《校园网规划与设计科学与技术学院毕业设计.doc》由会员分享,可在线阅读,更多相关《校园网规划与设计科学与技术学院毕业设计.doc(56页珍藏版)》请在三一办公上搜索。
1、 摘要本设计主要介绍的是学校园区网络的设计方案。校园网的规划和设计,涉及到诸多的方面,包括校园的实际地形,规模,功能,需求以及经费。根据实际的环境来合理选择设计网络中使用的拓扑结构,根据规模来选择相应的设备,根据功能来选择采用的网络技术。总之是要根据实际中的具体情况来设计自己的校园网的网络。然而,校园网宗旨永远不会改变,那就是:校园网是为学校师生提供教学、科研和综合信息服务的多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带、具有交互功能和专业性安全性很强的局域网络。视频点播的多媒体教学、各种应用都可以在网络上运行,并可以通过有线或无线的方式连接起来
2、。校园网的设计和规划关系到学校的正常教学和学生学习。所以校园网的设计是一件重中之重的大事。此文章旨在给大家提供一个设计思路和方向,但具体的设计方案一定要根据校园网的要求来具体设计。关键词: 拓扑结构;信息化;局域网络;多媒体教学Abstract This paper introduces the design of the school campus network. The planning and design of the campus network that involves many aspects, including the campus of the actual terra
3、in, size, function, needs and funding. According to the actual environment to a reasonable choice to use in the design of the network topology, according to the scale to select the appropriate equipment to select the network technology. In short, according to the specific circumstances of the actual
4、 design of their own campus network. However, the purpose of the campus network will never change, that is: The campus network is a multimedia network for teachers and students to provide teaching, research and information services. First of all, the campus network for school teaching, scientific re
5、search and provides advanced information technology teaching and learning environment. This requires: the campus network is a broadband, interactive, and professional security very local area network. Video on demand, multimedia teaching, application System can be run on the network, and can be conn
6、ected by wire or wireless means. Campus network design and planning related to the normal school teaching and student learning. The design of the campus network is a top priority of the event. This article aims to provide a design concept and direction, but the specific design must be based on the r
7、equirements of the campus network to a specific design.Keywords:Topology ; Information Technology ; Local area network ; Multimedia teaching 目录引 言11. 校园网需求分析2 1.1 校园网的基本组成2 1.2 校园网的应用需求22. 校园网设计方案5 2.1 设计原则5 2.2 层次化设计5 2.3 三出口设计7 2.4 网络拓扑图设计8 2.5 IP 规划方案9 2.6 路由设计方案103. 网络安全设计方案13 3.1 防火墙13 3.2 用户接入
