校園網(wǎng)局域網(wǎng)搭建.doc

_ 河南理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院課程設(shè)計(jì)報(bào)告 2014 2015學(xué)年第一學(xué)期 課程名稱設(shè)計(jì)題目 姓 名 學(xué) 號(hào)專業(yè)班級(jí) 指導(dǎo)教師 年 月 日 目 錄一、設(shè)計(jì)分析.3 1.1 前言.31.2 校園網(wǎng)設(shè)計(jì)方案.31.3 思科模擬器簡介.4二、校園網(wǎng)簡介.42.1 校園網(wǎng)現(xiàn)狀.52.2 校園網(wǎng)基本功能.52.3 校園網(wǎng)的實(shí)施方案.5三、校園網(wǎng)模擬與設(shè)計(jì).53.1 校園網(wǎng)架構(gòu)設(shè)計(jì).5 3.2 校園網(wǎng)架構(gòu)測試.73.3 網(wǎng)絡(luò)相關(guān)技術(shù)的說明與分析.84、 防火墻.94.1 防火墻的定義.94.2 防火墻的基本特征.104.3 防火墻的使用技巧.11五、結(jié)語.12六、參考文獻(xiàn).12一 設(shè)計(jì)分析1.1 前言 作為新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校，和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進(jìn)行實(shí)驗(yàn)并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進(jìn)而才推向社會(huì)的。 另一方面，作為“高新技術(shù)孵化器”的學(xué)校，知識(shí)、人才的資源十分豐富，比其他行業(yè)更渴求信息、希望能有渠道獲得各種各樣的信息來促進(jìn)自身在研究、學(xué)術(shù)上的進(jìn)步。 本文從用戶的需求分析入手，闡述了校園網(wǎng)的應(yīng)用特點(diǎn)，以及網(wǎng)絡(luò)產(chǎn)品如何滿足校園網(wǎng)用戶的多方面需求。1.2校園網(wǎng)總體設(shè)計(jì)方案 總體設(shè)計(jì)是校園網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好校園網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先，進(jìn)行對(duì)象研究和需求調(diào)查，弄清學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和治理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟。建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來說都不是一件輕易的事情，都要經(jīng)過周密的論證、謹(jǐn)慎的決策和緊張的施工。當(dāng)一堆設(shè)備變成網(wǎng)絡(luò)的時(shí)候，大部分學(xué)校的滿腔熱情也慢慢地冷卻凝固。校園網(wǎng)建成了，各種問題也不斷涌現(xiàn):設(shè)計(jì)目標(biāo)根本無法實(shí)現(xiàn)，沒有合適的應(yīng)用軟件，許多設(shè)想根本無法實(shí)施，后續(xù)的維護(hù)費(fèi)用不堪承受等等?，F(xiàn)在所謂的校園網(wǎng)多是一些系統(tǒng)集成商基于先進(jìn)的硬件設(shè)備提出的解決方案，只是設(shè)備集成。 作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣利用網(wǎng)絡(luò)設(shè)備使得分布在不同地理位置的節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中來，怎樣使得整個(gè)網(wǎng)絡(luò)中的節(jié)點(diǎn)相互連通，這些問題僅僅是校園網(wǎng)需要解決問題中的一部分。 從某種意義上講，校園網(wǎng)的建設(shè)絕不僅僅只是涉及到技術(shù)問題，而是會(huì)引深到更深的層次，也就是說信息技術(shù)所帶來的一場革命會(huì)徹底改變我們的生活方式和工作方式。 由于網(wǎng)絡(luò)技術(shù)是一門比較新的技術(shù)，致使許多人產(chǎn)生了“重硬件，輕軟件”的想法，國內(nèi)斥資開發(fā)這方面軟件的企業(yè)（高校）也很少，造成了軟件匱乏的局面。 作為系統(tǒng)集成商來說，當(dāng)然希望給學(xué)校的方案越先進(jìn)越昂貴越好。但是作為學(xué)校必須研究以后會(huì)有什么樣的用途，能不能發(fā)揮這些設(shè)備的潛能，這些設(shè)備能不能滿足未來發(fā)展的需要。目前的校園網(wǎng)系統(tǒng)集成多數(shù)是先進(jìn)的設(shè)備的集成，少則幾十萬元，一般幾百萬元，多則幾千萬元。有的學(xué)?；ㄙM(fèi)幾百萬元采用ATM技術(shù)搭建起來的網(wǎng)絡(luò)，最后只用來進(jìn)行文件共享，沒有合適的網(wǎng)絡(luò)軟件可運(yùn)行。 