網(wǎng)絡(luò)安全頑疾

　　廣州市水利水電勘測(cè)研究院是一家政府單位，一直以來對(duì)網(wǎng)絡(luò)的管理十分重視。單位有十分專業(yè)的網(wǎng)絡(luò)維護(hù)人員，負(fù)責(zé)單位整個(gè)網(wǎng)絡(luò)的維護(hù)，保證其正常運(yùn)行。然而，最近一年來遇到了十分棘手的問題，網(wǎng)絡(luò)時(shí)常出現(xiàn)掉線、卡滯，網(wǎng)絡(luò)常出現(xiàn)速度慢，甚至“罷工”。面對(duì)這樣的問題，負(fù)責(zé)網(wǎng)絡(luò)服務(wù)的某系統(tǒng)集成商也是焦頭爛額，無計(jì)可施，只能是遇到問題后及時(shí)趕到，拔網(wǎng)線、抓包、重啟路由器……

　　為了解決這個(gè)問題，單位網(wǎng)管主任和集成服務(wù)的技術(shù)人員也在一直查找分析問題原因，找到了一些導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的因素，總結(jié)下來主要為：

　　內(nèi)網(wǎng)網(wǎng)絡(luò)病毒攻擊較多，網(wǎng)管通過ARP工具查看，發(fā)現(xiàn)ARP攻擊頻繁。DDOS、超大Ping等攻擊頻頻來襲，但是無法查找攻擊所在的具體網(wǎng)絡(luò)位置，更提不上重做系統(tǒng)了。原以為使用了某品牌24口交換機(jī)劃分VLAN，阻隔網(wǎng)絡(luò)風(fēng)暴，但效果不明顯。

　　廣州市水利水電勘測(cè)研究院網(wǎng)絡(luò)維護(hù)主任經(jīng)他人咨詢、查閱資料，了解到自己的問題關(guān)鍵在于未能解決網(wǎng)絡(luò)的基礎(chǔ)穩(wěn)定問題，沒有基礎(chǔ)穩(wěn)定的管理就是空談。而欣全向的免疫網(wǎng)絡(luò)解決方案是專業(yè)針對(duì)內(nèi)網(wǎng)安全管理的，無論從技術(shù)架構(gòu)、策略，還是方案可行性上都很有特色，保證網(wǎng)絡(luò)基礎(chǔ)穩(wěn)定運(yùn)行的，這正是一切企業(yè)網(wǎng)絡(luò)能使用，應(yīng)用管理的前提，所以決定一試。

　　免疫網(wǎng)絡(luò)實(shí)施

　　欣向廣州分公司技術(shù)工程師為廣州市水電勘測(cè)研究院免疫網(wǎng)絡(luò)升級(jí)提供了上門體驗(yàn)服務(wù)，專業(yè)的工程師有條不紊的進(jìn)行著免疫網(wǎng)絡(luò)升級(jí)。

　　網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化

　　首先，是對(duì)即將升級(jí)的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)分析，優(yōu)化網(wǎng)絡(luò)基礎(chǔ)組建結(jié)構(gòu)，進(jìn)行了以下因素的考慮：

　　1、 IP管理：除客人、會(huì)議室等網(wǎng)絡(luò)特殊應(yīng)用可保留DHCP的IP方式外，其余電腦盡量使用固定IP，這樣IP和網(wǎng)絡(luò)使用者一一對(duì)應(yīng)，網(wǎng)絡(luò)規(guī)范、清晰，網(wǎng)絡(luò)管理直截了當(dāng)。

　　2、 VLAN劃分：網(wǎng)絡(luò)出于信息安全的考慮，部分企業(yè)將機(jī)要部門的網(wǎng)絡(luò)同其它網(wǎng)絡(luò)劃分了VLAN，免疫運(yùn)營中心億恩科技服務(wù)器需接在公共VLAN端口，保證對(duì)全網(wǎng)的監(jiān)控管理。

　　3、 其它：查看網(wǎng)絡(luò)連接，拓?fù)浣Y(jié)構(gòu)上不合理的部分進(jìn)行調(diào)整。

　　運(yùn)營億恩科技服務(wù)器配置

　　在指定的億恩科技服務(wù)器電腦上，進(jìn)行免疫運(yùn)營億恩科技服務(wù)器的軟件安裝，使用免疫墻路由器隨機(jī)附帶的光盤，安裝免疫墻路由器運(yùn)營中心，只需按照安裝提示“下一步”，逐步完成。免疫驅(qū)動(dòng)下載服務(wù)和運(yùn)營中心便安裝到億恩科技服務(wù)器主機(jī)上了。

