Neteye在某电厂网络中的应用

欢迎您访问我爱IT技术网，今天小编为你分享的电脑教程是网络协议方面的经验知识教程：Neteye在某电厂网络中的应用，下面是详细的分享！

Neteye在某电厂网络中的应用

客户简介

　　某电厂是大型火力发电企业，早在1993年就建立起了覆盖全厂的计算机10兆网络，今年改造为千兆以太网，主干采用3COM公司的CoreBuilder 9000企业级的交换机，它具有第三层交换，部门交换机采用SuperStackII3900/1100，拨号路由器选用3COM的RAS1500。总端口数量为：10/100M端口总共280个。中心交换机的高速端口(千兆以太网端口)12个。

　　目前有4台服务器在网上运行，分别为文件服务器、数据库服务器、Web服务器和OA服务器。网络操作系统采用Windows2000，数据库采用Oracle 8I，防火墙选用NetEye。

关键挑战

　　由于该电厂采用Internet技术建设，资源共享和开放是Internet特点，但Internet的安全机制很松散。因此，设计与开发保证内部各种信息的安全机制是实现交易网应用的关键。Internet上的安全技术主要包括系统安全、信息安全和网络安全技术，而三者之中网络安全尤为重要，而且也是技术实现的难点所在。网络安全的主要技术是防火墙技术(Firewall)，防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于包过滤(Packet Filter)的防火墙和基于代理(Proxy)的防火墙。

　　解决方案

　　为了保证网络的安全性，我们选用东软的NetEye防火墙系统，从根本上保证将来不会发生受制于人的情况。在局域网络中我们还设置一台PROXY服务器，一方面能够对访问INTERNET的用户进行管理，并有效地节省了IP地址资源，另一方面，可以与包过滤的防火墙相互配合，提高网络的整体安全性。

　　NetEye是东软通过对国外防火墙产品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新发展，提出的一种具有信息分析功能、高效透明包过滤功能、多种反电子欺骗手段的安全可靠的专用防火墙软件。NetEye应用在需要实现安全保护的内部网与外部Internet网络之间，在表现上相当于一个透明网桥。

　　国外防火墙产品，对于我们而言操作复杂,配置困难。NetEye软件可以灵活地对监控主机进行管理和配置，具体如下：

　　同时管理不同监控主机

　　NetEye监控主机功能的实现在很大程度上是靠用户对监控主机的合理配置来实现的。管理主机可以十分方便的管理任何一台连接于当前局域网内的防火墙监控主机，从而实现一台管理主机监控多台监控主机的功能。这样，将多台防火墙监控主机的管理置于一台管理主机之下，进行集中管理，为用户节约了资金和管理费用。

　　网络数据的允许/拒绝

　　对防火墙监控范围以外的网络数据允许其通过还是拒绝，一直是大家讨论的问题。这是与用户对内部网络的安全特性要求密切相关的。防火墙的基本准则是

　　.一切未被允许的就是禁止的。基于该准则，防火墙封锁通过防火墙的所有信息流，然后对希望提供的服务逐渐放开。这是一种非常实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才被允许。这时，安全性高于用户使用的方便性，用户所能使用的服务范围受到限制。

　　一切未被禁止的就是允许的。基于该准则，防火墙转发所有通过防火墙的信息流，然后逐渐屏蔽可能有害的服务。这种方法构成一种更加灵活的应用环境，可以为用户提供更多的服务。但是，在日益增多的网络服务面前，防火墙管理人员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全保护。为了适应不同用户的要求，NetEye对不同的用户要求，可以进行有选择的设置，即对网络中不在监控范围内的数据是允许还是拒绝，完全由用户决定。

　　网络日志文件的配置

　　网络日志文件就是提供给用户一段时间内网络数据流动情况的文件。而网络日志文件的提供方式也可以由用户灵活的选择：1，记录全部过滤情况。2，只记录被拒绝的情况。3，只记录被允许的情况。4，不做记录。用户可以选择性的对上面四种之一进行设置，从而可以灵活的了解网络中不同数据通过情况。基于TCP/IP协议，本系统对通过网络中每个数据包按用户的要求进行相关信息的记录。

　　网络数据的跟踪记录

　　网络数据的跟踪是满足用户对于网络中数据的内容进行了解而设置的功能。用户可以随时查看网络中满足其要求的网络数据(如：某个或几个具体IP地址的数据，或者某具体网段，或全部数据)，而这样的网络数据是以文件的方式存储。网络数据文件的跟踪和记录是建立在TCP/IP协议之上，按照不同通信协议对网络数据包进行分析(如：FTP，TELNET ，HTTP，WWW，)，重组，然后存储成文件供用户使用。

　　防火墙当前状态

　　NetEye提供将当前监控的防火墙主机状态给用户，方便用户对监控主机的了解。如：当前防火墙监控主机的IP地址，上载的规则集，防火墙的监控状态等。下面几点是我们应用NETEYE防火墙的休会：

　　基于网络数据包的IP过滤

　　对基于TCP/IP协议的网络数据包进行IP过滤是目前大多数防火墙系统具有的功能。NetEye提供方便灵活的IP包过滤规则的编辑、上载。基于TCP/IP网络数据的网间网传输依赖于数据包的IP进行，NetEye根据用户的需要，依据网络数据包的源地址、目的地址、端口号、输入、输出等对网络数据进行过滤(允许/拒绝)，从而有效管理网络中数据的流动，达到监控网络数据目的。

　　基于网络数据IP和MAC地址的包过滤

　　为了防止内部人员进行非法IP盗用,NetEye提供将内部网络的IP和MAC地址进行绑定的功能，用户可以方便的对内部网络的IP和MAC进行管理。

　　网络数据的实时/事后分析及处理

　　目前，国外防火墙产品大多不能提供对网络数据的实时/事后分析和处理。NetEye提供给用户对网络中流动数据包实时分析的功能。用户可以以关键字方式查看网络中某段时间范围内包含该关键字的数据包的情况及内容，从而可以针对该数据包的一些特性制定相应的措施。同时可以记录一些用户认为不合法的数据包，以便过后追究当事人的责任。同样，网络数据的事后分析是指将一段时间内通过的不同种类的数据包(HTTP，WWW，E_MAIL等)经过分析、重组而形成的文件，提供给用户，供用户分析处理。

　　网络数据流动情况的监控分析

　　网络中流动的数据是动态的，十分不易把握，且网络中的数据种类较多(如：HTTP,FTP,TELNET,WWW等等)。针对这种情况，NetEye 随时对网络中的各种数据包通过情况进行记录。按照TCP/IP协议，通过对网络中的数据包进行分析，将数据包分类，在一段较短时间内将网络中的数据流动情况绘制成柱型图和饼形图，从而实时的了解网络中数据通过情况。

　　客户评价

　　东软NetEye防火墙功能齐全，使用方便，配置简单，费用较少，在经过实际使用后效果明显，并得到了用户的好评。

以上就是关于Neteye在某电厂网络中的应用的网络协议知识分享，更多电脑教程请移步到>>电脑教程。