商场网络安全解决方案
XXXX商场
信息安全建设项目方案书
北京中辰华创科技有限公司
目录
第一:项目建设背景
XXXX商场是一家大型集团化公司,目前在yy进行规模化运营,是集品质购物、高端餐饮、休闲娱乐、体验观光于一体的一站式购物广场,将成为市民休闲购物娱乐的理想去处。随着业务的拓展和规模的扩大,商场信息化程度不断深入,随着而来的是
需要进行严格安全防护和管理,当前XXXX商场面临着新建和深化网络安全防护的任务,主要面临问题如下:
1、互联网出口安全威胁:商场内部员工办公安全保密管理以及外部顾客快捷接入安全管理,需要对统一的互联网出口进行安全访问控制以及外部入侵进行防护;
2、内部数据传输威胁:商场内部员工办公文件敏感信息安全防护,防止通过互联网通道如即时通讯、邮件等方式将内部商业信息传送;
3、移动存储介质威胁:商场内部员工移动存储介质如U盘、移动硬盘等使用缺乏管理,导致病毒交叉感染,数据传输缺乏监控;
4、病毒流窜安全威胁:商场病毒统一安全防护,在对终端计算机进行病毒防护、补丁修复,同时在网关出口进行统一的病毒过滤;
5、外来终端PC带来威胁:内部办公网经常有外来计算机随意接入内部网络,存在数据非法访问(非授权访问)和外来攻击威胁(如病毒、木马等);
6、IT运维管理威胁:商场有自有中心机房,核心交换机和各种应用服务器,同时,随着安全设备的部署,如何保证这些设备实时正常运行,需要建立集中的IT运维管理系统,对网络设备、服务器、安全设备进行统一的管理和运维监控。
第二:建设标准(等级保护二级)
本次安全系统建设,在满足商场办公环境的业务和安全基础上,按照公安机关等级保护要求进行网络性能、安全防护实施。计算机等级保护是针对基础网络、信息系统的安全运行和使用提出保护要求,在XXXX商场网络中,通过界定的使用人群、涵盖的应用系统,并保障商场信息管理外的正常办公所需,在此基础上购置相关资源,新建安全网络,新建或者升级主要应用系统,使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求;完善该网络相关安全保障体系和日常管理办法。
通过等级保护要求的建设实施,进一步提高商场基础网络和信息系统等级保护符合性要求,将整个网络系统的可用状况和安全状况提升到一个较高的水平,并尽可能地消除或降低系统的安全风险。等级保护二级技术建设要求
第三:XXXX商场安全防护需求
网络VLAN划分
通过使用VLAN,可以把物理意义上的一个网络划分成很多个逻辑意义上的子网,使网络的边界更加清晰。VLAN的出现使交换机承担网络的分段工作,而不再使用路由器来完成。各VLAN间是逻辑隔离的,相同VLAN内的主机间数据传输不会被其他VLAN 上的主机得到,因此减少了整个大网络内部各种相互攻击行为发生的可能性,增强了网络的安全性。另外各VLAN分属不同的广播域,限制了各种广播报文的流转,能够减少网络流量。
重要边界及出口安全防护
网络出口边界保护的有效控制措施包括防火墙、鉴别/访问控制等。有效的监督措施包括基于网络的入侵防护系统(IPS)、漏洞扫描、网关防病毒等。这些机制可以单独使用或结合使用,可以对边界内的各类系统提供保护。
防火墙是一种部署在不同安全域之间的高级访问控制设备,能根据制定好的安全策略控制不同安全域之间的访问行为。网络中使用防火墙将用户域和服务器域隔离开来,并制定相应的访问规则。服务器域分为安全管理域和应用服务域。安全管理域包括一些应用无关的服务器,如IDS、防火墙控制台等;应用服务域包括各应用服务器、数据库服务器等。
上网行为审计管理
在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措
施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
终端管理及移动存储介质管理
在日常的网络维护中,来自终端的安全威胁是最大的。终端任何不当甚至恶意的操作都可能对网络安全造成影响,因此必须对于终端的行为做出一定的控制。控制采用C/S方式进行,在服务器端发布安全策略,终端安装安全代理软件限制用户行为。可行的策略包括禁止网络文件共享,关闭主机的U口、COM口、串口,禁止终端安装软件,监控终端的拨号外联行为,监控终端的启动服务、运行进程等。终端的安全代理软件隐藏运行,当发现有不符合安全策略的行为发生时,按照规则做出反应。
