电脑技术学习

局域网管理策略保障网络高效运行

dn001
  随着网络用户数量的不断增加,由此引发的网络通信和安全故障越来越多,尤其体现在网络滥用导致的网络拥塞、蠕虫病毒泛滥导致的性能下降,以及系统漏洞导致的恶意攻击等方面。假如不采取相应有力的应对措施,那么网络瘫痪的情形将不断上演。由此可见,对网络客户端进行必要的甚至是严格的治理与控制,已成为保障网络高效、稳定、安全运行的重要措施。

  合理规划组织单位

  网络服务中最要害的问题是安全,安全的基础是权限。那么,如何为用户划分权限呢?为每个用户分别设置权限虽然理论上可行,但是,当用户数量较多时,不仅治理的工作量非常巨大,而且还可能因误操作而产生问题。因此,借助工作组实现对用户权限的划分,就成为提高治理效率的重要手段。该方法的实现非常简单,只需将用户指定至不同的工作组,然后为不同的工作组划分权限,最终,这些权限就会对该工作组中的所有用户产生作用。

  Windows 2003 Server服务器操作系统在Active Directory活动目录中增加了组织单位这种对象,使得整个域的规划和治理更具弹性,更能发挥出“分层负责、授权自治”的优点。简而言之,组织单位就是一个比域还小的治理单位。若能善用组织单位,就可以有效避免形成多域架构,节约企业成本。下面介绍几种常见的组织单位划分方法。

  以治理或对象观点划分 当以治理的观点来建立组织单位结构时,对所有拥有该组织单位的治理员来说是有利的。在Active Directory服务中,可以建立以对象观点为基础的组织单位,如使用者、计算机、应用程序、群组、打印机以及安全性原则等。

  以地理观点划分 该划分方法可以建立一个包含每个地域的组织单位,它将形成一个永久、稳定的结构。但是,假如公司的组织结构出现重大变动时,就必须考虑其它多方面的因素来设定组织单位了。

  以商业功能观点划分 假如企业重视商业功能,可以按照不同的行政职能(如市场部、IT部以及行政部)来划分组织单位。即使该组织自身结构并不十分稳定,但它们对这些功能的需求却是固定的。

  以部门观点划分 这种划分方法的思路是建立一种能反映部门架构的组织单位。该方法能够与当前组织相互对应,但是当组织重组时将非常不稳定。

  以项目观点划分 使用这一类型的组织单位模式是以项目为中心来考虑的。这种组织单位通常用来作为其它更稳定组织单位的下层结构。假如要采用这种类型,切记必须指定由谁来治理该组织单位。

  利用组策略实现自动化治理

  随着网络内计算机数量的不断增加,软件安装、系统安全以及文件夹共享等基本操作都会成为系统治理员的“累赘”,系统维护和安全维护的工作量也会越来越大。尽管系统治理员变得越来越忙碌,但安全隐患和用户抱怨却越来越多,如何治理和部署这些基本操作已成为系统治理员的“心病”。

  组策略(Group Policy,简称GP)是系统治理员为计算机和用户所定义的,用来控制应用程序、系统设置和治理模板的一种机制。通俗一点说,组策略是介于控制面板和注册表之间的一种修改系统设置的工具,它提供了一种对批量计算机进行高效治理的方法。

  windows 2000 Server和Windows 2003 Server作为功能强大的服务器操作系统,内置强大的组策略治理平台。通过组策略治理可以完成网络环境中客户端的统一软件部署、安全设置、脚本设置、软件限制、客户端桌面环境部署以及浏览器功能统一设置等功能,同时根据策略的不同需求可以分为计算机配置策略和用户策略。假如系统治理员不想在重装系统、升级系统补丁和病毒库等琐碎的日常工作中疲于奔命,就必须要把握组策略。

  借助于组策略的应用,治理员可以通过域控制器,让系统自动而高效地完成许多重复、繁琐的系统治理与安全治理工作,提高网络治理工作的效率和网络的安全性,保持系统和网络的稳定运行。
  借助交换机实现访问限制

