防火墙技术在内江职校的应用
摘 要
随着现代科学技术和互联网的迅猛发展,以计算机和通讯技术为基础的管理系统正处于高速发展的时期。人们对生活质量的要求也在不断提升,对教学工作的环境以及要求也日益提高。一个学校内进行教学的人们之间需要相互的通信,同时在相互通信的过程中又能确保信息通畅与保密,于是对此学校的一个网络规划与设计应运而生。
本课题简要地讨论了学校网络规划设计中涉及到的网络技术、规划设计方法、等问题﹐为学校网络的规划、设计和升级改造等方面在技术及应用上提供参考,以使在建或规划中的校园网具备较高的整体性能。通过eNSP模拟学校网中的接入交换机、汇聚交换机等网络设备,并在网络设备上采用防火墙技术、VLAN虚拟局域网、MSTP多生成树协议、LACP链路聚合和VLAN聚合等多种协议配置,使构建的网络不仅具有较高的通信可靠性,并且能够满足学校的多教学业务需求,也要实现高利用率高可靠性,从一些闲置的设备中提高资源的利用率,不同的流量在不同的链路上传输,链路得到充分利用,实现流量的负载分担。
关键词:计算机网络;校园网;eNSP;防火墙
Abstract
With the rapid development of modern science and technology and the Internet, the management system based on computer and communication technology is in a period of rapid development. People's requirements for quality of life are also increasing, and the environment and requirements for teaching and working are also increasing. The people who teach in a school need to communicate with each other, and at the same time, in the process of communicating with each other, they can ensure the smooth flow and confidentiality of information, so a network planning and design of this school came into being.
This topic briefly discusses the network technology, planning and design methods, and other issues involved in the planning and design of school networks, and provides a reference for the planning, design, and upgrading of school networks, so as to make the campus networks under construction or planning have high overall performance. Through eNSP simulates network equipment such as access switches and aggregation switches in the school network, and adopts a variety of protocol configurations such as firewall technology, VLAN virtual LAN, MSTP multi-spanning tree protocol, LACP link aggregation and VLAN aggregation on the network equipment, so that the constructed network not only has high communication reliability, but also can meet the needs of the school's multi-teaching business, but also achieves high utilization and high reliability, and improves the utilization rate of resources from some idle equipment. Different traffic is transmitted on different links, and the links are fully utilized to achieve load balancing of traffic.
Key words: Network; campus network; eNSP; firewall