重要服务器和用户终端的并口、串口、USB接口等数据接口以及软驱光驱等设备应该采取安全控制措施,防止被非授权使用。
网络出口访问速度
商场出口带宽目前仅仅有2个10M接入互联网,商场日常承载人数已到1000人/日,带宽已捉襟见肘,已无法满足顾客的正常应用体验,尤其是HTTP下载体验、WEB 视频观看体验、P2P下载体验,仅仅依靠出口扩容也不能完全解决用户体验问题
IT运维集中管理
机房中心拥有各种不同厂商、不同类型的设备,支撑着用户日常工作。面对如此庞杂的异构网络环境,维护网络设备、服务器数量众多、品牌众多,维护工作量太大;无法及时发现网络故障和系统故障原因;管理员无法整体掌控网络和系统运行情况;管理员无法掌控未来网络及系统运行的趋势;无法对维护人员的工作内容进行有效记录和考核;没有形成符合国际规范的运维管理制度体系等等。而这些问题将随着各类信息系统的建设进一步扩大并会产生新的维护管理问题,严重威胁着系统网络的稳健运行。
如何实现对全网进行全面、统一、准确、及时的管理,保障系统网络以及依系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。
第四:XXXX商场安全防护方案设计
针对XXXX商场现有网络结构现状,以及未来业务扩展需求,建立基本的商场网络安全防护和运维体系。基础网络信息安全防护体系包括:互联网出口安全网关(防火墙、IPS入侵防护、AV防病毒网关)、互联网上网行为管理、内网终端安全及移动存储介质管理、IT运维网络管理系统。通过上述四个系统的建设,能够基本满足XXXX商场现有安全管理需求。
XXXX商场网络安全防护体系示意图
互联网出口安全网关
1800S-H-V2多核安全网关是推出的的新一代多功能安全网关产品,它主要是面中小企业、网吧、酒店、政府机关等网络使用环境,1800S-H-V2安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,1800S-H-V2安全网关支持的如防ARP 欺骗、上网行为管理、带宽管理、多PPPOE链路捆绑和用户认证等诸多丰富的功能特性,让它成为了中小型网络安全部署的首选产品。1800S-H-V2安全网关提供5个GE接口,可充分满足中小型网络对于安全设备的接口使用需求。
1.1800S-H-V2安全网关拥有先进的安全防护功能,除具有高级状态检测包过滤技术
外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,1800S-H-V2的ALG功能还支持对FTP、HTTP、MS-RPC、、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。
2.1800S-H-V2安全网关采用基于硬件加速方案的高效专业防病毒引擎,结合会话流
智能病毒扫描技术,能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀,多核安全网关采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,并对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。
3.1800S-H-V2安全网关提供基于深度应用识别的入侵防御解决方案,能有效防范网
络中各种复杂的应用攻击,1800S-H-V2安全网关支持超过3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。
4.1800S-H-V2安全网关采用的多核MIPS处理器提供了强大的VPN加解密性能,在功
能上支持包括IPSec、GRE、SSL、L2TP等多种VPN业务,可提供包括星型VPN、动态VPN、速连VPN等诸多VPN组网技术及组网方案,1800S-H-V2安全网关的SSL VPN 支持用户名及USBkey双因素认证技术、单点登录技术、客户端安全完整性检查技术、主机绑定技术等,这些为客户端的远程接入提供了安全便捷的手段,此外,对于GRE的支持也为用户在VPN组网上提供了更多的选择。
