校园网路由器与防火墙升级实例
网络安全 与维护 《教育信息化》编辑部:mis@moe.edu.cn
图4 信息办安全方案部分实例
用各种管理工具和平台,从网络基础到应用系统建立一套严密的、
技术先进的安全防范体系。复旦大学在实践中开展了以下工作:
·为了使信息安全工作真正落到实处 .信息办建立了专门的
校园网安全服务网站,为校园网铬 系统提供安全监测、预警、防范
等安全服务和技术支持,发布校园网络安全相关公告.并对网络用
户提供安全事件响应的咨询服务及计算机安全相关的基础知识培
训 :
·创建安全事件响应小组,建立安全补丁分发、...
网络安全 与维护 《教育信息化》编辑部:mis@moe.edu.cn
图4 信息办安全
部分实例
用各种管理工具和平台,从网络基础到应用系统建立一套严密的、
技术先进的安全防范体系。复旦大学在实践中开展了以下工作:
·为了使信息安全工作真正落到实处 .信息办建立了专门的
校园网安全服务网站,为校园网铬 系统提供安全监测、预警、防范
等安全服务和技术支持,发布校园网络安全相关公告.并对网络用
户提供安全事件响应的咨询服务及计算机安全相关的基础知识培
训 :
·创建安全事件响应小组,建立安全补丁分发、KILL网络杀
毒、漏洞扫描、垃圾邮件过滤、数据备份服务器 、LogSeⅣer等安全
措施:
·建立计算机病毒预报及安全漏洞发布机制,及时为机关及
院系提供病毒预警:
·建立“信息安全月报”制度 ,上报上海市信息委 ,报告信息
安全事件发生情况,并分析原因,找出解决方案。
四、存在的问题和挑战
目前在各个学校普遍存在信息化校园管理人员严重不足.针
对终端用户出现的问题无法及时给予指导和解决等问题。我们拟
在各院系及机关设立信息安全岗位如信息秘书,主要职责为负责
本部门的信息安全保障工作,包括本部门网络信息设备的物理安
全、网上信息的安全监控、有害信息的清理等;按照学校网络基础
设施建设的总体规划,协助主管部门完成本单位的相关工程实施
及相应规章制度的建立;协助信息办完成各项信息化校园建设工
作;负责本单位内部公共服务器的管理与维护 ,定期进行系统升
级或补丁操作 ,及时进行漏洞扫描 ,并在信息化办公室人员指导
下做好系统安全及配置管理工作。
通过这种分级管理模式,能够将信息办的安全指导及建议,第
一 时间落实到各单位,最大限度地防止安全事故的发生。且各部门
的信息秘书对本院系的情况也最了解,可以充分发挥他们的作用。
总的来说 ,随着校园网网络信息安全受关注程度的不断提
高,不仅需要完善管理制度,更需要落实实施力度 ,并重点加强风
险评估和
的制定。总之,高校的网络信息安全工作,任重
而道远。◎
参考文献: ’
⋯1张计龙,张成洪,闫华。宓辣、复旦大学信息化校园建设规划及实
施要点分析田.教育信息化,2002(10)
[2】2王明洁,李淑娟,张成洪,闰华,宓泳.复旦大学网络与应用的协调
建设讥.教育信息化,2004(07)
9 教育信怎化 2o06年5月
陕
西
榆
林
学
院
网
络
巾
.
