無線網(wǎng)絡(luò)與安全系統(tǒng)設(shè)計書

1、.1.計算機網(wǎng)絡(luò)作為一個通信基礎(chǔ)設(shè)施體系，不僅涉與大量的數(shù)據(jù)、語音和圖像視頻傳輸，同時也對系統(tǒng)的實時性和可靠性提出較高的要求。因此，建設(shè)一個先進、高效、合理的計算機網(wǎng)絡(luò)系統(tǒng)十分的必要。 系統(tǒng)高可靠性高效穩(wěn)定的系統(tǒng)，能提供全年 365 天，每天 24 小時的不停頓運作。對于安裝的服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、控制設(shè)備與布線系統(tǒng)，必須能適應(yīng)嚴格的工作環(huán)境，以確保系統(tǒng)穩(wěn)定。高性能可擴展性絡(luò)帶寬。網(wǎng)絡(luò)系統(tǒng)的高安全性劃分 VLAN，并通過核心交換機中的三層路由中的包過濾功能，限制和隔離數(shù)據(jù)報；提高整個網(wǎng)絡(luò)的安全性。系統(tǒng)的開放性系統(tǒng)在設(shè)計時均采用國際標準協(xié)議。如網(wǎng)絡(luò)管理基于SNMP，并支持RMON 和RMO

2、N2；VLAN 協(xié)議支持國際標準 IEEE802.1Q 等。系統(tǒng)的先進性選用當前業(yè)界領(lǐng)先且代表主流發(fā)展方向的網(wǎng)絡(luò)技術(shù)來設(shè)計相應(yīng)的系統(tǒng)， 1 / .3.1網(wǎng)絡(luò)拓撲圖3.2 網(wǎng)絡(luò)配置說明3.2.1 防火墻配置說明防火墻部署：在Internet公網(wǎng)出口部署1臺Hillstone SG-6000-M3100高性能防火墻，實現(xiàn)InternetInternet的訪問控制和對來自Internet的各種攻擊進行有效的防御。在應(yīng)用服務(wù)器區(qū)部署1臺HillstoneSG-6000-M3100用服務(wù)器區(qū)與其它各安全區(qū)域之間，以與對Internet的訪問控制，同時可有效保護應(yīng)用服務(wù)器區(qū)不受各種網(wǎng)絡(luò)攻擊。移動用戶的接入

3、安全：移動用戶可以采用SSL VPN方式，實現(xiàn)對部資源的安全訪問。在Internet出口部署的1臺HillstoneSG-6000-M3100設(shè)備已集成SSLVPN功能，用戶只需通過Internet訪問此設(shè)備，然后經(jīng)過認證服務(wù)器的認證后，建2 / .立VPN通道，即可安全地訪問被授權(quán)的網(wǎng)資源。Hillstone SG-6000-M3100簡介：SG-6000是Hillstone山石網(wǎng)科公司全新推出的新一代多核安全網(wǎng)關(guān)系列產(chǎn)PlusG2安全架構(gòu)突破了傳統(tǒng)防火墻只能基于IP和端口的防限制。處理器模塊化設(shè)計可以提升整體處理能力，突破傳統(tǒng)UTM在開啟病毒防護或IPS處理能力高達1Gbps，適用于政府機

4、關(guān)、企業(yè)等機構(gòu)，可部署在網(wǎng)絡(luò)的主要結(jié)點、總出VPN、應(yīng)用帶寬管理、病毒過濾、入侵防護、上網(wǎng)行為管理等安全服務(wù)。新一代防火墻 - 深度應(yīng)用安全隨著網(wǎng)絡(luò)的快速發(fā)展，越來越多的應(yīng)用都建立在/S等應(yīng)用層協(xié)議依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無法識別應(yīng)用，更談不上安全防護。Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。中包括等協(xié)議布。全面的VPN解決方案SG-6000多核安全網(wǎng)關(guān)支持多種IPSecVPN的部署，它能夠完全兼容標準的IPSecVPN。SG-6000系列產(chǎn)品對VPN(包括SSL VPN)都提供硬件加

5、速，結(jié)合多核平臺的處理能力，可為用戶提供高容量、高性能的VPN解決方案。Hillstone獨具特色的即插即用VPN，可以讓遠端分支機構(gòu)只需簡單的用戶名和密碼即可自動從中心端下載網(wǎng)絡(luò)和安全配置，完全解決了傳統(tǒng)IPSec VPN設(shè)備配置難、使用難、維護成本高的缺點。SG-6000多核安全網(wǎng)關(guān)還通過集成第三代SSLVPN實現(xiàn)角色訪問控制和即插即用特性，為用戶提供方便、快捷的安全遠程接入服務(wù)。3 / .容安全(UTM Plus)SG-6000可選UTM Plus軟件包提供病毒過濾，入侵防御，容過濾，上網(wǎng)行為管理和應(yīng)用流量整形等功能，可以防病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過20

