局域網(wǎng)管理策略保障網(wǎng)絡(luò)高效運(yùn)行

2019-11-05 03:01:17

字體：大中小

供稿：網(wǎng)友

　　隨著網(wǎng)絡(luò)用戶數(shù)量的不斷增加，由此引發(fā)的網(wǎng)絡(luò)通信和安全故障越來越多,尤其體現(xiàn)在網(wǎng)絡(luò)濫用導(dǎo)致的網(wǎng)絡(luò)擁塞、蠕蟲病毒泛濫導(dǎo)致的性能下降，以及系統(tǒng)漏洞導(dǎo)致的惡意攻擊等方面。假如不采取相應(yīng)有力的應(yīng)對措施，那么網(wǎng)絡(luò)癱瘓的情形將不斷上演。由此可見，對網(wǎng)絡(luò)客戶端進(jìn)行必要的甚至是嚴(yán)格的治理與控制，已成為保障網(wǎng)絡(luò)高效、穩(wěn)定、安全運(yùn)行的重要措施。

　　合理規(guī)劃組織單位

　　網(wǎng)絡(luò)服務(wù)中最要害的問題是安全，安全的基礎(chǔ)是權(quán)限。那么，如何為用戶劃分權(quán)限呢？為每個用戶分別設(shè)置權(quán)限雖然理論上可行，但是，當(dāng)用戶數(shù)量較多時，不僅治理的工作量非常巨大，而且還可能因誤操作而產(chǎn)生問題。因此，借助工作組實(shí)現(xiàn)對用戶權(quán)限的劃分，就成為提高治理效率的重要手段。該方法的實(shí)現(xiàn)非常簡單，只需將用戶指定至不同的工作組，然后為不同的工作組劃分權(quán)限，最終，這些權(quán)限就會對該工作組中的所有用戶產(chǎn)生作用。

　　Windows 2003 Server服務(wù)器操作系統(tǒng)在Active Directory活動目錄中增加了組織單位這種對象，使得整個域的規(guī)劃和治理更具彈性，更能發(fā)揮出“分層負(fù)責(zé)、授權(quán)自治”的優(yōu)點(diǎn)。簡而言之，組織單位就是一個比域還小的治理單位。若能善用組織單位，就可以有效避免形成多域架構(gòu)，節(jié)約企業(yè)成本。下面介紹幾種常見的組織單位劃分方法。

　　以治理或?qū)ο笥^點(diǎn)劃分當(dāng)以治理的觀點(diǎn)來建立組織單位結(jié)構(gòu)時，對所有擁有該組織單位的治理員來說是有利的。在Active Directory服務(wù)中，可以建立以對象觀點(diǎn)為基礎(chǔ)的組織單位，如使用者、計算機(jī)、應(yīng)用程序、群組、打印機(jī)以及安全性原則等。

　　以地理觀點(diǎn)劃分該劃分方法可以建立一個包含每個地域的組織單位，它將形成一個永久、穩(wěn)定的結(jié)構(gòu)。但是,假如公司的組織結(jié)構(gòu)出現(xiàn)重大變動時，就必須考慮其它多方面的因素來設(shè)定組織單位了。

　　以商業(yè)功能觀點(diǎn)劃分假如企業(yè)重視商業(yè)功能，可以按照不同的行政職能(如市場部、IT部以及行政部)來劃分組織單位。即使該組織自身結(jié)構(gòu)并不十分穩(wěn)定，但它們對這些功能的需求卻是固定的。

　　以部門觀點(diǎn)劃分這種劃分方法的思路是建立一種能反映部門架構(gòu)的組織單位。該方法能夠與當(dāng)前組織相互對應(yīng)，但是當(dāng)組織重組時將非常不穩(wěn)定。

　　以項(xiàng)目觀點(diǎn)劃分使用這一類型的組織單位模式是以項(xiàng)目為中心來考慮的。這種組織單位通常用來作為其它更穩(wěn)定組織單位的下層結(jié)構(gòu)。假如要采用這種類型，切記必須指定由誰來治理該組織單位。

　　利用組策略實(shí)現(xiàn)自動化治理

　　隨著網(wǎng)絡(luò)內(nèi)計算機(jī)數(shù)量的不斷增加，軟件安裝、系統(tǒng)安全以及文件夾共享等基本操作都會成為系統(tǒng)治理員的“累贅”，系統(tǒng)維護(hù)和安全維護(hù)的工作量也會越來越大。盡管系統(tǒng)治理員變得越來越忙碌，但安全隱患和用戶抱怨卻越來越多，如何治理和部署這些基本操作已成為系統(tǒng)治理員的“心病”。

