校园网防火墙设计

校园网防火墙设置基础作者：张友俊来源：《管理观察》2009年第36期摘要:伴随着网络技术的飞速发展,大中型校园网络已经在各个学校普及,然而,网络中的一些不安全因素随之而来,网络安全工作成为网络技术中必不可少的关键技术,防火墙就是校园网络安全中重要的一环。

校园网是校园信息传输、网络办公、网络教学平台的重要手段,必须建立有效的、安全的、高效网络安全防范体系以保护校园信息和关键应用的安全。

防火墙在校园网安全防范中起到了至关重要的作用。

关键词:防火墙数据安全校园网网络攻击一、我院的校园网络情况我院校园网由网络中心、主干网和各教学楼、实验楼等局域网组成。

主干网以千兆以太网为主,光纤覆盖整个校区。

各楼局域网实现千兆到机房,百兆到桌面的布局,实现校园网的高效运行,校园网的主干网中采用Cisco的2821路由器作为外部路由器。

由思科路由器直接连接思科防火墙Cisco5521,该防火墙是思科公司新一代的防火墙系统,替代老型号的PIX防火墙的新型防火墙,各项性能十分出色,网络信息经过路由器后到达思科防火墙进行包过滤防火墙后连接校园网主交换机华为6506千兆以太网三层核心交换机,该三层交换机具有路由功能,可作为校园网的各内部局域网网间的路由器)。

二、学院网络中存在的不安全因素有:现在我院校园网在网络办公和教学中发挥着巨大的作用,然而随着对网络服务要求的进一步提高,在经过一段时间运行中发现一些问题并着手解决问题,更好的为网络教学和办公服务。

1. ARP病毒和IP地址冲突现象我院校园网包括机房和各楼宇办公电脑不下千余台电脑,由于电脑太多,各个处室也都有很多办公室,并混编在各个办公楼和教学楼中,学院网络中心决定使用静态IP对每一台电脑一一对应,但运行一段时间后发现,有的办公室在电脑系统损坏后,私自进行安装系统并随意设置IP地址,这样导致局域网内出现IP地址冲突现象时有发生,针对这一情况,网络中心工作人员对每台电脑的物理地址与IP地址进行绑定,并要求各办公室每台电脑负责人记录IP地址,这样随意乱设置IP也不能连接网络,解决了IP冲突问题,同时也对ARP病毒进行了有效的防范,提高了网络的利用效率。

校园网防火墙设计作者：顾峰来源：《电脑知识与技术》2009年第13期摘要:校园网出口的安全和稳定,关系到整个园区内部网络服务的正常使用。

选择Linux服务器搭建的防火墙作为出口防火墙的备份,能够比较好地解决出口设备的冗余问题,提高整个网络的健壮性。

关键词:防火墙;Linux;路由策略中图分类号:TP393 文献标识码:A文章编号:1009-3044(2009)13-3358-021 引言防火墙一词来源于建筑学。

在建筑物中,防火墙是用抗热防火材料建成的墙,用来减弱或阻止火势在建筑物中直接地蔓延。

同理,在网络环境中,防火墙是一个介于内网和外网之间,保护内部网络免受外网的非法入侵或攻击,由硬件或软件组成的专用设备。

现在经常使用的专业级防火墙,主要有通用CPU和ASIC两种架构。

通用CPU架构一般都基于Intel X86的架构,能够方便升级和扩展,但由于这种架构采用的是PCI总线接口,Intel X86架构虽然在理论上能达到2Gbps甚至更高的吞吐量,但在实际应用中,通用CPU的处理能力较差,操作系统尤其是在处理小包时,远远达不到标称性能。

