企業(yè)級(jí)智能化Internet訪問解決方案

■龐亞賓 趙 磊 蘭州石化公司自動(dòng)化研究院

隨著互聯(lián)網(wǎng)的不斷發(fā)展，企業(yè)內(nèi)部的Internet訪問量呈不斷上升趨勢(shì)，目前已經(jīng)具備一條電信出口鏈路和一條聯(lián)通出口鏈路。企業(yè)自行摸索建立了一套適用于企業(yè)的智能化Internet訪問解決方案，方案主要亮點(diǎn)是1、有效利用雙ISP鏈路，合理負(fù)載均衡網(wǎng)絡(luò)出口，同時(shí)做到網(wǎng)絡(luò)出口出現(xiàn)故障時(shí)及時(shí)翻轉(zhuǎn)流量。2、更好的利用帶寬，在更深層次，更小的力度上保證合法訪問的流量帶寬，同時(shí)限制其他非法訪問流量。

一、雙ISP鏈路負(fù)載均衡解決方案

電信和聯(lián)通兩個(gè)Internet運(yùn)營(yíng)商的網(wǎng)絡(luò)在互聯(lián)互通上存在瓶頸已經(jīng)是一個(gè)不爭(zhēng)的事實(shí)。例如從某企業(yè)電信出口本公司的聯(lián)通出口，需要從二者北京骨干網(wǎng)進(jìn)行流轉(zhuǎn)，而不是從本地路由，其跳數(shù)已經(jīng)達(dá)到了幾乎不可達(dá)的15跳。以下是命令記錄：

lzshfirewall->trace-route 221.7.36.*

Type escape sequence to escape

Send ICMP echos to 221.7.36.129, timeout is 2 seconds,maximum hops are 32

1 5ms 10ms 9ms 61.178.249.*

2 3ms 3ms 2ms 61.178.253.205

3 2ms 2ms 2ms 61.178.253.93

4 2ms 2ms 2ms 61.178.0.37

5 28ms 28ms 28ms 202.97.38.145

6 53ms 53ms 53ms 202.97.34.150

7 51ms 51ms 53ms 202.97.46.38

8 75ms 77ms 76ms 219.158.32.93

9 143ms 142ms 141ms 219.158.13.13

10 79ms 80ms 80ms 219.158.4.21

11 101ms 102ms 103ms 219.158.7.134

12 111ms 113ms 110ms 60.13.16.10

13 98ms 99ms 99ms 60.13.16.22

14 169ms 168ms 167ms 60.13.16.102

15 103ms 102ms 112ms 221.7.36.*

Trace complete

要做到雙ISP負(fù)載均衡，不能簡(jiǎn)單的指定內(nèi)部不同用戶使用不同出口，必須能夠找到可行的智能化選路方案，讓用戶在訪問電信網(wǎng)站時(shí)使用電信鏈路，訪問聯(lián)通網(wǎng)站時(shí)使用聯(lián)通鏈路。

鏈路負(fù)載均衡完美的實(shí)現(xiàn)方式是使用一臺(tái)高端的路由設(shè)備，通過ISP的BGP路由器將目前已經(jīng)獲知的所有Internet上25萬條聚合路由條目通告給這臺(tái)路由器，根據(jù)不同的路由條目下一條指向， 通還是電信鏈路。目前市場(chǎng)上的高端流量負(fù)載均衡設(shè)備也可以做到完美的Internet流量負(fù)載均衡。但是這些解決方案的缺點(diǎn)是設(shè)備投資高，而且需要Internet運(yùn)營(yíng)商支持和配合，可能會(huì)產(chǎn)生巨額的費(fèi)用。

本次方案設(shè)計(jì)中采用了靜態(tài)路由和浮動(dòng)默認(rèn)路由結(jié)合的方法解決這一問題。

截止今天全球共存在約25萬條BGP匯總路由，但屬于電信（自治系統(tǒng)號(hào)4134）和聯(lián)通（自治系統(tǒng)號(hào)4837）的路由條目數(shù)聚合后數(shù)量并不大。根據(jù)在APNIC組織查到的數(shù)據(jù)，電信聚合路由只有981條，而聯(lián)通聚合路由更少，只有259條。

