網絡安全頑疾

　　廣州市水利水電勘測研究院是一家政府單位，一直以來對網絡的管理十分重視。單位有十分專業的網絡維護人員，負責單位整個網絡的維護，保證其正常運行。然而，最近一年來遇到了十分棘手的問題，網絡時常出現掉線、卡滯，網絡常出現速度慢，甚至“罷工”。面對這樣的問題，負責網絡服務的某系統集成商也是焦頭爛額，無計可施，只能是遇到問題后及時趕到，拔網線、抓包、重啟路由器……

　　為了解決這個問題，單位網管主任和集成服務的技術人員也在一直查找分析問題原因，找到了一些導致網絡不穩定的因素，總結下來主要為：

　　內網網絡病毒攻擊較多，網管通過ARP工具查看，發現ARP攻擊頻繁。DDOS、超大Ping等攻擊頻頻來襲，但是無法查找攻擊所在的具體網絡位置，更提不上重做系統了。原以為使用了某品牌24口交換機劃分VLAN，阻隔網絡風暴，但效果不明顯。

　　廣州市水利水電勘測研究院網絡維護主任經他人咨詢、查閱資料，了解到自己的問題關鍵在于未能解決網絡的基礎穩定問題，沒有基礎穩定的管理就是空談。而欣全向的免疫網絡解決方案是專業針對內網安全管理的，無論從技術架構、策略，還是方案可行性上都很有特色，保證網絡基礎穩定運行的，這正是一切企業網絡能使用，應用管理的前提，所以決定一試。

　　免疫網絡實施

　　欣向廣州分公司技術工程師為廣州市水電勘測研究院免疫網絡升級提供了上門體驗服務，專業的工程師有條不紊的進行著免疫網絡升級。

　　網絡結構的優化

　　首先，是對即將升級的網絡進行網絡結構分析，優化網絡基礎組建結構，進行了以下因素的考慮：

　　1、 IP管理：除客人、會議室等網絡特殊應用可保留DHCP的IP方式外，其余電腦盡量使用固定IP，這樣IP和網絡使用者一一對應，網絡規范、清晰，網絡管理直截了當。

　　2、 VLAN劃分：網絡出于信息安全的考慮，部分企業將機要部門的網絡同其它網絡劃分了VLAN，免疫運營中心億恩科技服務器需接在公共VLAN端口，保證對全網的監控管理。

　　3、 其它：查看網絡連接，拓撲結構上不合理的部分進行調整。

　　運營億恩科技服務器配置

　　在指定的億恩科技服務器電腦上，進行免疫運營億恩科技服務器的軟件安裝，使用免疫墻路由器隨機附帶的光盤，安裝免疫墻路由器運營中心，只需按照安裝提示“下一步”，逐步完成。免疫驅動下載服務和運營中心便安裝到億恩科技服務器主機上了。

　　接入部分參數設定

　　進行免疫墻路由器設置，完成路由器更換前的設置工作，通過隨機附帶的光盤中的配置軟件登錄免疫墻路由器進行路由器參數設置：

　　設定路由器WAN口參數，修改LAN口IP為所在網絡默認網關IP;這樣，連接好路由器WAN口LAN口線路免疫墻路由器即可實現簡單的上網功能;

　　設備更換升級

　　完成以上部分準備，就可以將免疫墻路由器接入實際網絡，進行設備升級更換了。設備更換過程會有3-5分鐘的網絡中斷。

　　1、 撤下網絡中原有的路由器，更換為欣向免疫墻路由器，將電源、LAN、WAN的網線對應的連接到免疫墻路由器上，打開免疫墻路由器電源開關。

　　2、 將運營億恩科技服務器的網卡連接到局域網交換機上，如果交換機上設定有基于端口的VLAN，須將運營億恩科技服務器接到交換機公共VLAN的端口。

　　啟動免疫模式

　　在任意一臺內網電腦上運行配置軟件，以普通模式登陸免疫墻路由器，打開工作模式功能，勾選上“切換為免疫墻模式”，填入安裝運營中心的億恩科技服務器的網卡IP，點擊“測試”按鈕，測試成功后，點擊“切換”，將路由器切換為免疫墻模式，啟動免疫網絡管理狀態。

