多功能安全網關的開發與研究
2014-06-20 23:55:31張鳳山
無線互聯科技 2014年3期
張鳳山
摘 要:本文主要介紹基于m0n0開源系統進行安全網關的開發與研究,最終構建出多功能安全網關系統,以滿足中小型企業用戶的內網安全需求。
關鍵詞:m0n0;安全網關;多功能
1 引言
目前,對于小區寬帶、網吧、學校、賓館等眾多中小型企業用戶而言,多功能安全網關已成為企業用戶網絡環境正常運行的重要網絡設備之一,這些企業用戶購買的Internet接入設備不僅能夠有效的使用Internet網絡資源,而且還需要具有一定的安全性和穩定性,以保證企業內網的高效有續運行,此外可管理和多用途也是近年來隨著企業用戶的實際需求發生而產生的新的設備發展方向。比如小區寬帶用戶需要高速網絡接入、帶寬獨占而且最好是資費較低,在這種情況下,如果每家都使用ISP的ADSL撥號上網,雖然能夠保證高帶寬和帶寬獨占,但是接入成本相對較高,而且更多的時候用戶不上網的時候帶寬是被浪費的。在這種情況下,如果以小區為單位建立小型的ISP,使用這類多功能安全網關,申請一定量的高速網絡帶寬,然后按照小區ADSL的形式提供用戶端接入,這樣就可以很好的解決前面提到的問題,關鍵是這類產品帶來的最大實惠就是極大的降低了網絡接入的資費。m0n0是一款優秀的開源防火墻系統,基于該系統開發,按照用戶需求,構建一款多功能的安全網關產品,這就是本文的出發點所在。
2 m0n0防火墻系統簡介
m0n0開源安全網關最初由瑞士人Manuel Kasper開發的基于X86平臺的嵌入式安全網關系統,目的是構建一個簡單、高效、自由、安全的嵌入式安全網關,實現使用較小成本就可以得到和昂貴的商業安全網關相同或相近的功能特性。該開源項目經過多年的發展和壯大,到目前為止全球已有數以萬計的人員參與項目的開發和推廣工作,安全網關已具備大部分商業安全網關的網絡功能,并且越來越受到中小型企業用戶的歡迎。
但由于m0n0是傳統的網絡層安全網關,應用層功能較弱,還有很大的擴展空間,特別是基于插件管理平臺進行功能模塊擴展的思想對于該開源安全網關的應用和推廣有著極其重要的意義。
3 多功能安全網關的整體設計
多功能安全網關的設計是在原有系統的基礎上通過多功能模塊管理平臺進行功能模塊管理,系統整體設計如圖1所示。
如上圖所示,本防火墻系統是在M0n0的原有功能基礎之上進行的二次開發,除進一步增加和完善必要的功能模塊之外,還應用多功能模塊管理平臺統一進行外圍模塊的管理和維護,而且各個外圍子系統和基本防火墻系統分處于不同的文件系統當中,以實現對基本系統的保護和第三方功能模塊的靈活擴充。
M0n0原有平臺的基本功能模塊有訪問控制、VPN、NAT/PAT、日志審計、流量控制、SNMP、DHCP中繼、動態DNS、上網認證、靜態路由、VLAN中繼等。
在上述基本平臺的基礎之上開發多功能模塊管理平臺,負責上傳新開發或者修改好的功能模塊,生成模塊對應的運行空間(獨立文件系統),自動進行系統文件布局和配置文件的保存備份,以及功能模塊的修改刪除等操作。該系統的實現使得安全網關的外圍模塊管理成為一種可能,而且通過生成獨立運行空間,使得各個子系統和主系統可以各自獨立穩定運行。
在該安全網關當中,所謂的多功能就是通過各個外圍模塊實現的,結合目前企業的實際需求設計的應用模塊主要為如下四種(由于各個模塊又是一個獨立的小系統,所以下文中我們將其稱之為子系統),各個外圍模塊的功能特性如下。
模板式流控模塊:模板式流控模塊子系統是在dummynet+IPFW流量控制的基礎上提出的一種模板式流控解決方案,按照網吧網絡、辦公環境、集體網絡、家庭網絡等幾種不同的網絡類型各自特點開發與之對應的系列流量模板,最終實現針對某一網絡環境的流量管理策略,避免手工安排規則、管道、隊列等復雜流控元素的困擾。
雙線接入模塊:雙線接入模塊子系統是在原有防火墻單線接入的基礎上引入的雙線解決方案,實現網吧、學校等特殊網絡環境對雙線網絡接入的實際需求。通過該子系統可以實現兩條線路的流量負載均衡、主從線路設置以及線路備份等功能,增加企業網絡的穩定性。
網絡計費模塊:網絡計費模塊子系統是為了滿足網吧、學校、賓館的特殊需求開發的一個計費模塊,該系統可根據共享賬號、獨立賬號等不同的角色開展計費工作;而且獨立賬號還可以按照特權賬號、包月賬號、計時賬號等屬性進行計費,實現對網絡使用者的管理和控制。
上網行為管理模塊:此外將第三方軟件Panabit制作成為一款功能模塊集成到系統當中,也是該安全網關的一個創新所在。該軟件是一款FreeBSD下的優秀上網行為管理軟件,通過該軟件實現對所有用戶的網絡訪問、流量控制、日志審計融為一體,為實現全面的網絡管理和監控奠定基礎。
[參考文獻]
[1]魏利華.安全網關技術及其性能研究[J].能源研究與信息,2004,20(1):57-62.
[2]郭偉.數據包過濾技術與安全網關設計[J].江漢大學學報,2001,(3):17.