目录
1前言
网络安全是当今互联网时代面临的重要挑战之一。随着网络攻击手段的不断演变和网络威胁的不断增加,保护网络安全已成为各个组织和学校的重要任务。防火墙作为网络安全的第一道防线,起着至关重要的作用。
学校增加防火墙可以通过配置和管理网络流量,控制网络访问权限,实现对网络的安全防护。然而,由于网络环境的复杂性和攻击手段的多样性,单纯依靠防火墙的默认策略往往无法满足实际的安全需求。
因此,研究如何设计和实施基于ENSP防火墙的网络安全防护策略成为一个重要的课题。通过对网络的威胁分析和风险评估,可以确定网络安全的需求和目标。然后,根据这些需求和目标,设计和配置适合的防火墙策略,实现对网络的全面保护。
2概述
2.1学院概况
本网络主要进行双机热备、VRRP、MSTP、网络安全、VLAN划分和设备具体配置等设计。学校局域网是学校网建设的基础,也是本次学校网络系统组建规划的主要教学工作,其他所有的建设都是建立在此基础之上的。学校信息网络系统应是一个以IP网为目标,建立数据连接为一体化的内部教学网络和外部网络。网络系统应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。主干网交换机应具有很高的传输速度,整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的以太网技术作为网络系统主干。应该选择有成功案例的网络厂商的设备, 同时为 Internet 提供接口,网络还应具有良好的扩展性。建设覆盖整个学校的局域网包括网络技术选型,拓扑结构设计和网络方案的具体设计。网络方案设计中的核心、汇聚、接入层三层是其重点。其次进行VLAN划分,子网配置和 IP 地址的分配 ,最后进行服务器、交换机和路由器的配置。
2.2网络设计原则
(1)开放性和标准化原则
首先采用国家标准和国际标准,其次采用广为流行的、实用的工业标准,只有这样,网络系统内部才能方便地从外部网络快速获取信息。同时还要求在授权后网络内部的部分信息可以对外开放,保证网络系统适度的开放性。
这是非常重要,而且非常必要的,同时又是许多网络工程设计人员经常忽视的。我们在进行网络系统设计时,在有标准可执行的情况下,一定要严格按照相应的标准进行设计,而不要我行我素,特别是在像网线制作、结构化布线和网络设备协议支持等方面。采用开放的标准后就可以充分保障网络系统设计的延续性,即使将来当前设计人员不在校园,后来人员也可以通过标准轻松地了解整个网络系统的设计标准。保证互连简单易行。
(2) 实用性与先进性兼顾原则
在网络系统设计时首先应该以注重实用为原则,紧密结合具体应用的实际需求。在选择具体的网络技术时一定要同时考虑当前及未来一段时间内主流应用的技术,不要一味地追求新技术和新产品,一方面新的技术和产品还有一个成熟的过程,立即选用时则可能会出现各种意想不到的问题;另一方面,最新技术的产品价格肯定非常昂贵,会造成不必要的资金浪费。
如在以太局域网技术中,目前千兆位以下的以太网技术都已非常成熟,产品价格也已降到了合理的水平,但万兆位以太网技术还没有得到普及应用,相应的产品价格仍相当昂贵,所以如果没有十分的必要,则不要选择万兆位以太网技术的产品。
(3)无瓶颈原则
这一点非常重要,否则会造成花了高的成本购买了主档次设备却得不到相应的高性能。网络性能与网络安全一样,最终取决于网络通信链路中性能最低的那部分。这就要求在进行网络系统设计时一定要全局综合考虑各部分的性能,而不能只注重局部的性能配置。特别是交换机端口、网卡和服务器组件配置等方面。
(4)可用性原则
我们知道服务器的“四性”中有一个“可用性",网络系统也一样。它决定了所设计的网络系统是否能满足用户应用和稳定运行的需求。网络的“可用性"其实就是表现在网络的“可靠性”、“稳定性”,要求网络系统能长时间稳定运行,而不要经常出现这样或那样的问题。
网络系统的“可用性”通常是由网络设备(软件系统其实也有“可用性”要求)的“可用性”决定的,主要体现在服务器、交换机、路由器、防火墙等重负荷设备上。这就要求在选购这些设备时一定不要一味地贪图廉价,而要选择一些国内、外主流品牌、应用主流技术和成熟型号产品。对于这些关键设备千万不要选择那些杂牌,一方面性能和稳定性无法保障,另一方面售后服务更将是无法弥补的长久的痛。
(5)安全第一原则
网络安全涉及到许多方面,最明显、最重要的就是对外界入侵、攻击的检测与防护。现在的网络几乎时刻受到外界的安全威胁,稍有不慎就会被那些病毒、黑客入侵,致使整个网络陷入瘫痪。在一个安全措施完善的计算机网络中,不仅要部署病毒防护系统、防火墙隔离系统,还可能要部署入侵检测、木马查杀系统和物理隔离系统等。当然所选用系统的具体等级要根据相应网络规模大小和安全需求而定,并不一定要求每个网络系统都全面部署这些防护系统。
3 需求调研与分析
3.1功能需求分析
本次设计能够满足需求如下:
(1)本校园大概400人,有四个部门,客户部100台PC划为vlan10,产品部100台PC划为vlan20,销售部100台PC划为vlan30, 财务部100台PC划为vlan40.
