薛 建，曲守寧

（濟(jì)南大學(xué)信息網(wǎng)絡(luò)中心，山東濟(jì)南250022）

互聯(lián)網(wǎng)出口網(wǎng)關(guān)在校園網(wǎng)中的部署研究

薛 建，曲守寧

（濟(jì)南大學(xué)信息網(wǎng)絡(luò)中心，山東濟(jì)南250022）

出口網(wǎng)關(guān)是校園網(wǎng)連接互聯(lián)網(wǎng)的關(guān)口設(shè)備，其基本功能是提供內(nèi)網(wǎng)的互聯(lián)網(wǎng)訪問功能和內(nèi)網(wǎng)的安全保護(hù)。本文以校園網(wǎng)出口網(wǎng)關(guān)的部署為例，闡述如何利用UTM或NGFW提供各項(xiàng)功能，構(gòu)建高效、安全的校園網(wǎng)出口。

UTM；NGFW；網(wǎng)關(guān)

NGFW（Next Generation Fire Wall）與UTM（Unified Thread Management）的初衷都是在一臺(tái)設(shè)備上集成更多的安全功能，但在處理機(jī)制上卻存在很大不同。UTM是在防火墻平臺(tái)上發(fā)展起來的，這種架構(gòu)中入侵防御、病毒防護(hù)等各個(gè)功能是疊加（串行處理）的，數(shù)據(jù)包需要逐個(gè)通過各個(gè)檢測引擎，每通過一個(gè)引擎性能都有一定下降。全部引擎都開啟后，系統(tǒng)性能將大為下降。NGFW最大的不同是將所有威脅檢測功能融合在了一個(gè)引擎里，數(shù)據(jù)包只需要通過一個(gè)引擎，就可以完成所有威脅的檢測。不管是UTM還是NGFW都將多種功能集成到一個(gè)設(shè)備里，其常見的功能包括：防火墻、入侵檢測、入侵防御、VPN、網(wǎng)絡(luò)防病毒等。有些廠家甚至以組件的形式將上網(wǎng)行為管理、流量管理、垃圾郵件過濾、URL過濾等功能都集成到一臺(tái)設(shè)備里面。

本文以校園網(wǎng)出口網(wǎng)關(guān)的部署為背景，闡述如何利用UTM或NGFW提供的各項(xiàng)功能，構(gòu)建高效、安全的校園網(wǎng)出口。

一、互聯(lián)網(wǎng)訪問認(rèn)證功能實(shí)現(xiàn)

出口網(wǎng)關(guān)最首要的功能就是通過Nat提供內(nèi)部用戶訪問互聯(lián)網(wǎng)的功能。校園網(wǎng)為了完成用戶的準(zhǔn)入準(zhǔn)出功能，需要進(jìn)行用戶認(rèn)證，以判定用戶是否具有接入內(nèi)網(wǎng)和訪問外網(wǎng)的權(quán)限。

校園網(wǎng)用戶認(rèn)證通常有Web、802.1x、PPPoE等方式。PPPoE原是城域網(wǎng)通行的一種認(rèn)證方式，現(xiàn)在部分高校校園網(wǎng)也有采取PPPoE認(rèn)證作為校園網(wǎng)運(yùn)營的一種方式，其優(yōu)勢是可以計(jì)費(fèi)到流量，而且由于采用PPPoE撥號方式，還會(huì)抑制廣播流量對網(wǎng)絡(luò)的影響。PPPoE對端接的BRAS設(shè)備的性能和可靠性要求很高，因?yàn)樗械腜PPoE流量都要在此設(shè)備上封裝和解封裝，所以一般校園網(wǎng)環(huán)境很少采用PPPoE認(rèn)證，除非是校園網(wǎng)要對學(xué)生宿舍網(wǎng)等進(jìn)行運(yùn)營才會(huì)選用PPPoE這樣運(yùn)營級的解決方案。隨著PPPoE系統(tǒng)不斷從電信級網(wǎng)絡(luò)向校園網(wǎng)絡(luò)推廣，PPPoE系統(tǒng)的性價(jià)比已經(jīng)有非常大的提高。

