海蜘蛛路由系统说明书.docx
- 文档编号:9575777
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:27
- 大小:1.34MB
海蜘蛛路由系统说明书.docx
《海蜘蛛路由系统说明书.docx》由会员分享,可在线阅读,更多相关《海蜘蛛路由系统说明书.docx(27页珍藏版)》请在冰豆网上搜索。
海蜘蛛路由系统说明书
目录
目录3
一系统简介5
1.1基本背景5
1.2产品目标5
1.3产品特点5
1.4产品定位6
二高效稳定的接入功能6
2.1多WAN口路由接入6
2.2双线高级策略路由7
2.3线路备份功能7
2.4VPN接入功能8
2.4Web高速缓存代理服务9
2.5PPPOE服务器10
2.6动态域名(DDNS)10
2.7DHCP动态IP地址分配11
2.8VLAN功能11
2.9静态路由12
三.专业的防火墙功能12
3.1数据包内容/URL过滤13
3.2防止DoS攻击13
3.3反端口扫描14
3.4防止ARP欺骗15
3.4.1IP与MAC地址绑定15
3.4.2架设PPPOE服务器16
3.4.3安装ARP神盾客户端16
3.5端口映射17
3.6ACL过滤规则17
3.7IP与MAC地址绑定18
3.8内网过滤18
四.强大的流量管理功能19
五.上网行为管理功能20
5.1合理分配上网时间21
5.2协议特征过滤,提高工作效率22
5.2防止BT及电影等大量下载23
六.信息监测24
6.1信息监测24
6.2网络信息24
6.3ARP&NAT26
七系统软件平台构成及相应特点27
7.1优良的性能27
7.2易于实施与维护28
7.2.1日志管理28
7.2.2在线升级28
7.3高可靠性28
7.4程序与数据分开存储28
7.5系统运行要求28
150台左右带机硬件配置29
300台左右带机硬件配置29
500台左右带机硬件配置30
500台以上带机硬件配置30
一系统简介
1.1基本背景
近年来,随着互联网技术的高速发展,我国企业信息化的建设也逐步加快.现代企业通过互联网宽带的接入,支持信息的收集、传送、加工和汇总等等工作。
企业宽带接入需要满足企业对网络的几个重要的需求,包括Web服务、邮件服务、远程接入、远程的办公自动化系统及文件和打印服务共享等。
同时,还得保证网络服务的不间断与稳定的需求。
由于外在攻击的存在,宽带接入也必须避免病毒的危害及不受攻击等网络安全的需要。
最后则为对内网的管理,对不同上网用户需要做一定的限制,分配不同权限的设置,以优化带宽的利用。
1.2产品目标
虽然中国中小型企业的信息化高速增长,但中小型企业信息化尚处于非成熟阶段,整体应用水平偏低,仅有不足1%的企业体现出信息化成熟的特征,与之形成鲜明对比的是,大约有1/4的企业还处在“基础网路阶段”。
我国企业信息化应用程度不高的主要原因是软件应用水平低,而软件应用水平低的主要原因是网络基础建设滞后。
因此,我国企业信息化建设的当务之急就是建立一个高效、稳定、安全的宽带接入平台。
武汉海蜘蛛网络科技有限公司针对我国中小型企业信息化现状,集合我公司当前最尖端的科技精英,为我国中小企业度身打造了一套高性能多功能路由产品,可为企业提供一个高效、稳定、安全的企业网络平台.最大程度提高运营效率、降低成本,为企业在激烈的市场竞争中赢得先机。
1.3产品特点
Hi-SpiderRouter是专为满足企业/网吧对高速稳定的网络要求而设计的高效多功能软件宽带路由器。
系统集宽带路由共享(Router)、专业级防火墙、QoS带宽流量管理、多线路负载均衡、VPN、上网行为管理等多项功能于一身,支持功能模块扩展,是一个安装简单、稳定性高、易维护、投资低的一体化智能路由系统。
路由系统基于嵌入式架构,提供稳定高效的底层核心功能和应用接口。
具有服务进程监控和故障恢复功能,内嵌专业级防火墙,为系统提供强大的攻击防护,因此铸就了超高的稳定性和安全性。
配合强大的QoS流量控制优化和行为管理功能,保证企业核心业务数据流量获得最高优先级。
1.4产品定位
适应下列行业和单位:
◇大中型网吧宽带接入
◇中小企业互连网宽带接入
◇学生公寓宽带共享管理
◇社区宽带接入共享
二高效稳定的接入功能
2.1多WAN口路由接入
随着企业的日益发展壮大,他们对网络出口带宽的需求也随之加大。
而目前,大部分企业单独线路的带宽只有1M~2M,这已经远远满足不了一些企业网络应用(如视频会议、大文件传输)的需求了。
使用多WAN线路接入,相当于总出口带宽拓宽到原来的多倍(具体看有几个WAN口)。
事实上,多WAN口宽带路由器不仅适用于ADSL,以太网宽带、CableModem也同样适合。
