当前位置: 首页 > 服务器 > 代理服务器 > 正文

使用硬件代理解决用户上网问题

时间:2015-02-10

一、需求分析

某集团是多家企业重组建立的大型设计咨询企业,下设10多个分公司,上网人数众多。有多台WebServer对外服务,每天访问量很大。以前无论是Linux下的Squid+Iptables,还是微软的ISAServer在提供互联网代理访问服务、实现用户认证方面都无法完成我们需要的代理上网需求,这些软件代理服务器无法承受全网所有用户的访问代理服务,当用户量增多的时候,性能便慢到无法忍受,而且软件代理服务器维护起来不是软件本身出了问题就是操作系统被攻击、中木马,维护起来相当麻烦,我们网络部门时常会被突然的网络终端而受到用户埋怨。

在此之后,又采用了PIX做NAT上网的方案,一开始速度还可以,可到后来每况愈下,知道reboot机器,这中方式下防火墙提供有效的访问控制,但其中许多并不是设计来检测和屏蔽应用层的攻击的PIX这样的firewall,它们主要功能不是设计来进行用户控制的,仅用边界防火墙是不够的现在70-80%的入侵试探是针对Web应用端口近来,说白了是通过IE流入的,几乎所有黑客软件都在向Web平台转移,很多木马会在firewall上开个大口子,渗透进来。而防火墙不能有效对这种通讯进行控制和提供安全性,所以应用的效果也不理想。

经过调研,选用硬件代理设备,联系了BlueCoat、NetAPP和两家公司的设备做测试,这两款产品成为琳琅满目的Web前端加速器的最佳“缩影”,当时BlueCoat在中国大陆没有了销售和服务,故只有一家了。NetAPP公司是一家以WEB缓存(Cache)技术起家的公司,他的硬件代理主要由这几项技术组成:TCP复用、负载均衡、缓存和SSL加速,提供了最为全面的缓存功能,在配置和管理、改善Web安全状况、性能、认证、流媒体支持、日志和报告都提供了相当好的功能和图形显示,且价格我们能接受,故选用此设备做再次更深入的测试。

测试过程如下:

企业网络图

测试环境:

1、全集团公司实际用户数2000个用户、并发有1000个用户

2、总公司PROXY主要用户集中在北京、其它各个分公司的PROXY在本地。但用户上外网认证,在总公司的Windows2008 AD Server上

3、将新的设备架到网络中如上图(注意一定要串接到网络中,一般在Firewall之后,而不要图省事而旁路接入网络)

测试对象包括:通过代理服务器访问互联网的用户、可以通过的协议、内容过滤方式、提供日志数据、使用访问控制列表、限制并防止未经授权的用户访问特定的服务、通过使用内部数据库、LDAP、NTLM和RADIUS平台,支持用户和组验证

现在我们看看这台硬件代理的基本配置情况:

CPU Intel2GHZ
磁盘驱动器 6块180GB(SATA接口做了RAID0,读写最快,最有效率)
内存 4GB
网络接口 3x10/100/1000网卡
操作系统 专用安全OSNetappRelease5.9(类UNIX系统)