6、00萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員庫可以通過網(wǎng)絡(luò)服務(wù)實時下載，確保對新爆發(fā)的病毒、攻擊、新的URL做到與時響應(yīng)。安全可視化 - 基于角色和應(yīng)用的管理的深度安全需求。單?；诮巧墓芾砟Ｊ街饕凇叭恕钡脑L問控制、基于“人”的網(wǎng)絡(luò)資源(服務(wù))的分配、基于”人“的日志審計三大方面?；诮巧墓芾砟Ｊ娇梢酝夹g(shù)上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據(jù)泄露等問題。全并行處理的安全架構(gòu)(多核Plus G2)Hillstone山石網(wǎng)科自主開發(fā)的64位實時安全操作系統(tǒng)StoneOS，具備強大的并行處理能力。NP/ASIC處理。因此SG-6000較業(yè)界其他的多核或NP/ASIC系統(tǒng)在同檔的

7、硬件配置下有多達5倍的性能提升，為同時開啟多項防護功能奠定了性能基礎(chǔ)，突破了傳統(tǒng)安全網(wǎng)關(guān)的功能實用性和性能的無法兩全的局限?？蓴U展的模塊化設(shè)計(多核Plus G2)4 / .SG-6000-G5150支持三種類型的擴展模塊：接口擴展模塊，應(yīng)用處理擴展模擴展模塊可以實時記錄NAT日志，Web訪問記錄，Web容審計等日志，滿足公安部82號令的要求。在校園網(wǎng)和小區(qū)寬帶等大流量的場合，也可以使用外置高性能日志服務(wù)器。關(guān)鍵指標最大 SSL VPN 用戶 500數(shù)管理接口網(wǎng)絡(luò)接口電源規(guī)格電源輸入圍1個配置口，1個USB2.0口交流 100-240V 50/60Hz5 / .外形尺寸(WD 1U (442

8、x 241 x 44)H,mm)工作環(huán)境溫度工作環(huán)境濕度10-95%(不結(jié)露)3.2.2入侵檢測系統(tǒng)眼”網(wǎng)絡(luò)入侵保護系統(tǒng)。便可做出IDS端口，檢測服務(wù)器網(wǎng)段的所有攻擊。綠盟 NIPS600A簡介：綠盟網(wǎng)絡(luò)入侵防護系（NSFOCUS Network Intrusion PreventionSystem，簡稱：NSFOCUS NIPS） 是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，入侵防護等惡意流量，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。Web威脅防護6 / .基于互聯(lián)網(wǎng)WebURLWeb威脅。流量控制天候暢通無阻，通過保護關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

9、用戶上網(wǎng)行為監(jiān)管全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以與在線策略。XXX8 040間（MTBF）7 / .3.2.3 網(wǎng)絡(luò)安全管理系統(tǒng)在本項目中網(wǎng)絡(luò)安全管理系統(tǒng)采用聯(lián)軟科技 UniAccess 終端準入以與安全管理產(chǎn)品與 UniMon 綜合運行監(jiān)控。 方案設(shè)計原則方案設(shè)計遵循如下原則：1) 先進性原則：提供一致的管理平臺和管理界面，在復(fù)雜的 IT 異構(gòu)環(huán)境中實現(xiàn)統(tǒng)一管理，實現(xiàn)分布式、跨平臺、跨系統(tǒng)的集中管理。2) 開放性原則：能夠提供標準的和開放的應(yīng)用接口與開發(fā)工具，符合 IT 技術(shù)未來的發(fā)展方向。3) 可擴展性原則：具有高度可擴充性，能隨IT系統(tǒng)和企業(yè)業(yè)務(wù)的增長而增長

10、。4) 安全性原則：對管理對象性能影響小，安全策略執(zhí)行有效。5) 可靠性原則：系統(tǒng)架構(gòu)支持高可靠性，避免因為服務(wù)宕機或者網(wǎng)絡(luò)通訊故障導(dǎo)致終端設(shè)備不能接入網(wǎng)絡(luò)的情況，提供備份和冗余的架構(gòu)和部署方案。6) 兼容性原則：系統(tǒng)要能夠?qū)崿F(xiàn)對主流廠商的網(wǎng)絡(luò)設(shè)備、主機設(shè)備、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用系統(tǒng)和各種PC 版本的管理，是一個采用國際、國家或者行業(yè)標準的開放系統(tǒng)，以便能夠支持升級后的 IT 系統(tǒng)管理7) 易用性原則：提供運行維護管理平臺與工具，簡單、友好的界面，進行直觀的操作和管理，提供豐富準確的報表和統(tǒng)計數(shù)據(jù)。 方案設(shè)計思路1. 遵循 ITIL 標準 管理”方面，目前全球各大企業(yè)均在部署實施IT 服務(wù)管理是

11、用來提升 IT 服務(wù)效率，協(xié)調(diào) IT 服務(wù)部門部運作，改善 IT 部門與業(yè)8 / .管理的方法。IT服務(wù)管理結(jié)合企業(yè)環(huán)境、組織結(jié)構(gòu)、IT資源和管理流程特點，將流程、人和技術(shù)三方面整合在一起來解決IT服務(wù)管理以客戶需求（在企業(yè)部則為企業(yè)各部門的業(yè)務(wù)需求）為中心，支持企業(yè)的業(yè)務(wù)服務(wù)。解決方案設(shè)計要采用IT服務(wù)管理的理念，按照ITIL最佳實踐標準來設(shè)計。2. 遵循ISO 17799標準ISO17799 作為信息系統(tǒng)安全管理標準，已經(jīng)成為全球公認的安全管理最佳實踐，成為全國大型機構(gòu)在設(shè)計、管理信息系統(tǒng)安全時的實踐指南。ISO17799中，除了安全思路之外，給出了許多非常細致的安全管理指導(dǎo)規(guī)。在ISO1

