解决方案管理器.doc

解决方案管理器 解决方案管理器篇一：网络管理解决方案 网络管理解决方案 一、 问题的提出 背景： 某集团公司总部位于北京，10个分公司分别位于上海、广州、成都、西安等地。整个公司用户近3000名，其中北京1500名，其余分公司用户50-350名不等。公司在各地建立了规模不等的局域网，并租用专线连成一个广域网。公司使用的网络设备包括3Com、Cisco、Lucent、Nortel等公司的路由器、交换机、网卡。服务器上运行的操作系统有：IBM AIX、Sun Solaris、中软Cosix、IBM OS 400、HP-UX、Windows NT、Novell NetWare等；客户端以Windows 9x为主。 问题： 对于公司庞大的网络系统，出现故障不易查找、诊断和修复。 希望： 通过网管系统，在总部可以管理分公司网络设备，并支持网管人员的移动式管理；能防范来自内部与外部的入侵，解决安全问题；能适用公司规模的调整，易于实现设备的增减；适应公司业务向电子商务模式转变。 根据上述需求，拟采用如下解决方案： 1、 采用HP OpenView Network Node Manager，作为集成化网络与系统管理的基础，可以自动发现和映射整个网络拓扑结构图，确保网络管理员知晓网络中发生的任何变化。 2、 采用NAI公司的一系列安全产品，解决网络安全问题： 选用NAI公司的McAfee TVD提供防病毒安全解决方案 选用NAI公司的Gaultlet防火墙提供Internet互连安全解决方案 选用NAI公司的CyberCop提供防黑客安全解决方案 下面分四个部分讨论方案的实施。 二、 网络拓扑图的管理： 1、使用HP OpenView Network Node Manager管理整个网络结构拓扑图 HP OpenView NNM主要能够实现以下功能： (1)NNM能够自动发现网络设备，并提供显示网络实际连接状况的视图； (2)NNM能够持续地监控网络上新的设备和网络设备状态，并可以探测到位于广域网上的设备； (3) NNM能够迅速找到网络故障的根源，并协助网络管理人员进行网络增长的计划和网络变化的设计； (4)NNM能够通过Java Base的Web界面灵活访问网络拓扑及网管数据，实现了从WWW的任何地点进行数据管理的能力； (5)NNM适合于任何规模的网络管理，既可以作为一个独立的网络管理站操作，也支持分布式体系结构，提供集中控制与分散执行； (6)NNM允许公司运用广泛的第三方解决方案扩展其网络的可管理性。 HP OpenView NNM可以安装在Windows NT、Sun Solaris、HP-UX三种操作系统平台上，能够发现网络上的TCP/IP、IPX和Level-2设备。NNM的实施可以有两种方式：集中式NNM(来自:www.xmSjOb.cOm 厦门培训考试网:解决方案管理器)和分布式NNM。 集中式NNM是在网络系统中建立一个全面负责管理所有网络资源的网管中心，该方法容易实现且操作简单；但如果网络规模较大或网络规模扩大，网络上所有网管轮询（Polling）和网管信息量增大，集中式NNM管理中心可能成为网络系统的瓶颈，并且网络管理信息流导致网络可用带宽的减少。 分布式NNM网管模式是按层次、区域建立多个网管中心，分别负责管理不同区域和不同层次的网络资源，不同网管中心相互配合共同完成网络系统的管理，顶端网络中心只管理第二级网管中心和两级之间的网络连接，第二层网管中心分区域管理下属的网络资源。该方式克服了集中式NNM的缺点，网络的分布区域可以很广，且效率较高。 根据以上特点，本方案最好采用分布式NNM，在公司总部网管中心安装NNM企业版（无限节点版本），作为采集和管理中心，它负责管理分公司网管中心和两级之间的网络连接；在各分支机构的局域网服务器上安装NNM标准版，作为管理各分支机构局域网网络资源的区域管理中心。 2、管理网络设备 针对该方案中存在着如Cisco、Bay、3Com、Lucent、Nortel等公司的网络设备，为了从公司总部网管中心管理到位于总部或分公司局域网内这些网络设备，可在这些设备所处局域网的网管中心或公司总部网管中心的NNM上集成这些设备的网管软件，例如要在公司总部管理上海分公司局域网内Cisco路由器，可在北京公司总部的网管中心安装CiscoWorks，通过广域网来管理到Cisco路由器的每一个端口。 3、 远程管理 HP OpenView NNM现在能够通过Java Base的Web界面灵活访问网络拓扑及网管数据，实现了在Web网的任何地点进行数据管理的能力。 三、 防病毒的安全解决方案 NAI作为全球反病毒解决方案的领导者，提供的McAfee TVD套件，就是一个综合的企业反病毒安全与管理方案，它具有以下显著特点： 1.最广泛的多级进入点保护： TVD提供了桌面，服务器和Internet网关的单一集成的防病毒系统，对所有潜在的病毒进入点实行全面保护。 2.100%的病毒检测率： NAI的防病毒软件在多个独立的实验室测试中多次获得检测不明病毒100%的认证。拥有专利权的启发式技术可以精确地检测到新的病毒。 3.强有力的服务与研究支持： NAI在全球六大洲拥有由近百名病毒研究专家组成的反病毒紧急响应小组，为用户提供7x24小时的专业服务与支持。 