淺談校園局域網構筑防火墻

在構建安全網絡環境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關注。通常一個公司在購買網絡安全設備時，總是把防火墻放在首位。目前，防火墻已經成為世界上用得最多的網絡安全產品之一。那么，防火墻是如何保證網絡系統的安全，又如何實現自身安全的呢？

其實防火墻并不是真正的墻，它是一類防范措施的總稱，是一種有效的網絡安全模型，是機構總體安全策略的一部分，它的核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。防火墻主要用來執行兩個網絡之間的訪問控制策略，它能限制被保護的網絡與互聯網絡之間，或者與其他網絡之間進行的信息存取、傳遞操作。防火墻是一種隔離控制技術，可以作為不同網絡或網絡安全域之間信息的出入口，能根據企業的安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力。通過在網絡入口點檢查網絡通訊數據，根據預先設定的安全規則，提供一種安全的網間數據通訊。

中小型局域網由多個具有不同安全信任度的網絡部分構成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網絡安全的重要隱患。我們以學院為例，設計防火墻布局方案，布局結構如圖所示：

在本方案中，采用防火墻設備確保如科研部、財務部、教學部等重要安全域的相對獨立。選購防火墻主要應從安全角度考慮，在這里效率不應成瓶頸問題，應該選購業界大公司或資深信息安全研制單位的成熟產品。在防火墻上通過設置安全策略增加對服務器的保護，同時必要時還可以啟用防火墻的NAT功能隱藏網絡拓撲結構，使用日志來對非法訪問進行監控，使用防火墻與入侵檢測聯動功能形成動態、自適應的安全防護平臺。網絡層通訊可以跨越路由器，因此攻擊可以從遠方發起。IP協議各廠家實現的不完善，因此，在網絡層發現的安全漏洞相對更多。防火墻是近年發展起來的重要安全技術，在中小型公司系統中其主要作用是在網絡邊界處檢查網絡通訊，根據設定的安全規則，在保護內部網絡安全的前提下，提供內外網絡通訊。

根據網絡具體流量情況，采用型號為東軟NeteyeFW4120一H一XE6型上聯網通線路，下聯外網交換機華為6506快速以太網交換機。標準配置三接口的防火墻，其最大并發連接數將近60萬個，其中兩個接口分別接外網和內網兩個網段，第三個口可以作為預留。內網保護服務器群防火墻的配置：而在整個校園網中的資源信息服務器群則是整個網絡數據保護的關鍵，分別與兩個核心交換機相連。

核心交換機華為6505處配備一臺高性能天融信網絡衛士防火墻4000系統，用于對內部服務器群的訪問和聯動保護。此處采用型號為NGFW4000一S標準配置三個接口的防火墻，其最大并發連接數達到60萬個，一個接口接核心交換機，一個接口接級聯交換機，另一個接口作為預留接口。從而實現對內部服務器群的訪問控制保護。防火墻4000是天融信公司積多年來的防火墻開發經驗和應用實踐及天融信廣大用戶寶貴建議基礎之上，基于對網絡安全的深刻理解，融合網絡科技的最新成果，獨創了系列安全構架和實現技術，經過多年的研究和近兩年的開發所完成的最新一代防火墻產品。應能夠配置成分布式和集中統一管理，由防火墻管理代理程序和管理器組成。管理安全、方便靈活，防火墻4000經過簡單的配置即可接入網絡進行通信和訪問控制，GUI管理界面提供了清晰的管理結構，每一個管理結構元素包含了豐富的控制元和控制模型。對所有管理加密（支持SSL和SSH），并進行嚴格的審計，實現了真正的安全遠程管理。同時，可以支持SNMP與當前通用的網絡管理平臺兼容，如HP即enview、Ciscoworks等，方便管理和維護。提供面向對象的服務模板功能，可以方便的定制過濾規則。通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻，防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段，彼此隔離。這樣不僅保護了中小型公司服務器，使其不受來自內部的攻擊，也保護了各部門網絡和數據服務器不受來自校園網內部其它部門的網絡的攻擊。如果有人闖進一個部門，或者如果病毒開始蔓延，網段能夠限制造成的損壞進一步擴大。同時防火墻根據系統管理者設定的安全規則保護內部網絡，提供完善的安全性設置，通過高性能的網絡核心進行訪問控制。同時提供網絡地址轉換、透明的代理服務、信息過濾、內容過濾、流量控制、帶寬管理，用戶身份認證等功能。

當然，防火墻本身也有其局限性，即不經過防火墻的入侵，防火墻則是無能為力的。此時，在一個實際的網絡運行環境中，僅僅依靠防火墻來保證網絡的安全顯然是不夠，此時，應根據實際需求采取相應的安全策略。