12、7799中有一個非常有名的安全模型，稱為PDCA安全模型。PDCA安全模足業(yè)務(wù)需要，必須建立動態(tài)的“計劃、設(shè)計和部署、監(jiān)控評估、改進提高”管理方法，持續(xù)不斷地改進信息系統(tǒng)的安全性。聯(lián)軟科技認為，三門核電的桌面安全管理，也將是一個持續(xù)、動態(tài)、不斷改進的過程，LeagView UniAccess 安全接入管理系統(tǒng)將為三門核電提供統(tǒng)一的、集成化的平臺和工具，幫助三門核電對其終端進行統(tǒng)一的安全控制、安全評估、安全審計與安全改進策略部署。3. 統(tǒng)一的集成化管理平臺9 / .方案要向 IT 系統(tǒng)管理員提供一個統(tǒng)一的登錄入口，有整體的桌面安全視圖，呈面安全的運行狀況，終端的安全設(shè)置，也能夠看到終端的軟件配置

13、、硬件配置、終端的物理位置等信息。關(guān)的各種任務(wù)，具體包括： 網(wǎng)絡(luò)準入控制管理； 補丁分發(fā)管理； 桌面安全策略設(shè)置，包括：移動存儲控制、主機安全漏洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡(luò)訪問審計策略等的設(shè)置； 統(tǒng)一的集成化管理平臺對管理員的各種操作，應(yīng)提供審計功能，以備事后審計； 分級式的系統(tǒng)架構(gòu)，支持分時段、分區(qū)域的管理； 綜合運行監(jiān)控，包括網(wǎng)絡(luò)交換機狀態(tài)、服務(wù)器狀態(tài)等。4. 支持多廠商/多平臺系統(tǒng)升級。5. 人、計算機統(tǒng)一管理 / .策略，直接設(shè)置到人比機器更加直觀。 終端安全管理系統(tǒng)架構(gòu)一、UniAccess的終端安全管理總體思路LeagView UniAccess對電腦終端進行安全管理

14、的總體思路是：聯(lián)軟科技的網(wǎng)絡(luò)準入控制系統(tǒng)流程與普通旅客登錄飛機的流程可相媲美：1) 均是國際認可的安全管理標準；2) 均具備訪客區(qū)、修復(fù)區(qū)、工作區(qū)的概念；3) 均具備強身份檢查和安檢流程；以上過程完全滿足網(wǎng)絡(luò)準入控制的目的和意義：能確保合法的、健康的 / .終端接入部網(wǎng)絡(luò)訪問被授權(quán)的資源。1）常規(guī)接入，對于部員工、合作支持廠商與外來訪客等人員的常規(guī)網(wǎng)絡(luò)訪問，必須符合網(wǎng)絡(luò)常規(guī)接入管理規(guī)定，例如：擁有合法的訪問、安 802.1X 通過操作系統(tǒng)自帶驗證功能實現(xiàn)終端接入的初級管理，非授權(quán)終端不能訪問網(wǎng)絡(luò)，接入成功的終端可以訪問日常辦公區(qū)域和互聯(lián)網(wǎng)等。2）安全接入，對于部員工、合作支持廠商與業(yè)務(wù)相關(guān)人員

15、的特殊或涉密網(wǎng)絡(luò)訪問，必須安裝 Agent，如果是未安裝 Agent 的電腦終端接入網(wǎng)絡(luò)，其打開WEB 瀏覽器訪問任何 Web site 時，將被重定向到管理員指定的一個頁面，提醒其安裝 Agent。不安裝 Agent 的電腦將無法訪問 Agent 的終端必須符合網(wǎng)絡(luò)安或者通過網(wǎng)絡(luò)對該電腦進行自動隔離，并且指引其進行安全修復(fù)。通過客戶端 Agent 實現(xiàn)終端接入的高級管理，保證接入制定區(qū)域的終端安全、可信，接入成功的終端可以訪問重要的區(qū)域，如：生產(chǎn)網(wǎng)和承載網(wǎng)等。然后，對安裝了 Agent 的電腦終端，進行進一步的管理控制，包括：1）安全設(shè)置檢查、加固，非法操作的管理、限制2）防止文件非法外傳(

16、U 盤/軟盤/共享等) / .3）電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠程控制、補丁管理、分組策略分發(fā)、集中審計。再次，要防止電腦終端私自、非法卸載Agent或者停止Agent的運行,確保管理策略的執(zhí)行。1）Agent自帶反卸載、反非法中止、非法刪除功能；2）如果電腦終端私自卸載Agent的運行，LeagViewUniAccess后臺系統(tǒng)可以與時發(fā)現(xiàn)這種行為。企業(yè)可以依據(jù)有關(guān)安全管理規(guī)對其進行警告或者處罰，防這種行為的再次發(fā)生。二、UniAccess的終端安全管理系統(tǒng)架構(gòu)下圖是聯(lián)軟科技的LeagView UniAccess網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)。 / .圖表 1 網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)