并且,通过这种方式获得的“高带宽”在费用上更具优势,因为目前无论是ADSL还是以太网宽带,包月费用都很低,多申请几条费用也很有限,用有限的费用换来带宽的成倍增长,对于较大一些的网络是很合算的。
而以往向运营商租用的高带宽接入,包月费用就很高,相比之下多WAN口方案能用极小的代价获得不错的效果。
系统支持光纤、CableModem、ADSL固接/PPPoE等主流接入方式;多条ADSL取代光纤可大大节约宽带接入费用。
多WAN口线路可作负载均衡,平衡对外流量。
可以将某台电脑的流量制定到某一个WAN口,以获取最佳的访问速度。
如果其中一条线路断线时,流量可自动切换至另一WAN端口,实现线路备份。
2.2双线高级策略路由
系统还支持连接电信、网通及教育网的双网策略路由功能。
并且为了解决目前国内南北网络互访速度问题,系统内置完整的北方网通、南方电信以及中国教育网的路由表,系统可自动判断网络包目的服务器在那条线路,以确保宽带接入联机反应快速,不会因为网络数据包跨经不同运营商而导致上网速度下降。
图2-1内置路由表
2.3线路备份功能
线路备份是多WAN口宽带路由器的又一作用。
网络出现故障,大家都上不了网,是最让人恼火的事情。
而常见网络故障之一就是接入线路故障,可能是ISP局端设备故障,可能是电缆故障,也可能是用户端故障。
若使用多WAN口宽带路由器,申请多条线路,使用多个Modem,多条线路还可以是不同运营商的,例如,一条是中国电信的、一条是中国网通的,就能在某个ISP、某条线路、某个Modem出现故障时,把数据流量重新分配到没有故障的线路上,整个网络不会中断。
2.4VPN接入功能
对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。
VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN提高了整个企业网的互联性,良好的扩展性使得企业更好、更快地适应Internet经济的发展,把握商机;另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
Hi-SpiderRouter同时支持PPTP_VPN和SSL_VPN两种方式接入。
通过VPN使企业里的电脑工作在同一个虚拟局域网内,为程序共用(如ERP)、数据安全共享、VOIP等功能提供高效的平台
Hi-SpiderRouter的PPTP_VPN功能可以实现VPN借线服务,您可以使用Hi-SpiderRouter作为客户端拨入其他VPN借线服务器,也可以使用Hi-SpiderRouter作为借线服务器端来提供借线服务。
目前使用电信、网通双线接入的成本较高,因此很多中小型企业/网吧依然使用的单线接入,VPN借线服务能在不改变物理网络环境的情况下也能实现电信网通双线策略路由。
图2-2VPN虚拟策略路由
2.4Web高速缓存代理服务
使用Web高速缓存代理服务,服务器在内存或磁盘中将缓存客户机请求的网络数据元,当此客户机再次访问或其他客户机访问相同资源时,服务器直接从缓存中读取并返回给客户机,这样不仅可以大大加快客户机访问网络的速度,还能有效节省网络带宽消耗。
访问被拒绝页面我们还可以设置自动跳转到指定地网页。
图2-3WEB代理缓存
2.5PPPOE服务器
PPPOE拨号服务为用户提供另外一种局域网访问Internet的方式,这种方式如同ADSL宽带上网,每个工作站访问Internet是相对独立的,互不干扰,同时还可以从根本上解决局域网ARP攻击等带来的问题。
支持PPPOE与传统以太网混合接入。
支持客户端认证,支持基于账号的带宽管理与访问控制,特别适用与小区宽带运营的网络环境
2.6动态域名(DDNS)
目前,很多企业的宽带接入都是使用的ADSL,而ADSL提供给每个客户都是动态IP地址。
这样如果企业需要对外网开发服务,就需要另外申请固定IP地址,无疑是加大了企业的运营成本。
Hi-SpiderRouter支持DDNS动态域名解析功能,企业即使使用动态IP也可以对外网开放服务。
路由默认为客户提供了“金万维”、“希网”、“花生壳”三家服务提供商供客户选择。
图2-4DDNS动态域名解析
2.7DHCP动态IP地址分配
DHCP服务用来动态分配IP地址、网关、域名服务器等信息给工作站客户机这些信息,省去了客户机手工设置的繁琐性。
当客户机较多时,使用DHCP来配置网络可以大大减少管理员的工作。
2.8VLAN功能
采用VLAN方式划分网络体系能够让管理员更加方便的管理企业网络,而VLAN网络灵活的扩展能力也让企业网络规模在不断扩大的同时不会出现网络混乱的情况,VLAN网络所具有的控制广播风暴能力让企业网络资源的性能得到大幅度提高,并且VLAN网络还具有管理简单,安全性高的特点。