5.1800S-H-V2安全网关具有丰富的2-7层应用识别能力和管控手段,可对网络中的
各种P2P、IM、网游、炒股及在线视频等众多应用进行管控,而且随着系统应用特
征库的升级可识别的应用种类和数量还将不断增加;1800S-H-V2安全网关内置了专业的URL分类过滤功能,它根据各网站提供的内容不同,将WEB站点分为40大类,其涵盖的WEB站点数量截至目前已超过2000多万,而且我们的URL分类库的种类和规模还在不断的升级更新。此外1800S-H-V2安全网关还提供网页内容过滤、邮件过滤、论坛发贴过滤等多种上网行为管理功能。
6.1800S-H-V2安全网关具有堪比专业流量整形设备的强大的流控功能,其支持在设
备各接口的上下行双方向上针对多种元素进行多级带宽控制,包括基于IP的流量整形、基于协议和应用的流量整形(支持的7层应用数量随特征库的更新不断增加)、基于认证用户的流量整形、按时间段控制流控策略的生效以及基于以上多种手段进行组合控制的流量整形。1800S-H-V2安全网关所拥有的丰富流量整形功能可为用户提供更加灵活的网络管理手段,同时也能为用户带来更加理想的网络使用体验。
7.1800S-H-V2安全网关拥有完善的路由特性,支持包括静态路由、ISP路由、策略路
由、动态路由(RIPv1&v2、OSPF、BGP);基于对多等价路由特性的支持还可以实现多种算法的多链路负载均衡功能;此外,基于二三四层的链路备份技术也为网络的稳定运行提供了有效的保障。
8.拥有完善的NAT处理机制,完美支持当前各种源或目的地址转换功能。领先的NAT
地址池端口复用技术,可使得单个IP最高可支持100万条NAT会话处理请求。在IPv4地址快要枯竭的今天,该技术可最大程度上为用户节约宝贵的IP地址资源。
9.1800S-H-V2安全网关独有DCSD防ARP欺骗机制,通过为网络中的客户端下发DCSD
防ARP欺骗客户端可彻底杜绝网络中的ARP欺骗问题发生,同时支持自动IP-MAC 绑定,防ARP攻击,反向ARP查询、DHCP Snooping等多种ARP安全防护手段。
互联网上网行为管理系统
高可靠性设计,硬件网络接口具备ByPass功能,系统故障时自动物理导通;采
用CF卡/DOM盘+硬盘的双系统设计,降低宕机风险;软件支持双击热备,支持
系统产生故障时自动从主机切换到备机
精准的协议分析,采用DPI和DFI相结合的技术
系统软件、应用协议库以及URL分类库实时在线更新
分角色管理设置,可对运维层和管理层授予不同管理权限
层进式管理设计,网络管理清晰明了
强大的URL分类库
DCBI-NETLOG集成了默认的URL分类库,总的域名达到近千万条,这些分类库是由公司组织专门的团队进行人工分类的,符合中国国情,分类结果较为准确。同时支持用户手动添加URL分类。
本土化应用及协议分类库
IM应用
MSN ICQ sina UT Sina UC
QQ2008彩虹
QQ2009
QQ2009网易POPO百度Hi飞信聊天淘宝旺旺Skype聊天
QQ2009GTalk AIM IRC Lava-Lava TeamSpeak DCBI-Netlog立足国内进行本土化开发,对网络主流应用和协议准确识别,为国内用户提供最及时、最准确的协议分类库。
IM应用识别:支持QQ不同版本、MSN、ICQ、网易POPO、飞信、淘宝旺旺、Skype、GoogleTalk、SinaUC、SinaUT、AIM、IRC、TeamSpeak等聊天软件的应用识别
文件传输:支持识别QQ文件传输、MSN文件传输文件、飞信文件传输、YaHoo文件传输、ICQ文件传输、FTP文件传输、TFTP文件传输、HTTP Download等文件传输应用
邮件识别:支持SMTP、POP3、IMAP邮件应用识别
流媒体识别:支持RTSP、RTMP、MMS、QuickTime、WMPlayer、RealPlayer等流媒体应用
Web-Mail识别:支持Sina、Sohu、163、21cn、263、Hotmail、eyou、Tom、126、Sogou、Hexun、QQ、139、Foxmail、Yeah、Gmail、天涯等WEB邮箱应用
股票软件识别:支持大智慧、钱龙、指南针、龙卷风、通达信、证券之星、湘财证券、大福星、分析家、文华财经、广发证券、国泰君安、股票之星、富远行情、行情眼、大有期货等股票应用及行情软件
