新一代网管技术及其应用
2003-03-05    唐勇   
打印自: 安恒公司
地址: HTTP://mandrels.anheng.com.cn/news/article.php?articleid=330
新一代网管技术及其应用

当前的网络管理已经越发使人困惑。不久之前,网络还只是支持企业运营的一个操作部分,但是现在已经成为促进企业核心运营和服务的重要力量。今天,如果企业的网络失效或运行状态不佳,数据流就会受到阻塞,关键数据就不能得到有效共享,导致运营效率下降,从而影响企业的生产效率,导致利润的损失。网络的安全问题更是让人时刻警惕。因此,企业的网络管理人员面对越来越大的压力。

随着用户的增加,网络规模和复杂程度提高,今天的网络必须能够支持新一代的高带宽应用、无线链路和与日俱增的数据库存储容量。另外,越来越多的企业采用了网络电话解决方案,所以需要更高的网络性能,以便支持对延时特别敏感的语音业务,因此要求网络管理人员必须直接负责企业的重要通信任务。

与此同时,大多数网络管理人员同时也受到企业管理高层要求降低成本和提高效率的压力,一句话,“以最少的资源创造最多的利润”。要想在最少IT资源的基础上对网络进行有效维护,以保持其最优的性能和可靠性,网络管理人员必须选择有效的管理工具来最大程度发挥网络的价值和提高效率。但是,传统的网络管理工具价格昂贵,同时复杂的通用网络管理平台需要高超的技术才能实现先进的网络管理功能,例如基于策略的网络管理。因此,这些工具只有那些大型企业才会使用。幸运的是,现在的网络管理技术已经有了长足的进展。

一、新一代网络管理工具

目前,大多数新一代的网络管理工具都能方便地从Internet下载,用以实现高效的网络管理策略,满足企业网络管理的要求。这些网络管理解决方案不仅支持智能化网络管理,实现大多数传统管理工具的功能,而且价格低廉,使用方便,可以帮助网络管理人员更快、更有效地进行日常网络管理,这些工具甚至能够自动完成许多常规网络管理任务。

利用这些网络管理资源,网络管理员能够透过单一的监视终端来管理整个网络设备,从而减少了现场配置的时间。同时,企业的IT部门能够利用网络数据的流量优先级技术来提高对延时敏感业务数据的优先级,如网络电话业务或视频会议业务。IT部门只要通过智能化的网络管理软件就可以实现对网络设备的配置,而无须进行现场配置。这些软件先进的应用配置功能,如应用数据的优先级配置功能,使网管人员无须投入大量资源就可以优化网络系统。

同时,这些网络管理工具也支持网络规模的扩展,以适应网络容量的增长和支持新的业务,网管人员可以在现有网络的基础上最大程度地提高网络性能和价值,更快更好地完成工作,从而节约了企业网络的管理时间和成本。

二、智能化网络管理

今天,最新的网络管理解决方案支持先进的报表生成功能,使网管人员能够确切了解网络的形态,工作状态和利用率。例如,3Com公司的Network Supervisor网络管理工具能够分析和定位网络中每台设备的位置,甚至包括网络中的IP电话设备和无线接入设备。这些应用工具能够监视和报告整个网络的性能,分析网络事件和引起这些事件的确切原因,提供分析结果,而不仅仅是单纯网络故障的数据。这些工具还能报告在上一次的报告后有哪些设备(包括PC)接入、移动和退出网络。

利用这些信息,网络管理员能够对网络的管理防患于未然,在网络故障造成影响之前发现这些问题。例如以前要发现网络一端工作在全双工状态,而另一端工作在半双工状态的问题时,网络管理人员需要查看每台网络设备,这个工作耗时巨大,同时还影响用户对网络的使用,而通过新一代的网络管理解决方案,网络管理人员能够自动发现并在影响扩大之前及时解决这些问题。

