企业上网及防火墙建设.docVIP

企业上网与防火墙建设文章出处：? 作 者： 赵洋???发布时间：2004-09-24???点击:0 ? ??? 安全政策是规定什么人或什么事允许连接到哪些人或哪些事。也就是说，事先要考虑把防火墙放在网络系统的哪一个位置上，才能满足自己的需求，才能确定欲购的防火墙所能接受的风险水平。 ? ? (3)在满足实用性、安全性的基础上，还要考虑经济性。 ?? ?5.INTERNET联网应用实例 ??? 5.1　系统设计目标 ??? (1)首先建立安装防火墙使用可编程路由器作为包过滤器，此法是目前用得最普通的网络互连安全结构。路由器根据源/目的地址或包头部的信息，有选择地使数据包通过或阻塞。 ??? (2)其次建立安装防火墙的基本方法是，把防火墙安装在一台双端口的主机系统中，连接内部网络。而不管是内部网络还是外部网络均可访问这台主机，但外部网络不能与内部网上的主机直接进行通信。 (3)另外由于计费的需要，防火墙系统对外防火墙，对内审计、计费系统。 实际上防火墙需是集IP流量计费、流量控制、网络管理、用户验证、安全控制于一身的综合防火墙。本系统的主要功能包括：防止外部攻击，保护内部网络、解决网络边界的安全问题。通过防火墙隔离内外网络支持访问代理功能对IP地址进行访问控制对端口进行访问控制对协议进行访问控制。 ??? 5.2　防火区结构构架 ??? 我们实际上采用的是在内部网络与INTERNET接入网之间设立一个防火区。防火区由Cisco 2501路由和E-MAIL服务器、WEB服务器和代理服务器组成，相互之间用HUB相连。允许外部INTERNET用户作限定的访问。允许内部网站通过代理服务器对外访问。 ??? 5.2.1　过滤路由器 ??? 其中Cisco 2501通过MODEM和DDN专线负责接入CHINANET(163)及CHINAINFO(169国内多媒体信息网)，实现与INTERNET连接。其主要用作过滤路由和网络地址转换(NAT)。虽然防火区内每个服务器都配有163地址和169地址，但是防火区中的服务器网段上，实际只配置了169地址网段，这样所有需要访问上述服务器含163地址(202.96.XX.XX)的IP包都被转成对应的含169地址(10.103.XX.XX)的IP包。这项任务由路由器2501来完成。这样处理可以既 不影响速度，也减少了设备，又便于进行管理。 ??? 5.2.2　代理服务器 ??? 　配置及主要功能 ??? 代理服务器配置为：P11/512M内存/6.4G硬盘4只/3C509网卡2块/LUNIX操作系统其主要作为内部网络访问外界的代理服务器，也是主要的防火墙，一般由其外发的IP包的地址为设置成202.96.XX.5格式，这样在黑客截走这个包后再企图对该服务器进行进攻会招致失败。另外该服务器还作为front page服务器，这样使得在内部对相同的网站进行访问时，只要提 供从服务器自身获取数据即可。这样可以提高速度降低费用。 ??? 　流量控制 ??? 在流量统计方面可以分别按IP地址，按服务类型进行流量统计，可以对国内国外、流入流出进行统计，用户可以根据情况自定义国内和国外子网段，针对不同的子网段可以有不同的访问控制和计费标准。流入流量就是由外部网络到内部子网的流量，流出流量是由内部子网访问外部网络的流量。IP防火墙可分别统计从内部子网到国内国外的流量，以及内外子网流入流出的流量。可按流量日志统计管理，支持数据库，支持统计、计算、查询和报表，实时监控，显示网络的通断状态。 ??? 防火墙可实时监控网络状态，并留有历史记录，管理员可以通过图表查看网络通断状态。管 理员可监控每一个用户的使用流量并根据需要中止该用户当月的使用。 ??? 　主要技术 ??? 主要技术有IP包过滤、IP计费、IP和MAC地址的对应、RADIUS用户验证和授权、主机安全、 地址转译。 ?? ?5.2.3　其他服务器 ??? 　WEB服务器 ??? 配置为：P11/256MB内存/6.4GB硬盘2只/3C509网卡1块/WINDOWS NT其主要用于存放公司主页等；另外为了访问安全和提高访问速度，我们要求另在169系统上 申请一个300MB的存储空间，主要作为主页的访问镜像。 ??? 　E-MAIL及DNS服务器 配置为：P11/256MB内存/6.4GB硬盘2只/3C509网卡2块/LUNIX主要外来的电子邮件接收、外出邮件发送和域名转换。提供SMTP和P0P3功能。 ?? ?5.3　系统安装 ??? 5.3.1　网络地址配备 ??? 在安装前首先向电信部门申请DDN专线，同时在申请到20个169的IP地址(10.103.XX .XX)及8个163的IP地址(202.9