最火解决网络性能问题的典型方案

解决络性能问题的典型方案

用户遇到的问题：

某电厂的企业络有220多台机器，企业子多，分布散，企业配置了各种络安全产品，包括杀毒软件和硬件防火墙。但是经常出现络故障，也导致防火墙经常不能正常使用，往往不得不重新启动，但几分钟后，防火墙又被数据包堵死，再次陷入瘫痪状态，这样导致企业的多数电脑不能正常上访问，通过特征能判断出企材料实验机本来属于小众产品业内有机器感染了络病毒，在不断往外发数据包，但无法查找是哪些机器中了病毒。

企业遇到的另一个问题是，企业已经禁止使用工具，以减少员工在工作时利用闲聊，导致工作效率非常低。虽然使用了监控工具，但在加密或使用80端口时，往往能绕开管理人员的管理。

问题分析与解决：

用户的第一个问题，是最典型，也是最常见的需求。企业络大了后，电脑也分布较远，即使电脑都装了杀毒软件，但如果没能及时升级，或是新的病毒暴发，往往也容易感染上病毒。

现在大多数络病毒都属于蠕虫病毒，一种传播方式是向自身的邮件地址自动发送带病毒的邮件，另所以外一种传播方式，是利用操作系统的漏洞，不断的发送带病毒的数据包。这两种方式都是自动完成的，使用者不容易发现，但对整个络都能造成严重的危害，堵塞络出口，导致整个络瘫痪或不能上。

为此，用户使用了科来络分析系统4.0。对于传播带病毒邮件的特征，我们可以利用对邮件的检测，查看局域发送的邮件是否带有病毒，即可将哪些感染了邮件病毒的也要看看它的系统是甚么系统机器找出来。这个可以利用科来络分析系统的电子邮件分析模块就能成功检测。对于发送带病毒数据包的特征，我们可以通过IP流量检测，查找那些发送数据包尺寸非常小，而数量又特别多的机器。对于这些可疑的数据包，我们再通过数据包解码视图，查看其数据包的解码分析结果，最后确定是否是带病毒特征的数据包，我们以前遇到过的红色代码，就是通过发送特定的HTTPGET请求，利用操作系统的漏洞进行传播的。

我们再看看用户的第二个问题。首先，已经不固定使用8000端前期投资较大口了，甚至还能使用80端口，80端口是我们上浏览使用的http协议，如果这个端口封死了，那大家都不能正常上了。那对于的封堵，最好的办法，还是采用防火墙封堵代理服务器的IP地址，是最好的手段。然而，必须得知道服务器的IP地址，才能在防火墙上进行设置，如何找出代理服务器是一个难题，并且不断有新的代理服务器出现，如果加密使用，就更难查找其服务器的IP地址。对于这样的问题，也是需要进行络分析，才能有效解决的问题。

通过应用科来络分析系统，我们首先可以通过TCP检测，来对所有的流入流出的数据包进行统计分析，对于MSN这样的聊天工具，是使用的微软的私有协议----msnp，只要查看TCP视图的协议结果，就能很快找到服务器的IP地址。对于使用http协议时，就需要进行一步筛选。使用时，不管是否正在使用状态，都会定期自动向服务器发送一些数据包，来向服务器传输自身的状态和设置，特点是数据量小，数据包多，并且一直保持会话建立。所以，我们可以只针对那些状态为长时间建立，数据包并不大包且数量特别多的IP进行分析。我们查找到这样的数据，接下来，就查看TCP数据流重组的结果，如果使用了，在TCP数据流重组结果中，会有一个User-Agent: 的记录，这一般是的广告，而采用加密代理服务器的通话，我们会看到打乱了的结果。最后我们再将分析结果的IP地址，在防火墙禁止访问，便能有效的限制的使用。

总结：

科来络分析系统的应用，使得络的管理变得更轻松，以往出现络阻塞问题，只能重启防火墙，但也无法根本解决问题，而现在能快速找出局域里面的中病毒机器，再采用隔离，杀毒的措施，有效的解决了潜在的安全隐患。利用络分析和解码功能，可以有效的限制的使用，减少了员工聊天，提高了上班的工作效率。

此方案成本低，实施简单适用，不需要更改公司原有的络结构，便能快速应用。部署也简单，只需要在一台管理机器上安装即可。另一方面，此产品的应用，也增加了公司的络管理意识，真正的络安全来自于完善的络管理体系和机制，否则，拥有再好的络安全产品，也不可能得到最好的防护。(end)