利用这些管理工具对网络故障的预测和处置功能,网管人员能够极大提高网络的持续运行时间,实现对用户透明的网络管理。此外,一旦发生网络故障,这些管理工具能够快速识别故障原因,帮助网管人员将网络停机时间或任何影响企业运营的网络问题降低到最小。

三、安全化的网络管理

安全性是评估网络管理应用工具的重要标准。这些新型网络管理工具能够在保障网络系统的安全方面发挥重要作用。它能够让网络管理员根据所希望的网络安全管理水平对网络进行管理。

这些网络管理工具应该能够发现网络的薄弱环节以及访问热点,发现可疑的网络入侵者和潜在的网络安全问题,同时能够识别端口扫描攻击事件和连续网络登录失败事件。这些工具还应该能够收集来自交换机的重要数据,如利用SNMP协议的攻击。最后,还必须能够为网络管理人员整理相关信息,帮助他们及时采取措施,保障企业网络的完整性。好的网络管理工具应该能够运行稳定,有效评估网络的安全性,让网络管理员真正做到高枕无忧。

显而易见,在现有网络结构的基础上,同时提高网络性能、价值、可靠性和安全性的要求对网络管理员的压力会越来越大。然而,对网络进行细致入微的管理是实现这些目标的必要条件。正确的网络管理技术不仅能够使网络的运行更加有效,而且让网络管理人员的工作更容易、更安全、更有价值。

四、新的网络管理之道

由于新一代网络管理工具的出现,网络管理员再也不需要为网络管理问题而大伤脑筋了。新一代网管工具所提供的解决方案能把过去人工、繁杂的网络管理工作变成自动化,并且具有主动性和增值功能。这是非常受欢迎的变化,因为它有助于提高网络管理员的地位,使其成为策略管理员,同时又减少了网络管理的成本和复杂性。

为了帮助和指导当今网络管理员从最新的、创新型的网管产品中受益,在此提出以下一些建议。特别是当网络管理员在制定网络升级计划时,这些建议会成为用于改进网络的“检查表”的一个组成部分。

1.提前发现潜在问题,防患于未然

网络管理员应该使用能提前发现和校正潜在问题的网管工具,以便防患于未然。新一代的系统允许网络管理员为关键设备设置缺省值,一旦超过这些缺省值,系统将会自动报警,从而避免了用户停机。有些系统还能自动识别网络配置错误或优化性能,并以明显的方式告知网络管理员。

2.把网络“发现”列为优先级

应使网管软件能够优先“发现”网络的所有设备,并绘制一份“地图”。为网络的物理设备和链接创建一个精确的图像或地图,有利于加快故障检修和解决问题。新型的网络管理应用软件能够自动生成这种地图,并能发现各类设备和链接的详细特征,例如速度、弹性和冗余性等。部分应用软件还能突出显示网络设备的移动、增加和变化等情况。除此之外,彩色编码还允许网络管理员快速查看任何设备和链接的状态。

3.采用工业标准,减少复杂性和成本

应保证网络的所有设备都支持工业标准协议,以便不同的设备之间可以实现畅通无阻的通信。由于使用专用产品需购买价格更高的附加产品,所以如果继续使用专用软件包,将会造成损失惨重的错误,并为企业带来巨大的风险。具有工业标准的产品不仅随时都可以使用,而且价格较低。和网络管理相关的最常见的标准有以太网、Wi-Fi (802.11b)、SNMP (简单网络管理协议)、RMON (远程监控) 和HTTP (标准Web语言)。

4.选择易于使用、特性丰富的方案

不是所有的新型易用工具都能管理复杂的网络。应该选用经过改进、简单易用的图形用户界面和“向导”来提高设置和使用的方便性。如果小型网络使用传统的大型管理应用软件,其产生的复杂性往往超过了他们的解决能力。有些功能可以从Internet下载插入软件得到,而且这些软件通常是免费提供的。