网络游戏识别:支持魔兽世界、武林外传、梦幻西游、征途、梦幻诛仙、完美世界、劲舞团、船体、地下城与勇士、永恒之塔、穿越火线、QQ游戏、街头篮球等60余种网络游戏的应用识别
P2P应用识别:支持对BT、BitTorrent、BitComet、eDonkey、Emule、Vagaa、PPGou、WinMX、DirectConnect、SoulSeek、Xunlei、Ares、RaySource、Winny、Share、Maze、QQ旋风、PP点点通等30余种P2P及加密P2P应用
地下浏览识别:能够识别使用地下浏览软件逃避普通监管的网络行为,能够识别火凤凰、世界通、洋葱头、花园、自由门、无界、Socks4/5、TGate等代理软件。网络视频识别:能够识别PPStream、PPLive、QQLive、PPFilem、UUSee、STTV、MySee、TVKoo、TTLivw、MOP、BBSee、Sopcast、TVUPlayer、QVOD、PPGou、YouTube、新浪TV、酷6、优酷、迅雷看看、土豆视频、风行在线、网易视频、六间房、沸点、皮皮影视、日月、搜狐TV等多种网络视频应用
数据库应用识别:能够识别Oracke、Informix、SQL Server、DB2、Sybase、FireBird、Access、BerkleyDB、MySQL、Postgres SQL等数据库应用
远程连接识别:能够识别SSH、Telnet、Rlogin、Rsh、X11、RDP、VNC、PCAnywhere、远程桌面等远程连接应用
管理策略灵活
可基于IP地址、时间段、用户、部门、协议等实施监控。
灵活多样的审计、报警功能
可根据URL、关键字等进行自动审计,并可通过网页、邮件方式进行报警,也可以对web访问、邮件、下载等网络行为进行阻断。
完善的报表输出
报表输出是日志审计系统的重要功能,DCBI-NETLOG支持全局流量、流量-时间、时间趋势、上网TOP-N以及自定义的流量报表功能。
在线信息管理
DCBI-NETLOG支持对在线用户的实时监控,比如聊天用户监控,并对实时网络使用情况进行监控。
硬件参数
型号DCBI-NETLOG(200
) DCBI-NETLOG(
500)
DCBI-NETLOG(20
00)
DCBI-NETLOG(5
000)
规格尺寸1U 机架1U 机架2U 机架2U 机架
适用范围小型企业小型企业中型企业大中型企业
推荐并发
用户数
200 500 2000 5000
终端安全及移动存储介质管理
IT管理人员可以通过系统分析模块实时查看“系统事件信息”、“软硬件资产信息(CPU、内存、硬盘、操作系统和防病毒软件)”、“设备注册信息(注册设备、未注册设备和卸载设备的比例关系)”和“注册设备在线信息”。
用户可以对“系统事件信息”进行多种时间段的调取,包括:日、周、月、季度和自定义时间范围。
全网视图管理
DeskMaster除了提供了“全局配置”、“系统配置”、“注册管理”和“终端管理”之外,还通过自身访问控制和帐户控制功能加强了服务器端的安全防护,另外,系统自身强大的日志审计功能也是DeskMaster的亮点之一,如下图所示:
IT资产管理
DeskMaster的资产管理功能实现了对应用中的资产和备用资产的统一管理,以及资产使用过程中的资产维护,真正实现了无论是使用中的资产还是备用资产“履历”的记录和分析。
资产管理包含:注册和非注册设备资产信息,使用中资产的管理和备用资产的管理;
1.注册设备和非注册设备资产信息:
(1)注册设备基本信息:当前注册设备运行的操作系统类型和版本、内存和硬盘大小空间信息、个人注册信息、IP和MAC等
(2)注册设备软件信息:当前注册设备运行的应用软件类型和版本等详细资产信息
(3)注册设备硬件信息:当前注册设备各个部件的详细信息
(4)非注册设备信息:IP和MAC信息
2. 资产统计:包括软件资产分类、硬件资产、软件资产、IP资源统计和软硬件变更等,如下图所示:
用户行为管理
(一)用户上网行为审计、控制
1. 上网行为审计
可以按照特定后缀名(.html、.asp)对URL进行审计,并且提取文件标题,根据URL信息从URL库查找相应的归类,将这些信息上报中心服务器,IT管理员可以通过
