在线工博会

解决网络性能问题的典型方案
硅谷动力
用户遇到的问题:
某电厂的企业网络有220多台机器,企业子网多,分布散,企业配置了各种网络安全产品,包括杀毒软件和硬件防火墙。但是经常出现网络故障,也导致防火墙经常不能正常使用,往往不得不重新启动,但几分钟后,防火墙又被数据包堵死,再次陷入瘫痪状态,这样导致企业的多数电脑不能正常上网访问,通过特征能判断出企业内有机器感染了网络病毒,在不断往外发数据包,但无法查找是哪些机器中了病毒。
企业遇到的另一个问题是,企业已经禁止使用QQ工具,以减少员工在工作时利用QQ闲聊,导致工作效率非常低。虽然使用了QQ监控工具,但QQ在加密或使用80端口时,往往能绕开管理人员的管理。
问题分析与解决:
用户的第一个问题,是最典型,也是最常见的需求。企业网络大了后,电脑也分布较远,即使电脑都装了杀毒软件,但如果没能及时升级,或是新的病毒暴发,往往也容易感染上病毒。
现在大多数网络病毒都属于蠕虫病毒,一种传播方式是向自身的邮件地址自动发送带病毒的邮件,另外一种传播方式,是利用操作系统的漏洞,不断的发送带病毒的数据包。这两种方式都是自动完成的,使用者不容易发现,但对整个网络都能造成严重的危害,堵塞网络出口,导致整个网络瘫痪或不能上网。
为此,用户使用了科来网络分析系统4.0。对于传播带病毒邮件的特征,我们可以利用对邮件的检测,查看局域网发送的邮件是否带有病毒,即可将哪些感染了邮件病毒的机器找出来。这个可以利用科来网络分析系统的电子邮件分析模块就能成功检测。对于发送带病毒数据包的特征,我们可以通过IP流量检测,查找那些发送数据包尺寸非常小,而数量又特别多的机器。对于这些可疑的数据包,我们再通过数据包解码视图,查看其数据包的解码分析结果,最后确定是否是带病毒特征的数据包,我们以前遇到过的红色代码,就是通过发送特定的HTTPGET请求,利用操作系统的漏洞进行传播的。
我们再看看用户的第二个问题。首先,QQ已经不固定使用8000端口了,甚至还能使用80端口,80端口是我们上网浏览使用的http协议,如果这个端口封死了,那大家都不能正常上网了。那对于QQ的封堵,最好的办法,还是采用防火墙封堵QQ代理服务器的IP地址,是最好的手段。然而,必须得知道服务器的IP地址,才能在防火墙上进行设置,如何找出QQ代理服务器是一个难题,并且不断有新的QQ代理服务器出现,如果QQ加密使用,就更难查找其服务器的IP地址。对于这样的问题,也是需要进行网络分析,才能有效解决的问题。
通过应用科来网络分析系统,我们首先可以通过TCP检测,来对所有的流入流出的数据包进行统计分析,对于MSN这样的聊天工具,是使用的微软的私有协议----msnp,只要查看TCP视图的协议结果,就能很快找到服务器的IP地址。对于QQ使用http协议时,就需要进行一步筛选。使用QQ时,不管是否正在使用状态,都会定期自动向服务器发送一些数据包,来向服务器传输自身的状态和设置,特点是数据量小,数据包多,并且一直保持会话建立。所以,我们可以只针对那些状态为长时间建立,数据包并不大包且数量特别多的IP进行分析。我们查找到这样的数据,接下来,就查看TCP数据流重组的结果,如果使用了QQ,在TCP数据流重组结果中,会有一个User-Agent: QQ的记录,这一般是QQ的广告,而采用加密代理服务器的通话,我们会看到打乱了的结果。最后我们再将分析结果的IP地址,在防火墙禁止访问,便能有效的限制QQ的使用。
总结:
科来网络分析系统的应用,使得网络的管理变得更轻松,以往出现网络阻塞问题,只能重启防火墙,但也无法根本解决问题,而现在能快速找出局域网里面的中病毒机器,再采用隔离,杀毒的措施,有效的解决了潜在的安全隐患。利用网络分析和解码功能,可以有效的限制QQ的使用,减少了员工QQ聊天,提高了上班的工作效率。
此方案成本低,实施简单适用,不需要更改公司原有的网络结构,便能快速应用。部署也简单,只需要在一台管理机器上安装即可。另一方面,此产品的应用,也增加了公司的网络管理意识,真正的网络安全来自于完善的网络管理体系和机制,否则,拥有再好的网络安全产品,也不可能得到最好的防护。 7/20/2005


电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站