誤讀1：帶寬是網(wǎng)絡(luò)性能瓶頸

誤讀剖析

1．不要過分相信“命令”

網(wǎng)絡(luò)帶寬是指端到端的可用帶寬，絕對不是簡單的認(rèn)為就是自己出口的帶寬數(shù)值。另外，網(wǎng)絡(luò)帶寬是分兩個(gè)方向分別來看的，目前大部分骨干以下的鏈路上下行兩個(gè)方向可用帶寬明顯不對稱，一般是下行大于上行，而在骨干以上及出口鏈路上兩個(gè)方向數(shù)據(jù)鏈路的可用帶寬比較接近。因此，區(qū)別不同方向的鏈路帶寬是必要的。如何得到不同方向的鏈路在不同的時(shí)段還有多少剩余的帶寬可供使用、是否擁塞、鏈路帶寬是否可以滿足當(dāng)前業(yè)務(wù)和將來新業(yè)務(wù)的開展的基本需要。

細(xì)想一下，我們才發(fā)現(xiàn)，廣域網(wǎng)里數(shù)據(jù)包所經(jīng)過的路由器或交換機(jī)的機(jī)會(huì)會(huì)大大增多。而這些路由器或交換機(jī)對數(shù)據(jù)包的轉(zhuǎn)發(fā)會(huì)形成微小的延遲，多次的微小延遲就會(huì)形成積累作用。另外，在廣域網(wǎng)上TCP/IP 協(xié)議的效率極為低下，比如，分支機(jī)構(gòu)的用戶打開存儲(chǔ)在總部服務(wù)器上一個(gè)演示文稿時(shí)，這需要在客戶端和服務(wù)器之間進(jìn)行多次的重復(fù)“握手機(jī)制”，即使在高速的廣域網(wǎng)聯(lián)路上，TCP協(xié)議的表現(xiàn)也不能讓人滿意。因?yàn)橥ㄟ^三個(gè)重復(fù)的ACK來判斷分組丟失的情況要比超時(shí)對網(wǎng)絡(luò)的影響更多，因此TCP連接會(huì)花費(fèi)大多數(shù)時(shí)間在擁塞避免算法上。

我們測試網(wǎng)絡(luò)連通性的命令主要有ping或tracert，他們往往會(huì)受到防火墻和路由設(shè)置的限制而無法解決指標(biāo)測量問題。即使沒有這些限制，這些命令結(jié)果反映的雙向時(shí)延也不能說明問題的本質(zhì)，因?yàn)橹挥猩舷滦袃蓚�(gè)方向分別單獨(dú)測量的結(jié)果才能表明問題的真實(shí)情況。

2．服務(wù)器和程序設(shè)計(jì)問題

帶寬一般分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當(dāng)一條路徑（通路）中沒有其它背景流量時(shí)，網(wǎng)絡(luò)能夠提供的最大的吞吐量�？捎脦�寬是指在網(wǎng)絡(luò)路徑（通路）存在背景流量的情況下，能夠提供給某個(gè)業(yè)務(wù)的最大吞吐量。我們通常把這兩種帶寬的數(shù)值表述當(dāng)作網(wǎng)絡(luò)管理的要點(diǎn)來看，殊不知很多問題出在服務(wù)器和程序設(shè)計(jì)方面。

很多企業(yè)的Web服務(wù)器低效運(yùn)行的主要原因不是服務(wù)器的系統(tǒng)配置不到位，而是Web服務(wù)系統(tǒng)沒有優(yōu)化。在連接數(shù)量較少的情況下，客戶端和服務(wù)器都不會(huì)有明顯感覺，但在數(shù)百條同時(shí)連接的情況下，Web服務(wù)進(jìn)程的性能局限性就變得非常明顯。比較明顯的就是許多企業(yè)設(shè)計(jì)用于支持業(yè)務(wù)流程的Web服務(wù)內(nèi)容，但這些服務(wù)都是運(yùn)行在通用操作系統(tǒng)上，（ OS本身并沒有優(yōu)化），而在程序開發(fā)階段也沒有對Web服務(wù)的功能充分測試，進(jìn)而限制了Web服務(wù)器處理數(shù)千條TCP連接的能力。問題的根源在于與輸入/輸出（I/O）相關(guān)的軟件架構(gòu)，而不是RAM容量或CPU的時(shí)鐘頻率。

3．病毒對帶寬的干擾

近段時(shí)間以來，很多局域網(wǎng)出現(xiàn)了大范圍的網(wǎng)絡(luò)中斷現(xiàn)象，這大多是因?yàn)閭�(gè)別用戶計(jì)算機(jī)感染某種ARP病毒導(dǎo)致。而這種病毒的危害的影響程度往往超出了網(wǎng)管人員的預(yù)期，很多ARP病毒可能已衍生新的變種，這些病毒發(fā)作時(shí)，其他用戶不能再通過arp命令查看網(wǎng)關(guān)的物理地址，使用相關(guān)的Antiarp軟件也無法起到相應(yīng)的作用。

以財(cái)政專網(wǎng)為例，如果網(wǎng)絡(luò)突然緩慢，在重要數(shù)據(jù)往來的時(shí)間段，留給系統(tǒng)管理員的響應(yīng)時(shí)間只有寶貴的十幾分鐘、甚至幾分鐘。而且，蠕蟲病毒對網(wǎng)絡(luò)速度的影響越來越嚴(yán)重，例如“網(wǎng)絡(luò)天空”等郵件蠕蟲病毒，它們導(dǎo)致被感染的用戶只要一連上網(wǎng)就不停地往外發(fā)郵件，病毒選擇用戶個(gè)人電腦中的隨機(jī)文檔附加在用戶的通訊簿上，通過隨機(jī)地址進(jìn)行郵件發(fā)送。成百上千的這種垃圾郵件有的排著隊(duì)往外發(fā)送，有的又成批地被退回來堆在服務(wù)器上。這都造成個(gè)骨干線路出現(xiàn)明顯擁塞，甚至在蠕蟲泛濫的局域網(wǎng)中，癱瘓的事件屢有發(fā)生。由此可見，我們在增加帶寬之前最好要排除病毒問題。

4．網(wǎng)絡(luò)中的壓縮技術(shù)

除去增加網(wǎng)絡(luò)帶寬之外，還有一些比較實(shí)際的解決辦法，例如“壓縮技術(shù)”。在電信術(shù)語中，壓縮的定義是：“通過消除相同的或在后續(xù)的采樣間隔中沒有變化的位串，來減少對信息或信號編碼時(shí)所需的位數(shù)量或帶寬的技術(shù)”。與增加帶寬作用相同的包括比較典型的MSR（分子序列壓縮）技術(shù)。

MSR技術(shù)在廣域網(wǎng)數(shù)據(jù)加速的主要表現(xiàn)為：數(shù)據(jù)包壓縮以后才進(jìn)行轉(zhuǎn)發(fā)。它可以把很多壓縮的信息包封裝在特定輸出信息包中，用來進(jìn)行廣域網(wǎng)傳遞。通過信息壓縮處理，需要傳輸?shù)臄?shù)據(jù)包的數(shù)量大量減少。另外，MSR的分析算法還檢測通信中重復(fù)的樣式，并構(gòu)造在組織上傳輸?shù)闹饕獦邮降膭?dòng)態(tài)詞匯，構(gòu)造全面的知識庫，有時(shí)也稱作“MSR字典”。隨著從網(wǎng)絡(luò)通信延伸和繼續(xù)，它會(huì)了解到更多的樣式和相關(guān)性，而知識庫將不斷更新，那些沒有用處的樣式記錄會(huì)被重新排列的新樣式所替換。采用這種方式，MSR的知識庫將與網(wǎng)絡(luò)的動(dòng)態(tài)語言和通信特征不斷保持同步。

建議

無限的增加帶寬不如合理的分析網(wǎng)絡(luò)中的應(yīng)用，部署智能的服務(wù)保障體系。我們需要提高對網(wǎng)絡(luò)流量的監(jiān)控能力，實(shí)現(xiàn)網(wǎng)絡(luò)流量協(xié)議的劃分，如：Web瀏覽（HTTP）、電子郵件（POP3、SMTP、WEB MAIL、文件下載(FTP)、即時(shí)聊天（MSN、QQ等）、流媒體（MMS、RTSP）等。針對不同 的網(wǎng)絡(luò)應(yīng)用協(xié)議進(jìn)行流量監(jiān)控和分析，如果某一個(gè)協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常占用可用帶寬的情況，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。

