ISA服务器检测界面
恶意用户与病毒木马的袭击让内网用户惊魂不定,公司早期网络留下的漏洞故障让网管员疲于应付,该如何改变这种网络结构滞后的状况呢?
随着企业网络规模的扩大与计算机数量的增多,和普通计算机需要不断更新换代一样,企业内部网在实际运行过程中也会慢慢出现效率低下、不满足当前运行环境的情况。如何改变这种网络结构滞后的状况呢?
局域网中众多计算机出现问题而不能使用,整个网络速度在上班高峰时间非常缓慢。究其原因,不外乎以下几点:
1.由于大多数客户机安装的是Windows操作系统,而员工没有及时更新Windows操作系统的补丁,导致计算机系统存在多个漏洞。员工在浏览一些网站时,感染了针对某个漏洞的木马或病毒,这些木马或病毒会尝试扫描并攻击网络中其他计算机。另外,木马或病毒还会尝试在后台浏览广告网站或者下载一些病毒程序,这都占用了大量的网络带宽。
2.现在大多数单位都安装了杀毒软件,但许多员工没有及时更新病毒库,或者虽然更新了病毒库,但当感染病毒时也不会清除。
3.某些员工习惯于浏览一些网站,或者经常下载一些软件或电影,而现在提供软件或电影下载的网站,为了自身的利益,都会捆绑一些流氓软件或者木马程序,有的软件还带有病毒。
4.现在许多机器感染了ARP病毒,这也是网络缓慢的一个原因。
5.一些单位没有划分VLAN,这样,当单位中一台计算机感染病毒并扫描整个网络或者对整个网络的计算机进行攻击时,也会导致整个网络瘫痪。
找到问题的根源后,就需要针对以上问题逐步进行解决。
划分VLAN 必不可少
虽然很多企业也有三层交换机,但是并没有划分VLAN。没有划分VLAN的原因很多,一个最主要的原因就是遗留问题。刚开始的时候,企业中计算机数量比较少,没有划分的必要,而随着计算机数量的增多,也没有人考虑这个问题。当单位的计算机数量在80台以上的时候,就要考虑划分VLAN。划分VLAN后,可以屏蔽VLAN之间的广播,当网络中的计算机出现问题导致对外广播大量数据包的时候,只会影响自己的VLAN(当然,如果每个VLAN中都有大量广播数据包的计算机,也会影响整个网络)。划分VLAN最少需要一个三层交换机。在划分的时候,可以按照楼层或者按照部门的原则划分。如果网络中没有三层交换机,而单位中计算机数量又不是非常多的时候,可以在Windows 2000 Server或者Windows Server 2003的计算机上,安装多块网卡。每个网卡连接一台交换机,使用Windows Server 2003的软路由划分VLAN,可以完成三层交换机的功能。
划分VLAN后,还要将单位中每台计算机(尤其是服务器)的MAC地址与IP地址绑定。在这方面,政府部门做的最好,几乎所有的政府部门,计算机的MAC地址与IP地址进行了绑定。但许多机关、事业单位、学校的网络没有绑定,这就导致现在ARP病毒爆发时,单位的网络速度奇慢。
自动升级 安全可靠
单位工作站操作系统大多是Windows XP、Windows 2000、Vista,办公软件用Office,上网用IE,如果这些系统或软件没有及时更新Microsoft发布的最新补丁,在上网的时候就可能遭受攻击或者感染木马、病毒程序。即使机器不上网,如果单位中其他计算机感染了病毒或木马,也会被感染。
在企业网络中采用Microsoft的WSUS服务器,可以很好地解决这个问题。WSUS当前版本是3.0,可以为Windows 2000、Windows XP、Windows Server 2003、Windows Vista、IE6、IE7、Office 2003、Office XP、Office 2007、SQL Server等产品提供补丁程序。WSUS的安装与配置本文不做过多介绍,只是要注意以下几个问题:
1.在WSUS第一次安装好之后,首先要从Microsoft网站进行更新,更新之后,要手动审批补丁之后,补丁文件才会下载。
2.在补丁下载完成后,修改WSUS的选项,并创建自动审批、自动下载选项,以后WSUS可以不经管理员手动审批即可以自动从Microsoft网站下载补丁到WSUS服务器。
3.工作站配置好后,可以进入命令提示符,使用wuauclt/detectnow或wuauclt1/detectnow命令,立刻与局域网内的WSUS进行同步,并且可以使用netstat an命令检查到WSUS服务器的连接,如果与WSUS服务器连接正常,应该有到服务器IP地址与端口的连接信息。
大多数杀毒软件,例如卡巴斯基、NOD32、金山毒霸等,都提供了局域网升级功能,只要在网络中找一台计算机做服务器,这台服务器从厂商的网站升级,并把病毒库作为共享文件夹,网络中其他工作站都可以从共享文件夹或该Web服务器升级。只要及时升级病毒库并开始文件实时防毒功能,一般情况下,都能对计算机进行很好的防护。
精选工具 全面监控
大多数单位上网,都是用的路由器的NAT功能,也有的单位购买硬件防火墙。硬件防火墙配置复杂、更改配置不易,不易增加垃圾网站或者有问题网站的禁止访问列表,而路由器中的NAT就没有这项功能。此时,可以用好的软件防火墙,例如Microsoft的ISA Server代替原来的路由器或硬件防火墙,改进网络出口的管理。
使用ISA Server的时候,如果启用“入侵检测”后,外网对ISA Server的扫描、入侵都会被ISA Server拒绝并刻录下对方的IP地址(如图),在启用“定义连接限制”后,可以限制内网中每个IP地址每分钟最大的并发连接数。当达到或超过限制后,在ISA Server上会刻录该IP地址并限制该IP进行新的连接。这样,当单位中的计算机感染木马或病毒,试图在网络上广播时,会在第一时间被ISA Server记录。同时,如果内网中的计算机使用BT、Flashget等多线程或P2P工具下载软件时,达到限制的并发连接数也会被ISA Server记录。管理员可以通过ISA Server的监视记录查看入侵或超过限制的计算机的IP地址。
在本文介绍的方案指导下,近两年来给多个政府、企业、学校进行了网络升级改造,从这些单位最近两年的使用情况来看,效果非常好。但在使用过程中,也需要注意某些问题。如保存WSUS升级补丁的硬盘一定要有足够的空间。另外,服务器硬盘相对来说都比较小。在这种情况下,我们给服务器增加新的硬盘,要使用Windows Server 2003的动态卷功能,把WSUS补丁所在分区转换成动态卷,并且把新安装的硬盘转换成动态卷,扩展保存WSUS补丁所在的硬盘分区,增加硬盘的可用空间,然后重新从Microsoft网站同步并下载补丁。
变废为宝
网络升级改造要如何充分利用现有网络环境?
线路类的利用
在最近5年内建设的企业局域网的布线系统都应有千兆升级能力。水平布线系统中的超五类双绞线有千兆能力,两端的超五类信息模块也有千兆能力。垂直主干布线系统的多模光纤也有千兆能力。因此现有的网络布线是可以直接利用的,不需做任何改造就能向千兆扩容。需要扩容的关键是网络设备。
网络设备的利用
对于网络设备的利用策略是一线退二线、升级一线。10/100M的快速以太网交换机作的核心现在可退居二线。这种交换机可以做局部的桌面级工作组交换机来使用,因此可以移至网络的末端,在接入密度较高的工作组办公区使用。而网络中心的核心交换机则换成千兆交换机。
