清华紫光防火墙应用分析(2)
图2 “小区管家”是在清华紫光UniSecure系列防火墙产品的基础上,整合了防火墙、代理服务器、流量管理服务器、管理计费服务器和社区网络管理服务器于一身的多功能设备。 通过使用“小区管家”,运营商获得了原来三台甚至更多台设备才能提供的功能,而费用却大大降低。清华紫光在1999年推出防火墙产品之初,就准确把握即将到来的宽带网络大潮,率先提出了“综合网关”的概念,在防火墙的基础上,增加网络内部访问控制和计费等功能,构成一台多功能的网关设备,可以更有效地防止内部滥用网络。 在上海某小区的宽带网络中,应用了“小区管家”。将设备放置在小区的中心机柜中,作为小区宽带用户到城域网之间的代理服务器使用,同时,还为运营商解决了以下问题: 1. 对小区平台进行远程维护 “小区管家”可以将小区对外和对内发布信息的服务器放置在防火墙的中立区,通过在防火墙中设置“外部-中立区”的访问策略,可以从远端对小区平台进行维护、升级。 2. 计费 目前,防火墙可以对进出防火墙的流量进行统计,统计的对象可以是单个用户或者一批用户。同时提供图形方式的流量统计。 由于目前宽带社区为了提高开通率,普遍采用包月制方式,现有的防火墙仍具有实用性。但是,在目前很多地方需要增加新的服务,如根据客户需要的设置费率对时间或流量进行计费和根据不同的服务种类进行计费这两项功能,清华紫光正在将数据库系统嵌入防火墙中,为用户提供多元化的选择。 3. 流量管理 防火墙可以为不同的用户和不同的服务制定不同的流量管理策略,在定义好源地址、终地址和服务类型后,一条通过策略即已经定义好。这时,管理员可以为这条通过策略定制流量策略,可以为优先保证的通过策略定义保证的带宽,也可以为一些通过策略定义最大带宽,还可以定义通过策略的优先级,提供了灵活的选择。 这样,业主方最担心的网络滥用问题就可以得到很好的解决。例如,在一个小区中,我们可以做如下定义:给到指定视频服务器的VOD服务分配最少1Mbps的带宽,而对到Internet上任何FTP站点的FTP访问则最多分配2Kbps的带宽。这样保证VOD服务的质量,同时防止一些用户滥用网络带宽下载某些巨型文件,影响其他用户的服务质量。 4. 日志审计 根据有关主管部门的要求,对宽带驻地网用户接入Internet,必需记录上网时间、用户IP地址、访问的站点IP地址,记录至少保存60天。 防火墙具有对指定的通过策略进行日志记录的功能,可以满足以上要求。防火墙硬盘空间有限,日志量达到限值会覆盖重写,可以在小区网络内部放置一台Linux主机,启动Linux操作系统的Syslog服务,在防火墙上设定这台Linux主机的IP地址,即可以在这台主机上同步防火墙的日志。 5. 远程管理和VPN 通过对防火墙进行设置,我们可以在Internet上的任意一个位置对防火墙进行配置和管理。 启动PPTP服务后,管理员可以建立从某一单机到小区网络的VPN通道,对小区内的可网管交换机进行SNMP管理。 启动IPSec服务,可以在不同小区间开辟VPN通道,这样多个小区之间的内部资源可以有序共享。
