【正文】 集合，快捷地獲得設(shè)備各類信息。n 提供設(shè)備日志分析工具，使用戶及時(shí)了解網(wǎng)絡(luò)中設(shè)備運(yùn)行狀況。n 通過定期輪詢機(jī)制，幫助用戶及時(shí)了解網(wǎng)絡(luò)關(guān)鍵設(shè)備的在線情況。n 提供批量配置功能，將用戶從煩瑣，重復(fù)的配置工作中解脫。n 提供設(shè)備配置文件管理功能，幫助用戶建立配置文件版本管理機(jī)制，減少災(zāi)難情況下網(wǎng)絡(luò)的恢復(fù)時(shí)間。n 具有完善的報(bào)表功能，讓用戶對網(wǎng)絡(luò)運(yùn)行情況一目了然。n 提供統(tǒng)一的任務(wù)機(jī)制，使用戶對網(wǎng)絡(luò)運(yùn)維管理能夠統(tǒng)一流程。 服務(wù)質(zhì)量(QoS)的實(shí)施隨著辦公業(yè)務(wù)系統(tǒng)使用等各種在某段時(shí)間內(nèi)持續(xù)高帶寬低延時(shí)的應(yīng)用的開展，網(wǎng)絡(luò)流量的復(fù)雜化，IP交換技術(shù)的發(fā)展，二層、三層交換技術(shù)在保障網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量QoS，避免網(wǎng)絡(luò)擁塞上可以起到不可缺少的作用。概括而言，QoS主要包括數(shù)據(jù)智能分類技術(shù)，擁塞控制技術(shù)兩大方面，一般在網(wǎng)絡(luò)中采用以下步驟實(shí)現(xiàn)服務(wù)質(zhì)量：在接入層交換機(jī)中對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)的基本分類或根據(jù)交換機(jī)設(shè)定來進(jìn)行重分類（Reclassify），同時(shí)對網(wǎng)絡(luò)的流量采用監(jiān)控(Policing)，避免由于客戶設(shè)備故障或病毒產(chǎn)生的過度流量，然后根據(jù)監(jiān)控決策結(jié)果來將這些流量放入相應(yīng)的上聯(lián)端口的隊(duì)列，然后在此端口上采用加權(quán)算法來對該端口出去的流量進(jìn)行擁塞控制(Scheduling Congestion Control)，確保在接入層上關(guān)鍵數(shù)據(jù)流量的服務(wù)質(zhì)量，在這些數(shù)據(jù)的處理過程中，同時(shí)完成了第二層以太網(wǎng)幀中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值決定了IP報(bào)文的優(yōu)先級別，而TOS或DSCP值在經(jīng)過IP路由器默認(rèn)情況下其值不會改變，從而能夠提供跨全網(wǎng)的端到端的QoS。核心三層交換機(jī)在收到了從接入層交換機(jī)上傳來的數(shù)據(jù)包，它開始正式對其第三層IP數(shù)據(jù)包進(jìn)行分析，首先根據(jù)IP地址信息可以選擇不同的轉(zhuǎn)發(fā)鏈路，在選擇了相應(yīng)的鏈路后，這時(shí)候核心三層交換機(jī)在這些鏈路上對流量的擁塞不再是依據(jù)以太網(wǎng)幀中的CoS，而是依據(jù)在接入層交換中以及完成賦值的TOS或DSCP，分布層交換機(jī)可以根據(jù)這些值可以對網(wǎng)絡(luò)中的流量進(jìn)行更細(xì)致的劃分，保證關(guān)鍵流量將根據(jù)其各自的優(yōu)先權(quán)進(jìn)入網(wǎng)絡(luò)核心。