《网络管理解决方案》由会员分享,可在线阅读,更多相关《网络管理解决方案(9页珍藏版)》请在金锄头文库上搜索。
1、网络管理解决方案一、问题的提出背景:某集团公司总部位于北京,10个分公司分别位于上海、广州、成都、西安等 地。整个公司用户近3000名,其中北京1500名,其余分公司用户50-350名不等。公 司在各地建立了规模不等的局域网,并租用专线连成一个广域网。公司使用的网络 设备包括3、等公司的路由器、交换机、网卡。服务器上运行的操作系统 有、中软、400、等;客户端以9x为主。问题:对于公司庞大的网络系统,出现故障不易查找、诊断和修复。希望:通过网管系统,在总部可以管理分公司网络设备,并支持网管人员的移动式管理; 能防范来自内部与外部的入侵,解决安全问题;能适用公司规模的调整,易于实现设备 的增减;
2、适应公司业务向电子商务模式转变。根据上述需求,拟采用如下解决方案:1、采用,作为集成化网络与系统管理的基础,可以自动发现和映射整个网络拓 扑结构图,确保网络管理员知晓网络中发生的任何变化。2、采用公司的一系列安全产品,解决网络安全问题:选用公司的提供防病毒安全解决方案选用公司的防火墙提供互连安全解决方案选用公司的提供防黑客安全解决方案下面分四个部分讨论方案的实施。二、网络拓扑图的管理:1、使用管理整个网络结构拓扑图主要能够实现以下功能:(1能够自动发现网络设备,并提供显示网络实际连接状况的视图;(2能够持续地监控网络上新的设备和网络设备状态,并可以探测到位于广域网 上的设备;(3能够迅速找到网
3、络故障的根源,并协助网络管理人员进行网络增长的计划和 网络变化的设计;(4能够通过的界面灵活访问网络拓扑及网管数据,实现了从的任何地点进行数 据管理的能力;(5适合于任何规模的网络管理,既可以作为一个独立的网络管理站操作,也支持 分布式体系结构,提供集中控制与分散执行;(6允许公司运用广泛的第三方解决方案扩展其网络的可管理性。可以安装在、三种操作系统平台上,能够发现网络上的、和2设备。的实施可以有两种方式:集中式和分布式。集中式是在网络系统中建立一个全面负责管理所有网络资源的网管中心,该方 法容易实现且操作简单;但如果网络规模较大或网络规模扩大,网络上所有网管轮询 (和网管信息量增大,集中式管
4、理中心可能成为网络系统的瓶颈,并且网络管理信息流 导致网络可用带宽的减少。分布式网管模式是按层次、区域建立多个网管中心,分别负责管理不同区域和 不同层次的网络资源,不同网管中心相互配合共同完成网络系统的管理,顶端网络中 心只管理第二级网管中心和两级之间的网络连接,第二层网管中心分区域管理下属 的网络资源。该方式克服了集中式的缺点,网络的分布区域可以很广,且效率较高。根据以上特点,本方案最好采用分布式,在公司总部网管中心安装企业版(无限节 点版本,作为采集和管理中心,它负责管理分公司网管中心和两级之间的网络连接;在 各分支机构的局域网服务器上安装标准版,作为管理各分支机构局域网网络资源的 区域管
5、理中心。2、管理网络设备针对该方案中存在着如、3、等公司的网络设备,为了从公司总部网管中心 管理到位于总部或分公司局域网内这些网络设备,可在这些设备所处局域网的网管 中心或公司总部网管中心的上集成这些设备的网管软件,例如要在公司总部管理上 海分公司局域网内路由器,可在北京公司总部的网管中心安装,通过广域网来管理到 路由器的每一个端口。3、远程管理现在能够通过的界面灵活访问网络拓扑及网管数据,实现了在网的任何地点进 行数据管理的能力。三、防病毒的安全解决方案作为全球反病毒解决方案的领导者,提供的套件,就是一个综合的企业反病毒安 全与管理方案,它具有以下显著特点:1. 最广泛的多级进入点保护:提供
6、了桌面,服务器和网关的单一集成的防病毒系统,对所有潜在的病毒进入点 实行全面保护。2.100%的病毒检测率:的防病毒软件在多个独立的实验室测试中多次获得检测不明病毒100%的认 证。拥有专利权的启发式技术可以精确地检测到新的病毒。3. 强有力的服务与研究支持:在全球六大洲拥有由近百名病毒研究专家组成的反病毒紧急响应小组,为用户 提供7x24小时的专业服务与支持。4. 完善的企业级管理能力:中央控制台集中配置与管理模式,使您的企业网络更加高效,更易管理。5. 独特的病毒更新能力当更新信息从实验室发布时惊人的企业推送(技术立即将其送达系统管理 员。通过自动更新(,桌面和服务器按计划从指定的中央服务
7、器上提取更新信息使自 己保持为更新状态。具体到本系统,采用如下方案:1. 多层保护。1. 保护服务器。如果服务器感染病毒,其被感染的服务器文件会成为病毒感染的源头,迅速从桌 面发展到整个网络病毒爆发,尤其象、这样的群件会加速病毒传播的速度。因此需 要能高效、实时地检测发送或来自于服务器的病毒感染文件,以免它在整个网络中 的扩散;同时可以按需要选择立刻或定时检测、扫描驻留在文件服务器中的病毒。防病毒软件支持所有主流的操作系统,包括、(包括等、2等,并支持、等群件服务器的防病毒。在公司总部和各分公司局域网中所有的服务器上安装的,在群件服务器上安装 的。2. 网关的保护。随着的普及,越来越多的企业用
8、户被感染病毒中,都和从上下载文件有关或以电 子邮件附件方式进入企业网络,所以,反病毒软件应能在网关上封住病毒,扫描所有入 站、出站的电子邮件,能够为、等多个协议在内的通信提供病毒保护,同时扫描有恶 意的和小程序。的安装在网关上实现上述功能。3. 桌面的保护。企业在把防病毒策略放在保护服务器和网关的同时,还要注意到50%的病毒仍 通过软盘进入企业网络。所以要在所有桌面机上安装桌面防病毒软件,实现桌面保 护功能。是一个优秀的杀毒软件,它能够扫描包括引导区、文件分配表、分区表、软 盘、文件夹、压缩文件在内的所有系统区域;并具有先进的实时扫描技术在磁盘访 问、文件复制、程序执行、系统启动和关闭时扑获病
