| 意味着可以节省路由器的投入。
混合方式用得也很多,用户可以将同一子网设成透明方式,而不同子网设成路由方式,即保证了网络的安全,同时对减少了防火墙的负荷,提高网络的工作效率,但设置相对比较繁琐,对内部网络原有的结构会有比较大的影响,一经出现故障,查找具体部位需要花费一定的时间。
三、公安机关网站对防火墙需求的应用分析
分析国内各公安机关网站所提供的应用服务,除了常用的政务公开、信息透视、政策法规、网上办事、公众交流、专题检察及便民服务等功能,但是这些服务中核心是网上办事和便民服务包括居民身份证、出入证管理和交通管理及常用电话查询等等服务,有一些规模大的网站已经开始涉足视频点播和语音聊天,直接面对和公安机关有关人员交流,并有短信中心等增值服务,同时提供了邮件服务功能等。此外,由于大多数公安机关网站内部访问互联网与公安机关网站一般使用同一条数据线路,要求防火墙应该具有比较好的内外网隔离功能,确保内网安全。根据上述分析,我们首先要求防火墙没有带宽的瓶颈,目前的防火墙均为百兆吞吐率,满足现有的各项服务,没有任何问题,并且还留有一些冗余;其次要尽可能满足音频和视频服务的实时性的要求,即互联网用户从开始点击音频和视频链接到实现收听所费的无谓延迟要尽可能短,另外要有比较高的可靠性,防火墙通常情况下接在网络的出口,如果防火墙不能稳定工作,将会影响到网络的畅通,最终将影响用户业务的开展;再是政府机关财力有限,性价比也不可忽视;同时针对公安机关的从事网络管理专业人才相对缺乏专业人员的特殊性,要求易于维护,最好是可以即插即用,免维护,网络结构不要过于复杂,并且要有备份机制。
四、宁波公安局便民服务在线网硬件防火墙的实施过程。
我机关在建成宁波公安网在线网站(便民服务),除提供各类信息外,还提供电子邮件,网上交流等服务,每天有至少有上万人收听实时查询和发邮件给我们的网站,网站的日点击量保持在10万人次左右,目前已具有一定的规模;经过近几年的发展,系统内目前拥有单独的WEB发布,新闻采集、dns、社区、邮件、代理服务器,由于建站初始时各种的原因,系统一直未真正有效配置防火墙,为确保系统更加稳固,考虑到系统目前已在运行中,为实现系统平稳升级,要求不能对现有网络拓朴结构有大的改动,同时要兼顾性价比和易用性等因素,通过对对市场的充分调研,我们采用了一台北大青鸟公司JB-FW1网关防火墙,通过对目前网站提供各项服务的分析,我们决定采用防火墙的路由方式来实施,网络升级前的拓朴图(无硬件防火墙环境)是这样的,
网络升级后的拓朴图(有硬件防火墙环境)是这样的。
从前后的网络结构看,加入防火墙后,系统结构没有大的变动,服务器上的设置均保持不变,原来的路由器作为备份,万一防火墙故障,可以热插拔恢复到原有系统。网站的所有服务可以在10秒钟恢复正常,符合冗余备份的要求。
确定网络结构后,我们开始了网络安全策略的制定,根据网站对外提供的所有服务,对各类服务器的IP地址、需开放的服务端口、具体应用等进行量化并造表罗列出来,具体如下:
|
服务器名
|
IP地址
|
具体应用
|
服务端口
|
|
WEB服务器
|
210.83.125.*
|
WEB发布
|
80
|
|
FTP
|
21
|
|
音、视频频服务器
|
210.83.125.*
|
音频发布
|
554
|
|
远程管理
|
9090
|
|
邮件服务器
|
210.83.125.*
|
WEB收发
|
80
|
|
POP3
|
110
|
|
SMTP
|
25
|
|
各分局服务器
|
210.83.125.*
|
BBS,聊天
|
80
|
|
新闻采集兼统计
服务器
|
210.83.125.*
|
新闻采集
|
88
|
|
3000
|
|
网页计数
|
80
|
|
10000
|
|
DNS
|
210.83.125.*
|
域名服务
|
53
|
安全策略制定后,我们进行了实施,按策略要求进行规则输入,具体如下:。
1、所有服务器对互联网络的访问:单向开放所有端口,即采用OneWayAll规则;
2、互联网对代理服务器的访问:不开通任何端口;
3、互联网对音频点播服务器的访问:开通554、9090端口;
4、互联网对WEB服务器的访问:开通21、80端口;
5、互联网对邮件服务器的访问:开通25、80、110端口;
6、互联网对新闻采集、统计服务器的访问:开通80、88、3000、10000端口;
7、互联网对DNS服务器的访问:开通53端口;
8、互联网对社区服务器的访问:科技论文开通80端口;
网络内所有PC机除上述规则所定义,其它的任何地址和服务全部被禁止。联机运行后,为验证防火强是否发挥作用,使用网络扫描工具软件对所有服务器进行端口扫描,发现扫描结果与预计结果相同,只有开放的端口可见,表明防火墙已经工作。防火墙工作半年来,一直正常可靠运行,通过对升级后网络的观察,普遍反映良好,在防火墙的配置过程中,我们发现其使用的规则越少,性能越好,另外在初次使用青鸟防火墙时,因为没有掌握要点,前期曾出现在正常配置的情况下,发现使用二天左右出现不间断的网络中断,内网和外网均不得访问的故障,起初曾怀疑硬件故障,但在更换防火墙后,故障依旧,后与北大青鸟公司的研发人员一起,仔细分析了故障原因,最后更改了一个tcp协议的默认标识,防火墙才恢复正常。
五、结束语
防火墙作为保障网络安全的一种工具,目前仍在不断地改进和完善。笔者认为,不管防火墙技术如何完善,都不是绝对安全的。有行家曾经把网络安全比喻成防御城墙,不管城墙多么高大坚固,如果无人守备,都是极易被攻破的。所以制定合理的安全管理策略,仔细设置安全规划,实施严格的管理和监控制度,才是保证防火墙不被攻击的基本条件。 2/2 首页 上一页 1 2 |