802.1x認(rèn)證曾經(jīng)在許多校園網(wǎng)得到應(yīng)用，但由于各廠商對802.1x協(xié)議的實(shí)現(xiàn)有差異，造成不同設(shè)備之間802.1x互通存在兼容性問題。還有就是隨著BYOD（Bring Your Own Device）的逐步盛行，各種層出不窮的智能終端，如手機(jī)和平板電腦等使得網(wǎng)絡(luò)訪問越來越來便利，而這些設(shè)備對802.1x的支持往往都非常不完善，所以先期部署了802.1x認(rèn)證的高校有些在逐漸放棄這種方式。

現(xiàn)在校園網(wǎng)更多地采用Web認(rèn)證，Web認(rèn)證方式的優(yōu)勢是便于對用戶的上網(wǎng)行為進(jìn)行審計(jì)。Web認(rèn)證剛開始推廣的時(shí)候使用稍有不便，每次上網(wǎng)需要彈出認(rèn)證窗口，且瀏覽器關(guān)閉后認(rèn)證失效。而現(xiàn)在的Web認(rèn)證用戶體驗(yàn)大為改善，用戶不必再每次上網(wǎng)前都要彈出窗口去認(rèn)證。有很多廠商開發(fā)了Web認(rèn)證的客戶端，用戶不論在校內(nèi)還是校外都通過一個(gè)客戶端，認(rèn)證后就有相應(yīng)的權(quán)限訪問校園網(wǎng)的校內(nèi)資源，使用非常便捷。

根據(jù)校園網(wǎng)的實(shí)際情況，選擇三種認(rèn)證方式的一種，基本可以滿足絕大多數(shù)校園網(wǎng)的用戶認(rèn)證要求。但對某些傳統(tǒng)的基于IP源地址認(rèn)證的校園網(wǎng) （根據(jù)用戶源IP地址和判斷用戶是否具有外網(wǎng)的訪問權(quán)限），如作者所在的校園網(wǎng)，上述三種認(rèn)證方式無法直接應(yīng)用。

基于源地址的認(rèn)證方式實(shí)現(xiàn)起來比較困難。為了說明這個(gè)問題，我們先來看一下出口網(wǎng)關(guān)配合認(rèn)證服務(wù)器完成用戶認(rèn)證的大體流程：出口網(wǎng)關(guān)設(shè)備與認(rèn)證服務(wù)器之間一般通過Radius通訊，即出口網(wǎng)關(guān)作為Radius認(rèn)證的客戶端，認(rèn)證服務(wù)器作為Radius認(rèn)證的服務(wù)器端。用戶端設(shè)備通過出口網(wǎng)關(guān)發(fā)出一個(gè)認(rèn)證請求到認(rèn)證服務(wù)器，認(rèn)證服務(wù)器再通過查詢后臺(tái)數(shù)據(jù)庫完成用戶的認(rèn)證。因?yàn)槌隹诰W(wǎng)關(guān)作為Radius的客戶端向認(rèn)證服務(wù)器發(fā)起的Radius認(rèn)證請求中通常不會(huì)包含用戶的源IP地址信息（至少筆者們考察的主流網(wǎng)絡(luò)設(shè)備廠商的出口網(wǎng)關(guān)設(shè)備在Radius請求里都不會(huì)包含源IP地址信息），所以Radius的認(rèn)證服務(wù)器無法根據(jù)源IP地址完成認(rèn)證。