　　免疫策略設定

　　啟動免疫模式后，需要進行免疫安全選項設置，進行免疫驅動的強制安裝和免疫安全管理策略的設定。

　　1、 免疫墻路由器對網絡的安全管理是通過分組管理進行的，對內網IP進行分組，劃分的原則可以依據企業的不同部門、上網權限、不同帶寬、不同區域等。

　　2、 基于做好的分組，進行是否強制安裝免疫驅動的設定，在“分組管理”->“分組策略”中，選定相應分組，在其“免疫驅動校驗”中選擇“校驗”，這樣該分組中的所有電腦不安裝免疫驅動不能上網。

　　這樣，該分組的電腦進行網絡訪問時就會跳轉到億恩科技服務器上的下載服務頁面，進行免疫驅動的下載安裝。

　　3、 基于做好的分組，還要進行免疫驅動安全策略的設定，在“免疫安全選項”中設定該分組的虛假IP、IP分片、內網上傳/下載、公網上傳/下載、ARP探詢/應答、大Ping包、公網/內網TCP SYN等網絡攻擊防護參數。

　　完成以上操作后，一會兒系統監控中就顯示有些電腦發送ping包過多、IP欺騙、MAC地址欺騙之類的攻擊攔截信息，網管主任看到嚇了一跳。免疫監控中心通過自動安裝的終端每一臺電腦上的免疫驅動，監控到了所有的內網主機，一個個綠色的監控圖標不斷增加，欣向的工程師專門提到：“現在內網攻擊遠多于外網，內網攻擊危害也要更大，免疫墻技術從網絡每一個終端控制，從協議底層進行攻擊數據的攔截報警，這樣才能徹底保證網絡的安全穩定運行”。

　　免疫網絡監控中心

　　實施欣全向免疫網絡解決方案后，廣州水利水電勘測研究院的網絡終于告別的掉線、卡滯對企業辦公的影響。取而代之的是監控中心不斷提示內網各種攻擊的攔截報警。拓展到網絡的最末端、深入到協議的最底層、盤查到外網的出入口、總攬到內網的最全貌的免疫網絡方案真正是對癥下藥，解決了困擾集成商和企業很久的網絡安全穩定問題。

　　免疫網絡之所以能解決網絡安全穩定問題，是因為其通過在組網架構的基礎上，實施免疫網絡解決方案，以達到對各種網絡應用進行穩定支撐和管理的目的，徹底解決當前企業使用普通網絡出現各種網絡攻擊、網絡卡滯、掉線問題，全面提高企業網絡使用效率。免疫網絡解決方案是由內網通訊協議(欣全向專利)、免疫安全運營中心、終端免疫驅動、攻擊防護策略、免疫監控中心和相關硬件設備等部分組成的一套完整的內網管理方案。

　　免疫墻路由器是欣向將免疫墻技術置于路由器而實現免疫網絡的成本最低，最簡易的方式。欣向工程師還透漏，作為目前唯一專業進行內網安全管理的免疫網絡方案將添新的免疫網關系列產品，免疫網關具有專業的億恩科技服務器平臺和接入模塊，性能更高、管理更集中、能更加徹底、高效的發揮免疫網絡解決方案對內網的安全管理，特別適合系統集成項目和中大型企業用戶的網絡安全保障，徹底解決長期困擾他們的網絡安全穩定問題。

　　廣州市水利水電勘測研究院的網絡問題只是廣大企業用戶網絡安全穩定問題中的一個縮影，解決網絡穩定問題，必須從以太網協議漏洞管理入手、從內網每一個終端的徹底控制入手!升級高處理性能的網絡設備、增加接入帶寬、進行網絡應用管理等都是治標不治本，沒有徹底的對網絡基礎架構的安全保證方案，永遠不能徹底解決網絡問題。