1、網(wǎng)絡(luò)管理解決方案一、 問題的提出背景： 某集團公司總部位于北京，10個分公司分別位于上海、廣州、成都、西安等地。整個公司用戶近3000名，其中北京1500名，其余分公司用戶50-350名不等。公司在各地建立了規(guī)模不等的局域網(wǎng)，并租用專線連成一個廣域網(wǎng)。公司使用的網(wǎng)絡(luò)設(shè)備包括3Com、Cisco、Lucent、Nortel等公司的路由器、交換機、網(wǎng)卡。服務(wù)器上運行的操作系統(tǒng)有：IBM AIX、Sun Solaris、中軟Cosix、IBM OS 400、HP-UX、Windows NT、Novell NetWare等；客戶端以Windows 9x為主。 問題： 對于公司龐大的網(wǎng)絡(luò)系統(tǒng)，出現(xiàn)故障不

2、易查找、診斷和修復(fù)。 希望： 通過網(wǎng)管系統(tǒng)，在總部可以管理分公司網(wǎng)絡(luò)設(shè)備，并支持網(wǎng)管人員的移動式管理；能防范來自內(nèi)部與外部的入侵，解決安全問題；能適用公司規(guī)模的調(diào)整，易于實現(xiàn)設(shè)備的增減；適應(yīng)公司業(yè)務(wù)向電子商務(wù)模式轉(zhuǎn)變。 根據(jù)上述需求，擬采用如下解決方案： 1、 采用HP OpenView Network Node Manager，作為集成化網(wǎng)絡(luò)與系統(tǒng)管理的基礎(chǔ)，可以自動發(fā)現(xiàn)和映射整個網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，確保網(wǎng)絡(luò)管理員知曉網(wǎng)絡(luò)中發(fā)生的任何變化。 2、 采用NAI公司的一系列安全產(chǎn)品，解決網(wǎng)絡(luò)安全問題： 選用NAI公司的McAfee TVD提供防病毒安全解決方案 選用NAI公司的Gaultlet防火墻

3、提供Internet互連安全解決方案 選用NAI公司的CyberCop提供防黑客安全解決方案 下面分四個部分討論方案的實施。 二、 網(wǎng)絡(luò)拓撲圖的管理： 1、使用HP OpenView Network Node Manager管理整個網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖 HP OpenView NNM主要能夠?qū)崿F(xiàn)以下功能： (1)NNM能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備，并提供顯示網(wǎng)絡(luò)實際連接狀況的視圖； (2)NNM能夠持續(xù)地監(jiān)控網(wǎng)絡(luò)上新的設(shè)備和網(wǎng)絡(luò)設(shè)備狀態(tài)，并可以探測到位于廣域網(wǎng)上的設(shè)備；(3) NNM能夠迅速找到網(wǎng)絡(luò)故障的根源，并協(xié)助網(wǎng)絡(luò)管理人員進行網(wǎng)絡(luò)增長的計劃和網(wǎng)絡(luò)變化的設(shè)計； (4)NNM能夠通過Java Base的W

4、eb界面靈活訪問網(wǎng)絡(luò)拓撲及網(wǎng)管數(shù)據(jù)，實現(xiàn)了從WWW的任何地點進行數(shù)據(jù)管理的能力； (5)NNM適合于任何規(guī)模的網(wǎng)絡(luò)管理，既可以作為一個獨立的網(wǎng)絡(luò)管理站操作，也支持分布式體系結(jié)構(gòu)，提供集中控制與分散執(zhí)行； (6)NNM允許公司運用廣泛的第三方解決方案擴展其網(wǎng)絡(luò)的可管理性。HP OpenView NNM可以安裝在Windows NT、Sun Solaris、HP-UX三種操作系統(tǒng)平臺上，能夠發(fā)現(xiàn)網(wǎng)絡(luò)上的TCP/IP、IPX和Level-2設(shè)備。 NNM的實施可以有兩種方式：集中式NNM和分布式NNM。 集中式NNM是在網(wǎng)絡(luò)系統(tǒng)中建立一個全面負責(zé)管理所有網(wǎng)絡(luò)資源的網(wǎng)管中心，該方法容易實現(xiàn)且操作簡單；