因此,在网络最初的设计中采用VLAN方式能够对网络将来的扩展带来极大的好处。
通常,一个规模较大的企业,其下属一般拥有部门会很多,为保证对不同职能部门管理的方便性和安全性以及整体网络运行的稳定性,可以采用VLAN划分技术,进行虚拟网络划分。
图2-5VLAN网络拓扑
2.9静态路由
通过配置静态路由,用户可以人为地指定对某一网络访问时所要经过的路径.在网络结构比较简单,且一般到达某一网络所经过的路径唯一的情况下采用静态路由。
三.专业的防火墙功能
随着互连网技术的飞速发展,企业网络安全也遭受着严峻挑战。
病毒、外部入侵(黑客)、ARP攻击、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。
传统的中低端路由器不具备防火墙功能,而高端路由或者独立的防火墙设备价格不菲,一般的中小企业很难承受这种巨大的投入。
Hi-SpiderRouter自带专业防火墙,提供强大的防护功能,支持内/外部攻击防范,提供扫描类、DoS类、可疑包和含有IP选项的包等攻击保护,能侦测及阻挡ARP欺骗、DoS等网络攻击,有效的阻止Nimda、冲击波、木马等病毒攻击,为企业提供可靠的安全保障
3.1数据包内容/URL过滤
互连网的接入,一方面给员工带来了便利,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
很多员工利用上班时间浏览与工作无关网页,随意下载,这样不仅没有提高工作效率,反而容易造成病毒的传播,给企业带来不可估量的损失。
因此,在让员工使用网络的同时,还需要对员工访问的内容做一定的限制。
海蜘蛛路由防火墙在应用层提供强大的数据包内容过滤的功能,能够根据特定网址进行过滤.对于用户访问的Web页面则能够对访问内容进行关键字过滤.这样,能够有效的阻止对色情和暴力等非法网站的访问.
图3-1URL过滤示意图
3.2防止DoS攻击
DoS全称是DenialofService(拒绝服务),其最基本的攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务,目的就是耗尽服务器资源,最终使你的部分Internet连接和网络系统失效.
而针对DoS攻击所涉及的网络实体有传输实体、安全事体和主机实体,通过使用Hi-SpiderRouter路由系统可以在这三种网络实体上应用相应策略来防范DoS。
具体分为以下5种方式:
1.IP欺骗防范
2.ICMPflooding防范
3.TCPSYNflooding防范
4.IP碎片攻击防范
5.UDPflooding防范
图3-2防火墙基本安全设置
同时,路由的防火墙提供攻击动态拦截功能,主要是针对TCPSYNflooding,当路由开启了防火墙日志和拦截后,路由将对局域网内的电脑进行监控,一段发现有机器的TCP连接数高于防火墙预设值的话将对此主机进行惩罚,禁止其在指定时间内其与路由的通讯,同时将攻击记录到防火墙日志。
图3-3动态攻击拦截
3.3反端口扫描
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个IP地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对路由器发起Ping请求,也会把路由器拖跨掉。
因此Hi-SpiderRouter设计了反端口扫描的功能,可以简单方便的开启,所有外面过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。
同时,开启端口扫描探测仪,并布下一系列的端口陷阱,当遇到黑客扫瞄时,立即启动预定的反击措施将黑客拒绝于防火墙之外.
图3-4反黑客扫描
3.4防止ARP欺骗
目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了.不仅如此,很多木马盗号程序就是利用这一点来到取用户的帐号密码.
针对这类问题,Hi-SpiderRouter提供了三种方法来解决.
3.4.1IP与MAC地址绑定
ARP欺骗主要是通过伪造IP地址和MAC地址实现的.因此,我们不要把网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。
Hi-SpiderRouter支持MAC和IP地址双向绑定.强行让MAC和IP一一对应,保证ARP表不被更改,从而防止了ARP欺骗的发生.同时系统提供ARP攻击报警功能,当内网里出现ARP攻击的时候,系统会及时鸣笛预警,并显示问题主机.以方便网络管理人员能即时修复问题主机.
