基于Cisco路由器與Proxy的防火墻系統

2019-11-05 00:44:57

字體：大中小

來源：轉載

供稿：網友

　　為防止利用互連網訪問和傳播有關黃色或反動信息，控制對校園外較為敏感的已知的Internet主機和資源的訪問；防止校園外“黑客”對校園網內一些主機的侵入，獲取內部資源；同時考慮減少國際流量費，節省開支，提高瀏覽速度。因此，應用防火墻技術及代理服務器勢在必行，但引進防火墻軟件價格昂貴，本文建議可以采用Cisco路由器所具備的基于網絡層的存取控制方法，它可以對ip包的源/目的地址及端口號作出存取控制的決定。另外，基于應用層的防火墻系統相對比較完善，它就是一臺叫作代理服務器(PRoxy Server)的主機。它存在兩個網絡的中間，不答應直接數據傳輸，并有較大的Cache,可以做具體的日志及審計，對節省流量、計費、安全都提供了一定的功能。本文將討論如何結合路由器及代理服務器兩者的功能來建立防火墻系統。
　　
　　　　一般校園網都有一個入出路由器與外界相連，且其IP地址范圍是固定的，具有明確的閉合邊界。
　　
　　　　下面以校園網絡中心為例，設有一個C類地址2021951950，網絡中心有自己的DNS、WWW、E—Mail、FTP等服務器，設服務器的IP地址為2021951951，通常可以在入出路由器中設計如下的存取控制策略。
　　
　　　　1、控制校園網內部主機對國際資源的訪問
　　
　　　　代理服務器設置如下：
　　
　　　　(1)選取一服務器作為代理器，如IP地址為2021951951這臺主機，作為下載并安裝WEB代理服務器的主機，目前使用較多的主要有Netscape Proxy Server 3.5和Microsoft Proxy Server 2.0；
　　
　　　　(2)下載并使用如gunzip及tar進行解包；
　　
　　　　(3)建立一用戶Proxy治理代理服務器；
　　
　　　　(4)安裝ADMIN SERVER，啟動ns－setup，配置軟件安裝的根目錄；HOST及IP；ADMIN PORT(8081)及運行權限(PROXY)可進行治理的主機地址和DNS名；治理者的名及口令；
　　
　　　　(5)啟動START—ADMIN；
　　
　　　　(6)安裝PROXY，運行NETSCEPE訪問，通過8081口登錄到主機；
　　
　　　　(7)選擇“Install a new Netscape Proxy Server”，根據需要配置。
　　
　　　　2、對校園網內內部服務器的訪問控制
　　
　　　　如有內部網服務器的IP地址為2021951952及2021951953，需控制校園網外對這些主機的訪問，可設計如下：
　　
　　　　access－list 101 deny ip any host 202.195.195.3
　　
　　　　access－list 101 deny ip any host 202.195.195.2
　　
　　　　 3、對Internet上敏感主機和資源的控制
　　
　　　　對校園網外一些較為敏感的已知主機和資源的訪問控制，可直接屏蔽掉。如“花花公子”的WWW服務器的域名為WWW.PLAYBOY.COM，其中IP地址為:205.216.146.201，可設置如下：
　　
　　　　access－list 101 deny tcp 0.0.0.0 255.255.255.255 205.216.146.201 0.0.0.0 eg 80
　　
　　　　在這套防火墻系統的建構中，值得注重的一點是，由于在路由器上過多使用存取控制表會受到路由器內存限制并影響性能。

上一篇：設置路由器門限值預防DDoS攻擊

下一篇：遭到拒絕服務攻擊的路由器的解決辦法