南孚电池集团网守服务器系统规划案例

2006-11-8　网友评论 0 条　点击进入论坛

　　一、用户背景

　　福建南平南孚电池有限公司系国家 520户重点企业，国家高新技术企业，外经贸部重点扶持的出口企业，中国电池行业龙头企业，福建省重点企业。公司是全国精神文明建设先进单位、福建省文明单位、福建省首届最佳诚信企业、全国质量效益型先进企业、全国“五一”劳动奖状企业、全国企业科协先进集体。

　　二、应用需求

　　南孚集团下属多个分公司、分支机构。在信息化迅速发展的形势下，该公司正在积极地进行网络信息系统的建设，计划建设一个包含总公司、分公司和分支机构直属库的多级计算机网络系统。在其系统的设计中，对系统的高可靠性、可用性、性能和互联都做了充分的考虑。为了进一步提高网络安全性，达到建设一个完整、安全和高效的信息系统的目标，网络安全问题已经成为了急需解决的问题。因此，该公司决定搭建一套专门的网络和信息安全管理系统。

　　三、南孚电池集团网守服务器规划设计

　　1、南孚电池集团计算机网络管理现状

　　在信息安全管理系统搭建之前，该公司目前已经在网络安全设计上采取了一些比较初步的措施，并且顾及到其进行整体网络建设的步骤与保护投资等问题，首先对其网络中的存在安全问题及隐患进行了细致的分析，以保证提供方案的针对性与高效性。

　　目前公司的网络主要采用TCP/IP作为网络通讯协议，主要服务器为Windows NT操作系统。众所周知，TCP/IP是以开放性著称的，只实现了基本安全控制功能，存在大量漏洞。根据该公司网络系统中的安全需求，汉元公司为南孚电池集团公司提供了万发网守服务器的解决方案，实现以下功能：

　　多级过滤、动态过滤和包过滤防火墙功能

　　高速、透明的代理服务器功能

　　访问控制和网页病毒过滤

　　网络地址翻译/端口地址翻译

　　专线备份、负载平衡

　　带宽资源分配与管理

　　网络流量与网络连接的实时监测

　　 IP与MAC地址绑定功能

　　 VPN虚拟专用网功能

　　强大的用户管理功能

　　直观的中文WEB管理界面

　　信息保密和无形资产保护

　　2、南孚电池集团网守服务器功能详解及分析效果

　　⑴、多级过滤、动态过滤和包过滤防火墙功能

　　Welfinder NetLinker——万发网守服务器内置防火墙功能，采用了多级过滤和动态过滤相结合的包过滤防范机制，从网络结构的第二层到第七层分别进行过滤，工作在第二、三层之间的动态包过滤对于应用程序是完全透明的，使防火墙能高效率地工作；应用程序内容过滤则可对HTTP、SMTP、FTP等应用进行细致地限制，使防火墙具备更高的安全性。数据包过滤用来控制流出和流入网络的数据，控制存在于某一网段的网络流量类型及存在于某一网段的服务方式。对于那些不符合网络安全的那些服务将被严格限制。为了对内部网络提供保护，有必要对通过网守服务器的数据包进行检查，例如检查其源地址和目的地址、端口地址、数据包的类型、所经由的接口等，根据这些数据来判断这个数据包是否为合法数据包，如果不符合预定义的规则，就不将这个数据包发送到其目的计算机中去。在包过滤的条件下，内部网络的计算机还是直接和外部计算机相通信的。由于这是直接在IP层工作，可以适合所有的应用服务，灵活性和效率都较高。

　　南孚电池集团通过网守的过滤防火墙功能实现以下效果：

　　A、一台网守服务器能保护整个网络。不论内部网络的大小和拓朴结构如何，通过数据包过滤，在网络安全保护上就取得较好的效果。

　　B、对用户透明，不要求用户有任何特殊的训练或者操作。

　　C、速度快、效率高。

　　D、可以管理和隔离多至8个网段。

　　⑵、高速、透明的代理服务器功能

　　网守服务器提供了常用的应用级透明代理功能，并对HTTP、SMTP、POP3、FTP、TELNET等常用高层应用做了更详细的控制。

　　代理服务是另一种防火墙技术，直接和应用服务程序打交道，不让数据包直接通过，而是自己接收数据包后对其进行分析。当代理程序理解了连接请求之后，将自己启动另一个连接，向外部网络发送同样的请求，然后将返回的数据发送回那个提出请求的内部网计算机。在网守服务器中具有一个较大的硬盘缓冲区，可轻易地为网内用户提供更快的访问速度，提高带宽利用率提高近50%（与实现环境有关），并且提高了网络安全性。并且网守服务器采用了一种透明代理服务技术，综合了分组过滤的快速和应用代理的安全。这种方式不需要设置客户软件，通过设置网守服务器，将本来发送到其他计算机的IP数据包，依据IP地址和端口转发到代理服务器中。