從上述技術(shù)分析來看，實(shí)施時(shí)技術(shù)要求較高，要求在實(shí)施前對網(wǎng)絡(luò)應(yīng)用模式和具體需要進(jìn)行詳細(xì)分析，然后合理的規(guī)劃采用連接協(xié)議及QoS控制方式，使網(wǎng)絡(luò)在滿足需求的前提下趨于最高性能和可靠性。具體實(shí)現(xiàn)的技術(shù)方案：在具有多媒體業(yè)務(wù)需求的接入層交換機(jī)上需要支持提供完善的LAN邊緣QoS，即所有的交換機(jī)支持兩種模式的重新分類方法。一種模式基于IEEE ，遵從接入點(diǎn)的服務(wù)等級（CoS）值并把數(shù)據(jù)包分配到合適的隊(duì)列中。第二種模式，數(shù)據(jù)包根據(jù)由網(wǎng)絡(luò)管理員分配給接入端口的缺省CoS值來進(jìn)行重新分類。如果到達(dá)的幀沒有CoS值(如未做標(biāo)記的幀)，接入交換機(jī)就根據(jù)網(wǎng)絡(luò)管理員分配給每個(gè)端口的缺省CoS值來進(jìn)行分類。 一旦數(shù)據(jù)幀使用上面所說的兩種模式分類或重新分類后，即被分配到最合適的輸出隊(duì)列中去。交換機(jī)支持四種輸出隊(duì)列，使網(wǎng)絡(luò)管理員在為LAN流量的各種應(yīng)用指定優(yōu)先權(quán)時(shí)更加容易區(qū)分和有針對性。嚴(yán)格的優(yōu)先權(quán)分配可以保證諸如語音等時(shí)間敏感的應(yīng)用在通過交換結(jié)構(gòu)時(shí)一直使用高速路徑。另外，另一種重要的增強(qiáng)措施即加權(quán)循環(huán)（WRR）策略也能保證低優(yōu)先級的負(fù)載在沒有被網(wǎng)絡(luò)管理員進(jìn)行優(yōu)先級配置的情況下，能夠得到重視。 這些特性使網(wǎng)絡(luò)管理員可以把關(guān)鍵任務(wù)和時(shí)間敏感的流量，如視頻（視頻會議，視頻監(jiān)控等）、語音（IP電話流量）和CAD/CAM，優(yōu)于低時(shí)間敏感的應(yīng)用如FTP或（SMTP）等來設(shè)置更高級別的優(yōu)先權(quán)。 網(wǎng)絡(luò)防病毒系統(tǒng) 企業(yè)網(wǎng)絡(luò)防病毒解決方案考慮的幾個(gè)因素一個(gè)實(shí)用可行的企業(yè)級網(wǎng)絡(luò)防病毒解決方案應(yīng)該能夠在整個(gè)網(wǎng)絡(luò)中只要有可能感染和傳播病毒的地方都應(yīng)該有相應(yīng)的解決方案，防止病毒的入侵和傳播，確保網(wǎng)絡(luò)的安全，因此，在選擇企業(yè)級網(wǎng)絡(luò)防病毒解決方案時(shí)主要應(yīng)考慮以下幾個(gè)問題: 提供一個(gè)多層次、全方位的防病毒體系。而不僅僅是幾套防病毒軟件，同時(shí)具有跨平臺的技術(shù)及強(qiáng)大功能，也就是說，在網(wǎng)絡(luò)的每一個(gè)層次包括網(wǎng)關(guān)一級、群件服務(wù)器一級、服務(wù)器一級、客戶端一級以及各種平臺下都應(yīng)有相應(yīng)的解決方案。 在這個(gè)防病毒體系中應(yīng)該具有簡易的、統(tǒng)一的、集中的、智能的和自動化的管理手段和管理工具。包括客戶端自動化的安裝、維護(hù)、配置、病毒定義碼和掃描引擎的升級、定時(shí)調(diào)度、實(shí)時(shí)防護(hù)等。盡量使防病毒的管理簡單易行。 能夠有效防范各種混合型的威脅。如類似“尼姆達(dá)”、“紅色代碼”、“求職信”、“Blaster”這種利用系統(tǒng)、應(yīng)用或服務(wù)的漏洞進(jìn)行傳播、感染和攻擊的病毒。 