再者，針對現(xiàn)有廣域網(wǎng)應(yīng)用，部署QoS也可以起到加速的作用。因?yàn)镼oS強(qiáng)調(diào)網(wǎng)絡(luò)的充分可控性，即需要對網(wǎng)絡(luò)資源和用戶行為進(jìn)行嚴(yán)格的約束和控制。至今為止，在IP網(wǎng)絡(luò)上實(shí)現(xiàn)QoS已經(jīng)有了若干可行的方案，包括IntServ、DiffServ、SCORE、DPS等。在這其中，進(jìn)入網(wǎng)絡(luò)工程領(lǐng)域的是基于MPLS的QoS方案，許多企業(yè)已經(jīng)充分將VPN與之同步部署。MPLS是面向連接的，是ATM技術(shù)在IP網(wǎng)絡(luò)內(nèi)擴(kuò)展，通過在網(wǎng)絡(luò)中間節(jié)點(diǎn)上維護(hù)一定的狀態(tài)信息，保證分組在網(wǎng)絡(luò)中流動(dòng)時(shí)的可控性，是電信網(wǎng)絡(luò)設(shè)計(jì)思想在互聯(lián)網(wǎng)中的滲透與融合。

解決方案

偉世盾安公司在流量整形、帶寬管理技術(shù)上的實(shí)施是通過公司的網(wǎng)絡(luò)應(yīng)用流量管理器（WATM）產(chǎn)品系列達(dá)到的。WATM所提供的四項(xiàng)手段幫助使用者簡單快捷地達(dá)到有效地管理帶寬的目的。

1) 分類

WATM能夠自動(dòng)地發(fā)現(xiàn)和識別近百種類型的信流，而且經(jīng)常識別出沒被管理員發(fā)現(xiàn)的潛入網(wǎng)絡(luò)的應(yīng)用程序。在OSI網(wǎng)絡(luò)模型中，WATM不僅可以識別傳統(tǒng)的第四層流量，而且可以辨別出第七層的流量特征，從而區(qū)分不同協(xié)議和應(yīng)用程序。通過這種能力，復(fù)雜的視頻會(huì)議所使用的協(xié)議簇能夠很好的被識別出來。

2) 監(jiān)視

分類功能識別了網(wǎng)絡(luò)上的各類流量，監(jiān)視功能則顯示這些流量的運(yùn)行狀態(tài)，它幫助找出問題所在和相應(yīng)管理策略的線索。WATM跟蹤平均和高峰信息流量，識別最大的用戶和應(yīng)用程序，并且評估網(wǎng)絡(luò)效率。

這樣，管理人員就對目前網(wǎng)絡(luò)資源使用狀態(tài)有了充分的了解，為下一步實(shí)施帶寬管理準(zhǔn)備了充實(shí)的數(shù)據(jù)依據(jù)。

3) 控制

WATM提供靈活的帶寬管理工具以幫助用戶實(shí)施高效的帶寬管理策略。

虛擬帶寬：為某一類的流量帶寬使用總量設(shè)定上限和下限，確保某類流量有足夠帶寬而不受其他類別的影響，或者以上限帶寬總用量限制某類流量不能超過某一限額。

帶寬策略：為某一類的流量中的每個(gè)會(huì)話的帶寬使用量設(shè)定上限和下限，確保這類流量的每一會(huì)話有足夠帶寬以保障質(zhì)量或最低響應(yīng)時(shí)間延遲。

WATM充分運(yùn)用了隊(duì)列整形技術(shù)，明晰地管理帶寬資源和平整突發(fā)性IP流量。與基于路由器的解決方案相比，WATM積極地對信息傳輸進(jìn)行雙向整形，結(jié)果，WATM使每個(gè)應(yīng)用程序都實(shí)現(xiàn)了穩(wěn)定、迅捷、便于控制的性能。同時(shí)，隊(duì)列控制技術(shù)充分應(yīng)對了TCP和UDP流量，比某些公司僅僅宣稱的TCP速率控制技術(shù)來的更加全面。

4) 報(bào)告

WATM對各分類的流量進(jìn)行統(tǒng)計(jì)數(shù)據(jù)收集并提供在線圖表報(bào)告。這些大量的數(shù)據(jù)和圖表幫助用戶對網(wǎng)絡(luò)資源分配和使用的過去、現(xiàn)在和將來趨勢都有很好的了解,達(dá)到有效管理帶寬的目的。

典型方案

WATM產(chǎn)品實(shí)施管理帶寬的典型應(yīng)用如圖所示。

從上圖可以看出，WATM的安裝位置位于廣域網(wǎng)接口路由器和局域網(wǎng)交換機(jī)之間，所有經(jīng)過WATM到WAN的數(shù)據(jù)流都可以被其進(jìn)行管理。

WATM自04年10月起在國內(nèi)銷售以來，已經(jīng)擁有為數(shù)不少的客戶，包括山東聯(lián)通、國家旅游局、華北計(jì)算機(jī)研究所、上海南匯教育局、上海音樂學(xué)院、北大附小、靈智大洋等等，分散在電信、政府、教育、企業(yè)等不同行業(yè)。

誤讀2：防火墻讓網(wǎng)絡(luò)固若金湯

誤讀剖析

防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，貫穿于受控網(wǎng)絡(luò)通信主干線，它對通過受控干線的任何通信行為進(jìn)行安全處理，同時(shí)也承擔(dān)著繁重的通信任務(wù)。可是傳統(tǒng)意義上的包過濾防火墻有很多弊�。涸谕ㄐ欧矫�，包過濾防火墻只能訪問部分?jǐn)?shù)據(jù)包的頭信息；在狀態(tài)監(jiān)管方面，包過濾防火墻是無狀態(tài)的，所以它不可能保存來自于通信和應(yīng)用的狀態(tài)信息；在信息處理方面的能力也是有限的。

比如Unicode攻擊，以及“代碼注入技術(shù)”，因?yàn)檫@種攻擊是選擇了防火墻所允許的80端口，而包過濾的防火墻無法對數(shù)據(jù)包內(nèi)容進(jìn)行核查，因此此時(shí)防火墻等同于虛設(shè)，即使在防火墻的屏障之后，也會(huì)被攻擊者輕松拿下超級用戶的權(quán)限。

1．防火墻是一個(gè)靜態(tài)的設(shè)備

隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵在不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)本身的加固和防護(hù)上，如采用安全級別高的操作系統(tǒng)與數(shù)據(jù)庫，在網(wǎng)絡(luò)的出口處配置防火墻，在信息傳輸和存儲(chǔ)方面采用加密技術(shù)，使用集中的身份認(rèn)證產(chǎn)品等。傳統(tǒng)的信息系統(tǒng)安全模型是針對單機(jī)系統(tǒng)環(huán)境而制定的，對網(wǎng)絡(luò)環(huán)境安全并不能很好描述，并且對動(dòng)態(tài)的安全威脅、系統(tǒng)的脆弱性沒有應(yīng)對措施，傳統(tǒng)的安全模型是靜態(tài)安全模型。但隨著網(wǎng)絡(luò)的深入發(fā)展，它已無法完全反應(yīng)動(dòng)態(tài)變化的互聯(lián)網(wǎng)安全問題。

傳統(tǒng)的計(jì)算機(jī)安全模型中，美國國防部NCSC國家計(jì)算機(jī)安全中心于1985年推出的TCSEC模型是靜態(tài)計(jì)算機(jī)安全模型的代表，也是目前被普遍采用的安全模型。如圖2所示。

PPDR模型包含四個(gè)主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測）和Response （響應(yīng)）。防護(hù)、檢測和響應(yīng)組成了一個(gè)所謂的“完整的、動(dòng)態(tài)”的安全循環(huán)，在安全策略的整體指導(dǎo)下保證信息系統(tǒng)的安全。

2．高頻詞“安全木桶”

