...v.網絡管理解決方案一、問題的提出背景：某集團公司總部位于，10個分公司分別位于**、**、**、**等地。整個公司用戶近3000名，其中1500名，其余分公司用戶50-350名不等。公司在各地建立了規模不等的局域網，并租用專線連成一個廣域網。公司使用的網絡設備包括3、Cisco、Lucent、Nortel等公司的路由器、交換機、網卡。效勞器上運行的操作系統有：IBMAIX、SunSolaris、中軟Cosix、IBMOS400、HP-UX、WindowsNT、NovellNetWare等；客戶端以Windows9x為主。問題：對于公司龐大的網絡系統，出現故障不易查找、診斷和修復。希望：通過網管系統，在總部可以管理分公司網絡設備，并支持網管人員的移動式管理；能防范來自內部與外部的入侵，解決平安問題；能適用公司規模的調整，易于實現設備的增減；適應公司業務向電子商務模式轉變。根據上述需求，擬采用如下解決方案：1、采用HPOpenViewNetworkNodeManager，作為集成化網絡與系統管理的根底，可以自動發現和映射整個網絡拓撲構造圖，確保網絡管理員知曉網絡中發生的任何變化。2、采用NAI公司的一系列平安產品，解決網絡平安問題：選用NAI公司的McAfeeTVD提供防病毒平安解決方案選用NAI公司的Gaultlet防火墻提供Internet互連平安解決方案選用NAI公司的CyberCop提供防黑客平安解決方案下面分四個局部討論方案的實施。二、網絡拓撲圖的管理：1、使用HPOpenViewNetworkNodeManager管理整個網絡構造拓撲圖HPOpenViewNNM主要能夠實現以下功能：(1)NNM能夠自動發現網絡設備，并提供顯示網絡實際連接狀況的視圖；(2)NNM能夠持續地監控網絡上新的設備和網絡設備狀態，并可以探測到位于廣域網上的設備；(3)NNM能夠迅速找到網絡故障的根源，并協助網絡管理人員進展網絡增長的方案和網絡變化的設計；(4)NNM能夠通過JavaBase的Web界面靈活網絡拓撲及網管數據，實現了從的任何地點進展數據管理的能力；(5)NNM適合于任何規模的網絡管理，既可以作為一個獨立的網絡管理站操作，也支持分布式體系構造，提供集中控制與分散執行；(6)NNM允許公司運用廣泛的第三方解決方案擴展其網絡的可管理性。HPOpenViewNNM可以安裝在WindowsNT、SunSolaris、HP-UX三種操作系統平臺上，能夠發現網絡上的TCP/IP、IPX和Level-2設備。NNM的實施可以有兩種方式：集中式NNM和分布式NNM。集中式NNM是在網絡系統中建立一個全面負責管理所有網絡資源的網管中心，該方法容易實現且操作簡單；但如果網絡規模較大或網絡規模擴大，網絡上所有網管輪詢〔Polling〕和網管信息量增大，集中式NNM管理中心可能成為網絡系統的瓶頸，并且網絡管理信息流導致網絡可用帶寬的減少。分布式NNM網管模式是按層次、區域建立多個網管中心，分別負責管理不同區域和不同層次的網絡資源，不同網管中心相互配合共同完成網絡系統的管理，頂端網絡中心只管理第二級網管中心和兩級之間的網絡連接，第二層網管中心分區域管理下屬的網絡資源。該方式克制了集中式NNM的缺點，網絡的分布區域可以很廣，且效率較高。根據以上特點，本方案最好采用分布式NNM，在公司總部網管中心安裝NNM企業版〔無限節點版本〕，作為采集和管理中心，它負責管理分公司網管中心和兩級之間的網絡連接；在各分支機構的局域網效勞器上安裝NNM標準版，作為管理各分支機構局域網網絡資源的區域管理中心。2、管理網絡設備針對該方案中存在著如Cisco、Bay、3、Lucent、Nortel等公司的網絡設備，為了從公司總部網管中心管理到位于總部或分公司局域網內這些網絡設備，可在這些設備所處局域網的網管中心或公司總部網管中心的NNM上集成這些設備的網管軟件，例如要在公司總部管理**分公司局域網內Cisco路由器，可在公司總部的網管中心安裝CiscoWorks，通過廣域網來管理到Cisco路由器的每一個端口。3、遠程管理HPOpenViewNNM現在能夠通過JavaBase的Web界面靈活網絡拓撲及網管數據，實現了在Web網的任何地點進展數據管理的能力。