基于防火墙策略控制的实验室上网申请自动控制系统.docVIP

基于防火墙策略控制的实验室上网申请自动控制系统 　　摘要：中等职业类学校的实验室在接入互联网的管理中，通常都是按照所上课程 的需要，填写上网申请表，分别由教务部门和信息管理部门审批后，再由网络中心人员手工在防火墙中进行策略操作，以手工的方式实现控制互联网的通断，本文以实际案例，以OA系统+自开发Windows服务，基于防火墙策略，实现开网申请、审批、互联网定时接通、定时切断的自动化操作。 中国论文网 /8/view-7181835.htm 　　关键词：防火墙策略 OA系统 Windows服务 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2015）12-0000-00 　　1 引言 　　随着信息化技术的高速发展，中等职业学校开设的计算机课程已成为各专业基础课程，尤其是对互联网技术的各类应用已成为所有学生必须掌握的基本技能，学校在进行计算机类课程的教学过程中，按照课程知识点的内容，需要在指定的时间范围对指定实验室开通互联网接入，以满足课程教学的需要。而传通的手工申请、审批，手工对防火墙策略进行操作，以达到互联网接通与切断的操作方式，存在诸多弊端，如手续繁琐，效率低下，更有可能由于网络管理人员在指定开网或关网时间不在电脑跟前而无法及时操作等问题。因此实现自动化操作的需求迫在眉睫，本文以我校的实际情况为例，对实现自动化操作的过程进行分析。 　　2 防火墙策略概述 　　防火墙（Firewall）是一种通常置于内部网络与外部网络之间的安全设备，我们可以通过在防火墙上设置安全策略，来实现所有数据包的安全过滤，对符合安全策略的数据允以放行，对不符合安全策略的数据进行阻截丢弃的操作，最终达到保护局域网，尤其是部署在局域网上的服务器的安全。这是防火墙所具体的最基本也是最主要的功能。除此以外，防火墙还具备了非常高效的NAT（网络地址转换）功能，通过NAT地址转换服务，可让局域网内的终端设备轻松实现访问互联网的功能。因此，防火墙设备也通常被许多单位当作互联网出口设备来用。常见防火墙的管理方式一般有Web、专用客户端、SSH等管理方式，本文所探讨的方案，要求防火墙必须支持SSH管理方式，并且能够以命令的方式来进行策略的操作。 　　3 校园网络地址规划及防火墙策略配置 　　一般学校拥有的计算机数量都较多，为减少校园网络中的广播数据，防止广播风暴，提高网络传输效率，一般都采用VLAN技术，对整个校园网接入设备按搂宇、楼层或实验室划分不同的VLAN，对每一个VLAN分配一个不同独立的C类地址段。最终通过在三层交换机上配置路由实际全网互通。 　　为实现对每个实验室的独立控制与管理，可以在防火墙中以各VLAN的IP地址段创建策略，而防火墙的策略，通常有Permit和Deny两种状态，即“同意”和“拒绝”，即当数据包符合策略时所采取的动作是“同意通过”还是“拒绝并丢弃”。下面以我校采用的阿姆瑞特F5500防火墙为例，了解防火墙策略的配置方法： 　　（1）添加策略（首先以SSH方式登录至防火墙，以实验室1为例）： 　　1）add Address IP4Address lan2 Address=/24 //添加IP4地址对象。2）add IPRule Action=Drop Service=all_services DestinationInterface=ge3 DestinationNetwork=all-nets SourceInterface=ge2 SourceNetwork=lan2 Name=lan2 Index=2 //创建一个名为lan2的策略，动作为Drop，面向所有协议，目标接口为ge3，目标网站为所有，源接口为ge2，源网络为lan2。 　　说明：在阿姆瑞特F5500防火墙中，定义好的策略有Enabled和Disabled两种状态，默认为Enabled状态，即策略有效状态，由于策略中Action采用的是Drop，因此，在该策略有效的情况下，实验室1是无法上网的，如果需要让实验室1能够上网的话，只要将该策略的状态设置为Disabled状态即可，即使得该策略无效。 　　（2）修改策略状态。在阿姆瑞特F5500设备中定义的每一条策略都有一个索引号，前面给实验室1定义的策略的索引号为2（index=2），修改策略状态时，需要用到索引号，命令如：set IPRule 2 ?Cdisable //将索引号为2的策略设置为Disable状态，将-disable改成-enable，即可将该策略重新激活。 　　（3）激活改动的配置。activate 　　（4）提交改动的配置。commit 　　4 OA系统概述及开网申请、审批功能的无纸化实现 　　OA即为办公自动化系统，也称协同办公系统，是一套