校园网路由器与防火墙升级实例

网络安全 与维护 《教育信息化》编辑部：mis@moe．edu．cn 图4 信息办安全部分实例 用各种管理工具和平台，从网络基础到应用系统建立一套严密的、 技术先进的安全防范体系。复旦大学在实践中开展了以下工作： ·为了使信息安全工作真正落到实处 ．信息办建立了专门的 校园网安全服务网站，为校园网铬 系统提供安全监测、预警、防范 等安全服务和技术支持，发布校园网络安全相关公告．并对网络用 户提供安全事件响应的咨询服务及计算机安全相关的基础知识培 训 ： ·创建安全事件响应小组，建立安全补丁分发、KILL网络杀 毒、漏洞扫描、垃圾邮件过滤、数据备份服务器 、LogSeⅣer等安全 措施： ·建立计算机病毒预报及安全漏洞发布机制，及时为机关及 院系提供病毒预警： ·建立“信息安全月报”制度 ，上报上海市信息委 ，报告信息 安全事件发生情况，并分析原因，找出解决方案。 四、存在的问题和挑战 目前在各个学校普遍存在信息化校园管理人员严重不足．针 对终端用户出现的问题无法及时给予指导和解决等问题。我们拟 在各院系及机关设立信息安全岗位如信息秘书，主要职责为负责 本部门的信息安全保障工作，包括本部门网络信息设备的物理安 全、网上信息的安全监控、有害信息的清理等；按照学校网络基础 设施建设的总体规划，协助主管部门完成本单位的相关工程实施 及相应规章制度的建立；协助信息办完成各项信息化校园建设工 作；负责本单位内部公共服务器的管理与维护 ，定期进行系统升 级或补丁操作 ，及时进行漏洞扫描 ，并在信息化办公室人员指导 下做好系统安全及配置管理工作。 通过这种分级管理模式，能够将信息办的安全指导及建议，第 一 时间落实到各单位，最大限度地防止安全事故的发生。且各部门 的信息秘书对本院系的情况也最了解，可以充分发挥他们的作用。 总的来说 ，随着校园网网络信息安全受关注程度的不断提 高，不仅需要完善管理制度，更需要落实实施力度 ，并重点加强风 险评估和的制定。总之，高校的网络信息安全工作，任重 而道远。◎ 参考文献： ’ ⋯1张计龙，张成洪，闫华。宓辣、复旦大学信息化校园建设规划及实 施要点分析田．教育信息化，2002(10) [2】2王明洁，李淑娟，张成洪，闰华，宓泳．复旦大学网络与应用的协调 建设讥．教育信息化，2004(07) 9 教育信怎化 2o06年5月 陕 西 榆 林 学 院 网 络 巾 ． 王 智 贤 路由器与防火墙作为一般高校校园网的J必配设备，在高校校园 网系统安全方面起着十分重要的作用。如何合理地配置校园网中的 路由器与防火墙 ，充分发挥二者的网络安全功能，是高校校园网建 设和管理维护，必须解决好的问题。随着高校校园网建设的发展和路 由器与防火墙技术的进步，必然会遇到将校园网中的路由器与防火 墙进行升级的问题。 笔者所在单位的校园网始建于 2000年，当时选用了 Cisco2610 路由器和清华得实 NetST V1．0软件防火墙。2003年将 NetST升级 为硬件防火墙 V2．2．4。校园网 Intemet接入带宽 ，最先向当地 ISP 租用了 128K的 DDN专线，后又升级到 10M、100M 的光纤接入。 下面将给出我们在具体的升级过程中路由器和防火墙的一些应用 方案 。 一 、1 28K DDN专线升级为1 0M光纤接入Intemet时的应用方案 由于 Cisco2610标配只有一个 10M 的 Et}1cruet接口．我们又给 此路由器增配了一个 10M 的Ethemet接口模块。根据 NetST V1．0 的功能特点及其对硬件环境的要求，我们在运行 NetST V1．0的PC 机上安装了三块 10／100M Ethemet网卡 ，一块外网卡 (External Iinterface)，一块内网卡 (Internal Interface)，一块 DMZ网卡 (DMZ Interface)连接非军事化区，系统要求外网卡与 DMZ网卡的 IP地址 应位于不同的网段，内网卡和内部用户利用 NetST V1．0的NAT功 能 (Network Address Translator)使用内部保留IP。路由器与防火墙 的连接如图 1所 示。 图 1 路由器与防火墙(串 l连接图 防火墙升 级实例 校 园 网路由 器与 维普资讯 http://www.cqvip.com 《教育信息化》发行部：cyl@moe．edu．cn 为此。我们将 ISP提供的 16个 IP地址(61．134．22．128／28) 通过子网划分为如下三个网段： 61．134．22．128／30．子 网 掩 码 255． 255． 255． 252 (61．134．22．128~61．134．22．131) 61．134．22．132／3 0．子 网 掩 码 255． 255． 255． 252 (61．134．22．132~61．134．22．135) 61．134．22．136／3 0．子 网 掩 码 255． 255． 255 ． 248 (61．134．22．136--61．134．22．143) 2003年，我们将防火墙 NetST升级为硬件 V2．2．4，该防火墙 拥有 3个 lOOM Ethemet接口，校园网的 Intemet接人带宽也先后 升级到 IOM、lOOM 的光纤接人。由于采用了专门的硬件防火墙。 克服了原来防火墙运行在一台 PC上的缺陷，提高了系统的可靠 性。而在采用 lOOM 光纤接人 Intemet后。原来路由器与防火墙的 串连方 式 ，只有 IOM Ethemet接 口的路 由器就成了网络的瓶颈 。 为此，我们采用了路由器与防火墙并联工作的方式。见图2所示。 ■^童 托 6I ■a4 22 Ia4 ：Ig2 I∞ ， 1 磐嚣轭，a罔段 童掌楼变执机 192 168∞ 0t2~1 192 1∞ 100 0t2( 抒鼬 童 托 I g2 I6a Ia1 0t24一囊 I g2 I6a Ia2 0t24一囊 I g2 I6a Iaa 0t24一曩 I g2 I6a 104 0t24一覃 I g2 I6a Ia5 0t24一曩 I g2 I6a 106 0t24一囊 I卧 一羹 图2 路由器与防火墙(并 )连接图 m ■ 6I I34 22 14a _ R E-me．