17、首先，LeagView UniAccess安全接入管理系統(tǒng)，通過網(wǎng)絡(luò)準入控制技術(shù)，對接入網(wǎng)絡(luò)的電腦終端進行實時安全檢查，檢查的容包括：1）賬戶檢查：用戶名和密碼 防止外來人員私自安裝一個一樣的Agent后接入網(wǎng)絡(luò)2）安全設(shè)置規(guī)檢查: 終端的安全設(shè)置 檢查系統(tǒng)賬戶，包括：Guest賬戶和弱口令檢查； Windows域檢查，檢查終端是否加入指定的Windows域； 檢查可寫共享設(shè)置，檢查終端是否設(shè)置了可寫或者沒有權(quán)限限制的可寫共享； / . 檢查終端操作系統(tǒng)補丁安裝情況； 檢查終端的防病毒安裝情況與其病毒特征庫是否與時升級； 檢查終端是否有可疑的注冊表項； 檢查終端是否有可疑的文件存在； 檢查終端

18、是否安裝了非法軟件。3）終端注冊 ID 檢查: 檢查終端是否在部網(wǎng)絡(luò)注冊登記過 網(wǎng)絡(luò)準入控制確保接入網(wǎng)絡(luò)的電腦終端是合法的、符合接入安全管理規(guī)的電腦終端，而且是接受管理電腦終端。其次，對接入網(wǎng)絡(luò)的電腦終端，可以進行進一步的安全管理和控制，包括：1）安全加固，安全加固可以實現(xiàn)： 對主機的賬戶口令、屏保口令、共享目錄、自動運行的服務(wù)進行安全加固，如提示用戶設(shè)置強口令、設(shè)置屏?？诹睿瑒h除寫共享目錄，停止一些危險的服務(wù)進程等。 強制接入網(wǎng)絡(luò)的主機設(shè)備安裝規(guī)定的防病毒軟件，并且強制這些防病毒軟件與時更新最新病毒，以加強主機設(shè)備的自身抗病毒能力。 自動為客戶端安裝最新補丁包，加強客戶端的抗攻擊能力。2）安

19、全評估，對電腦終端的安全設(shè)置和運行狀態(tài)進行評估。 管理員可以定義主機必須滿足什么樣的安全要求才能夠具備較強的抗攻擊能力，當不滿足時就認為主機是有安全漏洞的，這樣的主機是很容易受到安全攻擊的。比如賬戶口令是否是強口令；目錄是否有缺省可寫共享；是否運行了一些危險進程；通過檢查注冊表發(fā)現(xiàn)是否有已知的間諜軟件；是否安裝了最新補丁包；是否安裝了規(guī)定 / .的防病毒軟件并與時更新了病毒特征庫。 檢測每個客戶端的網(wǎng)絡(luò)訪問流量，確定是否有發(fā)送大量廣播包、流量異常大、網(wǎng)絡(luò)連接異常多的情況，對于這些異常情況與時向管理員報告，在大規(guī)模攻擊出現(xiàn)之前找到根源。3）安全審計，對部的桌面電腦的操作和網(wǎng)絡(luò)訪問行為進行審計。

20、審計客戶端訪問 Interent 等，防止企業(yè)信息泄漏。 審計連接在部網(wǎng)絡(luò)的計算機是否同時打開一些組織不允許的方式，如 Modem 撥號、USB 硬盤、同時跨外網(wǎng)等。 審計部的計算機是否運行非法軟件，是否未經(jīng)許可更改計算機上的軟件、硬件配置等。腦終端進行各種批量的查詢和統(tǒng)計。例如：1）2）工作量，提高效率。如為某個部門的所有機器安裝防病毒軟件。3）計算機。4）設(shè)備定位。對于不安全的接入網(wǎng)絡(luò)的設(shè)備，管理員能夠快速定位設(shè)備是連接在哪個網(wǎng)絡(luò)交換機的哪個端口，是在什么物理位置、誰的設(shè)備，這樣可以做出相應(yīng)措施來控制攻擊的擴散，如直接從網(wǎng)絡(luò)斷開這臺設(shè)備。 / .5）的軟硬件配置、有多少設(shè)備。此外，Leag

21、View UniAccess 安全接入管理系統(tǒng)可以對電腦終端分組進行管腦和其它部門的電腦區(qū)別對待。即：按組設(shè)置安全管理策略。得到快速、有效的處理。三、UniAccess的終端安全管理系統(tǒng)主要功能簡介具體來說，LeagView UniAccess網(wǎng)絡(luò)安全管理系統(tǒng)采用集中式管理方式，提供了以下幾個方面的管理功能：1) 網(wǎng)絡(luò)準入控制，防止非法電腦接入支持基于802.1X的網(wǎng)絡(luò)準入控制以與CiscoNAC網(wǎng)絡(luò)準入控制技術(shù)，防止LeagView UniAccess安全接入管理系統(tǒng)的準入控制解決方案，通過與網(wǎng)絡(luò)接入、VPN接入、無線AP接入方式的準入控制。由于和網(wǎng)絡(luò)設(shè)備緊密集成，LeagView UniA

