免疫網(wǎng)絡(luò)解決方案是專業(yè)針對內(nèi)網(wǎng)安全管理的，無論從技術(shù)架構(gòu)、策略，還是方案可行性上都很有特色，保證網(wǎng)絡(luò)基礎(chǔ)穩(wěn)定運行的，這正是一切企業(yè)網(wǎng)絡(luò)能使用，應(yīng)用管理的前提。免疫網(wǎng)絡(luò)解決方案不是一個單獨的產(chǎn)品，而是一套由軟硬件、內(nèi)網(wǎng)安全協(xié)議、安全策略構(gòu)成的完整組件。 在巡路免疫網(wǎng)絡(luò)解決方案中，采用了各種技術(shù)手段實現(xiàn)免疫網(wǎng)絡(luò)的基本要求。

網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化

首先，是對即將升級的網(wǎng)絡(luò)進行網(wǎng)絡(luò)結(jié)構(gòu)分析，優(yōu)化網(wǎng)絡(luò)基礎(chǔ)組建結(jié)構(gòu)，進行了以下因素的考慮：

1、 IP管理：除客人、會議室等網(wǎng)絡(luò)特殊應(yīng)用可保留DHCP的IP方式外，其余電腦盡量使用固定IP，這樣IP和網(wǎng)絡(luò)使用者一一對應(yīng)，網(wǎng)絡(luò)規(guī)范、清晰，網(wǎng)絡(luò)管理直截了當(dāng)。

2、 VLAN劃分：網(wǎng)絡(luò)出于信息安全的考慮，部分企業(yè)將機要部門的網(wǎng)絡(luò)同其它網(wǎng)絡(luò)劃分了VLAN，免疫運營中心服務(wù)器需接在公共VLAN端口，保證對全網(wǎng)的監(jiān)控管理。

3、 其它：查看網(wǎng)絡(luò)連接，拓撲結(jié)構(gòu)上不合理的部分進行調(diào)整。

運營服務(wù)器配置

在指定的服務(wù)器電腦上，進行免疫運營服務(wù)器的軟件安裝，使用免疫墻路由器隨機附帶的光盤，安裝免疫墻路由器運營中心，只需按照安裝提示“下一步”，逐步完成。免疫驅(qū)動下載服務(wù)和運營中心便安裝到服務(wù)器主機上了。

接入部分參數(shù)設(shè)定

進行免疫墻路由器設(shè)置，完成路由器更換前的設(shè)置工作，通過隨機附帶的光盤中的配置軟件登錄免疫墻路由器進行路由器參數(shù)設(shè)置：

設(shè)定路由器WAN口參數(shù)，修改LAN口IP為所在網(wǎng)絡(luò)默認網(wǎng)關(guān)IP;這樣，連接好路由器WAN口LAN口線路免疫墻路由器即可實現(xiàn)簡單的上網(wǎng)功能;

設(shè)備更換升級

完成以上部分準備，就可以將免疫墻路由器接入實際網(wǎng)絡(luò)，進行設(shè)備升級更換了。設(shè)備更換過程會有3-5分鐘的網(wǎng)絡(luò)中斷。

1、 撤下網(wǎng)絡(luò)中原有的路由器，更換為欣向免疫墻路由器，將電源、LAN、WAN的網(wǎng)線對應(yīng)的連接到免疫墻路由器上，打開免疫墻路由器電源開關(guān)。

2、 將運營服務(wù)器的網(wǎng)卡連接到局域網(wǎng)交換機上，如果交換機上設(shè)定有基于端口的VLAN，須將運營服務(wù)器接到交換機公共VLAN的端口。

啟動免疫模式

在任意一臺內(nèi)網(wǎng)電腦上運行配置軟件，以普通模式登陸免疫墻路由器，打開工作模式功能，勾選上“切換為免疫墻模式”，填入安裝運營中心的服務(wù)器的網(wǎng)卡IP，點擊“測試”按鈕，測試成功后，點擊“切換”，將路由器切換為免疫墻模式，啟動免疫網(wǎng)絡(luò)管理狀態(tài)。

免疫策略設(shè)定

啟動免疫模式后，需要進行免疫安全選項設(shè)置，進行免疫驅(qū)動的強制安裝和免疫安全管理策略的設(shè)定。

1、 免疫墻路由器對網(wǎng)絡(luò)的安全管理是通過分組管理進行的，對內(nèi)網(wǎng)IP進行分組，劃分的原則可以依據(jù)企業(yè)的不同部門、上網(wǎng)權(quán)限、不同帶寬、不同區(qū)域等。