提供有效直觀的管理機(jī)制。如可以根據(jù)企業(yè)的網(wǎng)絡(luò)分類或組織結(jié)構(gòu)來劃分防病毒組，方便管理。如可以針對管理員、市場部、工程部等不同的部門劃分不同的管理組，針對這些組可以根據(jù)需要配置不同的防病毒策略。 通過管理中心可以及時(shí)了解整個(gè)網(wǎng)絡(luò)中客戶端防病毒軟件的安裝使用情況。如客戶端是否安裝了防病毒軟件、安裝了什么防病毒軟件，客戶端是否更新了最新的病毒定義碼和掃描引擎的情況。 采用先進(jìn)的防病毒技術(shù)。能夠有效的查殺各種多態(tài)病毒和未知病毒 集中和方便地進(jìn)行病毒定義碼和掃描引擎的更新。尤其是能否及時(shí)對掃描引擎更新尤為重要，由于在一個(gè)防病毒軟件中，主要靠掃描引擎來清除病毒，因此能否方便、快捷地升級掃描引擎直接影響到防病毒體系的防毒能力。 方便、全面、友好的病毒警報(bào)和報(bào)表系統(tǒng)管理機(jī)制。 病毒防護(hù)自動化服務(wù)機(jī)制。 防病毒管理策略的強(qiáng)制定義和執(zhí)行。它可以確?？蛻舳瞬粫?yàn)槿藶橐蛩囟斐煞啦《静呗缘母?、破壞等? 合理的預(yù)算規(guī)劃和低廉的總擁有成本。1 良好的服務(wù)與強(qiáng)大支持。1 緊急處理能力和對新病毒具有最快的響應(yīng)速度。由于病毒總是先出現(xiàn)，因此對于這些新出現(xiàn)的病毒，防病毒體系是否具有足夠強(qiáng)的緊急處理能力和快速的響應(yīng)速度，從而確保在新病毒出現(xiàn)時(shí)，系統(tǒng)不受其影響，或盡量少地受其影響。1 安裝完防病毒軟件后對現(xiàn)有系統(tǒng)和應(yīng)用造成影響。 系統(tǒng)規(guī)劃建議：u 統(tǒng)一管理、集中監(jiān)控：主要指的是由信息中心進(jìn)行集中監(jiān)管，包括： 由信息中心根據(jù)各部門的具體情況統(tǒng)一制定相應(yīng)的防病毒策略和實(shí)施計(jì)劃。 信息中心負(fù)責(zé)全網(wǎng)的病毒定義碼、掃描引引擎和軟件修正的升級工作，并將升級文件自動逐級分發(fā)至各部門的防病毒客戶端。 信息中心負(fù)責(zé)各部門被隔離文件的提交和返回相應(yīng)的病毒定義碼和掃描引擎。u 建立統(tǒng)一的、分級管理的病毒管理報(bào)告體系：內(nèi)部建立統(tǒng)一的病毒事件管理和報(bào)告機(jī)制，用于統(tǒng)一存儲、統(tǒng)計(jì)報(bào)告在明信公證處網(wǎng)絡(luò)發(fā)生的病毒事件，以便及時(shí)了解全網(wǎng)的病毒事件、病毒的發(fā)作情況、病毒的類型情況、在什么地方、什么時(shí)候感染了什么病毒。同時(shí)該病毒事件管理中心可以根據(jù)以后的安全需求擴(kuò)展成為安全事件管理和響應(yīng)中心。如現(xiàn)在或以后公司可能需要部署其他的安全產(chǎn)品如防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等，可以通過安全管理中心來集中收集、存儲、分類、關(guān)聯(lián)來自其他安全產(chǎn)品的安全事件，從而是安全管理員在一個(gè)地方就可以了解到全網(wǎng)發(fā)生的所有安全事件，并采取相應(yīng)的響應(yīng)措施，如圖所示安全事件集中管理和響應(yīng)中心下圖是一個(gè)病毒事件報(bào)警的實(shí)例，根據(jù)需要可以產(chǎn)生各種各樣的圖形化報(bào)告，或圖文混排的報(bào)表格式。