　　組策略(Group Policy，簡稱GP)是系統(tǒng)治理員為計算機(jī)和用戶所定義的，用來控制應(yīng)用程序、系統(tǒng)設(shè)置和治理模板的一種機(jī)制。通俗一點(diǎn)說，組策略是介于控制面板和注冊表之間的一種修改系統(tǒng)設(shè)置的工具，它提供了一種對批量計算機(jī)進(jìn)行高效治理的方法。

　　windows 2000 Server和Windows 2003 Server作為功能強(qiáng)大的服務(wù)器操作系統(tǒng)，內(nèi)置強(qiáng)大的組策略治理平臺。通過組策略治理可以完成網(wǎng)絡(luò)環(huán)境中客戶端的統(tǒng)一軟件部署、安全設(shè)置、腳本設(shè)置、軟件限制、客戶端桌面環(huán)境部署以及瀏覽器功能統(tǒng)一設(shè)置等功能，同時根據(jù)策略的不同需求可以分為計算機(jī)配置策略和用戶策略。假如系統(tǒng)治理員不想在重裝系統(tǒng)、升級系統(tǒng)補(bǔ)丁和病毒庫等瑣碎的日常工作中疲于奔命，就必須要把握組策略。

　　借助于組策略的應(yīng)用，治理員可以通過域控制器，讓系統(tǒng)自動而高效地完成許多重復(fù)、繁瑣的系統(tǒng)治理與安全治理工作，提高網(wǎng)絡(luò)治理工作的效率和網(wǎng)絡(luò)的安全性，保持系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。
　　借助交換機(jī)實(shí)現(xiàn)訪問限制

　　交換機(jī)非凡是接入層交換機(jī)作為客戶端連接網(wǎng)絡(luò)的接口和網(wǎng)絡(luò)傳輸?shù)耐ǖ溃谙拗瓶蛻粼L問時起著非常重要的作用。交換機(jī)中的訪問限制可以概括為3個方面:限制非授權(quán)用戶訪問網(wǎng)絡(luò)，包括802.1x身份認(rèn)證、安全端口、MAC地址綁定和禁用/啟用端口；限制用戶濫用網(wǎng)絡(luò)，包括時間訪問限制、網(wǎng)絡(luò)協(xié)議和端口訪問限制、ip/MAC地址訪問限制和連接帶寬限制；網(wǎng)絡(luò)用戶的隔離，包括VLAN(Virtual LAN，虛擬局域網(wǎng))訪問限制、PVLAN(專用虛擬局域網(wǎng))訪問限制和Trunk中繼訪問限制。下面給出其中幾種常用的訪問限制方法。

　　基于端口的傳輸限制借助對端口傳輸控制的配置，既可以有效杜絕廣播風(fēng)暴對整個網(wǎng)絡(luò)的沖擊，保證網(wǎng)絡(luò)的正常通信,又可以拒絕未授權(quán)的計算機(jī)接入網(wǎng)絡(luò)，限制某個端口接入計算機(jī)的數(shù)量，保證網(wǎng)絡(luò)的接入安全，避免網(wǎng)絡(luò)被個別用戶濫用。

　　基于VLAN的訪問限制由于位于不同VLAN中的計算機(jī)，就像真正位于不同的物理網(wǎng)絡(luò)一樣，彼此之間無法直接通信，而必須借助三層交換機(jī)才能實(shí)現(xiàn)。因此，將不同部門、甚至不同權(quán)限的計算機(jī)劃分至不同的VLAN，并在三層交換機(jī)中對VLAN的訪問進(jìn)行限制，即可實(shí)現(xiàn)完美的網(wǎng)絡(luò)客戶區(qū)域控制。當(dāng)局域網(wǎng)內(nèi)的計算機(jī)達(dá)到一定數(shù)量后(通常限制在100～150臺以內(nèi))，通常采用劃分VLAN的方式將網(wǎng)絡(luò)分隔開來，將一個大的廣播域劃分為若干個小的廣播域，以減小廣播可能造成的損害。VLAN另一個很大的優(yōu)勢是提高了網(wǎng)絡(luò)安全性。由于交換機(jī)只能在同一VLAN內(nèi)的端口之間交換數(shù)據(jù)，不同VLAN的端口不能直接相互訪問。因此，通過劃分VLAN，并在Trunk中限制答應(yīng)通信的VLAN，就可以在物理上防止某些非授權(quán)用戶訪問敏感數(shù)據(jù)。

