1、開發(fā)背景
現(xiàn)代化的企事業(yè)單位普遍需要一套功能強(qiáng)大、操作方便、而又節(jié)省資金的網(wǎng)絡(luò)架構(gòu)解決方案。然而隨著全球科技的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為網(wǎng)絡(luò)構(gòu)架中潛在的巨大問題。如何在保證網(wǎng)絡(luò)構(gòu)架本身效率的同時(shí),保護(hù)網(wǎng)絡(luò)系統(tǒng)中硬件、軟件及系統(tǒng)中的數(shù)據(jù)不因偶然或者惡意的原因而遭到破壞、更改、泄露,并保持系統(tǒng)了連續(xù)可靠性的運(yùn)行是設(shè)計(jì)該方案首先需要解決的問題。
選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品、制定靈活的網(wǎng)絡(luò)安全策略、在保證信息安全的情況下,提供適當(dāng)?shù)陌踩w系和管理計(jì)劃、有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響,并降低管理費(fèi)用成為計(jì)算機(jī)網(wǎng)絡(luò)模塊的一個(gè)重要課題。
2、系統(tǒng)簡介
本文所設(shè)計(jì)的解決方案是基于Vyatta路由器與VMware虛擬化栩結(jié)合的網(wǎng)絡(luò)模塊設(shè)計(jì),使用先進(jìn)的技術(shù)研究,從網(wǎng)絡(luò)層次考慮而設(shè)計(jì)的支持個(gè)級別用戶以及用戶群的安全網(wǎng)絡(luò)。該方案功能強(qiáng)大,操作方便,能夠在低成本消耗的情況下滿足各級別用戶的需求,并在該基礎(chǔ)上保證網(wǎng)絡(luò)的安全性。
本系統(tǒng)使用Vyatta(一款基于使用可擴(kuò)展開放路由平臺(tái)(XORP)開發(fā)的代碼)和VMware作為基礎(chǔ),通過將修改的Linux操作系統(tǒng)與XORP結(jié)合在一起,從而實(shí)現(xiàn)個(gè)級別用戶之間信息收集與處理,與虛機(jī)服務(wù)器數(shù)據(jù)資源的流動(dòng)和共享。另外,該設(shè)計(jì)方案還致力于保證網(wǎng)絡(luò)模塊的安全性,最大限度地防范以及在降低受到侵?jǐn)_后的損失。
3、設(shè)計(jì)目標(biāo)
1)參考利用先進(jìn)的計(jì)算機(jī)信息技術(shù),以中小型企業(yè)為服務(wù)對象,設(shè)計(jì)實(shí)現(xiàn)適應(yīng)于市場經(jīng)濟(jì)環(huán)境,方便分配企業(yè)資源和優(yōu)化配置,全面提高企業(yè)的行政執(zhí)行效率以及改善管理模式的安全網(wǎng)絡(luò)解決方案。
2)基于Intranet/Internet模式,制定合理的安全策略以及全面的安全方案來確保網(wǎng)絡(luò)系統(tǒng)的可用性、機(jī)密性、與完整性。在滿足用戶通話保密性,確保數(shù)據(jù)庫安全控制以及自動(dòng)備份的網(wǎng)絡(luò)控制的同時(shí)達(dá)到各部門以及控制中心之間的高效可靠信息共享。
3)根據(jù)企業(yè)需要,提高全面信息收集處理效率并保持網(wǎng)絡(luò)協(xié)議和傳輸?shù)耐该餍,使修改設(shè)計(jì)方案易于操作維護(hù),便于自動(dòng)化管理,便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展,方便企業(yè)內(nèi)外部之間的信息交換以及對所存在問題及時(shí)作出反饋和改進(jìn)。
4)采用Vyatta路由以及VMware虛擬化相結(jié)合的各項(xiàng)安全策略,如:防火墻技術(shù),NAT技術(shù),vPN,網(wǎng)絡(luò)加密技術(shù),防病毒系統(tǒng),身份認(rèn)證等,對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評估,保證信息系統(tǒng)在最優(yōu)狀況下運(yùn)行,以此滿足企事業(yè)單位對網(wǎng)絡(luò)構(gòu)架新需求。