基于以上的一些狀況，我們提出校園網(wǎng)建設(shè)的原則應(yīng)該是：先進(jìn)性，先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、開發(fā)工具，采用市場覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品；實(shí)用性，建網(wǎng)時(shí)應(yīng)考慮利用和保護(hù)現(xiàn)有的資源、充分發(fā)揮設(shè)備效益；開放性，系統(tǒng)設(shè)計(jì)應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組建和開放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及與外界信息的溝通；靈活性，采用積木式模塊組合和結(jié)構(gòu)化設(shè)計(jì)，使系統(tǒng)配置靈活，滿足學(xué)校逐步到位的建網(wǎng)原則，使網(wǎng)絡(luò)具有強(qiáng)大的可增長性；可靠性，具有容錯(cuò)功能，治理、維護(hù)方便。對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠，經(jīng)濟(jì)性，投資合理，有良好的性能價(jià)格比。 1.3 思科模擬器簡介 Packet Tracer 是由Cisco公司發(fā)布的一個(gè)輔助學(xué)習(xí)工具為學(xué)習(xí)CCNA課程的網(wǎng)絡(luò)初學(xué)者去設(shè)計(jì)配置排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境學(xué)生可在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓?fù)滠浖袑?shí)現(xiàn)的IOS子集允許學(xué)生配置設(shè)備并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過程觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況 經(jīng)測試以前版本下搭建的模擬應(yīng)用文件在該版本中可能出現(xiàn)網(wǎng)絡(luò)通訊不正常而且發(fā)現(xiàn)建立在不同版本中的模擬文件不能正常通用尤其是網(wǎng)絡(luò)情況復(fù)雜的情況下如遇此類問題并非軟件故障請(qǐng)按照模擬環(huán)境在使用的版本軟件環(huán)境下重新搭建一番就可以了 二 校園網(wǎng)簡介 2.1 校園網(wǎng)現(xiàn)狀 正是因?yàn)榭吹骄W(wǎng)絡(luò)與學(xué)校之間的密切關(guān)系，國家從1994年正式啟動(dòng)中國教育科研計(jì)算機(jī)網(wǎng)(CERNET)以來，已與國內(nèi)幾百所學(xué)校相連，為廣大師生及科研人員提供了一個(gè)全新的網(wǎng)絡(luò)環(huán)境。1998年10月，中國教育科研網(wǎng)二期工程正式啟動(dòng)，工程到2000年二期工程完成，除達(dá)到連接1000所大學(xué)的目標(biāo)外，對(duì)有條件的中小學(xué)也提供接入上網(wǎng)服務(wù)。 隨著信息技術(shù)的飛速發(fā)展，中小學(xué)校園網(wǎng)的建設(shè)已經(jīng)逐漸提到議事日程上來。 對(duì)比國外校園網(wǎng)的建設(shè)和使用情況，我國目前的大多數(shù)校園網(wǎng)的結(jié)構(gòu)、規(guī)模和應(yīng)用都不是很完整，網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備的功能沒有得到充分地挖掘和發(fā)揮。怎樣利用網(wǎng)絡(luò)設(shè)備，進(jìn)一步發(fā)揮各種設(shè)備的功能，實(shí)現(xiàn)學(xué)校各項(xiàng)業(yè)務(wù)系統(tǒng)的集成，提高應(yīng)用水平將是學(xué)校校園網(wǎng)建設(shè)的下一個(gè)工作重點(diǎn)。2.2 校園網(wǎng)的基本功能 校園網(wǎng)與校園群應(yīng)具有為學(xué)校和學(xué)校之間的教育提供網(wǎng)絡(luò)環(huán)境；實(shí)現(xiàn)資源共享、信息交流、協(xié)同工作等基本功能。 1為教育信息的及時(shí)、準(zhǔn)確、可靠地收集、處理、存儲(chǔ)和傳輸?shù)忍峁┕ぞ吆途W(wǎng)絡(luò)環(huán)境； 2為學(xué)校行政管理和決策提供基礎(chǔ)數(shù)據(jù)、手段和網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)辦公自動(dòng)化，提高工作效率、管理和決策水平； 3為備課、課件制作、授課、學(xué)習(xí)、練習(xí)、輔導(dǎo)、交流、考試和統(tǒng)計(jì)評(píng)價(jià)等各個(gè)教學(xué)環(huán)節(jié)提供網(wǎng)絡(luò)平臺(tái)和環(huán)境； 4為使用網(wǎng)絡(luò)通信、視頻點(diǎn)播和視頻廣播技術(shù)，提供符合素質(zhì)教育要求的新型教育模式； 5為科學(xué)研究的資料檢索、收集和分析；成果的交流、研討；模擬實(shí)驗(yàn)等提供環(huán)境和手段。2.3 校園網(wǎng)方案實(shí)施一個(gè)完整的校園網(wǎng)建設(shè)在實(shí)施過程中可以分成兩個(gè)環(huán)節(jié)：網(wǎng)絡(luò)集成方案設(shè)計(jì)和信息系統(tǒng)集成。