病毒事件（安全事件）統(tǒng)計(jì)報(bào)告格式 部署全面的防病毒軟件建議采用“縱深”防御的措施，即考慮在整個(gè)網(wǎng)絡(luò)中只要有可能感染和傳播病毒的地方都應(yīng)該采取相應(yīng)的防病毒手段，安裝相應(yīng)的防病毒軟件。針對明信公證處的具體情況，主要考慮服務(wù)器的病毒防護(hù)以及客戶端病毒防護(hù)，其中在對服務(wù)器的病毒防護(hù)上，主要考慮針對明信公證處內(nèi)聯(lián)網(wǎng)內(nèi)部Windows NT/2000服務(wù)器的病毒防護(hù)：u 部署服務(wù)器級防病毒在服務(wù)器系統(tǒng)的防病毒保護(hù)上，根據(jù)明信公證處網(wǎng)絡(luò)的具體情況，我們主要考慮針對Windows NT/2000/2003服務(wù)器的防病毒保護(hù)。建議安裝卡巴斯基網(wǎng)絡(luò)版防病毒系統(tǒng)服務(wù)器端，保護(hù)系統(tǒng)、磁盤、可移動磁盤、光盤以及調(diào)制解調(diào)器連接所收發(fā)的文件等免受病毒的感染，部署安裝4臺應(yīng)用服務(wù)器。u 部署客戶端級防病毒在客戶端一級，根據(jù)明信公證處司的具體情況和客戶端的操作系統(tǒng)類型，分別安裝卡巴斯基網(wǎng)絡(luò)版防病毒系統(tǒng)客戶端實(shí)現(xiàn)對Windows 9X/NT/ME/2000/XP/VISITA等操作系統(tǒng)監(jiān)控，實(shí)現(xiàn)對系統(tǒng)、磁盤、可移動磁盤、光盤以及調(diào)制解調(diào)器連接所收發(fā)文件的病毒防護(hù)。部署客戶端軟件151個(gè)用戶許可。 病毒定義碼、掃描引擎和軟件修正的升級方式根據(jù)明信公證處網(wǎng)絡(luò)的結(jié)構(gòu)，考慮到安全的需求，同時(shí)也是便于管理，我們建議在明信公證處網(wǎng)絡(luò)內(nèi)采用級服務(wù)器升級的結(jié)構(gòu)，即：1. 配置一臺服務(wù)器作為網(wǎng)絡(luò)版防病毒服務(wù)器，安裝服務(wù)器端，通過服務(wù)器端定制升級策略和更新策略，首先升級網(wǎng)絡(luò)中心防病毒服務(wù)器的病毒定義碼、掃描引擎和軟件修正。根據(jù)實(shí)際情況可以配置網(wǎng)絡(luò)中心防病毒毒服務(wù)器自動或手動通過Internet到卡巴斯基網(wǎng)站升級最新的病毒定義碼和掃描引擎。2. 打開允許應(yīng)用服務(wù)器客戶端和PC客戶端自行升級功能允許客戶端自行升級，同時(shí)設(shè)置客戶端的自動調(diào)度功能，以使客戶端在脫離服務(wù)器的情況下能自動進(jìn)行升級。3. 允許遠(yuǎn)程客戶端實(shí)現(xiàn)增量、間斷升級?？ò退够试S遠(yuǎn)程客戶端在連接的時(shí)候自動檢測本機(jī)的病毒更新，并且實(shí)現(xiàn)病毒定義的自動、增量的更新，同時(shí)支持?jǐn)帱c(diǎn)升級模式。采用這種升級方式，一方面可以確保明信公證處整個(gè)網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個(gè)網(wǎng)絡(luò)的病毒定義碼和掃描引擎的更新、升級自動完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中某些機(jī)器或某個(gè)網(wǎng)絡(luò)因?yàn)闆]有及時(shí)更新最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力，同時(shí)也避免了各機(jī)構(gòu)自行到Internet升級而帶來的不便和安全隱患。 