8、安全17 3.3 分校区接入安全20 3.4 移动接入安全224. 行为管理方案26 4.1 行为审计设计26 4.2 上网权限方案27 4.3 流量管理模块27 4.4 上网速度优化285. 服务器链路、应用负载优化30 5.1 链路负载均衡的需求30 5.2 应用负载均衡的需求30 5.3 方案设计316. 认证计费管理33 6.1 校园网计费管理的几大特点33 6.2 应对措施与方案347. 视频点播设计36 7.1 校园网VOD系统中的关键技术指标36 7.2 校园网VOD系统设计37 7.3 VOD 系统配置方案实例398. 无线网络覆盖设计40 8.1 建设目标41 8.2 无线覆
9、盖实现419. 交换机设备选型46 9.1 核心层设备选择46 9.2 汇聚层设备选择46 9.3 接入层设备选择4710. 总结48参考文献50 引言在网络信息时代的今天,网络已经成为生活、学习、工作中必不可少的一部分。学校,特别是高等院校在面向新的需求和挑战,为了学校的科研、教学、管理的技术水平,为研究开发和培养高层次人才建立现代化平台,在学校中建立高效可靠强大的校园网络已是十分迫切的需要。高等院校除了作为人才培养基地外,也是重要的科研基地,每年有大量的课题在高校中进行,研究人员需要收集资料、与同行交流研究心得等,促使研究的进展,作为全球最大的信息源和交流方式,计算机网络正是最合适的选择。
10、学校作为一个实体都有比较大的规模,人员繁多,各类事务也非常多,但经费一般比较紧张,比其他行业更需要提高管理效率,在日常管理中节约经费。在校园内组建网络,在服务教学、科研的同时,也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用,但与节省的费用相比,依然可以接受。 校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统的开放性、
11、可持续发展性,便于以后集成视频会议、视频点播等高层次教学功能。随着计算机技术、网络技术的发展,网络设备的价格不断下降;同时国家各级政府对于教育的投入不断增加,大量计算机进入了校园,组建校园网不仅是十分迫切的工作,可行性也非常高。 1 校园网需求分析1.1 校园网的现状介绍通常情况下,校园网建设的具体需求,应结合学校的未来发展需要,所作的校园网具体设计方案。根据本方案学校的需要,我们将使用OSPF协议连通骨干网络,数据中心提供吉比特以太网解决方案,并通过vpn与其它校区互连。 根据系统建设目标及应用系统的特点,当前计算机网络普遍采用结构化三层设计,即核心层,汇聚层,接入层。在Internet技术
12、的迅猛发展及其在信息系统领域的广泛应用下,我们在系统中同时提供Internet环境和应用开发平台。Internet的Mail技术和FTP等技术将直接应用于信息的采集和传输。建立Web站点,利用WWW技术是实现校园信息查询服务的有效手段,同时利用WWW技术还能较好的实现远程教学,实现教、学双方的交互。1.2 校园网的应用需求1.2.1 校园网的基本应用作为校园网,需要连接多少个节点,怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中,怎样使整个网络上的节点相互连通,这些问题仅仅是校园网需要解决问题中的一部分,更重要的问题如何将这些资源有序地组织起来,需要实现什么功能,以满足现在
13、和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系,建立满足教学、科研和管理需求的计算机环境,为学校各种人员提供充分的网络信息服务,在网络环境中进行教学、研究、收集信息等工作。 校园需要的基本功能有: 计算机教学,包括多媒体教学和远程教学; 网络下载、网络聊天等; 电子邮件系统:主要进行与同行交往、开展技术合作、学术交流等活动; 文件传输FTP:主要利用FTP服务获取重要的科技资料和技术文挡; INTERNET服务:学校可以建立自己的主页,利用外部网页进行学校宣传,提供各类咨询信息等,利用内部网页进行管理,例如发布通知、收集学生意见等。 图书馆的访问系统,
14、用于计算机查询、计算机检索、计算机阅读等;提供校园网内实时视频点播服务以及优良的语音服务。提供覆盖全校园的无线局域网,方便移动用户获取上网资源。其他应用,如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。分校区的接入内网,校外老师,学生接入内网提供一个安全,稳定的网络1.2.2 预期达到的目标校园网络建设的目标应该是:建成后的网络能充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息,实现资源共享,能够为住在此校区的学生提供丰富的多媒体教学手段,实现高质高效的教学目标。学生不出宿舍,或者在校园的每一个角落,都可以访问校园内的大量的共享资源,可以访问电子图书馆
