科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换网络终结内网安全管理难题

网络终结内网安全管理难题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 广州市水利水电勘测研究院是一家政府单位,一直以来对网络的管理十分重视。单位有十分专业的网络维护人员,负责单位整个网络的维护,保证其正常运行。然而,最近一年来遇到了十分棘手的问题,网络时常出现掉线、卡滞,网络常出现速度慢,甚至“罢工”。面对这样的问题,负责网络服务的某系统集成商也是焦头烂额,无计可施,只能是遇到问题后及时赶到,拔网线、抓包、重启路由器……

来源:chinaitlab 2010年2月2日

关键字: 企业内部网 网络管理

  • 评论
  • 分享微博
  • 分享邮件

  网络安全顽疾

  广州市水利水电勘测研究院是一家政府单位,一直以来对网络的管理十分重视。单位有十分专业的网络维护人员,负责单位整个网络的维护,保证其正常运行。然而,最近一年来遇到了十分棘手的问题,网络时常出现掉线、卡滞,网络常出现速度慢,甚至“罢工”。面对这样的问题,负责网络服务的某系统集成商也是焦头烂额,无计可施,只能是遇到问题后及时赶到,拔网线、抓包、重启路由器……

  为了解决这个问题,单位网管主任和集成服务的技术人员也在一直查找分析问题原因,找到了一些导致网络不稳定的因素,总结下来主要为:

  内网网络病毒攻击较多,网管通过ARP工具查看,发现ARP攻击频繁。DDOS、超大Ping等攻击频频来袭,但是无法查找攻击所在的具体网络位置,更提不上重做系统了。原以为使用了某品牌24口交换机划分VLAN,阻隔网络风暴,但效果不明显。

  广州市水利水电勘测研究院网络维护主任经他人咨询、查阅资料,了解到自己的问题关键在于未能解决网络的基础稳定问题,没有基础稳定的管理就是空谈。而欣全向的免疫网络解决方案是专业针对内网安全管理的,无论从技术架构、策略,还是方案可行性上都很有特色,保证网络基础稳定运行的,这正是一切企业网络能使用,应用管理的前提,所以决定一试。

  免疫网络实施

  欣向广州分公司技术工程师为广州市水电勘测研究院免疫网络升级提供了上门体验服务,专业的工程师有条不紊的进行着免疫网络升级。

  网络结构的优化

  首先,是对即将升级的网络进行网络结构分析,优化网络基础组建结构,进行了以下因素的考虑:

  1、 IP管理:除客人、会议室等网络特殊应用可保留DHCP的IP方式外,其余电脑尽量使用固定IP,这样IP和网络使用者一一对应,网络规范、清晰,网络管理直截了当。

  2、 VLAN划分:网络出于信息安全的考虑,部分企业将机要部门的网络同其它网络划分了VLAN,免疫运营中心服务器需接在公共VLAN端口,保证对全网的监控管理。

  3、 其它:查看网络连接,拓扑结构上不合理的部分进行调整。

  运营服务器配置

  在指定的服务器电脑上,进行免疫运营服务器的软件安装,使用免疫墙路由器随机附带的光盘,安装免疫墙路由器运营中心,只需按照安装提示“下一步”,逐步完成。免疫驱动下载服务和运营中心便安装到服务器主机上了。

  接入部分参数设定

  进行免疫墙路由器设置,完成路由器更换前的设置工作,通过随机附带的光盘中的配置软件登录免疫墙路由器进行路由器参数设置:

  设定路由器WAN口参数,修改LAN口IP为所在网络默认网关IP;这样,连接好路由器WAN口LAN口线路免疫墙路由器即可实现简单的上网功能;