  交换机非凡是接入层交换机作为客户端连接网络的接口和网络传输的通道,在限制客户访问时起着非常重要的作用。交换机中的访问限制可以概括为3个方面:限制非授权用户访问网络,包括802.1x身份认证、安全端口、MAC地址绑定和禁用/启用端口;限制用户滥用网络,包括时间访问限制、网络协议和端口访问限制、IP/MAC地址访问限制和连接带宽限制;网络用户的隔离,包括VLAN(Virtual LAN,虚拟局域网)访问限制、PVLAN(专用虚拟局域网)访问限制和Trunk中继访问限制。下面给出其中几种常用的访问限制方法。

  基于端口的传输限制 借助对端口传输控制的配置,既可以有效杜绝广播风暴对整个网络的冲击,保证网络的正常通信,又可以拒绝未授权的计算机接入网络,限制某个端口接入计算机的数量,保证网络的接入安全,避免网络被个别用户滥用。


  基于VLAN的访问限制 由于位于不同VLAN中的计算机,就像真正位于不同的物理网络一样,彼此之间无法直接通信,而必须借助三层交换机才能实现。因此,将不同部门、甚至不同权限的计算机划分至不同的VLAN,并在三层交换机中对VLAN的访问进行限制,即可实现完美的网络客户区域控制。当局域网内的计算机达到一定数量后(通常限制在100~150台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害。VLAN另一个很大的优势是提高了网络安全性。由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接相互访问。因此,通过划分VLAN,并在Trunk中限制答应通信的VLAN,就可以在物理上防止某些非授权用户访问敏感数据。

  基于列表的访问限制 访问控制列表(Access Control List,ACL)是一种非常重要的访问控制技术,被广泛应用于路由器和三层交换机之中。借助ACL技术,可以有效地控制用户对Internet的访问,从而最大限度地保障网络安全,杜绝蠕虫病毒在网络中的传播,并屏蔽P2P、即时通信等软件,保证企业网络不再被滥用。ACL技术的原理是在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口和目的端口等,并根据预先定义好的规则对数据包进行过滤,从而达到访问控制的目的。

  基于端口的身份认证 基于端口的网络访问控制使用局域网(LAN)基础设施的物理特征来验证连接到LAN端口的设备,并禁止访问身份验证进程已经失败的那个端口。IEEE 802.1x身份验证可以用于对有线以太网和无线IEEE 802.11网络进行网络的身份验证。IEEE 802.1x通过提供对集中式用户标识、身份验证、动态密钥治理和计费的支持来提高安全性和部署。

  网络客户端资产治理

  Microsoft Systems Management Server(以下简称SMS)2003是微软推出的用于中小型企业资产治理、软件产品更新、操作系统部署和远程治理的一套企业级的治理软件(如图1所示)。它的主要功能包括:统计企业内部的硬件系统和软件系统清单,并生成相关报表,对客户端的计算机软硬件进行实时的监控和治理;对MSI格式的软件包进行批量分发,并定期进行软件包的维护更新,确保用户使用的是最新版本;利用其自带的远程控制功能,对于安装出现问题的用户进行远程除错。

  请添加描述

  图1“Microsoft Systems Management Server 2003”界面

  

  SMS 2003和其他网络治理软件一样,必须在服务器和客户机上分别安装好服务器端程序和客户端程序之后才可以使用。SMS 2003对计算机系统的要求比较高,尤其是服务器端,建议大家使用较高的硬件配置并采用Windows 2003 Sever,至于客户端,假如不能达到系统的安装要求,则可能导致某些功能不能使用,甚至不能正常安装。

  网络客户端补丁治理

  Windows系统漏洞可谓屡见不鲜、层出不穷,而且其危险性和危害性也越来越大。因此,及时更新系统补丁、堵塞系统漏洞,保证Windows系统安全,就成为网络系统治理员的当务之急。WSUS(Windows Software Update Service)作为微软为数不多的免费服务程序(如图2所示),支持治理员在Windows工作站和服务器上快速、可靠地部署重大的安全更新。更让人欣慰的是,WSUS 3.0已经支持Windows Vista系统的安全治理更新服务。

  请添加描述

  图2“Windows Software Update Service”界面