其中信息系統(tǒng)集成是目的，網(wǎng)絡(luò)集成是手段。網(wǎng)絡(luò)集成方案主要包括兩個(gè)方面：結(jié)構(gòu)化布線與設(shè)備選擇、網(wǎng)絡(luò)技術(shù)及設(shè)備選型。它的設(shè)計(jì)思想有兩個(gè)，一個(gè)是網(wǎng)絡(luò)方案采用模塊化的設(shè)計(jì)，各個(gè)模塊完成各自的功能。在實(shí)施的過程中，可以根據(jù)需要將相應(yīng)的模塊添加到網(wǎng)絡(luò)中，也可以不使用某些模塊，在需要時(shí)候再添加。同時(shí)，模塊化設(shè)計(jì)輕易維護(hù)，某個(gè)模塊出現(xiàn)故障，不會(huì)影響到整個(gè)網(wǎng)絡(luò)的安全。另一個(gè)設(shè)計(jì)思想是采用層次體系，整個(gè)網(wǎng)絡(luò)通過主干網(wǎng)連接起來，各個(gè)子網(wǎng)通過接口與主干網(wǎng)連接，實(shí)現(xiàn)各自的功能，在子網(wǎng)內(nèi)部及與主干網(wǎng)進(jìn)行數(shù)據(jù)通信。三 校園網(wǎng)模擬與設(shè)計(jì)3.1校園網(wǎng)架構(gòu)設(shè)計(jì) 高校規(guī)模的擴(kuò)大造就了高校網(wǎng)絡(luò)規(guī)模的不斷膨脹，眾多高校在擴(kuò)展網(wǎng)絡(luò)規(guī)模時(shí)采用了在原有的網(wǎng)絡(luò)上直接增加計(jì)算機(jī)的方法來實(shí)現(xiàn)，隨之而來的就是網(wǎng)絡(luò)體系變得越來越復(fù)雜，對(duì)網(wǎng)絡(luò)的管理也變得越來越困難，網(wǎng)內(nèi)的安全指數(shù)也變得越來越低，并且網(wǎng)絡(luò)資源的利用率也大大降低，如何行之有效的管理網(wǎng)絡(luò)和合理利用網(wǎng)絡(luò)資源成為高校最大的難題。 采用VLAN方式劃分網(wǎng)絡(luò)體系能夠讓管理員更加方便的管理高校網(wǎng)絡(luò)，而VLAN網(wǎng)絡(luò)靈活的擴(kuò)展能力也讓高校網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大的同時(shí)不會(huì)出現(xiàn)網(wǎng)絡(luò)混亂的情況，VLAN網(wǎng)絡(luò)所具有的控制廣播風(fēng)暴能力讓高校網(wǎng)絡(luò)資源的性能得到大幅度提高，并且VLAN網(wǎng)絡(luò)還具有管理簡單，安全性高的特點(diǎn)。因此，在網(wǎng)絡(luò)最初的設(shè)計(jì)中采用VLAN方式能夠?qū)W(wǎng)絡(luò)將來的擴(kuò)展帶來極大的好處。 在普通的小型高校中，采用路由器方式劃分VLAN是一種節(jié)約成本的方法，不過在大中型高校中，采用路由器方式劃分VLAN會(huì)嚴(yán)重影響高校網(wǎng)絡(luò)的性能，而VLAN間的通信必需通過路由才能實(shí)現(xiàn)，因此，具有路由功能的三層交換機(jī)被廣泛應(yīng)用于大中型高校VLAN網(wǎng)絡(luò)中。但我們必需清楚一點(diǎn)，就是采用三層交換機(jī)的VLAN網(wǎng)絡(luò)同樣需要路由器，只不過路由器只是高校網(wǎng)絡(luò)和互聯(lián)網(wǎng)的連接工具，VLAN間的通信不會(huì)靠路由器來實(shí)現(xiàn)。在第二層就是采用的三層交換機(jī)，這也是整個(gè)大型VLAN網(wǎng)絡(luò)的關(guān)鍵所在。三層交換機(jī)具有路由和交換兩種功能，其中的路由功能是實(shí)現(xiàn)VLAN間通信的關(guān)鍵技術(shù)。當(dāng)?shù)谝粋€(gè)數(shù)據(jù)流進(jìn)入三層交換機(jī)后，三層交換機(jī)將會(huì)對(duì)這個(gè)數(shù)據(jù)流進(jìn)行路由，在路由的同時(shí)三層交換機(jī)會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，這樣做的好處就是當(dāng)同樣的數(shù)據(jù)流進(jìn)入三層交換機(jī)后，不需要三層交換機(jī)對(duì)這個(gè)數(shù)據(jù)流再進(jìn)行一次路由，這個(gè)數(shù)據(jù)流只需要直接通過三層交換機(jī)就能實(shí)現(xiàn)VLAN間通信，從而有效解除了路由器所帶來的網(wǎng)絡(luò)瓶頸。三層交換機(jī)也是劃分VLAN網(wǎng)絡(luò)的關(guān)鍵所在，管理員只需要對(duì)三層交換機(jī)進(jìn)行配置就可完成對(duì)VLAN網(wǎng)絡(luò)的劃分。所以在選擇三層交換機(jī)時(shí)，我們一定要根據(jù)自己的實(shí)際情況進(jìn)行合理選擇，才能更加有效的保證整個(gè)VLAN網(wǎng)絡(luò)的正常運(yùn)行。 在網(wǎng)絡(luò)的第三層，我們選用的二層交換機(jī)，二層交換機(jī)在VLAN網(wǎng)絡(luò)中的作用實(shí)際上只是保證整個(gè)網(wǎng)絡(luò)基層的正常運(yùn)行，如果網(wǎng)絡(luò)規(guī)模非常大，那么這一層最好選擇千兆交換機(jī)，讓網(wǎng)絡(luò)的下一層繼續(xù)連接交換機(jī)進(jìn)行擴(kuò)展，如果網(wǎng)絡(luò)規(guī)模不是非常大（采用三層交換機(jī)連接的計(jì)算機(jī)數(shù)量最少也是在200臺(tái)以上），這一層直接選擇普通交換機(jī)就可以了。