緊急處理措施和對新病毒的響應(yīng)方式針對未知病毒的處理響應(yīng)措施，可以通過卡巴斯基的數(shù)字免疫系統(tǒng)來自動、快速完成。當(dāng)各網(wǎng)絡(luò)中某個(gè)或某些客戶端發(fā)現(xiàn)有新病毒出現(xiàn)，而防病毒軟件無法清除時(shí)，客戶端會通過隔離技術(shù)首先在本地把被感染的文件隔離，首先保證病毒不會發(fā)作，同時(shí)在本地做備份（取決于管理員的設(shè)置），然后再做一份拷貝，自動傳送到局域網(wǎng)內(nèi)的隔離區(qū)服務(wù)器，由隔離區(qū)服務(wù)器自動傳至卡巴斯基的病毒相應(yīng)網(wǎng)關(guān)。網(wǎng)關(guān)會根據(jù)當(dāng)時(shí)的病毒定義碼情況在幾秒鐘、幾分鐘、幾十分鐘、幾小時(shí)或48小時(shí)內(nèi)返回針對該病毒的解決方案，當(dāng)返回相應(yīng)的病毒定義碼和掃描引擎后，可以通過預(yù)先的設(shè)置，把最新的病毒定義碼和掃描引擎自動安裝到全行的所有防病毒服務(wù)器和發(fā)現(xiàn)病毒的那臺計(jì)算機(jī)上，同時(shí)也可以安裝到指定的幾臺或一臺防病毒服務(wù)器上。 病毒報(bào)警、綜合日志分析及報(bào)表功能當(dāng)網(wǎng)絡(luò)中檢測到病毒時(shí)，防病毒軟件除了會進(jìn)行相應(yīng)的處理外，還可以通過多種方式通知給管理員，通過卡巴斯基的報(bào)警管理系統(tǒng)（KAM），可以通過如電子郵件方式、傳送警報(bào)窗口、采用BP機(jī)方式、發(fā)送SNMP陷阱等方式把病毒發(fā)作和感染的情況通知管理員。病毒的信息可以記錄出現(xiàn)病毒的時(shí)間、計(jì)算機(jī)的名稱、IP地址、用戶名情況、感染情況、處理情況、感染病毒文件的名稱和位置等。 管理員可以把傳上來得病毒信息按病毒名稱、日期、用戶名、計(jì)算機(jī)名、病毒類型、時(shí)間段等關(guān)鍵字形成報(bào)表，同時(shí)也可以通過卡巴斯基提供的統(tǒng)一安全管理平臺生成圖形化的報(bào)告。 安裝完防病毒軟件后對現(xiàn)有系統(tǒng)和應(yīng)用的影響 卡巴斯基防病毒軟件對現(xiàn)有系統(tǒng)正常使用不會有任何影響。同時(shí)卡巴斯基防病毒軟件全部是簡體中文版，便于管理員管理和客戶端使用。 防火墻安全設(shè)定 服務(wù)應(yīng)用的限定通過設(shè)置與服務(wù)應(yīng)用相對應(yīng)的TCP、UDP端口號，并規(guī)定網(wǎng)絡(luò)訪問規(guī)則，使正常的服務(wù)應(yīng)用（如HTTP80端口）得以進(jìn)行，而對于有害的或不安全的服務(wù)應(yīng)用（如137NETBIOS_NS，如果開放，容易受到尼姆達(dá)等病毒入侵）得以屏蔽，減少服務(wù)器或工作站被侵害的危險(xiǎn)。l 網(wǎng)絡(luò)訪問規(guī)則的設(shè)定防火墻可以通過設(shè)置ACL（訪問控制列表）來規(guī)定網(wǎng)絡(luò)的流向，如內(nèi)網(wǎng)設(shè)備可以訪問外網(wǎng)，而外網(wǎng)設(shè)備不可以訪問內(nèi)網(wǎng)，或只能訪問內(nèi)網(wǎng)的某臺或某幾臺設(shè)備，甚至可以詳細(xì)定義到只能訪問特定服務(wù)器的應(yīng)用（如HTTP應(yīng)用，而其他屏蔽）。