　　接入部分參數(shù)設(shè)定

　　進(jìn)行免疫墻路由器設(shè)置，完成路由器更換前的設(shè)置工作，通過隨機(jī)附帶的光盤中的配置軟件登錄免疫墻路由器進(jìn)行路由器參數(shù)設(shè)置：

　　設(shè)定路由器WAN口參數(shù)，修改LAN口IP為所在網(wǎng)絡(luò)默認(rèn)網(wǎng)關(guān)IP;這樣，連接好路由器WAN口LAN口線路免疫墻路由器即可實(shí)現(xiàn)簡(jiǎn)單的上網(wǎng)功能;

　　設(shè)備更換升級(jí)

　　完成以上部分準(zhǔn)備，就可以將免疫墻路由器接入實(shí)際網(wǎng)絡(luò)，進(jìn)行設(shè)備升級(jí)更換了。設(shè)備更換過程會(huì)有3-5分鐘的網(wǎng)絡(luò)中斷。

　　1、 撤下網(wǎng)絡(luò)中原有的路由器，更換為欣向免疫墻路由器，將電源、LAN、WAN的網(wǎng)線對(duì)應(yīng)的連接到免疫墻路由器上，打開免疫墻路由器電源開關(guān)。

　　2、 將運(yùn)營億恩科技服務(wù)器的網(wǎng)卡連接到局域網(wǎng)交換機(jī)上，如果交換機(jī)上設(shè)定有基于端口的VLAN，須將運(yùn)營億恩科技服務(wù)器接到交換機(jī)公共VLAN的端口。

　　啟動(dòng)免疫模式

　　在任意一臺(tái)內(nèi)網(wǎng)電腦上運(yùn)行配置軟件，以普通模式登陸免疫墻路由器，打開工作模式功能，勾選上“切換為免疫墻模式”，填入安裝運(yùn)營中心的億恩科技服務(wù)器的網(wǎng)卡IP，點(diǎn)擊“測(cè)試”按鈕，測(cè)試成功后，點(diǎn)擊“切換”，將路由器切換為免疫墻模式，啟動(dòng)免疫網(wǎng)絡(luò)管理狀態(tài)。

　　免疫策略設(shè)定

　　啟動(dòng)免疫模式后，需要進(jìn)行免疫安全選項(xiàng)設(shè)置，進(jìn)行免疫驅(qū)動(dòng)的強(qiáng)制安裝和免疫安全管理策略的設(shè)定。

　　1、 免疫墻路由器對(duì)網(wǎng)絡(luò)的安全管理是通過分組管理進(jìn)行的，對(duì)內(nèi)網(wǎng)IP進(jìn)行分組，劃分的原則可以依據(jù)企業(yè)的不同部門、上網(wǎng)權(quán)限、不同帶寬、不同區(qū)域等。

　　2、 基于做好的分組，進(jìn)行是否強(qiáng)制安裝免疫驅(qū)動(dòng)的設(shè)定，在“分組管理”->“分組策略”中，選定相應(yīng)分組，在其“免疫驅(qū)動(dòng)校驗(yàn)”中選擇“校驗(yàn)”，這樣該分組中的所有電腦不安裝免疫驅(qū)動(dòng)不能上網(wǎng)。

　　這樣，該分組的電腦進(jìn)行網(wǎng)絡(luò)訪問時(shí)就會(huì)跳轉(zhuǎn)到億恩科技服務(wù)器上的下載服務(wù)頁面，進(jìn)行免疫驅(qū)動(dòng)的下載安裝。

　　3、 基于做好的分組，還要進(jìn)行免疫驅(qū)動(dòng)安全策略的設(shè)定，在“免疫安全選項(xiàng)”中設(shè)定該分組的虛假IP、IP分片、內(nèi)網(wǎng)上傳/下載、公網(wǎng)上傳/下載、ARP探詢/應(yīng)答、大Ping包、公網(wǎng)/內(nèi)網(wǎng)TCP SYN等網(wǎng)絡(luò)攻擊防護(hù)參數(shù)。

