企業(yè)級智能化Internet訪問解決方案

■龐亞賓 趙 磊 蘭州石化公司自動化研究院

隨著互聯(lián)網(wǎng)的不斷發(fā)展，企業(yè)內(nèi)部的Internet訪問量呈不斷上升趨勢，目前已經(jīng)具備一條電信出口鏈路和一條聯(lián)通出口鏈路。企業(yè)自行摸索建立了一套適用于企業(yè)的智能化Internet訪問解決方案，方案主要亮點(diǎn)是1、有效利用雙ISP鏈路，合理負(fù)載均衡網(wǎng)絡(luò)出口，同時做到網(wǎng)絡(luò)出口出現(xiàn)故障時及時翻轉(zhuǎn)流量。2、更好的利用帶寬，在更深層次，更小的力度上保證合法訪問的流量帶寬，同時限制其他非法訪問流量。

一、雙ISP鏈路負(fù)載均衡解決方案

電信和聯(lián)通兩個Internet運(yùn)營商的網(wǎng)絡(luò)在互聯(lián)互通上存在瓶頸已經(jīng)是一個不爭的事實(shí)。例如從某企業(yè)電信出口本公司的聯(lián)通出口，需要從二者北京骨干網(wǎng)進(jìn)行流轉(zhuǎn)，而不是從本地路由，其跳數(shù)已經(jīng)達(dá)到了幾乎不可達(dá)的15跳。以下是命令記錄：

lzshfirewall->trace-route 221.7.36.*

Type escape sequence to escape

Send ICMP echos to 221.7.36.129, timeout is 2 seconds,maximum hops are 32

1 5ms 10ms 9ms 61.178.249.*

2 3ms 3ms 2ms 61.178.253.205

3 2ms 2ms 2ms 61.178.253.93

4 2ms 2ms 2ms 61.178.0.37

5 28ms 28ms 28ms 202.97.38.145

6 53ms 53ms 53ms 202.97.34.150

7 51ms 51ms 53ms 202.97.46.38

8 75ms 77ms 76ms 219.158.32.93

9 143ms 142ms 141ms 219.158.13.13

10 79ms 80ms 80ms 219.158.4.21

11 101ms 102ms 103ms 219.158.7.134

12 111ms 113ms 110ms 60.13.16.10

13 98ms 99ms 99ms 60.13.16.22

14 169ms 168ms 167ms 60.13.16.102

15 103ms 102ms 112ms 221.7.36.*

Trace complete

要做到雙ISP負(fù)載均衡，不能簡單的指定內(nèi)部不同用戶使用不同出口，必須能夠找到可行的智能化選路方案，讓用戶在訪問電信網(wǎng)站時使用電信鏈路，訪問聯(lián)通網(wǎng)站時使用聯(lián)通鏈路。

鏈路負(fù)載均衡完美的實(shí)現(xiàn)方式是使用一臺高端的路由設(shè)備，通過ISP的BGP路由器將目前已經(jīng)獲知的所有Internet上25萬條聚合路由條目通告給這臺路由器，根據(jù)不同的路由條目下一條指向， 通還是電信鏈路。目前市場上的高端流量負(fù)載均衡設(shè)備也可以做到完美的Internet流量負(fù)載均衡。但是這些解決方案的缺點(diǎn)是設(shè)備投資高，而且需要Internet運(yùn)營商支持和配合，可能會產(chǎn)生巨額的費(fèi)用。

本次方案設(shè)計中采用了靜態(tài)路由和浮動默認(rèn)路由結(jié)合的方法解決這一問題。

截止今天全球共存在約25萬條BGP匯總路由，但屬于電信（自治系統(tǒng)號4134）和聯(lián)通（自治系統(tǒng)號4837）的路由條目數(shù)聚合后數(shù)量并不大。根據(jù)在APNIC組織查到的數(shù)據(jù)，電信聚合路由只有981條，而聯(lián)通聚合路由更少，只有259條。