(2)每个部门划分一个vlan,部门内部网络互通,不同部门网络也能通。
(3)每个部门划分一段ip地址,并用dhcp技术自动分配地址,运行ospf协议,方便路由的维护。
(4)核心层,汇聚层交换机做MSTP和VRRP技术,设备冗余,能够保一台设备坏了之后,瞬间切换到另外一台设备,不影响教学业务。
(5)保证校园内网的安全,增加防火墙设备,隔离校园内网和互联网。
(6)校园内部使用光纤连接,光网覆盖,速度快。
(7)NAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址。
(8)防火墙做双机热备,当一台设备出现故障时,可以由另一台设备承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服
3.2 服务器需求
DNS服务器可以实现域名和IP的转换。当不同的主机需要互通时,就可以在DNS服务器中查找和域名相对应的IP地址,并且获得相应的网络资源[5]。DNS服务器在域名解析过程中的查询顺序为:本地缓存记录、区域记录、转发域名服务器、根域名服务器。DNS服务器能够很好的解决具有特殊意义的字符不宜记住的问题,是因为它可以将IP地址转换为更容易辨别与记忆的域名。
为了实现文字信息、图片以及其他数据的互相传输转换,我们需要采用WEB服务器。其实WEB服务的本质就是一个网站服务器,WEB服务器不仅能够实现学习人员之间的网络信息互通,还能够实现学习人员与居民之间的网络互通。WEB服务器是红光街道学校服务中心不可缺少的一部分。
为了实现有效的资源的服务管理,我们将采用计算机FTP技术,进行大量数据信息的传输处理,学习人员和民众可以通过自己的私密账号在FTP服务器上上传或下载文件,这加快了学生的教学效率。
3.3校园组网需求
校园目前开展的学校网建设,旨在推动校园的信息化建设,其最终建设目标是将校园建设成了一个借助信息化教学和管理的高水平的智能化、数字化的学校网络,满足学校信息化的要求,为各类应用系统提供方便,快捷的信息通路,具有良好的性能,能够支持大容量和实时性的各类应用,能够可靠的运行,具有较低的故障率和维护要求。校园的网络系统是建立在高速光纤网的基础上,构建内网相互独立的网络系统,以提供安全的教学局域网和可访问Internet的网络系统。实现各部门内部和各部门之间公共网络化,构建网络信息共享,实现资源共享。
4 校园网逻辑设计
4.1网络总体规划
网络拓扑整体设计为三层架构,分为核心层、汇聚层、接入层,再通过出口路由器连接到互联网,中间使用防火墙做网络安全防御,防火墙做双机热备保障网络运行,核心交换机做链路聚合保证交换机带宽。具体网络拓扑规划如下:
图4-1 网络拓扑结构图
4.1.1 网络总体设计
核心部分拓扑为三层架构。对于核心层,使用两台二层交换机作为核心交换机,两台核心交换机分别连上防火墙。对于汇聚层,使用两台交换机,两台交换机中每一台都分别于两台核心交换机相连,两核心交换机之间使用链路聚合,保证可靠性。对于接入层,暂时使用八台交换机,每台交换机划入一个vlan,负责一个虚拟局域网的连接,其中有一台负责连接学校的服务器群。
4.2IP地址规划与VLAN划分
使用vlan和子网划分对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的教职工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。
| 部门 | vlan | ip地址 |
| 客户部 | 10 | 192.168.10.0/24 |
| 产品部 | 20 | 192.168.20.0/24 |
| 销售部 | 30 | 192.168.30.0/24 |
| 财务部 | 40 | 192.168.40.0/24 |
表3-1 vlan ip选型表
5 校园网实现与测试
5.1 Eth-Trunk链路聚合
Eth-Trunk链路聚合
以HX-1为例配置链路聚合批量创建 vlan 10 20 30 40 ,创建链路聚合接口Eth-Trunk 1,开启配置Eth-Trunk的LACP模式,加入成员接口g0/0/13和g0/0/14设置为trunk模式,允许所有vlan通过。
HX_SW1:
[Huawei]sysname HX_SW1
[HX_SW1]int Eth-Trunk 1
[HX_SW1-Eth-Trunk1]mode lacp-static
[HX_SW1-Eth-Trunk1]trunkport g0/0/13
[HX_SW1-Eth-Trunk1]trunkport g0/0/14
5.2 vlan底层配置
[HX_SW1]vlan batch 10 20 30 40 2 4 200 900
[HX_SW1]int g0/0/3
[HX_SW1-GigabitEthernet0/0/3]port link-type trunk
[HX_SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 900
[HX_SW1-GigabitEthernet0/0/3]int g0/0/4
[HX_SW1-GigabitEthernet0/0/4]port link-type trunk
[HX_SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 10 900
[HX_SW1-GigabitEthernet0/0/4]int g0/0/5
[HX_SW1-GigabitEthernet0/0/5]port link-type trunk
[HX_SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 20 900
[HX_SW1-GigabitEthernet0/0/5]int g0/0/6
[HX_SW1-GigabitEthernet0/0/6]port link-type trunk