　　基于列表的訪問限制訪問控制列表(access Control List，ACL)是一種非常重要的訪問控制技術(shù)，被廣泛應(yīng)用于路由器和三層交換機(jī)之中。借助ACL技術(shù)，可以有效地控制用戶對Internet的訪問，從而最大限度地保障網(wǎng)絡(luò)安全，杜絕蠕蟲病毒在網(wǎng)絡(luò)中的傳播，并屏蔽P2P、即時通信等軟件，保證企業(yè)網(wǎng)絡(luò)不再被濫用。ACL技術(shù)的原理是在路由器上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口和目的端口等，并根據(jù)預(yù)先定義好的規(guī)則對數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。

　　基于端口的身份認(rèn)證基于端口的網(wǎng)絡(luò)訪問控制使用局域網(wǎng)(LAN)基礎(chǔ)設(shè)施的物理特征來驗(yàn)證連接到LAN端口的設(shè)備，并禁止訪問身份驗(yàn)證進(jìn)程已經(jīng)失敗的那個端口。IEEE 802.1x身份驗(yàn)證可以用于對有線以太網(wǎng)和無線IEEE 802.11網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)的身份驗(yàn)證。IEEE 802.1x通過提供對集中式用戶標(biāo)識、身份驗(yàn)證、動態(tài)密鑰治理和計費(fèi)的支持來提高安全性和部署。

　　網(wǎng)絡(luò)客戶端資產(chǎn)治理

　　Microsoft Systems Management Server(以下簡稱SMS)2003是微軟推出的用于中小型企業(yè)資產(chǎn)治理、軟件產(chǎn)品更新、操作系統(tǒng)部署和遠(yuǎn)程治理的一套企業(yè)級的治理軟件(如圖1所示)。它的主要功能包括:統(tǒng)計企業(yè)內(nèi)部的硬件系統(tǒng)和軟件系統(tǒng)清單，并生成相關(guān)報表，對客戶端的計算機(jī)軟硬件進(jìn)行實(shí)時的監(jiān)控和治理；對MSI格式的軟件包進(jìn)行批量分發(fā)，并定期進(jìn)行軟件包的維護(hù)更新，確保用戶使用的是最新版本；利用其自帶的遠(yuǎn)程控制功能，對于安裝出現(xiàn)問題的用戶進(jìn)行遠(yuǎn)程除錯。

　　請?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071221/200712312021246277801.jpg"

請?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071221/200712312021246277801.jpg"

　　圖1“Microsoft Systems Management Server 2003”界面

　　

　　SMS 2003和其他網(wǎng)絡(luò)治理軟件一樣，必須在服務(wù)器和客戶機(jī)上分別安裝好服務(wù)器端程序和客戶端程序之后才可以使用。SMS 2003對計算機(jī)系統(tǒng)的要求比較高，尤其是服務(wù)器端，建議大家使用較高的硬件配置并采用Windows 2003 Sever，至于客戶端，假如不能達(dá)到系統(tǒng)的安裝要求，則可能導(dǎo)致某些功能不能使用，甚至不能正常安裝。

　　網(wǎng)絡(luò)客戶端補(bǔ)丁治理

　　Windows系統(tǒng)漏洞可謂屢見不鮮、層出不窮，而且其危險性和危害性也越來越大。因此，及時更新系統(tǒng)補(bǔ)丁、堵塞系統(tǒng)漏洞，保證Windows系統(tǒng)安全，就成為網(wǎng)絡(luò)系統(tǒng)治理員的當(dāng)務(wù)之急。WSUS(Windows Software Update Service)作為微軟為數(shù)不多的免費(fèi)服務(wù)程序(如圖2所示)，支持治理員在Windows工作站和服務(wù)器上快速、可靠地部署重大的安全更新。更讓人欣慰的是，WSUS 3.0已經(jīng)支持Windows Vista系統(tǒng)的安全治理更新服務(wù)。

　　請?zhí)砑用枋?src="http://www.knowsky.com/UploadFiles/20071221/2007123120212410977802.jpg"