4.完善的企业级管理能力： 中央控制台集中配置与管理模式，使您的企业网络更加高效，更易管理。 5.独特的病毒更新能力 当更新信息从实验室发布时，NAI惊人的企业 推送 （SecureCast）技术立即将其送达系统管理员。通过自动更新（AutoUpdate），桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。 具体到本系统，采用如下方案： 1. 多层保护。1). 保护服务器。 如果服务器感染病毒，其被感染的服务器文件会成为病毒感染的源头，迅速从桌面发展到整个网络病毒爆发，尤其象Exchange、Lotus Notes这样的群件会加速病毒传播的速度。因此需要能高效、实时地检测发送或来自于服务器的病毒感染文件，以免它在整个网络中的扩散；同时可以按需要选择立刻或定时检测、扫描驻留在文件服务器中的病毒。 McAfee TVD防病毒软件支持所有主流的操作系统，包括Windows NT、UNIX（包括HP-UX、Sun Solaris、IBM AIX、SGI IRIX、SCO UNIXWARE、LINUX等）、Novell Netware、IBM OS/2等，并支持Microsoft Exchange、Lotus Notes等群件服务器的防病毒。 在公司总部和各分公司局域网中所有的服务器上安装TVD的NetShield，在群件服务器上安装TVD的GroupShield。 2). 网关的保护。 随着Internet的普及，越来越多的企业用户被感染病毒中，都和从Internet上下载文件有关或以电子邮件附件方式进入企业网络，所以，反病毒软件应能在网关上封住病毒，扫描所有入站、出站的电子邮件，能够为HTTP、FTP等多个Internet协议在内的通信提供病毒保护，同时扫描有恶意的Java和ActiveX小程序。 TVD的WebShield安装在网关上实现上述功能。 3). 桌面的保护。 企业在把防病毒策略放在保护服务器和网关的同时，还要注意到50%的病毒仍通过软盘进入企业网络。所以要在所有桌面机上安装桌面防病毒软件，实现桌面保护功能。 McAfee VirusScan是一个优秀的杀毒软件，它能够扫描包括引导区、文件分配表、分区表、软盘、文件夹、压缩文件在内的所有系统区域；并具有先进的实时扫描技术在磁盘访问、文件复制、程序执行、系统启动和关闭时扑获病毒，提供桌面的在线保护；同时还能够防止恶意Java、ActiveX小程序对网络用户的损害，防止病毒通过Internet下载的途径。 （图jjfa-2.gif） 2. 企业级管理 McAfee TVD拥有一个功能强大的管理工具，可以从控制中心管理企业范围内的反病毒安全机制，具有集中管理、分发和警告的功能。管理员可以使用控制台将软件升级版和更新信息迅速传至企业内部的所有客户机和服务器上；或则可制订计划，使PC机、服务器自动从指定的中央服务器提取更新信息使自己保持为最新。 四、 Internet互连安全解决方案 在大型网络系统与Internet互连的第一道屏障就是防火墙。 防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。 防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的应用级网关和代理服务器统称为代理服务器。 包过滤即IP包过滤，虽简单方便，但包过滤路由器存在许多弱点：比如包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来等。为了解决包过滤路由器的弱点，防火墙要求使用软件应用来过滤和传送服务连接（如Telnet和Ftp）。这样的应用称为代理服务，运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。 应用网关的优点很多，如：比包过滤路由器更高的安全性；提供对协议的过滤，如可以禁止FTP连接的Put命令。信息隐藏，应用网关为外部连接提供代理。节省费用；简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过，等等。 因此，应用网关防火墙的安全特性远比包过滤型的防火墙高。 Gauntlet使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力(70Mbps)，很好的解决了安全、性能及灵活性的协调。由于完全使用应用层的代理服务，Gauntlet提供了该领域最安全的解决方案，从而对访问的控制更加细致。 其特点和优点： (1)动态安全性集成技术允许集中式的策略管理和整个事件管理系统中的事件的相互通风； (2)自适应代理技术在应用网关防火墙中可以提供信息包过滤器的高速度； (3)支持多处理器技术提高了防火墙性能； (4)NetMeeting代理提供视频会议、新闻、公众事件和广播会议的安全实时访问； (5)SQL代理通过防火墙安全访问MS、Oracle和Sybase数据库； (6)内容安全性可以保护机构免受系统数据遭到来自Internet的威胁，如Internet病毒、恶意Java、ActiveX代码。 