使用Linux高效構建無線網關/防火墻(1)
安全與帶寬的危機
某企業大廈網絡(以下簡稱B大廈)受到了帶寬和安全問題的困擾,為此,網絡中心開始醞釀網絡的升級改造。
B大廈內有研究院、集團、公司等單位。大廈內所有的計算機使用某大學(以下簡稱A大學)校園網分配的真實Internet IP,共有7個24位掩碼網段,下面又進一步劃分了不同掩碼長度的子網,計有近500臺計算機,運行Windows NT、Windows 9x、Solaris、AIX、IRIX等多種操作系統。中心交換機為IBM 8274,安裝了兩個百兆交換模塊。中心服務器(Web、FTP、文件共享、光盤庫、Exchange Server、SMS、Lotus Notes Domino、NT PDC/BDC、DNS、WINS、Proxy)使用PC/Alpha平臺,全部直接連至8274的百兆交換端口。4個樓層各有一個百兆交換機分別使用3Com 3800(3C16910)、Intel E550T等型號,全部為三層可管理并支持VLAN。每個樓層交換機都上行至8274的百兆端口。內部網絡運行穩定,速度基本上能夠滿足要求。
B大廈的網絡通過無線網絡設備和A大學辦公樓相連,兩端相距7km各有一臺運行NetWare 3.x的無線網關機器,兩臺機器各裝有一塊AT&T WaveLan無線網卡,通過樓頂的高增益天線對連,連接速率為2Mbps。辦公樓的主干網絡是由4臺Digital 900EF路由器組成的FDDI雙環。其中一臺900EF連接到A大學校園網作為Internet出口,另外3臺各自接到不同的部門,有一臺接到無線網關。
當時,B大廈內已經有員工400多人。2Mbps的Internet接入帶寬遠遠跟不上需求。從網絡結構上看,FDDI環通過10兆交換以太網端口接入A大學校園網,B大廈的主干網絡為百兆以太網,因此整個網絡的瓶頸為無線網。
為了解決帶寬問題,我們探討了多種方案,首先是敷設光纖。因為牽涉到市政等多方面的因素,敷設光纖的費用頗高,是我們無法承受的。而租用專線首先速度不能滿足要求,費用也不低,沒有必要,因此我們決定仍然使用無線網的方式,使用新的快速無線網技術對舊有設備進行升級。
另一個嚴重的問題是安全問題,此前,B大廈的網絡持續受到來自Internet的攻擊,包括MailSpam、PoD、大規模的端口掃描等,多次造成Exchange服務器宕機和Internet訪問中斷,影響了企業的日常運作。當時采用的安全措施是在FDDI環的第一臺900EF上進行IP訪問限制,而900EF屬于已經過時的設備,僅支持簡單的包過濾。早已不能滿足網絡安全的需要。另一方面,B大廈的內部網對外幾乎完全沒有設防,從外部可以很容易地竊取內部網未經嚴格設置的員工機器上的信息。必須采取措施防止這類問題的發生。
經過論證,我們決定增加一臺或兩臺防火墻機器來抵御黑客攻擊。當時Linux 2.2系列內核剛發布不久,2.2.x中全新的IPChains代替了從BSD中移植來的ipfw,在性能和配置方面得到了各方的好評,因此我們初步決定采用Linux系統配置IPChains來作為新的包過濾防火墻。
此外,還有IP的浪費問題也引起了我們的注意,因為兩臺無線網關占用了整整兩個24位掩碼網段。這是由于NetWare 3.x使用早期的RIP協議,不支持子網的進一步劃分。我們也希望通過升級來省出IP,以便適應日益增長的網絡規模的需要。