5.建立清晰简明的规则

建立网络使用规则,可以促进技术的利用。例如,强制执行禁止“无赖”服务器连接的规则。当前,新型网管工具不仅能够发现未授权服务器,而且速度超过了以往。除此之外,还应该通过建立网络规则为网上的特定通信类型确定较高优先级,例如语音通信,同时,降低或禁止其他通信类型的优先级,例如对MP3音乐文件的下载。

6.保证对设备进行优化处理

保证所有的网络设备,例如交换机、无线接入点和IP PBX等,都配置最新版本的软件,以优化使用。在可能的条件下,应该利用价格低廉的服务合同来获取新的软件特性,以延长购买软件的使用寿命。必要时,应考虑使用集中式工具向设备交付新软件。

7.堵塞网络安全漏洞

对用户以何种方式何时登录或退出系统,均应实施监控。随着网民数量,特别是移动用户数量的与日俱增,需要及时调整监控的访问数量,而且,还需定期检查潜在的安全弱点,并使用经过更新的插入软件来填补安全漏洞。

8.充分利用网上可下载的管理软件

通过Web获取经过检验、可靠的网管软件执行升级,增加网络目前尚未具备的新功能。这些增强特性包括新的报表功能和固有的安全措施等。

9.使用智能工具找到问题根源

使用智能工具找到产生网络问题的根源。从过去存在的问题看,网络可能发生了十个问题,但只有一个问题是根源,在其被解决后,其他问题就会迎刃而解。因此,网络管理软件应该能够高效地发现问题的根源。

10.采用新型网络报表功能

采用自动化方式执行程序化、单调的重复性报表管理任务,例如显示各种产品的软件版本的报表。大部分网络管理员都不喜欢执行冗长乏味的报表编制任务。新型报表功能可以自动生成报表,并允许利用它们执行更高级管理,从而使网络管理员成为策略规划师和分析师。

五、小型网络的安全措施

不论规模大小和所处何种行业,计算机网络已经在小型企业的日常运作中扮演着越来越重要的角色。从电子商务到电子邮件,到每天的共享文件,今天的企业家们清楚地认识到一个高速、稳定的局域网和Internet接入是提高工作效率、加强员工沟通,以及处理与客户和合作伙伴交易的关键。

然而,Internet自身存在着危险。因此,企业必须将网络安全作为一件最重要的事情,否则他们无法从Internet中获益。安全性不仅仅是一项技术问题,现在已成为市场竞争中的一个必要条件。今天,每一个希望成为供货商或转包商的小型企业都必须满足企业级的通信安全标准。一旦一家小型企业开始接受信用卡订单、存储客户地址或处理客户、生产厂商以及合作伙伴的各类私密信息,就应该保证数据不会被非法窃取。一个怀有恶意的黑客或者一份感染了病毒的消息会破环重要的文件,更为重要的是,将会严重影响小型企业的发展和成功。所以,安全是网络管理的重中之重。

尽管一家只拥有一条Internet接入的小型企业同一家拥有2000名员工、并通过内部广域网使各地分支机构共享服务器上各类应用的大型企业相比,所面临的安全性问题要少,但这些问题对正在不断扩大投资的小型企业来说同样重要。从网络管理的角度来看,小型企业必须保护其网络免受以下6种网络安全方面的威胁。

1. 非授权闯入

黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。防火墙是防御黑客攻击的最好手段。位于企业内部网与外部“不设防世界”之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。

对于小型企业来说,网络边缘往往用一条宽带电缆或数字用户线路(DSL)与局域网相联。这种情况下,被安装在电缆或数字用户线路与局域网之间,作为安全网关的一套基于硬件的防火墙产品能够为网络提供最佳保护。在数据的安全性非常重要时,安全网关能提供最优化的保护措施。硬件防火墙产品应该具备以下先进功能。

  1. 包状态检查。在数据包通过防火墙时对数据进行检查,以确定是否允许进入局域网络。
  2. 流量控制。根据数据的重要性管理流入的数据。
  3. 虚拟专用网(VPN)技术。使远程用户能够安全地连接局域网。
  4. Java、ActiveX以及Cookie屏蔽。只允许来自可靠Web站点上的应用程序运行。
  5. 代理服务器屏蔽(Proxy blocking)。防止局域网用户绕过Internet过滤系统。
  6. 电子邮件发信监控(Outgoing e-mail screening)。能够阻塞带有特定词句电子邮件的发送,以避免企业员工故意或无意的泄露某些特定信息。

