使用Linux構(gòu)建無(wú)線網(wǎng)關(guān)防火墻
某企業(yè)大廈網(wǎng)絡(luò)(以下簡(jiǎn)稱B大廈)受到了帶寬和安全問(wèn)題的困擾,為此,網(wǎng)絡(luò)中心開(kāi)始醞釀網(wǎng)絡(luò)的升級(jí)改造。
B大廈內(nèi)有研究院、集團(tuán)、公司等單位。大廈內(nèi)所有的計(jì)算機(jī)使用某大學(xué)(以下簡(jiǎn)稱A大學(xué))校園網(wǎng)分配的真實(shí)Internet IP,共有7個(gè)24位掩碼網(wǎng)段,下面又進(jìn)一步劃分了不同掩碼長(zhǎng)度的子網(wǎng),計(jì)有近500臺(tái)計(jì)算機(jī),運(yùn)行Windows NT、Windows 9x、Solaris、AIX、IRIX等多種操作系統(tǒng)。中心交換機(jī)為IBM 8274,安裝了兩個(gè)百兆交換模塊。中心服務(wù)器(Web、FTP、文件共享、光盤(pán)庫(kù)、Exchange Server、SMS、LotusNotes Domino、NT PDC/BDC、DNS、WINS、Proxy)使用PC/Alpha平臺(tái),全部直接連至8274的百兆交換端口。4個(gè)樓層各有一個(gè)百兆交換機(jī)分別使用3Com 3800(3C16910)、Intel E550T等型號(hào),全部為三層可管理并支持VLAN。每個(gè)樓層交換機(jī)都上行至8274的百兆端口。內(nèi)部網(wǎng)絡(luò)運(yùn)行穩(wěn)定,速度基本上能夠滿足要求。
B大廈的網(wǎng)絡(luò)通過(guò)無(wú)線網(wǎng)絡(luò)設(shè)備和A大學(xué)辦公樓相連,兩端相距7km各有一臺(tái)運(yùn)行NetWare 3.x的無(wú)線網(wǎng)關(guān)機(jī)器,兩臺(tái)機(jī)器各裝有一塊AT&T WaveLan無(wú)線網(wǎng)卡,通過(guò)樓頂?shù)母咴鲆嫣炀對(duì)連,連接速率為2Mbps。辦公樓的主干網(wǎng)絡(luò)是由4臺(tái)Digital 900EF路由器組成的FDDI雙環(huán)。其中一臺(tái)900EF連接到A大學(xué)校園網(wǎng)作為Internet出口,另外3臺(tái)各自接到不同的部門(mén),有一臺(tái)接到無(wú)線網(wǎng)關(guān)。
當(dāng)時(shí),B大廈內(nèi)已經(jīng)有員工400多人。2Mbps的Internet接入帶寬遠(yuǎn)遠(yuǎn)跟不上需求。從網(wǎng)絡(luò)結(jié)構(gòu)上看,F(xiàn)DDI環(huán)通過(guò)10兆交換以太網(wǎng)端口接入A大學(xué)校園網(wǎng),B大廈的主干網(wǎng)絡(luò)為百兆以太網(wǎng),因此整個(gè)網(wǎng)絡(luò)的瓶頸為無(wú)線網(wǎng)。
為了解決帶寬問(wèn)題,我們探討了多種方案,首先是敷設(shè)光纖。因?yàn)闋可娴绞姓榷喾矫娴囊蛩兀笤O(shè)光纖的費(fèi)用頗高,是我們無(wú)法承受的。而租用專線首先速度不能滿足要求,費(fèi)用也不低,沒(méi)有必要,因此我們決定仍然使用無(wú)線網(wǎng)的方式,使用新的快速無(wú)線網(wǎng)技術(shù)對(duì)舊有設(shè)備進(jìn)行升級(jí)。
另一個(gè)嚴(yán)重的問(wèn)題是安全問(wèn)題,此前,B大廈的網(wǎng)絡(luò)持續(xù)受到來(lái)自Internet的攻擊,包括MailSpam、PoD、大規(guī)模的端口掃描等,多次造成Exchange服務(wù)器宕機(jī)和Internet訪問(wèn)中斷,影響了企業(yè)的日常運(yùn)作。當(dāng)時(shí)采用的安全措施是在FDDI環(huán)的第一臺(tái)900EF上進(jìn)行IP訪問(wèn)限制,而900EF屬于已經(jīng)過(guò)時(shí)的設(shè)備,僅支持簡(jiǎn)單的包過(guò)濾。早已不能滿足網(wǎng)絡(luò)安全的需要。另一方面,B大廈的內(nèi)部網(wǎng)對(duì)外幾乎完全沒(méi)有設(shè)防,從外部可以很容易地竊取內(nèi)部網(wǎng)未經(jīng)嚴(yán)格設(shè)置的員工機(jī)器上的信息。必須采取措施防止這類(lèi)問(wèn)題的發(fā)生。
經(jīng)過(guò)論證,我們決定增加一臺(tái)或兩臺(tái)防火墻機(jī)器來(lái)抵御黑客攻擊。當(dāng)時(shí)Linux 2.2系列內(nèi)核剛發(fā)布不久,2.2.x中全新的IPChains代替了從BSD中移植來(lái)的ipfw,在性能和配置方面得到了各方的好評(píng),因此我們初步?jīng)Q定采用Linux系統(tǒng)配置IPChains來(lái)作為新的包過(guò)濾防火墻。
此外,還有IP的浪費(fèi)問(wèn)題也引起了我們的注意,因?yàn)閮膳_(tái)無(wú)線網(wǎng)關(guān)占用了整整兩個(gè)24位掩碼網(wǎng)段。這是由于NetWare 3.x使用早期的RIP協(xié)議,不支持子網(wǎng)的進(jìn)一步劃分。我們也希望通過(guò)升級(jí)來(lái)省出IP,以便適應(yīng)日益增長(zhǎng)的網(wǎng)絡(luò)規(guī)模的需要。
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無(wú)AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解