網(wǎng)絡(luò)管理解決方案

1、網(wǎng)絡(luò)管理解決方案一、問題的提出背景：某集團(tuán)公司總部位于北京,10個(gè)分公司分別位于上海、廣州、成都、西安等 地。整個(gè)公司用戶近3000名，其中北京1500名，其余分公司用戶50-350名不等。公 司在各地建立了規(guī)模不等的局域網(wǎng),并租用專線連成一個(gè)廣域網(wǎng)。公司使用的網(wǎng)絡(luò) 設(shè)備包括3、等公司的路由器、交換機(jī)、網(wǎng)卡。服務(wù)器上運(yùn)行的操作系統(tǒng) 有、中軟、400、等;客戶端以9x為主。問題：對(duì)于公司龐大的網(wǎng)絡(luò)系統(tǒng)，出現(xiàn)故障不易查找、診斷和修復(fù)。希望：通過網(wǎng)管系統(tǒng)，在總部可以管理分公司網(wǎng)絡(luò)設(shè)備，并支持網(wǎng)管人員的移動(dòng)式管理; 能防范來自內(nèi)部與外部的入侵，解決安全問題;能適用公司規(guī)模的調(diào)整,易于實(shí)現(xiàn)設(shè)備 的增減;

2、適應(yīng)公司業(yè)務(wù)向電子商務(wù)模式轉(zhuǎn)變。根據(jù)上述需求，擬采用如下解決方案：1、采用，作為集成化網(wǎng)絡(luò)與系統(tǒng)管理的基礎(chǔ)，可以自動(dòng)發(fā)現(xiàn)和映射整個(gè)網(wǎng)絡(luò)拓 撲結(jié)構(gòu)圖，確保網(wǎng)絡(luò)管理員知曉網(wǎng)絡(luò)中發(fā)生的任何變化。2、采用公司的一系列安全產(chǎn)品，解決網(wǎng)絡(luò)安全問題：選用公司的提供防病毒安全解決方案選用公司的防火墻提供互連安全解決方案選用公司的提供防黑客安全解決方案下面分四個(gè)部分討論方案的實(shí)施。二、網(wǎng)絡(luò)拓?fù)鋱D的管理：1、使用管理整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D主要能夠?qū)崿F(xiàn)以下功能：(1能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備，并提供顯示網(wǎng)絡(luò)實(shí)際連接狀況的視圖；(2能夠持續(xù)地監(jiān)控網(wǎng)絡(luò)上新的設(shè)備和網(wǎng)絡(luò)設(shè)備狀態(tài)，并可以探測(cè)到位于廣域網(wǎng) 上的設(shè)備；(3能夠迅速找到網(wǎng)

3、絡(luò)故障的根源，并協(xié)助網(wǎng)絡(luò)管理人員進(jìn)行網(wǎng)絡(luò)增長(zhǎng)的計(jì)劃和 網(wǎng)絡(luò)變化的設(shè)計(jì)；(4能夠通過的界面靈活訪問網(wǎng)絡(luò)拓?fù)浼熬W(wǎng)管數(shù)據(jù)，實(shí)現(xiàn)了從的任何地點(diǎn)進(jìn)行數(shù) 據(jù)管理的能力；(5適合于任何規(guī)模的網(wǎng)絡(luò)管理，既可以作為一個(gè)獨(dú)立的網(wǎng)絡(luò)管理站操作，也支持 分布式體系結(jié)構(gòu),提供集中控制與分散執(zhí)行；(6允許公司運(yùn)用廣泛的第三方解決方案擴(kuò)展其網(wǎng)絡(luò)的可管理性?？梢园惭b在、三種操作系統(tǒng)平臺(tái)上，能夠發(fā)現(xiàn)網(wǎng)絡(luò)上的、和2設(shè)備。的實(shí)施可以有兩種方式:集中式和分布式。集中式是在網(wǎng)絡(luò)系統(tǒng)中建立一個(gè)全面負(fù)責(zé)管理所有網(wǎng)絡(luò)資源的網(wǎng)管中心，該方 法容易實(shí)現(xiàn)且操作簡(jiǎn)單;但如果網(wǎng)絡(luò)規(guī)模較大或網(wǎng)絡(luò)規(guī)模擴(kuò)大,網(wǎng)絡(luò)上所有網(wǎng)管輪詢 (和網(wǎng)管信息量增大，集中式管

