信均通过一条共用的总线,导致实时性很差。环型拓扑的缺点环型拓扑的缺点
2、: (1) 扩充环的配置比较困难,同样要关掉一部分已接入网的站点也不容易。 (2) 由于信息是串行穿过多个节点环路接口,当节点过多时,影响传输效率,使网络响 应时间变长。但当网络确定时,其延时固定,实时性强。 (3) 环上每个节点接到数据后,要负责将它发送至环上,这意味着要同时考虑访问控制 协议。节点发送数据前,必须事先知道传输介质对它是可用的。 环型网结构比较适合于实时信息处理系统和工厂自动化系统。 FDDI(Fiber Distributed Data Interface)是环型结构的一种典型网络,在二十世纪九十 年代中期,就已达到 100Mbps 至 200Mbps 的传输速率。但在近期
3、,该种网络没有 什么发展,已经很少采用。树型网的缺点:树型网的缺点: (1) 除叶节点及其相连的链路外,任何一个工作站或链路产生故障都会影响整个网络系 统的正常运行。 (2) 对根的依赖性太大,如果根发生故障,则全网不能正常工作。因此这种结构的可靠 性问题和星型结构相似。星型结构的缺点:星型结构的缺点: (1) 一条通信线路只被该线路上的中央节点和一个站点使用,因此线路利用率不高; (2) 中央节点负荷太重,而且当中央节点产生故障时,全网不能工作,所以对中央节点 的可靠性和冗余度要求很高。 (3) 电缆长度和安装:星型拓扑中每个站点直接和中央节点相连,需要大量电缆,电缆 沟、维护、安装等一系列
4、问题会产生,因此而增加的费用相当可观。 星型拓扑结构广泛应用于网络中智能集中于中央节点的场合。从目前的趋势看,计算 机的发展已从集中的主机系统发展到大量功能很强的微型机和工作站,在这种环境下,星型拓扑的使用还是占支配地位。在以太网中,星型结构仍旧是它的主要基本网络结 构。其传输速率可达 1000Mbps OSI/RM 参考模型中各层通信的安全隐患http:/ 备的物理破坏,以及数据的备份与恢复。黑客通过相应的技术手段,在传输线路 上依靠电磁泄漏进行侦听,可以实现非法截取通信数据;也可以通过非法手段进 网络设备进行破坏,致使网络全部或局部的瘫痪。 数据链路层的主要特征就是形成 MAC 地址,并对
5、物理层上的比特流进行编码、 成帧,然后就是链路层上的可靠数据传输。这样一来,黑客基于数据链路层的攻 击行为也就清楚了,一是进行 MAC 地址欺骗,如 ARP 病毒,再就是对数据编码、 成帧机制进行干扰,致使形成错误的数据帧,也可以导致数据在数据链路上的传 输错误,甚至数据丢失。数据链路层还有一个安全风险就是大量的广播包,致使 网络链路带宽资源匮乏,而最最终使网络瘫痪。 本地网络接入情况 本地关键数据的部署 防火墙能够防护的内容 部署防火墙的保护目标(具体化)1.边界防火墙2.内部防火墙3.重要数据和应用服务器防火墙2、 分析高安全性、一般安全性、低安全性范围 3、 与 ISP 一起就管理问题进
6、行讨论防火墙防火墙概要设计概要设计1、 防火墙在网络安全防护中的主要应用 控制来自互联网对内部网络的访问 控制来自第三方局域网对内部网络的访问 控制局域网内部不同部门网络之间的访问 控制对服务器数据中心的网络访问2、 防火墙选型 防火墙类型的选型考虑1.包过滤型防火墙2.应用代理防火墙3.状态包过滤型防火墙 软、硬防火墙的选型考虑1.软件防火墙2.硬件防火墙 防火墙选购考虑产品类型、端口数量、协议支持、访问控制配置、自身安全性、防御功 能、连接性能、管理功能、记录报表功能、可扩展可升级性、和其它安全方 式的协同工作能力、品牌知名度、经济预算等3、 防火墙在网络体系结构中的位置与部署方案 屏蔽路
7、由器 双宿主机模式堡垒主机 屏蔽主机模式屏蔽子网 非军事区结构模式4、 用 Visio 绘制简要的网络拓扑结构示意图,体现设计思路和策略在拓扑图上标记子网边界(子网边界的划分根据管理的需要,可以是楼名、 院名、部门名等) ,根据需求,论述防火墙的选择依据,确定选择方案防火墙防火墙详细设计详细设计/实现实现1. 防火墙设计细化a)边界防火墙设计细化 保护对象与目标 内部网络与外部网络界定 考虑 DMZ 区(非军事区或停火区) 边界防火墙规则制定 边界防火墙可用性需求1.无冗余2.有冗余3.容错防火墙集b)内部防火墙设计细化 用户分类 控制校园网内不同区域之间的访问 内部防火墙规则制定 内部防火墙
8、可用性需求1.无冗余2.有冗余3.容错防火墙集c)控制对服务器中心的网络访问 独立防火墙 虚拟防火墙具体设计中,应该体现:防火墙需求数量、部署点、配置策略、保护目标、 运行后维护与管理方案等,要求提供防火墙的具体型号和产品,还应包括投 资概算(视时间是否充裕而定)防火墙设计防火墙设计项目实施文档项目实施文档1. 实施内容和进度安排(用甘特图表示)2. 实施的条件和措施(人员、前期准备工作)3. 防火墙方案确定给出参照的标准和规范,给出防火墙网络拓扑图。分析一些通用已经执行的 方案,进行对比,确定选用的方案。要求给出边界防火墙、内部防火墙、数 据服务器防火墙三种目标分别具体实现其一,给出产品选择、部署方针、测 试方案。4. 防火墙的部署、配置与管理结合网络拓扑结构和具体的建筑物关系,给出工程施工,用工计划、用工协 议、工程施工进度表,供货时间表、会议纪要、工程预算表、工程施工预算 表、设备材料进货检验单、工程开工报告、设计变更单、施工日志、质量工 程检查记录、系统调试合格证书、竣工报告单、验收申请单。5. 验收测试验收测试报告应该针对每一项测试,包括:测试项目、测试环境、测试方法、 测试用例、测试结果等。可以用表格方式进行测试结果的记录。给出是否测试通过的评价。给出功能性评价和性能性评价。
