企业级智能化Internet访问解决方案
摘 要:建立一套适用于企业的智能化Internet访问解决方案,方案包括:(1)双ISP链路负载均衡方案;(2)Internet流量智能监控;(3)智能网页过滤方案。应用整体Internet访问解决方案使得企业网络访问速度提升明显,内部病毒和木马程序大为减少,网络环境得到了极大的净化,网络应用水平获得极大的提升。
关键词:负载均衡 流量监控 Websense
随着互联网的不断发展,企业内部的Internet访问量呈不断上升趋势,目前已经具备一条电信出口链路和一条联通出口链路。企业自行摸索建立了一套适用于企业的智能化Internet访问解决方案,方案主要亮点是1、有效利用双ISP链路,合理负载均衡网络出口,同时做到网络出口出现故障时及时翻转流量。2、更好的利用带宽,在更深层次,更小的力度上保证合法访问的流量带宽,同时限制其他非法访问流量。
一、双ISP链路负载均衡解决方案
要做到双ISP负载均衡,不能简单的指定内部不同用户使用不同出口,必须能够找到可行的智能化选路方案,让用户在访问电信网站时使用电信链路,访问联通网站时使用联通链路。
链路负载均衡完美的实现方式是使用一台高端的路由设备,通过ISP的BGP路由器将目前已经获知的所有Internet上25万条聚合路由条目通告给这台路由器,根据不同的路由条目下一条指向, 通还是电信链路。目前市场上的高端流量负载均衡设备也可以做到完美的Internet流量负载均衡。但是这些解决方案的缺点是设备投资高,而且需要Internet运营商支持和配合,可能会产生巨额的费用。
这样做的结果是,如果用户访问网站的域名经DNS解析后落在这259条聚合路由条目的范围内,其访问路径会智能化的从联通接口进入Internet,网站的回复报文自然会从联通链路返回到用户端;当用户访问的IP地址不在联通的聚合路由中时,流量会经由preference值为1的默认路由条目,从电信链路转发;当电信或联通链路有一条中断时,流量会从指向另一条链路的默认路由转发。如此一来便实现了智能化的ISP流量负责分担。
实际应用中可能还涉及到网络地址转换的具体配置,在此不作详述。
二、Internet智能流量监控
Internet流量监控设计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观上或客观上都能防止网络用户的不良行为导致网络性能和安全性受到负面影响。
传统的防火墙只能针对四层会话信息对报文进行过滤和筛查,如果遇到像Bittorrent这样使用随机端口,且报文头部信息加密的数据报文是无法进行识别的,更谈不上监管和限制了。
我们在网络流量检测和带宽控制方面,应用以色列Allot公司的 NetEnforcer串接在防火墙与核心三层交换机之间。Allot NetEnforcer具备智能化的旁路功能,能够在断电或失效故障的情况下自动旁路,确保了不因为主干链路添加设备而增加故障点。
NetEnforcer的基本策略制定思路是:将系统数据库预定义的和用户自定义的各种数据流分类,然后放入各自的虚拟管道(virtual pipes)中,根据用户指定的策略对各种数据流加以区别,分别分配不同的带宽。同时系统还能够根据这些不同分类方法统计出用户链路上的数据流统计信息。现在流行的BT,edonkey和迅雷等浪费网络带宽的下载都可以得到有效的防范。
三、智能网页过滤解决方案
在网页过滤方面,企业应用Websense内容过滤解决方案和Netscreen防火墙的联动功能,所有外部访问都要经过庞大且完备的Websense数据库的筛查,杜绝了内网用户访问恶意网站的唯一途径。
举例来说,用户在浏览器中输入www.sina.com.cn,站点的域名首先进行DNS解析,获得站点ip地址后发起三次握手过程建立TCP连接,之后会发起一个Get/http动作。这时防火墙会智能化的扫描这个动作,然后在报文中找到“host:www.sina.com.cn/r/n”这个字串,并将这个字串中的url名送至websense进行查找。如果这个域名在放行列表中,则报文被转发;如果用户需要访问网站的url在websense的禁止列表当中(默认的禁止列表囊括了当今数百万条url域名中所有的成人内容、、滥用药物、MP3、赌博、游戏、黑客、非法的或有问题的、好战性和极端主义、代理服务器避免(Proxy Avoidance)、URL翻译网站、Web聊天、未分类的、种族主义和仇恨、不雅观的、暴力和武器类别的网站,同时用户还可以根据自身需求自定义一些禁止访问的网站列表。),Websense服务器会通知防火墙丢弃这个报文,这样用户将无法访问这个站点。用户的非法访问将被重新定向到一个提示网页,告知用户访问非法。
网页过滤的目的在于保护用户访问不良网站,净化网络环境,减少由外往带入的不良信息、恶意软件、以及病毒和木马程序。
四、结束语
通过上文三种手段,企业有效地利用了Internet带宽,平衡了不同ISP的链路流量,同时杜绝了内部用户对于非法外部网站的访问。应用整体Internet 访问解决方案使得企业网络访问速度提升明显,内部病毒和木马程序大为减少,网络环境得到了极大的净化,网络应用水平获得极大的提升。
参考文献:
[1]Juniper Netscreen防火墙说明书,2007.
[2]蔡建新.《Cisco CCNP网络工程师.》.北京:清华大学出版社,2005
关键词:负载均衡 流量监控 Websense
随着互联网的不断发展,企业内部的Internet访问量呈不断上升趋势,目前已经具备一条电信出口链路和一条联通出口链路。企业自行摸索建立了一套适用于企业的智能化Internet访问解决方案,方案主要亮点是1、有效利用双ISP链路,合理负载均衡网络出口,同时做到网络出口出现故障时及时翻转流量。2、更好的利用带宽,在更深层次,更小的力度上保证合法访问的流量带宽,同时限制其他非法访问流量。
一、双ISP链路负载均衡解决方案
要做到双ISP负载均衡,不能简单的指定内部不同用户使用不同出口,必须能够找到可行的智能化选路方案,让用户在访问电信网站时使用电信链路,访问联通网站时使用联通链路。
链路负载均衡完美的实现方式是使用一台高端的路由设备,通过ISP的BGP路由器将目前已经获知的所有Internet上25万条聚合路由条目通告给这台路由器,根据不同的路由条目下一条指向, 通还是电信链路。目前市场上的高端流量负载均衡设备也可以做到完美的Internet流量负载均衡。但是这些解决方案的缺点是设备投资高,而且需要Internet运营商支持和配合,可能会产生巨额的费用。
这样做的结果是,如果用户访问网站的域名经DNS解析后落在这259条聚合路由条目的范围内,其访问路径会智能化的从联通接口进入Internet,网站的回复报文自然会从联通链路返回到用户端;当用户访问的IP地址不在联通的聚合路由中时,流量会经由preference值为1的默认路由条目,从电信链路转发;当电信或联通链路有一条中断时,流量会从指向另一条链路的默认路由转发。如此一来便实现了智能化的ISP流量负责分担。
实际应用中可能还涉及到网络地址转换的具体配置,在此不作详述。
二、Internet智能流量监控
Internet流量监控设计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观上或客观上都能防止网络用户的不良行为导致网络性能和安全性受到负面影响。
传统的防火墙只能针对四层会话信息对报文进行过滤和筛查,如果遇到像Bittorrent这样使用随机端口,且报文头部信息加密的数据报文是无法进行识别的,更谈不上监管和限制了。
我们在网络流量检测和带宽控制方面,应用以色列Allot公司的 NetEnforcer串接在防火墙与核心三层交换机之间。Allot NetEnforcer具备智能化的旁路功能,能够在断电或失效故障的情况下自动旁路,确保了不因为主干链路添加设备而增加故障点。
NetEnforcer的基本策略制定思路是:将系统数据库预定义的和用户自定义的各种数据流分类,然后放入各自的虚拟管道(virtual pipes)中,根据用户指定的策略对各种数据流加以区别,分别分配不同的带宽。同时系统还能够根据这些不同分类方法统计出用户链路上的数据流统计信息。现在流行的BT,edonkey和迅雷等浪费网络带宽的下载都可以得到有效的防范。
三、智能网页过滤解决方案
在网页过滤方面,企业应用Websense内容过滤解决方案和Netscreen防火墙的联动功能,所有外部访问都要经过庞大且完备的Websense数据库的筛查,杜绝了内网用户访问恶意网站的唯一途径。
举例来说,用户在浏览器中输入www.sina.com.cn,站点的域名首先进行DNS解析,获得站点ip地址后发起三次握手过程建立TCP连接,之后会发起一个Get/http动作。这时防火墙会智能化的扫描这个动作,然后在报文中找到“host:www.sina.com.cn/r/n”这个字串,并将这个字串中的url名送至websense进行查找。如果这个域名在放行列表中,则报文被转发;如果用户需要访问网站的url在websense的禁止列表当中(默认的禁止列表囊括了当今数百万条url域名中所有的成人内容、、滥用药物、MP3、赌博、游戏、黑客、非法的或有问题的、好战性和极端主义、代理服务器避免(Proxy Avoidance)、URL翻译网站、Web聊天、未分类的、种族主义和仇恨、不雅观的、暴力和武器类别的网站,同时用户还可以根据自身需求自定义一些禁止访问的网站列表。),Websense服务器会通知防火墙丢弃这个报文,这样用户将无法访问这个站点。用户的非法访问将被重新定向到一个提示网页,告知用户访问非法。
网页过滤的目的在于保护用户访问不良网站,净化网络环境,减少由外往带入的不良信息、恶意软件、以及病毒和木马程序。
四、结束语
通过上文三种手段,企业有效地利用了Internet带宽,平衡了不同ISP的链路流量,同时杜绝了内部用户对于非法外部网站的访问。应用整体Internet 访问解决方案使得企业网络访问速度提升明显,内部病毒和木马程序大为减少,网络环境得到了极大的净化,网络应用水平获得极大的提升。
参考文献:
[1]Juniper Netscreen防火墙说明书,2007.
[2]蔡建新.《Cisco CCNP网络工程师.》.北京:清华大学出版社,2005
Tags:
上一篇:外部创新源对企业创新的影响研究下一篇:星级酒店设计管理方法研究
内容搜索
推荐论文
最新论文
© Copyright 2007 - 2010 5189lw我要发表论文网 All Rights Reserved
备案许可证编号:鄂ICP备09005757号
所有资料均源于网上的共享资源及期刊共享,请特别注意勿做其他非法用途。 资讯QQ:860535337
备案许可证编号:鄂ICP备09005757号
所有资料均源于网上的共享资源及期刊共享,请特别注意勿做其他非法用途。 资讯QQ:860535337
