天融信防火墙在大中型企业网络安的应用 .docVIP

职业技术学院 毕业论文 （2011届） 学生姓名 学 号 0 分 院 计算机分院 专 业 指导教师 完成日期 天融信防火墙在大中型企业网络安全的应用 摘 要 本文主要讨论基于天融信防火墙设备，对内部网络的安全体系进行实时的维护和有序的管理。对于一家大中型企业，安全性较低、功能单一的软件防火墙已经不能够满足公司的使用了，因此，购买一款安全性更高，功能更加全面的硬件防火墙才是首选。通过一款高效可靠的硬件防火墙，来作用于公司内网和互联网之间是非常有必要的，天融信的防火墙就可以为我们营造一个合理、高效、有序的网络安全体系。天融信防火墙就是诸多同行中的佼佼者，通过有效的配置和管理该硬件设备，可以大大的增强公司内网和互联网之间的安全性，文中主要讲述了如何转换源地址和目的地址，从而有效合理的使用IP地址；访问控制的配置，帮助提高网络资源的使用；上网时间的限制，带宽流量的限制，帮助提高员工的工作效率；服务器IP使用的规划，有效的保护内部资源的安全性，合理规划可访问的权限。 关键词 计算机网络安全 防火墙 局域网安全  目录 第一章 防火墙简介 4 1.1防火墙的概念和作用 4 1.2防火墙的分类 4 1.2.1 包过滤防火墙 4 1.2.2 应用代理防火墙 6 1.2.3 状态检测防火墙 7 1.3天融信防火墙的主要功能 8 第二章 局域网分析和设计 9 2.1背景描述 9 2.2可行性分析 10 2.3 需求分析 11 2.4局域网结构图 12 2.5局域网功能图 12 第三章 天融信防火墙 在企业网络安全的详细配置 14 3.1 IP 地址的分配 14 3.1.1 防火墙物理接口地址配置 14 3.1.2 各部门的 IP 地址范围配置 15 3.2源地址转换的配置 16 3.3 访问控制的配置 17 3.4 深度过滤 21 3.4.1 HTTP流量的带宽限制 21 3.4.2 限制上网时间 23 3.5 内部服务器的配置 24 3.5.1 内部服务器IP地址的规划 24 3.5.2 内部服务器访问控制的配置 26 3.5.3 内部服务器目的地址的转换 29 结论 32 致谢 33 参考文献 34 第一章 防火墙简介 1.1防火墙的概念和作用 防火墙(firewall)是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 防火墙可通过实时的监测、合理的配置、监控来往于防火墙的数据流，最大程度的监控、记录、屏蔽信息、结构和运行状况，是处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络权限的重要的安全工具。 防火墙的作用也是非常重要的，当一台计算机接上 Internet 之后，除了保护系统的安全中不被计算机病毒感染之外，更主要的就是防止非法用户的入侵。而目前最有效防止的措施主要是靠防火墙的技术完成。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动， 保证了内部网络的安全。 1.2防火墙的分类 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。因此，可以将防火墙分为包过滤防火墙、应用代理（网关）防火墙和状态（检测）防火墙三类。 1.2.1 包过滤防火墙 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷： 不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。 不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 不能处理新的安全威胁。它不能跟踪TCP状态，所