　　完成以上操作后，一會(huì)兒系統(tǒng)監(jiān)控中就顯示有些電腦發(fā)送ping包過多、IP欺騙、MAC地址欺騙之類的攻擊攔截信息，網(wǎng)管主任看到嚇了一跳。免疫監(jiān)控中心通過自動(dòng)安裝的終端每一臺(tái)電腦上的免疫驅(qū)動(dòng)，監(jiān)控到了所有的內(nèi)網(wǎng)主機(jī)，一個(gè)個(gè)綠色的監(jiān)控圖標(biāo)不斷增加，欣向的工程師專門提到：“現(xiàn)在內(nèi)網(wǎng)攻擊遠(yuǎn)多于外網(wǎng)，內(nèi)網(wǎng)攻擊危害也要更大，免疫墻技術(shù)從網(wǎng)絡(luò)每一個(gè)終端控制，從協(xié)議底層進(jìn)行攻擊數(shù)據(jù)的攔截報(bào)警，這樣才能徹底保證網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行”。

　　免疫網(wǎng)絡(luò)監(jiān)控中心

　　實(shí)施欣全向免疫網(wǎng)絡(luò)解決方案后，廣州水利水電勘測(cè)研究院的網(wǎng)絡(luò)終于告別的掉線、卡滯對(duì)企業(yè)辦公的影響。取而代之的是監(jiān)控中心不斷提示內(nèi)網(wǎng)各種攻擊的攔截報(bào)警。拓展到網(wǎng)絡(luò)的最末端、深入到協(xié)議的最底層、盤查到外網(wǎng)的出入口、總攬到內(nèi)網(wǎng)的最全貌的免疫網(wǎng)絡(luò)方案真正是對(duì)癥下藥，解決了困擾集成商和企業(yè)很久的網(wǎng)絡(luò)安全穩(wěn)定問題。

　　免疫網(wǎng)絡(luò)之所以能解決網(wǎng)絡(luò)安全穩(wěn)定問題，是因?yàn)槠渫ㄟ^在組網(wǎng)架構(gòu)的基礎(chǔ)上，實(shí)施免疫網(wǎng)絡(luò)解決方案，以達(dá)到對(duì)各種網(wǎng)絡(luò)應(yīng)用進(jìn)行穩(wěn)定支撐和管理的目的，徹底解決當(dāng)前企業(yè)使用普通網(wǎng)絡(luò)出現(xiàn)各種網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)卡滯、掉線問題，全面提高企業(yè)網(wǎng)絡(luò)使用效率。免疫網(wǎng)絡(luò)解決方案是由內(nèi)網(wǎng)通訊協(xié)議(欣全向?qū)＠?、免疫安全運(yùn)營中心、終端免疫驅(qū)動(dòng)、攻擊防護(hù)策略、免疫監(jiān)控中心和相關(guān)硬件設(shè)備等部分組成的一套完整的內(nèi)網(wǎng)管理方案。

　　免疫墻路由器是欣向?qū)⒚庖邏夹g(shù)置于路由器而實(shí)現(xiàn)免疫網(wǎng)絡(luò)的成本最低，最簡(jiǎn)易的方式。欣向工程師還透漏，作為目前唯一專業(yè)進(jìn)行內(nèi)網(wǎng)安全管理的免疫網(wǎng)絡(luò)方案將添新的免疫網(wǎng)關(guān)系列產(chǎn)品，免疫網(wǎng)關(guān)具有專業(yè)的億恩科技服務(wù)器平臺(tái)和接入模塊，性能更高、管理更集中、能更加徹底、高效的發(fā)揮免疫網(wǎng)絡(luò)解決方案對(duì)內(nèi)網(wǎng)的安全管理，特別適合系統(tǒng)集成項(xiàng)目和中大型企業(yè)用戶的網(wǎng)絡(luò)安全保障，徹底解決長(zhǎng)期困擾他們的網(wǎng)絡(luò)安全穩(wěn)定問題。

　　廣州市水利水電勘測(cè)研究院的網(wǎng)絡(luò)問題只是廣大企業(yè)用戶網(wǎng)絡(luò)安全穩(wěn)定問題中的一個(gè)縮影，解決網(wǎng)絡(luò)穩(wěn)定問題，必須從以太網(wǎng)協(xié)議漏洞管理入手、從內(nèi)網(wǎng)每一個(gè)終端的徹底控制入手!升級(jí)高處理性能的網(wǎng)絡(luò)設(shè)備、增加接入帶寬、進(jìn)行網(wǎng)絡(luò)應(yīng)用管理等都是治標(biāo)不治本，沒有徹底的對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全保證方案，永遠(yuǎn)不能徹底解決網(wǎng)絡(luò)問題。