　　⑶、访问控制和网页病毒过滤

　　南孚电池集团网守服务器可以对所有用户访问的Internet站点进行灵活管理，将某些不允许用户访问的服务器站列入访问黑名单，实现对用户访问内容的过滤，将黄色和反动的内容屏蔽于网络之外。对用户访问权限的限制范围可以精确到站点的端口，从而达到对用户管理的全面、准确和具体。

　　随着浏览器病毒的出现和猖獗，越来越多的HTML病毒通过用户的浏览访问而日益扩散，对局域网的威胁越来越大，对用户工作的顺利进行也造成了不少的障碍。网守服务器可以将所有的WEB访问内容进行过滤，自动剔除WEB内容中携带的病毒，将干净安全的WEB内容提供给内部用户浏览，从而实现对Internet站点访问的安全和可靠，进一步提高了用户网络的安全性。

　　⑷、网络地址翻译/端口地址翻译

　　网守服务器采用了先进的NAT／PAT技术，对于多个基于LAN而又有各自的IP地址用户，可以通过单独的公用地址访问Internet或公用LAN；或者众多用户可以共用一个小型共用子网。NAT/PAT将这些专用的IP地址翻译到一个单独的公共地址或翻译到Internet服务供应商认可的公共子网，降低了公司的操作费用并简化其Internet访问。

　　网络地址翻译也是一个重要的防火墙技术，因为它对外隐藏了内部的网络结构，外部攻击者无法确定内部计算机的连接状态。并且还可实现不同的时候，内部计算机向外连接使用的地址都是不同的，给外部攻击造成了困难。同样NAT也能通过定义各种映射规则，屏蔽外部的连接请求，并可以将连接请求映射到不同的计算机中。

　　南孚电池集团公司可充分利用网守服务器的这种技术，将NAT/PAT技术和IP数据包过滤一起使用，构成一种更复杂的包过滤型的防火墙，能对用户局域网起到更好的安全保证。并且系统管理员维护和使用很方便，只需在WWW下进行管理，无需处理复杂的规则表。

　　⑸、专线备份、负载平衡

　　南孚电池集团采用网守服务器后，可以实现专线备份和动态路由等功能，并可实现网络流量的负载平衡、保留信道和路由优先等功能。

　　1、专线备份、动态路由

　　网守服务器支持两条专线（两条以上也支持）同时连接到网守服务器上，一旦其中一条专线出现通讯故障，网守服务器可自动进行专线切换和专线恢复切换，实现动态备份路由。

　　2、负载平衡

　　网守服务器在另外一种工作方式下，两条专线也可同时进行数据传输。并根据专线分配带宽的不同，采取网络流量与带宽相匹配的策略同时应用两条专线，将网络流量进行分流，实现网络通讯在两条专线上的均衡分配，达到负载平衡的目的。

　　3、网络服务备份功能

　　使用网守服务器后，对外提供的DNS、WWW、邮件服务和其它服务，可以设为从两条不同的专线进入访问，任何一条专线的中断不影响系统对外提供服务。

　　⑹、带宽资源分配与管理

　　网络管理员必须具有对单位局域网的网络流量能够进行有效和灵活的控制，并且能够在可利用的有效带宽中实行相应的优先策略，以保证重要部门和重要网络服务的顺利进行。

　　南孚电池集团采用的网守服务器能够将有效出口带宽按组、用户、IP等分类方式进行合理地分配，为关键的任务保留固定的合理带宽。方便增加、删除用户，进行各种参数的修改，实现对其集团内部网络带宽的控制，而对用户、IP或者带宽的优先排序，可以让服务器以智能的方式调整网络带宽，来提供全系统的服务等级保证。

　　⑺、网络流量与网络连接的实时监测

　　采用网守服务器之后，南孚电池集团公司可以自动对局域网中所有服务器和工作站上的网络连接进行统计，按日期进行分类汇总，并分别按源IP、目的IP、目的端口、目的IP目的端口和源IP目的端口等条件提供用户分类检索。

　　服务连接统计一般记录了公司内部用户和互联网用户访问公司网络服务器时的所有连接信息，记录内容包括用户提出了何种服务请求及服务端口号、请求服务的次数、被访问网络服务器的IP地址、外部访问用户的IP地址等等，这些记录内容分别按照不同的服务器类型和日期进行分类汇总。

