|
上海东海华庆工程有限公司的前身为上海东海工程局。是1992年在海军东海舰队工程部队的基础上组建起来的。组建后,认真执行国家建筑工程管理法规,服从行业规范管理要求,积极参加地方和部队的工程项目的施工。至今已发展成为拥有房屋建筑总承包一级、市政工程总承包二级、水利工程总承包二级、港口与海岸专业承包二级、建筑装饰专业承包二级、地基与基础工程专业承包二级、钢结构专业承包二级施工资格的综合性工程施工企业。 近期东海华庆乔迁新址,网络需要重新组建。基本需求有三点:1、有效防范ARP攻击、ARP欺骗等内网攻击;2、带宽管理;3、有效防范私改IP、克隆MAC的行为;4、将内网主机分组,执行相应策略。公司网络负责人马主任在组网时,想到他们以前网络出现不稳定、难管理的问题就头疼。特别是网络卡滞、掉线或IP冲突等,同事们的电话一个接一个的打给他询问情况,并催着赶紧解决问题。因网络的问题总是影响到了其他同事的办公,此类问题一直困扰着马主任。此次新组网,马主任苦无良方之际听朋友说起“免疫墙”,并给他巡路免疫墙厂商上海办事处戴工的联系方式,紧接着迫不及待就联系了戴工。戴工在了解完网络环境及需求时,选用了一台巡路免疫网关企业专用型号IWG1000-NB,并约好时间为马主任公司做免费的上门体验。
方案部署过程中,为确保每台主机的合法接入。每台主机逐个开机,通过内网DNS的重定向,跳转到运营服务中心下载安装免疫上网驱动。如图2
当每台主机均已安装完免疫上网驱动后,在监控中心就能获取每台主机的相应信息。下方红色字体为内网攻击拦截及报警信息,如图3
免疫驱动执行默认策略,拦截相应攻击并通过监控中心显示。对于未拦截信息亦可再做策略调整,对网络通信进行拦截或放行。私改IP或克隆MAC立马被封锁,不影响合法IP。只有管理员可以对其解锁,并更新IP/MAC。详细日志如图4
把内网主机按部门及上网要求进行分组,执行相应要求的分组策略。如图5
从终端网卡精确控制带宽流量。如图6
报警策略的设置,可供在监控中心看到未/已拦截信息。免疫上网驱动执行的默认策略,会把违法行为有效拦截。根据报警未拦截等信息可对其再做控制,确保网络流畅!如图7
在戴工的协助下,马主任顺利地部署完巡路免疫网络解决方案,更是明白了免疫墙的技术理念,深刻认识到了普通网络升级免疫网络的趋势化和必然性——在廉价的共享型以太网中,要解决协议漏洞问题而又不能不用以太网。只能通过技术在交换网络的每一个节点设好安全措施。把网络通信与安全融合一体,及每个节点都做好了,相互调动安全机制,再做到基因式的主机看管才行。免疫墙技术就是这样的技术!免疫墙不但轻松实现了东海华庆的网络需求,更是解决了困扰该公司长期的网络问题。马主任不禁感叹巡路公司有如此好的产品理念和技术方案,感谢戴工给他们耐心的、热情的服务! |