我們根據(jù)APNIC組織公布的聯(lián)通的全部259條靜態(tài)路由，在防火墻出口上制定了259條靜態(tài)路由條目指向聯(lián)通鏈路，并指定了兩條默認(rèn)路由。

例如：ip route 58.17.128.0 255.255.128.0 192.168.0.1

ip route 58.17.160.0 255.255.252.0 192.168.0.1 ……(共259條)

ip route 0.0.0.0 0.0.0.0 192.168.0.2 preference 100

ip route 0.0.0.0 0.0.0.0 192.168.0.1 preference 1

圖1 聯(lián)通的259條匯總路由（部分）

這樣做的結(jié)果是，如果用戶訪問網(wǎng)站的域名經(jīng)DNS解析后落在這259條聚合路由條目的范圍內(nèi)，其訪問路徑會(huì)智能化的從聯(lián)通接口進(jìn)入Internet，網(wǎng)站的回復(fù)報(bào)文自然會(huì)從聯(lián)通鏈路返回到用戶端；當(dāng)用戶訪問的IP地址不在聯(lián)通的聚合路由中時(shí)，流量會(huì)經(jīng)由preference值為1的默認(rèn)路由條目，從電信鏈路轉(zhuǎn)發(fā)；當(dāng)電信或聯(lián)通鏈路有一條中斷時(shí)，流量會(huì)從指向另一條鏈路的默認(rèn)路由轉(zhuǎn)發(fā)。如此一來便實(shí)現(xiàn)了智能化的ISP流量負(fù)責(zé)分擔(dān)。

實(shí)際應(yīng)用中可能還涉及到網(wǎng)絡(luò)地址轉(zhuǎn)換的具體配置，在此不作詳述。

二、Internet智能流量監(jiān)控

Internet流量監(jiān)控設(shè)計(jì)方案主要涉及兩個(gè)方面，一是對(duì)流量的深度檢測(cè)和帶寬控制，二是對(duì)用戶訪問的網(wǎng)站進(jìn)行海量篩查。通過這兩個(gè)手段在主觀上或客觀上都能防止網(wǎng)絡(luò)用戶的不良行為導(dǎo)致網(wǎng)絡(luò)性能和安全性受到負(fù)面影響。

傳統(tǒng)的防火墻只能針對(duì)四層會(huì)話信息對(duì)報(bào)文進(jìn)行過濾和篩查，如果遇到像Bittorrent這樣使用隨機(jī)端口，且報(bào)文頭部信息加密的數(shù)據(jù)報(bào)文是無法進(jìn)行識(shí)別的，更談不上監(jiān)管和限制了。

我們?cè)诰W(wǎng)絡(luò)流量檢測(cè)和帶寬控制方面，應(yīng)用以色列Allot公司的 NetEnforcer串接在防火墻與核心三層交換機(jī)之間。Allot NetEnforcer具備智能化的旁路功能，能夠在斷電或失效故障的情況下自動(dòng)旁路，確保了不因?yàn)橹鞲涉溌诽砑釉O(shè)備而增加故障點(diǎn)。

NetEnforcer的基本策略制定思路是：將系統(tǒng)數(shù)據(jù)庫(kù)預(yù)定義的和用戶自定義的各種數(shù)據(jù)流分類，然后放入各自的虛擬管道（virtual pipes）中，根據(jù)用戶指定的策略對(duì)各種數(shù)據(jù)流加以區(qū)別，分別分配不同的帶寬。同時(shí)系統(tǒng)還能夠根據(jù)這些不同分類方法統(tǒng)計(jì)出用戶鏈路上的數(shù)據(jù)流統(tǒng)計(jì)信息。現(xiàn)在流行的BT，edonkey和迅雷等浪費(fèi)網(wǎng)絡(luò)帶寬的下載都可以得到有效的防范。

圖2 NetEnforcer的應(yīng)用示例

NetEnforcer能夠識(shí)別的應(yīng)用層協(xié)議包括11個(gè)大類近200種，囊括了Internet上可能出現(xiàn)的所有協(xié)議類型。舉例來說，如果管理人員想封堵Bittorent流量，可以新建一個(gè)通道，將通道的service屬性設(shè)為Bittorrent，如圖2所示。之后將這個(gè)通道的帶寬限制在較低水平，例如1M。當(dāng)然管理員也可以選擇直接將這個(gè)通道的流量全部丟棄。