　　网守服务器还可以对用户局域网中所有工作站的网络连接进行分类汇总，记录内容包括每台工作站的访问次数，进行了何种网络服务及其服务端口号，与互联网中哪台服务器进行了网络连接及这台服务器的IP地址，这些的记录可以提供给网络管理员进行分析研究，帮助管理员了解其管理的局域网的工作情况及网络用户的访问情况。

　　网守服务器同时记录了局域网中每台工作站的网络流量，包括流入量和流出量，以及它与哪台服务器进行了多少网络流量等，这些记录内容非常详细彻底，网络管理员根据这些流量统计可以方便地将统计出每台工作站的每月、每周乃至每天的网络总流量，从而实现网络计费功能。

　　⑻、IP与MAC地址绑定功能

　　网守服务器为了防止IP欺骗、地址伪装等手段的发生，可以将每一台工作站的IP地址和它所有使用的网卡硬件地址（MAC）绑定起来。针对于南孚电池集团公司的内部网络当网守服务器发现某个IP地址和服务器中绑定的硬件地址不相符时，将拒绝为该IP提供服务。通过与硬件物理地址的绑定，使盗用的IP地址无法通过防火墙系统，有效提高IP地址资源利用效率，并保证集团网络的安全、防止IP地址盗用及滥用。

　　⑼、VPN虚拟专用网功能

　　通俗的讲，VPN就是基于公共网络，如Internet,在两个或两个以上部分之间创建数据传输的网络隧道。当传输数据通过网络隧道时，进行安全的VPN加密数据，从而保证了用户数据的安全性、完整性和真实性。

　　南孚电池集团将网守服务器的VPN功能与Internet等公共网络，在局域网之间（如企业分支机构与其总部）还是远程用户与局域网之间安全、高效的连接起来。并且为公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输，保护现有的网络投资。使用户将精力集中到自己的生意上，而不是网络上。

　　⑽、IDS入侵侦测

　　入侵侦测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。网守服务器具备了IDS（入侵侦测）功能，可以将自动检测到服务器受到的未知的入侵动作，提供给网络管理员作好安全防范措施。

　　具体说来，入侵侦测系统的主要功能有：

　　1、监测并分析用户和系统的活动；

　　2、核查系统配置和漏洞；

　　3、评估系统关键资源和数据文件的完整性；

　　4、识别已知的攻击行为；

　　5、统计分析异常行为；

　　6、操作系统日志管理，并识别违反安全策略的用户活动

　　⑾、强大的用户管理功能

　　网守服务器拥有完善的用户管理功能和认证机制，能够设置用户上网权限、自动统计上网人数和网络流量、跟踪IP地址、设置IP地址过滤、限制内部网对外部网的访问权限、限制用户使用的功能等……，为南孚电池集团公司管理人员和网络管理员带来极大的方便。

　　⑿、直观的中文WEB管理界面

　　根据中国用户的使用特点和用户习惯，网守服务器的管理界面采用的是全中文的WEB管理界面。

　　⒀、双机容错

　　网守可以双机热备容错，保证网络通讯的绝对可靠、永不中断。

　　双机网守，能同时使用2条以上专线，二条专线互相备份，员工的上网速度将会比以前提高一倍，处理工作的速度会越来越快。

　　如果当一台网守需要升级或发生故障时，另一台网守在3秒钟内自动接替所有工作，网络通讯不会中断。

　　双机容错网守，一般模式下二台机器都在运行，主要工作都由一号机执行，网守是一个网络管理设备，所有的安全管理设置相同，这二台机器是实时备份的。当一号机断电停止使用时，二号机在三秒钟内能够接替一号机的所有工作，并且当前的设置是一模一样的。

　　⒁、防毒杀毒

　　有经验的系统管理员都有过这样的体会：有时网络会莫名其妙地变慢，或断断续续，或干脆不能上网。这时要花很多时间去找原因，是不是网络设备故障、网线问题、交换机问题、专线问题等等……其实90%以上的原因是有网络病毒。南孚集团使用了NetLinker网守服务器之扣，可以实时监控网络状态，自动发现和隔断中毒电脑，并向系统管理员报警，即使网络中毒了，整个网络也能正常使用。

　　⒂、信息保密和无形资产保护

　　随着网络的普及，信息流动加快，信息量也加大，网守可以监控外流信息，保证单位的敏感文件和无形资产不被流失，并监控各种外流信息。

　　网络连接示意图

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表