  设备更换升级

  完成以上部分准备,就可以将免疫墙路由器接入实际网络,进行设备升级更换了。设备更换过程会有3-5分钟的网络中断。

  1、 撤下网络中原有的路由器,更换为欣向免疫墙路由器,将电源、LAN、WAN的网线对应的连接到免疫墙路由器上,打开免疫墙路由器电源开关。

  2、 将运营服务器的网卡连接到局域网交换机上,如果交换机上设定有基于端口的VLAN,须将运营服务器接到交换机公共VLAN的端口。

  启动免疫模式

  在任意一台内网电脑上运行配置软件,以普通模式登陆免疫墙路由器,打开工作模式功能,勾选上“切换为免疫墙模式”,填入安装运营中心的服务器的网卡IP,点击“测试”按钮,测试成功后,点击“切换”,将路由器切换为免疫墙模式,启动免疫网络管理状态。

  免疫策略设定

  启动免疫模式后,需要进行免疫安全选项设置,进行免疫驱动的强制安装和免疫安全管理策略的设定。

  1、 免疫墙路由器对网络的安全管理是通过分组管理进行的,对内网IP进行分组,划分的原则可以依据企业的不同部门、上网权限、不同带宽、不同区域等。

  2、 基于做好的分组,进行是否强制安装免疫驱动的设定,在“分组管理”->“分组策略”中,选定相应分组,在其“免疫驱动校验”中选择“校验”,这样该分组中的所有电脑不安装免疫驱动不能上网。

  这样,该分组的电脑进行网络访问时就会跳转到服务器上的下载服务页面,进行免疫驱动的下载安装。

  3、 基于做好的分组,还要进行免疫驱动安全策略的设定,在“免疫安全选项”中设定该分组的虚假IP、IP分片、内网上传/下载、公网上传/下载、ARP探询/应答、大Ping包、公网/内网TCP SYN等网络攻击防护参数。

  完成以上操作后,一会儿系统监控中就显示有些电脑发送ping包过多、IP欺骗、MAC地址欺骗之类的攻击拦截信息,网管主任看到吓了一跳。免疫监控中心通过自动安装的终端每一台电脑上的免疫驱动,监控到了所有的内网主机,一个个绿色的监控图标不断增加,欣向的工程师专门提到:“现在内网攻击远多于外网,内网攻击危害也要更大,免疫墙技术从网络每一个终端控制,从协议底层进行攻击数据的拦截报警,这样才能彻底保证网络的安全稳定运行”。

  免疫网络监控中心

  实施欣全向免疫网络解决方案后,广州水利水电勘测研究院的网络终于告别的掉线、卡滞对企业办公的影响。取而代之的是监控中心不断提示内网各种攻击的拦截报警。拓展到网络的最末端、深入到协议的最底层、盘查到外网的出入口、总揽到内网的最全貌的免疫网络方案真正是对症下药,解决了困扰集成商和企业很久的网络安全稳定问题。

  免疫网络之所以能解决网络安全稳定问题,是因为其通过在组网架构的基础上,实施免疫网络解决方案,以达到对各种网络应用进行稳定支撑和管理的目的,彻底解决当前企业使用普通网络出现各种网络攻击、网络卡滞、掉线问题,全面提高企业网络使用效率。免疫网络解决方案是由内网通讯协议(欣全向专利)、免疫安全运营中心、终端免疫驱动、攻击防护策略、免疫监控中心和相关硬件设备等部分组成的一套完整的内网管理方案。

  免疫墙路由器是欣向将免疫墙技术置于路由器而实现免疫网络的成本最低,最简易的方式。欣向工程师还透漏,作为目前唯一专业进行内网安全管理的免疫网络方案将添新的免疫网关系列产品,免疫网关具有专业的服务器平台和接入模块,性能更高、管理更集中、能更加彻底、高效的发挥免疫网络解决方案对内网的安全管理,特别适合系统集成项目和中大型企业用户的网络安全保障,彻底解决长期困扰他们的网络安全稳定问题。

  广州市水利水电勘测研究院的网络问题只是广大企业用户网络安全稳定问题中的一个缩影,解决网络稳定问题,必须从以太网协议漏洞管理入手、从内网每一个终端的彻底控制入手!升级高处理性能的网络设备、增加接入带宽、进行网络应用管理等都是治标不治本,没有彻底的对网络基础架构的安全保证方案,永远不能彻底解决网络问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章