浅探机房网络管理新模式 PPT课件

浅探机房网络管理新模式 南京市第三十九中学郑川MSN 39zhengchuan 1 观点 现象 校园网质量不高 网速慢 断网的现象频频发生 影响师生的日常应用 主要原因 病毒泛滥 任何人都可以随意的占用带宽 流量得不到有效的控制是造成网络质量不高的主要原因 2 观点 管理思路 由原先注重防治 外火 转变为注重防治 内火 网络管理需要有两个层面的工作要做 一 是内网与外网的衔接部分 边界 的安全防护与管理 二 是内部网络的安全防护和管理 现在大家主要关注的是第一部分安全防护和管理问题 实际上网络管理已经远远不只是对边界的防御和行为管理 网络内部同样需要这种防护和管理措施 而且这种要求越来越强烈 业内有人称20 的安全管理问题来自外部 80 的安全管理问题来自内部 这种说法已经流行了很长一段时间 但并没有引起人们的重视 其原因是大家主要担心的还是来自外部的破坏行为 对内部的担心较少 另外 没有受到人们重视的主要原因也可能是没有适合的解决方案或解决此类问题需要付出更大的代价 随着防范外部破坏行为的能力增强 内部安全和管理的问题就越来越突出 由于内部网络的规模越来越大 应用越来越多 业务对网络的依赖性越来越大 因此 解决内网的安全和管理问题 是整个网络安全下一步工作的主要内容 3 观点 重点 机房是 内火 发生的重灾区 加强机房管理势在必行 从应用角度讲 边界防护和管理与内网防护和管理也不一样 边界防护是防御外部的攻击和入侵 而内网防护是防御内部攻击的泛滥 边界防护采取的是简单的隔离 外网 内网 和严格的防护措施 而内网防护采取的是复杂的隔离 按网络 链路 业务 用户等 和较严格的防护措施 边界访问行为管理只管理经由边界的使用行为 而内网访问行为管理是管理所有网络内部的使用行为 边界访问行为管理是通过过滤数据内容 进行访问业务的管理和访问目的的管理 而内网访问行为的管理是通过网络接入认证和授权 以及访问控制 网络资源管理和监控等综合手段进行的 机房因其应用的特殊性决定了加强管理势在必行 4 机房建设的现状及问题 直接接入校园网 常见于规模较小的学校 校园网无三层交换 学生用机是学校计算机的主体 容易形成网络风暴 划分VLAN 通过划分VLAN来进行管理 可以有效避免网络风暴 服务器代理 用双网卡的服务器提供NAT服务 可以通过软件来实现一些管理功能 5 Internet 学生机房 办公用机 直接接入校园网 6 Internet 学生机房 办公用机 通过VLAN进行管理 VLAN1 VLAN2 7 Internet 学生机房 办公用机 通过代理服务器接入校园网 代理服务器 8 学生是一批活跃的用户群体 对网络技术充满好奇 勇于尝试 使用的计算机容易出现问题 机房计算机的绝对数量比较大 且使用的时间相对集中 容易对校园网产生一定的冲击 冲击波 ARP病毒 P2P软件等 内火 对校园网的危害日益严重 加强机房网络管理势在必行 9 机房网络管理的需求 入侵检测模块 从应用层针对用户进行保护 防御黑客基于操作系统和应用程序漏洞的攻击 预防恶意的网络流量到达服务器 内容过滤模块 预防流入的病毒和间谍木马程序 提高计算机桌面安全 预防内部计算机遭到来自机房以外的病毒感染和木马的破坏 病毒过滤模块 对用户访问的内容过滤提供基于一定策略的控制能力 预防学生浏览带有色情 反动等不健康信息的网页 或直接禁止学生浏览设定的网页 应用控制模块 提供了高级的 能进行深入分析的应用程序数据控制能力 可以识别即时消息工具和P2P应用程序 并控制学生对一些无益的应用程序的使用 10 机房网络管理的工具 软件管理 管理界面复杂 技术要求高 工作量较大 例如 ISA 安全产品 界面化管理 配置完成后上手比较简单 工作量不大 硬件产品 安全网关 软件产品 智能网全 WinManager 内网检测模块 内网管理模块 内网报警模块 软硬件资产管理模块 补丁管理和软件分发 远程桌面管理 12 Internet 学生机房 办公用机 设想 通过安全网关接入校园网 用安全网关替代服务器做NAT服务 VLAN1 VLAN2 13 安全网关 常见的安全网关产品突破传统防火墙 路由 网关防病毒等设备的局限 用户通过这一台设备可以替代以前多台安全设备 使得用户在一次投入购买单一设备的情况下 完成了众多安全产品才能达到的防护作用 而且减少了以前多台设备串连到网络中而引起的 一台设备有问题 网络就中断 的隐患 同时更加便于管理 配置 常见的安全网关多采用全中文 图形化的管理界面对局域网进行全面管理 在专业技术人员比较紧张的情况下可以大大地减轻机房管理教师和课任教师的工作负担 14 安全网关在机房网络管理中的应用 带宽管理 可以控制每台学生机的外网流量 防止机房流量过大对校园网带来压力 流量管理 可以监控每台学生机的网络流量 BT等P2P软件下载 根据学生机的网络流量判断学生机上网的健康情况 同时可以对每台学生机的下载量进行限制 超过规定的下载量学生机将不能继续从网上下载内容 上网权限管理 可以个性化的对每个学生机的上网情况进行管理 教师可以根据教学情况限定部分学生上网并控制上网内容及指定可以查看的网站 不在设定内容中的网站将不能打开 非法IP地址管理 可以阻止外部非法IP地址的进入 防止校园网网络中有病毒的计算机对该网络内计算机的木马病毒攻击和恶意入侵 IP MAC地址绑定 可以把机房内的学生机的MAC地址与IP地址进行绑定 防止目前流行的ARP攻击及网络地址欺骗 网络管理 15 安全网关在机房网络管理中的应用 通过域名 关键字节对一些不良网站进行过滤 使机房形成一个绿色上网环境 教师可以设定特定网站上学生机访问 保证教学的有效性 内容过滤 16 安全网关在机房网络管理中的应用 入侵检测 可以对外来的木马病毒及恶意软件进行检测 防止木马程序及恶意软件对机房内部的攻击 17 安全网关在机房网络管理中的应用 保证网络稳定性 保证网络稳定性 通过安全网关可以使机房形成一个绿色的 安全的 易管理的 稳定的网络环境 避免机房流量过大对校园网的不良影响 18 与代理服务器相比的优势 用安全网关来代替服务器在低成本的情况下可以实现更有效的管理 安全网关成本大约是服务器成本的一半 但安全网关的功能却是机房服务器代理功能的几倍 安全网关可以对学生机上网的流量和行为进行管理 同时可以允许对学生机上网进行个性化管理 安全网关一般不采用windows操作系统 受病毒感染影响网络的几率远远低于代理服务器 安全网关能配合校园网路由器对整个校园网网络故障进行有效的诊断