15、、阅览室、邮件服务等高速、安全、稳定的Internet接入。由此,我们认为,校园网网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的,具备多媒体综合业务发展需求的园区网络。系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。本着为学校校区着想,合理使用建设资金,使系统经济可行。学校网络应当实现如下功能: 实现到Internet的接入,实现信息在Internet的发布; 信息资源库,建成一个适合于信息采集、共享的内部网络,在此基础上建立供教学及人员培训使用的内部网络以及内部办公网络; 将现有的计算机机房
16、,多媒体教室能共享内部网络资源; 快速以太网接入各间教室,方便教师多媒体教学、远程教育; WWW服务,作为信息服务的平台; Email服务,作为信息传递和与外界交流的主要手段; FTP服务,作为教学资源的共享方式; 学生宿舍接入校园网,为学生营造一个更好有学习环境。 使用DHCP服务器为学生宿舍接入校园网动态分配IP地址; 视频会议,便于多个校区的统一管理; 其他功能:网络安全管理、教师备课功能、对外交流、校园管理平台。2 校园网设计方案2.1网络设计原则 校园网是一个满足数字、语音、图形图象等多媒体信息,以及综合科研信息传输和处理需要的综合数字网,并能符合多种网络协议,体系结构符合国际标准或
17、事实上的国际工业标准(如TCP/IP),同时能兼容已有的网络环境。 (1) 先进性技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性,技术上的先进性也使系统的扩充和维护变得十分简单。 (2) 可靠性网络骨干线路的冗余备份、网络核心设备的冗余备份和电源冗余备份等方面保证学校园区网的可靠性。 (3) 开放性和可扩充性主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的开放性和扩充性。 (4) 可管理性网络管理基于SNMP,并支持RMON和RMON2,以及标准的 MIB。利用图形化的管理界面和简洁的操作方式,合理的
18、网络规划策略,提供强大的网络管理功能。一体化的网络管理使网络日常的维护和操作变得直观,便捷和高效。 (5) 安全性内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ ELAN 、防火墙等对访问进行控制,确保网络的安全。 (6) 实用性网络系统的设计在性能价格比方面充分体现系统的实用性,既要采用先进的技术,又能在经费允许的条件下实现建网目标。2.2层次化设计此次校园网的网络,我认为应该规划为三层较为合理:(1) 接入层(2) 汇聚层(3) 核心层这三层的规划是现代网络技术中规划的最为成熟的,这样规划一是能够有良好的层次感利于实现较为复杂的网络功能要求。二是这样分层能够使每层的功能较容易
19、实现也较清楚。三是采用这种分层方式可以支持较大的网络规模便于校园网的升级扩大。2.2.1接入层接入层为用户提供对本地网段的访问,它的主要作用是将工作组计算机与汇聚层连接起来,主要完成逻辑网络分段,给予工作组或LAN隔离广播通信以及在多个CPU之间分布服务。其特点有以下几点:(1) 提供不同数量的100M端口到用户,提供1000M上行链路端口到汇聚层交换机。(2) 成本低,所有端口支持全线速二层交换。(3) 网络设备扩展性好,可平滑升级。 为隔绝广播域的大小设置在交换机上设置vlan,用户接入用access口,上联使用Trunk口2.2.2 汇聚层汇聚层分2级汇聚,对向下的链路会将接入层的数据进
20、行会聚,上于上行链路则会通过上行链路端口将数据传输到上一级汇聚层交换机,并且多数的安全配置都是在会聚层交换机上进行的。在设计汇聚层结构时,还应该充分考虑到以下几点因素:(1) 汇聚层交换机要有充足的带宽。(2) 必须具有冗余和流量均衡的功能。(3) 能够实现各种安全策略以保证网络的安全和数据包转发的合理。(4) 配置多层交换机最佳,以方便网络的扩展。由于,汇聚层交换机只负责汇聚一个部门或一个建筑物之中的数据,即使出现故障,也并不会影响整个园区网络。考虑到设备价格昂贵且汇聚层冗余技术意义并不大,应此在汇聚层中并未进行冗余链路的设计,但是对于宿舍来说,其网络用户接入量巨大,所以这里要适当的使用堆叠
