【正文】 RAP的方式進行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進行配置的修改，完善以及各種信息的察看。RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡(luò)故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個流程：網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因為P2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。：傳統(tǒng)的流量管理方案傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達(dá)到控制流量的目的，這有三大弊端，216。 第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。216。 第二：各種新型的，對網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動的局面，顯然不能從根本上解決這個問題。216。 第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。：銳捷的流量管理與控制方案銳捷網(wǎng)絡(luò)的流量管理主要通過RGNTD+日志處理軟件+RGSAM系統(tǒng)來實現(xiàn)。NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：216。 第一：為SAM系統(tǒng)對用戶進行流量計費提供原始數(shù)據(jù)，這是我們已經(jīng)實現(xiàn)了的功能。該功能能滿足不同消費層次的用戶對帶寬的需求，經(jīng)濟條件好一點，可以多用點流量，提高了用戶的滿意度。而且，對于以后新出現(xiàn)的功能更加強大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。216。 第二：提供日志審計和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。216。 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進行分析對比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級改造提供數(shù)據(jù)支持；能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進行有效的防范，結(jié)合認(rèn)證計費系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理?？傮w來說，流量控制和管理和日志系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。網(wǎng)絡(luò)防火墻設(shè)計中的問題方案：硬件？還是軟件？現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個高效的處理能力。防火墻從實現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint 公司的FirewallI為代表，其實現(xiàn)是通過 dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計類似），通過在操作系統(tǒng)底層做工作來實現(xiàn)防火墻的各種功能和優(yōu) 化。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個人”防火墻，而且功能及其有限，故不在此討論范圍。在國內(nèi)目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨設(shè)計，典型如Netscreen防火墻不但軟件部分單獨設(shè)計，硬件部分也采用專門的ASIC集成電路。另外一種就是基于PC架構(gòu)的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內(nèi)絕大多數(shù)防火墻都屬于這種類型。雖然都號稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬 件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設(shè)計或選用的運行平臺本身的性能可能并不高，但它將主要的運算程序（查表運算是防火 墻的主要工作）做成芯片，以減少主機CPU的運算壓力。國內(nèi)廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已?，F(xiàn)在國內(nèi)防火墻的一個典型結(jié)構(gòu)就是：工業(yè)主板+x86+128 （256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個日志服務(wù)器）+百兆網(wǎng)卡這樣一個工業(yè)PC結(jié)構(gòu)。在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操 作系統(tǒng)，自行設(shè)計防火墻。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)本身和防火墻部分（，）所 作的改動量有多大。事實上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認(rèn)為，在這一點上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）?，F(xiàn)在絕大部 分廠家，甚至包括號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少 量的系統(tǒng)補丁。而且我們在分析各廠家產(chǎn)品時可以注意這一點，如果哪個廠家對系統(tǒng)本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。目前國內(nèi)廠家也已經(jīng)認(rèn)識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內(nèi)核和防火墻設(shè)計現(xiàn)在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測通信信息、狀態(tài)檢測和應(yīng)用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為 第四代防火墻）。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核（這個只見有人提出，但未見到實例，對此不是很清楚）。以上諸多工作，其實基本上都沒有對內(nèi)核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。對于防火墻部分。 netfilter已經(jīng)是一個功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測（通過connection track模塊實現(xiàn)）。而且netfilter是一個設(shè)計很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)， 如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作 擴展（如加入簡單的IDS功能等等）。這一點是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對國內(nèi)廠家來說似乎不太現(xiàn)實。至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設(shè)計的很成功，不需要我們再去做太多工作）。3．自我保護能力（安全性）由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計過程中應(yīng)該放在首要的位置。A．管理上的安全性防火墻需要一個管理界面，而管理過程如何設(shè)計的更安全，是一個很重要的問題。目前有兩種方案。a．設(shè)置專門的服務(wù)端口為了減少管理上的風(fēng)險和降低設(shè)計上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個服務(wù)端口，這個端口只是用來和管理主機連接。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點就是降低了設(shè)計 上的難度，由于管理通信是單獨的通道，無論是內(nèi)網(wǎng)主機、外網(wǎng)主機還是DMZ內(nèi)主機都無法竊聽到該通信，安全性顯然很高，而且設(shè)計時也無需考慮通信過程加密 的問題。然而這樣做，我們需要單獨設(shè)置一臺管理主機，顯然太過浪費，而且這樣管理起來的靈活性也不好。b．通信過程加密這樣無需一個專門的端口，內(nèi)網(wǎng)任意一臺主機都可以在適當(dāng)?shù)那闆r下成為管理主機，管理主機和防火墻之間采用加密的方式通信。目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。對加密這個領(lǐng)域了解不多，不做詳細(xì)討論。B．對來自外部（和內(nèi)部）攻擊的反應(yīng)能力目前常見的來自外部的攻擊方式主要有：a．DOS（DDOS）攻擊（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前 防火墻對于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大?。?。在Linux內(nèi)核中有一個防止Syn flooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。 另外對于ICMP攻擊，可以通過關(guān)閉ICMP 回應(yīng)來實現(xiàn)。b．IP假冒（IP spoofing）IP假冒是指一個非法的主機假冒內(nèi)部的主機地址，騙取服務(wù)器的“信任”，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。第一，防火墻設(shè)計上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實際實現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。第二，防火墻將內(nèi)網(wǎng)的實際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來自外部，對內(nèi)網(wǎng)無需考慮此問題（其實同時內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。c．特洛伊木馬防火墻本身預(yù)防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機 也能防止木馬攻擊。事實上，內(nèi)網(wǎng)主機可能會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機的在預(yù)防木馬方面的安全性仍然需要主機自己解決（防火墻只能 在內(nèi)網(wǎng)主機感染木馬以后起一定的防范作用）。d．口令字攻擊口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。（在管理主機與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測網(wǎng)絡(luò)截獲管理主機給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。e．郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內(nèi)網(wǎng)主機本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。f．對抗防火墻（antifirewall）目前一個網(wǎng)絡(luò)安全中一個研究的熱點就是對抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻 功能和探測防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會很有效的 探測到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前對于這種探測（攻擊）手段，尚無有效的預(yù)防措施，因為防火墻本身是一個被動的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來對 抗這些攻擊。C．透明代理的采用應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實現(xiàn)，這樣就需要有用戶認(rèn)證體 系。以前的防火墻在訪問方式上主要是要求用戶登錄進系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應(yīng)用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險和出錯概率，從而提高了防火墻的安全性。4．透明性防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動，也根本意識不到防火墻的存在。防火墻作為一個實際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對網(wǎng)絡(luò)有任何影響， 就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機和路由器）的設(shè)置 （IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運行，用戶將不必重新設(shè)定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無需做任何改動，這就方便了很多客戶，再者，從透明 模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。當(dāng)然，此時的防火墻僅僅起到一個防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當(dāng)然， 其他功能如透明代理還可以 繼續(xù)使用。目前透明模式的實現(xiàn)上可采用ARP代理和路由技術(shù)實現(xiàn)。此時防火墻相當(dāng)于一個ARP代理的功能。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大致如下：內(nèi)網(wǎng)―――――防火墻―――――路由器（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級網(wǎng)絡(luò)的實現(xiàn)方式）內(nèi)網(wǎng)主機要想實現(xiàn)透明訪問，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時 由于事實上內(nèi)網(wǎng)和路由器之間無法連通