数据分析平台很直观的了解到本企业的URL访问情况,比如某人在某时访问了体育类网站,某时访问了娱乐类网站,并且可以查看相应网站的标题。
2. 上网行为控制
可以定制基于URL类别的控制策略,灵活的控制某一类网址访问,简化了IT管理员的策略配置,使IT管理员可以灵活、有效的制定出相应的管理策略。
3. 邮件审计
可以灵活配置发送者和接收者的邮局地址,并且可以指定记录发送/接收的正文附件,并且将压缩后的邮件内容上报中心服务器,为日后审查提供数据依据,比如通过邮件泄露公司的机密信息的事件。
4. 邮件控制
可以设定全部禁止、而只允许本司的邮箱等相应管理策略,从而可以严格限制企业员工的滥发邮件,并由此导致机密信息的外泄。
5. FTP行为审计
可以定制相应审计策略详细记录某个ftp用户上传了什么文件,下载了什么文件,并且可以灵活的设置针对文件名或者文件内容的记录。
6. FTP行为控制
可以定制相应控制策略,灵活的控制对ftp的使用,比如禁止影音类文件的下载。
(二)本地文件审计
对终端访问本地的文件资源进行详细的审计,可以检测到该主机上“创建文件”、“删除文件”和“重命名”文件的操作。
(三)剪贴板审计
DeskMaster提供了对微软剪帖板内容的审计。
(四)光驱使用控制
DeskMaster通过下发光驱使用控制策略,可对终端的光盘读写(刻录)行为控制和记录。
(五)访问共享审计
对终端访问他人的网络共享资源进行详细的审计跟踪,可以检测到对某个IP主机的某文件夹读操作、写操作、修改操作,并且可以检测到对某文件的读操作、写操作、修改操作。
(六)打印审计、控制
对打印文件的名称、内容进行详细记录,可以有效监管企业员工对打印的使用。
(七)即时通讯审计
对主流的即时通讯软件进行侦听,对通讯信息进行及时查看和监督,对可能存在的涉密行为进行及时的阻止,便于对内网用户的通讯管理。
移动介质管理
移动介质的使用不当已经造成了越来越多的政府和企事业机密信息的泄露,造成了巨大的损失。人们对移动介质的管理的意识也越来越强,各单位也都加强了对移动介质管理的力度。DeskMaster采用了以下方法对移动介质进行管理。
1. 入网授权:移动存储在注册打标签之后,才能在内网中使用。
2. 人机绑定:通过制定移动存储的访问策略,将通过授权的移动存储的使用绑定到某个特定计算机上,达到专盘专机用的目的。
3. 人盘绑定:移动存储设备注册时,通过注册程序对移动存储打上标签,在移动存储上对用户信息进行记录,达到人盘绑定的效果。
4. 操作日志审计:通过在移动存储上建立专门的日志区,保证了移动存储在网内、网外的使用记录得到全面的记录。
5. 身份认证体系:通过审核的移动存储在网内使用时,需要通过身份认证才能正常的使用。移动存储不同的分区可以设置不同的身份认证密码。
6. 磁盘访问控制:对移动存储访问采用读写控制模式,从底层彻底杜绝了病毒和木马。通过策略对移动存储的访问模式进行控制,可对移动存储和终端主机中的重要数据进行保护。
桌面管理
(一)终端点对点控制
随着计算机网络规模的膨胀,几乎每个IT管理员都面临着众多工作终端的故障处理,并且疲于奔波于这些故障终端之间,其中大多数故障都是简单故障,只需IT管理员对其进行简单分析处理即可。
“终端点对点”是一个有效应对于简单问题处理的工具,可以从任何一个可以访问网络的主机来登陆DeskMaster网页平台,找到相应的故障终端,点击控制,网页会自动加载/下载“终端点对点”工具。
该工具从系统状态、进程管理、服务管理等三方面入手,对远程终端的基本运行状态进行了比较全面的动态分析展现。并且可以同时启动多个“终端点对点”,对某些重要的服务器的运行实时监控。比如:关键服务器的CPU、内存使用走势图,以及所运行的关键应用程序的CPU、内存使用走势图。
(二)进程执行控制
通过终端代理对本终端进程知识信息的采集上报,为IT管理员对本单位的进程运行许可策略的定制带来了便利,IT管理员可以根据对不同类别的进程制定相应的管理策略,比如对一些聊天性质的进程:QQ、MSN等进行禁止,从而规范对员工的管理,提高工作效率。并且还可以对某些关键服务器的应用进程进行保护,确保其在某一时间段内必须运行。
(三)服务执行控制