图3-5MAC地址绑定示意图
3.4.2架设PPPOE服务器
除了绑定之外,我们还可以采用另外一种方式来防止ARP欺骗.开启Hi-SpiderRouter里的PPPOE服务器,设置一组帐号和密码,然后每台客户机建立一个PPPOE拨号连接,通过认证的方式接入路由器,最后由路由器NAT转发到外网。
由于这种方式相当于是给每台客户机与路由之间单独建立了一条虚拟线路,而不是通过ARP表的转发,因此从根本上杜绝了ARP欺骗的可能性.
3.4.3安装ARP神盾客户端
ARP神盾是配合Hi-SpiderRouter使用的ARP防护客户端,它是通过建立静态的ARP绑定列表,并且是管理人员人为控制的,所有的ARP通信以此表为依据,有效保证了通信的可控性。
所有的ARP信息必须符合路由的绑定列表的对应关系,ARP信息才得以发布,否则用任何手段,信息均受到过滤,有效解决在ARP协议理论范围内可能产生的任何攻击行为。
由于客户端直接与路由配合使用,这种模式的可靠性和效率远远大于一般的C/S(客户端/服务端)架构的同类软件.
3.5端口映射
当企业需要对公网上的用户提供特定的网络服务的时候(如WEB服务器、邮件服务器等),就需要对拥有一个或多个固定IP.而现在传统的IPV4的网络下,IP地址资源相当紧张.使得大部分中小企业无法得到多个固定IP地址.因此,我们在需要对公网提供服务的时候,直接将需要提供服务的端口号映射到路由上,这样就可以解决中小企业固定IP地址不足的问题.同时,系统直接端口回流技术,保证了内外网用户都能顺利的访问服务器.
并且提供DMZ和UPnP等功能,进一步满足客户的不同需求.
3.6ACL过滤规则
海蜘蛛路由防火墙采用了ACL状态包过滤的技术,不但能根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口、网络地址、通讯协议等数据包进行控制。
系统能够根据数据包报头进行如下控制:
☆数据包源、目的地址;
☆协议类型;
☆数据包源、目的端口;
☆数据包通过的网络接口;
☆MAC地址;
☆时间.
图3-6防火墙访问控制模块示意图
3.7IP与MAC地址绑定
MAC-IP绑定可以严格控制局域网主机,防止局域网用户随意改变自己的IP地址来获得非法权限或导致IP冲突.绑定后,服务器与客户机通讯时将使用静态ARP表,这样还可以减少局域网内的ARP广播流量。
图3-7MAC地址绑定
Hi-SpiderRouter的MAC与IP绑定分为“普通绑定”和“强制绑定”两种模式:
∙普通绑定
阻止与绑定MAC不匹配的IP的通讯,不在绑定列表中的IP正常通讯。
主要用于防止用户私自修改已绑定的机器的IP;
∙强制绑定
只允许与绑定列表中MAC地址匹配的IP接入Internet。
MAC与IP绑定中提供了“ARP扫描”和“ARP缓存”两种批量导入方式,同时还可以自动绑定DHCP分配的IP与MAC信息。
3.8内网过滤
内网过滤模块可以设定内部计算机按网卡MAC地址、IP地址过滤,所有在过滤列表内的客户机将被禁止访问Internet。
图3-8内网过滤
四.强大的流量管理功能
随着新的应用的不断涌现,大量的实时业务就对报文传输的延迟提出了更高的要求(如VoIP、视频会议等)。
相对而言,Email和FTP等文件传输业务对时间延迟并不敏感。
而传统的网络设备的尽力服务不可能识别和区分网络中的各种通讯类别,不能满足目前网络发展的需要。
Hi-SpiderRouter支持QoS(QualityofService,服务质量)管理机制,基于策略的带宽分配与加速功能可使您保护关键型应用,抑制娱乐或未经认可的流量,调整可能占用大量带宽的业务应用的步伐,压缩流量以实现最佳的吞吐量。
图4-1上传限制
图4-2下载控制
以上的流量控制可以根据不同部门或个人,对一个网段或者单机IP进行合理的分配,以保证关键部门或个人的流量需求.
系统不但可以根据企业的实际情况来合理的分配流量,还可以根据企业对不同的网络服务的需求,对相应的流量进行优先级分配,以保证企业的关键性业务和即时性高的业务能得到足够的带宽.