[HX_SW1-GigabitEthernet0/0/6]port trunk allow-pass vlan 20 900
5.3 mstp规划与设计
以HX-1为例进入MST视图,配置MST域名为HUAWEI,配置MST域级别为1,建立两个实例instance1和instance2,分别将vlan10,20和vlan30,40,instance1的根交换机定为HX-1,instance2的根交换机定为HX-2。
HX_SW1:
<HX_SW1>sys
[HX_SW1]stp region-configuration
[HX_SW1-mst-region]region-name aaa
[HX_SW1-mst-region]revision-level 1
[HX_SW1-mst-region]instance 1 vlan 10 20 200
[HX_SW1-mst-region]instance 2 vlan 30 40
[HX_SW1-mst-region]active region-configuration
[HX_SW1-mst-region]dis this
stp region-configuration
region-name aaa
revision-level 1
instance 1 vlan 10 20 200
instance 2 vlan 30 40
active region-configuration
[HX_SW1-mst-region]qui
[HX_SW1]stp instance 1 root primary
[HX_SW1]stp instance 2 root secondary
5.4 vrrp规划与设计
创建虚接口vlanif10 20 30 40 给接口配置虚接口ip,创建备份组并为备份组指定虚拟ip地址,配置HX-1的vlan10 20 备份组的优先级为105,HX-2的vlan30 40 备份组的优先级为105,因为vrrp默认优先级为100,配置为120是使HX-1的vlan10 20 VRRP备份组的优先级要高于HX-2的默认优先级使HX-1成为vlan 30 40 VRRP组中主设备。同理,vlan 30 40 VRRP组的主设备为HX-2。
HX_SW1:
[HX_SW1]int vlan 10
[HX_SW1-Vlanif10]ip add 192.168.10.254 24
[HX_SW1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.1
[HX_SW1-Vlanif10]vrrp vrid 10 priority 105
[HX_SW1-Vlanif10]dis this
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
vrrp vrid 10 virtual-ip 192.168.10.1
vrrp vrid 10 priority 105
5.5 OSPF配置
创建ospf 1进程,设置区域号area 0.0.0.0,发布ospf中通告的网段让其它ospf邻居接收到,可以检测到邻居ospf信息
HX_SW1:
[HX_SW1]ospf
[HX_SW1-ospf-1]area 0
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.10.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.30.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.40.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.200.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.2.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.5.0 0.0.0.255
5.6 防火墙基本配置
给接口配置IP地址,配置g1/0/0 加入trust区域,1/0/1加入untrust 1/0/2加入dmz区域,创建ospf进程1区域0通告1/0/0和1/0/1IP网段
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.6.1 24
[FW1-GigabitEthernet1/0/0]service-manage all permit
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 192.168.2.1 24
[FW1-GigabitEthernet1/0/1]service-manage all permit
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 192.168.5.1 24
[FW1-GigabitEthernet1/0/2]service-manage all permit
5.7 DHCP配置
[DHCP-ip-pool-vlan10]network 192.168.10.0 mask 24
[DHCP-ip-pool-vlan10]gateway-list 192.168.10.1
[DHCP-ip-pool-vlan10]dns-list 192.168.200.2 8.8.8.8
[DHCP-ip-pool-vlan10]excluded-ip-address 192.168.10.250 192.168.10.254
[DHCP]ip pool vlan20
Info: It's successful to create an IP address pool.