4、理中心可能成為網(wǎng)絡(luò)系統(tǒng)的瓶頸,并且網(wǎng)絡(luò)管理信息流 導(dǎo)致網(wǎng)絡(luò)可用帶寬的減少。分布式網(wǎng)管模式是按層次、區(qū)域建立多個(gè)網(wǎng)管中心，分別負(fù)責(zé)管理不同區(qū)域和 不同層次的網(wǎng)絡(luò)資源，不同網(wǎng)管中心相互配合共同完成網(wǎng)絡(luò)系統(tǒng)的管理，頂端網(wǎng)絡(luò)中 心只管理第二級(jí)網(wǎng)管中心和兩級(jí)之間的網(wǎng)絡(luò)連接,第二層網(wǎng)管中心分區(qū)域管理下屬 的網(wǎng)絡(luò)資源。該方式克服了集中式的缺點(diǎn)，網(wǎng)絡(luò)的分布區(qū)域可以很廣，且效率較高。根據(jù)以上特點(diǎn)，本方案最好采用分布式，在公司總部網(wǎng)管中心安裝企業(yè)版（無限節(jié) 點(diǎn)版本，作為采集和管理中心，它負(fù)責(zé)管理分公司網(wǎng)管中心和兩級(jí)之間的網(wǎng)絡(luò)連接;在 各分支機(jī)構(gòu)的局域網(wǎng)服務(wù)器上安裝標(biāo)準(zhǔn)版，作為管理各分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)資源的 區(qū)域管

5、理中心。2、管理網(wǎng)絡(luò)設(shè)備針對(duì)該方案中存在著如、3、等公司的網(wǎng)絡(luò)設(shè)備,為了從公司總部網(wǎng)管中心 管理到位于總部或分公司局域網(wǎng)內(nèi)這些網(wǎng)絡(luò)設(shè)備，可在這些設(shè)備所處局域網(wǎng)的網(wǎng)管 中心或公司總部網(wǎng)管中心的上集成這些設(shè)備的網(wǎng)管軟件，例如要在公司總部管理上 海分公司局域網(wǎng)內(nèi)路由器，可在北京公司總部的網(wǎng)管中心安裝,通過廣域網(wǎng)來管理到 路由器的每一個(gè)端口。3、遠(yuǎn)程管理現(xiàn)在能夠通過的界面靈活訪問網(wǎng)絡(luò)拓?fù)浼熬W(wǎng)管數(shù)據(jù)，實(shí)現(xiàn)了在網(wǎng)的任何地點(diǎn)進(jìn) 行數(shù)據(jù)管理的能力。三、防病毒的安全解決方案作為全球反病毒解決方案的領(lǐng)導(dǎo)者，提供的套件，就是一個(gè)綜合的企業(yè)反病毒安 全與管理方案，它具有以下顯著特點(diǎn)：最廣泛的多級(jí)進(jìn)入點(diǎn)保護(hù)：提供了桌面

6、，服務(wù)器和網(wǎng)關(guān)的單一集成的防病毒系統(tǒng)，對(duì)所有潛在的病毒進(jìn)入點(diǎn) 實(shí)行全面保護(hù)。2.100%的病毒檢測(cè)率：的防病毒軟件在多個(gè)獨(dú)立的實(shí)驗(yàn)室測(cè)試中多次獲得檢測(cè)不明病毒100%的認(rèn) 證。擁有專利權(quán)的啟發(fā)式技術(shù)可以精確地檢測(cè)到新的病毒。強(qiáng)有力的服務(wù)與研究支持：在全球六大洲擁有由近百名病毒研究專家組成的反病毒緊急響應(yīng)小組，為用戶 提供7x24小時(shí)的專業(yè)服務(wù)與支持。完善的企業(yè)級(jí)管理能力：中央控制臺(tái)集中配置與管理模式，使您的企業(yè)網(wǎng)絡(luò)更加高效，更易管理。獨(dú)特的病毒更新能力當(dāng)更新信息從實(shí)驗(yàn)室發(fā)布時(shí)驚人的企業(yè)推送（技術(shù)立即將其送達(dá)系統(tǒng)管理 員。通過自動(dòng)更新（，桌面和服務(wù)器按計(jì)劃從指定的中央服務(wù)器上提取更新信息使自 己

