云南农业大学校园网防火墙配置方案

网络信息安全技术课程作业学院：工程技术学院专业：电气工程及其自动化姓名：杨雪森学号：个人防火墙与病毒防火墙的区别1.个人防火墙是位于计算机和它所连接的网络之间的软件，安装了个人防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用个人防火墙是保障网络安全的第一步，选择一款合适的个人防火墙，是保护信息安全不可或缺的一道屏障。2.因为病毒防火墙和防火墙软件本身定位不同，所以在安装反病毒软件之后，还不能阻止黑客攻击，用户需要再安装防火墙类软件来保护系统安全。3.病毒防火墙主要用来防病毒，防火墙软件用来防黑客攻击。4.病毒为可执行代码，黑客攻击为数据包形式。5.病毒通常自动执行，黑客攻击是被动的。6.病毒主要利用系统功能，黑客更注重系统漏洞。7.当遇到黑客攻击时病毒防火墙无法对系统进行保护。8.对于初级用户，可以选择使用个人防火墙软件配置好的安全级别。9.个人防火墙软件需要对具体应用进行规格配置。10.个人防火墙不处理病毒奥联APN网络构架 客户背景： 北京同仁堂连锁药店是著名的老字号中国北京同仁堂（集团）有限责任公司旗下的药品零售连锁经营企业，也是同仁堂面向国内外市场的窗口。从2001年成立至今，它有百余家连锁店，在多个城市设有配送中心。 在未来两三年内，同仁堂连锁店将在北京地区扩展到100家，在全国扩展到400家，在海外建立上百家的规模，而这些蓝图的实现，最基础的工作就是搞好信息化建设。 方案实施： 根据同仁堂的具体情况，为其设计了以APN GW系列为VPN基础平台，搭建集团内部网络的解决方案。 各点基于IPSec建立VPN通道，传输的数据经过AES/3DES等多种加密算法加密；同时采用MD5/SHA1 数据摘要算法，保护数据传输的完整性； 方案特点： APN可以使整个系统可以形成网状、星状、任意形状的网络拓扑。而且这个网络结构可以按照需要随时做新的调整；APN可以自己定义节点的逻辑关系。如：可以设定A与B连接，与C又不可连接，而B与C又可以连接等； APN将同仁堂的内部的药店拓扑结构定义为网状，而对于一些加盟店、供应商则定义为星状联接。并在防火墙中设置了，具体的访问规则，很好的保护了VPN网络的安全。 APN解决了总部对各门店的网络管理问题，可以对各门店的网络进行统一指挥、统一管理 。 方案实现功能： 1、运行协力商霸.net管理系统。 2、总部和库房运行VOIP系统。 方案实现拓扑图 校园网络防火墙设计无论是大中型企业网络，还是小型家庭办公网络，对网络安全方面的要求一直保持上升趋势。微软公司的官方网站尚且难逃黑客的魔爪，普通的中小网络更难以抵抗了。解决网络完全问题最常用的防护手段就是安装网络防火墙，尤其是对大中型规模的企业网络而言，网络防火墙更是必不可少的网络设备。防火墙（Firewall）是指在本地网络与外界网络之间的一道防御系统，是这一类防范措施总称。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许“被同意”的人和数据进入你的网络，同时将“不被同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。互联网上的防火墙是一种非常有效的网络安全模型，通过它可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访，从而达到保护内部网络目的。用户概况云南农业大学创办于1938年，前身是国立云南大学农学院，1971年与云南农业劳动大学合并成立云南农业大学。学校于1993年被列为云南省属重点大学。学校专业设置合理、教学设施齐全、师资力量雄厚。云南农业大学建校七十多年来，一代代师生秉承“开学养正、耕读至诚”的大学精神，情系稼穑、躬耕疆域、励精图治、矢志创业，为社会做出了巨大贡献。用户需求 目前,云南农业大学由于教学信息化规模的较大，校园网管理数据越来越多，需要学校对外部信息采集和处理能力的提升来加强与内部信息的沟通，以实现教学管理共享性和时效性, 发掘管理效率. 实现管理、教学、决策的统一性，沟通畅通和协调管理。 