網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是客戶端用戶系統(tǒng)自身的復(fù)雜性、和隨意性較強(qiáng)，即使使用一些技術(shù)保護(hù)也可以說防不勝防。網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進(jìn)行保護(hù)。“木桶的最大容積取決于最短的一塊木板”，“安全木桶”這個(gè)詞在網(wǎng)絡(luò)安全領(lǐng)域是出現(xiàn)頻率非常高的用詞。

但是，依然有相當(dāng)一部分人認(rèn)為黑客、病毒、系統(tǒng)加固等就已經(jīng)涵蓋了信息安全的一切威脅，似乎信息安全工作就是完全在與黑客與病毒打交道，全面系統(tǒng)的安全解決方案就是部署反病毒軟件、防火墻、入侵檢測系統(tǒng)。這種片面的看法對一個(gè)組織實(shí)施有效的信息安全保護(hù)帶來了不良影響，有許多例子都可以舉出來。

3．網(wǎng)絡(luò)安全是一種“補(bǔ)充”

多數(shù)的企業(yè)網(wǎng)絡(luò)建設(shè)中都會(huì)將有限資金放到網(wǎng)絡(luò)邊界和基礎(chǔ)設(shè)施上，但是對計(jì)算環(huán)境尤其是終端安全的資金投入和重視程度不高。這種資金投入的比例嚴(yán)重失調(diào)必然會(huì)造成“短板效應(yīng)”。

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)，它不是防火墻，不是入侵檢測系統(tǒng)，也不是我們虛擬專用網(wǎng)，當(dāng)然，也不是哪個(gè)網(wǎng)管員根據(jù)廠商或者網(wǎng)上的一些資料加固系統(tǒng)范例。

我們常說的訪問控制列表，它能夠基于主機(jī)防火墻、文件訪問控制為您提供網(wǎng)絡(luò)層面和文件層面的控制，但它不是一個(gè)系統(tǒng)。對于一個(gè)真正的網(wǎng)絡(luò)安全系統(tǒng)，以需要應(yīng)用特定的威脅防御方法作為技術(shù)補(bǔ)充。例如在NTFS文件系統(tǒng)中，如果您針對了用戶設(shè)置“讀取訪問權(quán)限”，那么這些訪問文件的用戶真的就不能修改這些文件了嗎？答案是否定的。

我們設(shè)想一下，如果這個(gè)用戶將可讀取的文件存儲(chǔ)為副本，那么這個(gè)文件的從屬權(quán)是不是已經(jīng)丟失了。所以，在文件訪問控制列表的基礎(chǔ)上增加數(shù)字證書或者水印功能，都是對訪問控制列表的補(bǔ)充應(yīng)用。

建議

如此看來，僅有防火墻和加密顯然不夠。網(wǎng)絡(luò)管理員不僅要確保自己運(yùn)行的軟件版本最新、最安全，還要時(shí)時(shí)關(guān)注操作系統(tǒng)的漏洞報(bào)告，時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)，尋找可疑活動(dòng)的跡象。此外，他們還要對使用網(wǎng)絡(luò)的最終用戶給出明確的指導(dǎo)，勸他們不要安裝沒有經(jīng)過測試的新軟件，打開電子郵件的可執(zhí)行附件，訪問文件共享站點(diǎn)、運(yùn)行對等軟件，配置自己的遠(yuǎn)程訪問程序和不安全的無線接入點(diǎn)，等等。

誤讀3：超級網(wǎng)管代替網(wǎng)管軟件

誤讀剖析

如果企業(yè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)以及服務(wù)器等設(shè)備出現(xiàn)了問題，都要由網(wǎng)絡(luò)管理員在第一時(shí)間發(fā)現(xiàn)問題并解決問題，對任何一個(gè)網(wǎng)絡(luò)的管理員來說的確不公，一個(gè)企業(yè)光有一名好的網(wǎng)絡(luò)管理員是遠(yuǎn)遠(yuǎn)不夠的，還需要有一套優(yōu)秀的設(shè)備管理方案，或者說是一套優(yōu)秀的管理軟件，只有這樣才能配合網(wǎng)管員更好的完成管理的任務(wù)。

1．超級網(wǎng)管的壓力

在錯(cuò)綜復(fù)雜的信息環(huán)境，企業(yè)要想吸取有效信息，就必須面對跨越異構(gòu)環(huán)境（硬件平臺、操作系統(tǒng)、數(shù)據(jù)庫平臺……）帶來的層層障礙。隨著企業(yè)成長發(fā)生的變化，在異構(gòu)環(huán)境下的企業(yè)數(shù)據(jù)中心，其中的數(shù)百臺各種品牌的服務(wù)器和存儲(chǔ)設(shè)備中跑著各種應(yīng)用，管理起來就成了大問題。處在復(fù)雜網(wǎng)絡(luò)環(huán)境中的信息系統(tǒng)管理人員面臨著來自企業(yè)各個(gè)方面的壓力。他們要求IT環(huán)境下的一切都能“正常運(yùn)轉(zhuǎn)”，例如，隨時(shí)隨地訪問信息資料并收發(fā)電子郵件；與內(nèi)部團(tuán)隊(duì)成員及外部合作伙伴實(shí)現(xiàn)即時(shí)協(xié)作；開辟更多門戶，召開更多視頻會(huì)議，并提供其它協(xié)作工具；允許以程序員以自助方式調(diào)用服務(wù)器等等。

走在中關(guān)村的大街上，我時(shí)常看到一個(gè)個(gè)技術(shù)高手模樣的同行（黑色的眼袋，零亂的頭發(fā)，背著個(gè)IBM的包包），他們估計(jì)都是睡得比較晚，導(dǎo)致腎上腺皮脂激素分泌紊亂。很多時(shí)候，我非常敬佩的一些網(wǎng)絡(luò)管員，他們用無限的學(xué)習(xí)和工作時(shí)間，甚至在用自己的身體健康去換得網(wǎng)絡(luò)的穩(wěn)定和安全。

2．過分依賴SNMP

SNMP（Simple Network Management Protocol），即簡單網(wǎng)絡(luò)管理協(xié)議。SNMP最初的標(biāo)準(zhǔn)確定之后，很快被眾多的廠商設(shè)備所支持，并且發(fā)展到并不“簡單”的地位。在這期間，一是因?yàn)镾NMP的簡單性（SNMP只關(guān)注于一些簡單的數(shù)據(jù)、特性和變量），二是由于網(wǎng)絡(luò)管理員和系統(tǒng)管理員的“從眾心理”，SNMP得到了長足的發(fā)展。它被廣泛接受并成為現(xiàn)今網(wǎng)管軟件基礎(chǔ)架構(gòu)的鼻祖，經(jīng)過三次的版本演化，它在網(wǎng)管人員和系統(tǒng)工程師的心中可以說根深蒂固。很多管理員甚至將SNMP管理視為發(fā)現(xiàn)和解決一切故障的法寶，但隨著網(wǎng)絡(luò)和系統(tǒng)管理任務(wù)的增多，自己編寫腳本就顯得越發(fā)的復(fù)雜和吃力，例如操作系統(tǒng)、數(shù)據(jù)庫和郵件系統(tǒng)的更新?lián)Q代，以及跨平臺數(shù)據(jù)庫的統(tǒng)一管理，都使得很多人已經(jīng)陷入了系統(tǒng)管理的泥潭，無法自拔。

另外，SNMP的關(guān)注點(diǎn)和現(xiàn)實(shí)中的網(wǎng)絡(luò)管理有很大出入。如今的網(wǎng)絡(luò)管理是一項(xiàng)龐大而復(fù)雜的工程。導(dǎo)致網(wǎng)絡(luò)故障發(fā)生往往由于多種原因，既可能是“一因多果”，也可能是“一果多因”。我們舉一個(gè)服務(wù)器的性能管理例子：SNMP只會(huì)告訴我們它工作的狀態(tài)，但不會(huì)告訴我們資源的使用應(yīng)該如何優(yōu)化。