3.2校園網(wǎng)架構(gòu)配置測試在網(wǎng)絡(luò)最底層是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，也是我們決定怎樣劃分VLAN網(wǎng)絡(luò)的標(biāo)準(zhǔn)，它們由企業(yè)（高校）的計(jì)算機(jī)終端、服務(wù)器等組成。調(diào)試測試3.3網(wǎng)絡(luò)相關(guān)技術(shù)的說明與分析 VLAN技術(shù)：交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)（VLAN）的應(yīng)用速度。通過將企業(yè)（高校）網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址（MAC地址）組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。 在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通訊就好象在獨(dú)立的集線器上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽到，而不會(huì)傳輸?shù)狡渌?VLAN中去，這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業(yè)（高校）網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理企業(yè)（高校）內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業(yè)（高校）網(wǎng)絡(luò)中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊。在傳統(tǒng)的局域網(wǎng)中，各站點(diǎn)共享傳輸信道所造成的信道沖突和廣播風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。由于網(wǎng)絡(luò)中的站點(diǎn)被束縛在所處的物理網(wǎng)絡(luò)中，而不能根據(jù)需要將其劃分至相應(yīng)的邏輯子網(wǎng)，因此網(wǎng)絡(luò)的機(jī)構(gòu)缺乏靈活性。為解決這一問題，從而引發(fā)了虛擬網(wǎng)VLAN的概念，所謂VLAN是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置，可以根據(jù)需要靈活地加入到不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。VLAN可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，VLAN的管理需要比較復(fù)雜的專門軟件，它通過對(duì)用戶、MAC地址、交換機(jī)端口號(hào)、VLAN號(hào)等管理對(duì)象的綜合管理，來滿足整個(gè)網(wǎng)絡(luò)的VLAN劃分、監(jiān)視等功能，以及其他擴(kuò)展管理功能?，F(xiàn)在比較通用的VLAN的劃分方法是基于MAC地址。但也有一些廠商的交換機(jī)提供更多的VLAN劃分方法：MAC地址、協(xié)議地址、交換機(jī)端口、網(wǎng)絡(luò)應(yīng)用類型和用戶權(quán)限等等。用戶在選擇交換機(jī)的同時(shí)，應(yīng)當(dāng)仔細(xì)考察選購的交換機(jī)的VLAN功能，根據(jù)自己企業(yè)（高校）的實(shí)際需要，選擇滿足要求而且管理方便的交換機(jī)。同時(shí)，應(yīng)當(dāng)特別注意現(xiàn)在不同廠商的交換機(jī)的VLAN之間大多數(shù)是不兼容的。 校園網(wǎng)使用VLAN技術(shù)的優(yōu)點(diǎn)：1、控制廣播風(fēng)暴2、提高網(wǎng)絡(luò)整體安全性 。四 防火墻 4.1防火墻定義防火墻（FireWall）成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)（高校）的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護(hù)軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。 所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。 在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信 從最早的防火墻模型開始談起，原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來說，防火墻是一個(gè)類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對(duì)報(bào)文的審查工作。4.2防火墻的基本特征 （一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。