ASIC架构通过采用硬件转发模式、多总线技术、数据层面和控制层面分离等技术,解决了带宽容量和性能不足的问题,在稳定性方面也得到了很好的保证。

但由于采用纯硬件架构,所以往往价格偏高,灵活性和扩展性也较差。

我校的校园网出口,已经部署了一台ASIC架构的硬件防火墙,但为了应对防火墙硬件突发故障、系统升级这类的事件,需要再接入一台防火墙来保障出口带宽的高可用性。

通过综合ASIC架构防火墙价格、备份防火墙的使用率和服务器本身性能等因素分析,设计选择Intel X86架构,基于Linux操作系统的软件防火墙来实现出口冗余,使方案具有更高的性价比。

2 Linux防火墙原理解析目前出口的硬件防火墙主要通过包过滤和路由协议来保障内外网的通讯。

为了达到防火墙冗余的预期效果,Linux防火墙也必须实现这两大功能。

基于边界防火墙策略路由的校园网出口建设随着互联网的快速发展，校园网络在今天已经成为学生学习和师生教学中不可或缺的一部分。

随之而来的问题也日益显现，特别是网络安全问题。

为了保护校园网络的安全，建立一套完善的出口防火墙策略路由系统是必不可少的。

1. 合理分流出口流量，提升网络性能随着校园网络用户数量的增加，出口流量也在逐渐增大，为了合理分流出口流量，在网络安全的前提下提升网络性能，建立基于边界防火墙的策略路由是必要的。

2. 提升网络安全性建立基于边界防火墙的策略路由系统可以对校园网络进行全方位的安全监控和管理，保护网络不受到黑客攻击和病毒感染。

3. 加强对网络流量的控制和管理通过对流量进行策略路由，可以更好地对网络流量进行控制和管理，保证关键业务的流量得到优先保障。

1. 设立边界防火墙在校园网出口处设立专门的边界防火墙，通过对外部流量进行检测和过滤，防止来自互联网的攻击和恶意流量的进入。

2. 配置路由策略根据校园网络的实际情况和需求，配置路由策略，实现对不同类型流量的针对性管理和控制。

配置策略路由，将教学业务的流量优先保障，提高网络的服务质量。

3. 实施访问控制对校园网络的访问进行控制，对不合法的访问进行拦截和阻断，保障网络的安全和稳定。

4. 设置安全防护策略针对常见的网络安全问题，设置相应的安全防护策略，包括入侵检测、流量限制和异常行为监控等措施，保障校园网络的安全性。

5. 定期维护和更新定期对边界防火墙和策略路由进行检查和维护，及时更新安全防护策略，保持网络设备的正常运行。

1. 利用人工智能技术加强网络安全随着人工智能技术的发展，可以利用人工智能技术来加强对校园网络安全的监控和管理，在网络攻击发生之前预测并及时采取相应的措施，提高网络安全的防御能力。

