防火墙课程设计教程.doc

第一章?绪论 第一节?项目背景? DMZ构建简单的说就是将园区网内各种信息资源通过高性能网络设备连接起来，形成园区网系统，以便资源共享，并通过路由器与外网相连。随着园区网建设的普及和快速发展，病毒、木马、黑客攻击等危害行为随之产生，所以构建一个安全、快速的园区网显得尤为重要。? 企业要求建设对外的WWW服务，电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站，要求对用户实现域模式管理，建立严格的资源访问控制，为保证业务的正常开展，要求建立完善的网络安全体系和网络管理系统，内网用户能够通过这个申请到的公网IP访问互联网；通过公网IP将内网中的DNS，WWW, FTP, MYSQL服务输出给互联网和内网用户访问；NFS服务则只允许DMZ区域和内网用户访问；WWW为LAMP架构；FTP需要开启虚拟帐号的功能，且其访问的目录为了扩展，希望使用逻辑卷(比如，挂载至/var/upload);为加强安全，内网主机不允许来自互联网的主机访问； 内网用户访问DNS, WWW等服务器时使用路由方式直接访问，而外网用户则需要通过外网地址访问；DMZ区域中的主机不能主动向别的主机发起连接请求； 第二节?总体目标? 1、在企业中中建成一个共享的内部网络，在此基础上建立起可以上网的用户还有就是公司的服务器。? 2、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问，及实现信息在Internet的发布。? 第三节：理解DMZ意义 DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。那么从这个角度来看，攻击着想要攻击内网用户区域，就必须先攻克这个DMZ区域，但是这道题的要求可以实现这个要求吗？通过iptables的设定，只允许外网主机访问DMZ区域，而且不允许DMZ区域的任何主机发起任何主动请求，这样有效防止了反弹木马。 第二章?需求分析 随着信息时代的到来,无论是办公或者是通信都离不开计算机。现在的人越来越依靠于计算机，再加上电子商务行业的飞速发展Internet的应用也更加广泛。由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，成为信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成部分。因此，在全球信息电子化、网络化迅速发展的大环境下，无论是从大趋势上看，还是从自身商业利益角度考虑，建立园区网是企业顺应时代潮流的必由之路。? 根据本园区网实际情况主要应用需求分析如下：? 用户的应用需求：所有用户可以方便地浏览和查询局域网和互联网上的学习资源，通过WWW服务器、电子邮件服务器、文件服务器、远程登录等实现远程学习。 （2）通信需求：通过E-mail及其它网络功能满足全网的通信与信息交换的要求，提供文件数据共享、电子邮箱服务等。? （3）信息点和用户需求：按照要求本园区网内信息点要求：电子邮件服务器、文件服务服务器、DNS域名服务器等为内部单位服务，WWW服务器、远程登录等实现远程学习，从外部网站获得资源。? 第三章：系统详细的设置方法 第一节：网络布局的设计图如下： ：可行性分析： 根据题意需要建立一个DMZ区域，里面提供NFS ，FTP，HTTP，MYSQL的服务2.内网用户可以使用所有服务，外网用户能用到ftp,http,mysql，dns我用了两台服务器来实现DMZ区域的服务，这样负载也均衡一些：提供httpd，dns(主), ftp服务，网页文件保存在nfs服务器上，这样这台服务器并不存储重要数据。提供NFS服务和mysql服务，这样重要的数据都保存在一台不提供http的服务更安全一些，并且提供一个DNS的从服务器，如果0.1挂掉的话，它就会工作，确保内网用户正常上网。 1.需要配置DNAT来将DMZ区的httpd，dns，mysql映射出去。2.内网用户需要可以直接转发到DMZ区域，外网用户不能访问内网主机。3.不允许DMZ区域的主机主动请求任何主机 第四节：遇到的问题 因为只有同一台HTTPD服务器，所有DNS无论视图内网还是外网用户，都最终指向了DMZ区域的主机。例如：外网访问 , 域名解析请求到达防火墙时，转发给