5、但如果網(wǎng)絡(luò)規(guī)模較大或網(wǎng)絡(luò)規(guī)模擴大，網(wǎng)絡(luò)上所有網(wǎng)管輪詢（Polling）和網(wǎng)管信息量增大，集中式NNM管理中心可能成為網(wǎng)絡(luò)系統(tǒng)的瓶頸，并且網(wǎng)絡(luò)管理信息流導(dǎo)致網(wǎng)絡(luò)可用帶寬的減少。 分布式NNM網(wǎng)管模式是按層次、區(qū)域建立多個網(wǎng)管中心，分別負責(zé)管理不同區(qū)域和不同層次的網(wǎng)絡(luò)資源，不同網(wǎng)管中心相互配合共同完成網(wǎng)絡(luò)系統(tǒng)的管理，頂端網(wǎng)絡(luò)中心只管理第二級網(wǎng)管中心和兩級之間的網(wǎng)絡(luò)連接，第二層網(wǎng)管中心分區(qū)域管理下屬的網(wǎng)絡(luò)資源。該方式克服了集中式NNM的缺點，網(wǎng)絡(luò)的分布區(qū)域可以很廣，且效率較高。 根據(jù)以上特點，本方案最好采用分布式NNM，在公司總部網(wǎng)管中心安裝NNM企業(yè)版（無限節(jié)點版本），作為采集和管理中心，它負責(zé)管

6、理分公司網(wǎng)管中心和兩級之間的網(wǎng)絡(luò)連接；在各分支機構(gòu)的局域網(wǎng)服務(wù)器上安裝NNM標準版，作為管理各分支機構(gòu)局域網(wǎng)網(wǎng)絡(luò)資源的區(qū)域管理中心。 2、管理網(wǎng)絡(luò)設(shè)備 針對該方案中存在著如Cisco、Bay、3Com、Lucent、Nortel等公司的網(wǎng)絡(luò)設(shè)備，為了從公司總部網(wǎng)管中心管理到位于總部或分公司局域網(wǎng)內(nèi)這些網(wǎng)絡(luò)設(shè)備，可在這些設(shè)備所處局域網(wǎng)的網(wǎng)管中心或公司總部網(wǎng)管中心的NNM上集成這些設(shè)備的網(wǎng)管軟件，例如要在公司總部管理上海分公司局域網(wǎng)內(nèi)Cisco路由器，可在北京公司總部的網(wǎng)管中心安裝CiscoWorks，通過廣域網(wǎng)來管理到Cisco路由器的每一個端口。 3、 遠程管理 HP OpenView NNM

7、現(xiàn)在能夠通過Java Base的Web界面靈活訪問網(wǎng)絡(luò)拓撲及網(wǎng)管數(shù)據(jù)，實現(xiàn)了在Web網(wǎng)的任何地點進行數(shù)據(jù)管理的能力。 三、 防病毒的安全解決方案 NAI作為全球反病毒解決方案的領(lǐng)導(dǎo)者，提供的McAfee TVD套件，就是一個綜合的企業(yè)反病毒安全與管理方案，它具有以下顯著特點： 1.最廣泛的多級進入點保護： TVD提供了桌面，服務(wù)器和Internet網(wǎng)關(guān)的單一集成的防病毒系統(tǒng)，對所有潛在的病毒進入點實行全面保護。 2.100%的病毒檢測率： NAI的防病毒軟件在多個獨立的實驗室測試中多次獲得檢測不明病毒100%的認證。擁有專利權(quán)的啟發(fā)式技術(shù)可以精確地檢測到新的病毒。 3.強有力的服務(wù)與研究支持：

8、 NAI在全球六大洲擁有由近百名病毒研究專家組成的反病毒緊急響應(yīng)小組，為用戶提供7x24小時的專業(yè)服務(wù)與支持。 4.完善的企業(yè)級管理能力： 中央控制臺集中配置與管理模式，使您的企業(yè)網(wǎng)絡(luò)更加高效，更易管理。 5.獨特的病毒更新能力 當更新信息從實驗室發(fā)布時，NAI驚人的企業(yè)推送（SecureCast）技術(shù)立即將其送達系統(tǒng)管理員。通過自動更新（AutoUpdate），桌面PC和服務(wù)器按計劃從指定的中央服務(wù)器上提取更新信息使自己保持為更新狀態(tài)。 具體到本系統(tǒng)，采用如下方案： 1. 多層保護。 1). 保護服務(wù)器。 如果服務(wù)器感染病毒，其被感染的服務(wù)器文件會成為病毒感染的源頭，迅速從桌面發(fā)展到整個網(wǎng)絡(luò)