22、ccess安全接入管理系統(tǒng)的準入控制解決方案的另外一個特點是，電腦終端一接入網(wǎng)絡(luò)，立刻接受管理和控制，性。 / .2) 防止文件非法外傳與員工終端操作行為管理過軟盤、U盤、網(wǎng)絡(luò)共享等方式COPY出去。對員工的各種不規(guī)行為進行矯正，例如：使用非法軟件、訪問非法、改變電腦終端的硬件配置等。3) 桌面終端的系統(tǒng)安全管理對桌面終端的安全狀態(tài)進行主動評估，與時發(fā)現(xiàn)終端的安全漏洞和不安全Windows的注冊表項目，防病毒軟件與病毒特征庫檢查，以與對桌面終端設(shè)置 Windows本地安全策略，打補丁等。4) 設(shè)備自動發(fā)現(xiàn)與資產(chǎn)管理自動發(fā)現(xiàn)網(wǎng)絡(luò)上的所有接入設(shè)備，實現(xiàn)對桌面終端資產(chǎn)的自動管理。包括：軟硬件資產(chǎn)統(tǒng)計

23、，資產(chǎn)變更自動發(fā)現(xiàn)，資產(chǎn)的維護等。5) 桌面終端的批量管理，提高管理效率批量對桌面終端進行管理和維護，例如：集中式自動安裝軟件、遠程監(jiān)控管理和維護效率。此外，LeagView UniAccess支持信息資產(chǎn)安全分級管理，各種安全管理策略可以按照：部門、IP網(wǎng)段、IP圍、設(shè)備組、操作系統(tǒng)類型、操作系統(tǒng)語言等條件定義安全管理策略的應(yīng)用圍。 / . 綜合運行監(jiān)控系統(tǒng)架構(gòu)應(yīng)用系統(tǒng)等的運行狀況監(jiān)控。UniMon的統(tǒng)一運行監(jiān)控體系如下圖所示。機圖1UniMon采用集中式管理方式，提供了以下多個方面的運行監(jiān)控功能： 網(wǎng)絡(luò)系統(tǒng)監(jiān)控 支持主流網(wǎng)絡(luò)設(shè)備監(jiān)控，包括思科、華為、3Com、北電； 支持二層網(wǎng)絡(luò)拓撲自動發(fā)

24、現(xiàn)； 監(jiān)控網(wǎng)絡(luò)設(shè)備CPU、存； 監(jiān)控網(wǎng)絡(luò)線路的連通性、響應(yīng)時間、流量、帶寬利用率、廣播包、錯包率、丟包率等。 通過真實設(shè)備面板圖查看網(wǎng)絡(luò)設(shè)備的運行狀態(tài)與端口情況。 / . 主機系統(tǒng)監(jiān)控 支持主流操作系統(tǒng)的主機監(jiān)控，包括Windows服務(wù)器、Linux服務(wù)器、AIX、Solaris、HP-UX、Sco Unix等； 監(jiān)控主機設(shè)備的 CPU、存、磁盤、網(wǎng)絡(luò)接口狀態(tài)和流量、對外提供的服務(wù)狀態(tài)和響應(yīng)時間、進程的CPU和存。 數(shù)據(jù)庫系統(tǒng)監(jiān)控 支持主流數(shù)據(jù)庫系統(tǒng)的監(jiān)控，包括SQLServer、DB2、Oracle、Sybase； 監(jiān)控數(shù)據(jù)庫系統(tǒng)的服務(wù)狀態(tài)，數(shù)據(jù)庫服務(wù)主要進程的狀態(tài)、CPU 利用率和存大小，

25、數(shù)據(jù)庫表空間利用率、日志空間利用率、并發(fā)連接數(shù)，指定SQL語句的執(zhí)行效率。 應(yīng)用系統(tǒng)監(jiān)控 支持主流應(yīng)用系統(tǒng)的監(jiān)控，包括WebSphere、Weblogic、IIS、Web服務(wù)器、服務(wù)器； 監(jiān)控這些應(yīng)用系統(tǒng)的主要進程CPU、存，應(yīng)用系統(tǒng)的響應(yīng)時間。 可自定義的監(jiān)控畫面 管理員可以根據(jù)實際系統(tǒng)和管理理念，自己定義和組織監(jiān)控畫面，包括監(jiān)控畫面之間的層次結(jié)構(gòu)、監(jiān)控畫面容、監(jiān)控畫面的訪問權(quán)限。 統(tǒng)一日志監(jiān)控 集中采集所有網(wǎng)絡(luò)設(shè)備、主機設(shè)備的系統(tǒng)日志，并將管理員需要關(guān)心的日志信息通過告警事件方式與時通知管理員； 通過接收SNMPTrapIT系統(tǒng)資源的實時監(jiān)控； / . 豐富的無代理監(jiān)控手段 通過SNMP對

26、網(wǎng)絡(luò)設(shè)備、安全設(shè)備與主機服務(wù)器實現(xiàn)監(jiān)控； 通過Telnet/SSH實現(xiàn)對Linux、Unix系統(tǒng)的無代理監(jiān)控； 通過JDBC實現(xiàn)對Oracle、SQL Server、DB2、Sybase等數(shù)據(jù)庫監(jiān)控； 通過JMX實現(xiàn)對J2EE等業(yè)務(wù)系統(tǒng)的無代理監(jiān)控； 通過等監(jiān)控方式實現(xiàn)對相應(yīng)的IT系統(tǒng)的無代理監(jiān)控 置上千種監(jiān)控參數(shù)模板 缺省帶了上千種監(jiān)控參數(shù)的配置模板，管理員只要選擇要監(jiān)控哪個設(shè)備的哪個參數(shù)。 智能化的故障處理 可以為每類故障事件定義處理流程，UniMon 根據(jù)這些流程自動處理故障，包括何時以什么方式將故障通知給哪些相關(guān)人員。 故障報警方式，支持、自動撥號、手機短信、TTS語音報警方式，能將語

