赛诺朗基网络配置管家白皮书0928Word文档格式.docx
《赛诺朗基网络配置管家白皮书0928Word文档格式.docx》由会员分享,可在线阅读,更多相关《赛诺朗基网络配置管家白皮书0928Word文档格式.docx(13页珍藏版)》请在冰点文库上搜索。
这所有的一切就让我们的“网络设备配置变更管理系统”帮您来实现吧!
网络设备是企业的重要部分,任何随意的配置变更都有可能造成网络故障。
网络管理员管理大量的网络设备,很多情况下他们需要进行无计划的配置变更。
随着配置变更日益频繁,跟踪对配置所做的变更面临巨大的挑战。
当出现网络中断,最常见原因是错误的配置变更,排除故障将成为棘手的问题。
即使进行正确的配置变更,也需要安全人员确保变更不影响网络安全。
随着关键网络资源和信息管理受到日益严重的威胁,要求网络管理人员不仅符合标准实践、内部安全策略、严格的政府法规和行业方针,而且要保证策略的实施以及网络设备符合所规定的策略。
网络管理自动化领域常常提到自动化,而网络配置变更管理自动化是网络管理自动化的第一步,它不仅允许网络管理员快速地使网络适应变化,而且也为这类变化实现了一定程度的一致性。
网络配置变更管理是最小化网络、IT系统变更影响的策略方法。
其目的是创建公司范围的标准化方法来同时实现自我激励和内部变更,如更新和故障修复、配置漏洞检查;
以及外部需要的变化,如政府对数据的规范。
HaytoneNCCM采用B/S架构,支持多个厂商的设备,用于交换机、路由器、防火墙等网络设备的网络配置、变更管理和顺应性管理的解决方案。
二、系统功能
2.1配置概要
为用户提供了配置相关的统计信息。
配置有差异的、无差异的饼图、配置备份成功和失败的饼图、一致、不一致和无数据的饼图、最新的N个配置发生变更的设备列表、最新的N个配置发生变更的设备列表、最新的N个配置与标准配置有差异的列表、按时间排列的配置变更数据统计表等。
2.2设备配置管理
提供对多厂家的交换机、路由器、防火墙和其它设备的配置管理综合解决方案;
通过SSH、Telnet、SNMP以及TFTP协议对设备进行配置;
支持同时对大量的网络设备的导入、自动发现、配置备份、配置恢复以及查阅设备状态、端口状态等操作。
1.友好的WEB用户界面
∙通过HaytoneNCCMWEB界面可以执行所有相关的任务,相同的功能进行了归类,以不同的标签体现,在相应的标签中一步步执行各种相关的指令。
2.设备与配置搜索
∙在库存中查找指定的设备,在设备的配置文件中查找特定的词语、字符串、短语或这些情况的组合。
3.配置并排比较
∙每台被维护的设备相关的配置变更项分别保存两个版本,按照上下文并排比较,用高亮颜色显示出变更的部分。
4.实时配置跟踪
∙通过Syslog和预先定义的备份任务实时跟踪配置变化;
∙通过电子邮件、短信等通道对变更进行通知、报警;
∙详细记录诸如什么时候、什么人做了什么样的配置工作报表。
5.准确故障定位,快速灾难恢复
∙快速修复设备的错误配置;
∙恢复到配置历史上任一可用安全版本;
∙当发现配置失败后,系统自动回转到一个安全配置。
∙保留设备配置的备份至关重要,一旦你拥有了备份,设备故障的恢复,也就是分分钟的事情。
6.网络合规性
∙自动检查配置变化检查,以顺应内外部策略和标准;
∙自定义符合自己企业的合规性策略配置。
7.配置模板和脚本
∙提供自动配置操作的模板和脚本,应用到同类多台设备;
∙模板和脚本为精准的配置要求提供可能。
2.3事件管理
1.实时事件展现
事件平台视图中为您显示和搜索当前活跃的配置事件,事件内容是根据您所收集的数据、过滤条件、查询条件而不同。