此外,在潜在的黑客攻击发生时,系统会向网络管理人员发出电子邮件或声音告警。

一家关注员工个人Internet使用的小型企业可以通过配置防火墙来控制员工对Web站点的访问。网络主管可以选择设定某些站点的访问次数、屏蔽包含特定字眼的Web站点、或被授权之外的所有其他Web站点。

2. 病毒

有些黑客会有意释放病毒来破坏数据,但大部分病毒是在不经意之间被扩散出去的,通常是员工在不知情的情况下打开了已感染病毒的电子邮件附件,或下载了带有病毒的文件时导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。

让任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec Norton AntiVirus和McAfee等。

除此之外,禁止使用那些带有明显漏洞、使病毒容易传播的应用,尤其是电子邮件程序,也是一种非常明智的做法。

3. 数据“监听”

一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。

当与远程站点或第三方站点进行互联,且数据须通过Internet才能进行传送时,进行加密的最好办法是采用虚拟专用网(VPN)技术。一条VPN链路是一条采用加密隧道(tunnel)构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。两家企业可以通过Internet建立起VPN隧道。一个远程用户也可以通过建立一条连接企业局域网的VPN链路来安全地访问企业内部数据。

4. 无线数据的拦截

802.11b无线联网技术为小型企业带来了巨大商机,使其能够以最低成本迅速构建一个高速网络。但是,由于通过位于其传输范围内配有无线接收设备的笔记本电脑,很多无线局域网会对非授权用户开放。为避免这一点,企业应该做到选购带有内建认证和加密机制的无线联网产品以保证数据在传输过程中不被拦截,并且将无线接入点与一台认证服务器进行互联,从而要求用户进入网络之前提供口令。

5. 内部网络安全

为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是,大多数小型企业无法按照这一安全要求操作,企业规模越小,越要求每一个人承担更多的工作。如果一家企业在近期内会迅速成长,内部网络的安全性将是需要认真考虑的问题。

6. 电子商务

通过将电子商务业务外包给一家拥有良好信誉,能够提供安全、秘密在线交易,具有SSL技术的Internet服务提供商(ISP),一家小型企业可以成功解决电子商务所涉及到的安全性问题。竞争激烈的ISP市场保证了任何预算规模的企业都能获得良好的电子商务服务。

7.安全问题简单化

大多数企业家缺乏对IT技术的深入了解,因此他们通常会被网络的安全需求所困扰、吓倒或征服。许多小型企业主不了解一部网关与一台路由器之间的区别,而且一些人不愿去学习,或因为太忙而没时间去学。他们只是希望能够确保财务纪录没被窃取,服务器不会受到一次“拒绝服务攻击”。他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。

凭借在企业市场的丰富经验,我们认为,对于需要一套安全性解决方案的小型企业来说,真正理解他们特殊需求的设备供应商或零售商是最为宝贵的资源。当问及小型企业最需要从厂商那里获取什么内容时,他们认为最需要的是预算和应用规模都较小、但却具备企业级质量的联网解决方案。他们还认为:小型企业需要设备供应商进行安全性审核,以确定他们特定的需求,设计出定制化的解决方案并加以实施,并且,如果必要的话,对其进行管理。总而言之,主要倾向于选择那些能够清楚领会小型企业安全需求的设备厂商。据他们反映,最好的设备厂商应该能向那些不具备任何技术背景的企业家们清楚地解释任何复杂问题。依靠合格的IT设备供应商以及高效的服务,使小型企业经理能够将网络安全问题放在一边,将精力集中到他们最擅长的工作上——满足客户需求、获得新的生意,从而保证企业的顺利成长。

 

责任编辑: admin