用戶網(wǎng)絡(luò)現(xiàn)狀
岳陽紙業(yè)是湖南省下的一家大型企業(yè),公司根據(jù)自身業(yè)務(wù)的特點組建了內(nèi)部基于三層交換的局域網(wǎng)和廣域網(wǎng)。內(nèi)部局域網(wǎng)以CISCO6509為交換中心,組成三層交換千兆以太網(wǎng),并根據(jù)業(yè)務(wù)需求,在部門間進(jìn)行了VLAN劃分。在廣域網(wǎng)的連接上,通過防火墻及VPN,寬帶直連Internet。另外,準(zhǔn)備通過CISCO3640路由及專線與遠(yuǎn)程集團(tuán)網(wǎng)絡(luò)連通。
公司內(nèi)部的計算機(jī)主要分布在樓各辦公室和廠區(qū),約200臺,中心機(jī)房共9臺服務(wù)器和小型機(jī),主要負(fù)責(zé)提供企業(yè)內(nèi)部辦公文件服務(wù)、數(shù)據(jù)服務(wù)。內(nèi)網(wǎng)PCSERVER主要以Microsoft Windows NT4.0及Microsoft Windows 2000 Server為服務(wù)器。未采用主域控制方式,采用DHCP,WINS方式進(jìn)行IP分配及主機(jī)解析。安裝有Lotus Domino, Lotus Sametime,SQLServer 2000,SQLServer97,用友財務(wù)及相關(guān)MS服務(wù)應(yīng)用(如IIS等)。小型機(jī)采用HPUNIX 11.0作為OS平臺,提供ORACLE數(shù)據(jù)庫及IAS服務(wù)。內(nèi)部個人工作站的操作系統(tǒng)主要是:Windows 98, Windows 2000,Windows XP等。
安全需求
岳陽紙業(yè)在組建的公司網(wǎng)絡(luò)上,根據(jù)自己的業(yè)務(wù)需求,已經(jīng)在網(wǎng)絡(luò)出口處布置了防火墻,并在防火墻上布置了VPN功能,通過這種設(shè)計對公司內(nèi)部局域網(wǎng)起了一定的保護(hù)作用,可以保證數(shù)據(jù)傳輸?shù)谋C馨踩蛢?nèi)部網(wǎng)不受外部用戶的攻擊。但是,防火墻只是一種簡單的安全防護(hù)技術(shù),對網(wǎng)絡(luò)上其它的威脅和破壞無能為力,因此,為了更好更安全地保護(hù)公司的整個網(wǎng)絡(luò)和資源,岳陽紙業(yè)的管理人員提出新的安全需求:
第一、對內(nèi)部的網(wǎng)絡(luò),特別是服務(wù)器有更高的安全需要,必須能夠?qū)崟r、動態(tài)檢測這些服務(wù)器的狀況,對攻擊事件要能及時響應(yīng)和報警。
第二、對公司內(nèi)部的所有服務(wù)器和工作站提供病毒防范和查殺機(jī)制,能及時發(fā)現(xiàn)病毒并殺死病毒。同時在病毒防范的布置上能滿足:實現(xiàn)統(tǒng)一的集中管理控制功能;提供殺毒引擎及病毒代碼的升級更新的實現(xiàn);對Lotus Domino進(jìn)行安全防護(hù);對遠(yuǎn)程用戶安裝和升級支持;能提供網(wǎng)關(guān)級的病毒防護(hù)等。
解決方案
根據(jù)岳陽紙業(yè)的網(wǎng)絡(luò)運營情況和具體業(yè)務(wù)要求,我們經(jīng)過比較,最終采用了瑞星的整體解決方案:
在岳陽紙業(yè)內(nèi)部網(wǎng)數(shù)據(jù)服務(wù)器所的VLAN中,布置一臺RIDS-100入侵檢測系統(tǒng),實時檢測網(wǎng)絡(luò)安全狀況,防止內(nèi)部網(wǎng)被非法的用戶攻擊,同時,在郵件服務(wù)器上安裝郵件監(jiān)控的網(wǎng)關(guān)監(jiān)控軟件,在內(nèi)部的所有計算機(jī)都統(tǒng)一安裝瑞星網(wǎng)絡(luò)版殺毒軟件的客戶端程序,實現(xiàn)全網(wǎng)的病毒防范體系,防止病毒在網(wǎng)上復(fù)制和傳播。
方案解析
一、防毒
岳陽紙業(yè)網(wǎng)絡(luò)系統(tǒng)中運行有HP UNIX、Windows NT/2000服務(wù)器、Windows NT/2000工作站、Windows XP/98客戶端、Lotus Domino郵件服務(wù)器等多種操作系統(tǒng)和服務(wù),多種平臺的存在,對病毒防范體系的穩(wěn)定性和可靠性提出了更高的要求。為此,我們同時布置了瑞星網(wǎng)絡(luò)殺毒軟件與瑞星郵件監(jiān)控殺毒軟件(網(wǎng)關(guān)型)兩套不同的病毒防范軟件。
(一)瑞星網(wǎng)絡(luò)版殺毒軟件
瑞星殺毒軟件整個防病毒體系由四個相互關(guān)聯(lián)的子系統(tǒng):系統(tǒng)中心、服務(wù)器端、客戶端、控制臺組成。每一個子系統(tǒng)均包括若干不同的模塊,除承擔(dān)各自的任務(wù)外,還與另外子系統(tǒng)通訊,協(xié)同工作,共同完成對網(wǎng)絡(luò)的病毒防護(hù)工作。
系統(tǒng)中心 :系統(tǒng)中心是整個瑞星網(wǎng)絡(luò)防病毒系統(tǒng)的信息管理和病毒防護(hù)的自動控制核心。它實時地記錄防護(hù)體系內(nèi)每臺計算機(jī)上的病毒監(jiān)控、檢測和清除信息。同時,根據(jù)控制臺的設(shè)置,實現(xiàn)對整個防護(hù)系統(tǒng)的自動控制。其他子系統(tǒng)只有在系統(tǒng)中心工作后,才可實現(xiàn)各自的網(wǎng)絡(luò)防護(hù)功能。它必須先于其它子系統(tǒng)安裝到符合條件的服務(wù)器上。
