清华紫光防火墙自1999年面世以来,在国内各行各业获得广泛应用。紫光防火墙系列产品的主要特点是配置管理简单明了,管理员易于掌握;同时在一台防火墙设备上集成了安全防范、访问控制、代理服务器、流量管理、计费、日志、缓存服务器、DNS服务器、VPN等多种功能,适于多种不同网络环境,具有非常好的性价比。依托清华紫光强大的研发、生产和市场销售服务能力,今年,清华紫光还将推出入侵检测软件和单芯片千兆级防火墙。
两年多来,清华紫光通过服务国内客户取得了一些经验。下面对两个典型的案例进行分析。
应用之一:证券公司营业部
企业接入Internet等公共网络,是防火墙应用最广泛的场合。在这种应用中,防火墙主要起到以下三个作用:首先是安全防范,防范来自外部网络的网络攻击;其次是地址转换,以有效地节约合法IP地址,同时也能隐蔽内部网络拓扑结构,防止部分网络攻击;还有就是边界控制,通过防火墙对内、外两个网络间的访问进行有序的控制。
某证券公司营业部的局域网需要利用防火墙进行安全防范。整个营业部局域网通过路由器连接DDN专线接入Internet,Web服务器直接与路由器局域网口连在一个交换机上,使用合法IP地址。一台业务前置机也连在这个交换机上。业务前置机与内部网中的一台业务通信机通过串行线连接。内部网所有用户要访问Internet必须通过代理服务器,代理服务器软件为WinGate和Sygate。代理服务器上装两片网卡,一片连接在外部的交换机上,另一片连在内部网的交换机上,同时代理服务器也兼作业务前置机。
为了增强整个营业部网络系统的安全系数,需要在整个网络系统中添加一台清华紫光的UF3500防火墙,防火墙以NAT(网络地址翻译)三端口模式运行,并对网络中相关设备,如路由器、服务器等进行必要的设置。将大户网吧和内部网(包括代理服务器)连接到防火墙的内部区;将Web服务器和前置业务机连接到防火墙的中立区;而防火墙的外部接口与路由器的局域网口相连。这样可以有效地保护内部网、大户网吧、Web服务区和前置业务机,同时保证所有业务的正常运行。系统架构如图1。
图1
整个系统改造前后只用了2个小时的时间,用户不需要对应用进行修改,而且对证券营业部的业务运行未造成任何影响。
应用之二:上海某宽带小区网络
在当前的宽带社区网络建设中,有几个问题非常突出:首先是网络管理问题,包括对网络设备的管理和对网络用户的管理;其次是网络安全,包括防御来自小区网络内部、外部的攻击以及防止病毒的传播;此外还有流量管理和网络计费等问题。
传统的宽带社区网络安全解决方案需要代理服务器、防火墙、带宽分配服务器和计费服务器等多种设备,这一系列设备都需要串接在小区网络和城域网的出口之间。对于这样一个宽带接入网络而言,代理服务器、防火墙和计费服务器都需要有很高的包通过率,否则就会成为整个宽带网络的瓶颈,但高性能的服务器群又会增加投资。
针对以上问题,清华紫光推出了基于清华紫光防火墙的“小区管家”综合解决方案。
图2
“小区管家”是在清华紫光UniSecure系列防火墙产品的基础上,整合了防火墙、代理服务器、流量管理服务器、管理计费服务器和社区网络管理服务器于一身的多功能设备。
通过使用“小区管家”,运营商获得了原来三台甚至更多台设备才能提供的功能,而费用却大大降低。清华紫光在1999年推出防火墙产品之初,就准确把握即将到来的宽带网络大潮,率先提出了“综合网关”的概念,在防火墙的基础上,增加网络内部访问控制和计费等功能,构成一台多功能的网关设备,可以更有效地防止内部滥用网络。
在上海某小区的宽带网络中,应用了“小区管家”。将设备放置在小区的中心机柜中,作为小区宽带用户到城域网之间的代理服务器使用,同时,还为运营商解决了以下问题:
1. 对小区平台进行远程维护
“小区管家”可以将小区对外和对内发布信息的服务器放置在防火墙的中立区,通过在防火墙中设置“外部-中立区”的访问策略,可以从远端对小区平台进行维护、升级。
2. 计费
目前,防火墙可以对进出防火墙的流量进行统计,统计的对象可以是单个用户或者一批用户。同时提供图形方式的流量统计。
由于目前宽带社区为了提高开通率,普遍采用包月制方式,现有的防火墙仍具有实用性。但是,在目前很多地方需要增加新的服务,如根据客户需要的设置费率对时间或流量进行计费和根据不同的服务种类进行计费这两项功能,清华紫光正在将数据库系统嵌入防火墙中,为用户提供多元化的选择。
3. 流量管理
防火墙可以为不同的用户和不同的服务制定不同的流量管理策略,在定义好源地址、终地址和服务类型后,一条通过策略即已经定义好。这时,管理员可以为这条通过策略定制流量策略,可以为优先保证的通过策略定义保证的带宽,也可以为一些通过策略定义最大带宽,还可以定义通过策略的优先级,提供了灵活的选择。
这样,业主方最担心的网络滥用问题就可以得到很好的解决。例如,在一个小区中,我们可以做如下定义:给到指定视频服务器的VOD服务分配最少1Mbps的带宽,而对到Internet上任何FTP站点的FTP访问则最多分配2Kbps的带宽。这样保证VOD服务的质量,同时防止一些用户滥用网络带宽下载某些巨型文件,影响其他用户的服务质量。
4. 日志审计
根据有关主管部门的要求,对宽带驻地网用户接入Internet,必需记录上网时间、用户IP地址、访问的站点IP地址,记录至少保存60天。
防火墙具有对指定的通过策略进行日志记录的功能,可以满足以上要求。防火墙硬盘空间有限,日志量达到限值会覆盖重写,可以在小区网络内部放置一台Linux主机,启动Linux操作系统的Syslog服务,在防火墙上设定这台Linux主机的IP地址,即可以在这台主机上同步防火墙的日志。
5. 远程管理和VPN
通过对防火墙进行设置,我们可以在Internet上的任意一个位置对防火墙进行配置和管理。
启动PPTP服务后,管理员可以建立从某一单机到小区网络的VPN通道,对小区内的可网管交换机进行SNMP管理。
启动IPSec服务,可以在不同小区间开辟VPN通道,这样多个小区之间的内部资源可以有序共享。