2、 基于做好的分組，進行是否強制安裝免疫驅(qū)動的設(shè)定，在“分組管理”->“分組策略”中，選定相應(yīng)分組，在其“免疫驅(qū)動校驗”中選擇“校驗”，這樣該分組中的所有電腦不安裝免疫驅(qū)動不能上網(wǎng)。

這樣，該分組的電腦進行網(wǎng)絡(luò)訪問時就會跳轉(zhuǎn)到服務(wù)器上的下載服務(wù)頁面，進行免疫驅(qū)動的下載安裝。

3、 基于做好的分組，還要進行免疫驅(qū)動安全策略的設(shè)定，在“免疫安全選項”中設(shè)定該分組的虛假IP、IP分片、內(nèi)網(wǎng)上傳/下載、公網(wǎng)上傳/下載、ARP探詢/應(yīng)答、大Ping包、公網(wǎng)/內(nèi)網(wǎng)TCP SYN等網(wǎng)絡(luò)攻擊防護參數(shù)。

完成以上操作后，一會兒系統(tǒng)監(jiān)控中就顯示有些電腦發(fā)送ping包過多、IP欺騙、MAC地址欺騙之類的攻擊攔截信息，網(wǎng)管主任看到嚇了一跳。免疫監(jiān)控中心通過自動安裝的終端每一臺電腦上的免疫驅(qū)動，監(jiān)控到了所有的內(nèi)網(wǎng)主機，一個個綠色的監(jiān)控圖標不斷增加，欣向的工程師專門提到：“現(xiàn)在內(nèi)網(wǎng)攻擊遠多于外網(wǎng)，內(nèi)網(wǎng)攻擊危害也要更大，免疫墻技術(shù)從網(wǎng)絡(luò)每一個終端控制，從協(xié)議底層進行攻擊數(shù)據(jù)的攔截報警，這樣才能徹底保證網(wǎng)絡(luò)的安全穩(wěn)定運行”。

免疫網(wǎng)絡(luò)監(jiān)控中心

實施免疫網(wǎng)絡(luò)解決方案后，廣州水利水電勘測研究院的網(wǎng)絡(luò)終于告別的掉線、卡滯對企業(yè)辦公的影響。取而代之的是監(jiān)控中心不斷提示內(nèi)網(wǎng)各種攻擊的攔截報警。拓展到網(wǎng)絡(luò)的最末端、深入到協(xié)議的最底層、盤查到外網(wǎng)的出入口、總攬到內(nèi)網(wǎng)的最全貌的免疫網(wǎng)絡(luò)方案真正是對癥下藥，解決了困擾集成商和企業(yè)很久的網(wǎng)絡(luò)安全穩(wěn)定問題。

免疫網(wǎng)關(guān)具有專業(yè)的服務(wù)器平臺和接入模塊，性能更高、管理更集中、能更加徹底、高效的發(fā)揮免疫網(wǎng)絡(luò)解決方案對內(nèi)網(wǎng)的安全管理，特別適合系統(tǒng)集成項目和中大型企業(yè)用戶的網(wǎng)絡(luò)安全保障，徹底解決長期困擾他們的網(wǎng)絡(luò)安全穩(wěn)定問題。

免疫網(wǎng)絡(luò)之所以能解決網(wǎng)絡(luò)安全穩(wěn)定問題，是因為其通過在組網(wǎng)架構(gòu)的基礎(chǔ)上，實施免疫網(wǎng)絡(luò)解決方案，以達到對各種網(wǎng)絡(luò)應(yīng)用進行穩(wěn)定支撐和管理的目的，徹底解決當(dāng)前企業(yè)使用普通網(wǎng)絡(luò)出現(xiàn)各種網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)卡滯、掉線問題，全面提高企業(yè)網(wǎng)絡(luò)使用效率。免疫網(wǎng)絡(luò)解決方案是由內(nèi)網(wǎng)通訊協(xié)議(欣全向?qū)＠?、免疫安全運營中心、終端免疫驅(qū)動、攻擊防護策略、免疫監(jiān)控中心和相關(guān)硬件設(shè)備等部分組成的一套完整的內(nèi)網(wǎng)管理方案。

【編輯推薦】

1. 解決內(nèi)網(wǎng)安全問題尋求技術(shù)良方
2. 內(nèi)網(wǎng)安全技術(shù)之如何防止非法接入
3. 政府行業(yè)內(nèi)網(wǎng)安全：根除隱患在管理