三、防病毒的平安解決方案NAI作為全球反病毒解決方案的領導者，提供的McAfeeTVD套件，就是一個綜合的企業反病毒平安與管理方案，它具有以下顯著特點：1.最廣泛的多級進入點保護：TVD提供了桌面，效勞器和Internet網關的單一集成的防病毒系統，對所有潛在的病毒進入點實行全面保護。2.100%的病毒檢測率：NAI的防病毒軟件在多個獨立的實驗室測試中屢次獲得檢測不明病毒100%的認證。擁有專利權的啟發式技術可以準確地檢測到新的病毒。3.強有力的效勞與研究支持：NAI在全球六大洲擁有由近百名病毒研究專家組成的反病毒緊急響應小組，為用戶提供7x24小時的專業效勞與支持。4.完善的企業級管理能力：中央控制臺集中配置與管理模式，使您的企業網絡更加高效，更易管理。5.獨特的病毒更新能力當更新信息從實驗室發布時，NAI驚人的企業"推送"〔SecureCast〕技術立即將其送達系統管理員。通過自動更新〔AutoUpdate〕，桌面PC和效勞器按方案從指定的中央效勞器上提取更新信息使自己保持為更新狀態。具體到本系統，采用如下方案：1.多層保護。1).保護效勞器。如果效勞器感染病毒，其被感染的效勞器文件會成為病毒感染的源頭，迅速從桌面開展到整個網絡病毒爆發，尤其象Exchange、LotusNotes這樣的群件會加速病毒傳播的速度。因此需要能高效、實時地檢測發送或來自于效勞器的病毒感染文件，以免它在整個網絡中的擴散；同時可以按需要選擇立刻或定時檢測、掃描駐留在文件效勞器中的病毒。McAfeeTVD防病毒軟件支持所有主流的操作系統，包括WindowsNT、UNIX〔包括HP-UX、SunSolaris、IBMAIX、SGIIRIX、SCOUNIXWARE、LINUX等〕、NovellNetware、IBMOS/2等，并支持MicrosoftExchange、LotusNotes等群件效勞器的防病毒。在公司總部和各分公司局域網中所有的效勞器上安裝TVD的NetShield，在群件效勞器上安裝TVD的GroupShield。2).網關的保護。隨著Internet的普及，越來越多的企業用戶被感染病毒中，都和從Internet上下載文件有關或以電子附件方式進入企業網絡，所以，反病毒軟件應能在網關上封住病毒，掃描所有入站、出站的電子，能夠為HTTP、FTP等多個Internet協議在內的通信提供病毒保護，同時掃描有惡意的Java和ActiveX小程序。TVD的WebShield安裝在網關上實現上述功能。3).桌面的保護。企業在把防病毒策略放在保護效勞器和網關的同時，還要注意到50%的病毒仍通過軟盤進入企業網絡。所以要在所有桌面機上安裝桌面防病毒軟件，實現桌面保護功能。McAfeeVirusScan是一個優秀的殺毒軟件，它能夠掃描包括引導區、文件分配表、分區表、軟盤、文件夾、壓縮文件在內的所有系統區域；并具有先進的實時掃描技術在磁盤、文件復制、程序執行、系統啟動和關閉時撲獲病毒，提供桌面的在線保護；同時還能夠防止惡意Java、ActiveX小程序對網絡用戶的損害，防止病毒通過Internet下載的途徑。〔圖jjfa-2.gif〕2.企業級管理McAfeeTVD擁有一個功能強大的管理工具，可以從控制中心管理企業范圍內的反病毒平安機制，具有集中管理、分發和警告的功能。管理員可以使用控制臺將軟件升級版和更新信息迅速傳至企業內部的所有客戶機和效勞器上；或那么可制訂方案，使PC機、效勞器自動從指定的中央效勞器提取更新信息使自己保持為最新。四、Internet互連平安解決方案在大型網絡系統與Internet互連的第一道屏障就是防火墻。防火墻是近年開展起來的重要平安技術，其主要作用是在網絡入口點檢查網絡通訊，根據客戶設定的平安規那么，在保護內部網絡平安的前提下，提供內外網絡通訊。防火墻總體上分為包過濾和代理效勞器兩大類型。我們將通常所說的應用級網關和代理效勞器統稱為代理效勞器。包過濾即IP包過濾，雖簡單方便，但包過濾路由器存在許多弱點：比方包過濾規那么難于設置并缺乏已有的測試工具驗證規那么的正確性(手工測試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發生后，危險的封包才可能檢測出來等。