论文部分内容阅读
防火墙是在内外网络之间执行控制策略的系统(包括硬件和软件),目的是不被外部非法用户侵入内部网。本质上,它遵循的是一种允许或禁止业务来往的网络通信安全机制,也就是提供可控的过滤网络通讯,只允许授权的通讯。
NetScreen防火墙在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过,并使用链路级的代理服务方式提供广泛的协议支持。DMZ口的设计将内部网络分成两个不同的网段,所有被允许公开访问的主机被隔离在DMZ网段上,黑客的攻击仅能进入被隔离的公共访问区,内部网络被安全地保护起来。NetScreen防火墙以硬件为基础,将防火墙、虚拟专用网(VPN)和流量管理系统等几类功能集成到一个产品上。它可作为企业LAN环境中连接网络客户服务器、PC和路由器的桥梁,对其提供安全和流量管理。NetScreen防火墙使用专用的集成电路(ASIC)设计,带有高速MIPS RISC CPU 的多总线系统结构,满负荷运行时,速度可以达到100M比特每秒。
网络系统中的部署:
1. 局域网内的VLAN之间控制信息流向时。
2. Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。
3. 在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPac,ChinaDDN,Farme Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离,并利用VPN构成虚拟专网。
4. 总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用NetScreen的VPN组成虚拟专网。
5. 在远程用户拨号访问时,加入虚拟专网。
6. ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。
7. 两网对接时,可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT),地址映射(MAP),网络隔离(DMZ), 存取安全控制,消除传统软件防火墙的瓶颈问题。
应用环境
1 企 业 网
NetScreen硬件防火墙可以被设置在企业局域网(LAN)的各个关键位置,以保护各个部门的资讯,如财务部、工程部等,或保护重要的企业网(Internet)服务器,甚至可以用来保护企业高层管理人员个人电脑上的敏感资讯。
NetScreen硬件防火墙将虚拟专用网(VPN)与防火墙功能设计在同一个体系结构中,VPN保证了加密的数据在进出公司局域网和外部互联网(Internet)时受到检验。
NetScreen-100的DMZ负载平衡功能,能平衡多个服务器。运用一个加权系统,网络管理员可以保证为企业内部信任(TRUSTED)服务器和公共的中立(DMZ)服务器按需分配带宽。
2 互 联 网
NetScreen 硬件防火墙不仅适用于单个E1,而且适用于多个E1s或E3s,甚至快速以太网。NetScreen可以很容易地配制在任何现有的企业网络结构中。
NetScreen硬件防火墙为网络管理员提供综合的网络流量控制方法,实现高效的网络流量管理。
NetScreen硬件防火墙的先进功能之一:优先级管理。就是对带宽按雇员级别高低来分配,保证网络数据的高效交换。这就使诸如视频会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行。与此相关的,NetScreen同时具有网络分析能力,如实时的日志纪录,报警性能和报表能力。
3 外 部 网
NetScreen硬件防火墙的VPN功能,能确保特定局域网之间在互联网上以密文交换信息,在公网上开辟一条安全通道,为客户降低成本。在NetScreen高速处理能力的保障下,VPN可使公司安全地进行远程数据复制与拷贝,以及对远端服务器的配置与管理。由于VPN节省了昂贵的专线费用,极大地降低了企业网络为通讯安全进行的投资。
中小企业中的典型应用
1 目的与要求
* 所有内部网络与外部网络之间的信息通讯都通过防火墙。
* 保证现有运行环境完整,不影响正常工作。
* 外部网络应能找到域名解析服务器;邮件能穿过防火墙到达指定目的。
* 能够过滤指定的通讯协议。
* 能够限定指定的内部主机和网络与外部网络通信。
2 防火墙安装
* 防火墙Untrust端口与路由器连接。
* 防火墙DMZ端口接邮件服务器、DNS服务器、代理服务器。
* 防火墙Trust端口接内部主网。
* 设置NetScreen内部网络地址。
3 参数设置
* 邮件服务器允许通过SMTP,POP3协议。
* 允许DNS服务器域名解析。
* 允许代理服务器HTTP协议。
* 允许内部网络主机通过HTTP协议。
将原先WWW、mail、DNS Server(内部)移至DMZ;DMZ上的机器内外皆可访问;可以在NetScreen防火墙上设置存取控制,只允许相关服务与协议通过,trust区上的机器可以直接访问DMZ,如果DNS为内部DNS,亦可以将其放置在trust端,只解析内部地址,外部域名由内部DNS解析,更为安全.
