網(wǎng)絡管理解決方案

1、網(wǎng)絡管理解決方案網(wǎng)絡管理解決方案一、問題的提出某集團公司總部位于北京 ,10 個分公司分別位于上海、廣州、成都、西安等 地。整個公司用戶近 3000 名,其中北京 1500名,其余分公司用戶 50-350 名不等。公 司在各地建立了規(guī)模不等的局域網(wǎng) ,并租用專線連成一個廣域網(wǎng)。公司使用的網(wǎng)絡 設(shè)備包括 3、等公司的路由器、交換機、網(wǎng)卡。服務器上運行的操作系統(tǒng) 有、中軟、400、等;客戶端以9x為主。問題:對于公司龐大的網(wǎng)絡系統(tǒng) ,出現(xiàn)故障不易查找、診斷和修復。希望:通過網(wǎng)管系統(tǒng) ,在總部可以管理分公司網(wǎng)絡設(shè)備 ,并支持網(wǎng)管人員的移動式管理 能防范來自內(nèi)部與外部的入侵 ,解決安全問題 ;能適用公

2、司規(guī)模的調(diào)整 ,易于實現(xiàn)設(shè)備 的增減;適應公司業(yè)務向電子商務模式轉(zhuǎn)變。根據(jù)上述需求 ,擬采用如下解決方案 :1、采用 ,作為集成化網(wǎng)絡與系統(tǒng)管理的基礎(chǔ) ,可以自動發(fā)現(xiàn)和映射整個網(wǎng)絡拓 撲結(jié)構(gòu)圖 ,確保網(wǎng)絡管理員知曉網(wǎng)絡中發(fā)生的任何變化。2、采用公司的一系列安全產(chǎn)品 ,解決網(wǎng)絡安全問題 :選用公司的 提供防病毒安全解決方案選用公司的防火墻提供互連安全解決方案選用公司的提供防黑客安全解決方案下面分四個部分討論方案的實施。二、網(wǎng)絡拓撲圖的管理 :1、使用 管理整個網(wǎng)絡結(jié)構(gòu)拓撲圖主要能夠?qū)崿F(xiàn)以下功能 :(1 能夠自動發(fā)現(xiàn)網(wǎng)絡設(shè)備 ,并提供顯示網(wǎng)絡實際連接狀況的視圖 ;(2 能夠持續(xù)地監(jiān)控網(wǎng)絡上新的設(shè)備

3、和網(wǎng)絡設(shè)備狀態(tài) ,并可以探測到位于廣域網(wǎng) 上的設(shè)備 ;(3 能夠迅速找到網(wǎng)絡故障的根源 ,并協(xié)助網(wǎng)絡管理人員進行網(wǎng)絡增長的計劃和 網(wǎng)絡變化的設(shè)計 ;(4 能夠通過 的界面靈活訪問網(wǎng)絡拓撲及網(wǎng)管數(shù)據(jù) ,實現(xiàn)了從 的任何地點進行數(shù) 據(jù)管理的能力 ;(5 適合于任何規(guī)模的網(wǎng)絡管理 ,既可以作為一個獨立的網(wǎng)絡管理站操作 ,也支持 分布式體系結(jié)構(gòu) ,提供集中控制與分散執(zhí)行 ;(6允許公司運用廣泛的第三方解決方案擴展其網(wǎng)絡的可管理性?？梢园惭b在 、 、三種操作系統(tǒng)平臺上 ,能夠發(fā)現(xiàn)網(wǎng)絡上的、和 2 設(shè)備。的實施可以有兩種方式 :集中式和分布式。集中式是在網(wǎng)絡系統(tǒng)中建立一個全面負責管理所有網(wǎng)絡資源的網(wǎng)管中心