SNMP的重心都同樣在于裝置的監(jiān)看和控制，但整體的網(wǎng)絡(luò)管理將裝置視為是整體，或是一群相關(guān)服務(wù)的集合。而SNMP很多時(shí)候?qū)⑻峁┓��?wù)的設(shè)備視為是系統(tǒng)的一小部份。您也可以這樣來看待兩者的差別：一者是只關(guān)心特定裝置的順利運(yùn)轉(zhuǎn)（SNMP），另一者是關(guān)心整體網(wǎng)絡(luò)的健全運(yùn)作與長遠(yuǎn)發(fā)展。

3．手工管理的缺陷

有的時(shí)候，我們很難對所有的系統(tǒng)錯(cuò)誤都能夠迅速排除，這具有很高的挑戰(zhàn)性，幾乎不可能完成。用戶會(huì)根據(jù)經(jīng)驗(yàn)一步一步地檢查故障，如ping一下路由器、檢查一下系統(tǒng)CPU使用率、內(nèi)存使用率等。網(wǎng)管人員一邊思考、一邊檢查，耗時(shí)長，而網(wǎng)絡(luò)癱瘓時(shí)間越長，企業(yè)的損失就越大。手工管理網(wǎng)絡(luò)在效率低下的同時(shí)，還具有很大的隨意性，在沒有同一規(guī)范的前提下，很容易漏掉一些關(guān)鍵點(diǎn)，埋下隱患。尤其是一個(gè)網(wǎng)絡(luò)中只有管理員的時(shí)候，他不可能是個(gè)“全面手”，不可能面對不同版本的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用系統(tǒng)、郵件系統(tǒng)都成為專家。

建議

以前當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，許多企業(yè)會(huì)請專家來幫助分析，幫助調(diào)理網(wǎng)絡(luò)，在付費(fèi)的同時(shí)還欠下了一筆“人情債”。而當(dāng)系統(tǒng)出現(xiàn)問題的時(shí)候，簡單的通過再購買一些服務(wù)器來解決問題。

智能化的網(wǎng)管軟件代替手工腳本的原因在于：智能網(wǎng)管能夠自動(dòng)獲得網(wǎng)絡(luò)中各種設(shè)備的技術(shù)參數(shù)，進(jìn)而智能分析、診斷，預(yù)警。將整個(gè)網(wǎng)絡(luò)中存在的絲毫隱患排出，遇到故障后第一時(shí)間知曉，加速恢復(fù)，支撐企業(yè)信息系統(tǒng)的RPO（恢復(fù)點(diǎn)目標(biāo)）和RTO（恢復(fù)時(shí)間目標(biāo)）不是一個(gè)“超級網(wǎng)管”能過負(fù)擔(dān)起的。曾經(jīng)走過風(fēng)雨的網(wǎng)管員都清楚，運(yùn)維一個(gè)網(wǎng)絡(luò)要比組建一個(gè)網(wǎng)絡(luò)更加難上加難。而現(xiàn)在您可能會(huì)考慮購買網(wǎng)管軟件來加強(qiáng)網(wǎng)絡(luò)管理，以優(yōu)化現(xiàn)有網(wǎng)絡(luò)性能，逃脫故障的束縛，開始恢復(fù)您的自信。

誤讀4：網(wǎng)絡(luò)管理=設(shè)備管理

誤讀剖析

現(xiàn)代化的信息網(wǎng)絡(luò)已經(jīng)滲透到社會(huì)生活的各個(gè)方面，目前越來越多的企業(yè)、單位的業(yè)務(wù)工作都建立在網(wǎng)絡(luò)平臺基礎(chǔ)之上。然而人們在享受網(wǎng)絡(luò)帶來的便利同時(shí)，也不得不忍受網(wǎng)絡(luò)帶來的各種問題，管理人員也發(fā)現(xiàn)網(wǎng)絡(luò)越來越難以駕馭，看似完善、穩(wěn)定的網(wǎng)絡(luò)環(huán)境卻無法捉摸，這是什么原因呢？

通過多年來和各行業(yè)信息部門的深入合作，我們發(fā)現(xiàn)，正是因?yàn)榫W(wǎng)絡(luò)深入到工作生活的各個(gè)方面，所以網(wǎng)絡(luò)的復(fù)雜性往往被低估，使得網(wǎng)絡(luò)管理總是陷入到被動(dòng)的局面，網(wǎng)絡(luò)正在被人們、甚至管理人員所誤讀，有些用戶對于網(wǎng)絡(luò)管理,目前可能還停留在硬件設(shè)備的監(jiān)控上面。實(shí)際上，當(dāng)前的企業(yè)應(yīng)用復(fù)雜多樣。對設(shè)備的監(jiān)視已經(jīng)不能準(zhǔn)確反映企業(yè)網(wǎng)絡(luò)的健康狀況。只有對網(wǎng)絡(luò)中各種設(shè)備，應(yīng)用的深入、詳細(xì)的監(jiān)控，結(jié)合綜合分析，才能使企業(yè)信息系統(tǒng)達(dá)到最佳狀態(tài)。

有些用戶常常想通過一款產(chǎn)品解決網(wǎng)絡(luò)管理中的所有問題，這是比較困難的，整套的網(wǎng)絡(luò)管理解決方案才能真正解決用戶的問題。因?yàn)槊總�(gè)產(chǎn)品都有它的主攻方向，多個(gè)產(chǎn)品有效的地協(xié)調(diào)工作起來才能縱深地管理網(wǎng)絡(luò)。網(wǎng)管員產(chǎn)生這樣的誤解主要體現(xiàn)在幾個(gè)方面:

1．對網(wǎng)絡(luò)理解的偏差

首先很多管理人員對網(wǎng)絡(luò)的概念還存在一定的偏差，很多管理人員認(rèn)為網(wǎng)絡(luò)只是指網(wǎng)絡(luò)設(shè)備和鏈路的組成，然而現(xiàn)代意義上的網(wǎng)絡(luò)不應(yīng)該局限在自身，而應(yīng)該站在網(wǎng)絡(luò)業(yè)務(wù)服務(wù)的高度，為網(wǎng)絡(luò)用戶提供穩(wěn)定的服務(wù)，保障業(yè)務(wù)可用性，所以說現(xiàn)代網(wǎng)絡(luò)應(yīng)該由設(shè)備、鏈路、主機(jī)、數(shù)據(jù)庫、Internet/Intranet服務(wù)、業(yè)務(wù)應(yīng)用綜合組成。

2．對網(wǎng)絡(luò)建設(shè)和管理的關(guān)系認(rèn)識不清

其次，網(wǎng)絡(luò)建設(shè)和管理的關(guān)系之痛，重建設(shè)、輕管理是目前的普遍現(xiàn)狀，網(wǎng)絡(luò)建設(shè)和管理的不和諧，使管理陷入一個(gè)復(fù)雜、無序的環(huán)境，為管理人員帶來的巨大的管理難度。網(wǎng)絡(luò)建設(shè)和管理相符相承、相互促進(jìn)，才可能為用戶提供滿意的。

誤讀5：網(wǎng)絡(luò)管理和安全相互獨(dú)立

誤讀剖析

“網(wǎng)絡(luò)安全很重要，必須投入足夠的資金和人力，以保障網(wǎng)絡(luò)安全；而網(wǎng)絡(luò)管理和網(wǎng)絡(luò)維護(hù)則不是非常重要，甚至可做可不做�！苯�些年來，隨著局域網(wǎng)的應(yīng)用進(jìn)入各行各業(yè)的關(guān)鍵業(yè)務(wù)流程及網(wǎng)絡(luò)安全問題的時(shí)有發(fā)生，人們對網(wǎng)絡(luò)安全的關(guān)注度迅速提高，并把網(wǎng)絡(luò)安全放在了信息化建設(shè)的首位。一方面這說明人們的網(wǎng)絡(luò)安全意識有了明顯的提高，是件好事；但另一方面，由于沒有仔細(xì)地分析安全問題的根源和片面地看待特定的安全問題，而產(chǎn)生了嚴(yán)重的誤區(qū)。