我們根據(jù)APNIC組織公布的聯(lián)通的全部259條靜態(tài)路由，在防火墻出口上制定了259條靜態(tài)路由條目指向聯(lián)通鏈路，并指定了兩條默認(rèn)路由。

例如：ip route 58.17.128.0 255.255.128.0 192.168.0.1

ip route 58.17.160.0 255.255.252.0 192.168.0.1 ……(共259條)

ip route 0.0.0.0 0.0.0.0 192.168.0.2 preference 100

ip route 0.0.0.0 0.0.0.0 192.168.0.1 preference 1

圖1 聯(lián)通的259條匯總路由（部分）

這樣做的結(jié)果是，如果用戶訪問網(wǎng)站的域名經(jīng)DNS解析后落在這259條聚合路由條目的范圍內(nèi)，其訪問路徑會智能化的從聯(lián)通接口進(jìn)入Internet，網(wǎng)站的回復(fù)報文自然會從聯(lián)通鏈路返回到用戶端；當(dāng)用戶訪問的IP地址不在聯(lián)通的聚合路由中時，流量會經(jīng)由preference值為1的默認(rèn)路由條目，從電信鏈路轉(zhuǎn)發(fā)；當(dāng)電信或聯(lián)通鏈路有一條中斷時，流量會從指向另一條鏈路的默認(rèn)路由轉(zhuǎn)發(fā)。如此一來便實(shí)現(xiàn)了智能化的ISP流量負(fù)責(zé)分擔(dān)。

實(shí)際應(yīng)用中可能還涉及到網(wǎng)絡(luò)地址轉(zhuǎn)換的具體配置，在此不作詳述。

二、Internet智能流量監(jiān)控

Internet流量監(jiān)控設(shè)計方案主要涉及兩個方面，一是對流量的深度檢測和帶寬控制，二是對用戶訪問的網(wǎng)站進(jìn)行海量篩查。通過這兩個手段在主觀上或客觀上都能防止網(wǎng)絡(luò)用戶的不良行為導(dǎo)致網(wǎng)絡(luò)性能和安全性受到負(fù)面影響。

傳統(tǒng)的防火墻只能針對四層會話信息對報文進(jìn)行過濾和篩查，如果遇到像Bittorrent這樣使用隨機(jī)端口，且報文頭部信息加密的數(shù)據(jù)報文是無法進(jìn)行識別的，更談不上監(jiān)管和限制了。

我們在網(wǎng)絡(luò)流量檢測和帶寬控制方面，應(yīng)用以色列Allot公司的 NetEnforcer串接在防火墻與核心三層交換機(jī)之間。Allot NetEnforcer具備智能化的旁路功能，能夠在斷電或失效故障的情況下自動旁路，確保了不因?yàn)橹鞲涉溌诽砑釉O(shè)備而增加故障點(diǎn)。

NetEnforcer的基本策略制定思路是：將系統(tǒng)數(shù)據(jù)庫預(yù)定義的和用戶自定義的各種數(shù)據(jù)流分類，然后放入各自的虛擬管道（virtual pipes）中，根據(jù)用戶指定的策略對各種數(shù)據(jù)流加以區(qū)別，分別分配不同的帶寬。同時系統(tǒng)還能夠根據(jù)這些不同分類方法統(tǒng)計出用戶鏈路上的數(shù)據(jù)流統(tǒng)計信息。現(xiàn)在流行的BT，edonkey和迅雷等浪費(fèi)網(wǎng)絡(luò)帶寬的下載都可以得到有效的防范。

圖2 NetEnforcer的應(yīng)用示例

NetEnforcer能夠識別的應(yīng)用層協(xié)議包括11個大類近200種，囊括了Internet上可能出現(xiàn)的所有協(xié)議類型。舉例來說，如果管理人員想封堵Bittorent流量，可以新建一個通道，將通道的service屬性設(shè)為Bittorrent，如圖2所示。之后將這個通道的帶寬限制在較低水平，例如1M。當(dāng)然管理員也可以選擇直接將這個通道的流量全部丟棄。