21、技术,以保证拥有足够的端口供接入层交换机使用和充足的背板带宽。对于2级汇聚层上联开启三层接口,下联使用Trunk口连接并且开启生成树,成为生成树根。对于1级交换机所有接口开启三层交换只做汇聚,转发。2.2.3 核心层核心层交换机的最重要作用只有仅转发数据,应此在选择核心层网络设备的时候,一定要估算它能够承载的信息流量。应此,在此假设校园网中的PC机全部以线速通过核心层交换机,测算大概的流量。规划的校园网约有15000个节点,假设最大满负荷时用户的使用率为50%。既约7500用户同时登陆校园网。用户的桌面速率为10Mbps,假设他们以80%的利用据在进行运作。按这种网络利用率极高时的情况做测算,
22、网络中的最大信息流量为:15000 * 50% * 10 * 80% = 60(Gbps)由于考虑到校园网络将来可能的升级情况或增加新的接入点,因此参考以上数据值,以及将来可能的升级情况,所以在设备选型的过程中应充分的考虑。2.3 三出口设计2.3.1多出口支持挑战当前大部分国内高校校园网出口都采用多出口架构,原因有二:1)提高访问不同网络资源的速度。CERNET和电信、网通等运营商互联仅在北京、上海、广州三地有交换中心,且带宽也不够高,这就给教育网访问公网,运营商网访问教育网带来瓶颈,需要采用多出口来提高访问速度。2)解决线路备份问题,避免出现单出口的单点故障。在实际应用中,多出口架构需要出
23、口设备支持多元素匹配的策略路由功能,且实际应用的策略路由规则的数量多达几百条。早期或部分新的出口设备由于采用海量策略路由,性能下降较多,影响了出口性能。2.3.2 NAT性能挑战 由于校园网大多采用私网地址,网内用户访问外网需要进行NAT(网络地址转换),即使有些高校拥有较多教育网IP,在使用网通、电信线路访问外网资源时仍然需要进行NAT。由于运营商分配的地址有限,校园网出口设备需要进行海量的NAT,因此,出口设备的NAT性能成为了决定校园上网速度的重要因素。NAT性能主要取决三个因素:a)NAT最大并发连接数;b)NAT新建连接速率;c)NAT吞吐能力。 图2.1 (1)Cisco 7000
24、系列路由器拥有强大的路由功能,并支持海量策略路由,使海量策略路由条数不再成为性能瓶颈。并且具备10Gbps处理能力,并采用万兆接口,万兆的线路使得校园骨干网到出口设备之间的带宽不再是瓶颈,从而解决了以前出口设备千兆接入骨干网时容易产生的网络拥塞问题。支持300万NAT并发数,新建连接速率可达20万/秒,NAT吞吐能力为10Gbps,在原有出口带宽不变的情况下,新建速率和NAT并发数性能的提升使得校园出口支持的会话数上升了50%,上网高峰期(下午15:00-17:00;晚上20:00-22:30)时出现的WEB链接慢、QQ/MSN掉线、下载文件速率低、在线视频不流畅、停顿等现象都会大大减少。应用
25、QOS策略,针对BT、电骡、迅雷等P2P应用进行带宽限制,可以使WEB访问、邮件、远程多媒体教学等校园网正常业务的流量得到充分保障。 (2)在Cisco 路由器上利用策略路由和浮动静态路由技术,设置电信出口为校园网用户浏览Internet的第一出口选择,网通出口作为第二选择。当电信出口出现故障时可以自动切换接口。设置图书馆和教学楼的第一选择为教育网接口,师生们可以直接访问教育网内的教学资源。2.4网络拓扑图设计图2.22.5 IP规划方案 学生宿舍网段:10.0.0.0/13,网关为10.x.x.254,掩码为255.255.255.0 网管,设备管理地址,服务器地址为192.168.0.0/
26、16 教师,教学楼等网段172.16.0.0/16网关为10.x.x.254,掩码为255.255.255.0 具体分配如下表:区域分配接入点数IP地址段子网掩码网管中心2个子网192.168.0.0/23255.255.255.0服务器群3个子网192.168.2.0/23192.168.4.0/24255.255.255.03层设备互联管理地址3个子网192.168.5.0/24192.168.6.0/23255.255.255.248教学楼4个子网172.16.0.0/22255.255.255.0科技楼12个子网172.16.4.0/22172.16.8.0/21255.255.255
27、.0图书馆8个子网172.16.16.0/21255.255.255.0核学院2个子网172.16.24.0/23255.255.255.0计算机楼12个子网172.16.28.0/22172.16.32.0/21255.255.255.0学术交流中心2个子网172.16.26.0/23255.255.225.0黎灿活动中心8个子网172.16.40.0/21255.255.225.0教工宿舍24个子网172.16.48.0/21172.16.56.0/20255.255.225.0西区宿舍10.1.0.0255.255.225.0北区宿舍10.2.0.0255.255.225.0南区宿舍10