通过终端对本主机服务知识信息的采集,并且实时更新采集信息,将信息上报中心服务器。IT管理员可以依据终端的工作特性,制定相应的控制策略,比如将某些没有必要的、影响工作性能的、或者有安全隐患的服务禁止掉,并且可以对关键服务器的某些关键服务制定在某段时间必须运行的策略。
(四)文件分发
文件分发功能用于集中从管理端向客户端分发文件,考虑到文件大规模分发可能带来的网络拥塞问题,DeskMaster系统采用了自主研发的网络负载平衡数据传输技术,使多文件、大文件,在不影响网络质量的情况下尽可能快的分发到每个终端,为用户的文件共享资源的快速传播提供了便利。
(五)软件部署
DeskMaster系统的软件部署功能作为文件分发的一个补充,他的确从应用层面给IT管理员的软件安装部署工作代来充分便利,可以让安装软件的时间大大节省:单个软件安装时间 << 终端数x单个软件安装时间 = 总时间
(六)外设接口控制
可针对每个终端进行外设端口使用的授权,如允许或禁止USB存储设备的使用等。这些端口和设备类型包括USB存储设备、USB普通设备、Modem 拨号、无线通讯、红外、串口、并口(打印端口)、键盘鼠标、光驱、软驱和1394端口等,管理所有终端上的外围设备。
(七)网络接口管理
从制定策略时起,终端代理对本地网络接口配置进行存根,在日后的工作中,无论在线(连接本单位的中心服务器),还是离线(不能与本单位的中心服务器连接)。终端代理都可以严格执行IT管理员所制定的策略,可以对IP地址滥用、随意添加网络接口等进行有效控制。
IT运维网络管理
网络拓扑管理
网络拓扑管理用业界领先的,具有自主知识产权的智能拓扑生成算法,能够根据用户的实际网络情况,生成基于数据链路层的物理拓扑图和IP层的网络拓扑图。
在准确地发现拓扑结构的同时,系统的动态生成算法,也充分考虑到用户网络拓扑结构可能因为网络改造、设备调整等原因引起的拓扑结构发生变化,为用户提供了拓扑变更确认机制,并将网络拓扑的变化情况通过拓扑视图及时呈现,真正做到智能、动态的拓扑呈现。
通过形象的网络拓扑图,全面了解企业的网络结构,并对故障进行形象而精准的定位,各个网络设备的工作状态和流量信息在网络拓扑图上通过各种不同的颜色,来显示其性能负载情况。
图:物理拓扑视图
可视化的拓扑管理,自动生成实际网络拓扑图
支持多维度的拓扑视图生成,包括基于数据链路层的物理拓扑图和基于IP网络层的网络拓扑图;
支持管理与设定网络搜寻、制作拓朴图与设备软硬件信息;
排序与显示网络设备信息,如设备类别、设备列表、网络图、网段链接、与虚拟环境信息;
支持设备类型的分类展示;
强大的拓扑发现引擎
支持动态扫描技术,可以及时、准确的发现网络拓扑结构;
提供数据链路层和IP网络层的数据扫描,真实再现网络中的VLAN和IP网段互联信息;
支持多种Spanning Tree协议和Bridge Port的扫描算法。
支持拓扑视图自定义
支持基于管理地域的拓扑显示;
图:拓扑视图
设备性能管理
系统对于监控对象,提供层次化的性能指标监控策略,用户可以根据自己的管理需求,灵活定义不同监控阀值所产生的告警级别,更好、更精确地掌握设备负荷情况;同时网络设备的管理可以通过实时性能分析工具查看当时设备的实时负载情况,可方便管理员进行有效管理。
端口流量趋势可以根据指定端口进行流量的趋势分析随时记录入流量,与出流量示数,端口的管理状态、接口发送/接收速率等信息,根据开始时间和结束时间查询指定时间段的流量分析,实时监控网络指定端口的带宽。
图:端口流量显示
在下图可以看见出,入流量每一小时时间的实时分析记录带宽信息
图:入流量显示表
图:出流量显示表
网络安全设备管理
通过系统性能管理,系统自动定时轮询采集被管网络安全设备的性能数据,以图形的方式展现性能指标,并可根据用户需求来定义监测指标,可监测的性能指标有:
设备的CPU负载;
设备的内存利用率;
设备各接口的I/O流量,进行bit/s、byte/s、和Packs/s统计,区分入流量及出流量;
设备接口丢包率和错包率;
设备接口到对端的丢包率和网络延迟;
设备接口的利用率;
设备的端口流量;
设备的端口速率;
指定链路的延迟、可用带宽
同时支持通过SNMP Trap/Syslog方式,对设备日志信息进行基于告警规则的关联分析,快速定位故障。
真实设备面板
依托网络管理模版特有的面板管理引擎,系统可以准确生成所有模块和非模块网络设备的真实面板图,并在设备面板图上真实、实时地显示设备及其各端口状态信息。
