校园网防火墙设置基础

张友俊

摘要:伴随着网络技术的飞速发展,大中型校园网络已经在各个学校普及,然而,网络中的一些不安全因素随之而来,网络安全工作成为网络技术中必不可少的关键技术,防火墙

就是校园网络安全中重要的一环。校园网是校园信息传输、网络办公、网络教学平台的重要手段,必须建立有效的、安全的、高效网络安全防范体系以保护校园信息和关键应用的安

全。防火墙在校园网安全防范中起到了至关重要的作用。

关键词:防火墙数据安全校园网网络攻击

一、我院的校园网络情况

我院校园网由网络中心、主干网和各教学楼、实验楼等局域网组成。主干网以千兆以太网为主,光纤覆盖整个校区。各楼局域网实现千兆到机房,百兆到桌面的布局,实现校园网的高效运行,校园网的主干网中采用Cisco的2821路由器作为外部路由器。由思科路由器直接连接思科防火墙Cisco5521,该防火墙是思科公司新一代的防火墙系统,替代老型号的PIX防火墙的新型防火墙,各项性能十分出色,网络信息经过路由器后到达思科防火墙进行包过滤防火墙后连接校园网主交换机华为6506千兆以太网三层核心交换机,该三层交换机具有路由功能,可作为校园网的各内部局域网网间的路由器)。

二、学院网络中存在的不安全因素有:

现在我院校园网在网络办公和教学中发挥着巨大的作用,然而随着对网络服务要求的进一步提高,在经过一段时间运行中发现一些问题并着手解决问题,更好的为网络教学和办公服务。

1. ARP病毒和IP地址冲突现象

我院校园网包括机房和各楼宇办公电脑不下千余台电脑,由于电脑太多,各个处室也都有很多办公室,并混编在各个办公楼和教学楼中,学院网络中心决定使用静态IP对每一台电脑一一对应,但运行一段时间后发现,有的办公室在电脑系统损坏后,私自进行安装系统并随意设置IP地址,这样导致局域网内出现IP地址冲突现象时有发生,针对这一情况,网络中心工作人员对每台电脑的物理地址与IP地址进行绑定,并要求各办公室每台电脑负责人记录IP地址,这样随意乱设置IP也不能连接网络,解决了IP冲突问题,同时也对ARP病毒进行了有效的防范,提高了网络的利用效率。

2. 内部网络攻击和病毒防范

防火墙对于网络攻击具有防范作用,但在实际运行时发现,很多攻击发自于内部局域网防火墙对于内部的防护则几乎不起什么作用。所以如何减少校园内部局域网攻击和病毒是重要的问题。

3. 入侵、扫描和攻击

校园网内部的WEB服务器和网络设备,有时会受到攻击、扫描等、造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。

4. 内部局域网访问WEB服务器和非法URL的访问问题

学院在网络中心设有几台WEB服务器,接入在防火墙的DMZ区域,如何实现内部网各网段实现对服务器的访问和外部对服务器的访问,还有如何在校园机房上网时屏蔽一些反动的或不健康的网站。

5. 病毒防护

互联网技术的成功,导致网络病毒的迅速传播,经常导致系统崩溃,网络瘫痪,对网络服务构成严重威胁。

三、防火墙和中心交换机的基本设置

1.为防止ARP病毒和广播风暴的发生,我院在核心交换机上划分VLAN,设置不同的VLAN来防范广播风暴的产生,如学生机房用VLAN 5 ,其它处室分别分配在不同的VLAN中,这样如果某一VLAN中的用户中了ARP病毒,不会波及到整个校园网络运行,缩小的中毒范围和故障排除难找到中毒机的问题。由于教师机上有一些不该让学生知道的如试卷等,但在本VLAN中还有可能进行共享,针对这种情况,在核心交换机中对学生机网段利用ACL访问控制列表进行控制,禁止学生机访问教学网段。其它网段可以互访。

2.病毒和攻击防护

为防止外网对校园网的攻击,在防火墙上屏蔽了一些常被病毒利用的端口如4444、135等端口。

3.解决学生上课时间上网问题

正常情况下,学生在上课时是不允许上网的,为实现这个情况,在防火墙上设置了基于时间的访问控制列表,对学生机房网段上课时间进行限制,对其它网段不作限制。

4.校园流媒体播放和内网域名访问

由于校园网的网站更新,加入了一些关于教学方面的视频和课件,但这些视频在内网访问没有问题,在外网上就是无法访问,还有就是如何时在内网用域名访问,本人经过研究进行了如下设置,达到了就效果。

在防火墙中去掉RTSP协议检查

asa5520(config)# policy-map global_policy

asa5520(config-pmap)# class inspection_default

asa5520(config-pmap-c)# no inspect rtsp

更改设置后,外网可以访问内网服务器上的流媒体文件。

内网用域名访问设置如下:

asa5520(config)# global (dmz1) 1 192.168.1.X

asa5520(config)# alias (inside) 61.158.X.X 192.168.1.100 255.255.255.255

设置完成后,在内网用IP和域名都能访问内网的WEB服务器。

5.禁止学生或教师对校外非法网址的访问

一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止 IP 地址欺骗和盗用需为对网络内部人员访问 Internet 进行一定限制,在连接内部网络的端口接收数据时进行 IP 地址和以太网地址检查,盗用 IP 地址的数据包将被丢弃,并记录有关信息,然后过滤掉来自非法地址的所有 IP 包。

6.校园网杀毒软件网络版升级和漏洞扫描系统服务器

为解决病毒横行问题,在学院网络中心架设了瑞星的杀毒软件网络版,进行杀毒软件升级和漏洞扫描服务,利用定时升级杀毒等操作,对各办公室教师用电脑进行漏洞自动升级,减少内网发生攻击的可能性,提高校园网的运效率。

通过以上设置,加之防火墙内的一些默认设置,基本上可以建立一套相对完整的网络安全系统。不过,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,但是防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等 ,因此还需要考虑其他技术的和非技术的因素 ,信息加密术、提高网络管理人员的安全意识等 。总之,防火墙是网络安全的第一道重要的安全屏障,如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平。

参考文献:

[1] 陈升《Cisco 安全PIX防火墙》人民邮电出版社 2002

[2]《思科网络技术学院教程》(第三、四学期)(第二版)实验手册, 人民邮电出版社

[3] Wes Noonan Ido Dubrawsky《防火墙基础》 人民邮电出版社