NetEnforcer的解決方案能夠使管理員在更小力度，更深層次進(jìn)行網(wǎng)絡(luò)帶寬分配，并提供了大量的分析界面，將網(wǎng)絡(luò)上所有協(xié)按照各種分布條件進(jìn)行圖形化的呈現(xiàn)。（圖3）

三、智能網(wǎng)頁過濾解決方案

在網(wǎng)頁過濾方面，企業(yè)應(yīng)用Websense內(nèi)容過濾解決方案和Netscreen防火墻的聯(lián)動功能，所有外部訪問都要經(jīng)過龐大且完備的Websense數(shù)據(jù)庫的篩查，杜絕了內(nèi)網(wǎng)用戶訪問惡意網(wǎng)站的唯一途徑。

該功能的基本思路是，在防火墻內(nèi)側(cè)部署Websense服務(wù)器（例如ip地址為10.116.2.191），Websense海量數(shù)據(jù)庫把目前存在的WWW網(wǎng)站分成大約90個主類，Websense服務(wù)器每天從Websense， Inc.網(wǎng)站下載并保存數(shù)據(jù)庫的更新版本。Websense服務(wù)器使用Websense主數(shù)據(jù)庫對因特網(wǎng)活動進(jìn)行分類，供過濾和記錄。

與此同時在防火墻中運(yùn)行命令：set url server 10.116.2.191 15868 10

圖3 NetEnforcer的圖形化界面

目的是使防火墻的url過濾功能指向Websense服務(wù)器。

舉例來說，用戶在瀏覽器中輸入www.sina.com.cn，站點(diǎn)的域名首先進(jìn)行DNS解析，獲得站點(diǎn)ip地址后發(fā)起三次握手過程建立TCP連接，之后會發(fā)起一個Get/http動作。這時防火墻會智能化的掃描這個動作，然后在報文中找到“host：www.sina.com.cn/r/n”這個字串，并將這個字串中的url名送至websense進(jìn)行查找。如果這個域名在放行列表中，則報文被轉(zhuǎn)發(fā)；如果用戶需要訪問網(wǎng)站的url在websense的禁止列表當(dāng)中（默認(rèn)的禁止列表囊括了當(dāng)今數(shù)百萬條url域名中所有的成人內(nèi)容、裸體、性、濫用藥物、MP3、賭博、游戲、黑客、非法的或有問題的、好戰(zhàn)性和極端主義、代理服務(wù)器避免（Proxy Avoidance）、URL翻譯網(wǎng)站、Web聊天、未分類的、種族主義和仇恨、不雅觀的、暴力和武器類別的網(wǎng)站，同時用戶還可以根據(jù)自身需求自定義一些禁止訪問的網(wǎng)站列表。），Websense服務(wù)器會通知防火墻丟棄這個報文，這樣用戶將無法訪問這個站點(diǎn)。用戶的非法訪問將被重新定向到一個提示網(wǎng)頁，告知用戶訪問非法。

網(wǎng)頁過濾的目的在于保護(hù)用戶訪問不良網(wǎng)站，凈化網(wǎng)絡(luò)環(huán)境，減少由外往帶入的不良信息、惡意軟件、以及病毒和木馬程序。

四、結(jié)束語

通過上文三種手段，企業(yè)有效地利用了Internet帶寬，平衡了不同ISP的鏈路流量，同時杜絕了內(nèi)部用戶對于非法外部網(wǎng)站的訪問。應(yīng)用整體Internet 訪問解決方案使得企業(yè)網(wǎng)絡(luò)訪問速度提升明顯，內(nèi)部病毒和木馬程序大為減少，網(wǎng)絡(luò)環(huán)境得到了極大的凈化，網(wǎng)絡(luò)應(yīng)用水平獲得極大的提升。

[1]Juniper Netscreen防火墻說明書，2007.

[2]蔡建新.《Cisco CCNP網(wǎng)絡(luò)工程師.》.北京：清華大學(xué)出版社，2005