解決這個(gè)問題的方法是將一臺(tái)計(jì)費(fèi)網(wǎng)關(guān)串接到出口網(wǎng)關(guān)之前，出口網(wǎng)關(guān)不再承擔(dān)認(rèn)證和計(jì)費(fèi)任務(wù)，交由計(jì)費(fèi)網(wǎng)關(guān)和認(rèn)證服務(wù)器組成，計(jì)費(fèi)網(wǎng)關(guān)串接到網(wǎng)絡(luò)出口上，認(rèn)證網(wǎng)關(guān)將用戶的源地址信息發(fā)送到認(rèn)證服務(wù)器，認(rèn)證服務(wù)器通過查詢用戶數(shù)據(jù)庫，決定是否允許該用戶訪問互聯(lián)網(wǎng)。這種方式認(rèn)證服務(wù)器和計(jì)費(fèi)網(wǎng)關(guān)之間不是通過標(biāo)準(zhǔn)的Radius協(xié)議通訊，其拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 計(jì)費(fèi)網(wǎng)關(guān)的連接方式

選擇串接計(jì)費(fèi)網(wǎng)關(guān)的認(rèn)證方式，必須保證計(jì)費(fèi)網(wǎng)關(guān)有足夠高的吞吐能力，不能成為網(wǎng)絡(luò)出口的瓶頸。計(jì)費(fèi)網(wǎng)關(guān)一般的工作方式是“透明”的，不存在交換和路由的過程，所以能保證足夠的高吞吐量。另外計(jì)費(fèi)網(wǎng)關(guān)只認(rèn)證第一個(gè)IP數(shù)據(jù)包，認(rèn)證通過后認(rèn)證服務(wù)器分發(fā)一條類似ACL的規(guī)則，后續(xù)的數(shù)據(jù)包只要匹配規(guī)則就會(huì)直接轉(zhuǎn)發(fā)，所以，即使在高帶寬的網(wǎng)絡(luò)出口，只要設(shè)備選型合適，選擇相應(yīng)的千兆或萬兆產(chǎn)品，計(jì)費(fèi)網(wǎng)關(guān)也不會(huì)成為網(wǎng)絡(luò)瓶頸。

由于計(jì)費(fèi)網(wǎng)關(guān)一般是串接到網(wǎng)路中的，要求計(jì)費(fèi)網(wǎng)關(guān)具備可靠性設(shè)計(jì)。計(jì)費(fèi)網(wǎng)關(guān)都具有By-pass的功能，即計(jì)費(fèi)網(wǎng)關(guān)出現(xiàn)物理故障時(shí)流量可以“繞過”計(jì)費(fèi)網(wǎng)關(guān)，不影響用戶的互聯(lián)網(wǎng)訪問；在對網(wǎng)絡(luò)可靠性要求更高的場合，可以配置支持Fail-over功能的計(jì)費(fèi)網(wǎng)關(guān)雙機(jī)，一臺(tái)出現(xiàn)故障時(shí)自動(dòng)將流量都定向到另一臺(tái)網(wǎng)關(guān)上，保持網(wǎng)絡(luò)出口不間斷。

二、VPN認(rèn)證功能實(shí)現(xiàn)

VPN利用L2TP、IPSec、SSL等VPN技術(shù)和認(rèn)證加密等措施在互聯(lián)網(wǎng)上建立可靠、安全的通道。VPN在高校圖書館有著非常廣泛的應(yīng)用，家住校外或出差的老師登錄VPN后，可以通過園區(qū)網(wǎng)再來訪問學(xué)校訂閱的數(shù)據(jù)庫資源。這種訪問需求被稱為Access-Server方式，一般采用SSL VPN技術(shù)，另外有種訪問需求，比如總部和分支機(jī)構(gòu)之間的安全通訊，也就是局域網(wǎng)和局域網(wǎng)之間通過Internet進(jìn)行通訊，這種方式被稱為Intranet VPN,一般采用IPSec VPN技術(shù)。現(xiàn)在很多的防火墻或UTM設(shè)備都集成了這兩種技術(shù)，可以直接在防火墻或UTM設(shè)備上部署VPN，當(dāng)然也可以采用單獨(dú)配置VPN網(wǎng)關(guān)的部署方式。

