硬件代理为企业上网提速
北京 李晨光
中铁咨询集团是五家企业重组建立的特大型工程勘察设计咨询企业,下设十多个分公司,上网人数众多。有多台Web Server对外服务,访问量极大。以前无论是Linux下的Squid+iptables还是微软的ISA 2004 Server,在提供互联网代理访问服务、实现用户认证方面,都无法完成用户需要的代理上网需求。这些软件代理服务器无法承受全网所有用户的访问代理服务,当用户量增多的时候,性能便慢得无法忍受。而且软件代理服务器不是软件本身出了问题,就是操作系统被攻击、中木马,维护起来相当麻烦。
经过调研,我们决定选用硬件代理设备来解决问题。NetAPP公司是一家以Web缓存(Cache)技术起家的公司,硬件代理主要由这几项技术组成:TCP复用、负载均衡、缓存和SSL加速,提供了全面的缓存功能,在配置和管理、改善Web安全状况、性能、认证、流媒体支持、日志和报告等方面都提供了相当好的功能和图形显示,且价格我们能接受,故选用此设备进行测试。
测试环境
(1)全集团公司实际用户数2000个,并发有500个用户。
(2)总公司Proxy主要用户集中在北京,其他各分公司的Proxy在本地,但用户上外网认证在总公司的Windows 2003 AD Server上。
(3)将新的设备架到网络中(如图1所示)。注意,一定要串接到网络的咽喉要道,一般设置在Firewall之后,而不要从旁路接入网络。
图1 企业网络结构图
测试对象包括:
通过代理服务器访问互联网的用户,可以通过的协议,内容过滤方式,提供日志数据,使用访问控制列表,限制并防止未经授权的用户访问特定的服务,通过使用内部数据库、LDAP、NTLM和Radius平台,支持用户和组验证。
现在我们看看这台硬件代理的基本配置情况(如表1所示),图2为硬件代理的内部结构。
表1 硬件配置
图2 硬件代理的内部结构
测试过程
(1)用计算机将串口连接设备的COM口相连接,用超级终端软件进入系统后使用Setup命令完成基本配置,过程忽略。
(2)配置好设备的IP地址后,接入网络,接下来使用HTTP的方式在IE浏览器下配置,位置在Setup标签中设置相关配置,这里忽略。
进入界面的方法:
输入http://10.68.200.233:3132
USER:admin
Password:NetCache(出厂默认密码)
(3)在设备上启用Proxy功能,设置的位置如图3所示。
图3 启用Proxy功能
接着还要经过启用Interface、配置默认网关、增加静态路由、配置DNS等几个步骤,就可以使用了(其过程很简单)。
(4)完善认证配置。
一般的企业是全员上网,还有些单位是限制用户上网的,这样可以通过使用内部数据库、LDAP、NTLM(域用户认证)和Radius平台,支持用户和组验证上网。利用此设备能够实现上述应用且配置较简单,不需要修改现有的配置。
(5)用户访问控制
测试情况说明:可以使用访问控制列表根据特定的用户、用户组、请求类型(例如HTTP)、客户端IP地址或其他变量,限制并防止未经授权的用户访问特定的服务。遗憾的是,这一功能需要使用命令行模式配置,需要自己一行一行地写进去。
比如,禁止访问88888.COM.CN:
DENY URL “HTTP://88888.COM.CN
禁止某个IP上网命令:
deny client-ip 10.68.200.231
(6)内容过滤功能。
通过Secure Computing SmartFilter和WebWasher Dyna BLocator提供on-box Internet内容过滤方式;通过Websense支持off-box内容过滤,对于现在网上的绝大多数木马都能过滤掉,想通过IE下载的恶意插件也能有效地防止,使进入内网的数据安全性得到了提高。
(7)设备LOG日志测试。
测试情况:可以查看用户访问信息、Cache情况、系统信息,提供可自定义的日志数据,监视NetCache的活动,并根据计划将日志发送到FTP服务器、Web服务器或ContentReporter。对于每个用户访问的情况,在Web Access中显示了每个连接的源地址、目标地址及访问内容,而且是不停地往上滚动的,后台有软件来分析(如图4所示)。
图4 用户访问情况
(8)数据分析情况。
系统状态可以查看服务的状态、Cache匹配、内存、硬盘等统计信息,在Data选项卡的System Status→General中,您的机器必须安装Java虚拟机才能显示图表(如图5所示)。
图5 数据分析图表
此设备在使用过程中随时可以通过单击帮助来解决问题,位置在界面的右上方。
项目实施效果分析
由于我们使用了专用设备,专用设备和专用操作系统不出自Windows或UNIX,无需加固,没有补丁,没有安全方面的隐患。由于在网络中用Firewall进行屏蔽,用硬件Proxy进行控制,使得配置和管理工作极大简化。最重要的是,该解决方案实现了集中化管理,大大减少了实施互联网访问针对特殊情况的例外策略所进行的相关管理工作。
结果是,中铁咨询的网络现在具有了控制员工如何使用互联网的能力,并通过HTTP和流媒体缓存功能加速网络的访问速度,优化出口带宽的使用。Web通信和网络安全牢不可破——这对于一个大规模的企业来说是最主要的好处。