中软的网络管理解决方案

面对日益激烈的市场竞争，各公司纷纷采用先进的信息技术，已经或正准备建立一套信息系统。但经过调查发现，很多公司，包括不少规模庞大的公司，其网络管理还采用极其原始的手工操作：一只万用表，加上一把手电筒。很显然，没有完善的网络管理，信息系统的效能是很难正常发挥出来的。 本期题目：网络管理解决方案 具体要求如下： 某集团公司总部位于北京，有10个分公司分别位于上海、广州、成都、西安等地。整个集团公司的用户近3000名，其中北京有用户约1500名，10个分公司的用户从350名到50名不等。公司在各地已建立了规模不等的局域网，并租用专线联成了一个广域网，涉及的网络设备包括3Com、Cisco、Lucent、Nortel等公司的路由器、交换机、网卡，运行的网络操作系统有IBM AIX、Sun Solaris、中软COSIX、IBM OS 400、HP-UX、Windows NT、Novell NetWare等，客户端操作系统以Windows 9X为主。 公司虽然建立了一套庞大的网络系统，主要数据均通过网络传输，但网络管理手段落后，出现故障不易查找、诊断和修复。现在公司希望在各地安装专业的网管软件，在总部可管理分公司网络设备，并能支持网管人员基于移动方式的管理；公司希望内部的话音/传真业务能通过广域网传输，因此需要定义数据的优先级；能防范来自内部与外部的入侵，解决安全问题；能适应公司规模的调整，易于实现设备的增减；能适应公司业务向电子商务模式的转变。 现在希望您能为该公司提供一套比较完整的网管解决方案。您提供的解决方案应包括：广域网络和主要局域网络的拓扑图；主要软件的配置；关键软件的介绍(包括示意图)；相关报价。希望重点突出您的方案的特点。 一、总述 根据题目的需求，拟采用如下解决方案： 1．采用HP OpenView Network Node Manager，作为集成化网络与系统管理的基础，可以自动发现和映射整个网络拓扑结构图，确保网络管理员知晓网络中发生的任何变化。 2．采用NAI公司的一系列安全产品，解决网络安全问题： (1)选用NAI公司的McAfee TVD提供防病毒安全解决方案； (2)选用NAI公司的Gaultlet防火墙提供Internet互连安全解决方案； (3)选用NAI公司的CyberCop提供防黑客安全解决方案。 下面分四个部分讨论方案的实施。 二、网络管理方案 1．网络结构拓扑图的管理 我们采用HP OpenView Network Node Manager(简称NNM)管理整个网络结构拓扑图。根据题目的需求和NNM的特点，本方案最好采用分布式NNM，在公司总部网管中心安装NNM企业版(无限节点版本)，作为采集和管理中心，它负责管理分公司网管中心和两级之间的网络连接；在各分支机构的局域网服务器上安装NNM标准版，作为管理各分支机构局域网网络资源的区域管理中心。具体方案如图1所示。 2．网络设备的管理 针对该方案中存在着如3Com、Cisco、Lucent、Nortel等公司的网络设备，为了从公司总部网管中心管理到位于总部或分公司局域网内这些网络设备，可在这些设备所处局域网的网管中心或公司总部网管中心的NNM上集成这些设备的网管软件，例如要在公司总部管理上海分公司局域网内Cisco路由器，可在北京公司总部的网管中心安装Cisco Works，通过广域网来管理到Cisco路由器的每一个端口。 3．远程管理 HP OpenView NNM现在能够通过Java Base的Web界面灵活访问网络拓扑及网管数据，实现了在Web网的任何地点进行数据管理的能力。 有关HP OpenView Network Node Manager的介绍，请见《附录1：HP OpenView Network Node Manager》。 （图1） 三、防病毒的安全解决方案 NAI作为全球反病毒解决方案的领导者，提供的McAfee TVD套件，就是一个综合的企业反病毒安全与管理方案。具体到本系统，采用如下方案： 1. 多层保护 (1)服务器的保护 如果服务器感染病毒，其被感染的服务器文件会成为病毒感染的源头，迅速从桌面发展到整个网络病毒爆发，尤其像Exchange、Lotus Notes这样的群件会加速病毒传播的速度。因此需要能高效、实时地检测来自于服务器的病毒感染文件，以免它在整个网络中的扩散；同时可以按需要选择立刻或定时检测、扫描驻留在文件服务器中的病毒。 在公司总部和各分公司局域网中所有的服务器上安装TVD的NetShield，在群件服务器上安装TVD的GroupShield。 (2)网关的保护 随着Internet的普及，越来越多的企业用户被感染病毒，这些病毒都和从Internet上下载文件有关，例如以电子邮件附件方式进入企业网络，所以，反病毒软件应能在网关上封住病毒，扫描所有入站、出站的电子邮件，能够为HTTP、FTP等多个Internet协议在内的通信提供病毒保护，同时扫描有恶意的Java和ActiveX小程序。 TVD的WebShield安装在网关上实现上述功能。 (3)桌面的保护 企业在把防病毒策略放在保护服务器和网关的同时，还要注意到50%的病毒仍通过软盘进入企业网络。所以要在所有桌面机上安装桌面防病毒软件，实现桌面保护功能。 McAfee VirusScan是一个优秀的杀毒软件，它能够扫描包括引导区、文件分配表、分区表、软盘、文件夹、压缩文件在内的所有系统区域；并具有先进的实时扫描技术在磁盘访问、文件复制、程序执行、系统启动和关闭时捕获病毒，提供桌面的在线保护；同时还能够防止恶意Java、ActiveX小程序对网络用户的损害，防止病毒通过Internet下载。 2. 企业级管理 McAfee TVD拥有一个功能强大的管理工具，可以从控制中心管理企业范围内的反病毒安全机制，具有集中管理、分发和警告的功能。管理员可以使用控制台将软件升级版和更新信息迅速传至企业内部的所有客户机和服务器上；或者可制订计划，使PC、服务器自动从指定的中央服务器提取更新信息使自己保持为最新。 安全解决方案如图2所示。 有关NAI公司的McAfee TVD的介绍，请见《附录2：McAfee TVD套件》。 （图2） 四、Internet互连安全解决方案 在大型网络系统与Internet互连的第一道屏障就是防火墙。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。 防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的应用级网关和代理服务器统称为代理服务器。 1．包过滤路由器存在的弱点 包过滤即IP包过滤，虽简单方便，但包过滤路由器存在许多弱点： (1)包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。 (2)实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则—禁止所有到达(Inbound)的端口23连接(telnet)，如果某些系统需要直接Telnet连接，此时必须为内部网的每个系统分别定义一条规则。 (3)某些包过滤路由器不支持TCP/UDP源端口过滤，可能使过滤规则集更加复杂，并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生的(>1023)，此时如果允许双向的SMTP连接，在不支持源端口过滤的路由器上必须定义一条规则：允许所有>1023端口的双向连接。此时用户通过重新映射端口，可以绕过过滤路由器。 (4)对许多RPC(Remote Procedure Call)服务进行包过滤非常困难。由于RPC的Listen口是在主机启动后随机分配的，要禁止RPC服务，通常需要禁止所有的UDP(绝大多数RPC使用UDP)，如此可能需要允许的DNS连接就会被禁止。 其连接方式通常如图3所示。 （图3） 2．应用网关的优点 为了解决包过滤路由器的弱点，防火墙要求使用软件应用来过滤和传送服务连接(如Telnet和Ftp)。这样的应用称为代理服务，运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。 应用网关的优点是： ·比包过滤路由器更高的安全性； ·提供对协议的过滤，如可以禁止FTP连接的Put命令； ·信息隐藏，应用网关为外部连接提供代理； ·健壮的认证和日志； ·节省费用，第三方的认证设备(软件或硬件)只需安装在应用网关上； ·简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。 因此，应用网关防火墙的安全特性远比包过滤型的防火墙高。 其连接方式通常如图4所示。 （图4） 3．