慧聪网首页 > 教育行业 > 技术文章 > 最新方案
网泰基于校园系统网络安全解决方案
 
慧聪网   2005年4月13日13时35分   信息来源:IT.COM.CN    

  随着国际互联网技术的迅速发展,接入互联网的用户以指数形式直线增长,各行各业计算机信息网络和其它信息技术的应用不断深入,使每一个人都感受到了信息化的匆匆脚步。学校作为培养人才的基地,紧跟时代的步伐,顺应潮流,纷纷上网,愈来愈多的校园网通过DDN专线与互联网接轨,让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识,感受网络所带来的这些丰富的信息资源,提供得更广阔的学习环境。与此同时,网上的“黑客”也很可能趁机攻入学校内网,破坏校内服务器上的数据,使校园网的安全受到威胁。并且,学校对学生的网上教育和上网管理也面临着新的挑战。依据实际情况并综合考虑,问题主要表现如下: 

  1.内部资料库安全问题 

  校园网与普通企业上网不同,因为一般企业上网主要是“防外”,防止互联网上的黑客对内部网络的攻击,而安装在校园网上的防火墙,既需要有“防外”的功能,又要有“防内”的功能。所谓的“防内”,是因为在学生中有不少是网络爱好者,在好奇心的驱使下,可能会从互联网上下载黑客工具,来对互联网上、或者是校园网内部服务器进行攻击,主要对学校内部的某些可能存放着重要资料的服务器,诸如,存放主要给教师使用的试题库,对于学生就有着极大的诱惑力,在好奇心或者是为了满足某些单纯的心理需要,而不顾后果的对校园内部服务器进行的攻击,使学校的内部资料遭受到不必要的损失。

  2.对学生上网的管理 

  学生上网的管理主要从三个方面进行管理: 

  l 学生所浏览网站的限制,主要是一些黄色网点和电影网点的限制。对学生无益,又很耗费网络带宽的网上访问。 
  2 学生上网费用统计的问题。学生上网时长,流量都必须有一统计报表,以便按一定的标准收费。 
  3 学生上网对热门网点的统计,及时了解学生的网上动向,有利于更一步引导学生过好网上生活。 
  针对以上客观存在的实际问题,我公司在有关部门的支持与配合下,研究开发出防火墙的校园网专业版,面对各大院校和中学,并推广使用。 

  一.典型网络方案 

  如下图所示: 

拓扑图


  二.主要功能特点 

  1.软、硬件一体化的结构 

  防火墙对于用户来说,只是一个类似路由器的硬件设备,整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。 

  2.独特的第四网络接口(对内服务器群) 

  防火墙的校园网专业版拥有四个网络接口,专门开辟了第四区间——对内服务区,将原来安装在校园内部网络中一些重要的服务器集中联入本区域,此区域与第三区域不同。对于第三区域,内网、外网都能访问;对于第四区域,只开放给内网某一部分IP访问,外网无法访问。这样构成的系统,既可“防外”又可“防内”,彻底解决了一般防火墙只能“防外”不能“防内”的不足。 

  3.NAT方式节省网络地址资源 

  对于一个小型网络来说,申请的IP地址不会太多,如果网络中的每一台设备都需要一个IP地址,会造成IP地址的严重不足。 

  防火墙的校园网专业版提供的网络地址转换(Network Address Translation)功能不仅可以隐藏内部网络地址信息,使外界无直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中上公用Internet 地址和私有地址的内部网用户顺利的访问Internet 的信息资源,不但不会造成任何网络应用的阻碍,同时还可以节省大量的网络地址资源。 

  4.高性能的系统核心 

  现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞,不断被黑客在互联网上公开、传播,作为攻击的目标。安全小组从底层做起,自行开发出一套防火墙专用安全平台,对与流量关系密切的模块进行优化处理,做到高安全性、高稳定性和高效率。 

  本系统核心专门为TCP/IP及Firewall而设计,能大大提升系统性能。例如IP Checksum部分由汇编语言编写,比同类系统性能提高20%-60%。 

  5.灵活的WWW端口控制 

  过系统的8887端口,可进入WWW设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口。 

  6.提供第三区域 

  除了内部网络界面和外部网络界面,系统还增加一个网络界面,让管理员灵活应用。如建立DMZ(Demilitarized Zone),在其中放置代理服务器或公共应用服务器。 