7、保持為更新狀態(tài)。具體到本系統(tǒng)，采用如下方案：多層保護(hù)。保護(hù)服務(wù)器。如果服務(wù)器感染病毒，其被感染的服務(wù)器文件會(huì)成為病毒感染的源頭，迅速從桌 面發(fā)展到整個(gè)網(wǎng)絡(luò)病毒爆發(fā)，尤其象、這樣的群件會(huì)加速病毒傳播的速度。因此需 要能高效、實(shí)時(shí)地檢測(cè)發(fā)送或來自于服務(wù)器的病毒感染文件,以免它在整個(gè)網(wǎng)絡(luò)中 的擴(kuò)散;同時(shí)可以按需要選擇立刻或定時(shí)檢測(cè)、掃描駐留在文件服務(wù)器中的病毒。防病毒軟件支持所有主流的操作系統(tǒng),包括、（包括等、2等,并支持、等群件服務(wù)器的防病毒。在公司總部和各分公司局域網(wǎng)中所有的服務(wù)器上安裝的，在群件服務(wù)器上安裝 的。網(wǎng)關(guān)的保護(hù)。隨著的普及,越來越多的企業(yè)用戶被感染病毒中，都和從上下載文件有關(guān)或以電

8、 子郵件附件方式進(jìn)入企業(yè)網(wǎng)絡(luò)，所以，反病毒軟件應(yīng)能在網(wǎng)關(guān)上封住病毒,掃描所有入 站、出站的電子郵件,能夠?yàn)椤⒌榷鄠€(gè)協(xié)議在內(nèi)的通信提供病毒保護(hù),同時(shí)掃描有惡 意的和小程序。的安裝在網(wǎng)關(guān)上實(shí)現(xiàn)上述功能。桌面的保護(hù)。企業(yè)在把防病毒策略放在保護(hù)服務(wù)器和網(wǎng)關(guān)的同時(shí)，還要注意到50%的病毒仍 通過軟盤進(jìn)入企業(yè)網(wǎng)絡(luò)。所以要在所有桌面機(jī)上安裝桌面防病毒軟件，實(shí)現(xiàn)桌面保 護(hù)功能。是一個(gè)優(yōu)秀的殺毒軟件，它能夠掃描包括引導(dǎo)區(qū)、文件分配表、分區(qū)表、軟 盤、文件夾、壓縮文件在內(nèi)的所有系統(tǒng)區(qū)域;并具有先進(jìn)的實(shí)時(shí)掃描技術(shù)在磁盤訪 問、文件復(fù)制、程序執(zhí)行、系統(tǒng)啟動(dòng)和關(guān)閉時(shí)撲獲病毒，提供桌面的在線保護(hù);同時(shí) 還能夠防止惡意、小

9、程序?qū)W(wǎng)絡(luò)用戶的損害，防止病毒通過下載的途徑。（圖2企業(yè)級(jí)管理擁有一個(gè)功能強(qiáng)大的管理工具，可以從控制中心管理企業(yè)范圍內(nèi)的反病毒安全 機(jī)制,具有集中管理、分發(fā)和警告的功能。管理員可以使用控制臺(tái)將軟件升級(jí)版和 更新信息迅速傳至企業(yè)內(nèi)部的所有客戶機(jī)和服務(wù)器上;或則可制訂計(jì)劃，使機(jī)、服務(wù) 器自動(dòng)從指定的中央服務(wù)器提取更新信息使自己保持為最新。四、互連安全解決方案在大型網(wǎng)絡(luò)系統(tǒng)與互連的第一道屏障就是防火墻。防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò) 通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下,提供內(nèi)外網(wǎng)絡(luò)通訊。防火墻總體上分為包過濾和代理服務(wù)器兩大類型。我們將通常

10、所說的應(yīng)用級(jí)網(wǎng) 關(guān)和代理服務(wù)器統(tǒng)稱為代理服務(wù)器。包過濾即包過濾，雖簡(jiǎn)單方便，但包過濾路由器存在許多弱點(diǎn):比如包過濾規(guī)則難 于設(shè)置并缺乏已有的測(cè)試工具驗(yàn)證規(guī)則的正確性（手工測(cè)試除外。一些包過濾路由 器不提供任何日志能力,直到闖入發(fā)生后，危險(xiǎn)的封包才可能檢測(cè)出來等。為了解決包過濾路由器的弱點(diǎn)，防火墻要求使用軟件應(yīng)用來過濾和傳送服務(wù)連 接（如和。這樣的應(yīng)用稱為代理服務(wù)，運(yùn)行代理服務(wù)的主機(jī)被稱為應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng) 關(guān)和包過濾器混合使用能提供比單獨(dú)使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大 的靈活性。應(yīng)用網(wǎng)關(guān)的優(yōu)點(diǎn)很多，如:比包過濾路由器更高的安全性;提供對(duì)協(xié)議的過濾，如 可以禁止連接的命令。信息隱藏，應(yīng)用