為了解決包過濾路由器的弱點，防火墻要求使用軟件應用來過濾和傳送效勞連接〔如Telnet和Ftp〕。這樣的應用稱為代理效勞，運行代理效勞的主機被稱為應用網關。應用網關和包過濾器混合使用能提供比單獨使用應用網關和包過濾器更高的平安性和更大的靈活性。應用網關的優點很多，如：比包過濾路由器更高的平安性；提供對協議的過濾，如可以制止FTP連接的Put命令。信息隱藏，應用網關為外部連接提供代理。節省費用；簡化和靈活的過濾規那么，路由器只需簡單地通過到達應用網關的包并拒絕其余的包通過，等等。因此，應用網關防火墻的平安特性遠比包過濾型的防火墻高。Gauntlet使用完全的代理效勞方式提供廣泛的協議支持以及高速的吞吐能力(70Mbps)，很好的解決了平安、性能及靈活性的協調。由于完全使用應用層的代理效勞，Gauntlet提供了該領域最平安的解決方案，從而對的控制更加細致。其特點和優點：(1)動態平安性集成技術允許集中式的策略管理和整個事件管理系統中的事件的相互通風；(2)自適應代理技術在應用網關防火墻中可以提供信息包過濾器的高速度；(3)支持多處理器技術提高了防火墻性能；(4)NetMeeting代理提供視頻會議、新聞、公眾事件和播送會議的平安實時；(5)SQL代理通過防火墻平安MS、Oracle和Sybase數據庫；(6)內容平安性可以保護機構免受系統數據遭到來自Internet的威脅，如Internet病毒、惡意Java、ActiveX代碼。根據網絡系統的平安需要，可以在如下位置部署防火墻：1、局域網內的VLAN之間控制信息流向時；2、Intranet與Internet之間連接時；3、在本系統中，由于平安的需要，總部的局域網可以將各分支機構的局域網看成不平安的系統，〔通過公網ChinaPac,ChinaDDN,FrameRelay等連接〕在總部和各分支機構連接時采用防火墻隔離，并利用GVPN構成虛擬專網。4、總部的局域網和分支機構的局域網是通過Internet連接，需要各自安裝防火墻，并利用GauntletGVPN組成虛擬專網。5、在遠程用戶撥號時，參加虛擬專網。五、防黑客的平安解決方案利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供平安的網絡保護，降低了網絡平安風險。但是，僅僅使用防火墻、網絡平安還遠遠不夠：1、入侵者可尋找防火墻背后可能敞開的后門。2、入侵者可能就在防火墻內。3、由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統是近年出現的新型網絡平安技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠阻止hacker的入侵。入侵檢測系統可分為兩類：基于主機基于網絡基于主機的入侵檢測系統用于保護關鍵應用的效勞器，實時監視可疑的連接、系統日志檢查，非法的闖入等，并且提供對典型應用的監視如Web效勞器應用。基于網絡的入侵檢測系統用于實時監控網絡關鍵路徑的信息。CyberCopIntrusionProtection是設計用于保護企業系統與網絡設備的各個方面免受不斷增長的復雜惡意威脅的專用產品。1、CyberCopScanner為找出網絡上的脆弱環節，CyberCopScanner提供主動的平安性掃描和解決問題的現場解決建議，具體特性：全面的掃描工具可以發現系統和網絡的脆弱環節，并且提供了可執行的總結報告與挖掘報告選項；獨特的跟蹤器信息包防火墻測試提供了詳細的防火墻/路由器審計；自動升級功能保持掃描引擎、掃描檢測和脆弱性數據庫處于當前最新狀態；提供入侵檢測監控測試校驗系統和網絡動態監測器的功能；2、CyberCopMonitorCyberCopMonitor的實時入侵檢測為關鍵任務系統提供全面保護。它是擁有多層監控構造的實時檢測代理。基于主機的信息量分析、系統事件和提供雙倍保護的獨立方案的日志文件一起受到監控。其特性為：多層的檢測構造支持高速交換網絡