2. 加强对移动设备的管理随着移动设备在校园网络中的普及，需要加强对移动设备的管理和安全控制，以防止移动设备带来的安全风险。

3. 强化数据的加密和隔离对校园网络中的重要数据进行加密和隔离，保障数据的安全性和完整性，防止数据泄露和篡改。

学校网络防护措施规定
为了确保学校网络安全，保护学校网络数据和信息，以及维护学校正常的教育教学秩序，特制定本规定。

一、网络防护目标
1. 防止外部攻击：防止黑客、病毒等对学校网络的攻击，确保学校网络的安全稳定。

2. 保护数据安全：确保学校重要数据的保密性、完整性和可用性。

3. 维护网络秩序：打击情、赌博等违法信息传播，维护良好的网络环境。

二、防护措施
1. 防火墙设置：学校网络入口处设置防火墙，对进出学校网络的流量进行监控和过滤，防止恶意攻击和非法访问。

2. 入侵检测与防御系统：部署入侵检测与防御系统，实时监控网络流量，发现并阻止恶意攻击行为。

3. 病毒防护：统一部署网络防病毒软件，定期更新病毒库，防
止病毒感染和传播。

4. 数据加密：对学校重要数据进行加密存储和传输，确保数据
安全。

5. 访问控制：对学校网络资源进行访问控制，限制无关人员访
问学校内部网络。

6. 安全审计：定期进行网络安全审计，查找安全隐患，及时整改。

7. 安全培训：定期开展网络安全培训，提高师生网络安全意识。

三、违规处理
1. 违反本规定的行为，一经发现，将追究相关责任。

2. 对于网络攻击、入侵、传播恶意信息等违法行为，将报请相
关部门处理。

3. 对于违反本规定导致的网络故障、数据泄露等后果，责任者
需承担相应责任。

四、附则
1. 本规定自发布之日起实施。

2. 本规定解释权归学校网络管理部门。

为了确保学校网络的正常运行，保护学校网络安全，希望广大师生共同遵守本规定，共同维护学校网络环境。

基于三层交换机做防火墙的校园网配置江玉俭（大连广播电视大学旅顺分校辽宁大连１１６０４１）摘要：关键词：中图分类号：ＴＰ３文献标识码：Ａ文章编号：１６７１－７５９７（２０１２）０５１０１４７－０１三层交换机技术是近年来新兴的路由技术，将在今后主宰局域网已成为不争的事实。

阐述我校校园网拓扑结构中，使用三层交换机充当防火墙仅用来保护隔离区（ＤＭＺ）中的服务器群，以免受到来自Ｉｎｔｅｒｎｅｔ和校园内网的攻击。

三层交换机；防火墙；控制列表随着我国企业网、校园网以及宽带建设的迅速发展，网络安全问题日益突显。

防火墙通过它对数据包进行过滤，保护着网络的安全。

大型网络必须使用防火墙，但千兆专业防火墙价格昂贵，基于建设成本考虑，我校校园网采用交换机来充当防火墙，通过配置三层交换机的访问控制列表来达到防火墙的功能。

局域网发展到了千兆以太网，而网络结构却仍使用共享局域网，网络速度受到很大的制约，近年来采用的交换局域网则是以链路层帧为数据交换单位，允许多个结点同时进行通信，每个结点可以独占传输通道和带宽，很好地解决了第一层和第二层的速度问题。

从而解决了共享型以太网的制约速度问题。

但以往的路由器技术并没有随着信息传输量的增大而提高，再也不能满足对高速度的需求，由此便产生了三层交换技术的概念。

什么是三层交换技术呢？要理解这个技术必须从认识ＯＳＩ（开放系统互联模型）开始。

ＯＳＩ即开放系统互联模型，把网络系统从低到高分成七层：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

这里我们只需要介绍底三层。

物理层：物理层规范是有关传输介质的特性标准，是进行数据传输的基础，由硬件构成。

调制解调器和集线器都属于物理层的网络设备。

数据链路层：数据链路层定义了在单个链路上如何传输数据，提供的数据连路控制和差错校验功能，将不可靠的物理链路变成可靠的数据链路。

以往的交换机是数据链路层的网络设，它只能连接同一个子网的微机，如果ＩＰ地址不在同一个子网中则只依靠交换机不能实现通信，还需要第三层中的路由器。

基于边界防火墙策略路由的校园网出口建设现如今，校园网的建设已经成为学校的核心任务。

在构建安全可靠的网络系统的过程中，网络的出口是一个重要的环节。

本文基于边界防火墙策略对校园网出口进行建设，介绍特点、原则以及建设流程。

边界防火墙作为校园网出口的主要安全防护策略，具有一定的特点。

1、保护内部网络边界防火墙可以使内部网络免受外部网络的攻击，有效地控制外部与内部网络的通信，从而保护校园网的安全。

2、阻断威胁边界防火墙可以有效阻断网络威胁，可以防止病毒、木马等攻击，使网络更加安全，降低校园网出口网络建设的风险。

3、防止网络滥用边界防火墙可以用于防止网络滥用，可以通过简单的防火墙规则阻止对公共网络服务器的攻击，以及阻止恶意用户访问其他网络资源，从而保护校园网出口，使其网络安全保持稳定。

