硬件代理為企業上網提速

北京 李晨光

中鐵咨詢集團是五家企業重組建立的特大型工程勘察設計咨詢企業，下設十多個分公司，上網人數眾多。有多臺Web Server對外服務，訪問量極大。以前無論是Linux下的Squid+iptables還是微軟的ISA 2004 Server，在提供互聯網代理訪問服務、實現用戶認證方面，都無法完成用戶需要的代理上網需求。這些軟件代理服務器無法承受全網所有用戶的訪問代理服務，當用戶量增多的時候，性能便慢得無法忍受。而且軟件代理服務器不是軟件本身出了問題，就是操作系統被攻擊、中木馬，維護起來相當麻煩。

經過調研，我們決定選用硬件代理設備來解決問題。NetAPP公司是一家以Web緩存（Cache）技術起家的公司，硬件代理主要由這幾項技術組成：TCP復用、負載均衡、緩存和SSL加速，提供了全面的緩存功能，在配置和管理、改善Web安全狀況、性能、認證、流媒體支持、日志和報告等方面都提供了相當好的功能和圖形顯示，且價格我們能接受，故選用此設備進行測試。

測試環境

（1）全集團公司實際用戶數2000個，并發有500個用戶。

（2）總公司Proxy主要用戶集中在北京，其他各分公司的Proxy在本地，但用戶上外網認證在總公司的Windows 2003 AD Server上。

（3）將新的設備架到網絡中（如圖1所示）。注意，一定要串接到網絡的咽喉要道，一般設置在Firewall之后，而不要從旁路接入網絡。

測試對象包括：

通過代理服務器訪問互聯網的用戶，可以通過的協議，內容過濾方式，提供日志數據，使用訪問控制列表，限制并防止未經授權的用戶訪問特定的服務，通過使用內部數據庫、LDAP、NTLM和Radius平臺，支持用戶和組驗證。

現在我們看看這臺硬件代理的基本配置情況（如表1所示），圖2為硬件代理的內部結構。

測試過程

（1）用計算機將串口連接設備的COM口相連接，用超級終端軟件進入系統后使用Setup命令完成基本配置，過程忽略。

（2）配置好設備的IP地址后，接入網絡，接下來使用HTTP的方式在IE瀏覽器下配置，位置在Setup標簽中設置相關配置，這里忽略。

進入界面的方法：

輸入http://10.68.200.233:3132

USER：admin

Password：NetCache（出廠默認密碼）

（3）在設備上啟用Proxy功能，設置的位置如圖3所示。

接著還要經過啟用Interface、配置默認網關、增加靜態路由、配置DNS等幾個步驟，就可以使用了（其過程很簡單）。

（4）完善認證配置。

一般的企業是全員上網，還有些單位是限制用戶上網的，這樣可以通過使用內部數據庫、LDAP、NTLM（域用戶認證）和Radius平臺，支持用戶和組驗證上網。利用此設備能夠實現上述應用且配置較簡單，不需要修改現有的配置。

（5）用戶訪問控制

測試情況說明：可以使用訪問控制列表根據特定的用戶、用戶組、請求類型（例如HTTP）、客戶端IP地址或其他變量，限制并防止未經授權的用戶訪問特定的服務。遺憾的是，這一功能需要使用命令行模式配置，需要自己一行一行地寫進去。

比如，禁止訪問88888.COM.CN：

DENY URL “HTTP://88888.COM.CN

禁止某個IP上網命令：

deny client-ip 10.68.200.231

（6）內容過濾功能。

通過Secure Computing SmartFilter和WebWasher Dyna BLocator提供on-box Internet內容過濾方式；通過Websense支持off-box內容過濾，對于現在網上的絕大多數木馬都能過濾掉，想通過IE下載的惡意插件也能有效地防止，使進入內網的數據安全性得到了提高。

（7）設備LOG日志測試。

測試情況：可以查看用戶訪問信息、Cache情況、系統信息，提供可自定義的日志數據，監視NetCache的活動，并根據計劃將日志發送到FTP服務器、Web服務器或ContentReporter。對于每個用戶訪問的情況，在Web Access中顯示了每個連接的源地址、目標地址及訪問內容，而且是不停地往上滾動的，后臺有軟件來分析（如圖4所示）。

（8）數據分析情況。

系統狀態可以查看服務的狀態、Cache匹配、內存、硬盤等統計信息，在Data選項卡的System Status→General中，您的機器必須安裝Java虛擬機才能顯示圖表（如圖5所示）。

此設備在使用過程中隨時可以通過單擊幫助來解決問題，位置在界面的右上方。

項目實施效果分析

由于我們使用了專用設備，專用設備和專用操作系統不出自Windows或UNIX，無需加固，沒有補丁，沒有安全方面的隱患。由于在網絡中用Firewall進行屏蔽，用硬件Proxy進行控制，使得配置和管理工作極大簡化。最重要的是，該解決方案實現了集中化管理，大大減少了實施互聯網訪問針對特殊情況的例外策略所進行的相關管理工作。

結果是，中鐵咨詢的網絡現在具有了控制員工如何使用互聯網的能力，并通過HTTP和流媒體緩存功能加速網絡的訪問速度，優化出口帶寬的使用。Web通信和網絡安全牢不可破——這對于一個大規模的企業來說是最主要的好處。