28、.3.0.0255.255.225.0表2.12.6 路由设计方案 静态路由协议:是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。 动态路由协议:是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由
29、适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。 根据是否在一个自治域内部使用,动态路由协议分为内部网关协议(IGP)和外部网关协议(EGP)。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议,常用的有RIP、OSPF;外部网关协议主要用于多个自治域之间的路由选择,常用的是BGP和BGP-4。可以将校园网看做是一个AS系统,所以我们主要讨论内部网关协议。2.6.1 RIP路由协议RIP协议是Internet中常用的路由协议。RIP采用距离向量算法,即路由器根据距离选择路由,所以也称为距离向量协
30、议。路由器收集所有可到达目的地的不同路径,并且保存有关到达每个目的地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。这样,正确的路由信息逐渐扩散到了全网。RIP使用非常广泛,它简单、可靠,便于配置。但是RIP只适用于小型的同构网络,因为它允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可达。而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。2.6.2 OSPF路由协议80年代中期,RIP已不能适应大规模异构网络的互连,0SPF随之产生。它是网间工程任务组织(IETF
31、)的内部网关协议工作组为IP网络而开发的一种路由协议。OSPF是一种基于链路状态的路由协议,需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用OSPF的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。与RIP不同,OSPF将一个自治域再划分为区,相应地即有两种类型的路由选择方式:当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择。这就大大减少了网络开销,并增加了网络的稳定性。当
32、一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作,这也给网络的管理、维护带来方便。OSPF是最好的选择 针对网络拓扑不是很大,RIP路由协议是最方便,简洁,并且易管理的。但在实际校园网中,随着网络的不断扩展、用户网络对性能要求的不断提高,RIP已经不足以得心应手。这时,我们就非常需要一个能够在可持续发展方面有良好表现的路由协议承载着校园网络,OSPF是非常好的选择。 OSPF协议的基本思路如下:在自治系统中每一台运行OSPF的路由器收集各自的接口/邻接信息称为链路状态,通过Flooding算法在整个系统广播自己的链路状态,使得在整个系统内部维护一个同步的链路状态数据库,根据这一
33、数据库,路由器计算出以自己为根,其它网络节点为叶的一根最短的路径树,从而计算出自己到达系统内部可达的最佳路由。OSPF是一类Interior Gateway Protocol(内部网关协议IGP),它处理在一个自治系统中,路由器的网络的路由表信息。本设计中,把核心交换机,和1级汇聚的交换机接口地址发布到区域0,接下来服务器区的各业务网段作为区域1,宿舍区,的12级汇聚层交换机,以及业务网段作为区域2,图书管单独作为区域2,网络中心为区域3,剩余地址作为区域4。在三层交换机上默认路由指向出口,并把该默认路由重发布到ospf内。 3 网络安全设计方案3.1 防火墙设计3.1.1黑客攻击方式和目的的
34、变化早期的黑客攻击手段大多为非破坏性攻击,一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击(Ping of Death等)网络层方式。其主要目的也只是为了技术炫耀型为主。而当前的黑客攻击目的完全以利益为驱动,技术手段更加倾向于应用化、内容化、混合化。所谓应用化,面对堡垒森严的网络层防护手段,黑客要想悄无声息的入侵IT系统,必须采用更高层次的方式绕过这些防护手段。所以,基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞,比如根据卡巴斯基2011年Q1漏洞排行榜,Adobe Reader、Flas