很多局域網(wǎng)的管理者孤立地看待網(wǎng)絡(luò)安全問題。他們認(rèn)為解決網(wǎng)絡(luò)安全問題和日常的網(wǎng)絡(luò)管理和維護(hù)沒有太多關(guān)系，而是只需要購買和使用一些特定的網(wǎng)絡(luò)安全產(chǎn)品。例如，防火墻、入侵檢測、殺毒軟件等等。事實(shí)上，這些年來人們也確實(shí)是這樣做的，很多單位投巨資購置了各類網(wǎng)絡(luò)安全產(chǎn)品，但在網(wǎng)絡(luò)管理和維護(hù)方面卻很少投入，其結(jié)果是絕大多數(shù)單位都沒有實(shí)現(xiàn)預(yù)期的安全目的，管理和維護(hù)更是處于很原始的狀態(tài)。另一方面，傳統(tǒng)的安全產(chǎn)品廠家也普遍采用“頭痛治頭、腳痛醫(yī)腳”的辦法為用戶提供安全產(chǎn)品，這也嚴(yán)重地誤導(dǎo)了用戶，使其誤認(rèn)為安全問題和管理與維護(hù)問題沒有密切的關(guān)系。

由于上述原因，在很多局域網(wǎng)用戶單位，出現(xiàn)了大量投資、重復(fù)建設(shè)，購買了很多種產(chǎn)品，在局域網(wǎng)內(nèi)嚴(yán)重出現(xiàn)“信息孤島”現(xiàn)象。最終，也未能實(shí)現(xiàn)局域網(wǎng)安全、可靠、高效地運(yùn)行。

事實(shí)上，局域網(wǎng)的安全問題和管理與維護(hù)問題是密切地交織在一起的，不能人為地把它們分割開來，不應(yīng)該也不可能孤立地解決網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全問題是由兩方面的因素促成的：一是有人破壞；二是網(wǎng)絡(luò)有漏洞或薄弱環(huán)節(jié)。這就如同人得病，不僅僅是由于您所處的環(huán)境有病菌，更主要的是由于您自身機(jī)體的免疫力下降。局域網(wǎng)的安全也符合類似的情況。我們首先必須通過高水平的網(wǎng)絡(luò)管理和維護(hù)，使局域網(wǎng)在高度規(guī)范化和標(biāo)準(zhǔn)化的狀態(tài)下高效運(yùn)轉(zhuǎn)；其次，才能夠使特定的安全產(chǎn)品和機(jī)制發(fā)揮其應(yīng)有的作用。

建議

為了真正實(shí)現(xiàn)局域網(wǎng)安全，必須把安全、管理和維護(hù)問題作為一個(gè)整體來考慮。首先，要保證每臺計(jì)算機(jī)實(shí)現(xiàn)標(biāo)準(zhǔn)化配置；標(biāo)準(zhǔn)化配置，不是說所有的計(jì)算機(jī)都是一樣的配置，而是說每臺計(jì)算機(jī)的硬件和軟件配置都符合工作的需要，不多也不少；其次，是要實(shí)現(xiàn)網(wǎng)絡(luò)計(jì)算機(jī)使用者行為的規(guī)范化管理；這種規(guī)范化管理包含了局域網(wǎng)行為的方方面面，如，互聯(lián)網(wǎng)訪問行為，移動(dòng)移動(dòng)存儲(chǔ)或打印機(jī)使用行為和文件操作權(quán)限等等。第三，是要保證對整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)高效及時(shí)的維護(hù)；這包括安全補(bǔ)丁的及時(shí)升級，各類網(wǎng)絡(luò)問題或故障的預(yù)警、定位和排除等等。最后，才是落實(shí)一系列有針對性的安全措施，

為了實(shí)現(xiàn)上述目的，綜合解決方案不可能靠來自不同廠家，彼此互不兼容的多種產(chǎn)品羅列而成，而必須是靠一個(gè)功能極其豐富的綜合系統(tǒng)管理平臺來發(fā)揮核心作用，同時(shí)整合客戶已有的其它安全產(chǎn)品，為用戶提供安全、管理和維護(hù)三位一體的解決方案。

誤讀6：參數(shù)是最重要的

誤讀剖析

在網(wǎng)絡(luò)產(chǎn)品的選擇上，用戶為了獲得性能更佳，更穩(wěn)定的網(wǎng)絡(luò)，往往偏重于各種參數(shù)的大小比較，比如，CPU的頻率、內(nèi)存的大小、背板帶寬，端口速率、路由表?xiàng)l目數(shù)量，MAC地址表容量等等。

他們認(rèn)為只要網(wǎng)絡(luò)產(chǎn)品的參數(shù)值越高，其性能就越好，這種誤解從本質(zhì)上講來源于對于計(jì)算機(jī)的認(rèn)識，我們在選購計(jì)算機(jī)時(shí)，有一個(gè)共識，那就是CPU主頻越高，內(nèi)存越大、硬盤越快，計(jì)算機(jī)速度就越高，這個(gè)共識在單機(jī)層面應(yīng)該來說基本正確，然而，在網(wǎng)絡(luò)設(shè)備方面可能并不正確，這是因?yàn)樗�忽視了網(wǎng)絡(luò)核心設(shè)備體系結(jié)構(gòu)和軟件設(shè)計(jì)，其實(shí)，這才是網(wǎng)絡(luò)設(shè)備能為網(wǎng)絡(luò)穩(wěn)定性提供重要保證的基礎(chǔ)。

一款網(wǎng)絡(luò)設(shè)備產(chǎn)品當(dāng)它的CPU具有超高的速度，內(nèi)存具有超大的容量，背板帶寬具有很高的數(shù)值，交換容量具有海量的等級時(shí)，我們并不能武斷的判斷出這臺網(wǎng)絡(luò)設(shè)備產(chǎn)品性能超強(qiáng)，各種參數(shù)優(yōu)秀只能表明這款網(wǎng)絡(luò)產(chǎn)品具備成為一款高性能產(chǎn)品的條件，并不說明它就一定會(huì)成為性能卓越的產(chǎn)品。

網(wǎng)絡(luò)產(chǎn)品不同于普通的計(jì)算機(jī)，一般而言，目前在計(jì)算機(jī)產(chǎn)品的體系架構(gòu)方面，大部分計(jì)算機(jī)產(chǎn)品的設(shè)計(jì)都遵循著一個(gè)相同標(biāo)準(zhǔn)，采用相同的體系架構(gòu)，甚至大部分計(jì)算機(jī)產(chǎn)品都安裝有相同的操作系統(tǒng)，在這樣的條件下，性能參數(shù)的高低當(dāng)然直接決定著系統(tǒng)性能的好壞。然而，網(wǎng)絡(luò)設(shè)備產(chǎn)品則與此不太相同，許多網(wǎng)絡(luò)產(chǎn)品在體系結(jié)構(gòu)、系統(tǒng)軟件方面都存在較大差異，在這種情況下，單單比較參數(shù)的高低，意義確實(shí)不大。優(yōu)秀的體系結(jié)構(gòu)可以使得擁有較低參數(shù)指標(biāo)的網(wǎng)絡(luò)設(shè)備在整體性能上不遜于其他采用較高性能參數(shù)部件的網(wǎng)絡(luò)設(shè)備產(chǎn)品。

隔行如隔山，用戶在網(wǎng)絡(luò)產(chǎn)品時(shí)看到的更多的是基本規(guī)格，實(shí)際上在市場上的絕大部分交換產(chǎn)品都已經(jīng)可以做到線速轉(zhuǎn)發(fā)，但在實(shí)際應(yīng)用時(shí)，卻出現(xiàn)了很多交換機(jī)死機(jī)，網(wǎng)絡(luò)癱瘓等問題。產(chǎn)生這些問題的根本原因，其實(shí)是產(chǎn)品本身的體系架構(gòu)不合理。

誤讀7：URL庫越大越好

誤讀剖析

上網(wǎng)行為管理產(chǎn)品的核心是提高用戶的工作效率，避免不良網(wǎng)絡(luò)行為給用戶帶來的商業(yè)和法律風(fēng)險(xiǎn)。和專門的URL過濾器等內(nèi)容審計(jì)產(chǎn)品相比，上網(wǎng)行為管理產(chǎn)品不僅需要過濾網(wǎng)頁，還要進(jìn)行應(yīng)用和流量的細(xì)致管理，包括網(wǎng)絡(luò)軟件的封堵、IM聊天工具的審計(jì)、網(wǎng)絡(luò)流量的分配等。

