ccidnet????

出版日期:2002-10-21 总期号:1161 本年期号:78

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
数字图书馆
华东专刊
华南专刊
西北专刊
 教育网可以无忧运行
友讯网络DFL-2000防火墙内外多层防护
王科

  如何保证教育网站内部大量重要的教育信息、图书库、远程教学等资源的安全性,是网站类企业最关心的问题。天津某教育网站在全面采用友讯网络(D-Link)的DFL-2000防火墙产品后,网络安全性能大大加强了。该教育网站网络系统通过架设D-Link的防火墙产品,重点保护了包括内部网络区、数据备份服务器、服务器子系统区三个部分。

  作为天津市教委的门户网站,天津某教育网站主要集中发布各种教育信息并建设天津教育资源中心。如何保证其内部大量重要的教育信息、图书库、远程教学等资源的安全性,成为一个重要的问题。天津某教育网站在全面采用友讯网络(D-Link)的DFL-2000防火墙产品后,网络安全性能大大加强了。


  教育网站网络系统
  教育网站的网络系统在总体结构上分为内部网络区与服务器子系统区两大重点保护区。内部网络区包括教育网站的内部办公、开发、采编网络以及网站数据的磁盘备份系统。服务器子系统区包括教育网站的各个运行服务器以及提供磁带数据备份的系统。

  在设计中,教育网站采取下面的原则:

  综合性、整体性原则 一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机教育网络包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。


  天津教育网站网络安全方案拓扑图

  需求、风险、代价平衡原则 对任一网络,绝对安全难以达到,也不一定必要。但对一个网络进行实际的研究并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析后制定规范和措施,才能确定本系统的安全策略。

  可用性原则 如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。


  教育网络安全需求
  教育网站的服务器子系统区主要通过网站的主路由器提供安全保障,以避免由于采用防火墙系统导致的数据传输带宽瓶颈。内部网络区通过网站的主路由器以及防火墙系统提供安全保障,最大限度地保障内部网络区的安全。

  针对具体的安全目标,教育网站制定了一个具体的安全需求:

  首先,教育网站网络系统的重点保护对象包括内部网络区、数据备份服务器、服务器子系统区几部分,可通过架设网关型防火墙来保护这些对象保障其高度的安全性。

  其次,服务器子系统应架设一部网关型防火墙,甚至在每一部重点服务器上安装服务器版防火墙(可选),防止非授权用户对其进行非法操作和恶意攻击。

  在原有网络中主要通过主路由器实现安全保护,不能完全真正地保护服务器子系统区。针对技术核心,路由器自身可以实现简单的封包过滤功能,但这只是简单的静态封包过滤,还要考虑到封包之间的关联性逻辑因素检查,在技术上和安全性方面都还不够。防火墙可为服务器群对提供给用户的服务做透明式代理,提高安全性,还可提供IDS、防DOC攻击等众多功能来抵御黑客入侵。路由器并不能实现防火墙抵御黑客的真正目的,针对服务器子系统区中的服务器的重要性,同时考虑高度的安全性和极低的带宽速度损耗,在实际构建中安装一套网关型防火墙来完成保护。这样可以加强系统安全对不良信息的过滤机制和网络安全管理,提高系统安全强度,实现对系统安全运行的即时监控,并提供完整的日志分析,以保护内部网络区、数据备份服务器、服务器子系统区不受计算机病毒的侵害。


  具体网络安全方案
  通过网站信息安全现状和需求的分析,天津某教育网站决定通过合理架设防火墙,实现防黑、内部控管、防毒、拒邪的功能,同时全面提升些网络的安全性和使用效能。在实际网络构建中,天津某教育网站全部采用了友讯网络(D-Link)的防火墙,其中包括DFL-2000企业版防火墙和DFL500电脑版防火墙。

  某教育网站的网络系统的重点保护对象包括内部网络区、数据备份服务器、服务器子系统区三个部分,通过分别架设网关型防火墙来保护这些重点单位。整个网络架构呈现出以下几个特点:

  模块化设计,实现安全网络灵活定制 通过分别架设网关型、具有VPN功能的模块化防火墙DFL-2000,保证Internet和Intranet(教育网络)之间网络间的信息安全性,在对整个Intranet(教育网络)与外部互联网流量进行控管的同时,有效地实现阻止或发现黑客的攻击或窃取教育网络内部资源的行为,使管理人员可以以自定义的控管规则或防火墙自身的IDS攻能,实现有效地防堵。

  实现网络安全维护和管理 通过分别架设网关型防火墙,内部网络区、数据备份服务器、服务器子系统区,可分别实现人员对网络使用的全面控管,有效防止来自教育网站内部网络的攻击行为。

  内外兼顾,全方位防范 对于教育网站内部的防毒,通过防火墙集成的趋势网络版的防毒产品可以得到全面的防护,在网关的防火墙上针对HTTP、FTP、POP3这三种协议的服务可以自动地进行查毒、杀毒等工作,保证某教育网站内部的机器在没有病毒的环境下正常运行。通过对重要服务器组,架设服务器版防火墙,有效地防止了来自内外部的攻击行为,实现了双重保护。

  引入过滤功能,严防色情攻击 教育网站服务对象的特性,对互联网中的许多不良网站(色情网站、法论功邪教、赌博等)很敏感,一定会排斥这些网站。D-Link DFL-2000提供色情防毒(内容过滤功能),产品本身提供强大的防堵数据库,并且管理员可以自定义拦截放行网站或关键字等。