27、音報警通知相關(guān)用戶； 三門核電終端準入控制解決方案一、終端網(wǎng)絡(luò)準入控制總體思路1、UniAccess網(wǎng)絡(luò)準入控制的流程部署準入控制系統(tǒng)后，改變了電腦終端接入網(wǎng)絡(luò)的行為模式。一般來說，電腦終端接入網(wǎng)絡(luò)需要： 注冊登記，部終端要訪問網(wǎng)絡(luò)資源之前，需要在網(wǎng)絡(luò)上注冊登記（用戶 / .賬戶登記、終端ID 接入檢查，終端在接入網(wǎng)絡(luò)時，準入控制系統(tǒng)會檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。 安全隔離，如果在接入檢查時，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對終端進行隔離或拒絕其訪問網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來終端則拒絕接入或 安全通知，對被隔離的終端進行通知，告知其被隔離的原因。 安全修復(fù)，自動引導(dǎo)被隔離的終端

28、，讓其修復(fù)安全設(shè)置或者進行注冊登記，使得其可以正常訪問網(wǎng)絡(luò)資源。一個完整的網(wǎng)絡(luò)準入控制系統(tǒng)，應(yīng)該包括以上五個方面的容，缺少其中一帶來問題。聯(lián)軟科技的LeagView UniAccess網(wǎng)絡(luò)準入控制解決方案是一個完整的準入控制方案，可以提供以上五個方面的所有容。2. UniAccess網(wǎng)絡(luò)準入控制技術(shù)原理聯(lián)軟科技網(wǎng)絡(luò)準入控制的宗旨是：為防止非法用戶、病毒、蠕蟲、新興黑客技術(shù)等對企業(yè)安全造成危害，采用NAC，只允許合法的、安全的、值得信任的設(shè)備（如網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問不同區(qū)域的網(wǎng)絡(luò)資源：訪客區(qū)、VLAN或者基于IP義動態(tài)ACL / .圖表 2 網(wǎng)絡(luò)準入控制原理Internet

29、訪問訪客區(qū)的網(wǎng)絡(luò)資源。服務(wù)器、軟件安裝包服務(wù)器等，不符合組織安全策略要求的終端被限制在修復(fù)區(qū)中，強制它們進行安全修復(fù)。戶可以訪問的網(wǎng)絡(luò)資源，如：文件服務(wù)器、服務(wù)器、其它應(yīng)用系統(tǒng)等。任何終端設(shè)備在接入網(wǎng)絡(luò)時，必須遵循以下認證、審計、授權(quán)等步驟：第一步，用戶開機并以有線或無線方式接入企業(yè)部網(wǎng)絡(luò)，并發(fā)起網(wǎng)絡(luò)訪問； / . 第三步，根據(jù)用戶終端的身份、安全狀態(tài)的審計結(jié)果，分別采取以下措施： 未安裝agent的終端，拒絕接入網(wǎng)絡(luò)或劃入訪客區(qū)； 已安裝agent，但身份不合法的終端，拒絕接入網(wǎng)絡(luò)或劃入訪客區(qū)； 已安裝或劃入修復(fù)區(qū)（如：啟用 已安裝應(yīng)的工作區(qū)資源，允許用戶訪問應(yīng)該訪問的資源。 已安裝agen

30、t、身份合法、安全策略合法的終端，但終端的硬件ID標識不合法，拒絕接入網(wǎng)絡(luò)或劃入訪客區(qū)、修復(fù)區(qū)。即 LeagViewUniAccess可以將用戶和終端設(shè)備硬件ID進行綁定，即某個用戶只能通過某臺合法終端設(shè)備接入到網(wǎng)絡(luò)中，這樣可以禁止部合法身份的員工私自將個人或他人電腦接入到網(wǎng)絡(luò)中。 系統(tǒng)會根據(jù)用戶身份自動將終端設(shè)備切換到屬于該用戶的工作區(qū)中，從而實現(xiàn)不同權(quán)限的人可以訪問不同的網(wǎng)絡(luò)資源。LeagView UniAccess采用基于以IEEE 802.1x認證和Cisco EoU認證為核心的網(wǎng)絡(luò)準入控制架構(gòu)，如下圖所示。 / .EmailLeagViewARP圖表 3 LeagView UniAc

31、cess網(wǎng)絡(luò)準入控制架構(gòu)LeagViewUniAccess 網(wǎng)絡(luò)準入控制架構(gòu)提供了四種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準入控制：（1）、 IEEE802.1xLeagViewUniAccess 網(wǎng)絡(luò)準入控制的802.1x實現(xiàn)同時支持多廠商網(wǎng)絡(luò)設(shè)備，如華為、Cisco、H3C等。支持IEEE802.1x的SingleHost、Multi-host、Multi-Auth模式。特別是Mutli-Auth模式，在有Hub的網(wǎng)絡(luò)環(huán)境中也可以實現(xiàn)準入控制。（2）、 Cisco NAC-IP-2和Cisco NAC-IP-3作為802.1x的補充，當網(wǎng)絡(luò)中有支持Cisco NAC-IP-2和CiscoNAC-IP