作者所在單位用郵件賬號作為VPN的登錄賬號，出口網(wǎng)關(guān)（VPN網(wǎng)關(guān)）和認(rèn)證服務(wù)器之間采用Radius通訊。認(rèn)證服務(wù)器通過POP3連接郵件服務(wù)器的用戶數(shù)據(jù)庫完成認(rèn)證。POP3是一種非常通用的協(xié)議，使用這種認(rèn)證方式郵件服務(wù)器不需要做任何改動(dòng)，對于郵件服務(wù)器來說，每次認(rèn)證就像一次郵件客戶端的登錄一樣。這種認(rèn)證方式不需要認(rèn)證服務(wù)器維護(hù)自己的數(shù)據(jù)庫，避免了郵件服務(wù)器的數(shù)據(jù)庫同步到認(rèn)證服務(wù)器的過程。

但考慮到現(xiàn)在高校購買的數(shù)據(jù)庫資源一般很少以電子資源的方式位于校園網(wǎng)本地，而是分布于互聯(lián)網(wǎng)不同位置的數(shù)據(jù)庫上，所以就要求用戶登錄VPN后不僅可以訪問內(nèi)部網(wǎng)絡(luò)，還必須同時(shí)具有訪問外網(wǎng)的能力。一般的VPN部署達(dá)到用戶登錄后能訪問內(nèi)部信息的要求就可以了，而要用戶在訪問內(nèi)部信息的同時(shí)還能訪問互聯(lián)網(wǎng)，必須對出口網(wǎng)關(guān)（VPN）做特殊設(shè)置，配置的大體過程如下：

首先我們將安全網(wǎng)關(guān)配置了4個(gè)區(qū)（Zone），對應(yīng)安全網(wǎng)關(guān)的4個(gè)千兆接口，這4個(gè)區(qū)除了通常的內(nèi)網(wǎng)、外網(wǎng)、DMZ（DMZ區(qū)通常用于放置對外服務(wù)器）之外，再增加一個(gè)區(qū)DMZ2專門用于VPN撥入用戶,在這個(gè)區(qū)配置一個(gè)IP地址池，地址可以使用內(nèi)部保留地址比如172.16.x.x。VPN用戶認(rèn)證登錄后獲取DMZ2里IP地址池的一個(gè)IP地址，然后用戶以獲取的這個(gè)IP為源地址，根據(jù)已經(jīng)配置好的訪問策略，經(jīng)過NAT后就可以同時(shí)訪問內(nèi)網(wǎng)和互聯(lián)網(wǎng)了，從而實(shí)現(xiàn)了校外老師對學(xué)校所訂購的圖書館網(wǎng)上資源的訪問。

三、基于NAT端口映射的反向訪問實(shí)現(xiàn)

實(shí)現(xiàn)外網(wǎng)對內(nèi)網(wǎng)（DMZ）中對外服務(wù)的服務(wù)器的訪問，也是安全網(wǎng)關(guān)（防火墻）的最基本的功能之一。它是通過外網(wǎng)地址和內(nèi)網(wǎng)地址一一對應(yīng)NAT來實(shí)現(xiàn)的。如果內(nèi)網(wǎng)需要提供對外訪問的服務(wù)器數(shù)量多，就需要多個(gè)外網(wǎng)地址來對應(yīng)。高校校園網(wǎng)中網(wǎng)站眾多，各院系及各職能部門都有網(wǎng)站，數(shù)量可達(dá)幾十個(gè)之多。這些網(wǎng)站大部分都需要被外網(wǎng)訪問。而一般運(yùn)營商提供給客戶使用的互聯(lián)網(wǎng)IP地址是非常有限的，再通過一一對應(yīng)的NAT來實(shí)現(xiàn)顯然是不現(xiàn)實(shí)了，解決這個(gè)問題可以通過反向代理和虛擬主機(jī)的方式實(shí)現(xiàn)。

最簡單的就是配置一臺(tái)或多臺(tái)虛擬主機(jī)，把各網(wǎng)站都部署在虛擬主機(jī)上，虛擬主機(jī)的IP地址和通過出口網(wǎng)關(guān)映射到外網(wǎng)的一個(gè)IP地址上，再在DNS服務(wù)器上將各網(wǎng)站的DNS解析都指定到這個(gè)外網(wǎng)IP地址上，這樣就實(shí)現(xiàn)了通過一個(gè)外網(wǎng)IP地址對外發(fā)布多個(gè)網(wǎng)站的目的。