系统列出一些常用的查询条件的事件分类,诸如:
备份成功、备份失败、没有备份、备份恢复成功等。
也可以按照用户需要去自定义更多的查询组。
2.历史事件查询
历史查询显示过去的、不活跃的事件,事件同样也有默认分类,也可自定义分类,更突出的是由于赛诺朗基的免数据库技术,无需做数据回滚,即可对所有保留下来的事件进行查询。
通过拖拉时间轴,轻松实现“按小时”、“按天”、“按月”进行查询,追溯相关责任。
2.4配置变更审计
∙保持一份详细的对所有设备相关配置、变更等操作记录;
∙审计诸如谁在什么时间做了什么样的变更等操作记录;
2.5配置安全漏洞检查
∙提供全局配置安全漏洞检查
凭借多年为全球知名企业提供安全评估,我们发觉配置安全漏洞检查是非常重要的,它不只是简单的对防火墙规则进行检查,还应该涵盖所有网络设施配置所面临潜在威胁。
因此,我们提供了一个完整的防火墙规则安全审查,也提供了许多其他网络设施配置可能会带来安全风险审查的选项,并为您提供的相应报告,以便您做出明智的决策。
∙安全优先级定义的最佳实践
对行业标准CVSSv2评级制度、评级系统全面的支持。
当您使用CVSSv2评级系统时,您可以按照诸如保密、完整性等安全优先级定义您的环境,为您提供安全优先级定义最佳实践。
∙配置风险、冲突智能识别
用户对设备的一些配置选项打开或关闭非常简单,然而,许多网络设备往往是复杂的的配置之间相互影响关联、影响,HaytoneNCCM帮您理清那些复杂的配置项之间的关系,帮您分析出配置中有哪些潜在的安全风险。
同时这一切还可以做成自动化,而这一切又是我们在管理中迫切需要的。
2.6动态报表
HaytoneNCCM包括先进的动态报表的撰写技术,使得报表完全符合用户习惯。
每个账户可以自定义常用报表,动态生成常用的报表。
∙网络设备库存报表、网络健康状态报表、配置变更报表、用户操作审计报表、网络合规性报告……
∙支持HTML、CSV、PDF、word、Excel等格式的报表。
2.7报警设置
报警设置用来定义,当符合条件的事件出现时,自动发出报警。
可以先在事件平台里定义查询条件,当有符合查询条件的事件时,就产生通知或者报警。
报警设置包含两部分,左侧窗格用来显示定义好的报警条件列表,右侧显示每个通知报警规则内容。
可以定制报警列表,将所有你已经创建好的报警规则全部列出,你可以启动、禁用或者删除任何规则。
可以创建延迟报警,当事件在设定延迟时间内并没有被用户所清除,那么才会发送相应的延迟消息。
三、支持的网络协议和设备配置选项
网络地址
∙
IPv4
IPv6
MAC
NovellIPX
AppleTalk
DECnet
NetBIOS
无线网络
WEP
WPA
WPA2
PSK
身份验证
Local
TACACS+
RADIUS
Kerberos
RSASecureID
NTDomain
网络管理
Console
Telnet
CDP
SSH
HTTP(S)
LLDP
TFTP
FTP
SNMP
Finger
路由协议
BGP
EIGRP
GLBP
HSRP
OSPF
RIP
Static
VRRP
网络层协议
DTP
VTP
打印
IPP
JetDirect
LDP
系统日志
Buffer
File
Memory
Syslog
WatchGuard
eMail
Terminal
WebTrends
FortiLog
ASDM
时间同步
NTP
SNTP
其它
BOOTP
SmallServices
Filtering
MOP
PAT
VPN
IKE
IDS
ARP
UserPolicies
SSL
DNS
IPS
IPSec
ICMP