王
智
贤
路由器与防火墙作为一般高校校园网的J必配设备,在高校校园
网系统安全方面起着十分重要的作用。如何合理地配置校园网中的
路由器与防火墙 ,充分发挥二者的网络安全功能,是高校校园网建
设和管理维护,必须解决好的问题。随着高校校园网建设的发展和路
由器与防火墙技术的进步,必然会遇到将校园网中的路由器与防火
墙进行升级的问题。
笔者所在单位的校园网始建于 2000年,当时选用了 Cisco2610
路由器和清华得实 NetST V1.0软件防火墙。2003年将 NetST升级
为硬件防火墙 V2.2.4。校园网 Intemet接入带宽 ,最先向当地 ISP
租用了 128K的 DDN专线,后又升级到 10M、100M 的光纤接入。
下面将给出我们在具体的升级过程中路由器和防火墙的一些应用
方案 。
一
、1 28K DDN专线升级为1 0M光纤接入Intemet时的应用方案
由于 Cisco2610标配只有一个 10M 的 Et}1cruet接口.我们又给
此路由器增配了一个 10M 的Ethemet接口模块。根据 NetST V1.0
的功能特点及其对硬件环境的要求,我们在运行 NetST V1.0的PC
机上安装了三块 10/100M Ethemet网卡 ,一块外网卡 (External
Iinterface),一块内网卡 (Internal Interface),一块 DMZ网卡 (DMZ
Interface)连接非军事化区,系统要求外网卡与 DMZ网卡的 IP地址
应位于不同的网段,内网卡和内部用户利用 NetST V1.0的NAT功
能 (Network Address Translator)使用内部保留IP。路由器与防火墙
的连接如图 1所 示。
图 1 路由器与防火墙(串 l连接图
防火墙升 级实例
校 园 网路由 器与
维普资讯 http://www.cqvip.com
《教育信息化》发行部:cyl@moe.edu.cn
为此。我们将 ISP提供的 16个 IP地址(61.134.22.128/28)
通过子网划分为如下三个网段:
61.134.22.128/30.子 网 掩 码 255. 255. 255. 252
(61.134.22.128~61.134.22.131)
61.134.22.132/3 0.子 网 掩 码 255. 255. 255. 252
(61.134.22.132~61.134.22.135)
61.134.22.136/3 0.子 网 掩 码 255. 255. 255 . 248
(61.134.22.136--61.134.22.143)
2003年,我们将防火墙 NetST升级为硬件 V2.2.4,该防火墙
拥有 3个 lOOM Ethemet接口,校园网的 Intemet接人带宽也先后
升级到 IOM、lOOM 的光纤接人。由于采用了专门的硬件防火墙。
克服了原来防火墙运行在一台 PC上的缺陷,提高了系统的可靠
性。而在采用 lOOM 光纤接人 Intemet后。原来路由器与防火墙的
串连方 式 ,只有 IOM Ethemet接 口的路 由器就成了网络的瓶颈 。
为此,我们采用了路由器与防火墙并联工作的方式。见图2所示。
■^童 托
6I ■a4 22 Ia4
:Ig2 I∞ , 1
磐嚣轭,a罔段
童掌楼变执机
192 168∞ 0t2~1
192 1∞ 100 0t2(
抒鼬 童 托
I g2 I6a Ia1 0t24一囊
I g2 I6a Ia2 0t24一囊
I g2 I6a Iaa 0t24一曩
I g2 I6a 104 0t24一覃
I g2 I6a Ia5 0t24一曩
I g2 I6a 106 0t24一囊
I卧 一羹
图2 路由器与防火墙(并 )连接图
m ■
6I I34 22 14a
_ R E-me.iI.m
二、NetST升级为硬件 V2.2.4后防火墙与路由器的应用方案
根据笔者所在单位校园网的具体情况 。在核心交换机 $8505
上将 内部 用 户分 为 9个 VLAN.分 别 为 :192.168.98.0/24~
192.168.106.0/24。各网段的默认 网关为 :192.168.XXX.1。让图书
馆 的 192.168.98.0/24网 段 通 过 C~co2610访 问 互 联 网 .让
192.168.99.0/24至 192.168.106.0/24其 它 网段 通过 NetST访 问
互联网。当然 ,也可以让所有网段都通过 NetST访 问互联网。我
们这样做的目的。既发挥了 Cisco2610的作用。也缓解了防火墙
的工作压力。
为此,将 ISP提供的 16个 IP。划分为如下两个网段 :
61.134.22.128/29. 子 网 掩 码 255 . 255 . 255 . 248
(61.134.22.128~61.134.22.135)