NetEnforcer的解決方案能夠使管理員在更小力度，更深層次進(jìn)行網(wǎng)絡(luò)帶寬分配，并提供了大量的分析界面，將網(wǎng)絡(luò)上所有協(xié)按照各種分布條件進(jìn)行圖形化的呈現(xiàn)。（圖3）

三、智能網(wǎng)頁過濾解決方案

在網(wǎng)頁過濾方面，企業(yè)應(yīng)用Websense內(nèi)容過濾解決方案和Netscreen防火墻的聯(lián)動(dòng)功能，所有外部訪問都要經(jīng)過龐大且完備的Websense數(shù)據(jù)庫(kù)的篩查，杜絕了內(nèi)網(wǎng)用戶訪問惡意網(wǎng)站的唯一途徑。

該功能的基本思路是，在防火墻內(nèi)側(cè)部署Websense服務(wù)器（例如ip地址為10.116.2.191），Websense海量數(shù)據(jù)庫(kù)把目前存在的WWW網(wǎng)站分成大約90個(gè)主類，Websense服務(wù)器每天從Websense， Inc.網(wǎng)站下載并保存數(shù)據(jù)庫(kù)的更新版本。Websense服務(wù)器使用Websense主數(shù)據(jù)庫(kù)對(duì)因特網(wǎng)活動(dòng)進(jìn)行分類，供過濾和記錄。

與此同時(shí)在防火墻中運(yùn)行命令：set url server 10.116.2.191 15868 10

圖3 NetEnforcer的圖形化界面

目的是使防火墻的url過濾功能指向Websense服務(wù)器。

舉例來說，用戶在瀏覽器中輸入www.sina.com.cn，站點(diǎn)的域名首先進(jìn)行DNS解析，獲得站點(diǎn)ip地址后發(fā)起三次握手過程建立TCP連接，之后會(huì)發(fā)起一個(gè)Get/http動(dòng)作。這時(shí)防火墻會(huì)智能化的掃描這個(gè)動(dòng)作，然后在報(bào)文中找到“host：www.sina.com.cn/r/n”這個(gè)字串，并將這個(gè)字串中的url名送至websense進(jìn)行查找。如果這個(gè)域名在放行列表中，則報(bào)文被轉(zhuǎn)發(fā)；如果用戶需要訪問網(wǎng)站的url在websense的禁止列表當(dāng)中（默認(rèn)的禁止列表囊括了當(dāng)今數(shù)百萬條url域名中所有的成人內(nèi)容、裸體、性、濫用藥物、MP3、賭博、游戲、黑客、非法的或有問題的、好戰(zhàn)性和極端主義、代理服務(wù)器避免（Proxy Avoidance）、URL翻譯網(wǎng)站、Web聊天、未分類的、種族主義和仇恨、不雅觀的、暴力和武器類別的網(wǎng)站，同時(shí)用戶還可以根據(jù)自身需求自定義一些禁止訪問的網(wǎng)站列表。），Websense服務(wù)器會(huì)通知防火墻丟棄這個(gè)報(bào)文，這樣用戶將無法訪問這個(gè)站點(diǎn)。用戶的非法訪問將被重新定向到一個(gè)提示網(wǎng)頁，告知用戶訪問非法。

網(wǎng)頁過濾的目的在于保護(hù)用戶訪問不良網(wǎng)站，凈化網(wǎng)絡(luò)環(huán)境，減少由外往帶入的不良信息、惡意軟件、以及病毒和木馬程序。

四、結(jié)束語

通過上文三種手段，企業(yè)有效地利用了Internet帶寬，平衡了不同ISP的鏈路流量，同時(shí)杜絕了內(nèi)部用戶對(duì)于非法外部網(wǎng)站的訪問。應(yīng)用整體Internet 訪問解決方案使得企業(yè)網(wǎng)絡(luò)訪問速度提升明顯，內(nèi)部病毒和木馬程序大為減少，網(wǎng)絡(luò)環(huán)境得到了極大的凈化，網(wǎng)絡(luò)應(yīng)用水平獲得極大的提升。

[1]Juniper Netscreen防火墻說明書，2007.

[2]蔡建新.《Cisco CCNP網(wǎng)絡(luò)工程師.》.北京：清華大學(xué)出版社，2005