1、開發(fā)背景
現(xiàn)代化的企事業(yè)單位普遍需要一套功能強大、操作方便、而又節(jié)省資金的網(wǎng)絡(luò)架構(gòu)解決方案。然而隨著全球科技的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為網(wǎng)絡(luò)構(gòu)架中潛在的巨大問題。如何在保證網(wǎng)絡(luò)構(gòu)架本身效率的同時,保護網(wǎng)絡(luò)系統(tǒng)中硬件、軟件及系統(tǒng)中的數(shù)據(jù)不因偶然或者惡意的原因而遭到破壞、更改、泄露,并保持系統(tǒng)了連續(xù)可靠性的運行是設(shè)計該方案首先需要解決的問題。
選擇適當?shù)募夹g(shù)和產(chǎn)品、制定靈活的網(wǎng)絡(luò)安全策略、在保證信息安全的情況下,提供適當?shù)陌踩w系和管理計劃、有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響,并降低管理費用成為計算機網(wǎng)絡(luò)模塊的一個重要課題。
2、系統(tǒng)簡介
本文所設(shè)計的解決方案是基于Vyatta路由器與VMware虛擬化栩結(jié)合的網(wǎng)絡(luò)模塊設(shè)計,使用先進的技術(shù)研究,從網(wǎng)絡(luò)層次考慮而設(shè)計的支持個級別用戶以及用戶群的安全網(wǎng)絡(luò)。該方案功能強大,操作方便,能夠在低成本消耗的情況下滿足各級別用戶的需求,并在該基礎(chǔ)上保證網(wǎng)絡(luò)的安全性。
本系統(tǒng)使用Vyatta(一款基于使用可擴展開放路由平臺(XORP)開發(fā)的代碼)和VMware作為基礎(chǔ),通過將修改的Linux操作系統(tǒng)與XORP結(jié)合在一起,從而實現(xiàn)個級別用戶之間信息收集與處理,與虛機服務(wù)器數(shù)據(jù)資源的流動和共享。另外,該設(shè)計方案還致力于保證網(wǎng)絡(luò)模塊的安全性,最大限度地防范以及在降低受到侵擾后的損失。
3、設(shè)計目標
1)參考利用先進的計算機信息技術(shù),以中小型企業(yè)為服務(wù)對象,設(shè)計實現(xiàn)適應(yīng)于市場經(jīng)濟環(huán)境,方便分配企業(yè)資源和優(yōu)化配置,全面提高企業(yè)的行政執(zhí)行效率以及改善管理模式的安全網(wǎng)絡(luò)解決方案。
2)基于Intranet/Internet模式,制定合理的安全策略以及全面的安全方案來確保網(wǎng)絡(luò)系統(tǒng)的可用性、機密性、與完整性。在滿足用戶通話保密性,確保數(shù)據(jù)庫安全控制以及自動備份的網(wǎng)絡(luò)控制的同時達到各部門以及控制中心之間的高效可靠信息共享。
3)根據(jù)企業(yè)需要,提高全面信息收集處理效率并保持網(wǎng)絡(luò)協(xié)議和傳輸?shù)耐该餍裕剐薷脑O(shè)計方案易于操作維護,便于自動化管理,便于系統(tǒng)及系統(tǒng)功能的擴展,方便企業(yè)內(nèi)外部之間的信息交換以及對所存在問題及時作出反饋和改進。
4)采用Vyatta路由以及VMware虛擬化相結(jié)合的各項安全策略,如:防火墻技術(shù),NAT技術(shù),vPN,網(wǎng)絡(luò)加密技術(shù),防病毒系統(tǒng),身份認證等,對重要網(wǎng)絡(luò)設(shè)備進行風險評估,保證信息系統(tǒng)在最優(yōu)狀況下運行,以此滿足企事業(yè)單位對網(wǎng)絡(luò)構(gòu)架新需求。
5)在保證網(wǎng)絡(luò)信息傳輸、維護效率的同時,降低對設(shè)備的依賴、減少不必要的成本費用,使企業(yè)能在激烈的競爭中保持優(yōu)勢,并有更多的資源投入到生產(chǎn)建設(shè)中。
4、網(wǎng)絡(luò)設(shè)計
4.1系統(tǒng)的劃分
基于拓展星形拓撲結(jié)構(gòu),本系統(tǒng)可以分成五大模塊,分別是虛擬化服務(wù)器模塊、路由器模塊、安全模塊、無線模塊、拓展模塊。
4.2各分模塊介紹
4.2.1虛擬化服務(wù)器模塊
在本系統(tǒng)中,配置了三臺服務(wù)器,分別是文件服務(wù)器、打印機服務(wù)器、郵件服務(wù)器。有別于傳統(tǒng)網(wǎng)絡(luò)構(gòu)架需要三臺實體機器分別運行三種不同服務(wù)器,本系統(tǒng)采用基于VMware vSphere虛擬化服務(wù)器的策略,應(yīng)用了虛擬化數(shù)據(jù)中心建立云網(wǎng)絡(luò)的最新解決方案見圖2。
如圖所示,三臺服務(wù)器分別被配置在同一個vSphere平臺上,每一臺服務(wù)器都有獨自分配的硬件資源和軟件,并且每一臺服務(wù)器之間可以共享數(shù)據(jù)。而這三臺服務(wù)器都建立在同一臺物理服務(wù)器(vStorage)上,vSphere平臺可以方便地備份虛擬服務(wù)器到不同的物理服務(wù)器上,從而防止意外情況導致的數(shù)據(jù)丟失。