5)在保證網(wǎng)絡(luò)信息傳輸、維護(hù)效率的同時(shí),降低對設(shè)備的依賴、減少不必要的成本費(fèi)用,使企業(yè)能在激烈的競爭中保持優(yōu)勢,并有更多的資源投入到生產(chǎn)建設(shè)中。
4、網(wǎng)絡(luò)設(shè)計(jì)
4.1系統(tǒng)的劃分
基于拓展星形拓?fù)浣Y(jié)構(gòu),本系統(tǒng)可以分成五大模塊,分別是虛擬化服務(wù)器模塊、路由器模塊、安全模塊、無線模塊、拓展模塊。
4.2各分模塊介紹
4.2.1虛擬化服務(wù)器模塊
在本系統(tǒng)中,配置了三臺(tái)服務(wù)器,分別是文件服務(wù)器、打印機(jī)服務(wù)器、郵件服務(wù)器。有別于傳統(tǒng)網(wǎng)絡(luò)構(gòu)架需要三臺(tái)實(shí)體機(jī)器分別運(yùn)行三種不同服務(wù)器,本系統(tǒng)采用基于VMware vSphere虛擬化服務(wù)器的策略,應(yīng)用了虛擬化數(shù)據(jù)中心建立云網(wǎng)絡(luò)的最新解決方案見圖2。
如圖所示,三臺(tái)服務(wù)器分別被配置在同一個(gè)vSphere平臺(tái)上,每一臺(tái)服務(wù)器都有獨(dú)自分配的硬件資源和軟件,并且每一臺(tái)服務(wù)器之間可以共享數(shù)據(jù)。而這三臺(tái)服務(wù)器都建立在同一臺(tái)物理服務(wù)器(vStorage)上,vSphere平臺(tái)可以方便地備份虛擬服務(wù)器到不同的物理服務(wù)器上,從而防止意外情況導(dǎo)致的數(shù)據(jù)丟失。
另外,虛擬化服務(wù)器的優(yōu)勢還在于能方便地同時(shí)對多臺(tái)服務(wù)器進(jìn)行控制,并且能方便地對任何一臺(tái)服務(wù)器進(jìn)行硬件和軟件上的調(diào)配。支持遠(yuǎn)程操作也是虛擬化服務(wù)器的亮點(diǎn)之一。此外由于虛擬化服務(wù)器可以共享硬件資源和數(shù)據(jù)資源,這就把各個(gè)服務(wù)器有機(jī)地結(jié)合起來,共同運(yùn)作在vsphere平臺(tái)上。同時(shí),由于虛擬化服務(wù)器可以按照系統(tǒng)管理員的需求而手動(dòng)或自動(dòng)備份數(shù)據(jù),當(dāng)意外事故發(fā)生在某一物理主機(jī)時(shí),vSphere可以迅速地把工作平臺(tái)切換至另一無故障主機(jī),從而很快完成災(zāi)難恢復(fù)。最后,vSphere對于安全性的提升有著重要幫助,通過VMware vShield Zones服務(wù)和VMware VMsafe服務(wù),管理員可以方便地設(shè)置安全環(huán)境,保證虛擬層的正常運(yùn)作。
最后,由于考慮到同時(shí)對Windows和Linux客戶端的兼容性,因此在Linux服務(wù)器端配置Samba服務(wù),以保證兼容性。
4.2.2路由器模塊
本模塊是系統(tǒng)的核心組成部分,路由器模塊在整個(gè)系統(tǒng)中起到了核心樞紐的作用,它的一端連接外網(wǎng),另一端連接內(nèi)網(wǎng),任何在內(nèi)外網(wǎng)之間通信的數(shù)據(jù)都必須經(jīng)過此路由器模塊組成的網(wǎng)關(guān)。
在本系統(tǒng)中,路由器模塊的選取不同于通常采用如思科、華為等傳統(tǒng)以硬件為基礎(chǔ)的解決方案,本系統(tǒng)選取了一款開源免費(fèi)而又功能強(qiáng)大的新型的以軟件為基礎(chǔ)的產(chǎn)品Vyatta。
相比于傳統(tǒng)的以硬件為基礎(chǔ)的解決方案,新一代以Vyatta網(wǎng)絡(luò)操作系統(tǒng)為基礎(chǔ)的解決方案不再局限于特定硬件所限制的功能(例如傳統(tǒng)路由器通常不提供防火墻功能,需要單獨(dú)買防火墻硬件),而是把各種網(wǎng)絡(luò)管理功能集成到Vyatta網(wǎng)絡(luò)操作系統(tǒng)中,并通過定期的免費(fèi)升級來保持最新狀態(tài)。在硬件配置上,Vyatta是與與x86處理器無縫銜接,而傳統(tǒng)路由器往往需要采用公司特定的硬件設(shè)備。此外,新一代的路由器解決方案在軟件性能、虛擬機(jī)兼容性、管理API、云計(jì)算等諸多方面都有著獨(dú)特優(yōu)勢。
