随着国际互联网技术的迅速发展,接入互联网的用户以指数形式直线增长,各行各业计算机信息网络和其它信息技术的应用不断深入,使每一个人都感受到了信息化的匆匆脚步。学校作为培养人才的基地,紧跟时代的步伐,顺应潮流,纷纷上网,愈来愈多的校园网通过DDN专线与互联网接轨,让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识,感受网络所带来的这些丰富的信息资源,提供得更广阔的学习环境。与此同时,网上的“黑客”也很可能趁机攻入学校内网,破坏校内服务器上的数据,使校园网的安全受到威胁。并且,学校对学生的网上教育和上网管理也面临着新的挑战。依据实际情况并综合考虑,问题主要表现如下:
1.内部资料库安全问题
校园网与普通企业上网不同,因为一般企业上网主要是“防外”,防止互联网上的黑客对内部网络的攻击,而安装在校园网上的防火墙,既需要有“防外”的功能,又要有“防内”的功能。所谓的“防内”,是因为在学生中有不少是网络爱好者,在好奇心的驱使下,可能会从互联网上下载黑客工具,来对互联网上、或者是校园网内部服务器进行攻击,主要对学校内部的某些可能存放着重要资料的服务器,诸如,存放主要给教师使用的试题库,对于学生就有着极大的诱惑力,在好奇心或者是为了满足某些单纯的心理需要,而不顾后果的对校园内部服务器进行的攻击,使学校的内部资料遭受到不必要的损失。
2.对学生上网的管理
学生上网的管理主要从三个方面进行管理:
l 学生所浏览网站的限制,主要是一些黄色网点和电影网点的限制。对学生无益,又很耗费网络带宽的网上访问。
2 学生上网费用统计的问题。学生上网时长,流量都必须有一统计报表,以便按一定的标准收费。
3 学生上网对热门网点的统计,及时了解学生的网上动向,有利于更一步引导学生过好网上生活。
针对以上客观存在的实际问题,我公司在有关部门的支持与配合下,研究开发出防火墙的校园网专业版,面对各大院校和中学,并推广使用。
一.典型网络方案
如下图所示:
二.主要功能特点
1.软、硬件一体化的结构
防火墙对于用户来说,只是一个类似路由器的硬件设备,整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。
2.独特的第四网络接口(对内服务器群)
防火墙的校园网专业版拥有四个网络接口,专门开辟了第四区间——对内服务区,将原来安装在校园内部网络中一些重要的服务器集中联入本区域,此区域与第三区域不同。对于第三区域,内网、外网都能访问;对于第四区域,只开放给内网某一部分IP访问,外网无法访问。这样构成的系统,既可“防外”又可“防内”,彻底解决了一般防火墙只能“防外”不能“防内”的不足。
3.NAT方式节省网络地址资源
对于一个小型网络来说,申请的IP地址不会太多,如果网络中的每一台设备都需要一个IP地址,会造成IP地址的严重不足。
防火墙的校园网专业版提供的网络地址转换(Network Address Translation)功能不仅可以隐藏内部网络地址信息,使外界无直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中上公用Internet 地址和私有地址的内部网用户顺利的访问Internet 的信息资源,不但不会造成任何网络应用的阻碍,同时还可以节省大量的网络地址资源。
4.高性能的系统核心
现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞,不断被黑客在互联网上公开、传播,作为攻击的目标。安全小组从底层做起,自行开发出一套防火墙专用安全平台,对与流量关系密切的模块进行优化处理,做到高安全性、高稳定性和高效率。
本系统核心专门为TCP/IP及Firewall而设计,能大大提升系统性能。例如IP Checksum部分由汇编语言编写,比同类系统性能提高20%-60%。
5.灵活的WWW端口控制
过系统的8887端口,可进入WWW设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口。
6.提供第三区域
除了内部网络界面和外部网络界面,系统还增加一个网络界面,让管理员灵活应用。如建立DMZ(Demilitarized Zone),在其中放置代理服务器或公共应用服务器。
7.支持多种标准服务
目前,能够支持哪些传输标准是评价一个防火墙系统的重要指标之一,防火墙系统支持95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。
8.美观易用的界面
系统设有基于WWW的管理界面,管理员可以通过由HTML、Java applet组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面,大大降低了对网络管理员的高要求,提高了系统的易用性。
9.物理断开功能
系统具有独特的物理断开功能,在每个网络接口中都内置有物理开关模块。在某些特殊情况下,网络管理员可以通过网络对其强行断开,立即中止该接口数据传输。
三.通过代理服务器可实现的功能
1. 用户管理模式
1.1授权用户管理模式
用户在访问Internet时首先要进行登录,在正确键入有效的用户名和口令后,才可以使用代理服务器提供的代理服务。
1.2 默认用户管理模式
这种方式不但省却了用户每次登录的麻烦,还为网络管理中管理集体用户提供了便利。网络管理员可以将某个办公室或某个部门的一台或多台计算机进行IP绑定,只有这些由管理员限定的IP地址的计算机才有通过代理服务器访问Internet的权限。
2.信息过滤模式
信息过滤模式可分为全局信息过滤和局部信息过滤,以及指定用户的信息过滤手段。网络管理员不但可以针对用户建立禁止访问的网站列表,还可以自创标准,配置内容过滤器,限定允许用户访问的网站。例如禁止学校学生访问某些成人站点,而教师及校内员工就不受此类限制等等。