11、網(wǎng)關(guān)為外部連接提供代理。節(jié)省費(fèi)用;簡(jiǎn)化和 靈活的過濾規(guī)則,路由器只需簡(jiǎn)單地通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過，等 等。因此,應(yīng)用網(wǎng)關(guān)防火墻的安全特性遠(yuǎn)比包過濾型的防火墻高。使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力（70,很好的 解決了安全、性能及靈活性的協(xié)調(diào)。由于完全使用應(yīng)用層的代理服務(wù)，提供了該領(lǐng) 域最安全的解決方案，從而對(duì)訪問的控制更加細(xì)致。其特點(diǎn)和優(yōu)點(diǎn):（1動(dòng)態(tài)安全性集成技術(shù)允許集中式的策略管理和整個(gè)事件管理系統(tǒng)中的事件 的相互通風(fēng)；(2自適應(yīng)代理技術(shù)在應(yīng)用網(wǎng)關(guān)防火墻中可以提供信息包過濾器的高速度；(3支持多處理器技術(shù)提高了防火墻性能；(4代理提供視頻會(huì)議、新聞、公

12、眾事件和廣播會(huì)議的安全實(shí)時(shí)訪問；(5代理通過防火墻安全訪問、和數(shù)據(jù)庫；(6內(nèi)容安全性可以保護(hù)機(jī)構(gòu)免受系統(tǒng)數(shù)據(jù)遭到來自的威脅，如病毒、惡意、代 碼。根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：1、局域網(wǎng)內(nèi)的之間控制信息流向時(shí)；2、與之間連接時(shí)；3、在本系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成 不安全的系統(tǒng),(通過公網(wǎng)，,等連接在總部和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離，并 利用構(gòu)成虛擬專網(wǎng)。4、總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過連接,需要各自安裝防火墻,并利用 組成虛擬專網(wǎng)。5、在遠(yuǎn)程用戶撥號(hào)訪問時(shí),加入虛擬專網(wǎng)。五、防黑客的安全解決方案利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置

13、，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù), 降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：】、入侵者可尋找防火墻背后可能敞開的后門。2、入侵者可能就在防火墻內(nèi)。3、由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及 采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能 夠阻止的入侵。入侵檢測(cè)系統(tǒng)可分為兩類:基于主機(jī)基于網(wǎng)絡(luò)基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、 系統(tǒng)日志檢查，非法訪問的闖入等，并且提供

14、對(duì)典型應(yīng)用的監(jiān)視如服務(wù)器應(yīng)用。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。是設(shè)計(jì)用于保護(hù)企業(yè)系統(tǒng)與網(wǎng)絡(luò)設(shè)備的各個(gè)方面免受不斷增長(zhǎng)的復(fù)雜惡意威 脅的專用產(chǎn)品。1、為找出網(wǎng)絡(luò)上的脆弱環(huán)節(jié)提供主動(dòng)的安全性掃描和解決問題的現(xiàn)場(chǎng)解決 建議，具體特性：全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)的脆弱環(huán)節(jié)，并且提供了可執(zhí)行的總結(jié)報(bào) 告與挖掘報(bào)告選項(xiàng)；獨(dú)特的跟蹤器信息包防火墻測(cè)試提供了詳細(xì)的防火墻/路由器審計(jì)；自動(dòng)升級(jí)功能保持掃描引擎、掃描檢測(cè)和脆弱性數(shù)據(jù)庫處于當(dāng)前最新狀態(tài)；提供入侵檢測(cè)監(jiān)控測(cè)試校驗(yàn)系統(tǒng)和網(wǎng)絡(luò)動(dòng)態(tài)監(jiān)測(cè)器的功能；2、的實(shí)時(shí)入侵檢測(cè)為關(guān)鍵任務(wù)系統(tǒng)提供全面保護(hù)。它是擁有多層監(jiān)控結(jié)構(gòu) 的實(shí)時(shí)檢測(cè)代理?；谥鳈C(jī)的信息量分析、系統(tǒng)事件和提供雙倍保護(hù)的獨(dú)立方案的 日志文件一起受到監(jiān)控。其