您现在的位置是:首页 > IT基础架构 > 网络与安全 >
网络行为管理与审计系统AOS部署实录
2008-11-28 00:02:00作者:流云来源:
摘要本文介绍了网络行为管理与审计系统AOS部署实例。...
时间:6月11日,下午6:00-8:00左右
地点:单位的恐怖机房
人物:笔者小周、同事强盗一号
过程:
我们单位是一家大型矿业集团下属的中型矿山,全部员工大概2000人左右。由于这几年集团的效益还不错,所以我们的信息化做的还不错。我们单位通过一条1G光纤接入到集团总部,通过总部连接到互联网络。 单位内部,网络设备全部采用光纤系统,一台老的阿尔卡特核心交换,下面有数不清的、也不知道有多少层的交换设备,IP管理机器混乱。作为网管人员,非常头疼,一直想将单位的设备规整规整,特别是IP地址统一管理起来。苦于位卑言轻,建议了若干次,都让领导给“暂缓”了。
上周,集团公司分配了一台青莲网络行为管理与审计系统AOS,说是一个网管设备,仔细研究了一下文档等等,发现还比较符合我们的需求,提供了简单的网管功能,而且能够根据集团的需要设置相应的上网策略。
按照要求,本周需要把AOS部署完毕,花了两天时间将单位内部的交换机、PC等等做了一个详细的信息表,将网络也做了简单的调整,按照标准三层结构做了重新规划,对于不非典型IP也重新做了调整。万事具备,就准备正式部署青莲AOS.
由于我们网络设备都是采用光纤线路,所以没有办法在安装AOS之前,只能去找厂家要两个光纤模块,AOS和我们核心交换都支持SFP单模,OK!就是花了点时间,确定波长问题,没有办法,谁叫我上岗才1年,对这些光纤还不是很熟悉。
我们经过讨论,决定采用透明方式部署。首先给单位所有的人发通知,告诉他们从晚上6点到9点单位网络升级,可能会断网。 首先,按照AOS快速安装手册的指引先配置好了有关网络地址等等内容,然后断网、将AOS通过光纤串联到网络上去,在没有开机的情况下,网络居然是通的(后来厂家的工程师解释说,因为有硬件BYPASS功能)。开机! 问题就来了: 首先是网络立即断了,崩溃! 通过带外管理口172.21.0.1进入AOS后,IP地址等配置均没有错,而且用系统自带的工具测试,连接网络正常,可后面的计算机就是显示网络是断的状态,崩溃! 电话联系厂商工程师,才发现一个小细节没有顾及到“AOS在默认状态下,禁止所有非法用户的互联网连接”,我晕! 我们想着先部署产品,再来慢慢的导入有关用户信息的。没有办法,在专家指引下,将AOS的这个访问控制设置改成“非法用户可以上网”。OK!通了! 然后顺利的扫描用户,导出用户、编辑用户、导入用户等等。
基本上也能看到所有的用户的上网内容,嘿嘿! 好有成就感! 紧接着又崩溃了一次!根据单位的要求,禁止所有的电子游戏、在线电影、BT等等非法应用,可是就在禁止流媒体的时候发现不起作用了,明明禁止了土豆啊什么的,但后面用户照样可以看这些在线的东西! 试了很多次,都没有用! 没有办法,又联系专家,专家告知要同时把迅雷禁止掉,因为部分视频流媒体等采用了迅雷和HTTP高速下载技术,所有要同时禁止! 崩溃,这么复杂。
所有的设置完毕后,各种网络应用的日志逐渐的出来了,让我们比较惊喜的是,AOS提供的一些分析功能,非常的新颖,角度独特:他们提供一种叫用户行为轨迹的一个分析系统,在界面上看,就是每个应用在每个时间段的分布情况,并且将图形和数据关联,点击一下应用分布态势圈,就可以看到相应的用户和应用信息,包括用户名、应用名称、流量等等,可以第一时间掌握系统的情况。
点击相应的应用趋势图,可以显示如下信息:
其他的功能,都和网络上其他的一些上网行为管理产品没有大的区别,可能在细节上有些不同。 最大的不同,可能就是AOS的硬件平台,采用了多核处理器平台,是专用硬件设备,速度非常好! 而且设备非常的轻,不像X86的硬件很笨重!
总结:
(1)部署AOS前,首先要导入用户;并且将“禁止非法用户上网”设置改成“允许非法用户上网”。注意,AOS的断电状态下,网络是通的,但在开机后的系统启动一段时间,网络是断的。
(2)AOS采用的“先配置策略,再分别应用”的管理思路,所以要做访问控制授权策略、审计类别策略等等,都需要我们事先根据单位的管理需要,先做和策略预设,然后在分别的应用,这样就可以实现个性化的策略应用。
(3)AOS功能非常多,比如多线路负载均衡、流量管理、ARP防护等等,但在不同的部署方式下,有些功能不一定能够用,但在网关部署方式下,所有的功能都提供的。
(4)AOS提供了7层管理策略,所以我们在配置策略的时候一定要小心,千万不要因为策略问题,导致用户对我们网管有意见。
(5)AOS的界面,比较崩溃,没有按照中国人的传统思维方式提供(居厂家工程师说,新的界面已经做完,7月份版本就可以用我们bi叫习惯的界面了)。
(本文不涉密)
责任编辑:
上一篇:某校园网站的安全检测和加固实例