浅谈校园局域网构筑防火墙

方案，布局结构如图所示：

在本方案中，采用防火墙设备确保如科研部、财务部、教学部等重要安全域的相对独立。选购防火墙主要应从安全角度考虑，在这里效率不应成瓶颈问题，应该选购业界大公司或资深信息安全研制单位的成熟产品。在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多。防火墙是近年发展起来的重要安全技术，在中小型公司系统中其主要作用是在网络边界处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

根据网络具体流量情况，采用型号为东软NeteyeFW4120一H一XE6型上联网通线路，下联外网交换机华为6506快速以太网交换机。标准配置三接口的防火墙，其最大并发连接数将近60万个，其中两个接口分别接外网和内网两个网段，第三个口可以作为预留。内网保护服务器群防火墙的配置：而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键，分别与两个核心交换机相连。

核心交换机华为6505处配备一台高性能天融信网络卫士防火墙4000系统，用于对内部服务器群的访问和联动保护。此处采用型号为NGFW4000一S标准配置三个接口的防火墙，其最大并发连接数达到60万个，一个接口接核心交换机，一个接口接级联交换机，另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上，基于对网络安全的深刻理解，融合网络科技的最新成果，独创了系列安全构架和实现技术，经过多年的研究和近两年的开发所完成的最新一代防火墙产品。应能够配置成分布式和集中统一管理，由防火墙管理代理程序和管理器组成。管理安全、方便灵活，防火墙4000经过简单的配置即可接入网络进行通信和访问控制，GUI管理界面提供了清晰的管理结构，每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密（支持SSL和SSH），并进行严格的审计，实现了真正的安全远程管理。同时，可以支持SNMP与当前通用的网络管理平台兼容，如HP即enview、Ciscoworks等，方便管理和维护。提供面向对象的服务模板功能，可以方便的定制过滤规则。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了中小型公司服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自校园网内部其它部门的网络的攻击。如果有人闯进一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。同时防火墙根据系统管理者设定的安全规则保护内部网络，提供完善的安全性设置，通过高性能的网络核心进行访问控制。同时提供网络地址转换、透明的代理服务、信息过滤、内容过滤、流量控制、带宽管理，用户身份认证等功能。

当然，防火墙本身也有其局限性，即不经过防火墙的入侵，防火墙则是无能为力的。此时，在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取相应的安全策略。