Banners
DHCP
NAT
Encryption
∙其它设备专有
不同设备对上述协议的支持并不完全一样。
本列表有部分简略,如路由协议RIP实际可支持多个版本和多个网络协议,如同时支持IPv4和IPv6。
四、配置安全和漏洞检查类别
●软件版本:
网络设备的软件版本可能因太过时而可能包含某些已知的漏洞。
攻击者可能利用这些漏洞获取设备的访问权限。
●身份验证密码:
确保设备无法通过默认或基于字典的密码获取访问权限。
现实中大量攻击都是利用这些漏洞。
●身份验证服务:
确保远程和本地的身份验证服务得到安全的设置。
这里的缺陷可能导致攻击者获取设备访问权。
●管理服务:
管理服务对于任何网络设备的安全都是至关重要的。
不好的配置将使攻击者有机会重新配置网络。
●VPN配置:
VPN被广泛应用在分支机构和移动办公中。
它的配置缺陷将导致外部攻击者进入内网。
●网络服务:
目前很多网络设备都提供了基于web的管理和功能,这同时也给攻击者带来了便利。
●时间同步:
准确的时间同步是认证服务、日志和电子取证的关键和基础。
●名称解析服务:
名称查询应用在多种网络服务中,相关的应用设置不妥将造成安全隐患。
●登录信息:
登录时系统显示的信息常常在配置时被忽略。
通常应包含对非法登录的法律警告提示,同时不能泄漏任何可能的敏感信息。
●防火墙策略:
网络过滤对限制网络和服务的访问非常重要。
糟糕的策略将使攻击者轻易进入内部系统。
●入侵检测系统:
目前很多网络设备已包含了入侵检测功能。
这些工具可检测潜在的攻击并报警,从而加强安全性。
●入侵防御系统:
与入侵检测相似,入侵防御可以防御正在进行的攻击,从而增加一层防护措施。
●路由协议:
路由协议对于复杂的网络非常有用,可适应网络拓扑的变化并动态建立网络通讯的路由。
但攻击者也可以利用这些协议中的漏洞改变网络通讯的路径。
●加密设置:
加密可以防止敏感信息被窃取。
这里的漏洞或缺陷可以使攻击者轻易解密抓取的通讯数据。
●日志:
记录系统事件不仅对故障诊断非常重要,而且也是检测和跟踪攻击的有效手段。
●无线:
很多设备提供了无线接入能力。
如果配置不慎,将使无线信号范围内的攻击者能够接入网络。
●打印服务:
打印服务器也是一个经常容易忽略的地方,但经常被攻击者用来存储数据或作为攻击其它服务器的跳板。
●其它设备专有的设置:
有些设备使用自己专有的配置项,其中一部分与安全有关,我们也会对这些专有的项目进行检查。
五、标准化的综合配置文档
●设备常规设置:
包括设备名称,软件版本和其它设备专有的常规设置。
●网络服务设置:
包括启用和禁用的网络服务一览表。
●管理设置:
包括管理服务的设置,如Telnet,SSH,HTTP等。
●身份验证设置:
包括授权用户帐号,远程登录身份验证服务及其它相关设置。
●网络接口设置:
按接口类型分组,包括物理端口和VLAN设置。
●路由协议设置:
包括静态和动态路由配置。
●登录信息设置:
包括所有登录时和退出后显示的屏幕信息。
●SNMP设置:
包括所有简单网管协议SNMP相关的设置。
●消息和日志设置:
包括所有本地和远程运行日志的设置。
●日期和时间设置:
包括详细的本地和远程日期、时间的设置。
●网络过滤设置:
包括设置网络过滤及相关服务、地址和对象分组的设置。
●打印服务设置:
如果设备支持打印服务,这里将包括所有相关的设置选项。
六、用户收益
1.节约时间
简化网络配置变更管理工作,节约管理人员宝贵时间。
2.快速的投资回报
网络配置变更系统的使用,大大降低网络管理基础设施费用,企业可以快速获得投资回报。
3.不需要额外投入
