基于大量内网安全解决方案的成功经验,帷幄技术的安全专家认为企业在部署内网安全软件产品应该注意产品以下四大性能指标:
1、安全是基础
企业内网安全的核心就是内网环境的安全,安全包含几个含义:一是数据的安全,即数据在正常使用的情况下不会外泄出去;二是网络的安全,即网络接入点没有病毒木马等破坏因素的侵入;三是人员的安全,即进入内网、控制和使用数据的人员不会蓄意外泄公司资料。但是,不同企业的信息风险性不一样,不同部门涉密程度也不一样,大量的企业核心数据跟着企业ERP、OA等应用系统随意流转,因此要对所有存在于企业中的数据进行针对性的分重点、分主次的安全管理和控制,建立起整体的企业信息安全体系对于企业内网安全而言,意义重大。
2、稳定是保障
系统的稳定运行,是内网安全的保障。稳定体现在产品本身的品质上,是否经过严格的测试?是否具备很强的兼容性,能和其他系统无缝对接?是否拥有软硬件一体化的运行环境?如果厂商提供的产品具备以上几个标准,那么在稳定性上基本可以满足企业的内网安全部署需求。此外,做的比较细致的企业,还会提供报警之类的功能模块,以确保系统的稳定运行。
3、高效是实需
内网安全产品的最终目标就是实现内网信息的安全流转,产品少不了设卡、认证、上锁、解锁等环节,因此是否会影响到工作效率,是企业比较关心的问题。实际上一款高效的内网安全产品,从部署安装开始就应该满足快捷、精准、集中等特点,策略的执行也应该具备批量设置的功能,管理者在使用产品的时候可以快速定位、集中管控。此外,一款好的内网安全产品除了没有繁冗的功能叠加,还能够通过控制计算机上的软件程序和网络连接,提升员工工作效率和优化网络运营环境。
4、易用是增值
由于过分强调安全策略,很多厂商不注重软件界面的美观以及人性化设计,导致很多企业即使部署了内网安全产品,也疏于管理,最终效果不尽人意。因此,一款好的内网安全产品应该拥有人性化的操作界面,管理者即使是第一次接触也应该明白产品的基本功能和基本操作。
另外,专家还指出,除了考虑上述四个基本产品性能指标,易于部署调试、不影响网络运行、具有良好扩展性,以及经济实惠等条件也是选择一款好软件产品的重要衡量指标。其实,部署一款合适的内网安全软件只是开始,要打造完善的内网安全体系还需要统一规划,综合各种技术的优势,用一套完善的解决方案,实现安全产品纵横向的有机结合。这是一个选择咨询、实施部署、改进回馈的长期过程。
1、需要注意DFS(分布式文件系统)根目录的放置。
当用户访问WEB网页时,他们只知道要访问某个网站,而不知道网站后面可能还有其他服务器的存在。用户要访问的WEB服务器其实就是DFS根目录所在的主机。
网络管理员要实现分布式文件系统,必须要先将网络中一台服务器内的共享文件夹设置为 DFS根目录。 这个DFS根目录主要用来存储分布式文件系统的映射关系。
网络管理员要为该根目录取一个简约的名字,其他用户就可以通过这个名字访问这个分布式文件系统根目录下的文件。可见DFS根目录的安全性直接跟WEB服务器的安全相关。
而且其也跟WEB应用服务的稳定性息息相关。 因为如果这个目录出现了问题,映射关系遭受到破坏,则用户将无法正常访问文件资源。
为了提高这个根目录的安全性,笔者建议是要把这个根目录部署在微软的NTFS文件系统上,并对此配置一定的安全措施。由于NTFS文件系统要比FAT32文件系统安全的多。
无论是加密技术或者数据还原上,NTFS文件系统都有比较突出的表现。 故笔者觉得,使用NTFS文件系统当作分布式文件系统的根目录,则其安全性与稳定性会更有保障一点。
2、部署多台主机服务器。如果DFS在微软的域环境中,则必须是域的成员才能够存储DFS根目录。
换句话说,要成为DFS服务器,则必须加入到微软的域中。 这台存储DFS根目录的服务器被称为主机服务器。
域DFS可以通过创建另一个新的DFS根目录目标的方式,将DFS根目录复制到其他的服务器内。如上图中,DFS根目录的目标有两个,分别映射到两台服务器的共享文件夹。
即DFS根目录中的内容被同时存储到这两台服务器种,以实现服务器负载均衡以及提供比较高的容错性能。 从理论上来说,主机服务器越多,其容错性能越好,用户访问服务器的性能也越好。
这些主机服务器的设置数据可以通过活动目录自动同步。为此当一台存储DFS根目录的主机服务器发生故障时,用户还是可以从其他的主机服务器读取到根目录内的设置数据。
所以可以说主机服务器它具备了DFS映射关系的容错功能。 简单的说,主机服务器之间的数据会自动发生同步,从而保证各台服务器之间数据的一致性。
但是这就会发生一个问题。如果服务器比较多的时候,那么这个数据同步就可能会占用比较多的网络带宽。
而且架立服务器也需要不少的投入。为此笔者觉得,主机服务器也并不是越多越好。
网络管理员需要根据预计访问的用户、对于容错性的要求等等角度,去考虑主机服务器的数量。对于普通企业来说,这主机服务器2台到3台也就够了。
多了也是种浪费。 3、要选择合适的分布式文件系统类型。