4、,該方法容易實現(xiàn)且操作簡單 ;但如果網(wǎng)絡規(guī)模較大或網(wǎng)絡規(guī)模擴大 ,網(wǎng)絡上所有網(wǎng)管輪詢 (和網(wǎng)管信息量增大 ,集中式管理中心可能成為網(wǎng)絡系統(tǒng)的瓶頸 ,并且網(wǎng)絡管理信息流 導致網(wǎng)絡可用帶寬的減少。分布式網(wǎng)管模式是按層次、區(qū)域建立多個網(wǎng)管中心 ,分別負責管理不同區(qū)域和 不同層次的網(wǎng)絡資源 ,不同網(wǎng)管中心相互配合共同完成網(wǎng)絡系統(tǒng)的管理 ,頂端網(wǎng)絡中 心只管理第二級網(wǎng)管中心和兩級之間的網(wǎng)絡連接 ,第二層網(wǎng)管中心分區(qū)域管理下屬 的網(wǎng)絡資源。該方式克服了集中式的缺點 ,網(wǎng)絡的分布區(qū)域可以很廣 ,且效率較高。根據(jù)以上特點 ,本方案最好采用分布式 ,在公司總部網(wǎng)管中心安裝企業(yè)版 （無限節(jié) 點版本 ,作為采集和管

5、理中心 ,它負責管理分公司網(wǎng)管中心和兩級之間的網(wǎng)絡連接 ;在 各分支機構(gòu)的局域網(wǎng)服務器上安裝標準版 ,作為管理各分支機構(gòu)局域網(wǎng)網(wǎng)絡資源的 區(qū)域管理中心。2、管理網(wǎng)絡設(shè)備針對該方案中存在著如、 3、等公司的網(wǎng)絡設(shè)備 ,為了從公司總部網(wǎng)管中心 管理到位于總部或分公司局域網(wǎng)內(nèi)這些網(wǎng)絡設(shè)備 ,可在這些設(shè)備所處局域網(wǎng)的網(wǎng)管 中心或公司總部網(wǎng)管中心的上集成這些設(shè)備的網(wǎng)管軟件 ,例如要在公司總部管理上 海分公司局域網(wǎng)內(nèi)路由器 ,可在北京公司總部的網(wǎng)管中心安裝 ,通過廣域網(wǎng)來管理到 路由器的每一個端口。3、遠程管理現(xiàn)在能夠通過 的界面靈活訪問網(wǎng)絡拓撲及網(wǎng)管數(shù)據(jù) ,實現(xiàn)了在網(wǎng)的任何地點進 行數(shù)據(jù)管理的能力。三、

6、防病毒的安全解決方案作為全球反病毒解決方案的領(lǐng)導者 ,提供的 套件 ,就是一個綜合的企業(yè)反病毒安 全與管理方案 ,它具有以下顯著特點 :1. 最廣泛的多級進入點保護 :提供了桌面 ,服務器和網(wǎng)關(guān)的單一集成的防病毒系統(tǒng) ,對所有潛在的病毒進入點 實行全面保護。2.100%的病毒檢測率 :的防病毒軟件在多個獨立的實驗室測試中多次獲得檢測不明病毒100%的認證。擁有專利權(quán)的啟發(fā)式技術(shù)可以精確地檢測到新的病毒。3. 強有力的服務與研究支持 :在全球六大洲擁有由近百名病毒研究專家組成的反病毒緊急響應小組,為用戶提供 7x24 小時的專業(yè)服務與支持。4. 完善的企業(yè)級管理能力 :中央控制臺集中配置與管理模

7、式 ,使您的企業(yè)網(wǎng)絡更加高效 ,更易管理。5. 獨特的病毒更新能力當更新信息從實驗室發(fā)布時驚人的企業(yè) "推送 "（技術(shù)立即將其送達系統(tǒng)管理 員。通過自動更新 （,桌面和服務器按計劃從指定的中央服務器上提取更新信息使自 己保持為更新狀態(tài)。具體到本系統(tǒng) ,采用如下方案 :1. 多層保護。1. 保護服務器。如果服務器感染病毒 ,其被感染的服務器文件會成為病毒感染的源頭 , 迅速從桌 面發(fā)展到整個網(wǎng)絡病毒爆發(fā) ,尤其象、 這樣的群件會加速病毒傳播的速度。因此需 要能高效、實時地檢測發(fā)送或來自于服務器的病毒感染文件 ,以免它在整個網(wǎng)絡中 的擴散 ;同時可以按需要選擇立刻或定時檢測、掃