32、-3Cicso NAC機制來實現(xiàn)準入控制。 / .（3）、 ARP干擾與IEEE802.1x相結(jié)合，為未安裝代理的終端設(shè)備提供URL重定向功能。這樣可以提示這些終端設(shè)備為什么被限制訪問網(wǎng)絡(luò)資源。ARP干擾器只需要部署在訪客區(qū)VLAN中。LeagViewUniAccess 802.1x認證和基于CiscoEoU 認證的兩種準入控制技術(shù)都可以控制對不安全終端或者外來終端對網(wǎng)絡(luò)資802.1x認證的準入控制通過VLANCisco EoU證準入控制通過動態(tài)ACL(訪問控制列表)，直接限制外來終端或者不安全的終端對網(wǎng)絡(luò)資源的訪問。認證的準入控制Cisco 認證的準入控制訪客區(qū)VLAN修復(fù)區(qū)資源工作區(qū)Rad

33、iusRadiusVLAN動態(tài)切換ID硬件ID圖表 4 基于802.1x認證和Cisco EoU認證準入控制技術(shù)對比LeagViewUniAccess 網(wǎng)絡(luò)準入控制架構(gòu)的突出特點是以網(wǎng)絡(luò)設(shè)備為控制設(shè) / .備點，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。LeagViewUniAccess網(wǎng)絡(luò)準入控制架構(gòu)支持高可靠性，避免因為LeagViewUniAccess服務(wù)宕機或者網(wǎng)絡(luò)通訊故障導(dǎo)致終端設(shè)備不能接入網(wǎng)絡(luò)的情況。3、UniAccess準入控制系統(tǒng)部署后的影響部署網(wǎng)絡(luò)準入控制服務(wù)之后，所有的桌面電腦接入計算機網(wǎng)絡(luò)之前，都必須經(jīng)過如下認證：1. UniAccess 可接合微軟AD服務(wù)

34、器、服務(wù)器、LDAP等驗證。2. 檢查該電腦是否是本單位部的合法終端（檢查電腦的硬件 電腦硬件ID保存在管理服務(wù)器的數(shù)據(jù)庫中。3. 檢查該電腦是否符合安全管理規(guī)定：例如操作系統(tǒng)補丁是否安裝、防病毒軟件是否安裝等。這些管理規(guī)定產(chǎn)生的安全策略保存在管理服務(wù)器的數(shù)據(jù)庫中。網(wǎng)絡(luò)交換機將準備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給LeagView UniAccess Radius服務(wù)器，由LeagView UniAccess Radius服務(wù)器再去查詢數(shù)據(jù)庫服務(wù)器或AD等，并將查詢分析的結(jié)果返回授權(quán)信息給網(wǎng)絡(luò)交換機。由于網(wǎng)絡(luò)準入控制服務(wù)一旦發(fā)生故障，會導(dǎo)致電腦終端無法接入網(wǎng)絡(luò)，因有如下特征：和認證過

35、程相關(guān)的設(shè)備和系統(tǒng)，不存在單點故障。即：單臺服務(wù)器或者設(shè)備的暫時性故障，不會導(dǎo)致整個網(wǎng)絡(luò)接入服務(wù)不可用； / . 和準入控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫和軟件故障，系統(tǒng)能夠?qū)崿F(xiàn)自動報警，向相關(guān)管理員發(fā)送手機短信息等； 在特殊緊急情況下（例如：雙機故障，或分支機構(gòu)到總部的廣域網(wǎng)線路中斷） 網(wǎng)絡(luò)管理員可以通過執(zhí)行腳本的方式，快速將網(wǎng)絡(luò)接入設(shè)置為“不正常接入網(wǎng)絡(luò)。 如果執(zhí)行網(wǎng)絡(luò)準入控制的網(wǎng)絡(luò)設(shè)備是Cisco的交換機或者路由器，可以在網(wǎng)絡(luò)設(shè)備上配置緊急模式。在緊急模式下，可以指定電腦終端可以訪問哪些資源。通過以上手段，LeagView UniAccess可以保障網(wǎng)絡(luò)接入服務(wù)的高度可用性。4、Un

36、iAccess準入幫助用戶解決問題LeagView UniAccess網(wǎng)絡(luò)準入控制是LeagView UniAccess安全接入控制系統(tǒng)的一個管理組件。借助LeagView UniAccess網(wǎng)絡(luò)準入控制技術(shù)，可以對接入網(wǎng)絡(luò)。LeagView UniAccess網(wǎng)絡(luò)準入控制可以幫助用戶很好地解決如下問題： 防止非法的外來電腦接入網(wǎng)絡(luò)，影響部網(wǎng)絡(luò)的安全； 防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運行； 確保接入網(wǎng)絡(luò)的客戶機符合安全管理要求。 幫助安全管理員解決部用戶私自接HUB、無線AP等不安全行為。 / .LeagViewUniAccess傳播病毒的源頭。二、準入