9、病毒爆發(fā)，尤其象Exchange、Lotus Notes這樣的群件會加速病毒傳播的速度。因此需要能高效、實時地檢測發(fā)送或來自于服務(wù)器的病毒感染文件，以免它在整個網(wǎng)絡(luò)中的擴散；同時可以按需要選擇立刻或定時檢測、掃描駐留在文件服務(wù)器中的病毒。 McAfee TVD防病毒軟件支持所有主流的操作系統(tǒng)，包括Windows NT、UNIX（包括HP-UX、Sun Solaris、IBM AIX、SGI IRIX、SCO UNIXWARE、LINUX等）、Novell Netware、IBM OS/2等，并支持Microsoft Exchange、Lotus Notes等群件服務(wù)器的防病毒。 在公司總部和各

10、分公司局域網(wǎng)中所有的服務(wù)器上安裝TVD的NetShield，在群件服務(wù)器上安裝TVD的GroupShield。 2). 網(wǎng)關(guān)的保護。 隨著Internet的普及，越來越多的企業(yè)用戶被感染病毒中，都和從Internet上下載文件有關(guān)或以電子郵件附件方式進入企業(yè)網(wǎng)絡(luò)，所以，反病毒軟件應(yīng)能在網(wǎng)關(guān)上封住病毒，掃描所有入站、出站的電子郵件，能夠為HTTP、FTP等多個Internet協(xié)議在內(nèi)的通信提供病毒保護，同時掃描有惡意的Java和ActiveX小程序。 TVD的WebShield安裝在網(wǎng)關(guān)上實現(xiàn)上述功能。 3). 桌面的保護。 企業(yè)在把防病毒策略放在保護服務(wù)器和網(wǎng)關(guān)的同時，還要注意到50%的病毒仍

11、通過軟盤進入企業(yè)網(wǎng)絡(luò)。所以要在所有桌面機上安裝桌面防病毒軟件，實現(xiàn)桌面保護功能。 McAfee VirusScan是一個優(yōu)秀的殺毒軟件，它能夠掃描包括引導(dǎo)區(qū)、文件分配表、分區(qū)表、軟盤、文件夾、壓縮文件在內(nèi)的所有系統(tǒng)區(qū)域；并具有先進的實時掃描技術(shù)在磁盤訪問、文件復(fù)制、程序執(zhí)行、系統(tǒng)啟動和關(guān)閉時撲獲病毒，提供桌面的在線保護；同時還能夠防止惡意Java、ActiveX小程序?qū)W(wǎng)絡(luò)用戶的損害，防止病毒通過Internet下載的途徑。 （圖jjfa-2.gif）2. 企業(yè)級管理 McAfee TVD擁有一個功能強大的管理工具，可以從控制中心管理企業(yè)范圍內(nèi)的反病毒安全機制，具有集中管理、分發(fā)和警告的功能。

12、管理員可以使用控制臺將軟件升級版和更新信息迅速傳至企業(yè)內(nèi)部的所有客戶機和服務(wù)器上；或則可制訂計劃，使PC機、服務(wù)器自動從指定的中央服務(wù)器提取更新信息使自己保持為最新。 四、 Internet互連安全解決方案在大型網(wǎng)絡(luò)系統(tǒng)與Internet互連的第一道屏障就是防火墻。 防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。 防火墻總體上分為包過濾和代理服務(wù)器兩大類型。我們將通常所說的應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器統(tǒng)稱為代理服務(wù)器。 包過濾即IP包過濾，雖簡單方便，但包過濾路由器存在許多弱點：比如包過濾規(guī)則難于設(shè)置并

13、缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險的封包才可能檢測出來等。 為了解決包過濾路由器的弱點，防火墻要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如Telnet和Ftp）。這樣的應(yīng)用稱為代理服務(wù)，運行代理服務(wù)的主機被稱為應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大的靈活性。 應(yīng)用網(wǎng)關(guān)的優(yōu)點很多，如：比包過濾路由器更高的安全性；提供對協(xié)議的過濾，如可以禁止FTP連接的Put命令。信息隱藏，應(yīng)用網(wǎng)關(guān)為外部連接提供代理。節(jié)省費用；簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達應(yīng)用網(wǎng)關(guān)的包并拒絕其余