根据网络系统的安全需要，可以在如下位置部署防火墙： 1、局域网内的VLAN之间控制信息流向时； 2、Intranet与Internet之间连接时； 3、在本系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac, ChinaDDN, Frame Relay等连接）在总部和各分支机构连接时采用防火墙隔离，并利用GVPN构成虚拟专网。 4、总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用Gauntlet GVPN组成虚拟专网。 5、在远程用户拨号访问时，加入虚拟专网。 五、 防黑客的安全解决方案 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够： 1、 入侵者可寻找防火墙背后可能敞开的后门。 2、 入侵者可能就在防火墙内。 3、 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够阻止hacker的入侵。 入侵检测系统可分为两类： 基于主机 基于网络 基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。 基于网络的入侵检测系统用于实时监控网络关键路径的信息。CyberCop Intrusion Protection是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威胁的专用产品。 1、CyberCop Scanner 为找出网络上的脆弱环节，CyberCop Scanner提供主动的安全性扫描和解决问题的现场解决建议，具体特性： 全面的扫描工具可以发现系统和网络的脆弱环节，并且提供了可执行的报告与挖掘报告选项； 独特的跟踪器信息包防火墙测试提供了详细的防火墙/路由器审计； 自动升级功能保持扫描引擎、扫描检测和脆弱性数据库处于当前最新状态； 提供入侵检测监控测试校验系统和网络动态监测器的功能； 2、CyberCop Monitor CyberCop Monitor的实时入侵检测为关键任务系统提供全面保护。它是拥有多层监控结构的实时检测代理。基于主机的信息量分析、系统事件和提供双倍保护的独立方案的日志文件一起受到监控。 其特性为： 多层的检测结构支持高速交换网络； 中央控制台具有易于适用的图形界面的配置和策略设置功能； 独立的监控代理技术提供局部响应和报警选项； 报告组合特点压缩了攻击性登录被拒绝的数据； 采用趋势分析选项可以进行逐个系统监控和扫描信息的报告整理； 自动升级功能将监控器引擎、检测特征与攻击数据库保持当前最新状态； 与Gauntlet防火墙相集成作为Active Security结构组件。 3、CyberCop Sting和CASL用假目标服务器技术与先进的自定义审查工具提高了检测功能，这样做不仅保护了企业的数据与资源，还保护了企业的声誉。 六、 相关软件报价 1、 HP OpenView报价： HP OpenView NNM Enterprise：$40790。 HP OpenView NNM 250 Node：$11990。 2、 NAI McAfee TVD McAfee TVD 250 User：￥280000 3、 NAI Gauntlet Active Firewall Gauntlet Active Firewall 250 User：￥275000 4、 NAI CyberCop CyberCop Scanner 250 User：￥130000 CyberCop Monitor 250 User：￥150000 版权声明：中国计算机软件与技术服务总公司版权所有，不得转载。 2000 COPYRIGHT (c) ALL Rights Reserved解决方案管理器篇二：系统集成解决方案 XX集团系统集成解决方案 XX集团 系统集成解决方案 金蝶软件(华南区)系统集成部 2011年03月一、 二、 2.1 2.2 .22.3 2.4 2.5 .22.6 2.7 三、 四、 4.1 4.2 XX集团系统集成解决方案 目 录 项目背景 . 3 方案整体介绍 . 4 系统部署架构 . 4 双机互备和数据备份方案 . 5 双机互备方案 . 5 数据备份方案 . 6 基础设施选型 . 7 网络指标要求 . 11 网络安全管理 . 11 防火墙 .11 VPN技术 . 13 统一身份安全认证平台 . 14 远程接入方案 . 16 投资预算 . 19 附录服务与支持介绍 . 20 ORACLE专项服务 . 20 小型机专项服务 . 27 一、 项目背景 XX集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。目前的主要需求是，在公司总部部署协同OA、HR和房地产行业的业务应用系统，且提供分支机构客户端接入，达到整个公司业务的综合管理、数据集中管理和系统统一运维。二、 方案整体介绍 2.1 系统部署架构 现在IT的发展趋势是数据集中，数据集中的核心是对服务器进行整合，特别是一些大型企业，建立企业数据中心，购买高性能的主机，对数据集中管理，已成为一种趋势。