二、出口建设原则边界防火墙的建设一般遵循以下原则：1、授权访问防火墙可以授权从内部网络访问外部网络资源，从而防止未经授权的用户访问内部网络资源。

2、严控外联防火墙可以根据安全管理的要求，使外联不担心缺席，从而有效地防止外部网络的攻击。

3、网络端口安全防火墙可以控制网络端口的访问，从而防止攻击者利用允许的服务和端口开启连接，危害校园网出口的安全。

4、安全协议管理防火墙可以通过安全协议进行管理，可以拦截病毒、木马以及DoS攻击，有效地保护校园网出口网络的安全。

1、识别威胁首先要审查校园网出口所面对的威胁，确定要使用的安全管理技术和防火墙产品，为建设出口做好准备。

2、建立访问策略建立访问策略，合理安排网络访问权限，设置安全的访问权限，以及根据学校的访问需求，为内外网设置特定的端口访问权限等。

3、设定防火墙规则根据学校的业务需求，设定边界防火墙的安全策略，设定防火墙的规则，如端口过滤、网段过滤等。

4、独立部署将边界防火墙部署在校园出口网络与提供网络服务的ISP中心网络之间，以实现防火墙的可用性和安全性。

5、测试与调试最后，为校园出口网络进行测试、调试，进行网络质量测试和安全功能测试，确保校园出口的可靠性和安全性。

网络系统设计之防火墙设计防火墙——需求分析1、首先分析网络拓扑结构和需要保护的内容网络拓扑结构是否存在不合理总线型拓扑结构的缺点：(1) 总线拓扑的网不是集中控制，故障检测需在网上各个站点进行，使故障诊断困难。

(2) 如果传输介质损坏整个网络将不可瘫痪。

(3) 在总线的干线基础上扩充，可采用中继器，但此时需重新配置，包括电缆长度的剪裁，终端器的调整等。

(4) 接在总线上的站点要有介质访问控制功能，因此站点必须具有智能，从而增加了站点的硬件和软件费用。

(5) 所有的工作站通信均通过一条共用的总线，导致实时性很差。

环型拓扑的缺点：(1) 扩充环的配置比较困难，同样要关掉一部分已接入网的站点也不容易。

(2) 由于信息是串行穿过多个节点环路接口，当节点过多时，影响传输效率，使网络响应时间变长。

但当网络确定时，其延时固定，实时性强。

(3) 环上每个节点接到数据后，要负责将它发送至环上，这意味着要同时考虑访问控制协议。

节点发送数据前，必须事先知道传输介质对它是可用的。

环型网结构比较适合于实时信息处理系统和工厂自动化系统。

FDDI(Fiber Distributed Data Interface)是环型结构的一种典型网络，在二十世纪九十年代中期，就已达到100Mbps 至200Mbps 的传输速率。

但在近期，该种网络没有什么发展，已经很少采用。

树型网的缺点：(1) 除叶节点及其相连的链路外，任何一个工作站或链路产生故障都会影响整个网络系统的正常运行。

(2) 对根的依赖性太大，如果根发生故障，则全网不能正常工作。

因此这种结构的可靠性问题和星型结构相似。

星型结构的缺点：(1) 一条通信线路只被该线路上的中央节点和一个站点使用，因此线路利用率不高；(2) 中央节点负荷太重，而且当中央节点产生故障时，全网不能工作，所以对中央节点的可靠性和冗余度要求很高。

(3) 电缆长度和安装：星型拓扑中每个站点直接和中央节点相连，需要大量电缆，电缆沟、维护、安装等一系列问题会产生，因此而增加的费用相当可观。

校园网络安全设计方案10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展，校园网的建设日益普遍。

而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。

校园网络的安全不仅有来自外部的攻击，还有内部的攻击。

所以，在校园网建设中使用安全技术是刻不容缓的。

现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。

防火墙:防火墙是一种将内部网和公众网分开的方法。

它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。

防火墙的概念：通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。

防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。

它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，并且本身具有较强的抗攻击能力。

防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。

防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP 地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校园网的一切活动。