远程教育网网络安全解决方案

2004-5-14　发布方：北京中信保　网友评论 0 条　点击进入论坛

用户的网络状况和安装要求

因为该教育网内部有WWW服务器，其地址是公用地址，客户要求在安装防火墙后，教育网内部的任一计算机都能访问该服务器，并且要求不改动原网络的拓扑结构。因此，在此方案中，将防火墙设成透明模式，基本能满足客户的需求。

另外，该部门的INTERNET出口端的流量为2M，所以用ByteWatch BW5.4的防火墙就满足带宽要求。

目的与要求

    1、所有内部网络与外部网络之间的信息通讯都通过防火墙。
    2、保证现有运行环境完整，不影响正常工作。
    3、外部网络应能找到域名解析服务器；邮件能穿过防火墙到达指定目的。
    4、能够过滤指定的通讯协议。
    5、能够限定指定的内部主机和网络与外部网络通信。

防火墙安装
    1、防火墙Wan端口与路由器连接。
    2、防火墙DMZ端口接邮件服务器、DNS服务器、代理服务器，WWW服务器。
    3、防火墙LAN端口接内部主网。
    4、禁用DNS服务器内部网卡。
    5、禁用邮件服务器内部网卡。
    6、设置ByteWatch BW5.4内部网络地址。

参数设置
    1、邮件服务器允许通过SMTP，POP3协议。
    2、允许DNS服务器域名解析。
    3、允许代理服务器HTTP协议。
    4、允许内部网络主机通过HTTP协议。

原先WWW、mail、DNS Server（内部）应用双网卡成为内外共用的堡垒主机。现将其移至DMZ；DMZ上的机器内外皆可访问；可以在ByteWatch BW5.4防火墙上设置存取控制，只允许相关服务与协议通过，LAN区上的机器可以直接访问DMZ，如果DNS为内部DNS，亦可以将其放置在LAN端，只解析内部地址，外部域名由内部DNS解析，更为安全。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表