根據(jù)美國國家安全局制定的信息保障技術(shù)框架，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。 （二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來說，防火墻是一個(gè)類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對(duì)報(bào)文的審查工作。 （三）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對(duì)的。目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對(duì)國內(nèi)用戶了解更加透徹，價(jià)格上也更具有優(yōu)勢。防火墻產(chǎn)品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級(jí)別的防火墻產(chǎn)品。 （四）應(yīng)用層防火墻具備更細(xì)致的防護(hù)能力自從Gartner提出下一代防火墻概念以來，信息安全行業(yè)越來越認(rèn)識(shí)到應(yīng)用層攻擊成為當(dāng)下取代傳統(tǒng)攻擊，最大程度危害用戶的信息安全，而傳統(tǒng)防火墻由于不具備區(qū)分端口和應(yīng)用的能力，以至于傳統(tǒng)防火墻僅僅只能防御傳統(tǒng)的攻擊，基于應(yīng)用層的攻擊則毫無辦法。從2011年開始，國內(nèi)廠家通過多年的技術(shù)積累，開始推出下一代防火墻，在國內(nèi)從第一家推出真正意義的下一代防火墻的網(wǎng)康科技開始，至今包擴(kuò)東軟，天融信等在內(nèi)的傳統(tǒng)防火墻廠商也開始相互3 效仿，陸續(xù)推出了下一代防火墻，下一代防火墻具備應(yīng)用層分析的能力，能夠基于不同的應(yīng)用特征，實(shí)現(xiàn)應(yīng)用層的攻擊過濾，在具備傳統(tǒng)防火墻、IPS、防毒等功能的同時(shí)，還能夠?qū)τ脩艉蛢?nèi)容進(jìn)行識(shí)別管理，兼具了應(yīng)用層的高性能和智能聯(lián)動(dòng)兩大特性，能夠更好的針對(duì)應(yīng)用層攻擊進(jìn)行防護(hù)。五）數(shù)據(jù)庫防火墻針對(duì)數(shù)據(jù)庫惡意攻擊的阻斷能力虛擬補(bǔ)丁技術(shù)：針對(duì)CVE公布的數(shù)據(jù)庫漏洞，提供漏洞特征檢測技術(shù)。高危訪問控制技術(shù)：提供對(duì)數(shù)據(jù)庫用戶的登錄、操作行為，提供根據(jù)地點(diǎn)、時(shí)間、用戶、操作類型、對(duì)象等特征定義高危訪問行為。SQL注入禁止技術(shù)：提供SQL注入特征庫。返回行超標(biāo)禁止技術(shù)：提供對(duì)敏感表的返回行數(shù)控制。SQL黑名單技術(shù)：提供對(duì)非法SQL的語法抽象描述。 4.3防火墻的使用技巧 一、所有的防火墻文件規(guī)則必須更改。盡管這種方法聽起來很容易，但是由于防火墻沒有內(nèi)置的變動(dòng)管理流程，因此文件更改對(duì)于許多企業(yè)來說都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改，那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改，會(huì)導(dǎo)致宕機(jī)嗎？這是一個(gè)相當(dāng)高發(fā)的狀況。防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí)，觀察誰進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障，讓整個(gè)協(xié)議管理更加簡單和高效。 二、以最小的權(quán)限安裝所有的訪問規(guī)則。另一個(gè)常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的：即源（IP地址），目的地（網(wǎng)絡(luò)/子網(wǎng)絡(luò)）和服務(wù)（應(yīng)用軟件或者其他目的地）。為了確保每個(gè)用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個(gè)或者更多域內(nèi)指定打來那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò)，這些規(guī)則就會(huì)變得權(quán)限過度釋放，因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個(gè)攻擊矢量？ 三、根據(jù)法規(guī)協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改。在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中，我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。 四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問題，因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于