2016-03-02 15:05:41 作者:SystemMaster 来源:
为提高企业竞争力,国内大部分企业办公场所会分布设立在各主要城市。早期为了企业宣传及资料搜索,在各办公场所均接入了互联网,由于作用有限,决策层也未重视,各办公场所的网络可用与不可用并未引起关注。随着企业全球化战略的实施,国外合作伙伴信息化建设给企业带来的收益引起了企业决策层的重视。在经过一番咨询、考察之后,企业建立了自己的数据中心、协同办公平台,以期能达到企业形象提升、办公效率提升等预期。但事与愿违,重金打造的企业信息化平台不仅仅没有达到上述预期,反而因为信息化工作的推进导致办公效率更低。
签于此,决策层安排IT运维管理部门尽快寻求解决办法,以确保企业在信息化方面的投资能转化为生产力。
网络信息化普及,使得企业对互联网依赖日益加深,但伴随着网络应用的复杂化,尤其是P2P下载和在线视频应用的迅猛发展,带宽已经明显不够用,且关键应用无法得到保障,导致企业信息化推进进程缓慢。
互联网带宽总是不够
由于企业数据中心集中在总部,考虑到所有办公场所都会有数据要与数据中心进行交换,在早期信息化建设时已经考虑到了总部出口带宽问题,但现在无论是位于总部的终端还是分布在全球各地的终端,都在反映网络速度慢,还不如按传统的办公方式来的利索,导致信息化推动进程缓慢。
出现这种现象的原因在于,企业决策层忽视了在网络应用改变之后,既定的互联网带宽相对于目前流行的应用永远是不够的,而网络维护部门显然是已经明确了这一点,但囿于目前的网络设备,包括防火墙,路由器及交换都工作在三层,对第七层的应用无法做到监控。当前的P2P和视频点播软件具有端口模拟、数据包伪装、超线程下载等性能,而新配置的pc机性能较高,使用这一类的软件,单台pc机占据几兆甚至十几兆的带宽是常见的现象,而且这些下载、点播里面90%以上是与工作无关的内容。再加上行政干预手段并未收到预期的效果,这就严重阻塞与广域网带宽相关的其他关键业务。这就导致了目前企业经常出现的上网发生的网速忽快忽慢就是这类问题的表现之一。今后随着各类应用的普及,还将发生各类软件在使用的时候会有很大延迟甚至因为找不到服务器而中断。
网络安全堪忧
从安全的角度来说,病毒攻击也是现今网络中不得不考虑的一个事情。近代蠕虫和病毒攻击的特点不再是文件的修改与删除,而是从内部开始产生超量的会话,导致网络设备的响应达到极限而拒绝提供服务。目前病毒的侵入无处不在,不仅仅可以通过员工电子邮件等渠道消消进入,然后发起攻击,而且可以通过互联网的下载潜入下载宿主机,一旦攻击发生的时候,病毒会通过网络在局域网内扩散,极端的情况是公司内的若干台中毒PC同时往上游某些服务器发送大量攻击包,使得某些网络设备或宿主机不胜负荷倒下的同时,阻塞广域网通道。面对这种局面,企业目前通常采用的防火墙、IDS等解决方案已经无能为力。
关键岗位与关键应用带宽得不到保障
随着企业信息化的开展,企业大大的提高了效率和产能。但同时也经受着由网络所带来的弊病,由于TCP通讯协议的大突发量,在网络上的各种应用互相抢占出口网络资源,个别用户的应用可以轻易地抢占大量资源,导致网络经常有阻塞发生并威胁到各种关键应用的运行。如企业网中的对外发布信息的WEB服务器,用以交换文件的Mail服务器以及用以远程交流的视频会议系统等,直接造成企业经济损失和企业正常办公和运转的进行。所谓关键应用是指与生产、安全、关键用户息息相关的各类网络应用,包括各类数据库、文件传输、视频会议等等形式。一些P2P软件的使用占用了企业至少50%的带宽资源,并且仍然在毫无节制地加速吞噬着宝贵的带宽资源,这将严重影响包括ERP、OA系统在内的一些关键应用。故而,我们迫切需要在网络中添加专业的流量管理设备,使关键业务在使用时有条件使用足够的带宽资源,并且在异常情况下能通过这类设备提供的实时与回溯分析进行使网络故障定位,既能防患于未然,又能在事后使问题源有迹可查并迅速排除隐患与问题。确保关键应用在任何时候都不受影响。
信息安全的法律取证无法免责
因为业务已经遍布全球,法律取证存在隐患,是企业管理者要提前要考虑的问题。按照公安部82号令的要求,单位提供职工上网环境的,所有用户的上网行为都必须保留3个月以上的行为记录,以供各类信息案件取证使用。企业目前的网络结构这类上网行为记录是通过防火墙进行的,只能粗略记录用户及其访问的网站,还不能详尽到具体网络行为。如果发生信息安全案件,无法提供合格的相关记录,管理者将承担一定的行政责任。
该解决方案在不改变企业网络结构的情况下即可实现,考虑到除了对与工作无关的应用进行限制以及从预防蠕虫病毒爆发产生大量会话进行预设限制阀值外,企业可能需要对员工个体进行差异化管理,同时也需要对员工个体的流量异常关注,我们将maxnet AM系列产品串接部署在防火墙与三层交换机之间,既能实现对个体进行控制,同时对行为进行审计。
AM系列的产品管理口独立,为了便于管理,需将AM系列产品的管理口接入局域网络,这样网络运维管理人员只需要局域网内的任何终端通过浏览器即可实现对网络流量的监控与分析。
通常情况下,我们会将应用分成两组,一组是允许的,另一组是禁止的,对于禁止的应用(比如game、p2p等)直接在全局策中将其阻止,以减轻网络设备的压力。对于允许的应用将会再细分为需要保障带宽的应用与需要限制带宽的应用,再加上有可能不能识别的应用,我们将总带宽分成多个通道,使对应的多个允许应用组对应的流量分别进入各自的通道。在此基础上,为了有效利用带宽资源,我们首先是可以将需要保障带宽的应用组再细分,再结合迈科独有的共享通道技术、优先级与权值分配技术,从而实现带宽的动态调整;其次是可以将时间计划作为策略元组,在工作时间段内严格带宽管理策略,而在闲暇时段内宽松带宽管理策略。
用户受益:可实现网络流量可视化、关键业务带宽保障、关键任务带宽保障、上网行为审计。
下篇:运营商