1、開發(fā)背景

　　現(xiàn)代化的企事業(yè)單位普遍需要一套功能強大、操作方便、而又節(jié)省資金的網(wǎng)絡(luò)架構(gòu)解決方案。然而隨著全球科技的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為網(wǎng)絡(luò)構(gòu)架中潛在的巨大問題。如何在保證網(wǎng)絡(luò)構(gòu)架本身效率的同時，保護網(wǎng)絡(luò)系統(tǒng)中硬件、軟件及系統(tǒng)中的數(shù)據(jù)不因偶然或者惡意的原因而遭到破壞、更改、泄露，并保持系統(tǒng)了連續(xù)可靠性的運行是設(shè)計該方案首先需要解決的問題。

　　選擇適當?shù)募夹g(shù)和產(chǎn)品、制定靈活的網(wǎng)絡(luò)安全策略、在保證信息安全的情況下，提供適當?shù)陌踩�體系和管理計劃、有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響，并降低管理費用成為計算機網(wǎng)絡(luò)模塊的一個重要課題。

　　2、系統(tǒng)簡介

　　本文所設(shè)計的解決方案是基于Vyatta路由器與VMware虛擬化栩結(jié)合的網(wǎng)絡(luò)模塊設(shè)計，使用先進的技術(shù)研究，從網(wǎng)絡(luò)層次考慮而設(shè)計的支持個級別用戶以及用戶群的安全網(wǎng)絡(luò)。該方案功能強大，操作方便，能夠在低成本消耗的情況下滿足各級別用戶的需求，并在該基礎(chǔ)上保證網(wǎng)絡(luò)的安全性。

　　本系統(tǒng)使用Vyatta(一款基于使用可擴展開放路由平臺(XORP)開發(fā)的代碼)和VMware作為基礎(chǔ)，通過將修改的Linux操作系統(tǒng)與XORP結(jié)合在一起，從而實現(xiàn)個級別用戶之間信息收集與處理，與虛機服務(wù)器數(shù)據(jù)資源的流動和共享。另外，該設(shè)計方案還致力于保證網(wǎng)絡(luò)模塊的安全性，最大限度地防范以及在降低受到侵擾后的損失。

　　3、設(shè)計目標

　　1)參考利用先進的計算機信息技術(shù)，以中小型企業(yè)為服務(wù)對象，設(shè)計實現(xiàn)適應(yīng)于市場經(jīng)濟環(huán)境，方便分配企業(yè)資源和優(yōu)化配置，全面提高企業(yè)的行政執(zhí)行效率以及改善管理模式的安全網(wǎng)絡(luò)解決方案。

　　2)基于Intranet/Internet模式，制定合理的安全策略以及全面的安全方案來確保網(wǎng)絡(luò)系統(tǒng)的可用性、機密性、與完整性。在滿足用戶通話保密性，確保數(shù)據(jù)庫安全控制以及自動備份的網(wǎng)絡(luò)控制的同時達到各部門以及控制中心之間的高效可靠信息共享。

　　3)根據(jù)企業(yè)需要，提高全面信息收集處理效率并保持網(wǎng)絡(luò)協(xié)議和傳輸?shù)耐该餍裕�使修改設(shè)計方案易于操作維護，便于自動化管理，便于系統(tǒng)及系統(tǒng)功能的擴展，方便企業(yè)內(nèi)外部之間的信息交換以及對所存在問題及時作出反饋和改進。

　　4)采用Vyatta路由以及VMware虛擬化相結(jié)合的各項安全策略，如：防火墻技術(shù)，NAT技術(shù)，vPN，網(wǎng)絡(luò)加密技術(shù)，防病毒系統(tǒng)，身份認證等，對重要網(wǎng)絡(luò)設(shè)備進行風險評估，保證信息系統(tǒng)在最優(yōu)狀況下運行，以此滿足企事業(yè)單位對網(wǎng)絡(luò)構(gòu)架新需求。