iI．m 二、NetST升级为硬件 V2．2．4后防火墙与路由器的应用方案 根据笔者所在单位校园网的具体情况 。在核心交换机 $8505 上将 内部 用 户分 为 9个 VLAN．分 别 为 ：192．168．98．0／24～ 192．168．106．0／24。各网段的默认 网关为 ：192．168．XXX．1。让图书 馆 的 192．168．98．0／24网 段 通 过 C~co2610访 问 互 联 网 ．让 192．168．99．0／24至 192．168．106．0／24其 它 网段 通过 NetST访 问 互联网。当然 ，也可以让所有网段都通过 NetST访 问互联网。我 们这样做的目的。既发挥了 Cisco2610的作用。也缓解了防火墙 的工作压力。 为此，将 ISP提供的 16个 IP。划分为如下两个网段 ： 61．134．22．128／29． 子 网 掩 码 255 ． 255 ． 255 ． 248 (61．134．22．128~61．134．22．135) 61．134．22．136／29， 子 网 掩 码 255 ． 255 ． 255 ． 248 (61．134．22．136-'．,61．134．22．143) ISP网关：61．134．22．129．子网掩码 255．255．255．248 ISP路由 ：61．134．22．136 255．255．255．248 61．134．22．134 防火墙网关：61．134．22．129／29 防火墙外网卡 IP：61．134．22．134／29 防火墙内网卡 IP：192．168．106．15 防火墙 DMZ网卡 IP：61．134．22．140／29 路 由器外网卡 IP：61．134．22．130／29 网络安全 与维护 路 由器内网卡 1P：192．168．200．15／24 核心交换机 、路 由器与防火墙的主要 配置如下 ： (1)在 $8505上为图书馆 192．168．98．0／24网段访问Intemet设 置策略路由 acl number 2000 rule 0 permit source 192．168．98．0 0．0．0．255 acl number 3000 rule 0 permit ip source 192．168．0．0 0．0．255．255 destination 192．168．0．0 0．0．255．255 interface V1an—interface98 ip address 192．168．98．1 255．255．255．0 interface GigabitEthemet2／1／1(连接到图书馆 192．168．98．0／24网 段) port access vlan 98 packet——filter inbound ip——group 3000 rule 0 system——index 5 traffic——redirect inbound ip——group 2000 rule 0 system——index 6 next—hop 192．168．200．15 (2)Cisco2610路由器的配置 (配置路 由器外网卡 El／0) iI1te e1／O ip address 61．134．22．130 255．255．255．248 ip nat outside (配置路 由器内网卡 EO／O) inte eO／O ip address 192．168．200．15 255．255．255．0 ip na ． tinside ip nat pool c2610 61．134．22．131 61．134．22．133 netmask 255．255．255．248 ‘ ip nat inside source list 2 pool c2610 ovedoad (3)在防火墙 NetST V2．2．4上配置返程路由 将 192．168．99．0／24至 192．168．106．0／24网段 的路 由 指 向 192．168．106．1。如图 3所 示。 摘嘲 ≥囊髓豳鬟 囊蕊龋 瞳 莲蠢 61 134 22 128 255 255 255 248 0 0 0 0 V 外 同卡 192 1明 99 0 255 255 255 0 l92 1明 l∞ 1 1JG 内同卡 192 1明 100 0 255 255 25s 0 192 168 1∞ 1 1JG 内同卡 192 168 101 0 255 255 25s 0 192 l明 l∞ 1 1JG 内网卡 192 1明 l02 0 255 255 25s 0 l92 168 1∞ 1 1JG 内网卡 192 1明 l03 0 255 2s5 25s 0 192 168 1∞ 1 1JG 内网卡 192 I68 l04 0 255 255 25s 0 192 l明 l∞ 1 1JG 内网卡 192 l明 105 0 255 25s 2 0 l92 l明 l∞ i fIG 内网卡 192 l明 l∞ 0 255 2s5 255 0 0 0 0 0 V 内网卡 l2T O O O 255 O O O O O O O V 内部融环 0 0 0 0 0 0 0 0 61 I34 22 l29 1JG 外网卡 (4)工作站 的配置 工作站要求使用静态 IP地址 ，在 TCP／IP属性中，设网关为 192．168．xxx．1。参见图 2，DNS为 ISP提供的地址和我校的 DNS 服务器的 IP地址 。浏览器等上网工具中无需做任何设置。 以上应用方案 ．均经过笔者所在单位的校园网一年以上的运 行．网络使用状况良好。⑩ 麓 育信 忘 化 2006年 5 月 一 5 目 ■奋 一 维普资讯 http://www.cqvip.com