1、开发背景
现代化的企事业单位普遍需要一套功能强大、操作方便、而又节省资金的网络架构解决方案。然而随着全球科技的飞速发展,网络安全逐渐成为网络构架中潜在的巨大问题。如何在保证网络构架本身效率的同时,保护网络系统中硬件、软件及系统中的数据不因偶然或者恶意的原因而遭到破坏、更改、泄露,并保持系统了连续可靠性的运行是设计该方案首先需要解决的问题。
选择适当的技术和产品、制定灵活的网络安全策略、在保证信息安全的情况下,提供适当的安全体系和管理计划、有效降低网络安全对网络性能的影响,并降低管理费用成为计算机网络模块的一个重要课题。
2、系统简介
本文所设计的解决方案是基于Vyatta路由器与VMware虚拟化栩结合的网络模块设计,使用先进的技术研究,从网络层次考虑而设计的支持个级别用户以及用户群的安全网络。该方案功能强大,操作方便,能够在低成本消耗的情况下满足各级别用户的需求,并在该基础上保证网络的安全性。
本系统使用Vyatta(一款基于使用可扩展开放路由平台(XORP)开发的代码)和VMware作为基础,通过将修改的Linux操作系统与XORP结合在一起,从而实现个级别用户之间信息收集与处理,与虚机服务器数据资源的流动和共享。另外,该设计方案还致力于保证网络模块的安全性,最大限度地防范以及在降低受到侵扰后的损失。
3、设计目标
1)参考利用先进的计算机信息技术,以中小型企业为服务对象,设计实现适应于市场经济环境,方便分配企业资源和优化配置,全面提高企业的行政执行效率以及改善管理模式的安全网络解决方案。
2)基于Intranet/Internet模式,制定合理的安全策略以及全面的安全方案来确保网络系统的可用性、机密性、与完整性。在满足用户通话保密性,确保数据库安全控制以及自动备份的网络控制的同时达到各部门以及控制中心之间的高效可靠信息共享。
3)根据企业需要,提高全面信息收集处理效率并保持网络协议和传输的透明性,使修改设计方案易于操作维护,便于自动化管理,便于系统及系统功能的扩展,方便企业内外部之间的信息交换以及对所存在问题及时作出反馈和改进。
4)采用Vyatta路由以及VMware虚拟化相结合的各项安全策略,如:防火墙技术,NAT技术,vPN,网络加密技术,防病毒系统,身份认证等,对重要网络设备进行风险评估,保证信息系统在最优状况下运行,以此满足企事业单位对网络构架新需求。
5)在保证网络信息传输、维护效率的同时,降低对设备的依赖、减少不必要的成本费用,使企业能在激烈的竞争中保持优势,并有更多的资源投入到生产建设中。
4、网络设计
4.1系统的划分
基于拓展星形拓扑结构,本系统可以分成五大模块,分别是虚拟化服务器模块、路由器模块、安全模块、无线模块、拓展模块。
4.2各分模块介绍
4.2.1虚拟化服务器模块
在本系统中,配置了三台服务器,分别是文件服务器、打印机服务器、邮件服务器。有别于传统网络构架需要三台实体机器分别运行三种不同服务器,本系统采用基于VMware vSphere虚拟化服务器的策略,应用了虚拟化数据中心建立云网络的最新解决方案见图2。
如图所示,三台服务器分别被配置在同一个vSphere平台上,每一台服务器都有独自分配的硬件资源和软件,并且每一台服务器之间可以共享数据。而这三台服务器都建立在同一台物理服务器(vStorage)上,vSphere平台可以方便地备份虚拟服务器到不同的物理服务器上,从而防止意外情况导致的数据丢失。
另外,虚拟化服务器的优势还在于能方便地同时对多台服务器进行控制,并且能方便地对任何一台服务器进行硬件和软件上的调配。支持远程操作也是虚拟化服务器的亮点之一。此外由于虚拟化服务器可以共享硬件资源和数据资源,这就把各个服务器有机地结合起来,共同运作在vsphere平台上。同时,由于虚拟化服务器可以按照系统管理员的需求而手动或自动备份数据,当意外事故发生在某一物理主机时,vSphere可以迅速地把工作平台切换至另一无故障主机,从而很快完成灾难恢复。最后,vSphere对于安全性的提升有着重要帮助,通过VMware vShield Zones服务和VMware VMsafe服务,管理员可以方便地设置安全环境,保证虚拟层的正常运作。
最后,由于考虑到同时对Windows和Linux客户端的兼容性,因此在Linux服务器端配置Samba服务,以保证兼容性。
4.2.2路由器模块
本模块是系统的核心组成部分,路由器模块在整个系统中起到了核心枢纽的作用,它的一端连接外网,另一端连接内网,任何在内外网之间通信的数据都必须经过此路由器模块组成的网关。
在本系统中,路由器模块的选取不同于通常采用如思科、华为等传统以硬件为基础的解决方案,本系统选取了一款开源免费而又功能强大的新型的以软件为基础的产品Vyatta。
相比于传统的以硬件为基础的解决方案,新一代以Vyatta网络操作系统为基础的解决方案不再局限于特定硬件所限制的功能(例如传统路由器通常不提供防火墙功能,需要单独买防火墙硬件),而是把各种网络管理功能集成到Vyatta网络操作系统中,并通过定期的免费升级来保持最新状态。在硬件配置上,Vyatta是与与x86处理器无缝衔接,而传统路由器往往需要采用公司特定的硬件设备。此外,新一代的路由器解决方案在软件性能、虚拟机兼容性、管理API、云计算等诸多方面都有着独特优势。
以下是本系统中Vyatta路由器的配置信息:
nat{
rule 1{
destination{
address 0.0.O.0/0
}
Outbound-interface eth0
protocol all
source{
address 192.168.1.0/24
}
type masquerade
)
rule 2{
destination{
address 10.80.131.59
port http
}
inbound-interface eth0
inside-address {
address 192.168.1.30