還要考慮一種情況，現(xiàn)在很多院系都傾向于維護(hù)自己的網(wǎng)站和服務(wù)器，這些分布在不同物理位置的網(wǎng)站無法部署到一臺(tái)虛擬主機(jī)上。這時(shí)可以采用反向代理服務(wù)器的技術(shù)：在一臺(tái)具有內(nèi)外2塊網(wǎng)卡的服務(wù)器上安裝代理服務(wù)軟件（比如開源的squid），在DNS服務(wù)器上將各網(wǎng)站的DNS解析都指定到這個(gè)反向代理的外網(wǎng)IP地址上，這樣外部網(wǎng)絡(luò)就可以通過這個(gè)反向代理實(shí)現(xiàn)對內(nèi)部網(wǎng)站訪問。當(dāng)然這一切對于外網(wǎng)的訪問者都是透明的，用戶不需要配置代理服務(wù)器客戶端，也不知道是在通過代理服務(wù)器在訪問。

除了虛擬主機(jī)和反向代理的實(shí)現(xiàn)，解決這個(gè)問題可以有一個(gè)折衷的、通過出口網(wǎng)關(guān)實(shí)現(xiàn)的方法：在出口網(wǎng)關(guān)上通過TCP端口映射的方法實(shí)現(xiàn)。即外網(wǎng)一個(gè)IP地址，這個(gè)IP地址的不同TCP端口號 （共有65535個(gè)端口）對應(yīng)內(nèi)網(wǎng)（DMZ）區(qū)的一臺(tái)服務(wù)器的一個(gè)TCP端口，這臺(tái)服務(wù)器就可以通過這個(gè)外網(wǎng)IP和TCP端口對外發(fā)布服務(wù)。當(dāng)然也可以做外網(wǎng)IP和內(nèi)網(wǎng)服務(wù)器之間多個(gè)TCP端口的對應(yīng)，這樣這臺(tái)服務(wù)器就可以通過多個(gè)TCP端口提供多個(gè)服務(wù)。

舉例說，內(nèi)網(wǎng)的一臺(tái)數(shù)據(jù)庫服務(wù)器10.1.1.1需要被外網(wǎng)訪問TCP端口為1521的數(shù)據(jù)庫服務(wù)，出口網(wǎng)關(guān)的外網(wǎng)地址比如是x.x.x.x，在安全網(wǎng)關(guān)做這樣一個(gè)映射：x. x.x.x：1521對應(yīng)10.1.1.1：1521，其中1521是需要被外網(wǎng)訪問的數(shù)據(jù)庫的TCP端口，這樣外網(wǎng)通過IP地址x.x.x. x：1521來訪問了內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)。

四、帶寬管理和上網(wǎng)行為管理

作為一個(gè)校園網(wǎng)絡(luò)的出口，帶寬管理功能和上網(wǎng)行為管理功能是必不可少的。帶寬管理是在應(yīng)用識別的基礎(chǔ)上，為不同用戶群體、不同應(yīng)用制定不同的帶寬使用策略。其中最簡單的功能包括：每個(gè)IP地址的最大上傳/下載帶寬、最大TCP連接數(shù)等。由于應(yīng)用識別需要設(shè)備分析第七層，即應(yīng)用層的協(xié)議，所以對設(shè)備的處理能力有較高的要求。

帶寬管理功能可以由獨(dú)立的設(shè)備完成，也可以由出口網(wǎng)關(guān)獨(dú)立完成，這需要根據(jù)使用的出口網(wǎng)關(guān)類型來決定。對于傳統(tǒng)的UTM架構(gòu)的出口網(wǎng)關(guān)，建議配置獨(dú)立的上網(wǎng)行為和帶寬管理系統(tǒng)，因?yàn)閭鹘y(tǒng)UTM串行處理的架構(gòu)，加上上網(wǎng)行為和帶寬管理將會(huì)占用大量的系統(tǒng)處理能力，可能會(huì)出現(xiàn)網(wǎng)絡(luò)吞吐量降低的情況。對于采用下一代防火墻架構(gòu)的出口網(wǎng)關(guān)，可以直接啟用其上網(wǎng)行為和帶寬管理功能，而不必?fù)?dān)心其對吞吐量等性能造成的影響。

