基于三层交换机做防火墙的校园网配置 |
| 2012-06-23 12:15 作者:江玉俭 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
摘要:三层交换机技术是近年来新兴的路由技术,将在今后主宰局域网已成为不争的事实。阐述我校校园网拓扑结构中,使用三层交换机充当防火墙仅用来保护隔离区(DMZ)中的服务器群,以免受到来自Internet和校园内网的攻击。
关键词:三层交换机;防火墙;控制列表
中图分类号:TP3文献标识码:A文章编号:1671—7597(2012)0510
【《硅谷》杂志2012年5月刊文】随着我国企业网、校园网以及宽带建设的迅速发展,网络安全问题日益突显。防火墙通过它对数据包进行过滤,保护着网络的安全。大型网络必须使用防火墙,但千兆专业防火墙价格昂贵,基于建设成本考虑,我校校园网采用交换机来充当防火墙,通过配置三层交换机的访问控制列表来达到防火墙的功能。
1三层交换机概述
局域网发展到了千兆以太网,而网络结构却仍使用共享局域网,网络速度受到很大的制约,近年来采用的交换局域网则是以链路层帧为数据交换单位,允许多个结点同时进行通信,每个结点可以独占传输通道和带宽,很好地解决了第一层和第二层的速度问题。从而解决了共享型以太网的制约速度问题。但以往的路由器技术并没有随着信息传输量的增大而提高,再也不能满足对高速度的需求,由此便产生了三层交换技术的概念。什么是三层交换技术呢?要理解这个技术必须从认识OSI(开放系统互联模型)开始。
OSI即开放系统互联模型,把网络系统从低到高分成七层:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。这里我们只需要介绍底三层。
物理层:物理层规范是有关传输介质的特性标准,是进行数据传输的基础,由硬件构成。调制解调器和集线器都属于物理层的网络设备。
数据链路层:数据链路层定义了在单个链路上如何传输数据,提供的数据连路控制和差错校验功能,将不可靠的物理链路变成可靠的数据链路。以往的交换机是数据链路层的网络设,它只能连接同一个子网的微机,如果IP地址不在同一个子网中则只依靠交换机不能实现通信,还需要第三层中的路由器。
网络层:网络层对端到端的包传输进行定义,定义了能够标识所有结点的逻辑地址及路由实现的方式和学习的方式。网络层在OSI模型中起到了承上启下的作用,负责子网之间的通信,从一个子网发出数据包要到达另一个子网中的计算机结点就要通过路由器计算机出传输的路径。
三层交换技术的“三层”就是指的第三层网络层,是相对于二层交换技术而言的。三层交换机处于第三层,是用于子网之间连接和通信的,具有路由功能,它实现数据包的告诉转发。可以这样说三层交换技术即是二层交换技术加三层路由功----三层交换机具有交换机的性能和路由器的功能。
三层交换机适用范围:二层交换机大多用于小型的局域网中,它的便宜的价格以及快速交换的功能和多个接入端口为小型局域网提高速度提供了最有效的解决方案。在类似校园网等大型局域网核心骨干网中,如果不使用三层交换机,那么所有的计算机都会在一个子网中,一旦形成广播风暴就会使整个网络陷于瘫痪,而且安全性也没有保障。三层交换机则是通过使用硬件交换机实现了路由功能,最新的路由软件提高了路由过程的效率,解决传统路由器软件的速度问题。
2使用交换机做防火墙的优缺点
对于大型的网络来说,使用专业的防火墙是必须的,最好是千兆的。对于中、小型网络如:我校的校园网来说可通过配置路由器或三层交换机的访问控制列表来达到防火墙的功能。三层交换机做防火墙的最大优点就是包过滤速度很快,这是因为三层交换机转发数据包是基于硬件的原因。三层交换机处于网络的第三层网络层,因为是核心层因此最容易遭受黑客的攻击。在软件方面,那些防火墙可以通过高可靠性的配置阻止来路不明的数据包输入,并且还可以控制访问列表,通过对访问列表的配置限制内部用户访问一些不可靠的网络地址,也可以防止校外的非法访问者访问校园的内部网络。三层交换机具有可扩展性,当需要增加校园的网络设备时,由于三层交换机具有各种扩展接口,不需要对原来网络的已有设备进行改动的情况下可直接扩充增加新设备,使得学校的投资不会有太多的损失。而这个交换机的一个缺点则是访问控制列表(ACL)只支持包过滤功能,缺少防火墙的其他策略,如防止DDoS攻击、碎片攻击、NAT等功能;另一个缺点是调整修改过滤策略不如专业防火墙方便,管理人员必须掌握交换机的访问控制列表配置知识。
3防火墙的数据包流动过程
要配置防火墙还得明白经过防火墙的数据包的流动过程。以来自因特网的主机访问DMZ区的WWW服务器为例,若规则的配置采取默认禁止,允许访问的服务已在规则中列出。首先,Inter主机发起的访问请求数据包流入防火墙,目的IP地址为要访问的服务器,目的端口为TCP80,源地址为本地IP地址,源端口使用当前未使用的较低端的端口,来自因特网的访问请求都从WAN口流入,要在流入方向应用访问控制列表,允许其对端口为TCP80的服务器进行访问。经防火墙路由的过滤后,从DMZ口流出到达目标服务器。服务器收到请求,回应数据包从防火墙的DMZ口流入。在DMZ口的In方向应用的访问控制列表中添加允许响应包通过的规则。再经防火墙的路由选择,从WAN口流出,到过发起访问请求的主机。
4三层交换机防火墙的连接和配置。
如图1是一个典型的防火墙连接图,用三层交换机防火墙把以下三个区域连接起来,第一区域来自广域网的Internet部分,连接到防火墙的WAN口;第二区域来自内部局域网的LAN部分,连接到防火墙的LAN口;第三区域来自服务器所在的DMZ部分,连接到防火墙的DMZ口。
三层交换机的Fal/o/1端口用做防火墙的WAN接口连接广域网,Fal/o/2端口用做防火墙的LAN接口连接内部局域网,Fal/o/3端口用做防火墙的DMZ接口连接DMZ服务器群。
三层交换机做防火墙的配置步骤:
第一步:配置LAN、WAN和DMZ三个接口的IP地址;
第二步:定义应用分别到LAN口、WAN口和DMZ口的访问控制列表,然后将这些访问控制列表分别应用到三个接口;
第三步:配置防火墙的路由。
配置防火墙ACL规则,可以实现已设置的允许访问的服务,对未设置的服务一律禁止访问。防火墙配置完成后,由于服务器的增加、变动以及所提供的服务变动等原因,会造成原有的ACL规则配置必须变更,此时就需要对原有的ACL配置进行增加、修改或删除等操作。
参考文献:
[1]李毅志、徐永刚、代剑,浅谈三层交换机在医院局域网中的应用,医学信息,2006.11.05.
[2]梁磊等主编,《TCP/IP网络技术》.(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载)
|
|
|
|
【对“基于三层交换机做防火墙的校园网配置”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