這種訪問的規(guī)則是單向的，因此可以更好地控制網(wǎng)絡(luò)資源的訪問，對網(wǎng)絡(luò)資源和設(shè)備進(jìn)行保護(hù)。l NAT的規(guī)則NAT是指網(wǎng)絡(luò)地址轉(zhuǎn)換，它的工作機(jī)制是基于保護(hù)內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)和資源設(shè)定的，因?yàn)榛ヂ?lián)網(wǎng)本身是基于TCP/IP的，要能訪問互聯(lián)網(wǎng)必然需要一個(gè)互聯(lián)網(wǎng)IP地址，因此對于內(nèi)部用戶網(wǎng)絡(luò)來說，既要訪問互聯(lián)網(wǎng)，又要防止內(nèi)網(wǎng)暴露在互聯(lián)網(wǎng)面前。NAT正是基于這一點(diǎn)考慮的，內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)，當(dāng)數(shù)據(jù)經(jīng)過了防火墻后，通過防火墻的NAT，把內(nèi)網(wǎng)用戶IP地址（IANA定義的保留地址）轉(zhuǎn)換成了互聯(lián)網(wǎng)IP地址（公網(wǎng)地址），而對于互聯(lián)網(wǎng)用戶來說，他看到的只是一個(gè)互聯(lián)網(wǎng)IP地址，而對于內(nèi)網(wǎng)IP地址，他是無法了解和看到的，這樣可以保護(hù)了內(nèi)網(wǎng)結(jié)構(gòu)。l 流量控制由于用戶的應(yīng)用除了正常的INTERNET訪問和vpn接入外，更多的還是視頻聊天，F(xiàn)TP、P2P的下載（BIT）等不重要的網(wǎng)絡(luò)應(yīng)用，這些應(yīng)用相當(dāng)大地占用了網(wǎng)帶寬，不利于正常的數(shù)據(jù)傳輸，而且嚴(yán)重地會導(dǎo)致系統(tǒng)中病毒（比如有些P2P的網(wǎng)站），導(dǎo)致系統(tǒng)網(wǎng)絡(luò)風(fēng)暴。因此在考慮外網(wǎng)防火墻的設(shè)備選型上應(yīng)考慮進(jìn)行流量控制，限制網(wǎng)上視頻，P2P的應(yīng)用等。在流量控制的設(shè)置上，設(shè)計(jì)成根據(jù)訪問策略和數(shù)據(jù)包進(jìn)出控制進(jìn)行流量設(shè)置，并且對業(yè)務(wù)（服務(wù)）進(jìn)行劃分，設(shè)置不同的優(yōu)先級，不同的優(yōu)先級配置不同的帶寬，這樣既方便進(jìn)行管理，又避免了不重要的大數(shù)據(jù)網(wǎng)絡(luò)應(yīng)用對帶寬造成影響。l 應(yīng)用資源的訪問監(jiān)管辦可以建立自己的，面向internet用戶的web服務(wù)器，郵件服務(wù)器，ftp服務(wù)器等，充分利用互聯(lián)網(wǎng)的優(yōu)勢。為了使外網(wǎng)用戶能夠進(jìn)行正常的數(shù)據(jù)訪問，可以把這些應(yīng)用放于防火墻的DMZ區(qū)，通過防火墻的包過濾規(guī)則設(shè)定，使外網(wǎng)用戶既方便又安全地訪問防火墻DMZ區(qū)的各種應(yīng)用系統(tǒng)。 郵件系統(tǒng)Winmail Server 是易用型全功能郵件服務(wù)器軟件，不僅支持SMTP/POP3/WebMail/多域/發(fā)信認(rèn)證/反垃圾郵件/郵件過濾/郵件組等標(biāo)準(zhǔn)郵件功能，還有提供郵件殺毒/郵件監(jiān)控/支持IIS和PWS/郵件備份/郵件網(wǎng)關(guān)/動態(tài)域名支持/遠(yuǎn)程管理