图:模块网络设备面板呈现
图:非模块设备面板
设备配置备份
设备配置备份功能是通过SNMP、TELNET两种备份类型对不同厂商和不同设备类型的网络设备进行备份,这样使用户通过多种策略对设备进行自定义的备份来防止数据的丢失,为设备的性能检测与对照提供依据。
按设备进行配置备份
设备配置备份支持二层交换机、三层交换机、路由器等网络设备进行备份:
图:设备按品牌配置备份
按厂商进行配置备份
支持Cisco、华为、网神、Netscreen、Airespace等跨平台设备进行配置有效备份:
图:设备按类型配置备份
设备配置备份策略
备份策略根据SNMP、TELNET的类型进行周期的选择如每天、每周、每月来自动或手动备份指定网络设备;同时以网页的形式查看与导出设备备份的信息,对不需要的信息可以自行删除。
当配置修改不成功的时候提供配置备份、回滚的功能,将由于操作失误造成的损害降到最低。
提供完善的审计功能对配置管理的操作进行记录,由专门的审计人员对记录进行管理。
图:备份详情
IP-MAC地址管理
通过系统的IP地址管理策略,系统能在不额外消耗网络带宽的情况下,自动发现和监测网内终端设备的基本属性(IP地址、MAC地址、所在端口/VLAN等),系统能够通过IP/MAC/主机/人等信息绑定,建立IP资源信息库。
IP管理范围配置
系统支持用户配置终端IP管理地址段,实现对设备IP地址信息按照地址段进行地址的添加与查询,提供了可控的IP地址源。
图:IP地址管理策略
IP地址管理
网络中的配置IP地址的端口的管理状态或协议状态是根据系统获得数据呈现出的地址,在所有信息组成的IP列表中可以直观的看到IP地址、MAC地址、上联设备、上联端口等信息,同时可以完成将IP地址状态改变为合法地址、非法地址等功能。一旦有外来用户进入的IP,系统就产生告警通知,使用户对IP进行有效的剔除与管理。
图:IP地址合规审计
互联网出口加速缓存
针对商场顾客无线接入商场网络人数众多,网络出口带宽小的问题,在商场网络出口处增加互联网出口缓存流量加速系统,加速上网访问速度和提升上网体验。
流量加速系统实现自动按需缓存内容,在网络使用高峰期减少HTTP下载和在线视频等高占带宽应用对互联网骨干的流量压力,帮助宽带运营获得更高的网络带宽使用效率。同时,系统还有效的改进对HTTP和非P2P应用的网络响应速度,增强了用户体验。对于经常使用下载和在线视频的用户,他们可以用更快的速度透明的从系统中访问到已缓存的内容,而无需占用互联网骨干带宽。不再通过限制和禁止等手段来控制HTTP下载和P2P下载对网络的影响。帮助宽带管理者优化网络流量,提供更多增值服务创造更好条件。
华创科技流量加速系统作为旁路监听设备,挂载在核心交换机,通过交换机的镜像口,抓取核心交换机的通讯数据,经过数据分析后,将设备需要的数据保留,其他数据丢弃;同时,设备作为伺服服务器,需要与内网地址通讯并提供服务。设备连接到用户网络,需要核心交换机2个端口,一个端口连接核心交换机镜像口,一个端口连接核心交换机通讯口。
下载加速:支持基于HTTP所有类型的下载缓存服务,无论是普通的HTTP下载还是基于HTTP 下载的Windows更新,病毒库更新,触发下载后,后续下载者可以使用如本地存储一样的高速下载服务。您不必再为G量级的文件传输和分发担心,文件下载服务能够帮助您以最快的速度将大型的文件安全的分发到用户。并引导用户在最短时间内享受到极速的下载服务。
流媒体加速:支持国内大多数视频网站视频加速,为用户提供了更好的在线视频体验。
远程加速:远程访问用户根据DNS负载均衡技术智能自动选择Cache服务器,选择最快的Cache 服务器,加快远程访问的速度。
带宽优化:自动生成服务器的远程Mirror(镜像)cache服务器,远程用户访问时从cache服务器上读取数据,减少远程访问的带宽、分担网络流量、减轻原站点WEB服务器负载等功能。
集群抗攻击:广泛分布的流量加速系统节点加上节点之间的智能冗于机制,可以有效地预防黑客入侵以及降低各种DDoS攻击对网站的影响,同时保证较好的服务质量。
第五:设备应用清单
设备名称设备规格用途数量单价
联系我们:
MAIL:
北京中辰华创科技有限公司
北京市海淀区中关村南大街2号数码银座大厦A-6层