在上網(wǎng)行為管理行業(yè)，很多廠商都急于向用戶表明其URL庫的強(qiáng)大，例如幾百萬、甚至幾千萬的URL庫等。由于數(shù)據(jù)庫的搜集是一項(xiàng)很耗時(shí)間和精力的工作，數(shù)據(jù)庫的規(guī)模也往往成為了很多廠商比較實(shí)力的標(biāo)準(zhǔn)之一。

然而，通過和眾多的用戶交流，我們發(fā)現(xiàn)URL庫對用戶的吸引力并沒有廠商想象中的那么大。

首先，URL庫的更新往往落后于新網(wǎng)站的出現(xiàn)。每天，Internet上都會(huì)涌現(xiàn)出難以計(jì)數(shù)的網(wǎng)站、博客和論壇，無論廠商組織多大規(guī)模的團(tuán)隊(duì)去進(jìn)行URL的搜集，也不可能跟得上網(wǎng)頁的增加速度。

其次，上網(wǎng)行為管理的一些核心功能，例如對應(yīng)用的封堵和限制、對數(shù)據(jù)的審計(jì)和監(jiān)控，以及對網(wǎng)絡(luò)流量的分配和優(yōu)化，這些都是URL庫無法實(shí)現(xiàn)的功能。當(dāng)用戶的需求從簡單的管理網(wǎng)頁瀏覽延伸到需要更全面、更細(xì)致的互聯(lián)網(wǎng)訪問控制時(shí)，依靠人力堆積起來的URL庫顯得有些乏力。而如何對各種應(yīng)用、流量以及潛在的安全威脅實(shí)現(xiàn)全面的識別，進(jìn)而做出正確的判斷，才是用戶更應(yīng)該重點(diǎn)關(guān)注的問題。

關(guān)于什么是識別，我們可以舉幾個(gè)簡單的例子：A.網(wǎng)絡(luò)中剛剛出現(xiàn)一個(gè)釣魚網(wǎng)頁，通過偽造電子銀行的頁面進(jìn)行詐騙，這屬于內(nèi)容安全的一種。如何在第一時(shí)間防止員工訪問這個(gè)危險(xiǎn)網(wǎng)頁，這就依賴于準(zhǔn)確的識別功能；B.員工利用在辦公室上網(wǎng)的機(jī)會(huì)，在反動(dòng)的論壇注冊并發(fā)布不良的言論，這屬于外發(fā)信息識別。當(dāng)公安部門發(fā)現(xiàn)并追究責(zé)任時(shí)，如何通過日志來查詢到局域網(wǎng)中進(jìn)行非法活動(dòng)的員工，這屬于對內(nèi)的識別功能；C.網(wǎng)絡(luò)流量過大，導(dǎo)致局域網(wǎng)出口封堵或異常緩慢，影響到整個(gè)企業(yè)的Internet訪問，如何去判斷是哪些人、哪些應(yīng)用影響了網(wǎng)絡(luò)，這當(dāng)然也應(yīng)該屬于流量識別的范疇。

在識別方面，Websense、BlueCoat、深信服科技等知名廠商都進(jìn)行了有效的工作。Websense的Web Security Suite軟件可以主動(dòng)發(fā)現(xiàn)和即時(shí)防范各種Web威脅，例如間諜軟件、網(wǎng)絡(luò)欺詐、病毒等新興網(wǎng)絡(luò)安全威脅。BlueCoat的SG系列網(wǎng)關(guān)通過內(nèi)置策略來有效的預(yù)防間諜軟件。而深信服科技的AC系列網(wǎng)關(guān)通過加入了網(wǎng)絡(luò)準(zhǔn)入規(guī)則（NAR）、深度內(nèi)容檢測（TCD）等技術(shù)，能夠更全面的識別企業(yè)網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用、數(shù)據(jù)和流量，以便管理員做出更完善的管理。

由于識別是行為管理的第一步和最重要的一步，如果識別有誤，或者無法識別以上這些應(yīng)用，那么網(wǎng)絡(luò)管理者就無法進(jìn)行準(zhǔn)確有效的管理。那么，無論URL庫有多大規(guī)模，對用戶來說不過是一個(gè)廠商向其吹噓的噱頭罷了。

成功案例

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。網(wǎng)絡(luò)對辦公環(huán)境造成的危害主要表現(xiàn)為：

1. 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，木馬、病毒傳播迅速，影響規(guī)模大，還導(dǎo)致網(wǎng)絡(luò)長時(shí)間處于帶毒運(yùn)行而系統(tǒng)管理員無能為力。

2. 部分網(wǎng)站網(wǎng)頁含有惡意代碼，強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢；

3. 個(gè)別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝報(bào)多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制；有些病毒利用arp欺騙，影響到整個(gè)片區(qū)辦公電腦的正常工作；

4. 一些計(jì)算機(jī)愛好者利用辦公電腦作為學(xué)習(xí)電腦的工具，私自開啟DHCP服務(wù)器，導(dǎo)致辦公電腦不能正常獲取IP，導(dǎo)致用戶計(jì)算機(jī)與應(yīng)用系統(tǒng)服務(wù)器的通訊中斷。

5. 部分員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時(shí)啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強(qiáng)。

網(wǎng)絡(luò)行為管理和維護(hù)策略

策略1：啟用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。借助于深信服SINFOR M5400-AC產(chǎn)品的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，識別內(nèi)網(wǎng)用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計(jì)算機(jī)，不許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性，減少了企業(yè)遭受蠕蟲、病毒、木馬及間諜軟件的風(fēng)險(xiǎn)。

策略2：借助于深信服SINFOR M5400-AC產(chǎn)品的網(wǎng)絡(luò)行為識別功能，對從常規(guī)端口過來的數(shù)據(jù)包進(jìn)行特征碼檢測，從而達(dá)到徹底封鎖BT、QQ、MSN等軟件。目前由于處于基建期間，各專業(yè)存專工使用QQ和MSN等IM軟件的即時(shí)文字消息和廠家進(jìn)行溝通和交流，可以對這部分用戶開放QQ和MSN 等IM軟件的即時(shí)文字交流，對其他用戶的IM通訊進(jìn)行封堵。

策略3：借助于深信服SINF OR M 5400-AC產(chǎn)品的入侵識別系統(tǒng)，使得信息系統(tǒng)管理員可以根據(jù)記錄進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，可以有針對性地進(jìn)行預(yù)防性檢查。

實(shí)施效果

實(shí)施上述策略后，基本上能為廠區(qū)內(nèi)所有辦公電腦提供一個(gè)正常的健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

1. 網(wǎng)絡(luò)滿足全廠人員在廠區(qū)局域網(wǎng)絡(luò)內(nèi)辦公的需求，接入因特網(wǎng)的速度也比較滿意；

2. 基本杜絕了病毒爆發(fā)；

3. 業(yè)務(wù)性和管控性加強(qiáng)。

4. 很容易查找和定位帶病毒運(yùn)行的計(jì)算機(jī)，

5. 系統(tǒng)具備一定主動(dòng)識別和預(yù)防的能力，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，并進(jìn)行針對性的預(yù)防檢查。

誤讀8 ：SSL沒有IPSec安全

誤讀剖析

VPN應(yīng)該是一個(gè)網(wǎng)管們非常熟悉的技術(shù)了。但我們通過調(diào)查發(fā)現(xiàn)，依然有很多用戶對VPN的安全性存在顧慮，而對于在國內(nèi)逐漸“熱”起來的SSL VPN，很多用戶對其的了解也存在多多少少的誤區(qū)。其中，對SSL VPN安全性比較低的認(rèn)識就是一個(gè)常見的誤解。

IPSec VPN的應(yīng)用優(yōu)勢體現(xiàn)在網(wǎng)對網(wǎng)（Network to Network）的連接，這也是SSL VPN一直無法完全替代IPSec VPN的地方。而IPSec VPN的安全策略也都體現(xiàn)在網(wǎng)絡(luò)對網(wǎng)絡(luò)的加密，既對網(wǎng)絡(luò)間建立的VPN隧道進(jìn)行保護(hù)。

