防火墙详细设计.pdf

防火墙——详细设计/实现

1.防火墙设计细化

a)边界防火墙设计细化

保护对象与目标

对象：校内学生网络、办公室网络、图书馆网络、各个学院网络、老师宿舍

网络，财务部重要资料，人事部重要资料

目标：用于控制信任的网络和非信任网络之间的数据包交换，并且可以通过

防火墙反馈收集的信息可以进行分析，找出系统安全存在的隐患，进而可以

有针对性地进行改进。

内部网络与外部网络界定

内部网络：主要为校内部网络的设备以及用户主机，这个是可信区域，禁止

所有来自Internet用户的访问；

外部网络：主要为校外部网络的设备以及用户主机，这个是不可信区域。

考虑DMZ区（非军事区或停火区）

DMZ（非军事区）：是校内部网络的小部分，是内部网络中用于公众服务的外

部服务器，都是为Internet提供信息服务。不需要如内部网络那么严格，因

为真正的服务器数据保证在受保护的内部网络主机上。

边界防火墙规则制定

1.按照对象的不同而安装不同的防火墙

2.按照内、外部网络的界定安装不同的防火墙

边界防火墙可用性需求

1.无冗余

2.有冗余

3.容错防火墙集

b)内部防火墙设计细化

用户分类

内部防火墙用于控制对内部网络的访问以及从内部网络进行访问。用户类型

可能包括：

•信任

校内的学生，可以是要到外围区域或Internet的内部用户、外部用户、远程

用户或在校外办公的用户。

•部分信任

学校合作的网站，这类用户的信任级别比不受信任的用户高。但是，其信任

级别经常比内网的用户要低。

•不信任

公共网站的用户。

控制校园网内不同区域之间的访问

将学生用户、教师用户、学校办公用户、以及重要数据信息的划分（详细根

据拓扑图写），例如，学生无权访问办公人员负责处理的数据。

（具体实现）

内部防火墙规则制定

通常，内部防火墙在默认情况下或者通过设置将需要实现下列规则：

默认情况下，阻止所有数据包。

在外围接口上，阻止看起来好像来自内部IP地址的传入数据包，以阻止欺

骗；在内部接口上，阻止看起来好像来自外部IP地址的传出数据包以限制内部

攻击。

允许从内部DNS服务器到DNS解析程序Bastion主机的基于UDP的查

询和响应；允许从DNS解析程序Bastion主机到内部DNS服务器的基于UDP

的查询和响应。

允许从内部DNS服务器到DNS解析程序Bastion主机的基于TCP的查

询，包括对这些查询的响应；允许从DNS解析程序Bastion主机到内部DNS服

务器的基于TCP的查询，包括对这些查询的响应。

允许DNS广告商Bastion主机和内部DNS服务器主机之间的区域传输。

允许从内部SMTP邮件服务器到出站SMTPBastion主机的传出邮件；允许

从入站SMTPBastion主机到内部SMTP邮件服务器的传入邮件。

允许来自VPN服务器上后端的通信到达内部主机并且允许响应返回到

VPN服务器。

允许验证通信到达内部网络上的RADUIS服务器并且允许响应返回到VPN

服务器。

来自内部客户端的所有出站Web访问将通过代理服务器，并且响应将返回

客户端。

在外围域和内部域的网段之间支持MicrosoftWindows2000/2003域验证通

信。

至少支持五个网段。

在所有加入的网段之间执行数据包的状态检查（线路层防火墙–第3层和

第4层）。

支持高可用性功能，如状态故障转移。

在所有连接的网段之间路由通信，而不使用网络地址转换。

内部防火墙可用性需求

1.无