另外,虛擬化服務(wù)器的優(yōu)勢還在于能方便地同時對多臺服務(wù)器進行控制,并且能方便地對任何一臺服務(wù)器進行硬件和軟件上的調(diào)配。支持遠程操作也是虛擬化服務(wù)器的亮點之一。此外由于虛擬化服務(wù)器可以共享硬件資源和數(shù)據(jù)資源,這就把各個服務(wù)器有機地結(jié)合起來,共同運作在vsphere平臺上。同時,由于虛擬化服務(wù)器可以按照系統(tǒng)管理員的需求而手動或自動備份數(shù)據(jù),當意外事故發(fā)生在某一物理主機時,vSphere可以迅速地把工作平臺切換至另一無故障主機,從而很快完成災難恢復。最后,vSphere對于安全性的提升有著重要幫助,通過VMware vShield Zones服務(wù)和VMware VMsafe服務(wù),管理員可以方便地設(shè)置安全環(huán)境,保證虛擬層的正常運作。
最后,由于考慮到同時對Windows和Linux客戶端的兼容性,因此在Linux服務(wù)器端配置Samba服務(wù),以保證兼容性。
4.2.2路由器模塊
本模塊是系統(tǒng)的核心組成部分,路由器模塊在整個系統(tǒng)中起到了核心樞紐的作用,它的一端連接外網(wǎng),另一端連接內(nèi)網(wǎng),任何在內(nèi)外網(wǎng)之間通信的數(shù)據(jù)都必須經(jīng)過此路由器模塊組成的網(wǎng)關(guān)。
在本系統(tǒng)中,路由器模塊的選取不同于通常采用如思科、華為等傳統(tǒng)以硬件為基礎(chǔ)的解決方案,本系統(tǒng)選取了一款開源免費而又功能強大的新型的以軟件為基礎(chǔ)的產(chǎn)品Vyatta。
相比于傳統(tǒng)的以硬件為基礎(chǔ)的解決方案,新一代以Vyatta網(wǎng)絡(luò)操作系統(tǒng)為基礎(chǔ)的解決方案不再局限于特定硬件所限制的功能(例如傳統(tǒng)路由器通常不提供防火墻功能,需要單獨買防火墻硬件),而是把各種網(wǎng)絡(luò)管理功能集成到Vyatta網(wǎng)絡(luò)操作系統(tǒng)中,并通過定期的免費升級來保持最新狀態(tài)。在硬件配置上,Vyatta是與與x86處理器無縫銜接,而傳統(tǒng)路由器往往需要采用公司特定的硬件設(shè)備。此外,新一代的路由器解決方案在軟件性能、虛擬機兼容性、管理API、云計算等諸多方面都有著獨特優(yōu)勢。
以下是本系統(tǒng)中Vyatta路由器的配置信息:
nat{
rule 1{
destination{
address 0.0.O.0/0
}
Outbound-interface eth0
protocol all
source{
address 192.168.1.0/24
}
type masquerade
)
rule 2{
destination{
address 10.80.131.59
port http
}
inbound-interface eth0
inside-address {
address 192.168.1.30
}
protocol tcp
source{
address 0.0.0.0/0
}
type destination
}
}
dhcp-server{
disabled false
dynamic-dns-update{
enable true
}
shared-network-name P00L1{
authoritative disable
subnet 192.168.1.0/24{
default-router 192.168.1.30
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name vyatta.local
lease 86400
Start 192.168.1.100 {
Stop 192.168.1.150
}
}
}
}
dns {
forwarding{
cache-size 150
listen-on eth0
listen-on eth1
name-senrer 8.8.8.8
name-server 8.8.4.4
}
}
以上代碼分別設(shè)置了靜態(tài)IP地址,DHCP服務(wù)器,IP偽裝,NAT,DNS。經(jīng)過以上的設(shè)置,路由器基本的功能已經(jīng)實現(xiàn)。
4.2.3安全模塊
一個系統(tǒng)的穩(wěn)定安全是保持系統(tǒng)穩(wěn)定持久運行的必要條件。在安全模塊中,主要在路由器和虛擬化服務(wù)器端做了配置,已達到雙保險。
在Vyatta路由器上,利用url-filtering的功能可以方便地配置已阻止客戶端訪問禁止的網(wǎng)站:
weBPRoxy {
cache-size 100
default-port 3128
listen-address 10.80.131.59 {
}
listen-address 192.168.1.30 {
}
url_filtering {
squidguard {
default-action allow