　　5)在保證網(wǎng)絡(luò)信息傳輸、維護效率的同時，降低對設(shè)備的依賴、減少不必要的成本費用，使企業(yè)能在激烈的競爭中保持優(yōu)勢，并有更多的資源投入到生產(chǎn)建設(shè)中。
 

　　4、網(wǎng)絡(luò)設(shè)計

　　4.1系統(tǒng)的劃分

　　基于拓展星形拓撲結(jié)構(gòu)，本系統(tǒng)可以分成五大模塊，分別是虛擬化服務(wù)器模塊、路由器模塊、安全模塊、無線模塊、拓展模塊。

　　4.2各分模塊介紹

　　4.2.1虛擬化服務(wù)器模塊

　　在本系統(tǒng)中，配置了三臺服務(wù)器，分別是文件服務(wù)器、打印機服務(wù)器、郵件服務(wù)器。有別于傳統(tǒng)網(wǎng)絡(luò)構(gòu)架需要三臺實體機器分別運行三種不同服務(wù)器，本系統(tǒng)采用基于VMware vSphere虛擬化服務(wù)器的策略，應(yīng)用了虛擬化數(shù)據(jù)中心建立云網(wǎng)絡(luò)的最新解決方案見圖2。
 

　　如圖所示，三臺服務(wù)器分別被配置在同一個vSphere平臺上，每一臺服務(wù)器都有獨自分配的硬件資源和軟件，并且每一臺服務(wù)器之間可以共享數(shù)據(jù)。而這三臺服務(wù)器都建立在同一臺物理服務(wù)器(vStorage)上，vSphere平臺可以方便地備份虛擬服務(wù)器到不同的物理服務(wù)器上，從而防止意外情況導致的數(shù)據(jù)丟失。

　　另外，虛擬化服務(wù)器的優(yōu)勢還在于能方便地同時對多臺服務(wù)器進行控制，并且能方便地對任何一臺服務(wù)器進行硬件和軟件上的調(diào)配。支持遠程操作也是虛擬化服務(wù)器的亮點之一。此外由于虛擬化服務(wù)器可以共享硬件資源和數(shù)據(jù)資源，這就把各個服務(wù)器有機地結(jié)合起來，共同運作在vsphere平臺上。同時，由于虛擬化服務(wù)器可以按照系統(tǒng)管理員的需求而手動或自動備份數(shù)據(jù)，當意外事故發(fā)生在某一物理主機時，vSphere可以迅速地把工作平臺切換至另一無故障主機，從而很快完成災難恢復。最后，vSphere對于安全性的提升有著重要幫助，通過VMware vShield Zones服務(wù)和VMware VMsafe服務(wù)，管理員可以方便地設(shè)置安全環(huán)境，保證虛擬層的正常運作。

　　最后，由于考慮到同時對Windows和Linux客戶端的兼容性，因此在Linux服務(wù)器端配置Samba服務(wù)，以保證兼容性。
 

　　4.2.2路由器模塊

　　本模塊是系統(tǒng)的核心組成部分，路由器模塊在整個系統(tǒng)中起到了核心樞紐的作用，它的一端連接外網(wǎng)，另一端連接內(nèi)網(wǎng)，任何在內(nèi)外網(wǎng)之間通信的數(shù)據(jù)都必須經(jīng)過此路由器模塊組成的網(wǎng)關(guān)。

　　在本系統(tǒng)中，路由器模塊的選取不同于通常采用如思科、華為等傳統(tǒng)以硬件為基礎(chǔ)的解決方案，本系統(tǒng)選取了一款開源免費而又功能強大的新型的以軟件為基礎(chǔ)的產(chǎn)品Vyatta。