Windows服务器(以2003服务器操作系统为例)其主要支持两种分布式文件系统类型。 这两种类型分别为域DFS与独立的DFS。
这两种分布式文件系统各有各的特点。网络管理员需要了解这两种分布式文件系统的特点,并根据企业自身的需求选择合适的实现方式。
这里笔者要强调的是,无论是哪种分布式文件系统类型,他们都支持容错功能。无论是域DFS还是独立的DFS,一个DFS链接的目标可以同时映射到多台服务器的共享文件夹,这些共享文件夹中存储着相同的文件。
当有一台服务器发生故障时,用户还是可以从其他的计算机获取文件。也就是说,无论哪种实现方式都可以提供DF链接容错功能。
这也是这两种分布式文件系统类型的唯一共同之处。另外需要注意的是主机服务器之间文件的复制问题。
在域DFS中,主机服务器之间的DS根目录复制,还有DFS链接的多个目标之间文件的复制,都可以通过文件复制服务来实现自动复制。 但是如果是独立的DFS,则DFS链接的多个目标之间文件的复制,需要网络管理员手工操作。
这个差异让独立DFS只限于在小规模范围内使用。除了这个差异外,独立DFS还不具有DFS映射关系的同步功能与DFS根目录的容错功能。
故当采用独立的DFS系统类型时,网络管理员需要花费比较多的时间去实现这个数据同步功能。 故考试大建议对于独立的分布式文件系统要慎用。
另外是否采用独立DFS,还有出于兼容性的考虑。这方面的内容笔者会在下一点进行说明。
4、要注意早期操作系统对分布式文件系统的支持。一般来说只有安装了DFS客户端软件的客户端计算机,才可以访问DFS内的文件。
另外也只有某些特定的计算机操作系统才具备存储DFS根目录的功能。通常情况下,Windows2000(包含2000操作系统)以及以后的系统默认情况下都已经安装了DFS客户端,故这些操作系统对DFS文件系统的支持是没有文件的。
需要注意的是早期的操作系统对其的支持。 如Windows95操作系统,虽然其可以支持DFS分布式文件系统,但是另外下载并安装DS客户端软件。
而Windows98操作系统默认情况下已经安装了DFS客户端,可是这个客户端只能够支持独立的DFS分布式文件系统类型。如果要访问域DFS分布式文件类型,则必须对这个DFS客户端软件进行升级。
所以如果企业网络中存在着比较老的计算机操作系统,那么是网络管理员部署分布式文件系统的一大障碍。 另外最后考试大需要强调的一点就是安全问题。
从上面的描述。
若一个企业有近百台主机的话,那网络管理员的大部分工作在做什么呢?就是各个部门的跑,帮他们解决应用软件上的难题。
一会儿有个用户说他的EXCLE软件出问题了;一会儿又有员工报告说他的打印软件出现了故障,等等。网络管理员就四处的去救火。
一天下来,自己累个半死,而且,都是在做这些没有多少价值的工作。 网络管理员如何才能从这些繁琐的日常事务中解脱出来,开始一些网络设计与规划等等更加有价值的工作上来呢?若能够通过网络来管理应用软件,则必将可以节省网络管理员大部分的时间。
好了,废话少说,下面,笔者就把自己在这方面的心得贡献出来。或许大家能够从我的工作经验中获得一些启发,把自己从繁琐的软件维护工作中解脱出来。
假设现在有个员工A,他向网络管理员求助,说他们的EXCLE程序出现了问题,请帮忙解决。此时,网络管理员难道还要“千里迢迢”的跑过去解决吗?其实不然。
利用软件网络部署功能,当应用软件出现问题的时候,系统会自动从服务器上下载相关的内容,对应用软件进行修复。 要实现这个目的其实不难,且听我一步步的道来。
一、软件分发点的设置 软件分发点,其实就是软件源程序的存放位置。若想要操作系统自动修复损坏的应用软件或者自动安装它所需要的软件,则首先我们网络管理员必须要先提供应用软件的安装程序。
如此的话,操作系统才有可能完成软件的自动安装或者自动修复工作。 故,我们首先要设置软件分发点SDP。
大家不要给这个洋文词吓倒,以为又是什么高深的内容。其实这个软件分为点就是我们在文件服务器上建立的一个共享文件夹。
只是这个共享文件夹有点特别,其存放的不是用户的文件,而是一些经过处理过的应用软件的安装程序,如OFFICE办公软件的安装程序。 这个软件分为点对于实现网络自动安装或者修复应用软件来说,显得非常的重要。
我们想一想,若这个源头,这个安装程序本身就存在一定的问题,则后续的软件安装或者恢复当然也难免会出现故障。所以,我们网络管理员若想实现网络自动部署应用软件的功能的话,则就需要首先保障整个共享文件的安全性。
为此,笔者有以下建议: 1、对该文件夹设置合理的访问权限。一般来说,只要给这个文件夹只读与运行的权限即可。
如此的话,就可以防止员工有意、无意的对该文件中的内容进行修改;同时,也可以防止病毒对该文件夹中的安装程序进行破坏。所以,在设置这个文件夹的时候,笔者建议,只要给其只读与运行的权限即可。
当然,作为网络的管理员,可以专门设置一个账户,具有修改的权限。不然你要增加安装程序都没这个权限了。
也就是说,对于这个共享文件夹,要设置两种访问的类型。对于普通员工来说,只需要只读以及运行的权限即可;而对于网络管理员来说,需