3.访问费用管理模式
通过代理服务器方的管理程序,可很方便的得到有关内部网络中用户访问Internet的信息流量统计。
4.提高浏览速度
应用代理服务器端大容量代理缓存,对于经常访问的站点,根据一定算法将其缓存,有些资料可以从共享缓存中提取,无须再到互联网上下载,这样不仅提高浏览速度,还可以减少上网费用。
四.功能模块
1.智能防御模块
系统自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,并采取将其IP地址列入黑名单等措施,保护内网所有主机的安全。
2.自动反扫描模块
扫描是黑客攻击的前奏,攻击前,黑客一般会先扫描一下目标主机打开的服务端口,然后再进行针对性攻击。
本系统在内核设计中引入自动反扫描机制,以最快的速度发现扫描器,即时断开其连接,并将该IP地址列入黑名单,在一定时间(约10分钟)内,该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。
3.双向网络地址转换模块
内部网络用户一般没有合法的Internet IP地址(Registered IP Address),不能直接对外部网络进行访问,这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时,蓝盾防火墙系统将会从IP池中的IP动态分配给用户,使用户得到合法的IP地址与外部访问。
端口地址转换(Port Address Translation)可以扩展公司可使用的Internet IP,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法Internet IP可以映射六万多个内部网主机,并发访问为16384条。
如果企业希望内部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系统,为内部网络服务器作静态地址和端口映射,这样Internet用户就可以通过本防火墙系统直接访问该服务器了。
我们的网络地址转换系统支持九十多种通信协议(包括IGMP、ICMP、TCP、UDP等)和七百多种TCP/UDP服务,其中主要包括:
l 常用服务:
HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP?br> OPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。
2 数据库服务:
Oracle SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等,用户可以通过防火墙进行数据库操作。
3 多媒体流:
Progressive Networks RealAudio、Xing Technologies Streamworks、 White
Pines CuSeeMe、Vocal Tec Internet Phone、VDOnet VDOLive、 Microsoft NetShow、
Vxtreme Web Theater 2 等。支持H.323应用,包括Intel Internet Video Phone、Microsoft Netmeeting 等。
4 NetBios、RPC:
Microsoft Network 可以通过本防火墙系统进行通信。同时支持Remote Procedure Call。使用Windows、Windows NT的网络系统也可以采用本系统作为保护企业数据的防火墙。
如果用户有需要,可以自己定义所需的服务。通过NAT和PAT的结合,巧妙的建立了连接Intranet和Internet的桥梁,蓝盾防火墙系统将守护着这栋桥梁。
4. WWW端口控制模块
通过防火墙的8887端口,可进入防火墙的设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统的内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口,并达到如下目标:
1、只有用户名/密码验证正确的管理人员,才能使用BDKEY软件。
2、通过BDKEY向防火墙发送启动端口(8887)控制命令后,防火墙会自动绑定管理员主机IP,只有该IP才可以进入8887端口。
3、防火墙会自动验证管理员在BDKEY中填写的主机IP地址。
4、管理人员设置完毕后,可关闭8887端口。
5.物理断开模块
本系统的三个网络硬件接口中,都内置一个物理开关模块,通过设置,可断开任一网络接口的联接,即时中止该网络接口的任何通信,这样,在某些特殊环境下,可进一步提高系统的安全性。
6. MAC绑定模块
为了防止IP欺骗、地址伪装,本系统提供“MAC绑定”功能。它可以将IP地址和网卡的硬件地址绑定起来,主要用于绑定一些重要的管理员IP和授权IP。
7.实时报警和纪录安全分析模块
本系统提供实时报警功能,对于端口扫描和其它网络攻击,纪录系统会即时发出警报,提醒管理人员。
本系统可以对每一条访问进行纪录,纪录方式包括简要纪录、详细记录、发出警告、记费纪录(包括来源、目的地、流量、连接时间、次数等)。
系统提供对任何可疑的行为作出实时的告警提示,告警可疑通过可闻可见的的方式发出,也可以通过Email发出信息、发出SNMP告警到网管系统,或者激活一些用户定义的告警方式等等。
系统提供的统计系统,是体现系统纪录价值的重要功能。统计功能包括记费统计、使用情况统计、URL访问统计等等。统计结果可以直接通过WWW管理界面输出,或通过网络输出到第三方计费系统。
相关文章
热点推荐 |
  |
|
|
网络产品快速通道
