宝界基础网络保障运维系统解决方案2015解析.ppt

实时监听入网终端的ARP数据包 通过ARP主动扫描不同网段的终端信息 通过SNMP或telnet读取三层交换机或路由器的IP/MAC列表 通过SNMP读取接入交换机或路由器的MAC地址分布 多种机制并用，保证快速发现非法终端入网行为 LOGO * * 宝界科技出品 宝界基础网络保障运维系统 网络安全产品 我们的业务运作离不开IT 需求分析 您的网络IP 地址怎么规划、分配和管理？ 随着企业IP 地址数目的逐步增加，IP 网络设计中非常重要的一项就是IP 地址的规划，合理的IP 地址规划，是网络建设的关键。 合理的IP 地址规划，可以减少路由表的扩大，可以减少网络控制信息的流量，还可以使各种信息走最短，最快捷的路径，由此可以减少在网络设备的投资，节约整个网络的成本和各种费用。 需求分析 如何考虑IP 地址的回收和重复利用的问题？ 目前IP 分配和管理的信息均采用纸质方式保存，或者Word、Excel 文件方式保存，传统的手工管理模式带来一系列问题： 纯纸质和文件方式存储信息，不便于IP 分配和管理信息的查询与统计 无法有效控制没有分配出去的 IP 地址不被非法使用 无法有效控制IP 地址的使用期限，不能全局掌握IP 地址租用到期情况 对租用期限已到的IP 地址不能简单有效的停用 需求分析 是否有IP地址冲突和IP地址欺骗的现象？ 目前以手动管理IP地址的方式，不能避免地址冲突和地址欺骗的现象。普遍的做法是IP与MAC地址绑定到设备上去，这种方式带来了几个问题： 当需绑定的IP地址数目较大时，工作量非常巨大，同时也影响接入设备的性能 当IP与MAC的对应信息发生变化时，必须再次手工更新原来的绑定信息，操作上很不灵活 绑定操作需要专业的技术人员完成，导致工作量集中在个别人员身上 需求分析 采用交换机/防火墙DHCP 来进行地址分配？ 手动静态地址分配或通过接入交换机/防火墙启用简易的DHCP 服务来完成。存在的问题如下： 随着网络的扩容，IP 地址的数量越来越多，交换机在承担数据交换的同时还要处理大量的DHCP 请求，负荷过大而导致无法作出响应 缺乏可靠性保证、并发处理能力低，对业务保障能力差 完成了简单的地址分配，所有数据均不可见，无法实现IP 的变更审计 由于现有的企业网络会逐步向虚拟化、云网络过渡，传统、简单的交换机DHCP 功能无法满足虚拟化、云网络建设的要求 需求分析 对临时客户IP/MAC如何授权管理？ 无法进行接入IP/MAC地址合法性的确认。目前网络内部有众多应用服务器以及各种机密电子资料，外来人员一旦获得IP地址后，便可以无控制地使用网络，从而造成信息的泄露。 需求分析 是否考虑向云网络/虚拟化/物联网过渡？ 虚拟化、云网络产生大量动态分配IP地址，迫切需要IP地址管理 传统IP地址管理是静态的 ；在网络虚拟化环境中，DRS(动态平衡计算资源)和Vmotion(动态迁移)可以迅速移动物理服务器和地点，会导致地址记录的混乱 管理所有权被模糊不清 ；当物理和虚拟的资产被混合时，网络核心服务的所有变得模糊不清。例如 DHCP，网络环境的改变和 IP 地址管理 传统可见性不再起作用 ；在实际网络中的可见性，例如地址审计、管理和跟踪。已不能在虚拟环境中正常执行，因为更多的组件属于一个未知的“黑盒子” 需求分析 上网行为与IP地址实名审计结合 企业局域网在网络运维和带宽控制等网络行为管理方面面临以下问题和挑战: 局域网是逐步扩建起来的，其扩建过程中IP地址分配随意性很大，给行为管理、流控策略的定制带来了极大困难。 内网如果采用DHCP动态分配IP地址，如何实现动态的实名制IP地址审计？ 员工私接路由器或修改主机的IP/MAC地址为领导的IP/MAC地址，逃避上网管理。 需求分析 1 2 《信息技术信息技术安全性评估准则》（GB/T 18336-2000） 《中华人民共和国计算机信息系统安全保护条例》（国务院147号令） 3 4 《信息技术网络基础安全技术要求》（GB/T20270-2006） 《信息技术信息安全管理实用规则》（ GB/T 19716-2005） 5 6 《信息技术信息系统安全管理要求》（GB/T20269-2006） 《信息技术信息系统安全工程管理要求》（GB/T20282-2006） 国家信息安全标准及要求 需求分析 传统IP地址管理缺乏灵活高效的IPAM方案 来自Forrest的调查证明，过去2年中，有70%的企业由于缺乏有效的IPAM管理手段，曾导致业务迟滞或新业务推出受到阻碍。 需求分析 功能 现状 I P A M 处理IP