案例5：蓝盾安全方案－校园解决方案 《计算机网络基础与局域网组建》教学案例.doc

案例5 蓝盾安全方案－校园解决方案 　　随着国际互联网技术的迅速发展，接入互联网的用户以指数形式直线增长，各行各业计算机信息网络和其它信息技术的应用不断深入，使每一个人都感受到了信息化的匆匆脚步。学校作为培养人才的基地，紧跟时代的步伐，顺应潮流，纷纷上网，愈来愈多的校园网通过DDN专线与互联网接轨，让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识，感受网络所带来的这些丰富的信息资源，提供得更广阔的学习环境。与此同时，网上的“黑客”也很可能趁机攻入学校内网，破坏校内服务器上的数据，使校园网的安全受到威胁。并且，学校对学生的网上教育和上网管理也面临着新的挑战。依据实际情况并综合考虑，问题主要表现如下： 　　1．内部资料库安全问题　　校园网与普通企业上网不同，因为一般企业上网主要是“防外”，防止互联网上的黑客对内部网络的攻击，而安装在校园网上的防火墙，既需要有“防外”的功能，又要有“防内”的功能。所谓的“防内”，是因为在学生中有不少是网络爱好者，在好奇心的驱使下，可能会从互联网上下载黑客工具，来对互联网上、或者是校园网内部服务器进行攻击，主要对学校内部的某些可能存放着重要资料的服务器，诸如，存放主要给教师使用的试题库，对于学生就有着极大的诱惑力，在好奇心或者是为了满足某些单纯的心理需要，而不顾后果的对校园内部服务器进行的攻击，使学校的内部资料遭受到不必要的损失。　　2．对学生上网的管理　　学生上网的管理主要从三个方面进行管理：　　 学生所浏览网站的限制，主要是一些黄色网点和电影网点的限制。对学生无益，又很耗费网络带宽的网上访问。　　 学生上网费用统计的问题。学生上网时长，流量都必须有一统计报表，以便按一定的标准收费。　　 学生上网对热门网点的统计，及时了解学生的网上动向，有利于更一步引导学生过好网上生活。一、典型网络方案 二、主要功能特点　　1．软、硬件一体化的结构　　防火墙对于用户来说，只是一个类似路由器的硬件设备，整体系统采用黑盒设计，防火墙系统与硬件紧密结合，发挥硬件最高效能，减少由于操作系统问题而产生网络漏洞的可能，提高系统自身安全性。　　2．独特的第四网络接口（对内服务器群）　　蓝盾防火墙的校园网专业版拥有四个网络接口，专门开辟了第四区间——对内服务区，将原来安装在校园内部网络中一些重要的服务器集中联入本区域，此区域与第三区域不同。对于第三区域，内网、外网都能访问；对于第四区域，只开放给内网某一部分IP访问，外网无法访问。这样构成的系统，既可“防外”又可“防内”，彻底解决了一般防火墙只能“防外”不能“防内”的不足。　　3．NAT方式节省网络地址资源　　对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。　　蓝盾防火墙的校园网专业版提供的网络地址转换（Network Address Translation）功能不仅可以隐藏内部网络地址信息，使外界无直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中上公用Internet 地址和私有地址的内部网用户顺利的访问Internet 的信息资源，不但不会造成任何网络应用的阻碍，同时还可以节省大量的网络地址资源。　　4．高性能的系统核心　　现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞，不断被黑客在互联网上公开、传播，作为攻击的目标。蓝盾安全小组从底层做起，自行开发出一套防火墙专用安全平台，对与流量关系密切的模块进行优化处理，做到高安全性、高稳定性和高效率。　　本系统核心专门为TCP/IP及Firewall而设计，能大大提升系统性能。例如IP　Checksum部分由汇编语言编写，比同类系统性能提高20%-60%。　　5．灵活的WWW端口控制　　过系统的8887端口，可进入WWW设置管理界面，进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性，避免其它人员打开8887端口，猜测密码，我们在系统内核中增加了一个端口控制层，通过BDKEY控制软件，可自由打开或关闭8887端口。　　6．提供第三区域　　除了内部网络界面和外部网络界面，系统还增加一个网络界面，让管理员灵活应用。如建立DMZ（Demilitarized Zone），在其中放置代理服务器或公共应用服务器。　　7．支持多种标准服务　　目前，能够支持哪些传输标准是评价一个防火墙系统的重要指标之一，蓝盾防火墙系统支持95种通信协议和730种应用服务，包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。　　8．美观易用的界面　　系统设有基于WWW的管理