35、h Player的包揽前三甲。所谓内容化,黑客在成功入侵后更加关注的是IT系统中的内容,比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此,通过木马、后门、键盘记录等方式可以不断获取这些关键内容,并进行非法利用而牟利。所谓混合化,在黑客一次攻击行为中使用了多种技术手段,而非原来单一的病毒蠕虫或者漏洞利用。比如,黑客要想入侵一台Web服务器上传木马的过程:端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。3.1.2我们需要的功能 (1)能够防护混合型攻击威胁的防护:传统防火墙无法提供DPI深度检测,而IPS、WAF、AV等设备防护功能单一,需要相互搭配
36、使用。因此,面对多种安全威胁的混合型攻击,我们需要一个完整的应用层安全防护方案。(2)能够保护应用内容:针对黑客对内容的关注,需要基于应用的内容做安全检查,包括扫描所有应用内容,过滤有风险的内容,甚至让用户自定义哪些内容可以进出,哪些内容不能进出。3.1.3防火墙成为了“摆设”从1990开始,随着Internet的快速发展,网络安全的问题也逐步为人们所重视,从最初采用简单的访问控制列表,到部署防火墙来保护周界安全。传统防火墙目前在网络当中主要的功能包括:(1)通过基于端口和IP的访问控制,实现安全域的隔离与划分;(2)通过地址转换,实现内部IP规划的隐藏;(3)通过抵御DOS等网络层攻击,确保
37、系统稳定运行;一句话,传统的防火墙就像是带着眼罩的宝安,拿着盾牌迎大炮3.1.4 IPS+AV+WAF补丁式的方案 面对防火墙成为“摆设”的现实,出现了不少补充型的加固方案,其中最典型的方式就是FW+IPS+AV+WAF这种“串糖葫芦式”的建设。在一段时间内,这种方式成为了用户的不错选择。但是,随着业务的开展,其问题日益凸显: (1)投资成本高:首先,同样性能的应用层安全设备要比网络层安全设备高数倍,再部署多台,整个方面的前期硬件投资就会增加4倍甚至10倍。其次,持续的运维成本也是不小的开销,能源消耗、配套建设(电源、空调)、人力成本等等也会急剧增加。 (2)防护效果不理想:这种方案在性能、检
38、测精度、可靠性等方面均存在较多问题。首先,此方案的性能取决于其中性能最低的设备能力,其他安全设备即使有再高的性能也发挥不出来;其次,局域网延时一般在600us,多增加一台设备就意味着延时有提升了200us,尤其是传统AV设备基于文件级别的检测方式延时极大,一份邮件的检测往往需要数秒钟甚至数分钟的时间;然后,面对混合型的攻击入侵,这种方案就无法提供高精度的检测,甚至出现漏报、误报;最后,可靠性差,假如每台设备的故障率为1%,那么串接了4台设备后,故障率就提升了4倍,增加了故障点,降低了系统可靠性。 因此,这种补丁式的建设方案,缺乏站在整体角度审视用户安全需求。因此,不但投资成本高,而且防护效果不
39、理想,与网络匹配性差,只能作为一种过渡方案。3.1.5简单堆砌的UTMUTM的出现曾经很好的解决了“补丁式”安全方案高成本的问题,但是依然无法有效的与网络环境相匹配,无法提供完整的防护功能。这主要是由于UTM的理念和架构设计所造成的,其主要问题体现在: (1)功能缺失: 虽然UTM集成了部分IPS、AV的功能,但由于大部分的UTM都是从FW演进而来,因此其访问控制依然采用基于端口和IP的方式,缺乏针对应用的识别、管控、流量分析、流量优化。所以,部分UTM可以称为“带着半个眼罩”的保安。 (2)应用层性能瓶颈: 首先,UTM只是简单整合了应用层防护功能,IPS、AV、Web过滤都还是独立的检测分
40、析引擎,没有进行统一的整合,一个数据包需要经过多次拆包解包,多次分析匹配才完成处理。同时,由于应用层安全防护强调的是计算的灵活性与并行处理能力(特征比对等),而传统网络层安全设备强调的是单一功能的、重复计算的高性能(基于端口的状态检测)。因此,从防火墙演进而来的UTM往往存在着应用层性能处理瓶颈,这也是为什么我们看到一台2G防火墙性能的UTM,在所有功能都开启后只有400700兆应用层处理能力,性能急剧下降的原因。 因此,UTM的方案只能满足部分规模较小、应用简单网络环境的安全防护要求,但是面对应用复杂、网络性能较高的高端部署场景来说(数据中心、广域骨干网、大型互联网出口等),UTM依然无力。
41、3.1.6 下一代应用防火墙应该具备的功能(1)支持联机“bump-in-the-wire”配置,不中断网络运行。(2)发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(2.1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2.2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。(2.3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。(2.4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境