14、的包通過，等等。 因此，應(yīng)用網(wǎng)關(guān)防火墻的安全特性遠比包過濾型的防火墻高。 Gauntlet使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力(70Mbps)，很好的解決了安全、性能及靈活性的協(xié)調(diào)。由于完全使用應(yīng)用層的代理服務(wù)，Gauntlet提供了該領(lǐng)域最安全的解決方案，從而對訪問的控制更加細致。 其特點和優(yōu)點： (1)動態(tài)安全性集成技術(shù)允許集中式的策略管理和整個事件管理系統(tǒng)中的事件的相互通風(fēng)； (2)自適應(yīng)代理技術(shù)在應(yīng)用網(wǎng)關(guān)防火墻中可以提供信息包過濾器的高速度； (3)支持多處理器技術(shù)提高了防火墻性能； (4)NetMeeting代理提供視頻會議、新聞、公眾事件和廣播會議的安全實時訪

15、問； (5)SQL代理通過防火墻安全訪問MS、Oracle和Sybase數(shù)據(jù)庫； (6)內(nèi)容安全性可以保護機構(gòu)免受系統(tǒng)數(shù)據(jù)遭到來自Internet的威脅，如Internet病毒、惡意Java、ActiveX代碼。 根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻： 1、局域網(wǎng)內(nèi)的VLAN之間控制信息流向時； 2、Intranet與Internet之間連接時； 3、在本系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過公網(wǎng)ChinaPac, ChinaDDN, Frame Relay等連接）在總部和各分支機構(gòu)連接時采用防火墻隔離，并利用GVPN構(gòu)成虛擬專網(wǎng)。 4

16、、總部的局域網(wǎng)和分支機構(gòu)的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用GauntletGVPN組成虛擬專網(wǎng)。 5、在遠程用戶撥號訪問時，加入虛擬專網(wǎng)。 五、 防黑客的安全解決方案 利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠遠不夠： 1、 入侵者可尋找防火墻背后可能敞開的后門。 2、 入侵者可能就在防火墻內(nèi)。 3、 由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等

17、。 實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠阻止hacker的入侵。 入侵檢測系統(tǒng)可分為兩類： 基于主機 基于網(wǎng)絡(luò)基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視如Web服務(wù)器應(yīng)用。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。 CyberCop Intrusion Protection是設(shè)計用于保護企業(yè)系統(tǒng)與網(wǎng)絡(luò)設(shè)備的各個方面免受不斷增長的復(fù)雜惡意威脅的專用產(chǎn)品。 1、CyberCop Scanner 為找出網(wǎng)絡(luò)上的脆弱環(huán)節(jié)，CyberCop Scanner提供主動的安全性掃描

18、和解決問題的現(xiàn)場解決建議，具體特性： 全面的掃描工具可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)的脆弱環(huán)節(jié)，并且提供了可執(zhí)行的總結(jié)報告與挖掘報告選項； 獨特的跟蹤器信息包防火墻測試提供了詳細的防火墻/路由器審計； 自動升級功能保持掃描引擎、掃描檢測和脆弱性數(shù)據(jù)庫處于當前最新狀態(tài)； 提供入侵檢測監(jiān)控測試校驗系統(tǒng)和網(wǎng)絡(luò)動態(tài)監(jiān)測器的功能； 2、CyberCop Monitor CyberCop Monitor的實時入侵檢測為關(guān)鍵任務(wù)系統(tǒng)提供全面保護。它是擁有多層監(jiān)控結(jié)構(gòu)的實時檢測代理?；谥鳈C的信息量分析、系統(tǒng)事件和提供雙倍保護的獨立方案的日志文件一起受到監(jiān)控。其特性為： 多層的檢測結(jié)構(gòu)支持高速交換網(wǎng)絡(luò)； 中央控制臺具有易于適用的圖形界面的配置和策略設(shè)置功能； 獨立的監(jiān)控代理技術(shù)提供局部響應(yīng)和報警選項； 報告組合特點壓縮了攻擊性登錄被拒絕的數(shù)據(jù)； 采用趨勢分析選項可以進行逐個系統(tǒng)監(jiān)控和掃描信息的報告整理； 自動升級功能將監(jiān)控器引擎、檢測特征與攻擊數(shù)據(jù)庫保持當前最新狀態(tài)； 與Gauntlet防火墻相集成作為Active Security結(jié)構(gòu)組件。 3、CyberCop Sting和CASL用假目標服務(wù)器技術(shù)與先進的自定義審查工具提高了檢測功能，這樣做不僅保護了企業(yè)的數(shù)據(jù)與資源，還保護了企業(yè)的聲譽。 六、 相關(guān)軟件報價 1、 HP OpenView報價： HP OpenView NNM E