1、企业级智能化 Internet 访问解决方案摘 要:建立一套适用于企业的智能化 Internet 访问解决方案,方案包括:(1)双 ISP 链路负载均衡方案;(2)Internet 流量智能监控;(3)智能网页过滤方案。应用整体 Internet 访问解决方案使得企业网络访问速度提升明显,内部病毒和木马程序大为减少,网络环境得到了极大的净化,网络应用水平获得极大的提升。 关键词:负载均衡 流量监控 Websense 随着互联网的不断发展,企业内部的 Internet 访问量呈不断上升趋势,目前已经具备一条电信出口链路和一条联通出口链路。企业自行摸索建立了一套适用于企业的智能化 Internet
2、 访问解决方案,方案主要亮点是 1、有效利用双 ISP 链路,合理负载均衡网络出口,同时做到网络出口出现故障时及时翻转流量。2、更好的利用带宽,在更深层次,更小的力度上保证合法访问的流量带宽,同时限制其他非法访问流量。 一、双 ISP 链路负载均衡解决方案 要做到双 ISP 负载均衡,不能简单的指定内部不同用户使用不同出口,必须能够找到可行的智能化选路方案,让用户在访问电信网站时使用电信链路,访问联通网站时使用联通链路。 链路负载均衡完美的实现方式是使用一台高端的路由设备,通过 ISP的 BGP 路由器将目前已经获知的所有 Internet 上 25 万条聚合路由条目通告给这台路由器,根据不同
3、的路由条目下一条指向, 通还是电信链路。目前市场上的高端流量负载均衡设备也可以做到完美的 Internet 流量负载均衡。但是这些解决方案的缺点是设备投资高,而且需要 Internet 运营商支持和配合,可能会产生巨额的费用。 这样做的结果是,如果用户访问网站的域名经 DNS 解析后落在这 259条聚合路由条目的范围内,其访问路径会智能化的从联通接口进入Internet,网站的回复报文自然会从联通链路返回到用户端;当用户访问的 IP 地址不在联通的聚合路由中时,流量会经由 preference 值为 1的默认路由条目,从电信链路转发;当电信或联通链路有一条中断时,流量会从指向另一条链路的默认路
4、由转发。如此一来便实现了智能化的ISP 流量负责分担。 实际应用中可能还涉及到网络地址转换的具体配置,在此不作详述。二、Internet 智能流量监控 Internet 流量监控设计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观上或客观上都能防止网络用户的不良行为导致网络性能和安全性受到负面影响。 传统的防火墙只能针对四层会话信息对报文进行过滤和筛查,如果遇到像 Bittorrent 这样使用随机端口,且报文头部信息加密的数据报文是无法进行识别的,更谈不上监管和限制了。 我们在网络流量检测和带宽控制方面,应用以色列 Allot 公司
5、的 NetEnforcer 串接在防火墙与核心三层交换机之间。Allot NetEnforcer具备智能化的旁路功能,能够在断电或失效故障的情况下自动旁路,确保了不因为主干链路添加设备而增加故障点。 NetEnforcer 的基本策略制定思路是:将系统数据库预定义的和用户自定义的各种数据流分类,然后放入各自的虚拟管道(virtual pipes)中,根据用户指定的策略对各种数据流加以区别,分别分配不同的带宽。同时系统还能够根据这些不同分类方法统计出用户链路上的数据流统计信息。现在流行的 BT,edonkey 和迅雷等浪费网络带宽的下载都可以得到有效的防范。 三、智能网页过滤解决方案 在网页过滤
6、方面,企业应用 Websense 内容过滤解决方案和Netscreen 防火墙的联动功能,所有外部访问都要经过庞大且完备的Websense 数据库的筛查,杜绝了内网用户访问恶意网站的唯一途径。 举例来说,用户在浏览器中输入 ,站点的域名首先进行 DNS 解析,获得站点 ip 地址后发起三次握手过程建立 TCP 连接,之后会发起一个 Get/http 动作。这时防火墙会智能化的扫描这个动作,然后在报文中找到“host: url 名送至 websense 进行查找。如果这个域名在放行列表中,则报文被转发;如果用户需要访问网站的 url 在 websense 的禁止列表当中(默认的禁止列表囊括了当今
7、数百万条 url 域名中所有的成人内容、裸体、性、滥用药物、MP3、赌博、游戏、黑客、非法的或有问题的、好战性和极端主义、代理服务器避免(Proxy Avoidance) 、URL 翻译网站、Web 聊天、未分类的、种族主义和仇恨、不雅观的、暴力和武器类别的网站,同时用户还可以根据自身需求自定义一些禁止访问的网站列表。 ) ,Websense 服务器会通知防火墙丢弃这个报文,这样用户将无法访问这个站点。用户的非法访问将被重新定向到一个提示网页,告知用户访问非法。 网页过滤的目的在于保护用户访问不良网站,净化网络环境,减少由外往带入的不良信息、恶意软件、以及病毒和木马程序。 四、结束语 通过上文三种手段,企业有效地利用了 Internet 带宽,平衡了不同ISP 的链路流量,同时杜绝了内部用户对于非法外部网站的访问。应用整体 Internet 访问解决方案使得企业网络访问速度提升明显,内部病毒和木马程序大为减少,网络环境得到了极大的净化,网络应用水平获得极大的提升。 参考文献: 1Juniper Netscreen 防火墙说明书,2007. 2蔡建新.Cisco CCNP 网络工程师.北京:清华大学出版社,2005 作者简介:庞亚宾,中级职称,硕士,主研领域:计算机网络,信息安全;赵磊,中级职称,硕士,主研领域:计算机网络,信息安全