}
protocol tcp
source{
address 0.0.0.0/0
}
type destination
}
}
dhcp-server{
disabled false
dynamic-dns-update{
enable true
}
shared-network-name P00L1{
authoritative disable
subnet 192.168.1.0/24{
default-router 192.168.1.30
dns-server 8.8.8.8
dns-server 8.8.4.4
domain-name vyatta.local
lease 86400
Start 192.168.1.100 {
Stop 192.168.1.150
}
}
}
}
dns {
forwarding{
cache-size 150
listen-on eth0
listen-on eth1
name-senrer 8.8.8.8
name-server 8.8.4.4
}
}
以上代码分别设置了静态IP地址,DHCP服务器,IP伪装,NAT,DNS。经过以上的设置,路由器基本的功能已经实现。
4.2.3安全模块
一个系统的稳定安全是保持系统稳定持久运行的必要条件。在安全模块中,主要在路由器和虚拟化服务器端做了配置,已达到双保险。
在Vyatta路由器上,利用url-filtering的功能可以方便地配置已阻止客户端访问禁止的网站:
weBPRoxy {
cache-size 100
default-port 3128
listen-address 10.80.131.59 {
}
listen-address 192.168.1.30 {
}
url_filtering {
squidguard {
default-action allow
local-block-url example.com
log local-block-url-default
redirect-url http://192.168.1.30/cgi-bin/squidGuard-simple.cgi?targetclass=%t&url=%u
}
}
}
Vyatta还可以通过结合如Qos等配置,更细化监控网络流量,起到安全网络的作用。除此之外,系统还在虚拟化服务器端也配置了安全信息。由于本系统采用Ubuntu作为服务器,因此采用Linux下开源免费的ClamAV作为查杀病毒的工具。并采用UFW作为Ubuntu下的防火墙来具体针对某一服务器设置过滤条件。最后,在无线模块中,通过对无线路由器的配置,进一步巩固无线方面的安全。
4.2.4无线模块
除了提供有线的接入之外,本系统也提供了无线的接入点。在本系统中采用无线路由器,并通过设置Vyatta路由器使得有指定的一定数量的IP地址划分为无线网络的IP地址,并通过DHCP自动分配给每一台连入无线网络的客户端。同时,通过无线接入点连入内网的客户端和通过有线接人点连入内网的客户端一致,都属于系统内网用户,拥有访问虚拟服务器的权限。
4.2.5拓展模块
本系统的拓展模块提供了一些附加的功能。例如VPN功能,通过对Vyatta路由器的配置开启VPN服务,这使得客户可以直接利用外网通过VPN的方式,利用系统提供的VPN密钥可以登录系统内部的虚拟服务器进行管理或者资源获取。配置如下:
ssh f
allow-root
port 22
protocol-Version v2
}
另外,为了更好地监测与限定系统内的流量情况,系统可以配置Qos服务:
traffic-policy {
limiter LIMIT-MAIL {
class 10 {
bandwidth 1000kbit
burst 15k
descnption “Limit inbound mail traffic”
match MAIL-TRAFFIC {
ip {
destination {
port 25
)
}
}
prority 20
}
}
}
其余,比如VLAN等其他服务,也同样可以方便地在Vyatta路由器中进行配置。
5、系统特点与技术特色
随着企事业单位业务需求的不断上升,这对安全可靠的网络架构提出了更高的要求。本系统不同于传统的架构设计,在性能、价钱、稳定可靠性、灾难恢复性,安全性、拓展性等多个方面都有着更好的表现。
性能上,在同等资金预算的条件下,本新型网络架构有着巨大的优势。这主要归因于本系统普遍采用开源免费的产品,这使得资金可以用在购买性能更为强劲的服务器主机(用于VMware虚拟化服务器和Vyatta路由器)而不用花费在功能单一不方便拓展的特殊种类机器,如硬件路由器上。从而使得性能得到了更大的提升。
价钱上,与传统解决方案对比,在保证相同运行效率的前提下,与上述道理相同,资金预算可以比传统解决方案减少相当一部分金额。
其他方面,如稳定可靠性、灾难恢复性、安全性、拓展性等诸多方面,由于采用先进的路由技术和虚拟化技术,从而保证了系统的稳定可靠,系统的迅速灾难恢复、及安全保障和方便拓展。
6、结束语
随着时代的发展进步,新一代的技术的出现,提供的新一代的解决方案使得企事业单位更方便也更节省资金地架构更稳定而强大的系统。在这其中,开源技术起到了重要的作用。在以往情况下,开源技术往往应用在软件的领域内,而如今开源技术进一步发展,逐渐在硬件领域内崭露头角。大量的实例表明,先进的技术对一个单位的发展与繁荣都有着不可估量的作用,在本文中介绍的一种新型安全网络解决方案,希望能给新一代的安全网络系统架构的设计者带来一些启发。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于Vyatta路由器与VMware虚拟化的安全网络解决方案
本文网址:http://www.toberp.com/html/consultation/1083954512.html