解决网络性能问题的典型方案

作者：硅谷动力

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 用户遇到的问题： 某电厂的企业网络有220多台机器，企业子网多，分布散，企业配置了各种网络安全产品，包括杀毒软件和硬件防火墙。但是经常出现网络故障，也导致防火墙经常不能正常使用，往往不得不重新启动，但几分钟后，防火墙又被数据包堵死，再次陷入瘫痪状态，这样导致企业的多数电脑不能正常上网访问，通过特征能判断出企业内有机器感染了网络病毒，在不断往外发数据包，但无法查找是哪些机器中了病毒。 企业遇到的另一个问题是，企业已经禁止使用QQ工具，以减少员工在工作时利用QQ闲聊，导致工作效率非常低。虽然使用了QQ监控工具，但QQ在加密或使用80端口时，往往能绕开管理人员的管理。 问题分析与解决： 用户的第一个问题，是最典型，也是最常见的需求。企业网络大了后，电脑也分布较远，即使电脑都装了杀毒软件，但如果没能及时升级，或是新的病毒暴发，往往也容易感染上病毒。 现在大多数网络病毒都属于蠕虫病毒，一种传播方式是向自身的邮件地址自动发送带病毒的邮件，另外一种传播方式，是利用操作系统的漏洞，不断的发送带病毒的数据包。这两种方式都是自动完成的，使用者不容易发现，但对整个网络都能造成严重的危害，堵塞网络出口，导致整个网络瘫痪或不能上网。 为此，用户使用了科来网络分析系统4.0。对于传播带病毒邮件的特征，我们可以利用对邮件的检测，查看局域网发送的邮件是否带有病毒，即可将哪些感染了邮件病毒的机器找出来。这个可以利用科来网络分析系统的电子邮件分析模块就能成功检测。对于发送带病毒数据包的特征，我们可以通过IP流量检测，查找那些发送数据包尺寸非常小，而数量又特别多的机器。对于这些可疑的数据包，我们再通过数据包解码视图，查看其数据包的解码分析结果，最后确定是否是带病毒特征的数据包，我们以前遇到过的红色代码，就是通过发送特定的HTTPGET请求，利用操作系统的漏洞进行传播的。 我们再看看用户的第二个问题。首先，QQ已经不固定使用8000端口了，甚至还能使用80端口，80端口是我们上网浏览使用的http协议，如果这个端口封死了，那大家都不能正常上网了。那对于QQ的封堵，最好的办法，还是采用防火墙封堵QQ代理服务器的IP地址，是最好的手段。然而，必须得知道服务器的IP地址，才能在防火墙上进行设置，如何找出QQ代理服务器是一个难题，并且不断有新的QQ代理服务器出现，如果QQ加密使用，就更难查找其服务器的IP地址。对于这样的问题，也是需要进行网络分析，才能有效解决的问题。 通过应用科来网络分析系统，我们首先可以通过TCP检测，来对所有的流入流出的数据包进行统计分析，对于MSN这样的聊天工具，是使用的微软的私有协议----msnp，只要查看TCP视图的协议结果，就能很快找到服务器的IP地址。对于QQ使用http协议时，就需要进行一步筛选。使用QQ时，不管是否正在使用状态，都会定期自动向服务器发送一些数据包，来向服务器传输自身的状态和设置，特点是数据量小，数据包多，并且一直保持会话建立。所以，我们可以只针对那些状态为长时间建立，数据包并不大包且数量特别多的IP进行分析。我们查找到这样的数据，接下来，就查看TCP数据流重组的结果，如果使用了QQ，在TCP数据流重组结果中，会有一个User-Agent: QQ的记录，这一般是QQ的广告，而采用加密代理服务器的通话，我们会看到打乱了的结果。最后我们再将分析结果的IP地址，在防火墙禁止访问，便能有效的限制QQ的使用。 总结： 科来网络分析系统的应用，使得网络的管理变得更轻松，以往出现网络阻塞问题，只能重启防火墙，但也无法根本解决问题，而现在能快速找出局域网里面的中病毒机器，再采用隔离，杀毒的措施，有效的解决了潜在的安全隐患。利用网络分析和解码功能，可以有效的限制QQ的使用，减少了员工QQ聊天，提高了上班的工作效率。 此方案成本低，实施简单适用，不需要更改公司原有的网络结构，便能快速应用。部署也简单，只需要在一台管理机器上安装即可。另一方面，此产品的应用，也增加了公司的网络管理意识，真正的网络安全来自于完善的网络管理体系和机制，否则，拥有再好的网络安全产品，也不可能得到最好的防护。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (7/20/2005)