多处网管监控平台剖析.ppt

外部访问我校web 服务器所需要经过的路径 我校内网工作站访问其他网络所经途径： 第二部分：网络设备、信息节点监控、管理 基于php脚本的交换机、打印机、无线网络设备snmp开机情况监控 基于unix 脚本、web界面的各种服务器资源监控 基于unix 脚本、交换机snmp 的web界面网络设备监控 基于unix perl 脚本的校网客户端开机web监控 用AMP作为搭载平台，结合SNMP协议（简单网络管理协议）的cacti 做网络流量监控分析； cacti 做网络流量监控分析，可以监控服务器、交换机、路由器等任何基于snmp协议的设备； Php 做的简单的网络设备管理界面； Php 做的简单的实时开机状态监控； phpSysinfo 提供服务器运行信息； cacti 做网络流量监控分析； 交换机实时监控 网络打印机监控；无线AP监控 phpSysinfo 提供服务器运行信息； 交换机防毒策略ACL： 教研网论坛地址： 公网/ 城域网/ 栏目位置： 富阳教研 网络家园 网络技术 * * 第一部分：基于网络硬件设备的网络病毒防护体系 1. 在公网和城域网入口放置一台NAT性质的设备，比如防火墙、路由器起NAT、FreeBSD pf firewall均可，使外部信息不能直达内网； 2. 使用三层交换机，根据业务类型把服务器和学生机房、办公网络分段，在交换机或路由器上做ACL, 阻止某些常见端口的病毒传送 3. 在内部部署网络版的杀毒软件（如：Norton 企业版，NOD32 企业版），在杀毒服务器上做监控，密切监视和关注内网近期多发的病毒类型，并采取相应的措施，比如在入口路由器上或三层交换机上封堵某些外网ip地址等。 4. 对于某些比较简单而稳定的客户端，比如学生机房，系统还原软件不失为一种方便有效的管理工具。 在公网和城域网入口放置一台NAT性质的设备，比如防火墙、路由器起NAT、FreeBSD pf firewall均可，使外部信息不能直达内网； NAT设备 在公网和城域网入口放置一台NAT性质的设备，比如防火墙、路由器起NAT、FreeBSD pf firewall均可，使外部信息不能直达内网； NAT设备 在公网和城域网入口放置一台NAT性质的设备，比如防火墙、路由器起NAT、FreeBSD pf firewall均可，使外部信息不能直达内网； NAT设备 交换机 交换机 边缘交换机 防火墙 防火墙 交换机 高速缓存器 业务主机 业务主机 通讯机 通讯机 工作站 工作站 工作站 WEB服务器 WEB服务器 路由器 路由器 RAS访问服务器 DDN 因特网 PSTN 在公网和城域网入口放置一台NAT性质的设备，比如防火墙、路由器起NAT、FreeBSD pf firewall均可，使外部信息不能直达内网； NAT设备 使用三层交换机，根据业务类型把服务器和学生机房、办公网络分段；在交换机上做ACL, 阻止某些常见端口的病毒传送 三层交换机 二层交换机 使用三层交换机，根据业务类型把服务器和学生机房、办公网络分段；在交换机上做ACL, 阻止某些常见端口的病毒传送 三层交换机 交换机 交换机 边缘交换机 防火墙 防火墙 交换机 高速缓存器 业务主机 业务主机 通讯机 通讯机 工作站 工作站 工作站 WEB服务器 WEB服务器 路由器 路由器 RAS访问服务器 DDN 因特网 PSTN 使用三层交换机，根据业务类型把服务器和学生机房、办公网络分段，在三层交换机上做ACL, 阻止某些常见端口的病毒传送 三层交换机 二层交换机 路由器 在各接入层、汇聚层、核心层交换机上设置不同的安全策略，构建第一层安全防护 外部接入交换机、路由器: 丢弃所有来自内网和局域网端口的请求，阻止来自外部的病毒或蠕虫到达服务器(基于tcp端口的ACL、基于ip地址的ACL)； 内网汇聚层交换机：阻止内部各个网段之间的互相ping(icmp),但开放网管网段和服务器网段对其他网段的icmp访问；二层病毒策略(基于tcp端口的ACL) ； 内网核心交换机、路由器：设置只有指定的机器或者网络可访问交换机；设置不同区域之间的访问策略，比如学生、生活区不能访问教师网段；三层病毒策略(部分二层上不能实现的基于tcp端口的ACL ;基于ip地址的ACL) cisco,huawei3com, 实达锐捷，神州数码……的ACL做法 常见蠕虫病毒介绍和常见ACL配置几个常用的防病毒的端口号 Cisco 3550 防毒ACL Quidway S6500系列交换机防病毒配置方案模板 华为65xx/55xx 交换机防毒 ACL 实达锐捷的S21交换机ACL配置模板 神州数码DCRS-7504 Internet CISCO 3550 端口过滤 freeB