[DHCP-ip-pool-vlan20]network 192.168.20.0 mask 24
[DHCP-ip-pool-vlan20]gateway-list 192.168.20.1
[DHCP-ip-pool-vlan20]dns-list 192.168.200.2 8.8.8.8
[DHCP-ip-pool-vlan20]excluded-ip-address 192.168.20.250 192.168.20.254
[DHCP]ip pool vlan30
Info: It's successful to create an IP address pool.
[DHCP-ip-pool-vlan30]gateway-list 192.168.30.1
[DHCP-ip-pool-vlan30]network 192.168.30.0 mask 255.255.255.0
[DHCP-ip-pool-vlan30]dns-list 192.168.200.2 8.8.8.8
[DHCP-ip-pool-vlan30]excluded-ip-address 192.168.30.250 192.168.30.254
5.8 防火墙NAT配置
RP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.10.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.20.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.30.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.40.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.100.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.101.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]source-address 192.168.102.0 24 (+B)
HRP_M[FW1-policy-nat-rule-to_isp]action source-nat easy-ip (+B)
5.9 TELNET配置
HX_SW1:
[HX_SW1]aaa
[HX_SW1-aaa]local-user huawei privilege level 3 password cipher 5555
[HX_SW1-aaa]local-user huawei service-type telnet
[HX_SW1-aaa]qui
[HX_SW1]user-interface vty 0 4
[HX_SW1-ui-vty0-4]authentication-mode aaa
[HX_SW1-ui-vty0-4]protocol inbound telnet
5.2 网络测试
5.1 DHCP自动获取地址测试
以客户部、产品部为例,验证DHCP地址获取情况:可以获取到ip地址
5.2 内网网络连通性测试
技术部ping产品部,可以ping通。
5.3 服务器访问测试
附录
[1]谢希仁 .计算机网络 (第七版 )[M]. 北京:电子工业出版社 ,2017
[2]褚建立 .网络综合布线实用技术 [M]. 清华大学出版社 ,2002
[3]蔡建新 .网络工程概论 [M]. 清华大学出版社 ,2002
[4]程庆梅 .计算机网络实训教程 [M]. 高等教育出版社 ,2003
[5]罗皇.网路组建与管理教程 [M]. 清华大学出版社 ,2004
[6]迪波斯,奥克斯著.李展等译.防火墙与VPN:原理与实践[M].清华大学出版社,2022.
[7]扈新波.局域网组建与管理技术详解[M].电子工业出版社,2021.
[8]文洋.网管员使用大全—局域网组建、管理、升级与维护[M].电子工业出版社.,2021.
[9]倪伟.局域网组建、管理及维护基础与实例教程[M].电子工:业出版社,2021.
[10]卢卡斯等编著.谢琳等译.防火墙策略与VPN配置[M].水利水电出版社,2021.
[11] Tim Szigeti,Christina Hattingh著.田敏,宋辉译.端到端QOS网络设计[M].人民邮电出版社,2021.
[12]王振宇;吴萍;Cisco路由器VPN配置常见问题及解决方法[J].硅谷,2020.
[13]周立.计算机防火墙技术原理分析及应用展望[J].硅谷,2020.
[14]刘荣林;刘卿;Cisco路出器配置及使用技巧探讨[J].煤炭技术,2020.
[15]周雪.安全服务器十年磨剑终出鞘[J].信息安全与通信保密,2020.
[16]严雪林.试论国家秘密的特征[J].信息安全与通信保密,2020.
扫一扫
1261
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
