上海东海华庆工程有限公司的前身为上海东海工程局。是1992年在海军东海舰队工程部队的基础上组建起来的。组建后,认真执行国家建筑工程管理法规,服从行业规范管理要求,积极参加地方和部队的工程项目的施工。至今已发展成为拥有房屋建筑总承包一级、市政工程总承包二级、水利工程总承包二级、港口与海岸专业承包二级、建筑装饰专业承包二级、地基与基础工程专业承包二级、钢结构专业承包二级施工资格的综合性工程施工企业。
东海华庆前不久公司迁移新地址,物业原本给他们保留了12条1M的企业ADSL!负责公司网络的马主任在考虑宽带费用后决定将这12条ADSL整合到同一个局域网。但是依照原本的网络环境所部署的产品方案并没有达到理想的效果:网速卡滞、延迟大、频繁掉线。这样的部署岂能确保网络的流畅?接近100个终端主机,出现问题解决起来实在费劲,可是说是根本没于办法!网络问题不断,马主任意识到了网络安全管理的重要性,经朋友介绍了解到了免疫墙技术并与巡路上海办事处的戴工取得了联系。
经马主任的问题描述及戴工的现场排查指出的马主任的疑惑:一、原有的设备及方案并不能使12条ADSL实现真正的带宽叠加;二、现有的流量管理并不能够精细地管理造成了带宽资源的浪费;三、最能导致内网出问题的元凶其实是以太网协议本身造成的,ARP攻击等内网攻击不断;四、网络运行管理没有一个统一有效的手段,管理手段缺失。
有问题了就得解决,马主任与戴工约好三天后带上设备安装起来看效果。按照约定,戴工和马主人一起完成了免疫网络的部署,带宽汇聚由三台免疫墙路由器NuR8141完成,内网基础安全的管理由免疫墙网关IWG1200完成,如图1:
图1.部分机柜视图
12条ADSL实现了真正的带宽叠加,由于欣全向接入路由器采用基于Session会话负载均衡技术,并将其发展到第四代,完全不同于IP均衡的“假多WAN”处理方式,带宽汇聚效果明显;可信身份和精细的带宽管理相结合有效做到了虚假的流量检测及带宽准确控制;巡路免疫墙网关驱动校验实现了内部电脑的免疫驱动自动安装,当升级完免疫网络的这一刻起,戴工就建议马主任到其他办公室去了解情况,员工们普遍反映网速快了很多,不卡了。马主任走了几个办公室后就乐坏了,不断得感谢戴工将其网络整好了。这时戴工却告诉马主任,方案还没有部署完,还有很多管理设置要做。
在马主任的配合下,戴工迅速地对公司部门及员工进行了分组管理,下图为财务组成员,由于记录了每台主机的真实MAC地址,确保了接入局域网的主机身份都是准确无误的,网络管理策略设置精确到人头,如图2:
图2.财务组成员及真实IP/MAC
马主任兴奋之余,戴工打开了监控中心的界面,如图3:
免疫网络系统监控
监测到每个组成员的内/外网的上传/下载量、SYN发送/拦截,TCP/UDP连接数等,下方红色字体为报警信息,详细日志情况如图四:
图4.免疫网络日志报警
马主任非常惊讶,见戴工默不作声,只示意要他自己看,这时马主任才彻底意识到,之前网络一直出问题的真正原因竟是内网如此多的攻击,而现在,这些攻击都已被有效拦截,并且网络攻击监控和运行监控都已精确到人。整个方案部署完毕,戴工临走前,马主任再次感谢巡路公司有如此好的产品和方案,感谢巡路提供如此彻底的安全管理手段。