local-block-url example.com
log local-block-url-default
redirect-url http://192.168.1.30/cgi-bin/squidGuard-simple.cgi?targetclass=%t&url=%u
}
}
}
Vyatta還可以通過結(jié)合如Qos等配置,更細化監(jiān)控網(wǎng)絡(luò)流量,起到安全網(wǎng)絡(luò)的作用。除此之外,系統(tǒng)還在虛擬化服務(wù)器端也配置了安全信息。由于本系統(tǒng)采用Ubuntu作為服務(wù)器,因此采用Linux下開源免費的ClamAV作為查殺病毒的工具。并采用UFW作為Ubuntu下的防火墻來具體針對某一服務(wù)器設(shè)置過濾條件。最后,在無線模塊中,通過對無線路由器的配置,進一步鞏固無線方面的安全。
4.2.4無線模塊
除了提供有線的接入之外,本系統(tǒng)也提供了無線的接入點。在本系統(tǒng)中采用無線路由器,并通過設(shè)置Vyatta路由器使得有指定的一定數(shù)量的IP地址劃分為無線網(wǎng)絡(luò)的IP地址,并通過DHCP自動分配給每一臺連入無線網(wǎng)絡(luò)的客戶端。同時,通過無線接入點連入內(nèi)網(wǎng)的客戶端和通過有線接人點連入內(nèi)網(wǎng)的客戶端一致,都屬于系統(tǒng)內(nèi)網(wǎng)用戶,擁有訪問虛擬服務(wù)器的權(quán)限。
4.2.5拓展模塊
本系統(tǒng)的拓展模塊提供了一些附加的功能。例如VPN功能,通過對Vyatta路由器的配置開啟VPN服務(wù),這使得客戶可以直接利用外網(wǎng)通過VPN的方式,利用系統(tǒng)提供的VPN密鑰可以登錄系統(tǒng)內(nèi)部的虛擬服務(wù)器進行管理或者資源獲取。配置如下:
ssh f
allow-root
port 22
protocol-Version v2
}
另外,為了更好地監(jiān)測與限定系統(tǒng)內(nèi)的流量情況,系統(tǒng)可以配置Qos服務(wù):
traffic-policy {
limiter LIMIT-MAIL {
class 10 {
bandwidth 1000kbit
burst 15k
descnption “Limit inbound mail traffic”
match MAIL-TRAFFIC {
ip {
destination {
port 25
)
}
}
prority 20
}
}
}
其余,比如VLAN等其他服務(wù),也同樣可以方便地在Vyatta路由器中進行配置。
5、系統(tǒng)特點與技術(shù)特色
隨著企事業(yè)單位業(yè)務(wù)需求的不斷上升,這對安全可靠的網(wǎng)絡(luò)架構(gòu)提出了更高的要求。本系統(tǒng)不同于傳統(tǒng)的架構(gòu)設(shè)計,在性能、價錢、穩(wěn)定可靠性、災難恢復性,安全性、拓展性等多個方面都有著更好的表現(xiàn)。
性能上,在同等資金預算的條件下,本新型網(wǎng)絡(luò)架構(gòu)有著巨大的優(yōu)勢。這主要歸因于本系統(tǒng)普遍采用開源免費的產(chǎn)品,這使得資金可以用在購買性能更為強勁的服務(wù)器主機(用于VMware虛擬化服務(wù)器和Vyatta路由器)而不用花費在功能單一不方便拓展的特殊種類機器,如硬件路由器上。從而使得性能得到了更大的提升。
價錢上,與傳統(tǒng)解決方案對比,在保證相同運行效率的前提下,與上述道理相同,資金預算可以比傳統(tǒng)解決方案減少相當一部分金額。
其他方面,如穩(wěn)定可靠性、災難恢復性、安全性、拓展性等諸多方面,由于采用先進的路由技術(shù)和虛擬化技術(shù),從而保證了系統(tǒng)的穩(wěn)定可靠,系統(tǒng)的迅速災難恢復、及安全保障和方便拓展。
6、結(jié)束語
隨著時代的發(fā)展進步,新一代的技術(shù)的出現(xiàn),提供的新一代的解決方案使得企事業(yè)單位更方便也更節(jié)省資金地架構(gòu)更穩(wěn)定而強大的系統(tǒng)。在這其中,開源技術(shù)起到了重要的作用。在以往情況下,開源技術(shù)往往應(yīng)用在軟件的領(lǐng)域內(nèi),而如今開源技術(shù)進一步發(fā)展,逐漸在硬件領(lǐng)域內(nèi)嶄露頭角。大量的實例表明,先進的技術(shù)對一個單位的發(fā)展與繁榮都有著不可估量的作用,在本文中介紹的一種新型安全網(wǎng)絡(luò)解決方案,希望能給新一代的安全網(wǎng)絡(luò)系統(tǒng)架構(gòu)的設(shè)計者帶來一些啟發(fā)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:基于Vyatta路由器與VMware虛擬化的安全網(wǎng)絡(luò)解決方案
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083954512.html