校园网防火墙设计.docVIP

网络系统设计之防火墙设计

防火墙——需求分析

首先分析网络拓扑结构和需要保护的内容

网络拓扑结构是否存在不合理

总线型拓扑结构的缺点：

(1)总线拓扑的网不是集中控制，故障检测需在网上各个站点进行，使故障诊断困难。

(2)如果传输介质损坏整个网络将不可瘫痪。

(3)在总线的干线基础上扩充，可采用中继器，但此时需重新配置，包括电缆长度的剪裁，终端

器的调整等。

(4)接在总线上的站点要有介质访问控制功能，因此站点必须具有智能，从而增加了站点的硬件

和软件费用。

(5)所有的工作站通信均通过一条共用的总线，导致实时性很差。

环型拓扑的缺点：

(1)扩充环的配置比较困难，同样要关掉一部分已接入网的站点也不容易。

(2)由于信息是串行穿过多个节点环路接口，当节点过多时，影响传输效率，使网络响应时间变长。但当网络确定时，其延时固定，实时性强。

(3)环上每个节点接到数据后，要负责将它发送至环上，这意味着要同时考虑访问控制协议。节点发送数据前，必须事先知道传输介质对它是可用的。

环型网结构比较适合于实时信息处理系统和工厂自动化系统。

FDDI(FiberDistributedDataInterface)是环型结构的一种典型网络，在二十世纪九十年代中期，就已达到100Mbps至200Mbps的传输速率。但在近期，该种网络没有什么发展，已经很少采用。

树型网的缺点：

(1)除叶节点及其相连的链路外，任何一个工作站或链路产生故障都会影响整个网络系统的正常运行。

(2)对根的依赖性太大，如果根发生故障，则全网不能正常工作。因此这种结构的可靠性问题和星型结构相似。

星型结构的缺点：

(1)一条通信线路只被该线路上的中央节点和一个站点使用，因此线路利用率不高；

(2)中央节点负荷太重，而且当中央节点产生故障时，全网不能工作，所以对中央节点的可靠性和冗余度要求很高。

(3)电缆长度和安装：星型拓扑中每个站点直接和中央节点相连，需要大量电缆，电缆沟、维护、安装等一系列问题会产生，因此而增加的费用相当可观。

星型拓扑结构广泛应用于网络中智能集中于中央节点的场合。从目前的趋势看，计算机的发展已从集中的主机系统发展到大量功能很强的微型机和工作站，在这种环境下，星型拓扑的使用还是占支配地位。在以太网中，星型结构仍旧是它的主要基本网络结构。其传输速率可达1000Mbps

OSI/RM参考模型中各层通信的安全隐患

在物理层上存在安全风险主要体现在传输线路上的电磁泄漏、网络线路和网络设备的物理破坏，以及数据的备份与恢复。黑客通过相应的技术手段，在传输线路上依靠电磁泄漏进行侦听，可以实现非法截取通信数据；也可以通过非法手段进网络设备进行破坏，致使网络全部或局部的瘫痪。

?数据链路层的主要特征就是形成MAC地址，并对物理层上的比特流进行编码、成帧，然后就是链路层上的可靠数据传输。这样一来，黑客基于数据链路层的攻击行为也就清楚了，一是进行MAC地址欺骗，如ARP病毒，再就是对数据编码、成帧机制进行干扰，致使形成错误的数据帧，也可以导致数据在数据链路上的传输错误，甚至数据丢失。数据链路层还有一个安全风险就是大量的广播包，致使网络链路带宽资源匮乏，而最最终使网络瘫痪。

网络层的功能是在结点之间创建逻辑链路，保证传输层传来的数据顺利通过通信子网。网络层为传输层提供数据报和虚电路服务，并解决由此引起的路径选择、拥塞控制等问题，为传输层提供端到端的透明传输服务。当通信子网内传送的报文分组过多、节点接收速度太慢、线路容量不足时，都会导致网络性能变差，出现拥塞。当拥塞加剧网络吞吐量急剧下降为零。这时网络无法工作，称为网络死锁。

传输层的功能是保证数据通过通信子网的最后措施。任何在网络层以下解决不了的问题，在传输层都要得到解决。网络层提供的服务质量好，传输层协议简单，反之传输层协议复杂多路复用：将多个不同的传输复用在网络层的一条虚电路上。流量控制与差错控制：与数据链路层类似，区别在于数据链路层节点之间的线路较少，而主机之间可以有多条连接。

会话层和表示层几乎是空的

本地网络接入情况

本地关键数据的部署

防火墙能够防护的内容

部署防火墙的保护目标（具体化）

边界防火墙

内部防火墙

重要数据和应用服务器防火墙

分析高安全性、一般安全性、低安全性范围

与ISP一起就管理问题进行讨论

防火墙——概要设计

防火墙在网络安全防护中的主要应用

控制来自互联网对内部网络的访问

控制来自第三方局域网对内部网络的访问

控制局域网内部不同部门网络之间的访问

控制对服务器数据中心的网络访问

防火墙选型

防火墙类型的选型考虑

包过滤型防火墙

应用代理防火墙

状态包过滤型防火墙

软、硬防火墙的选型考虑

软件防火墙

硬件防火墙

防火墙选购考虑

产品类型、端口数量、协议支持、