SSL VPN主要用于點(diǎn)到應(yīng)用（Peer to APP）的保護(hù)，也就是單點(diǎn)用戶（終端）和應(yīng)用之間的加密，相當(dāng)于把局域網(wǎng)中的應(yīng)用資源通過SSL VPN映射給不同的訪問用戶。

由于IPSec VPN運(yùn)行在網(wǎng)絡(luò)層，局域網(wǎng)中的應(yīng)用對于接入用戶來說是完全透明的，而接入的用戶在網(wǎng)絡(luò)中所進(jìn)行的行為對IPSec VPN來說也是透明的。這就產(chǎn)生了一個(gè)問題，就是管理員無法對接入用戶的權(quán)限進(jìn)行細(xì)致劃分，對用戶的訪問情況也一無所知。這將產(chǎn)生一個(gè)隱患，就是內(nèi)網(wǎng)資源被接入用戶任意使用，而管理員卻毫無辦法。

和IPSec VPN相比，SSL VPN的安全性有以下幾個(gè)方面的提高：

首先， SSL VPN隧道是在客戶到所訪問的資源之間建立的，而不是網(wǎng)絡(luò)層。所以管理員可為不同身份的用戶劃分特定的資源訪問權(quán)限，這就避免了核心應(yīng)用被權(quán)限較低的用戶所使用。

其次，由于SSL VPN是端對端的安全保護(hù)，局域網(wǎng)和因特網(wǎng)上傳輸數(shù)據(jù)都不是透明的，客戶對資源的操作都需要經(jīng)過安全的身份驗(yàn)證和加密，這將大大降低數(shù)據(jù)被竊取的幾率。

另外，SSL VPN是將內(nèi)部的服務(wù)器端口統(tǒng)一映射為https服務(wù)進(jìn)行發(fā)布，減少了端口的開放數(shù)量，降低了被攻擊的風(fēng)險(xiǎn)；同時(shí)，和IPSec將內(nèi)部局域網(wǎng)開放給接入的用戶不同，SSL VPN僅僅把自身的443端口向外發(fā)布，客戶端的病毒只有是針對特定應(yīng)用系統(tǒng)的，才有可能傳播給SSL VPN網(wǎng)關(guān)，否則往往到SSL VPN就截止了，更不用說感染到內(nèi)網(wǎng)的其他PC。而IPSec VPN就不同，受病毒感染的主機(jī)很容易把病毒帶到內(nèi)網(wǎng)。

所以，綜合的比較起來，SSL VPN的安全性要遠(yuǎn)勝于IPSec VPN，只要配合以安全的認(rèn)證手段并采取完備的訪問控制策略，SSL VPN完全可以勝任局域網(wǎng)應(yīng)用在Internet上的安全擴(kuò)展。

成功案例

寧煤集團(tuán)分為煤業(yè)企業(yè)和非煤企業(yè)兩大機(jī)構(gòu)，在全自治區(qū)各地都有自己的子公司和網(wǎng)點(diǎn)，這些部門之間因溝通很少。在未部署深信服SINFOR SSL VPN網(wǎng)關(guān)之前，寧煤集團(tuán)總部內(nèi)部采用一套ERP系統(tǒng)，只在公司內(nèi)部，員工之間可以實(shí)現(xiàn)協(xié)同辦公。對于出差員工出差在外時(shí)，只能通過傳統(tǒng)的PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）來訪問公司內(nèi)部資源，但PPTP的安全性和控制策略能力有限，不能滿足公司對數(shù)據(jù)安全性和訪問控制的要求，對于分支機(jī)構(gòu)與總部之間的聯(lián)系，也存在同樣的問題。

根據(jù)寧煤集團(tuán)的業(yè)務(wù)狀況，深信服公司為其提供了一套雙效合一的VPN解決方案，解決了其信息化建設(shè)的當(dāng)務(wù)之急。

解決方案

應(yīng)用深信服SINFOR SSL VPN后的寧煤集團(tuán)網(wǎng)絡(luò)拓?fù)鋱D如上，將SINFOR SSL VPN網(wǎng)關(guān)安裝于公司總部的入口，以單臂模式部署，即直接用一根網(wǎng)線將SINFOR SSL VPN網(wǎng)關(guān)的LAN口和寧煤集團(tuán)網(wǎng)絡(luò)中心的3層交換機(jī)相連，并給SINFOR SSL VPN網(wǎng)關(guān)分配一個(gè)內(nèi)網(wǎng)管理IP地址，接著再放行前置防火墻的443端口和4009端口分別對SSL VPN和IPSEC VPN進(jìn)行監(jiān)聽。寧煤集團(tuán)下屬分公司、發(fā)運(yùn)站通過部署SINFOR IPSEC VPN系列硬件網(wǎng)關(guān)與總部的SINFOR IPSEC/SSL 二合一VPN網(wǎng)關(guān)建立IPSEC VPN 隧道進(jìn)行網(wǎng)對網(wǎng)連接；移動(dòng)辦公用戶通過使瀏覽器進(jìn)行遠(yuǎn)程接入。

通過深信服SSL VPN解決方案，寧煤集團(tuán)實(shí)現(xiàn)了安全、便于管理的遠(yuǎn)程互聯(lián)：

安全的VPN網(wǎng)絡(luò)

深信服SSL VPN網(wǎng)關(guān)是首家基于IPSEC/SSL VPN功能于一體的解決方案，通過多重安全認(rèn)證機(jī)制對客戶端身份進(jìn)行合法性校驗(yàn)。

管理員通過角色管理為不同的用戶分配相應(yīng)的權(quán)限，并把帳號以證書的方式下發(fā)給內(nèi)部用戶，用戶訪問SSL VPN網(wǎng)關(guān)時(shí)必須通過USB KEY或數(shù)字證書才能接入總部網(wǎng)絡(luò)，進(jìn)而訪問私網(wǎng)中的ERP系統(tǒng)、文件管理系統(tǒng)、OA系統(tǒng)的服務(wù)器，達(dá)到同在辦公室辦公的員工訪問服務(wù)器一樣的效果，實(shí)現(xiàn)了遠(yuǎn)程的協(xié)同辦公。

寧煤集團(tuán)總部管理員還把這種認(rèn)證方式在整個(gè)集團(tuán)的財(cái)務(wù)部門進(jìn)行了推廣使用，保證了財(cái)務(wù)人員接入財(cái)務(wù)數(shù)據(jù)庫時(shí)的安全性。SINFOR SSL VPN通過強(qiáng)大的接入控制特性，對不同賬號分別給予靈活多樣的策略，用戶連接Internet后，通過VPN網(wǎng)關(guān)，根據(jù)給定訪問權(quán)限可以訪問。

另外，由于客戶端感染病毒和木馬的機(jī)率較大，這些安全隱患有可能通過SSL VPN隧道傳播到總部寧煤集團(tuán)內(nèi)網(wǎng)，現(xiàn)在很多知名的SSL VPN廠商，例如： 深信服、juniper、Aventail等都具備客戶端安全檢查（如：是否打SP2補(bǔ)丁、是否安全指定殺毒軟件等等）的機(jī)制，SINFOR SSL VPN除了能對客戶端做安全檢查之外，還可以按安全檢查的劃分各種安全等級，不同安全等級分配不同的訪問權(quán)限，更進(jìn)一步保證寧煤集團(tuán)內(nèi)網(wǎng)的安全。

可管理的VPN網(wǎng)絡(luò)

由于深信服SSL VPN網(wǎng)關(guān)支持遠(yuǎn)程管理，管理員可以不在辦公室就可對SSL VPN網(wǎng)關(guān)的策略進(jìn)行編輯和修改，而這個(gè)過程都是經(jīng)過加密保護(hù)的，方便了用戶的管理和維護(hù)。

SINFOR寧煤集團(tuán)SSL VPN應(yīng)用解決方案不僅保證了外地用戶與公司總部之間方便、自由、安全、靈活的聯(lián)系方式，而且能夠保證數(shù)據(jù)傳輸?shù)耐暾�性、保密性；同時(shí)，其強(qiáng)大的基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源，為用戶提供詳盡的接入控制，當(dāng)新用戶加入VPN網(wǎng)絡(luò)時(shí)，不需改變網(wǎng)絡(luò)的原來架構(gòu)，只須在總部進(jìn)行簡單設(shè)置即可；從而不僅幫助企業(yè)節(jié)約資金，而且通過不同等級的服務(wù)質(zhì)量保證提供充分的安全保障。

