因为该教育网内部有WWW服务器,其地址是公用地址,客户要求在安装防火墙后,教育网内部的任一计算机都能访问该服务器,并且要求不改动原网络的拓扑结构。因此,在此方案中,将防火墙设成透明模式,基本能满足客户的需求。
另外,该部门的INTERNET出口端的流量为2M,所以用ByteWatch BW5.4的防火墙就满足带宽要求。
目的与要求
1、所有内部网络与外部网络之间的信息通讯都通过防火墙。
2、保证现有运行环境完整,不影响正常工作。
3、外部网络应能找到域名解析服务器;邮件能穿过防火墙到达指定目的。
4、能够过滤指定的通讯协议。
5、能够限定指定的内部主机和网络与外部网络通信。
防火墙安装
1、防火墙Wan端口与路由器连接。
2、防火墙DMZ端口接邮件服务器、DNS服务器、代理服务器,WWW服务器。
3、防火墙LAN端口接内部主网。
4、禁用DNS服务器内部网卡。
5、禁用邮件服务器内部网卡。
6、设置ByteWatch BW5.4内部网络地址。
参数设置
1、邮件服务器允许通过SMTP,POP3协议。
2、允许DNS服务器域名解析。
3、允许代理服务器HTTP协议。
4、允许内部网络主机通过HTTP协议。
原先WWW、mail、DNS Server(内部)应用双网卡成为内外共用的堡垒主机。现将其移至DMZ;DMZ上的机器内外皆可访问;可以在ByteWatch BW5.4防火墙上设置存取控制,只允许相关服务与协议通过,LAN区上的机器可以直接访问DMZ,如果DNS为内部DNS,亦可以将其放置在LAN端,只解析内部地址,外部域名由内部DNS解析,更为安全。
