Juniper 防火墙在校园网中的应用
校园网安全解决方案
由于校园接入 INTERNET ,所以经常面临来自 INTERNET 的各种攻击行为。大学的公开服务器有一段时间经常因为负载过重而死机,有一次 WEB 服务器的管理员口令还被篡改过。由于学生的管理由各个系完成的,管理上比较分散,所以还出现过学生上黄色网站的现象。上述事件对学校的名誉也造成了一定的影响,学校领导希望有一个比较好的办法解决上述问题。
学校现在通过两条线路接入了 INTERNET 。一条是教育网给学校提供的,带宽不高,分配了一些固定 IP ,但不可以访问国外站点;另一条是联通的宽带,包月制,没有公网 IP ,带宽高,也可以上国外站点。学校现在有三台公开服务器,但有些服务是互为备份的,以避免出现一些问题,保证正常的服务;另外,还有几台办公服务器,用于学生考分查询、图书查询等,主要给内部学生用的。学校现有点数五百多点,包括教学用机、学生公寓、办公用机三大部分。所有内部机器都接在一个中心交换机上,中心交换机上划分了不同的 VLAN ,并对不同 VLAN 间的访问做了一些控制。
实现功能:
• 访问控制:利用防火墙的过滤功能,可以基于源 IP 地址、目的 IP 地址、源端口、目的地址、时间等方面进行灵活地控制。
• NAT 功能:一般情况下,内部都使用私有 IP 地址,为了能访问 INTERNET ,可以通过防火墙的 NAT (网络地址翻译)功能,实现所有的客户端上 INTERNET 的功能。这样可以完全代替代理服务器的功能,且安全性更高。
• DMZ 区:公开服务器需要对内部和外部提供服务,其安全性需要高度重视。如果被入侵成功,不仅会对企业自身形象造成影响,而且还有可以直接通过公开服务器而进入内部网。同样地,还存在内部不法人员侵入服务器的问题。在此可以通过防火墙的多接口功能,让服务器区处于单独的区域,对来自内部和 INTERNET 的访问进行不同级别的访问控制。
• 状态轮询:很多学校的公开服务器对整个学校具有至关重要的作用,所以保证服务器的正常运行具有很重要的意义。企业往往采用多台服务器冗余的方式来保证服务的正常提供。在此可以采用防火墙的服务器状态轮询功能,配合 VIP 的功能,将来自 INTERNET 的对同一服务的访问分担到多台服务器上,保证服务能快速、稳定地提供。
• VIP 功能:随着 INTERNET 的急骤膨胀, INTERNET 真实 IP 地址严重不足。利用防火墙的 VIP (虚拟 IP )功能,可以将对一个真实 IP 不同端口的访问映射到内部不同主机的不同端口。在此可以给公开服务器分配私有 IP 地址,在防火墙上分配公有 IP ,将对 53 端口的访问引导至 DNS 服务器, 80 端口的访问引导至 WEB 服务器,而对 25 和 110 端的访问引导到 MAIL 服务器。采用这种方式,既增强了安全性,又保证了最大的灵活性。
• 多安全区:在学校中,不同的职能机构需要不同的安全级别。如果中心交换机上控制不够严格的话,学生公寓的机器很有可能会访问到教学办公的机器,会很容易看到一些涉密信息。在此可以采用 NETSCREEN 防火墙的多安全区功能,让不同的子网处于不同的安全区中,针对不同的安全级别进行严格的控制。
• 带宽管理:不同的部分具有不同的重要程度,如教学办公用机肯定比学生公寓重要很多。如果在带宽不是很高而所有部分都同时访问的情况下,可能会造成重要部门的访问较慢或超时的问题。可以利用防火墙的带宽管理功能,针对各部分的重要程度制定相应的带宽策略,在任何情况下都保证重要部分的正常运行。
• 多路由域:为了保证更高的可用性和安全性,针对两个出口的情况,我们完全可以将来自 INTERNET 的访问和内部到 INTERNET 的访问分离到两个路由域里。这样既更有效地利用了网络带宽,也在最大程度上保证了安全性。
• 高可用性:为了保证服务的不间断运行,可以将两台防火墙并机运行,设备正常时都处理流量,保证带宽的最高利用率;万一有其中一台设备出现故障,另一台立即接管全部工作,切换时间小一 1 秒。
可扩展 VPN :可以利用防火墙的 VPN 模块与远端 VPN 客户端和 VPN 网关建立 VPN 通道,安全地共享内部信息。
2001-2007 Comsenz Inc.
