防火墙主要用于对网络和系统的保护,它是通过允许或禁止数据包经过网络的不同层来实现的,而网络本身是一个层次结构,因此安全问题也是分层次的。完整的安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。神州数码防火墙可以在网络层、传输层和应用层上进行数据的安全保护和过滤。
DCFW-1800是典型的多功能防火墙,涵盖了防火墙的技术和特性,具有防止黑客攻击的能力。用户根据其网络应用的需求和安全级别的要求(如网络层安全或应用层安全,可以灵活选择包过滤或应用代理等)选择功能特性。
* 防火墙本身具有防黑客的功能,而且由于防火墙本身自带多个以太网口,可以同时连接多个子网段,加上防火墙本身的访问规则设定即可对多个局域网之间的访问进行控制。如果在全城域网出口放置防火墙则可以防止Internet或者教育网络之外的用户攻击教育系统网络,如果在城域网与校园网接口处放置防火墙则可以将城域网与校园网隔离,防止处本院以外的其他攻击,还可以按照访问规则将本院内部的攻击限定在本学院内部,以免影响其他学院。
* 防火墙本身作为网关设备,可以对所有网络内部的计算机进行管理,比如IP和MAC地址绑定可以将内部计算机的IP地址与本身的网卡MAC地址进行捆绑,当一台计算机的IP更改为其他IP后防火墙将制止它的访问,保障网络照常运行。这样就不需要管理人员一台一台去检查计算机的IP了。
* 由于网络资源多样化,其中有很多不良信息是不希望学生访问的,所以在DCFW-1800防火墙中有URL过滤的功能。网管人员只要将常见的不良信息站点添加到过滤规则中或者添入关键字即可屏蔽掉这些不良站点。
* 针对某些学校带宽不足的问题, DCFW-1800具有带宽管理功能,可以针对地址和地址组进行带宽限制,这样可以保证学校内部关键应用的带宽。另外DCFW-1800还支持带宽借用功能,在主应用带宽有富余的时候其他应用可以借用它的带宽,这样使得整个学校有限的带宽得到了合理的使用。
* DCFW-1800具有地址映射功能,可以将内部网络的一台服务器映射为合法IP地址从而提供相应的服务。而且DCFW-1800防火墙都可以将日志定向到日志服务器上,将网络访问的细节记录下来。当用户有违规操作(比如访问了没有过滤掉的不良信息站点)时,可以通过日志查看工具查看,做到有据可查,同时还可以根据日志信息完善防火墙的配置规则。在DCFW-1800中还有针对HTTP、FTP的命令级控制,可以针对对象组进行命令的限制,这样保证了合法访问的不安全命令。
* 由于防火墙是工作在OSI第三层协议之上的,所以对从网络层到应用层的控制都很全面。
* 由于防火墙采用专用操作系统,而且源代码不为大众所知,所以有很好的安全性。可以防止目前市面上常见的入侵工具的攻击,保障网络的安全。
* 防火墙主要是针对非法访问攻击进行限制防御,而IDS(入侵监测系统)则针对合法访问形成的攻击进行检测,并通过防火墙进行限制,所以对于一个安全的网络IDS也是必不可少的。还有一点,防火墙只能对进出防火墙的攻击进行检测并防御,而网络内部用户互相之间的攻击根本不经过防火墙,防火墙没有办法去防止。而IDS是旁路监听设备,它放置在需要保护的网络之中,当网络内部有攻击出现时它将信息交给防火墙,防火墙对这些攻击进行控制或隔离。所以IDS可以检测网络上的攻击,并通过与防火墙配合将攻击阻断。
教育城域网防火墙配置方案,如下图所示:
