1、開發背景

　　現代化的企事業單位普遍需要一套功能強大、操作方便、而又節省資金的網絡架構解決方案。然而隨著全球科技的飛速發展，網絡安全逐漸成為網絡構架中潛在的巨大問題。如何在保證網絡構架本身效率的同時，保護網絡系統中硬件、軟件及系統中的數據不因偶然或者惡意的原因而遭到破壞、更改、泄露，并保持系統了連續可靠性的運行是設計該方案首先需要解決的問題。

　　選擇適當的技術和產品、制定靈活的網絡安全策略、在保證信息安全的情況下，提供適當的安全體系和管理計劃、有效降低網絡安全對網絡性能的影響，并降低管理費用成為計算機網絡模塊的一個重要課題。

　　2、系統簡介

　　本文所設計的解決方案是基于Vyatta路由器與VMware虛擬化栩結合的網絡模塊設計，使用先進的技術研究，從網絡層次考慮而設計的支持個級別用戶以及用戶群的安全網絡。該方案功能強大，操作方便，能夠在低成本消耗的情況下滿足各級別用戶的需求，并在該基礎上保證網絡的安全性。

　　本系統使用Vyatta(一款基于使用可擴展開放路由平臺(XORP)開發的代碼)和VMware作為基礎，通過將修改的Linux操作系統與XORP結合在一起，從而實現個級別用戶之間信息收集與處理，與虛機服務器數據資源的流動和共享。另外，該設計方案還致力于保證網絡模塊的安全性，最大限度地防范以及在降低受到侵擾后的損失。

　　3、設計目標

　　1)參考利用先進的計算機信息技術，以中小型企業為服務對象，設計實現適應于市場經濟環境，方便分配企業資源和優化配置，全面提高企業的行政執行效率以及改善管理模式的安全網絡解決方案。

　　2)基于Intranet/Internet模式，制定合理的安全策略以及全面的安全方案來確保網絡系統的可用性、機密性、與完整性。在滿足用戶通話保密性，確保數據庫安全控制以及自動備份的網絡控制的同時達到各部門以及控制中心之間的高效可靠信息共享。

　　3)根據企業需要，提高全面信息收集處理效率并保持網絡協議和傳輸的透明性，使修改設計方案易于操作維護，便于自動化管理，便于系統及系統功能的擴展，方便企業內外部之間的信息交換以及對所存在問題及時作出反饋和改進。

　　4)采用Vyatta路由以及VMware虛擬化相結合的各項安全策略，如：防火墻技術，NAT技術，vPN，網絡加密技術，防病毒系統，身份認證等，對重要網絡設備進行風險評估，保證信息系統在最優狀況下運行，以此滿足企事業單位對網絡構架新需求。

　　5)在保證網絡信息傳輸、維護效率的同時，降低對設備的依賴、減少不必要的成本費用，使企業能在激烈的競爭中保持優勢，并有更多的資源投入到生產建設中。
 

　　4、網絡設計

　　4.1系統的劃分

　　基于拓展星形拓撲結構，本系統可以分成五大模塊，分別是虛擬化服務器模塊、路由器模塊、安全模塊、無線模塊、拓展模塊。

　　4.2各分模塊介紹

　　4.2.1虛擬化服務器模塊

　　在本系統中，配置了三臺服務器，分別是文件服務器、打印機服務器、郵件服務器。有別于傳統網絡構架需要三臺實體機器分別運行三種不同服務器，本系統采用基于VMware vSphere虛擬化服務器的策略，應用了虛擬化數據中心建立云網絡的最新解決方案見圖2。
 

　　如圖所示，三臺服務器分別被配置在同一個vSphere平臺上，每一臺服務器都有獨自分配的硬件資源和軟件，并且每一臺服務器之間可以共享數據。而這三臺服務器都建立在同一臺物理服務器(vStorage)上，vSphere平臺可以方便地備份虛擬服務器到不同的物理服務器上，從而防止意外情況導致的數據丟失。

　　另外，虛擬化服務器的優勢還在于能方便地同時對多臺服務器進行控制，并且能方便地對任何一臺服務器進行硬件和軟件上的調配。支持遠程操作也是虛擬化服務器的亮點之一。此外由于虛擬化服務器可以共享硬件資源和數據資源，這就把各個服務器有機地結合起來，共同運作在vsphere平臺上。同時，由于虛擬化服務器可以按照系統管理員的需求而手動或自動備份數據，當意外事故發生在某一物理主機時，vSphere可以迅速地把工作平臺切換至另一無故障主機，從而很快完成災難恢復。最后，vSphere對于安全性的提升有著重要幫助，通過VMware vShield Zones服務和VMware VMsafe服務，管理員可以方便地設置安全環境，保證虛擬層的正常運作。

　　最后，由于考慮到同時對Windows和Linux客戶端的兼容性，因此在Linux服務器端配置Samba服務，以保證兼容性。
 

　　4.2.2路由器模塊

　　本模塊是系統的核心組成部分，路由器模塊在整個系統中起到了核心樞紐的作用，它的一端連接外網，另一端連接內網，任何在內外網之間通信的數據都必須經過此路由器模塊組成的網關。

　　在本系統中，路由器模塊的選取不同于通常采用如思科、華為等傳統以硬件為基礎的解決方案，本系統選取了一款開源免費而又功能強大的新型的以軟件為基礎的產品Vyatta。

　　相比于傳統的以硬件為基礎的解決方案，新一代以Vyatta網絡操作系統為基礎的解決方案不再局限于特定硬件所限制的功能(例如傳統路由器通常不提供防火墻功能，需要單獨買防火墻硬件)，而是把各種網絡管理功能集成到Vyatta網絡操作系統中，并通過定期的免費升級來保持最新狀態。在硬件配置上，Vyatta是與與x86處理器無縫銜接，而傳統路由器往往需要采用公司特定的硬件設備。此外，新一代的路由器解決方案在軟件性能、虛擬機兼容性、管理API、云計算等諸多方面都有著獨特優勢。

　　以下是本系統中Vyatta路由器的配置信息：

　　nat{

　　rule 1{

　　destination{

　　address 0.0.O.0/0

　　}

　　Outbound-interface eth0

　　protocol all

　　source{

　　address 192.168.1.0/24

　　}

　　type masquerade

　　)

　　rule 2{

　　destination{

　　address 10.80.131.59

　　port http

　　}

　　inbound-interface eth0

　　inside-address {

　　address 192.168.1.30

　　}

　　protocol tcp

　　source{

　　address 0.0.0.0/0

　　}

　　type destination

　　}

　　}

　　dhcp-server{

　　disabled false

　　dynamic-dns-update{

　　enable true

　　}

　　shared-network-name P00L1{

　　authoritative disable

　　subnet 192.168.1.0/24{

　　default-router 192.168.1.30

　　dns-server 8.8.8.8

　　dns-server 8.8.4.4

　　domain-name vyatta.local

　　lease 86400

　　Start 192.168.1.100 {

　　Stop 192.168.1.150

　　}

　　}

　　}

　　}

　　dns {

　　forwarding{

　　cache-size 150

　　listen-on eth0

　　listen-on eth1

　　name-senrer 8.8.8.8

　　name-server 8.8.4.4

　　}

　　}

　　以上代碼分別設置了靜態IP地址，DHCP服務器，IP偽裝，NAT，DNS。經過以上的設置，路由器基本的功能已經實現。
 

　　4.2.3安全模塊

　　一個系統的穩定安全是保持系統穩定持久運行的必要條件。在安全模塊中，主要在路由器和虛擬化服務器端做了配置，已達到雙保險。

　　在Vyatta路由器上，利用url-filtering的功能可以方便地配置已阻止客戶端訪問禁止的網站：

　　weBPRoxy {

　　cache-size 100

　　default-port 3128

　  listen-address 10.80.131.59 {

　　}

　　listen-address 192.168.1.30 {

　　}

　　url_filtering {

　　squidguard {

　　default-action allow

　　local-block-url example.com

　　log local-block-url-default

　　redirect-url http://192.168.1.30/cgi-bin/squidGuard-simple.cgi?targetclass=%t&url=%u

　　}

　　}

　　}

　　Vyatta還可以通過結合如Qos等配置，更細化監控網絡流量，起到安全網絡的作用。除此之外，系統還在虛擬化服務器端也配置了安全信息。由于本系統采用Ubuntu作為服務器，因此采用Linux下開源免費的ClamAV作為查殺病毒的工具。并采用UFW作為Ubuntu下的防火墻來具體針對某一服務器設置過濾條件。最后，在無線模塊中，通過對無線路由器的配置，進一步鞏固無線方面的安全。

　　4.2.4無線模塊

　　除了提供有線的接入之外，本系統也提供了無線的接入點。在本系統中采用無線路由器，并通過設置Vyatta路由器使得有指定的一定數量的IP地址劃分為無線網絡的IP地址，并通過DHCP自動分配給每一臺連入無線網絡的客戶端。同時，通過無線接入點連入內網的客戶端和通過有線接人點連入內網的客戶端一致，都屬于系統內網用戶，擁有訪問虛擬服務器的權限。

　　4.2.5拓展模塊

　　本系統的拓展模塊提供了一些附加的功能。例如VPN功能，通過對Vyatta路由器的配置開啟VPN服務，這使得客戶可以直接利用外網通過VPN的方式，利用系統提供的VPN密鑰可以登錄系統內部的虛擬服務器進行管理或者資源獲取。配置如下：

　　ssh f

　　allow-root

　　port 22

　　protocol-Version v2

　　}

　　另外，為了更好地監測與限定系統內的流量情況，系統可以配置Qos服務：

　　traffic-policy {

　　limiter LIMIT-MAIL {

　　class 10 {

　　bandwidth 1000kbit

　　burst 15k

　　descnption “Limit inbound mail traffic”

　　match MAIL-TRAFFIC {

　　ip {

　　destination {

　　port 25

　　)

　　}

　　}

　　prority 20

　　}

　　}

　　}

　　其余，比如VLAN等其他服務，也同樣可以方便地在Vyatta路由器中進行配置。

　　5、系統特點與技術特色

　　隨著企事業單位業務需求的不斷上升，這對安全可靠的網絡架構提出了更高的要求。本系統不同于傳統的架構設計，在性能、價錢、穩定可靠性、災難恢復性，安全性、拓展性等多個方面都有著更好的表現。

　　性能上，在同等資金預算的條件下，本新型網絡架構有著巨大的優勢。這主要歸因于本系統普遍采用開源免費的產品，這使得資金可以用在購買性能更為強勁的服務器主機(用于VMware虛擬化服務器和Vyatta路由器)而不用花費在功能單一不方便拓展的特殊種類機器，如硬件路由器上。從而使得性能得到了更大的提升。

　　價錢上，與傳統解決方案對比，在保證相同運行效率的前提下，與上述道理相同，資金預算可以比傳統解決方案減少相當一部分金額。

　　其他方面，如穩定可靠性、災難恢復性、安全性、拓展性等諸多方面，由于采用先進的路由技術和虛擬化技術，從而保證了系統的穩定可靠，系統的迅速災難恢復、及安全保障和方便拓展。

　　6、結束語

　　隨著時代的發展進步，新一代的技術的出現，提供的新一代的解決方案使得企事業單位更方便也更節省資金地架構更穩定而強大的系統。在這其中，開源技術起到了重要的作用。在以往情況下，開源技術往往應用在軟件的領域內，而如今開源技術進一步發展，逐漸在硬件領域內嶄露頭角。大量的實例表明，先進的技術對一個單位的發展與繁榮都有著不可估量的作用，在本文中介紹的一種新型安全網絡解決方案，希望能給新一代的安全網絡系統架構的設計者帶來一些啟發。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于Vyatta路由器與VMware虛擬化的安全網絡解決方案

本文網址：http://www.guhuozai8.cn/html/consultation/1083954512.html