用户网络现状
岳阳纸业是湖南省下的一家大型企业,公司根据自身业务的特点组建了内部基于三层交换的局域网和广域网。内部局域网以CISCO6509为交换中心,组成三层交换千兆以太网,并根据业务需求,在部门间进行了VLAN划分。在广域网的连接上,通过防火墙及VPN,宽带直连Internet。另外,预备通过CISCO3640路由及专线与远程集团网络连通。
公司内部的计算机主要分布在楼各办公室和厂区,约200台,中心机房共9台服务器和小型机,主要负责提供企业内部办公文件服务、数据服务。内网PCSERVER主要以Microsoft Windows NT4.0及Microsoft windows 2000 Server为服务器。未采用主域控制方式,采用DHCP,WINS方式进行ip分配及主机解析。安装有Lotus Domino, Lotus Sametime,SQLServer 2000,SQLServer97,用友财务及相关MS服务应用(如IIS等)。小型机采用HPUNIX 11.0作为OS平台,提供Oracle数据库及IAS服务。内部个人工作站的操作系统主要是:Windows 98, Windows 2000, Windows xp等。
安全需求
岳阳纸业在组建的公司网络上,根据自己的业务需求,已经在网络出口处布置了防火墙,并在防火墙上布置了VPN功能,通过这种设计对公司内部局域网起了一定的保护作用,可以保证数据传输的保密安全和内部网不受外部用户的攻击。但是,防火墙只是一种简单的安全防护技术,对网络上其它的威胁和破坏无能为力,因此,为了更好更安全地保护公司的整个网络和资源,岳阳纸业的治理人员提出新的安全需求:
第一、对内部的网络,非凡是服务器有更高的安全需要,必须能够实时、动态检测这些服务器的状况,对攻击事件要能及时响应和报警。
第二、对公司内部的所有服务器和工作站提供病毒防范和查杀机制,能及时发现病毒并杀死病毒。同时在病毒防范的布置上能满足:实现统一的集中治理控制功能;提供杀毒引擎及病毒代码的升级更新的实现;对Lotus Domino进行安全防护;对远程用户安装和升级支持;能提供网关级的病毒防护等。
解决方案
根据岳阳纸业的网络运营情况和具体业务要求,我们经过比较,最终采用了瑞星的整体解决方案:
在岳阳纸业内部网数据服务器所的VLAN中,布置一台RIDS-100入侵检测系统,实时检测网络安全状况,防止内部网被非法的用户攻击,同时,在邮件服务器上安装邮件监控的网关监控软件,在内部的所有计算机都统一安装瑞星网络版杀毒软件的客户端程序,实现全网的病毒防范体系,防止病毒在网上复制和传播。
方案解析
一、防毒
岳阳纸业网络系统中运行有HP UNIX、Windows NT/2000服务器、Windows NT/2000工作站、Windows XP/98客户端、Lotus Domino邮件服务器等多种操作系统和服务,多种平台的存在,对病毒防范体系的稳定性和可靠性提出了更高的要求。
为此,我们同时布置了瑞星网络杀毒软件与瑞星邮件监控杀毒软件(网关型)两套不同的病毒防范软件。
(一)瑞星网络版杀毒软件
瑞星杀毒软件整个防病毒体系由四个相互关联的子系统:系统中心、服务器端、客户端、控制台组成。每一个子系统均包括若干不同的模块,除承担各自的任务外,还与另外子系统通讯,协同工作,共同完成对网络的病毒防护工作。
系统中心 :系统中心是整个瑞星网络防病毒系统的信息治理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时,根据控制台的设置,实现对整个防护系统的自动控制。其他子系统只有在系统中心工作后,才可实现各自的网络防护功能。它必须先于其它子系统安装到符合条件的服务器上。