8、描駐留在文件服務器中的病毒。防病毒軟件支持所有主流的操作系統(tǒng) ,包括 、（包括、 、 、 、 、等、 、 2 等, 并支持 、 等群件服務器的防病毒。在公司總部和各分公司局域網(wǎng)中所有的服務器上安裝的 ,在群件服務器上安裝 的。2. 網(wǎng)關(guān)的保護。隨著的普及 ,越來越多的企業(yè)用戶被感染病毒中 ,都和從上下載文件有關(guān)或以電 子郵件附件方式進入企業(yè)網(wǎng)絡 ,所以 ,反病毒軟件應能在網(wǎng)關(guān)上封住病毒 ,掃描所有入 站、出站的電子郵件 ,能夠為、等多個協(xié)議在內(nèi)的通信提供病毒保護 ,同時掃描有惡 意的和小程序。的安裝在網(wǎng)關(guān)上實現(xiàn)上述功能。3. 桌面的保護。企業(yè)在把防病毒策略放在保護服務器和網(wǎng)關(guān)的同時 ,還要注意

9、到 50%的病毒仍 通過軟盤進入企業(yè)網(wǎng)絡。所以要在所有桌面機上安裝桌面防病毒軟件,實現(xiàn)桌面保護功能。是一個優(yōu)秀的殺毒軟件 ,它能夠掃描包括引導區(qū)、文件分配表、分區(qū)表、軟 盤、文件夾、壓縮文件在內(nèi)的所有系統(tǒng)區(qū)域 ;并具有先進的實時掃描技術(shù)在磁盤訪 問、文件復制、程序執(zhí)行、系統(tǒng)啟動和關(guān)閉時撲獲病毒 ,提供桌面的在線保護 ;同時 還能夠防止惡意、小程序?qū)W(wǎng)絡用戶的損害 ,防止病毒通過 下載的途徑。（圖 22. 企業(yè)級管理擁有一個功能強大的管理工具 ,可以從控制中心管理企業(yè)范圍內(nèi)的反病毒安全 機制,具有集中管理、分發(fā)和警告的功能。管理員可以使用控制臺將軟件升級版和 更新信息迅速傳至企業(yè)內(nèi)部的所有客戶機

10、和服務器上 ;或則可制訂計劃 ,使機、服務 器自動從指定的中央服務器提取更新信息使自己保持為最新。四、互連安全解決方案在大型網(wǎng)絡系統(tǒng)與互連的第一道屏障就是防火墻。防火墻是近年發(fā)展起來的重要安全技術(shù) ,其主要作用是在網(wǎng)絡入口點檢查網(wǎng)絡 通訊 ,根據(jù)客戶設(shè)定的安全規(guī)則 ,在保護內(nèi)部網(wǎng)絡安全的前提下 ,提供內(nèi)外網(wǎng)絡通訊。防火墻總體上分為包過濾和代理服務器兩大類型。我們將通常所說的應用級網(wǎng) 關(guān)和代理服務器統(tǒng)稱為代理服務器。包過濾即包過濾 ,雖簡單方便 ,但包過濾路由器存在許多弱點 :比如包過濾規(guī)則難 于設(shè)置并缺乏已有的測試工具驗證規(guī)則的正確性 (手工測試除外。一些包過濾路由 器不提供任何日志能力 ,直

11、到闖入發(fā)生后 ,危險的封包才可能檢測出來等。為了解決包過濾路由器的弱點 ,防火墻要求使用軟件應用來過濾和傳送服務連 接 (如和。這樣的應用稱為代理服務 ,運行代理服務的主機被稱為應用網(wǎng)關(guān)。應用網(wǎng) 關(guān)和包過濾器混合使用能提供比單獨使用應用網(wǎng)關(guān)和包過濾器更高的安全性和更大 的靈活性。應用網(wǎng)關(guān)的優(yōu)點很多 ,如:比包過濾路由器更高的安全性 ;提供對協(xié)議的過濾 ,如 可以禁止連接的命令。信息隱藏 ,應用網(wǎng)關(guān)為外部連接提供代理。節(jié)省費用 ;簡化和 靈活的過濾規(guī)則 ,路由器只需簡單地通過到達應用網(wǎng)關(guān)的包并拒絕其余的包通過 ,等 等。因此,應用網(wǎng)關(guān)防火墻的安全特性遠比包過濾型的防火墻高。使用完全的代理服務方式

