安全与带宽的危机
某企业大厦网络(以下简称B大厦)受到了带宽和安全问题的困扰,为此,网络中心开始酝酿网络的升级改造。
B大厦内有研究院、集团、公司等单位。大厦内所有的计算机使用某大学(以下简称A大学)校园网分配的真实Internet IP,共有7个24位掩码网段,下面又进一步划分了不同掩码长度的子网,计有近500台计算机,运行Windows NT、Windows 9x、Solaris、AIX、IRIX等多种操作系统。中心交换机为IBM 8274,安装了两个百兆交换模块。中心服务器(Web、FTP、文件共享、光盘库、Exchange Server、SMS、Lotus Notes Domino、NT PDC/BDC、DNS、WINS、Proxy)使用PC/Alpha平台,全部直接连至8274的百兆交换端口。4个楼层各有一个百兆交换机分别使用3Com 3800(3C16910)、Intel E550T等型号,全部为三层可管理并支持VLAN。每个楼层交换机都上行至8274的百兆端口。内部网络运行稳定,速度基本上能够满足要求。
B大厦的网络通过无线网络设备和A大学办公楼相连,两端相距7km各有一台运行NetWare 3.x的无线网关机器,两台机器各装有一块AT&T WaveLan无线网卡,通过楼顶的高增益天线对连,连接速率为2Mbps。办公楼的主干网络是由4台Digital 900EF路由器组成的FDDI双环。其中一台900EF连接到A大学校园网作为Internet出口,另外3台各自接到不同的部门,有一台接到无线网关。
当时,B大厦内已经有员工400多人。2Mbps的Internet接入带宽远远跟不上需求。从网络结构上看,FDDI环通过10兆交换以太网端口接入A大学校园网,B大厦的主干网络为百兆以太网,因此整个网络的瓶颈为无线网。
为了解决带宽问题,我们探讨了多种方案,首先是敷设光纤。因为牵涉到市政等多方面的因素,敷设光纤的费用颇高,是我们无法承受的。而租用专线首先速度不能满足要求,费用也不低,没有必要,因此我们决定仍然使用无线网的方式,使用新的快速无线网技术对旧有设备进行升级。
另一个严重的问题是安全问题,此前,B大厦的网络持续受到来自Internet的攻击,包括MailSpam、PoD、大规模的端口扫描等,多次造成Exchange服务器宕机和Internet访问中断,影响了企业的日常运作。当时采用的安全措施是在FDDI环的第一台900EF上进行IP访问限制,而900EF属于已经过时的设备,仅支持简单的包过滤。早已不能满足网络安全的需要。另一方面,B大厦的内部网对外几乎完全没有设防,从外部可以很容易地窃取内部网未经严格设置的员工机器上的信息。必须采取措施防止这类问题的发生。
经过论证,我们决定增加一台或两台防火墙机器来抵御黑客攻击。当时Linux 2.2系列内核刚发布不久,2.2.x中全新的IPChains代替了从BSD中移植来的ipfw,在性能和配置方面得到了各方的好评,因此我们初步决定采用Linux系统配置IPChains来作为新的包过滤防火墙。
此外,还有IP的浪费问题也引起了我们的注意,因为两台无线网关占用了整整两个24位掩码网段。这是由于NetWare 3.x使用早期的RIP协议,不支持子网的进一步划分。我们也希望通过升级来省出IP,以便适应日益增长的网络规模的需要。
责任编辑:小草
您现在的位置: 