誤讀9：虛擬化是萬能藥

誤讀剖析

虛擬化是近年來非常熱門的一項(xiàng)技術(shù)，其根本原理就是把物理資源轉(zhuǎn)變?yōu)檫壿嬌峡梢怨芾淼馁Y源，打破了物理結(jié)構(gòu)之間的壁壘。這樣，所有的資源都透明的運(yùn)行的在各種各樣的物理平臺上，資源的管理都將按邏輯方式進(jìn)行，完全實(shí)現(xiàn)資源的自動(dòng)化分配。

不少用戶認(rèn)為，虛擬化會(huì)大大降低服務(wù)器的性能，其推測根據(jù)也很簡單，在一臺計(jì)算機(jī)上運(yùn)行一套操作系統(tǒng)尚且速度不快，運(yùn)行多個(gè)操作系統(tǒng)豈不是更加糟糕？這種觀點(diǎn)相信大多數(shù)人都會(huì)贊同，然而，真實(shí)的情況并非如此，服務(wù)器虛擬化技術(shù)其實(shí)質(zhì)是對計(jì)算機(jī)的各種軟硬件資源進(jìn)行有效的利用和整合，充分發(fā)揮計(jì)算機(jī)各種軟硬件資源的效能。實(shí)際上，大多數(shù)服務(wù)器運(yùn)行速度慢并不是因?yàn)橄到y(tǒng)硬件的問題，而是沒有對系統(tǒng)的資源進(jìn)行充分的利用。據(jù)統(tǒng)計(jì)大部分服務(wù)器的資源利用率很低，僅為15%～20%，如此巨大的資源被閑置，系統(tǒng)性能當(dāng)然好不到哪去。虛擬化服務(wù)器技術(shù)正式將這些空閑的資源得到充分的發(fā)揮，使得系統(tǒng)的整體性能得到提升。

虛擬化不僅僅只是對IT資源進(jìn)行有效整合，同時(shí)也是對整個(gè)系統(tǒng)的資源進(jìn)行的全面調(diào)整和優(yōu)化，其實(shí)，系統(tǒng)性能的高低和底層資源的合理分配和優(yōu)化密不可發(fā)，如果底層資源的分配不合理或者性能較低，那么系統(tǒng)的整個(gè)性能將收到嚴(yán)重影響。

虛擬化技術(shù)通過將處理器、內(nèi)存、存儲(chǔ)器和網(wǎng)絡(luò)等底層資源進(jìn)行重新的調(diào)配、組織和優(yōu)化，通過大量的硬件資源資源共享，使得這些底層資源的分配更加合理，效率更加提高，因此，使得整個(gè)系統(tǒng)的性能得到了提升。

其實(shí)，虛擬化的優(yōu)勢不僅僅限于提升系統(tǒng)整體性能，提高系統(tǒng)利用率，簡化資源管理，實(shí)現(xiàn)資源的自動(dòng)化分配，才是虛擬化更大的優(yōu)勢。

解決方案

ESX Server 3.0 是VMware虛擬架構(gòu)套件VI3的基礎(chǔ)組成部分，是動(dòng)態(tài)、自我優(yōu)化的 IT 基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)。 VMware ESX Server是一個(gè)強(qiáng)健、經(jīng)過生產(chǎn)驗(yàn)證的虛擬層，它直接安裝在物理服務(wù)器的裸機(jī)上，將物理服務(wù)器上的處理器、內(nèi)存、存儲(chǔ)器和網(wǎng)絡(luò)資源抽象到多個(gè)虛擬機(jī)中。通過跨大量虛擬機(jī)共享硬件資源提高了硬件利用率并大大降低了資金和運(yùn)營成本。通過高級資源管理、高可用性和安全功能提高了服務(wù)級別??對于資源密集型的應(yīng)用程序也不例外。

每一臺虛擬服務(wù)器都可以利用VMware 虛擬對稱式多重處理 (SMP)技術(shù)，通過使單個(gè)虛擬機(jī)能夠同時(shí)使用多個(gè)物理處理器，增強(qiáng)了虛擬機(jī)性能。作為一項(xiàng)獨(dú)特的 VMware 功能，Virtual SMP 支持虛擬化需要多處理器和密集資源的企業(yè)應(yīng)用程序（如數(shù)據(jù)庫、企業(yè)資源計(jì)劃和客戶關(guān)系管理）。

該用戶方案中，采用SAN集中存儲(chǔ)方式，這樣可以將每個(gè)虛擬機(jī)的文件系統(tǒng)創(chuàng)建在共享的SAN集中存儲(chǔ)陣列上，VMware VMFS 虛擬機(jī)文件系統(tǒng)，是一種高性能的群集文件系統(tǒng)，允許多個(gè)ESX Server 安裝同時(shí)訪問同一虛擬機(jī)存儲(chǔ)。支持通過 VMware VirtualCenter、VMware VMotion技術(shù)、VMware DRS 和 VMware HA 提供的基于虛擬化的分布式基礎(chǔ)結(jié)構(gòu)服務(wù)。由于VMware的虛擬架構(gòu)系統(tǒng)中的虛擬機(jī)實(shí)際上是被封裝成了一個(gè)檔案文件和若干相關(guān)環(huán)境配置文件，通過將這些文件放在SAN存儲(chǔ)陣列上的VMFS文件系統(tǒng)中，可以讓不同服務(wù)器上的虛擬機(jī)都可以訪問到該文件，從而消除了單點(diǎn)故障。

為了對服務(wù)器虛擬架構(gòu)進(jìn)行有效的管理和監(jiān)控，方案中建議配置一臺獨(dú)立的Windows 2003服務(wù)器來做為VI3套件中的Virtual Center服務(wù)器，VirtualCenter服務(wù)器為 IT 環(huán)境提供了集中化管理、操作自動(dòng)化、資源優(yōu)化和高可用性�；�于虛擬化的分布式服務(wù)為數(shù)據(jù)中心提供了前所未有的響應(yīng)能力、可維護(hù)性、效率和可靠性級別。

以下 VirtualCenter附屬產(chǎn)品提供了資源優(yōu)化和高可用性特征。

使用VMware DRS將可用資源與預(yù)定義的業(yè)務(wù)優(yōu)先事務(wù)協(xié)調(diào)起來，同時(shí)使用 VMware分布式資源調(diào)度程序優(yōu)化勞動(dòng)力密集型和資源密集型操作。

使用 VMotion遷移運(yùn)行中的虛擬機(jī)和執(zhí)行無中斷的 IT 環(huán)境維護(hù)。

使用 VMware HA 實(shí)現(xiàn)經(jīng)濟(jì)高效、獨(dú)立于硬件和操作系統(tǒng)的應(yīng)用程序可用性。

VirtualCenter 提供了管理任意規(guī)模的虛擬 IT 環(huán)境所需的最高級別的簡便性、效率、安全性和可靠性。

最后，通過使用VMware Consolidated Backup軟件，可以為虛擬服務(wù)器提供易于使用、集中化的備份工具，它使虛擬機(jī)內(nèi)容能夠從一個(gè)集中的Windows 2003代理服務(wù)器（而不是直接從ESX Server）中進(jìn)行備份，它可與其他商業(yè)備份軟件完美協(xié)調(diào)工作，由于只需要在備份代理服務(wù)器上配置商業(yè)備份軟件的Agent，而不是象傳統(tǒng)服務(wù)器群方式下，每臺服務(wù)器都需要配置備份軟件的Agent，可以大幅節(jié)省用戶用戶購買這些Ag

標(biāo)簽： https ssl ssl vpn web服務(wù)器 安全 包過濾防火墻 標(biāo)準(zhǔn) 代理服務(wù)器 代碼 電子郵件 防火墻 訪問服務(wù)器 服務(wù)器 服務(wù)器端 服務(wù)器技術(shù) 服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。