免数据库技术的使用,系统无需数据库、中间件等其他投入。
4.提高生产效率
多数的配置变更管理任务实现了自动化,这些工作往往是重复的、非生产的工作,因此极大提高了企业的生产效率。
5.加强了安全系数
配置安全漏洞自动的检出、配置项之间的有冲突进而可能引发的安全风险的智能分析,诸如谁在什么设备、在什么时间、做了什么样的操作,引发了什么样的结果的记录……而这一吸气系统会及时通知负责人,防患未然,加强网络安全系数,保证网络可用性提高。
6.减少手动操作错误
减少手动配置变更失误而引起不必要的错误。
7.故障易于识别
系统会预先为用户保留所有的配置变更版本,如果网络设备由于错误配置而引发的错误,可以帮助管理人员容易识别这些错误。
8.快速灾难恢复
如停电等,网络管理员可以轻松回滚到先前已知良好的配置。
网络故障停机大大降低到最小程度。
9.简化网络维护
所有的网络配置管理的任务,例如网络设备配置变更、网络设备配置的变化历史的维护、生成可信的配置备份,系统发生错误时,快速恢复到以前正常状态的备份,使用了HaytoneNCCM所有的一切都变得那么简单。
10.深度报表
捕获的设备配置的细节,配置变更、网络库存等深度报告,为用户决策提供了依据。
七、功能扩展
由于赛诺朗基使用了“免数据库智能索引”等专利技术,所以他拥有强大的系统功能可扩展性,真正做到根据用户的管理目标,快速定制出完全满足用户需求的解决方案,打破了传统的定制模式。
我们从拿到用户的需求,到给用户交付,仅需要2~4周即可,如果交付的方案与用户的需求有偏差,我们可以很敏捷的进行修改,这样反复几次,即可定制出和用户管理需求完全一致的解决方案,我们的目标是没用的功能一概不要,争取做到使用户零配置。
以下是我们用户的比较典型的应用场景:
1.服务项目管理
服务项目管理用来显示IT系统中各种应用的状态是否正常,以及和应用相关设施的状态,如果业务状态异常,可以通过下钻,直到找到导致应用异常的关键事件。
服务标签页包含三个部分,分别是左侧的服务项目列表,右侧的事件分布图和下侧的与服务相关的事件列表。
状态自动刷新,可以对事件执行相关操作。
2.综合行为审计
指对企业的IT管理人员、业务人员、外包服务公司员工,在什么时间做过什么事情,是否有违规或违法操作,是否触及敏感数据;
是否影响了系统的运行。
以上均需要进行操作行为管理。
行为管理包含两部分,左侧按照用户人员类型进行分类,右侧可以行为类型检索相应事件。
3.性能管理
为用户动态、图形化展现关键性能指标的状态及变化趋势。
视图分为左右两侧,左侧列出设备及组件列表,右侧可以使用条图、饼图、仪表盘、曲线等形式展示关键指标的实时状态。
Ø
支持的操作系统类型:
AIX、HP/UX、Linux、Solaris、Windows、MacOSX、FreeBSD;
支持的应用中间件、数据库:
WebLogic、WebSphere、JBoss、Apache、ColdFusion、JRun、.NetRuntime、Tomcat、Glassfish、Resin、Microsoft.Net、MicrosoftActiveDirectory、JMX、ColdFusion、Alfresco、LAMP、LAM-J、J2EE、Bind、NTP、、ActiveMQ、IBMMQ;
DB2、SQLServer、MySQL、Oracle、PostgreSQL、Sybase;
虚拟化
VMware、XenServer;
邮件服务器
Postfix、Sendmail、Zimbra、MSExchange。
4.安全措施有效性监测