9、毒,提供桌面的在线保护;同时 还能够防止恶意、小程序对网络用户的损害,防止病毒通过下载的途径。(图22. 企业级管理拥有一个功能强大的管理工具,可以从控制中心管理企业范围内的反病毒安全 机制,具有集中管理、分发和警告的功能。管理员可以使用控制台将软件升级版和 更新信息迅速传至企业内部的所有客户机和服务器上;或则可制订计划,使机、服务 器自动从指定的中央服务器提取更新信息使自己保持为最新。四、互连安全解决方案在大型网络系统与互连的第一道屏障就是防火墙。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络 通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
10、防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的应用级网 关和代理服务器统称为代理服务器。包过滤即包过滤,虽简单方便,但包过滤路由器存在许多弱点:比如包过滤规则难 于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外。一些包过滤路由 器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测出来等。为了解决包过滤路由器的弱点,防火墙要求使用软件应用来过滤和传送服务连 接(如和。这样的应用称为代理服务,运行代理服务的主机被称为应用网关。应用网 关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大 的灵活性。应用网关的优点很多,如:比包过滤路由器更高的安全性;提
11、供对协议的过滤,如 可以禁止连接的命令。信息隐藏,应用网关为外部连接提供代理。节省费用;简化和 灵活的过滤规则,路由器只需简单地通过到达应用网关的包并拒绝其余的包通过,等 等。因此,应用网关防火墙的安全特性远比包过滤型的防火墙高。使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力(70,很好的 解决了安全、性能及灵活性的协调。由于完全使用应用层的代理服务,提供了该领 域最安全的解决方案,从而对访问的控制更加细致。其特点和优点:(1动态安全性集成技术允许集中式的策略管理和整个事件管理系统中的事件 的相互通风;(2自适应代理技术在应用网关防火墙中可以提供信息包过滤器的高速度;(3支持多处理
12、器技术提高了防火墙性能;(4代理提供视频会议、新闻、公众事件和广播会议的安全实时访问;(5代理通过防火墙安全访问、和数据库;(6内容安全性可以保护机构免受系统数据遭到来自的威胁,如病毒、恶意、代 码。根据网络系统的安全需要,可以在如下位置部署防火墙:1、局域网内的之间控制信息流向时;2、与之间连接时;3、在本系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成 不安全的系统,(通过公网,,等连接在总部和各分支机构连接时采用防火墙隔离,并 利用构成虚拟专网。4、总部的局域网和分支机构的局域网是通过连接,需要各自安装防火墙,并利用 组成虚拟专网。5、在远程用户拨号访问时,加入虚拟专网。
13、五、防黑客的安全解决方案利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护, 降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:】、入侵者可寻找防火墙背后可能敞开的后门。2、入侵者可能就在防火墙内。3、由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及 采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能 够阻止的入侵。入侵检测系统可分为两类:基于主机基于网络基于主机的入侵检测系统用于保护关键应用的服务器,实时监视
14、可疑的连接、 系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息。是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威 胁的专用产品。1、为找出网络上的脆弱环节提供主动的安全性扫描和解决问题的现场解决 建议,具体特性:全面的扫描工具可以发现系统和网络的脆弱环节,并且提供了可执行的总结报 告与挖掘报告选项;独特的跟踪器信息包防火墙测试提供了详细的防火墙/路由器审计;自动升级功能保持扫描引擎、扫描检测和脆弱性数据库处于当前最新状态;提供入侵检测监控测试校验系统和网络动态监测器的功能;2、的实时入侵检测为关键任务系统提供全面保护。它是拥有多层监控结构 的实时检测代理。基于主机的信息量分析、系统事件和提供双倍保护的独立方案的 日志文件一起受到监控。其特性为:多层的检测结构支持高速交换网络;中央控制台具有易于适用的图形界面的配置和策略设置功能;独立的监控代理技术提供局部响应和报警选项;报告组合特点压缩了攻击性登录被拒绝的数据;采用趋势分析选项可以进行逐个系统监控和扫描信息的报告整理;自动升级功能将监控器引擎、检测特征与攻击数据库保持当前最新状态;与防火墙相集成作为结构组件。3、和用假目标服务器技术与先进的自定义审查工具提高了检测功能,这样做不 仅保护了企业的数据与资源,还保护了企业的声誉。