上網(wǎng)行為管理功能是需要出口網(wǎng)關(guān)設(shè)備和專門的上網(wǎng)行為管理設(shè)備配合完成的，出口網(wǎng)關(guān)與上網(wǎng)行為管理系統(tǒng)對接，通過輸出Nat日志、上網(wǎng)URL等功能，提供上網(wǎng)行為的審計(jì)和回溯功能。雖然多數(shù)出口網(wǎng)關(guān)設(shè)備都提供了簡單的上網(wǎng)行為管理功能，但由于其功能的局限性和其啟用后對出口網(wǎng)關(guān)設(shè)備造成的性能影響，建議有需求的校園網(wǎng)配置獨(dú)立上網(wǎng)行為管理系統(tǒng)。

五、關(guān)于多網(wǎng)絡(luò)出口

現(xiàn)在大多數(shù)高校校園網(wǎng)都同時(shí)聯(lián)入公網(wǎng)（中國聯(lián)通或中國電信）和中國教育和科研計(jì)算機(jī)網(wǎng)（CERNET簡稱：教育網(wǎng)），這就面臨著多互聯(lián)網(wǎng)出口的問題。解決多互聯(lián)網(wǎng)出口問題可以通過策略路由或靜態(tài)路由解決，現(xiàn)在的出口網(wǎng)關(guān)設(shè)備一般都有策略路由（PBR），策略路由可根據(jù)源地址或目標(biāo)地址進(jìn)行選路，比如可以指定一部分用戶通過某個(gè)運(yùn)營商的線路訪問互聯(lián)網(wǎng)，而另外的用戶通過另一個(gè)運(yùn)營商的線路等；再比如指定訪問教育網(wǎng)的流量走教育網(wǎng)出口，而訪問公網(wǎng)的流量發(fā)往電信或聯(lián)通的出口等。

有些廠家的出口網(wǎng)關(guān)設(shè)備還可以判定出口線路的通斷和帶寬占用情況，比如判斷出某個(gè)出口線路中斷或帶寬占用超過設(shè)定的閾值會(huì)自動(dòng)將流量發(fā)往另一個(gè)出口線路等。

在一些更簡單的場合，實(shí)際上利用靜態(tài)路由就可以解決多網(wǎng)路出口的問題，比如在核心交換機(jī)上通過靜態(tài)路由將訪問CERNET的流量定向到教育網(wǎng)出口，而通過一個(gè)簡單的默認(rèn)路由指向公網(wǎng)出口即可實(shí)現(xiàn)互聯(lián)網(wǎng)的訪問，這樣就比較簡捷地解決了多互聯(lián)網(wǎng)出口的問題。

出口網(wǎng)關(guān)的產(chǎn)品形態(tài)有很多，各廠家也提供了功能和性能各有差異的產(chǎn)品。用戶應(yīng)根據(jù)自身校園網(wǎng)的實(shí)際情況，根據(jù)網(wǎng)絡(luò)帶寬和吞吐量的要求選擇合適的產(chǎn)品，還要配置好出口網(wǎng)關(guān)同其他設(shè)備的協(xié)同工作，才可以構(gòu)建安全高效的互聯(lián)網(wǎng)出口。

[1]華為公司中文站點(diǎn).http://www.huawei.com/cn/.

[2]薛松,顧寧平.淺析UTM設(shè)備在信息系統(tǒng)中的應(yīng)用[J].信息化研究,2009(4):3-5.

[3]思科公司英文站點(diǎn).http://www.cisco.com.

(編輯：楊馥紅)

TP393.18

B

1673-8454（2015）13-0079-03