  7.支持多种标准服务 

  目前,能够支持哪些传输标准是评价一个防火墙系统的重要指标之一,防火墙系统支持95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。 

  8.美观易用的界面 

  系统设有基于WWW的管理界面,管理员可以通过由HTML、Java applet组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面,大大降低了对网络管理员的高要求,提高了系统的易用性。 

  9.物理断开功能 

  系统具有独特的物理断开功能,在每个网络接口中都内置有物理开关模块。在某些特殊情况下,网络管理员可以通过网络对其强行断开,立即中止该接口数据传输。 

  三.通过代理服务器可实现的功能 

  1. 用户管理模式 

  1.1授权用户管理模式 

  用户在访问Internet时首先要进行登录,在正确键入有效的用户名和口令后,才可以使用代理服务器提供的代理服务。 

  1.2 默认用户管理模式 

  这种方式不但省却了用户每次登录的麻烦,还为网络管理中管理集体用户提供了便利。网络管理员可以将某个办公室或某个部门的一台或多台计算机进行IP绑定,只有这些由管理员限定的IP地址的计算机才有通过代理服务器访问Internet的权限。 

  2.信息过滤模式 

  信息过滤模式可分为全局信息过滤和局部信息过滤,以及指定用户的信息过滤手段。网络管理员不但可以针对用户建立禁止访问的网站列表,还可以自创标准,配置内容过滤器,限定允许用户访问的网站。例如禁止学校学生访问某些成人站点,而教师及校内员工就不受此类限制等等。 

  3.访问费用管理模式 

  通过代理服务器方的管理程序,可很方便的得到有关内部网络中用户访问Internet的信息流量统计。 

  4.提高浏览速度 

  应用代理服务器端大容量代理缓存,对于经常访问的站点,根据一定算法将其缓存,有些资料可以从共享缓存中提取,无须再到互联网上下载,这样不仅提高浏览速度,还可以减少上网费用。 

  四.功能模块 

  1.智能防御模块 

  系统自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,并采取将其IP地址列入黑名单等措施,保护内网所有主机的安全。 

  2.自动反扫描模块 

  扫描是黑客攻击的前奏,攻击前,黑客一般会先扫描一下目标主机打开的服务端口,然后再进行针对性攻击。 

  本系统在内核设计中引入自动反扫描机制,以最快的速度发现扫描器,即时断开其连接,并将该IP地址列入黑名单,在一定时间(约10分钟)内,该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。 

  3.双向网络地址转换模块 

  内部网络用户一般没有合法的Internet IP地址(Registered IP Address),不能直接对外部网络进行访问,这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时,蓝盾防火墙系统将会从IP池中的IP动态分配给用户,使用户得到合法的IP地址与外部访问。 

  端口地址转换(Port Address Translation)可以扩展公司可使用的Internet IP,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法Internet IP可以映射六万多个内部网主机,并发访问为16384条。 

  如果企业希望内部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系统,为内部网络服务器作静态地址和端口映射,这样Internet用户就可以通过本防火墙系统直接访问该服务器了。 

  我们的网络地址转换系统支持九十多种通信协议(包括IGMP、ICMP、TCP、UDP等)和七百多种TCP/UDP服务,其中主要包括: 

  l 常用服务:

  HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、OPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。 

  2 数据库服务: 

  Oracle SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等,用户可以通过防火墙进行数据库操作。 

  3 多媒体流: 

  Progressive Networks RealAudio、Xing Technologies Streamworks、 White 
  Pines CuSeeMe、Vocal Tec Internet Phone、VDOnet VDOLive、 Microsoft NetShow、 
  Vxtreme Web Theater 2 等。支持H.323应用,包括Intel Internet Video Phone、Microsoft Netmeeting 等。 

  4 NetBios、RPC: 

  Microsoft Network 可以通过本防火墙系统进行通信。同时支持Remote Procedure Call。使用Windows、Windows NT的网络系统也可以采用本系统作为保护企业数据的防火墙。 

