硬件代理解決用戶上網問題
一、需求分析
某集團是多家企業重組建立的大型設計諮詢企業,下設10多個分公司,上網人數衆多。有多臺WebServer對外服務,每天訪問量很大。以前無論是Linux下的Squid+Iptables,還是微軟的ISAServer在提供互聯網代理訪問服務、實現用戶認證方面都無法完成我們需要的代理上網需求,這些軟件代理服務器無法承受全網所有用戶的訪問代理服務,當用戶量增多的時候,性能便慢到無法忍受,而且軟件代理服務器維護起來不是軟件本身出了問題就是操作系統被***、中***,維護起來相當麻煩,我們網絡部門時常會被突然的網絡終端而受到用戶埋怨。
在此之後,又採用了PIX做NAT上網的方案,一開始速度還可以,可到後來每況愈下,知道reboot機器,這中方式下防火牆提供有效的訪問控制,但其中許多並不是設計來檢測和屏蔽應用層的***的PIX這樣的firewall,它們主要功能不是設計來進行用戶控制的,僅用邊界防火牆是不夠的現在70-80%的***試探是針對Web應用端口近來,說白了是通過IE流入的,幾乎所有***軟件都在向Web平臺轉移,很多***會在firewall上開個大口子,***進來。而防火牆不能有效對這種通訊進行控制和提供安全性,所以應用的效果也不理想。
經過調研,選用硬件代理設備,聯繫了BlueCoat、NetAPP和兩家公司的設備做測試,這兩款產品成爲琳琅滿目的Web前端加速器的最佳“縮影”,當時BlueCoat在中國大陸沒有了銷售和服務,故只有一家了。NetAPP公司是一家以WEB緩存(Cache)技術起家的公司,他的硬件代理主要由這幾項技術組成:TCP複用、負載均衡、緩存和SSL加速,提供了最爲全面的緩存功能,在配置和管理、改善Web安全狀況、性能、認證、流媒體支持、日誌和報告都提供了相當好的功能和圖形顯示,且價格我們能接受,故選用此設備做再次更深入的測試。
測試過程如下:
略
企業網絡圖
測試環境:
1、全集團公司實際用戶數2000個用戶、併發有1000個用戶
2、總公司PROXY主要用戶集中在北京、其它各個分公司的PROXY在本地。但用戶上外網認證,在總公司的Windows2008 AD Server上
3、將新的設備架到網絡中如上圖(注意一定要串接到網絡中,一般在Firewall之後,而不要圖省事而旁路接入網絡)
測試對象包括:通過代理服務器訪問互聯網的用戶、可以通過的協議、內容過濾方式、提供日誌數據、使用訪問控制列表、限制並防止未經授權的用戶訪問特定的服務、通過使用內部數據庫、LDAP、NTLM和RADIUS平臺,支持用戶和組驗證
現在我們看看這臺硬件代理的基本配置情況:
CPU | Intel2GHZ |
磁盤驅動器 | 6塊180GB(SATA接口做了RAID0,讀寫最快,最有效率) |
內存 | 4GB |
網絡接口 | 3x10/100/1000網卡 |
操作系統 | 專用安全OSNetappRelease5.9(類UNIX系統) |
硬件代理內部結構
1).用電腦將串口連接設備的COM口相連接,用超級終端軟件進入系統後使用SETUP命令完成基本配置。過程忽略。
2).配置好設備的IP地址後,接入先後網絡,接下來使用HTTP的方式在IE流覽器下配置,位置在Setup標籤中設置相關配置,這裏忽略。
進入界面的方法:
輸入http://10.68.200.233:3132
USER:admin
PASSWORD:NetCache(出廠默認密碼)
3然後我們要在設備上啓用PROXY功能,設置的位置如下圖所示
接着還要經過啓用INTERFACE、配置默認網關、增加靜態路由、配置DNS等幾個步驟,就可以使用了(其過程很簡單)。
5完善認證配置
一般的企業是全員上網,還有些單位是限制用戶上網的,這樣可以通過使用內部數據庫、LDAP、NTLM(域用戶認證)和RADIUS平臺,支持用戶和組驗證上網。利用此設備能夠實現,而且配置較簡單,不需要修改現有的配置。
認證界面(和AD帳號統一)
6用戶訪問的控制
測試情況說明:可以使用訪問控制列表,根據特定的用戶、用戶組、請求類型(例如HTTP)、客戶端IP地址或其他變量,限制並防止未經授權的用戶訪問特定的服務。遺憾的是這一功能需要使用命令行模式配置)需要自己一行一行的寫進去。
假如,禁止訪問88888.COM.CN
DENYURL“HTTP://88888.COM.CN
禁止某個IP上網
命令:denyclient-ip10.68.200.231禁止這個機器訪問
7內容過濾的功能
通過Secure Computing SmartFilter和Web Washer Dyna BLocator提供on-boxInternet內容過濾方式;通過Websense支持off-box內容過濾,對於現在網上的絕大多數的***都能過濾掉,想通過IE下在的惡意插件也能有效的防治,使進入內網絡的數據的安全性得到了提高。
上面功能是站點分類但是需要買LICENSE服務(以下這些分類)在Setup選項卡的Accesscontrol欄目。
8設備LOG日誌測試
(測試情況:可以查看用戶訪問信息、CACHE情況、系統信息,提供可自定義的日誌數據,監視NetCache的活動,並根據計劃將日誌發送到FTP服務器、Web服務器或ContentReporter這是個智能的分析軟件)
每個用戶訪問的情況。在WEBACCESS中顯示了每個連接的源地址,目標地址及訪問內容
而且是不停的往上回滾的,後臺有軟件來分析。
9數據分析情況
系統狀態可以查看服務的狀態、CACHE匹配、內存、硬盤等統計信息,在Data選項卡的SystemStatus->General中,您的機器必須安裝JAVA虛擬機才能顯示圖表。
10.此設備在使用過程中隨時口可以通過點幫助來解決問題。位置在界面的又上方。
三、項目實施結果分析:
由於我們使用了專有設備,專用設備和專用操作系統不出自Windows或Unix,無需加固,沒有補丁,沒有安全方面的隱患,由於在網絡中用Firewall進行屏蔽,用硬件Proxy進行控制使得配置和管理工作得到了極大的簡化。最重要的是,該解決方案實現了集中化管理,大大地減少了實施互聯網訪問的針對特殊情況的例外策略所相關的管理工作。爲企業網絡管理節省了時間和開銷。結果是內網現在具有了控制員工如何使用互聯網的能力,並通過HTTP和流媒體緩存功能加速網絡的訪問速度,優化出口帶寬的使用。使Web通訊和網絡安全牢不可破──這對於一個大規模的企業來說是最主要的好處。