高职院校防火墙的部署与访问控制策略的设计

本课题针对高职院校在网络应用中的状况进行分析，剖析网络安全问题，整理高职院校的网络安全需求，构建和部署防火墙，设计安全访问控制策略，建立相对安全可靠的校园网络。
目 录
一、引言 1
二、现状分析 1
（一）现状描述 1
（二）威胁分析 1
三、方案设计 1
（一）设计原则 1
（二）需求分析 2
（三）网络拓扑 2
（四）网络规划 3
（五）产品选型 3
四、方案实施 5
（一）防火墙部署 5
1. 配置防火墙管理地址和管理方式 5
2. 配置基本路由 8
3. 配置IP地址 10
4. 配置端口映射 12
5. 配置访问控制策略 15
6. 配置SSL VPN 18
（二）WAF部署 22
1. 基本网络配置 22
2. 配置反向代理 23
3. 配置安全防护策略 24
五、小结 26
致谢 27
参考文献 28
一、引言
科技的发展带来计算机技术的提高和网络的普及，随之而来的安全问题便成了网络有效运行的重中之重。然而互联网的优越性却增加了网络安全性能的难度。在高职院校中的网络安全问题也成为了人们所关注的焦点，因此，防火墙与访问控制策略的设计也将成为高职院校里解决网络安全问题的一种有效手段。
在这网络普及的年代，人们越来越重视网络安全问题。而生活在高速发展的网络时代里的我们每天又都会面对各种木马、病毒、非法入侵等问题。因此我们需要采取一些防护措施来维护网络的安全。
本课题针对高职院校防火墙的部署与访问控制策略设计以为例进行分析与设计。
二、现状分析
（一）现状描述
目前学院网络使用扁平化结构，网络划分用户区域和服务器区域。服务器区域提供服务有：学生查阅资料系统、学工系统、财务系统、办公系统、教学平台，未部署安全策略限制系统访问。当前存在的业务有：教务系统、信息门户、教学平台、数据库应用、网络管理应用、OA系
 *好棒文|www.hbsrm.com +Q:  3_5_1_9_1_6_0_7_2 
统；这些业务的安全需求中访问等级要求较低。
（二）威胁分析
高职院校随着日常业务和办公对信息技术的高度依赖以及网络规模的不断扩大，日常工作离不开信息系统安全、可靠、有效的运行，而基于当前信息安全事件的频频爆发以及信息安全面临的严峻形势，高职院校信息系统在安全运维和保障能力方面需要提出更高的要求。
根据当前高职院校计算机网络安全面临的风险，可将这些风险划分为以下几个方面：开放性的网络、存在漏洞的操作系统、共享性的网络资源、缺陷型的网络设计等。这些都在影响着高职院校里老师与同学之间的教务课程与交流。
当前院校网络未部署安全策略和安全设备，仅使用系统自带帐号区分功能，服务器区完全暴露，存在很大的安全隐患。
通过以上分析，高职院校里网络及信息系统所面临的安全威胁很多，影响极大，因此，我们在对外网威胁因素进行监控、防范的同时，还要严格控制和管理所带来的威胁，更要能够解决这些威胁给院校网络和信息系统所造成的问题。
三、方案设计
（一）设计原则
高职院校的网络安全不仅是老师也是学生共同关注的问题，那么想要有稳定的院校网络时，我们应该遵循哪些设计原则呢？
统一设计原则:它是指院校网络的系统结构全部统一规划和设计。
先进性原则:网络的系统结构必须与时俱进。在设计过程中，必须综合考虑多方面因素，还要保证先进性与稳定性。
高可靠、高安全性原则:就是指在网络系统设计中充分考虑系统的安全性和可靠性。
标准化原则:是指网络系统各项技术遵循相关的标准规范。
（二）需求分析
学院网络安全区域分为学生宿舍域、教学域、办公域、服务器域、网络管理域、信息管理中心域、财务域。
学生查阅资料系统为学校学员和教师提供服务；
学工系统提供服务范围：学生宿舍、教学楼；
财务系统提供服务范围：办公楼财务部；
办公系统提供服务范围：办公楼和外部VPN接入终端；
教学平台系统提供服务范围：教学楼；
门户网站：对外开放；
业务服务器仅开放相应业务端口供特定人员访问。
教学区限制BT下载和qq文件传输
（三）网络拓扑
如图31所示，网络拓扑图：


（四）网络规划
根据学院需求，将学院划分trust安全域、untrust安全域和DMZ安全域，其中trust安全域包含宿舍区、办公区、教学区，untrust安全域为互联网区域，DMZ区域为服务器区。
使用防火墙访问控制策略隔离各安全域，限制安全域间访问权限。
Internet用户访问门户网站服务器使用WAF跳转，隐藏服务器区内部拓扑结构，防止各种互联网攻击。
神州数码DCFW1800SLAB 防火墙ETH1口连接核心交换机G1/0/1口，安全区配置为trust安全域；防火墙ETH2口连接服务器区接入交换机G0/1口，安全域配置为DMZ安全域；防护墙ETH0口连接互联网，配置为untrust安全域。
使用华为S12708作为核心交换机，校园内宿舍区、教学区、办公区使用不同vlan，在核心上配置vlan网关。宿舍区网络地址192.1.0.0/16，网关192.168.0.1；教学区网络地址192.2.0.0/16，网关192.2.0.1；办公区网络地址192.3.0.0/16，网关192.3.0.1；
防火墙ETH1口互联与核心交换机G1/0/1口互联，互联地址1.1.1.0/30。防火墙ETH1口IP地址：1.1.1.1/30，核心交换机G1/0/1的IP地址：1.1.1.2/30。
防火墙ETH2口与服务器去汇聚交换机G0/1口互联，互联地址1.1.1.4/30。防火墙ETH2口IP地址：1.1.1.5/30，服务区汇聚交换机G0/1口IP地址：1.1.1.6/30。
防火墙ETH0口与运营商线路连接，配置运营商分配地址32.32.32.2/30。
配置防火墙默认路由下一跳地址为运营商对端IP地址：32.32.32.1。
服务器区交换机G0/2口连接WAF，WAF以旁路模式部署。
配置防火墙访问控制策略。
配置WAF访问控制策略。
（五）产品选型

版权保护: 本文由 hbsrm.com编辑，转载请保留链接: www.hbsrm.com/jsj/wljs/541.html