五.上网行为管理功能
随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。
在全世界企业网络使用情况的调查中发现,非法使用邮件、浏览非法Web网站、下载音乐、电影等数字文件,或者在线观看收听流媒体的员工正在增加,令网络管理者头疼不已。
这些员工随意使用网络将导致三个问题:
1.工作效率低下;
2.网络性能恶化;
3.网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。
企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒,木马造成的网络异常)快速的故障定位,这一切都是对企业网信息安全管理的挑战。
5.1合理分配上网时间
对于有些企业而言,不是所有的电脑连入了网络都需要提供上网服务的。
因此,需要对网络中的电脑的上网权限进行合理的分配。
海蜘蛛路由企业版提供了上网时间管理功能,通过定义上网时间,可以控制员工在定义好的上网时间内的上网行为,如只允许员工在规定时间内连入互联网,或规定时间内不允许访问互联网。
Hi-SpiderRouter提供了预定义时间对象的功能,用户可以先定义好需要控制的时间段。
图5-1预定义时间对象
还有些企业,对不同部门或个人设定了不同的上网权限,可能有的部门以及个人工作比较特殊,没有联入互联网的上网权限,为了避免这些用户去修改IP地址逃脱规则的设定而达到上网的目的的,我们可以通过IP/MAC的强制绑定功能使得这些用户即使修改了IP地址也无法达到上网目的。
5.2协议特征过滤,提高工作效率
据最新的IDC数据统计,一般企业中的员工在工作时间30%~40%的上网活动与工作无关,如聊天、游戏、炒股。
这样必然会降低员工的工作效率。
通过海蜘蛛路由企业版的上网行为管理功能可以有效的控制这些非工作行为,从而使员工能够专注于工作。
Hi-SpiderRouter提供了协议特征过滤功能,可以有效的规范员工上网行为,提供工作效率。
图5-2协议特征过滤
图5-3可选择控制的协议特征
5.2防止BT及电影等大量下载
现在企业的环境中,BT,kugoo,电驴,迅雷等软件的使用,更是线路带宽的杀手,因此,如何保证企业的带宽得到有效的利用,成了各往管人员的当务之急。
而使用海蜘蛛路由器,可以针对每个区用QoS(带宽管理)功能,来限制内网每个IP或者服务端口的流量,可以把P2P,迅雷等软件的使用带宽限制到非常小,再也不会因为内网的某台电脑大量下载而占用比较多的线路带宽。
图5-4P2P控制
六.信息监测
6.1信息监测
系统信息
查看系统运行信息,如:
开机时间、系统负载、内存使用情况等。
图6-1系统信息
硬件信息
查看CPU、磁盘、PCI等硬件的类别、型号等信息。
双网掉线日志
当您设置了双线策略路由线路检测后,系统将纪录双线的掉线日志,每隔一段时间会自动清理日志文件。
线路检测日志
当您设置了双线负载均衡线路检测后,系统将记录双线的掉线日志每隔一段时间会自动清理日志文件
6.2网络信息
网络状态
查看网络接入相关信息,以及网络负载信息。
图6-2网络状态
端口信息
查看路由系统上已打开的端口和已建立的连接信息。
图6-3端口信息
PPPoE拨号连接信息
查看路由系统通过PPPoE拨号连接到服务器上的计算机的连接信息。
6.3ARP&NAT
局域网计算机扫描
查看路由系统所发现的局域网内的计算机信息。
ARP高速缓存
1、ARP高速缓存中保存了最近和服务器通信的IP地址和对应硬件MAC地址的映射;
2、NAT转发数可以反映出客户端的网络流量,其值越大,表明此客户端消耗网络带宽越多。
ARP攻击检测
对局域网内的ARP扫描或攻击进行监控并报警。
并在列表中显示出来,方便您及时找到攻击主机。
图6-4AR[攻击检测
NAT信息监测
可查看局域网内正在运行的主机的通信信息,包括:
上传、下载的流量,通讯端口、通讯目标IP地址等
图2-1NAT信息
七系统软件平台构成及相应特点
Hi-SpiderRouter本囊括了目前企业日常宽带上网所需的所有功能,具有高度集中、高度稳定、高效运行的特点,从而为广大企业的经营者大大节省了网络硬件方面的投入,同时也节约了多个设备运转的费用支出,极大的简化了设备的维护工作,有效地保证了企业的网络快速、稳定、安全地运行,真正做到无人值守,将网络管理人员从日常繁杂的网络维护工作中彻底解脱出来。
7.1优良的性能
Hi-SpiderRout
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 蜘蛛 路由 系统 说明书