所以EAS的网络服务器部署应采用集中式应用，系统部署架构如下：2.2 双机互备和数据备份方案 2.2.1 双机互备方案 我们在数据库服务器和应用服务器的设计上采取了基于双机热备与SAN数据存储相结合的数据库冗余备份方案， 采用HA服务器群集技术，提高了数据库系统及业务应用系统的可靠性，而不是单台主机的可靠性。 双机互备方案的典型应用是采用两台服务器做HA双机系统，一台安装应用服务器，一台安装数据库，两台主机互为备份。其主要功能是提高客户计算机系统及其应用的可靠性，而不是单台主机的可靠性。HACMP有多种配置方式，视具体应用复杂程度和配置不同，其接管时间在30秒到300秒。 HA技术原理： 作为双机系统的两台服务器（主机A和B）同时运行HA软件； 服务器除正常运行自己的应用外，同时又作为对方的备份主机； 两台主机系统（A和B）在整个运行过程中，通过“心跳线”相互监测对方的运行情况（包括系统 的软硬件运行、网络通讯和应用运行情况等）； 一旦发现对方主机的运行不正常，故障机上的应用就会立即停止运行，本机（故障机的备份机）就会立即在自己的机器上启动故障机上的应用，把故障机的应用及其资源包括用到的IP地址和磁盘空间等接管过来，使故障机上的应用在本机继续运行； 应用和资源的接管过程由HA软件自动完成，无需人工干预； 当两台主机正常工作时，也可以根据需要将其中一台机上的应用人为切换到另一台机(备份机)上运行。 HA技术特性： 支持并行数据库； 支持动态集群重配置； 广泛的集群管理工具； 支持2到32个集群节点的扩展； 自动失败检测和恢复； 多节点的灵活配置；解决方案管理器篇三：文件服务器解决方案 中小型企业文件服务器方案 一、需求分析： 作为中小企业用户，文件服务器最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息，人事部门可能不会亲自拿过去，而是在网络上共享；生产部门的生产报表也不会用书面的资料分发，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需求还有很多。那么，在一些有条件的企业，部署一个文件共享服务器，来统一安全管理共享文件；文件服务器是企业网络安全管理中的一个比较薄弱的环节，但是，又是一个十分重要的环节。做好部署文件服务器这件工作，必定可以提高企业网络的利用价值，减少网络安全事故。那么一般中小企业用户对文件服务器的基本要求大致如下： 1、 共享文件统一管理 2、 维护成本低; 3、 文件安全不丢失 4、 指定特定的人员访问文件(权限策略) 5、 过滤用户上传非法文件如电影，视频等其它格式的文件 6、 能够定其备份，防病毒。 二、实现目标 本文件服务器方案部署的目标主要是帮助用户实现以下功能： 1、集中对共享文件进行备份 若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除；有时客户端的员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候，则我们可以通过文件恢复作业，把原有的文件恢复过来，从而减少因为意外修改或者删除而导致的损失。 2、文件访问权限策略 在共享文件服务器上，我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政人员具有读写权限，而其他职工都只有只读权限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户每次设置权限的麻烦，从而提高共享文件的安全性。 3、文件服务器防病毒管理 对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间，对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。 三、文件服务器方案部署时需要考虑以下几方面： 1. 域控制器 域控制器通过Active Directory 功能实现对用户帐号的管理，用户密码的验证等，同时也提供DNS服务。在大多数部署方案中，建议用户采用单独的 Windows 域控制器服务器（这个可以利用现有的服务器设备），因为如果 Exchange 运行在一个域控制器中，它将仅使用该域控制器。如果域控制器发生故障，Exchange 将无法故障转移到其他域控制器上。而且，如果运行 Exchange 的服务器除了服务于 Exchange 客户端计算机以外，不必执行域控制器任务，则这些用户负载沉重的服务器的性能会有所提高。要确保 Active Directory 信息的安全，建议用户采用备份域控制器。如果一个服务器发生故障，采用备份域控制器可保证Active Directory 信息的安全。此外，建立用户做完善的域控制器的备份。 2. DHCP Service DHCP 避免了因手工设置IP地址及子网掩码所产生的错误，同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间，同时通过对DHCP服务器的设置可灵活的设置地址的租期。同时，DHC