以下是本系統(tǒng)中Vyatta路由器的配置信息:
nat{
rule 1{
destination{
address 0.0.O.0/0
}
Outbound-interface eth0
protocol all
source{
address 192.168.1.0/24
}
type masquerade
)
rule 2{
destination{
address 10.80.131.59
port http
}
inbound-interface eth0
inside-address {
address 192.168.1.30
}
protocol tcp
source{
address 0.0.0.0/0
}
type destination
}
}
dhcp-server{
disabled false
dynamic-dns-update{
enable true
}
shared-network-name P00L1{
authoritative disable
subnet 192.168.1.0/24{
default-router 192.168.1.30
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name vyatta.local
lease 86400
Start 192.168.1.100 {
Stop 192.168.1.150
}
}
}
}
dns {
forwarding{
cache-size 150
listen-on eth0
listen-on eth1
name-senrer 8.8.8.8
name-server 8.8.4.4
}
}
以上代碼分別設(shè)置了靜態(tài)IP地址,DHCP服務(wù)器,IP偽裝,NAT,DNS。經(jīng)過以上的設(shè)置,路由器基本的功能已經(jīng)實(shí)現(xiàn)。
4.2.3安全模塊
一個(gè)系統(tǒng)的穩(wěn)定安全是保持系統(tǒng)穩(wěn)定持久運(yùn)行的必要條件。在安全模塊中,主要在路由器和虛擬化服務(wù)器端做了配置,已達(dá)到雙保險(xiǎn)。
在Vyatta路由器上,利用url-filtering的功能可以方便地配置已阻止客戶端訪問禁止的網(wǎng)站:
weBPRoxy {
cache-size 100
default-port 3128
listen-address 10.80.131.59 {
}
listen-address 192.168.1.30 {
}
url_filtering {
squidguard {
default-action allow
local-block-url example.com
log local-block-url-default
redirect-url http://192.168.1.30/cgi-bin/squidGuard-simple.cgi?targetclass=%t&url=%u
}
}
}
Vyatta還可以通過結(jié)合如Qos等配置,更細(xì)化監(jiān)控網(wǎng)絡(luò)流量,起到安全網(wǎng)絡(luò)的作用。除此之外,系統(tǒng)還在虛擬化服務(wù)器端也配置了安全信息。由于本系統(tǒng)采用Ubuntu作為服務(wù)器,因此采用Linux下開源免費(fèi)的ClamAV作為查殺病毒的工具。并采用UFW作為Ubuntu下的防火墻來具體針對某一服務(wù)器設(shè)置過濾條件。最后,在無線模塊中,通過對無線路由器的配置,進(jìn)一步鞏固無線方面的安全。
4.2.4無線模塊
