用戶網(wǎng)絡(luò)現(xiàn)狀
岳陽紙業(yè)是湖南省下的一家大型企業(yè),公司根據(jù)自身業(yè)務(wù)的特點(diǎn)組建了內(nèi)部基于三層交換的局域網(wǎng)和廣域網(wǎng)。內(nèi)部局域網(wǎng)以CISCO6509為交換中心,組成三層交換千兆以太網(wǎng),并根據(jù)業(yè)務(wù)需求,在部門間進(jìn)行了VLAN劃分。在廣域網(wǎng)的連接上,通過防火墻及VPN,寬帶直連Internet。另外,準(zhǔn)備通過CISCO3640路由及專線與遠(yuǎn)程集團(tuán)網(wǎng)絡(luò)連通。
公司內(nèi)部的計(jì)算機(jī)主要分布在樓各辦公室和廠區(qū),約200臺(tái),中心機(jī)房共9臺(tái)服務(wù)器和小型機(jī),主要負(fù)責(zé)提供企業(yè)內(nèi)部辦公文件服務(wù)、數(shù)據(jù)服務(wù)。內(nèi)網(wǎng)PCSERVER主要以Microsoft Windows NT4.0及Microsoft Windows 2000 Server為服務(wù)器。未采用主域控制方式,采用DHCP,WINS方式進(jìn)行IP分配及主機(jī)解析。安裝有Lotus Domino, Lotus Sametime,SQLServer 2000,SQLServer97,用友財(cái)務(wù)及相關(guān)MS服務(wù)應(yīng)用(如IIS等)。小型機(jī)采用HPUNIX 11.0作為OS平臺(tái),提供ORACLE數(shù)據(jù)庫及IAS服務(wù)。內(nèi)部個(gè)人工作站的操作系統(tǒng)主要是:Windows 98, Windows 2000,Windows XP等。
安全需求
岳陽紙業(yè)在組建的公司網(wǎng)絡(luò)上,根據(jù)自己的業(yè)務(wù)需求,已經(jīng)在網(wǎng)絡(luò)出口處布置了防火墻,并在防火墻上布置了VPN功能,通過這種設(shè)計(jì)對(duì)公司內(nèi)部局域網(wǎng)起了一定的保護(hù)作用,可以保證數(shù)據(jù)傳輸?shù)谋C馨踩蛢?nèi)部網(wǎng)不受外部用戶的攻擊。但是,防火墻只是一種簡單的安全防護(hù)技術(shù),對(duì)網(wǎng)絡(luò)上其它的威脅和破壞無能為力,因此,為了更好更安全地保護(hù)公司的整個(gè)網(wǎng)絡(luò)和資源,岳陽紙業(yè)的管理人員提出新的安全需求:
第一、對(duì)內(nèi)部的網(wǎng)絡(luò),特別是服務(wù)器有更高的安全需要,必須能夠?qū)崟r(shí)、動(dòng)態(tài)檢測這些服務(wù)器的狀況,對(duì)攻擊事件要能及時(shí)響應(yīng)和報(bào)警。
第二、對(duì)公司內(nèi)部的所有服務(wù)器和工作站提供病毒防范和查殺機(jī)制,能及時(shí)發(fā)現(xiàn)病毒并殺死病毒。同時(shí)在病毒防范的布置上能滿足:實(shí)現(xiàn)統(tǒng)一的集中管理控制功能;提供殺毒引擎及病毒代碼的升級(jí)更新的實(shí)現(xiàn);對(duì)Lotus Domino進(jìn)行安全防護(hù);對(duì)遠(yuǎn)程用戶安裝和升級(jí)支持;能提供網(wǎng)關(guān)級(jí)的病毒防護(hù)等。
解決方案
根據(jù)岳陽紙業(yè)的網(wǎng)絡(luò)運(yùn)營情況和具體業(yè)務(wù)要求,我們經(jīng)過比較,最終采用了瑞星的整體解決方案:
在岳陽紙業(yè)內(nèi)部網(wǎng)數(shù)據(jù)服務(wù)器所的VLAN中,布置一臺(tái)RIDS-100入侵檢測系統(tǒng),實(shí)時(shí)檢測網(wǎng)絡(luò)安全狀況,防止內(nèi)部網(wǎng)被非法的用戶攻擊,同時(shí),在郵件服務(wù)器上安裝郵件監(jiān)控的網(wǎng)關(guān)監(jiān)控軟件,在內(nèi)部的所有計(jì)算機(jī)都統(tǒng)一安裝瑞星網(wǎng)絡(luò)版殺毒軟件的客戶端程序,實(shí)現(xiàn)全網(wǎng)的病毒防范體系,防止病毒在網(wǎng)上復(fù)制和傳播。
方案解析
一、防毒
岳陽紙業(yè)網(wǎng)絡(luò)系統(tǒng)中運(yùn)行有HP UNIX、Windows NT/2000服務(wù)器、Windows NT/2000工作站、Windows XP/98客戶端、Lotus Domino郵件服務(wù)器等多種操作系統(tǒng)和服務(wù),多種平臺(tái)的存在,對(duì)病毒防范體系的穩(wěn)定性和可靠性提出了更高的要求。為此,我們同時(shí)布置了瑞星網(wǎng)絡(luò)殺毒軟件與瑞星郵件監(jiān)控殺毒軟件(網(wǎng)關(guān)型)兩套不同的病毒防范軟件。
?。ㄒ唬┤鹦蔷W(wǎng)絡(luò)版殺毒軟件
瑞星殺毒軟件整個(gè)防病毒體系由四個(gè)相互關(guān)聯(lián)的子系統(tǒng):系統(tǒng)中心、服務(wù)器端、客戶端、控制臺(tái)組成。每一個(gè)子系統(tǒng)均包括若干不同的模塊,除承擔(dān)各自的任務(wù)外,還與另外子系統(tǒng)通訊,協(xié)同工作,共同完成對(duì)網(wǎng)絡(luò)的病毒防護(hù)工作。
系統(tǒng)中心 :系統(tǒng)中心是整個(gè)瑞星網(wǎng)絡(luò)防病毒系統(tǒng)的信息管理和病毒防護(hù)的自動(dòng)控制核心。它實(shí)時(shí)地記錄防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、檢測和清除信息。同時(shí),根據(jù)控制臺(tái)的設(shè)置,實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。其他子系統(tǒng)只有在系統(tǒng)中心工作后,才可實(shí)現(xiàn)各自的網(wǎng)絡(luò)防護(hù)功能。它必須先于其它子系統(tǒng)安裝到符合條件的服務(wù)器上。