防火墙的部署 根据网络系统的安全需要，可以在如下位置部署防火墙： (1)局域网内的VLAN之间控制信息流向时； (2)Intranet与Internet之间连接时； (3)在本系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，(通过公网ChinaPac, ChinaDDN, Frame Relay等连接)在总部和各分支机构连接时采用防火墙隔离，并利用GVPN构成虚拟专网。 (4)总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用Gauntlet　GVPN组成虚拟专网。 (5)在远程用户拨号访问时，加入虚拟专网。 有关NAI公司的Gaultlet的介绍，请见《附录3：Gauntlet的特点和优点》。 五、防黑客的安全解决方案 1．防火墙存在的安全漏洞 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙，网络安全还远远不够，这是因为： ·入侵者可寻找防火墙背后可能敞开的后门； ·入侵者可能就在防火墙内； ·由于性能的限制，防火墙通常不能提供实时的入侵检测能力。 2．入侵检测系统 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要，首先它能够对付来自内部网络的攻击，其次它能够阻止黑客的入侵。 入侵检测系统可分为两类： ·基于主机：用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用； ·基于网络：用于实时监控网络关键路径的信息。 3．采用CyberCop提供防黑客安全 CyberCop Intrusion Protection是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威胁的专用产品。 有关NAI公司的CyberCop的介绍，请见《附录4：CyberCop Intrusion Protection防黑客安全解决方案》。 六、相关软件报价 1．HP OpenView HP OpenView NNM Enterprise：$37390 HP OpenView NNM 250 Node：$10990 2．NAI McAfee TVD McAfee TVD 250 User：￥280000 3．NAI Gauntlet Active Firewall Gauntlet Active Firewall 250 User：￥275000 4．NAI CyberCop CyberCop Scanner 250 User：￥130000 CyberCop Monitor 250 User：￥150000 附录1：HP OpenView Network Node Manager 1．主要功能 ·能够自动发现网络设备，并提供显示网络实际连接状况的视图； ·能够持续地监控网络上新的设备和网络设备状态，并可以探测到位于广域网上的设备； ·能够迅速找到网络故障的根源，并协助网络管理人员进行网络增长的计划和网络变化的设计； ·能够通过Java Base的Web界面灵活访问网络拓扑及网管数据，实现了从WWW的任何地点进行数据管理的能力； ·适合于任何规模的网络管理，既可以作为一个独立的网络管理站操作，也支持分布式体系结构，提供集中控制与分散执行； ·允许公司运用广泛的第三方解决方案扩展其网络的可管理性。 HP OpenView NNM可以安装在Windows NT、Sun Solaris、HP-UX三种操作系统平台上，能够发现网络上的TCP/IP、IPX和Level-2设备。 2．NNM的两种实施方式 ·集中式NNM：是在网络系统中建立一个全面负责管理所有网络资源的网管中心，该方法容易实现且操作简单；但如果网络规模较大或网络规模扩大，网络上所有网管轮询(Polling)和网管信息量增大，集中式NNM管理中心可能成为网络系统的瓶颈，并且网络管理信息流导致网络可用带宽的减少。 ·分布式NNM：是按层次、区域建立多个网管中心，分别负责管理不同区域和不同层次的网络资源，不同网管中心相互配合共同完成网络系统的管理，顶端网络中心只管理第二级网管中心和两级之间的网络连接，第二层网管中心分区域管理下属的网络资源。该方式克服了集中式NNM的缺点，网络的分布区域可以很广，且效率较高。 附录2：McAfee TVD套件 NAI作为全球反病毒解决方案的领导者，提供的McAfee TVD套件，就是一个综合的企业反病毒安全与管理方案，它具有以下显著特点： ·最广泛的多级进入点保护：TVD提供了桌面，服务器和Internet网关的单一集成的防病毒系统，对所有潜在的病毒进入点实行全面保护。