  如果用户有需要,可以自己定义所需的服务。通过NAT和PAT的结合,巧妙的建立了连接Intranet和Internet的桥梁,蓝盾防火墙系统将守护着这栋桥梁。 

  4. WWW端口控制模块 

  通过防火墙的8887端口,可进入防火墙的设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统的内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口,并达到如下目标: 

  1、只有用户名/密码验证正确的管理人员,才能使用BDKEY软件。 

  2、通过BDKEY向防火墙发送启动端口(8887)控制命令后,防火墙会自动绑定管理员主机IP,只有该IP才可以进入8887端口。 

  3、防火墙会自动验证管理员在BDKEY中填写的主机IP地址。 

  4、管理人员设置完毕后,可关闭8887端口。 

  5.物理断开模块 

  本系统的三个网络硬件接口中,都内置一个物理开关模块,通过设置,可断开任一网络接口的联接,即时中止该网络接口的任何通信,这样,在某些特殊环境下,可进一步提高系统的安全性。 

  6. MAC绑定模块 

  为了防止IP欺骗、地址伪装,本系统提供“MAC绑定”功能。它可以将IP地址和网卡的硬件地址绑定起来,主要用于绑定一些重要的管理员IP和授权IP。 

  7.实时报警和纪录安全分析模块 

  本系统提供实时报警功能,对于端口扫描和其它网络攻击,纪录系统会即时发出警报,提醒管理人员。 

  本系统可以对每一条访问进行纪录,纪录方式包括简要纪录、详细记录、发出警告、记费纪录(包括来源、目的地、流量、连接时间、次数等)。 

  系统提供对任何可疑的行为作出实时的告警提示,告警可疑通过可闻可见的的方式发出,也可以通过Email发出信息、发出SNMP告警到网管系统,或者激活一些用户定义的告警方式等等。 

  系统提供的统计系统,是体现系统纪录价值的重要功能。统计功能包括记费统计、使用情况统计、URL访问统计等等。统计结果可以直接通过WWW管理界面输出,或通过网络输出到第三方计费系统。

 

 
 
评论    【推荐】 【打印】 【论坛
 
 
[热门关键词]:解决方案 网泰 网络安全 
特别推荐:
·[11月28日更新]休闲免费电影下载
·“陪读”现象严重令中国家庭不堪重负
更多精彩:
·神码携东芝投影机中标四川千万大单
·治理乱收费 成都试行教育收费银行代收
  图说教育                                  更多
大学生,求职
笔记本,电影
愤青,名人
摄影,国家地理
大学生找工作之《天下无贼》版
决战2005笔记本 年度最卖座六大影片
前沿人物盘点:中国愤青八大代表人物
国家地理杂志经典摄影作品欣赏
 相关文章 更多 
·联想校园网教育资源服务器解决方案  (4.12 11:28)
·曙光现代远程教育网络工程解决方案  (4.12 11:24)
·华为校校通教育信息化建设解决方案分析  (4.11 15:0)
·清华同方园丁校校通校园网应用解决方案  (4.8 16:31)
·金融大厦电视监控综合系统解决方案  (4.8 10:26)
·东软软件教育行业软件平台全面解决方案  (4.7 15:1)
·中科红旗LINUX校园网应用解决方案介绍  (4.7 14:54)
·Axelwave公安车载实时监控系统解决方案  (4.6 13:30)
·豪杰多媒体网络教室软件系统解决方案  (4.5 16:30)
·行业性不断增强—视讯应用解决方案评述  (4.5 14:18)
 我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名
 
分类广告  
产品交易市场
·求购港湾交换机
·求购SONY等离子机顶盒
·求购微量呼吸检压仪
·图书馆安防监控系统询价
·医药技校实训设备招标
·阜新29所学校炊具询价
·湖南商学院教学设备招标
热点专题
·日系CCD问题事件追踪
·校校通:信息化主干线
·看神六关注航天后备人才
·国产投影机品牌突出重围
·谈笔记本校园发展方向
·《教育考试法》何去何从
·宝德服务器部署教育行业
行业书店