NetScreen防火墙在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过,并使用链路级的代理服务方式提供广泛的协议支持。DMZ口的设计将内部网络分成两个不同的网段,所有被允许公开访问的主机被隔离在DMZ网段上,黑客的攻击仅能进入被隔离的公共访问区,内部网络被安全地保护起来。NetScreen防火墙以硬件为基础,将防火墙、虚拟专用网(VPN)和流量管理系统等几类功能集成到一个产品上。它可作为企业LAN环境中连接网络客户服务器、PC和路由器的桥梁,对其提供安全和流量管理。NetScreen防火墙使用专用的集成电路(ASIC)设计,带有高速MIPS RISC CPU 的多总线系统结构,满负荷运行时,速度可以达到100M比特每秒。
网络系统中的部署:
1. 局域网内的VLAN之间控制信息流向时。
2. Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。
3. 在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPac,ChinaDDN,Farme Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离,并利用VPN构成虚拟专网。
4. 总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用NetScreen的VPN组成虚拟专网。
5. 在远程用户拨号访问时,加入虚拟专网。
6. ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。
7. 两网对接时,可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT),地址映射(MAP),网络隔离(DMZ), 存取安全控制,消除传统软件防火墙的瓶颈问题。
应用环境
1 企 业 网
NetScreen硬件防火墙可以被设置在企业局域网(LAN)的各个关键位置,以保护各个部门的资讯,如财务部、工程部等,或保护重要的企业网(Internet)服务器,甚至可以用来保护企业高层管理人员个人电脑上的敏感资讯。
NetScreen硬件防火墙将虚拟专用网(VPN)与防火墙功能设计在同一个体系结构中,VPN保证了加密的数据在进出公司局域网和外部互联网(Internet)时受到检验。
NetScreen-100的DMZ负载平衡功能,能平衡多个服务器。运用一个加权系统,网络管理员可以保证为企业内部信任(TRUSTED)服务器和公共的中立(DMZ)服务器按需分配带宽。
2 互 联 网
NetScreen 硬件防火墙不仅适用于单个E1,而且适用于多个E1s或E3s,甚至快速以太网。NetScreen可以很容易地配制在任何现有的企业网络结构中。
NetScreen硬件防火墙为网络管理员提供综合的网络流量控制方法,实现高效的网络流量管理。
NetScreen硬件防火墙的先进功能之一:优先级管理。就是对带宽按雇员级别高低来分配,保证网络数据的高效交换。这就使诸如视频会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行。与此相关的,NetScreen同时具有网络分析能力,如实时的日志纪录,报警性能和报表能力。
3 外 部 网
NetScreen硬件防火墙的VPN功能,能确保特定局域网之间在互联网上以密文交换信息,在公网上开辟一条安全通道,为客户降低成本。在NetScreen高速处理能力的保障下,VPN可使公司安全地进行远程数据复制与拷贝,以及对远端服务器的配置与管理。由于VPN节省了昂贵的专线费用,极大地降低了企业网络为通讯安全进行的投资。
中小企业中的典型应用
1 目的与要求
* 所有内部网络与外部网络之间的信息通讯都通过防火墙。
* 保证现有运行环境完整,不影响正常工作。
* 外部网络应能找到域名解析服务器;邮件能穿过防火墙到达指定目的。
* 能够过滤指定的通讯协议。
* 能够限定指定的内部主机和网络与外部网络通信。
2 防火墙安装
* 防火墙Untrust端口与路由器连接。
* 防火墙DMZ端口接邮件服务器、DNS服务器、代理服务器。
* 防火墙Trust端口接内部主网。
* 设置NetScreen内部网络地址。
3 参数设置
* 邮件服务器允许通过SMTP,POP3协议。
* 允许DNS服务器域名解析。
* 允许代理服务器HTTP协议。
* 允许内部网络主机通过HTTP协议。
将原先WWW、mail、DNS Server(内部)移至DMZ;DMZ上的机器内外皆可访问;可以在NetScreen防火墙上设置存取控制,只允许相关服务与协议通过,trust区上的机器可以直接访问DMZ,如果DNS为内部DNS,亦可以将其放置在trust端,只解析内部地址,外部域名由内部DNS解析,更为安全.