TVD由三种安全产品套件组成：VSS(VirusScan Security Suite)套件，提供对所有桌面客户机的多平台保护；NSS(NetShield Security Suite)套件，保护所有文件，应用程序和群件服务器；ISS(Internet Security Suite)套件，在网关上锁住病毒和有敌意的Java、ActiveX程序。 ·100%的病毒检测率：NAI的防病毒软件在多个独立的实验室测试中多次获得检测不明病毒100%的认证。拥有专利权的启发式技术可以精确地检测到新的病毒。 ·强有力的服务与研究支持：NAI在全球六大洲拥有由近百名病毒研究专家组成的反病毒紧急响应小组，为用户提供7x24小时的专业服务与支持。在平时，NAI的Web站点上每小时(敏感期每10分钟)更新一次病毒特征文件，以使用户在最短的时间内杀灭新发现的病毒。 ·完善的企业级管理能力：中央控制台集中配置与管理模式，使您的企业网络更加高效，更易管理。 ·独特的病毒更新能力：当更新信息从实验室发布时，NAI惊人的企业“推送”(SecureCast)技术立即将其送达系统管理员。通过自动更新(AutoUpdate)，桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。 McAfee TVD防病毒软件支持所有主流的操作系统，包括Windows NT、UNIX(包括HP-UX、Sun Solaris、IBM AIX、SGI IRIX、SCO UNIXWARE、LINUX等)、Novell Netware、IBM OS/2等，并支持Microsoft Exchange、Lotus Notes等群件服务器的防病毒。 附录3：Gauntlet的特点和优点 Gauntlet使用完全的代理服务方式提供广泛的协议支持及高速的吞吐能力(70Mb/s)，很好地解决了安全、性能及灵活性的协调。由于完全使用应用层的代理服务，Gauntlet提供了该领域最安全的解决方案，从而对访问的控制更加细致。其特点和优点如下： ·动态安全性集成技术允许集中式的策略管理和整个事件管理系统中的事件的相互通信； ·自适应代理技术在应用网关防火墙中可以提供信息包过滤器的高速度； ·支持多处理器技术提高了防火墙性能； ·NetMeeting代理提供视频会议、新闻、公众事件和广播会议的安全实时访问； ·SQL代理通过防火墙安全访问MS、Oracle和Sybase数据库； ·内容安全性可以保护机构免受系统数据遭到来自Internet的威胁，如Internet病毒，恶意Java、ActiveX代码。 附录4：CyberCop Intrusion Protection防黑客安全解决方案 CyberCop Intrusion Protection是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威胁的专用产品。 1．CyberCop Scanner 为找出网络上的脆弱环节，CyberCop Scanner提供主动的安全性扫描和解决问题的现场解决建议，具体特性如下： ·全面的扫描工具可以发现系统和网络的脆弱环节，并且提供了可执行的总结报告与挖掘报告选项； ·独特的跟踪器信息包防火墙测试提供了详细的防火墙/路由器审计； ·自动升级功能保持扫描引擎、扫描检测和脆弱性数据库处于当前最新状态； ·提供入侵检测监控测试校验系统和网络动态监测器的功能。 2．CyberCop Monitor CyberCop Monitor的实时入侵检测为关键任务系统提供全面保护。它是拥有多层监控结构的实时检测代理。基于主机的信息量分析、系统事件和提供双倍保护的独立方案的日志文件一起受到监控。其特性为： ·多层的检测结构支持高速交换网络； ·中央控制台具有易于使用的图形界面的配置和策略设置功能； ·独立的监控代理技术提供局部响应和报警选项； ·报告组合特点压缩了攻击性登录被拒绝的数据； ·采用趋势分析选项可以进行逐个系统监控和扫描信息的报告整理； ·自动升级功能将监控器引擎、检测特征与攻击数据库保持当前最新状态； ·与Gauntlet防火墙相集成作为Active Security结构组件。 3．CyberCop Sting和CASL用假目标服务器技术与先进的自定义审查工具提高了检测功能，这样做不仅保护了企业的数据与资源，还保护了企业的声誉。 　　摘自《软件世界》　翟胜强 /文