37、控制解決方案1、準入技術(shù)的選擇制協(xié)議：802.1x（EAPover LAN）和 EoU（EAPover 聯(lián)的網(wǎng)絡(luò)設(shè)備支持該協(xié)議，他能對不符合要求的計算機采取VLAN切換或者端口Cisco是通過動態(tài)ACL之間存在CiscoEoU只需要在匯聚層有設(shè)備支持即可。針對三門核電的情況：接入、匯聚、核心三層架構(gòu)；以阿爾卡特交換機為主（部分型號支持PDA等接入方式，我們建議采用802.1x與EoU結(jié)合的方式來做準入控制，即：在部分接入交換機開啟 802.1x、有特殊接入設(shè)備，比如 PDA 接入的網(wǎng)絡(luò)的部分交換機更換為思科三層的交換機，以支持 EoU協(xié)議。2、網(wǎng)絡(luò)設(shè)備配置在接入交換機上配置IEEE 802.1

38、x認證方式，在Cisco三層交換機上配置 / .EoU協(xié)議，各交換機的Radius服務(wù)器均指向LeagViewUniAccessRadius（可以略審計信息提交到LeagView UniAccess Radius后臺進行審計、并授權(quán)用戶： 當用戶沒有安裝 LeagView UniAccess Agent 時，拒絕用戶接入或放入guest vlan 中，限制用戶訪問網(wǎng)絡(luò)資源或強制讓其安裝UniAccess Agent并接受管理；LeagView guestvlan中，限制用戶訪問網(wǎng)絡(luò)資源； 當用戶安全策略（如：未安裝殺毒軟、隨意共享文件等等）不符合企業(yè)vlan安全策略時，方可接入網(wǎng)絡(luò)。3、部署方

39、法 / .EmailLeagViewARP首先，在LeagViewUniAccess管理平臺上定義訪客區(qū)VLAN、修復(fù)區(qū)VLAN、工作區(qū) 策略等終端的隔離動作。其次，在部接入以太網(wǎng)交換機與端口上開啟IEEE 802.1x協(xié)議，在新增加的Cisco三層回家設(shè)備開啟EoU協(xié)議，分別配置好與LeagView UniAccess后臺相關(guān)通訊參數(shù)。完成以上部署后，LeagViewUniAccess管理平臺與部接入交換機協(xié)調(diào)配合息、硬件ID等進行認證、審計、授權(quán)。4、網(wǎng)絡(luò)準入控制系統(tǒng)可靠性保障的LeagView UniAccess系統(tǒng)部署示意如下（雙Radius / .由于網(wǎng)絡(luò)準入控制服務(wù)一旦發(fā)生故障，會

40、導(dǎo)致電腦終端無法接入網(wǎng)絡(luò)，因此如下特征：1） 和認證過程相關(guān)的設(shè)備和系統(tǒng)，不存在單點故障。即：單臺服務(wù)器或者設(shè)備的暫時性故障，不會導(dǎo)致整個網(wǎng)絡(luò)接入服務(wù)不可用；2） 和準入控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫和軟件故障，系統(tǒng)能夠?qū)崿F(xiàn)自動報警，向相關(guān)管理員發(fā)送手機短信息等；3） 在特殊緊急情況下（例如：雙機故障，或分支機構(gòu)到總部的廣域網(wǎng)線路中斷） 網(wǎng)絡(luò)管理員可以通過執(zhí)行腳本的方式，快速將網(wǎng)絡(luò)接入設(shè)置為“不設(shè)防”狀 如果執(zhí)行網(wǎng)絡(luò)準入控制的網(wǎng)絡(luò)設(shè)備是 Cisco 絡(luò)設(shè)備上配置緊急模式。在緊急模式下，可以指定電腦終端可以訪問哪些資 / .源。通過以上手段，LeagView 可以保障網(wǎng)絡(luò)接入服務(wù)的高度可

41、用性。5、準入控制高可靠性保障措施建議（消除單點故障）準入控制服務(wù)器控制著終端接入網(wǎng)絡(luò)，如果這些服務(wù)器發(fā)生故障，可能導(dǎo)致為保障網(wǎng)絡(luò)準入控制服務(wù)高可靠性，建議采取如下措施： Radius 采用雙機，通過在網(wǎng)絡(luò)設(shè)備上設(shè)置多個Radius IP 地址，網(wǎng)絡(luò)設(shè)備會在第一臺 Radius Radius 服務(wù)器； 主 Radius 服務(wù)器采用獨立的硬件服務(wù)器，避免在其上面安裝數(shù)據(jù)庫或者其它應(yīng)用軟件，保障 Radius 服務(wù)器能夠穩(wěn)定、高效運行； Policy Cache 制策略，這些策略 Radius 會在啟動時，自動到數(shù)據(jù)庫中讀取并緩存在存中（Policy Cache 會收到后臺程序的變更通知，自動更新Cache。通過Policy Cache 技術(shù)，即使數(shù)據(jù)庫服務(wù)器發(fā)生故障也不會影響準入控制服務(wù)； User Cache 技術(shù)保證 AD/LDAP(用戶名、密碼驗證)服務(wù)器故障情況下，不會 服務(wù)器會將其賬戶 Cache 在存中，只要用戶的賬戶不改變密碼，下次接入時，就不需要重新到 AD/LDAP 服務(wù)器上認證了。 / .Policy Cache/User Cache 兩個技術(shù)，既解決了準入控制中的數(shù)據(jù)庫和AD/LDAP服務(wù)器的單點故障問題，同時通過存Cache這種方式，大大提高了終端接入認證的速度。6、準入控制災(zāi)難恢復(fù)與“一鍵式”復(fù)原技術(shù)況的發(fā)生。本方案采取兩種措施應(yīng)對