　　相比于傳統(tǒng)的以硬件為基礎(chǔ)的解決方案，新一代以Vyatta網(wǎng)絡(luò)操作系統(tǒng)為基礎(chǔ)的解決方案不再局限于特定硬件所限制的功能(例如傳統(tǒng)路由器通常不提供防火墻功能，需要單獨買防火墻硬件)，而是把各種網(wǎng)絡(luò)管理功能集成到Vyatta網(wǎng)絡(luò)操作系統(tǒng)中，并通過定期的免費升級來保持最新狀態(tài)。在硬件配置上，Vyatta是與與x86處理器無縫銜接，而傳統(tǒng)路由器往往需要采用公司特定的硬件設(shè)備。此外，新一代的路由器解決方案在軟件性能、虛擬機兼容性、管理API、云計算等諸多方面都有著獨特優(yōu)勢。

　　以下是本系統(tǒng)中Vyatta路由器的配置信息：

　　nat{

　　rule 1{

　　destination{

　　address 0.0.O.0/0

　　}

　　Outbound-interface eth0

　　protocol all

　　source{

　　address 192.168.1.0/24

　　}

　　type masquerade

　　)

　　rule 2{

　　destination{

　　address 10.80.131.59

　　port http

　　}

　　inbound-interface eth0

　　inside-address {

　　address 192.168.1.30

　　}

　　protocol tcp

　　source{

　　address 0.0.0.0/0

　　}

　　type destination

　　}

　　}

　　dhcp-server{

　　disabled false

　　dynamic-dns-update{

　　enable true

　　}

　　shared-network-name P00L1{

　　authoritative disable

　　subnet 192.168.1.0/24{

　　default-router 192.168.1.30

　　dns-server 8.8.8.8

　　dns-server 8.8.4.4

　　domain-name vyatta.local

　　lease 86400

　　Start 192.168.1.100 {

　　Stop 192.168.1.150

　　}

　　}

　　}

　　}

　　dns {

　　forwarding{

　　cache-size 150

　　listen-on eth0

　　listen-on eth1

　　name-senrer 8.8.8.8

　　name-server 8.8.4.4

　　}

　　}

　　以上代碼分別設(shè)置了靜態(tài)IP地址，DHCP服務(wù)器，IP偽裝，NAT，DNS。經(jīng)過以上的設(shè)置，路由器基本的功能已經(jīng)實現(xiàn)。
 

　　4.2.3安全模塊

　　一個系統(tǒng)的穩(wěn)定安全是保持系統(tǒng)穩(wěn)定持久運行的必要條件。在安全模塊中，主要在路由器和虛擬化服務(wù)器端做了配置，已達到雙保險。

　　在Vyatta路由器上，利用url-filtering的功能可以方便地配置已阻止客戶端訪問禁止的網(wǎng)站：

　　weBPRoxy {

　　cache-size 100

　　default-port 3128

　  listen-address 10.80.131.59 {

　　}

　　listen-address 192.168.1.30 {

　　}

　　url_filtering {

　　squidguard {

　　default-action allow

　　local-block-url example.com

　　log local-block-url-default

　　redirect-url http://192.168.1.30/cgi-bin/squidGuard-simple.cgi?targetclass=%t&url=%u

　　}

　　}

　　}

　　Vyatta還可以通過結(jié)合如Qos等配置，更細化監(jiān)控網(wǎng)絡(luò)流量，起到安全網(wǎng)絡(luò)的作用。除此之外，系統(tǒng)還在虛擬化服務(wù)器端也配置了安全信息。由于本系統(tǒng)采用Ubuntu作為服務(wù)器，因此采用Linux下開源免費的ClamAV作為查殺病毒的工具。并采用UFW作為Ubuntu下的防火墻來具體針對某一服務(wù)器設(shè)置過濾條件。最后，在無線模塊中，通過對無線路由器的配置，進一步鞏固無線方面的安全。

　　4.2.4無線模塊

　　除了提供有線的接入之外，本系統(tǒng)也提供了無線的接入點。在本系統(tǒng)中采用無線路由器，并通過設(shè)置Vyatta路由器使得有指定的一定數(shù)量的IP地址劃分為無線網(wǎng)絡(luò)的IP地址，并通過DHCP自動分配給每一臺連入無線網(wǎng)絡(luò)的客戶端。同時，通過無線接入點連入內(nèi)網(wǎng)的客戶端和通過有線接人點連入內(nèi)網(wǎng)的客戶端一致，都屬于系統(tǒng)內(nèi)網(wǎng)用戶，擁有訪問虛擬服務(wù)器的權(quán)限。