12、提供廣泛的協(xié)議支持以及高速的吞吐能力(70,很好的解決了安全、性能及靈活性的協(xié)調(diào)。由于完全使用應用層的代理服務 , 提供了該領(lǐng) 域最安全的解決方案 ,從而對訪問的控制更加細致。其特點和優(yōu)點 :(1動態(tài)安全性集成技術(shù)允許集中式的策略管理和整個事件管理系統(tǒng)中的事件 的相互通風 ;(2 自適應代理技術(shù)在應用網(wǎng)關(guān)防火墻中可以提供信息包過濾器的高速度 ;(3 支持多處理器技術(shù)提高了防火墻性能 ;(4 代理提供視頻會議、新聞、公眾事件和廣播會議的安全實時訪問 ;(5 代理通過防火墻安全訪問、和數(shù)據(jù)庫 ;(6 內(nèi)容安全性可以保護機構(gòu)免受系統(tǒng)數(shù)據(jù)遭到來自的威脅 ,如病毒、惡意、代 碼。根據(jù)網(wǎng)絡系統(tǒng)的安全需要

13、,可以在如下位置部署防火墻 :1、局域網(wǎng)內(nèi)的之間控制信息流向時 ;2、與之間連接時 ;3、在本系統(tǒng)中 ,由于安全的需要 ,總部的局域網(wǎng)可以將各分支機構(gòu)的局域網(wǎng)看成 不安全的系統(tǒng) ,(通過公網(wǎng) , , 等連接在總部和各分支機構(gòu)連接時采用防火墻隔離 ,并 利用構(gòu)成虛擬專網(wǎng)。4、總部的局域網(wǎng)和分支機構(gòu)的局域網(wǎng)是通過連接 ,需要各自安裝防火墻 ,并利用 組成虛擬專網(wǎng)。5、在遠程用戶撥號訪問時 ,加入虛擬專網(wǎng)。五、防黑客的安全解決方案利用防火墻技術(shù) ,經(jīng)過仔細的配置 ,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護 , 降低了網(wǎng)絡安全風險。但是 ,僅僅使用防火墻、網(wǎng)絡安全還遠遠不夠 :1、入侵者可尋找防火墻背后

14、可能敞開的后門。2、入侵者可能就在防火墻內(nèi)。3、由于性能的限制 ,防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術(shù) ,目的是提供實時的入侵檢測及 采取相應的防護手段 ,如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡的攻擊,其次它能夠阻止的入侵。入侵檢測系統(tǒng)可分為兩類 :基于主機基于網(wǎng)絡基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應用的服務器 ,實時監(jiān)視可疑的連接、 系統(tǒng)日志檢查 ,非法訪問的闖入等 ,并且提供對典型應用的監(jiān)視如服務器應用?；诰W(wǎng)絡的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡關(guān)鍵路徑的信息。是設(shè)計用于保護企業(yè)系統(tǒng)與網(wǎng)絡設(shè)備的各個方面免受不斷增長的復雜惡意威 脅的專用產(chǎn)品。1、 為找出網(wǎng)絡上的脆弱環(huán)節(jié) 提供主動的安全性掃描和解決問題的現(xiàn)場解決 建議,具體特性:全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡的脆弱環(huán)節(jié) ,并且提供了可執(zhí)行的總結(jié)報 告與挖掘報告選項 ;獨特的跟蹤器信息包防火墻測試提供了詳細的防火墻 /路由器審計 ;自動升級功能保持掃描引擎、掃描檢測和脆弱性數(shù)據(jù)庫處于當前最新狀態(tài) ;提供入侵檢測監(jiān)控測試校驗系統(tǒng)和網(wǎng)絡動態(tài)監(jiān)測器的功能 ;2、 的實時入侵檢測為關(guān)鍵任務系統(tǒng)提供全面保護。它是擁有多層監(jiān)控結(jié)構(gòu) 的實時檢測代理。基于主機的信息量分析、系統(tǒng)事件和提供雙倍保護的獨立方案的 日志文件一起受到監(jiān)控。其