61.134.22.136/29, 子 网 掩 码 255 . 255 . 255 . 248
(61.134.22.136-'.,61.134.22.143)
ISP网关:61.134.22.129.子网掩码 255.255.255.248
ISP路由 :61.134.22.136 255.255.255.248 61.134.22.134
防火墙网关:61.134.22.129/29
防火墙外网卡 IP:61.134.22.134/29
防火墙内网卡 IP:192.168.106.15
防火墙 DMZ网卡 IP:61.134.22.140/29
路 由器外网卡 IP:61.134.22.130/29
网络安全 与维护
路 由器内网卡 1P:192.168.200.15/24
核心交换机 、路 由器与防火墙的主要 配置如下 :
(1)在 $8505上为图书馆 192.168.98.0/24网段访问Intemet设
置策略路由
acl number 2000
rule 0 permit source 192.168.98.0 0.0.0.255
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.255.255 destination
192.168.0.0 0.0.255.255
interface V1an—interface98
ip address 192.168.98.1 255.255.255.0
interface GigabitEthemet2/1/1(连接到图书馆 192.168.98.0/24网
段)
port access vlan 98
packet——filter inbound ip——group 3000 rule 0 system——index 5
traffic——redirect inbound ip——group 2000 rule 0 system——index 6
next—hop 192.168.200.15
(2)Cisco2610路由器的配置
(配置路 由器外网卡 El/0)
iI1te e1/O
ip address 61.134.22.130 255.255.255.248
ip nat outside
(配置路 由器内网卡 EO/O)
inte eO/O
ip address 192.168.200.15 255.255.255.0
ip na
.
tinside
ip nat pool c2610 61.134.22.131 61.134.22.133 netmask
255.255.255.248 ‘
ip nat inside source list 2 pool c2610 ovedoad
(3)在防火墙 NetST V2.2.4上配置返程路由
将 192.168.99.0/24至 192.168.106.0/24网段 的路 由 指 向
192.168.106.1。如图 3所 示。
摘嘲 ≥囊髓豳鬟 囊蕊龋 瞳 莲蠢
61 134 22 128 255 255 255 248 0 0 0 0 V 外 同卡
192 1明 99 0 255 255 255 0 l92 1明 l∞ 1 1JG 内同卡
192 1明 100 0 255 255 25s 0 192 168 1∞ 1 1JG 内同卡
192 168 101 0 255 255 25s 0 192 l明 l∞ 1 1JG 内网卡
192 1明 l02 0 255 255 25s 0 l92 168 1∞ 1 1JG 内网卡
192 1明 l03 0 255 2s5 25s 0 192 168 1∞ 1 1JG 内网卡
192 I68 l04 0 255 255 25s 0 192 l明 l∞ 1 1JG 内网卡
192 l明 105 0 255 25s 2 0 l92 l明 l∞ i fIG 内网卡
192 l明 l∞ 0 255 2s5 255 0 0 0 0 0 V 内网卡
l2T O O O 255 O O O O O O O V 内部融环
0 0 0 0 0 0 0 0 61 I34 22 l29 1JG 外网卡
(4)工作站 的配置
工作站要求使用静态 IP地址 ,在 TCP/IP属性中,设网关为
192.168.xxx.1。参见图 2,DNS为 ISP提供的地址和我校的 DNS
服务器的 IP地址 。浏览器等上网工具中无需做任何设置。
以上应用方案 .均经过笔者所在单位的校园网一年以上的运
行.网络使用状况良好。⑩
麓 育信 忘 化
2006年 5 月
一 5
目 ■奋 一
维普资讯 http://www.cqvip.com
本文档为【校园网路由器与防火墙升级实例】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。