目前各单位在信息化建设,网络信息安全防护方面做了大量卓有成效的工作,主要集中在技术方面的手段,但是整体的信息安全策略建设、全局的安全隐患监测方面相对滞后。
再好的设备,再好的技术,再完备的安全策略如果没有得到有效的执行,那么这些投入将大打折扣,而且将会给单位代理巨大的安全风险。
网络信息安全措施监测就是从全局的角度出发,侦测系统的每个细节,做到防微杜渐,确保安全制度的贯彻、执行,使单位的隐患尽早得到排除,安全事故发生之后有据可查,安全事件的快速排查、定位;
安全事件相关责任人的认定,安全隐患提前预警。
5.智能预警
何为预警,预警绝对不等同于报警,很多产品对各项指标设定报警阀值,造成了大量的报警信息,用户被海量的报警掩埋。
真正的预警,第一信息要“全”,指标要关联,而不是单一指标的罗列,独立的数据库监控系统并不能及时告诉用户由于磁盘的故障而引发的事故;
第二要把系统的运行相关的数据,诸如性能、日志、配置、操作等做成“快照”,可以实时调用系统的“全景图”,根据时间做出各类数据的变化趋势;
第三从快照中抽取相关特征,形成特征库,进而与企业的已积累事故特征库进行比对,得出事故发生概率值,在事故发生之前,做到有效的预警防范。
6.关联图
关联图标可以实时的显示企业内部网络的关联情况,关联图上可以显示服务器、设备和链路是否正常,并可以把事件和对应的服务器、设备相关联,在发现问题的同时,也可以快速的找出问题发生的原因。
可设置刷新频率以在窗体中更新数据。
关联图标签页包含两个部分,左侧的“已保存的关联图”窗格是网络关联图的列表,右侧是详细关联图的显示。
八、关于我们
北京恒安永通科技有限公司(Haytone)创立于2008年,是一家专注于面向数据中心,提供IT运营管理整合解决方案、产品研发和服务的软件企业,致力于提升用户IT运维数据管理能力,以全局的视角来整合IT管理中的信息孤岛,以科技及创新改善IT管理方式。
广泛应用于教育、电信、金融等多个行业。
目前携手美国著名的日志管理厂商SECnology在中国建立第一个服务中心,成为赛诺朗基中国区唯一战略合作伙伴。
北京恒安永通科技对本地信息安全领域有着深入的了解和把握,不断满足用户多方面、多层次的应用需求。
自公司成立以来一直致力于实践"
严谨的工作态度,专业的经营宗旨,优质的售后服务"
公司理念,赢得了客户和业界同行的尊敬。
辛勤耕耘使恒安永通公司在业界赢得了良好的口碑。
我们秉承“改变、进取、诚信”的态度及理念,立足于业界最前沿,不断探索IT管理的新方式;
持续创新解决方案和产品,引领IT设施运营管理发展新航向。
赛诺朗基成立于2002年5月,由前AT&
T,Microsoft,Oracle等高层管理人员创立,管理团队由业界资深人士组成,总部位于美国加州旧金山,全球设立16个分支机构,公司人力资源集中在企业级软件和信息安全技能方面。
在产品研发方面进行大量投入,在本领域已获得4个专利,并另有7个专利申请,历经5年精心研发后才发布商用版本。
在全球1000强等大型企业及中小企业拥有大量用户,与业界OEM制造商、运营商和技术厂商结成广泛的策略联盟。
经过我们团队的集体努力以及赛诺朗基在中国市场的发展前景,我们已经建立起自己的销售、技术研发团队,并与多家国内外知名企业达成合作协议,市场领域不断扩展,企业规模迅速扩大。
我们产品广泛应用于银行、证券、保险、能源、电信、采矿、消费品、零售、制造、医疗、教育、出版、娱乐、服务、政府、军队、交通、水务等各行各业。
我们的客户:
迪斯尼、可口可乐、宝洁公司、施乐、红牛公司、摩托罗拉、美林证券、纳斯达克、沃尔玛、国家气象卫星中心、中国化工集团、北方民族大学、宁夏电力、河北联通……
升级会员 