除了提供有線的接入之外,本系統(tǒng)也提供了無線的接入點(diǎn)。在本系統(tǒng)中采用無線路由器,并通過設(shè)置Vyatta路由器使得有指定的一定數(shù)量的IP地址劃分為無線網(wǎng)絡(luò)的IP地址,并通過DHCP自動(dòng)分配給每一臺(tái)連入無線網(wǎng)絡(luò)的客戶端。同時(shí),通過無線接入點(diǎn)連入內(nèi)網(wǎng)的客戶端和通過有線接人點(diǎn)連入內(nèi)網(wǎng)的客戶端一致,都屬于系統(tǒng)內(nèi)網(wǎng)用戶,擁有訪問虛擬服務(wù)器的權(quán)限。
4.2.5拓展模塊
本系統(tǒng)的拓展模塊提供了一些附加的功能。例如VPN功能,通過對Vyatta路由器的配置開啟VPN服務(wù),這使得客戶可以直接利用外網(wǎng)通過VPN的方式,利用系統(tǒng)提供的VPN密鑰可以登錄系統(tǒng)內(nèi)部的虛擬服務(wù)器進(jìn)行管理或者資源獲取。配置如下:
ssh f
allow-root
port 22
protocol-Version v2
}
另外,為了更好地監(jiān)測與限定系統(tǒng)內(nèi)的流量情況,系統(tǒng)可以配置Qos服務(wù):
traffic-policy {
limiter LIMIT-MAIL {
class 10 {
bandwidth 1000kbit
burst 15k
descnption “Limit inbound mail traffic”
match MAIL-TRAFFIC {
ip {
destination {
port 25
)
}
}
prority 20
}
}
}
其余,比如VLAN等其他服務(wù),也同樣可以方便地在Vyatta路由器中進(jìn)行配置。
5、系統(tǒng)特點(diǎn)與技術(shù)特色
隨著企事業(yè)單位業(yè)務(wù)需求的不斷上升,這對安全可靠的網(wǎng)絡(luò)架構(gòu)提出了更高的要求。本系統(tǒng)不同于傳統(tǒng)的架構(gòu)設(shè)計(jì),在性能、價(jià)錢、穩(wěn)定可靠性、災(zāi)難恢復(fù)性,安全性、拓展性等多個(gè)方面都有著更好的表現(xiàn)。
性能上,在同等資金預(yù)算的條件下,本新型網(wǎng)絡(luò)架構(gòu)有著巨大的優(yōu)勢。這主要?dú)w因于本系統(tǒng)普遍采用開源免費(fèi)的產(chǎn)品,這使得資金可以用在購買性能更為強(qiáng)勁的服務(wù)器主機(jī)(用于VMware虛擬化服務(wù)器和Vyatta路由器)而不用花費(fèi)在功能單一不方便拓展的特殊種類機(jī)器,如硬件路由器上。從而使得性能得到了更大的提升。
價(jià)錢上,與傳統(tǒng)解決方案對比,在保證相同運(yùn)行效率的前提下,與上述道理相同,資金預(yù)算可以比傳統(tǒng)解決方案減少相當(dāng)一部分金額。
其他方面,如穩(wěn)定可靠性、災(zāi)難恢復(fù)性、安全性、拓展性等諸多方面,由于采用先進(jìn)的路由技術(shù)和虛擬化技術(shù),從而保證了系統(tǒng)的穩(wěn)定可靠,系統(tǒng)的迅速災(zāi)難恢復(fù)、及安全保障和方便拓展。
6、結(jié)束語
隨著時(shí)代的發(fā)展進(jìn)步,新一代的技術(shù)的出現(xiàn),提供的新一代的解決方案使得企事業(yè)單位更方便也更節(jié)省資金地架構(gòu)更穩(wěn)定而強(qiáng)大的系統(tǒng)。在這其中,開源技術(shù)起到了重要的作用。在以往情況下,開源技術(shù)往往應(yīng)用在軟件的領(lǐng)域內(nèi),而如今開源技術(shù)進(jìn)一步發(fā)展,逐漸在硬件領(lǐng)域內(nèi)嶄露頭角。大量的實(shí)例表明,先進(jìn)的技術(shù)對一個(gè)單位的發(fā)展與繁榮都有著不可估量的作用,在本文中介紹的一種新型安全網(wǎng)絡(luò)解決方案,希望能給新一代的安全網(wǎng)絡(luò)系統(tǒng)架構(gòu)的設(shè)計(jì)者帶來一些啟發(fā)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于Vyatta路由器與VMware虛擬化的安全網(wǎng)絡(luò)解決方案
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954512.html