　　4.2.5拓展模塊

　　本系統(tǒng)的拓展模塊提供了一些附加的功能。例如VPN功能，通過對Vyatta路由器的配置開啟VPN服務(wù)，這使得客戶可以直接利用外網(wǎng)通過VPN的方式，利用系統(tǒng)提供的VPN密鑰可以登錄系統(tǒng)內(nèi)部的虛擬服務(wù)器進行管理或者資源獲取。配置如下：

　　ssh f

　　allow-root

　　port 22

　　protocol-Version v2

　　}

　　另外，為了更好地監(jiān)測與限定系統(tǒng)內(nèi)的流量情況，系統(tǒng)可以配置Qos服務(wù)：

　　traffic-policy {

　　limiter LIMIT-MAIL {

　　class 10 {

　　bandwidth 1000kbit

　　burst 15k

　　descnption “Limit inbound mail traffic”

　　match MAIL-TRAFFIC {

　　ip {

　　destination {

　　port 25

　　)

　　}

　　}

　　prority 20

　　}

　　}

　　}

　　其余，比如VLAN等其他服務(wù)，也同樣可以方便地在Vyatta路由器中進行配置。

　　5、系統(tǒng)特點與技術(shù)特色

　　隨著企事業(yè)單位業(yè)務(wù)需求的不斷上升，這對安全可靠的網(wǎng)絡(luò)架構(gòu)提出了更高的要求。本系統(tǒng)不同于傳統(tǒng)的架構(gòu)設(shè)計，在性能、價錢、穩(wěn)定可靠性、災難恢復性，安全性、拓展性等多個方面都有著更好的表現(xiàn)。

　　性能上，在同等資金預算的條件下，本新型網(wǎng)絡(luò)架構(gòu)有著巨大的優(yōu)勢。這主要歸因于本系統(tǒng)普遍采用開源免費的產(chǎn)品，這使得資金可以用在購買性能更為強勁的服務(wù)器主機(用于VMware虛擬化服務(wù)器和Vyatta路由器)而不用花費在功能單一不方便拓展的特殊種類機器，如硬件路由器上。從而使得性能得到了更大的提升。

　　價錢上，與傳統(tǒng)解決方案對比，在保證相同運行效率的前提下，與上述道理相同，資金預算可以比傳統(tǒng)解決方案減少相當一部分金額。

　　其他方面，如穩(wěn)定可靠性、災難恢復性、安全性、拓展性等諸多方面，由于采用先進的路由技術(shù)和虛擬化技術(shù)，從而保證了系統(tǒng)的穩(wěn)定可靠，系統(tǒng)的迅速災難恢復、及安全保障和方便拓展。

　　6、結(jié)束語

　　隨著時代的發(fā)展進步，新一代的技術(shù)的出現(xiàn)，提供的新一代的解決方案使得企事業(yè)單位更方便也更節(jié)省資金地架構(gòu)更穩(wěn)定而強大的系統(tǒng)。在這其中，開源技術(shù)起到了重要的作用。在以往情況下，開源技術(shù)往往應(yīng)用在軟件的領(lǐng)域內(nèi)，而如今開源技術(shù)進一步發(fā)展，逐漸在硬件領(lǐng)域內(nèi)嶄露頭角。大量的實例表明，先進的技術(shù)對一個單位的發(fā)展與繁榮都有著不可估量的作用，在本文中介紹的一種新型安全網(wǎng)絡(luò)解決方案，希望能給新一代的安全網(wǎng)絡(luò)系統(tǒng)架構(gòu)的設(shè)計者帶來一些啟發(fā)。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：基于Vyatta路由器與VMware虛擬化的安全網(wǎng)絡(luò)解決方案

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083954512.html