从而最大可能地达到内部和外部资源的最优利用，为全校师生带来更多的便利，也为云南农业大学的更好发展加深基础。现实情况是, 云南农业大学的招生规模扩大，每个同学都可以在校园网自主查询学习相关知识，而且校园网还保存有在校师生的相关重要信息。由于学校的管理人员对计算机的知识和维护技术能力有限，再加上主机连接互联网后，将直接面临来自互联网的病毒和黑客的攻击。曾经就发生过某些高校的主机受蠕虫病毒和黑客的攻击，主机系统崩溃，导致学生信息外泄和校园网不能正常工作的严重后果。 值得关注的是，由于云南农业大学的发展日益壮大，更多的高考学子和社会企业会对学校更加关注，所以所如何才能经济、安全、方便、快捷的建立起一个教育网络系统，是一个慎重的问题。 技术方案 针对云南农业大学目前的现状和所面临的问题。认真的调查，并仔细研究了可实现的各项解决方案的可能性、可行性和真实环境的测试。最终选择了NETGEAR公司的ProSafe FR114P防火墙的设计方案。 整个项目设计要求最大可能地保证其所有的网络设备和系统的正常运行，并且可以获得良好的管理，能够完全控制与教育基础结构相联系的安全风险。实现的总体目标是在不影响学校网络系统当前业务的前提下，实现对学校的网络的安全、高速、稳定的实时连接。 根据项目的具体要求及结合NETGEAR公司安全可靠的防火墙产品，网络拓扑结构示意图如下： NETGEAR公司ProSafe FR114P方案能确保实现以下功能： 支持各种宽带类型线路（ADSL、Cable Modem和以太网接入）；为各客户端提供了方便、灵活、经济的通讯方式的选择。 内置4个10/100 Mbps局域网端口，可直接连接计算机或连接原有局域网的交换机。并且每个端口都自识别正反线的连接。 使用简单，省去了原有拨号上网的繁琐，使用者只需打开计算机，运行业务软件，就可以直接连接学校的数据服务器。 内置先进的SPI防火墙+NAT机制, 具有DoS保护(拒绝服务攻击保护)、入侵检测等安全特性，能安全的抵御来自于互联网的侵害； 最安全优化的硬件、操作系统和防火墙，实时检测技术。比拼凑而成的软件类方案提供更高级的安全水平。 能够根据IP地址、协议端口、服务、关键字以及时间段提供内外双向的安全控制机制. 特别是象对互联网上蔓延的“蠕虫”的防护。 内置打印服务器功能，使用更方便。 具有支持动态IP域名（DDNS）的功能；便于统一远程维护和管理。 更具特色的是-广域网IP更改通告，当各某主机重新获得动态IP时，能及时将更改的信息通过E-MAIL的形式告知网管。以防止DDNS发生异常后，管理员无法远程维护。 支持受攻击和异常情况E-MAIL通告.管理员可以及时获知防火墙设备的安全情况。 设备安装设置简单方便。内置智能安装向导，能全过程辅助连接设置，并且能自动识别各种广域网线路类型。 内置UPnP自动端口映射(UPnP TM)技术，未来可以提供来自于互联网的语音（VOIP）和视频服务的支持，并且能和其他基于以太网的设备提供更好的互操作性网络扩展简单，每增加主机只需添加一台FR114P防火墙。并且也节省了校园网建设成本。产品具有稳定性，和可靠性。配置的基本步骤：1. 配置防火墙接口的名字，并指定安全级别（nameif）2. 配置以太口参数（interface）3. 配置内外网卡的IP地址（ip address）4. 指定要进行转换的内部地址（nat）5. 指定外部地址范围（global）6. 设置指向内网和外网的静态路由（route） 高级配置：A. 配置静态IP地址翻译（static） 如果从外网发起一个会话，会话的目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，允许这个会话建立。B. 管道命令（conduit） conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。C. 配置fixup协议 fixup命令作用是启用，禁止，改变一个服务或协议通过防火墙，由fixup命令指定的端口是防火墙要侦听的服务。D. 设置telnet 当从外部接口要telnet到防火墙时，telnet数据流需要用ipsec提供保护，也就是说用户必须配置防火墙来建立一条到另外一台防火墙，路由器或vpn客户端的