运用网关设备管理局域网的实用方法
2009-03-23史成宝
史成宝
管理投资不高的局域网是件很困难的工作。仔细分析网络现状,汇集有限的资金投在网关设备建设上,通过精心部署,挖掘网关设备的管理功能,使局域网管理实用有效。
局域网管理的主要目的是在保障各用户数据安全和提供稳定通畅的网络通道,具体的工作有网络用户资料建立、设备接入管理、配置交换与路由设备、划分VLAN、管理各种应用服务器、设置用户访问权限、备份各种数据、查杀病毒、控制下载流量等。当今建立局域网的目的无外乎是依照不同的权限共享局域网软、硬件资源和共享上网。通过对网络交换机的配置部署,实施划分VLAN、设置各用户的访问权限、流量控制、地址分配、地址绑定等管理项目,使安全使用网络得以保障。
随着用户数量增加、新添各种网络应用等原因,很多局域网需要扩充。但由于资金、采购、招标评定、产品更新等方面的原因,新增设备很可能与原有设备不相同,甚至品牌也无法统一,在部署与管理上难以协同一致,如交换机的配置命令不同、支持协议有差异等。有些无法基于Web页进行远程管理,或只支持最简单的网络管理,若网络由不同的设备混合而成且其中有不可网管的交换设备,配置与管理就相当棘手,时常导致总体规划无法得以顺利实施,使局域网出现管理盲区,数据安全和网络通畅令人担忧。
人所皆知,互联网的高速发展几乎改变了每个人的工作与生活方式,也成为许多人赖以生存的特殊空间。笔者从工作中发现局域网用户对能否正常访问互联网极度关注,而局域网用户访问互联网必须通过网关设备,注重局域网网关设备的建设选型。强化和挖掘其管理功能,可以弥补局域网内低端交换设备的管理缺憾,在一定程度上达到有效网络管理的目的。
局域网网关设备的种类、特点与可实施的网络管理功能
可共享上网的服务器(或高配置计算机)通常在局域网的某台计算机或服务器上安装相关软件实现内外网地址转换(NAT)、设置缓冲区域(Cache),提高访问速度和效率。根据网络管理的需要,可在机器上部署认证机制,安装网络管理软件,对通过的数据包进行审核或限制等。自己选用合适的代理或网关软件,如WinGate、CCProxy、Microsoft ISA、WinProxy,实施相关策略,扩展网络管理功能。也可在机器上安装地址映射(端口映射)软件,将内网地址映射到外网,使外网可以访问建于内网中的Web服务器等。优点是可自由安装软件,管理策略改变便捷;缺点是易感染病毒和中木马遭攻击等,稳定性较差,对网络管理员技术要求较高,管理维护时间较多。
CCProxy是国内最流行、下载量最大的国产代理服务器软件,代理共享上网和客户端代理权限管理。只要局域网内有一台机器能够上网,其他机器就可通过这台机器上安装的CCProxy代理共享上网。支持浏览器代理、邮件代理、游戏代理等,可以控制客户端代理上网权限,针对不同用户合理安排上网时间,监视上网记录,限制不同用户带宽流量,多种文字界面,具有服务器IP绑定、详细的日志分析、加强过滤(端口屏蔽、站点过滤)、更强大的账号管理(组管理、使用时间),及远程Web方式账号管理等功能。设置简单,功能强大,适合中小企事业共享代理上网。
ISA(Internet Security and Acceleration)Server是Microsoft开发的最新代理服务器和防火墙产品,同时向网络用户提供针对应用系统和数据的快速和安全的远程访问能力,经过细心部署Web缓存可大幅度提高访问Internet的速度、限制P2P与聊天等应用,强大的功能与易用性为网络管理者提供了近乎完美的解决方案。ISA Server也因此成为很多用户,特别是基于Microsoft网络的企事业首选的代理服务器和防火墙产品。
路由器路由器是一种连接多个网络或网段的网络设备,其工作过程即数据的转发发生在OSI参考模型的第三层即网络层,通过路由决定数据的转发。它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。路由器主要是用来连通不同的网络,其次是选择信息传送的线路,使数据传输得更快捷。由于路由器配置完成后不用经常修改,出现问题只需重新启动便可恢复正常,因此受到广泛采用。
通过设置路由器的访问控制列表可加强网络的安全性;查看路由器中的ARP表可检查网络中是否有ARP地址欺骗病毒。有些路由器还有IP-MAC绑定功能,具有一定的管理功能。早期的产品初期使用配置较麻烦,近年来很多厂家推出可基于Web页面进行管理的产品,增加端口(地址)映射、简易防火墙、虚拟服务器、流量控制等功能,网络管理员可以直观地进行修改配置,降低使用难度,得到众多局域网(如网吧)管理者的青睐。
2008年底市面上路由器的参考价格为百元左右(SOHO)、1 000多元(用户数在100以内)、4 000元(用户数在300左右)、万元以上(用户数在500以上)。早期路由器产品管理功能较弱,近年来多家厂商的新产品增加了很多管理功能,但从总体上看产品管理功能升级机会较少。由于低端产品价格便宜且较稳定,小型局域网选用几率很高;高端产品主要用于骨干网络,如运营商城域网等。
硬件防火墙硬件防火墙由软件和硬件设备组合构成,架设在内外网之间、专网与公共网之间。使用防火墙的目的是在网络连接界面建立安全机制,对进出的数据流进行审计和控制,只有符合安全策略预先设定的数据流才能通过。防火墙包过滤、防黑功能强大,功能精髓主要在其研发的软件里,绝大多数产品可以基于Web页面进行配置部署。通过建立主机、范围、子网、地址组,可实施阻断、网站过滤、地址转换等策略;具有认证、IP-MAC绑定等功能,可将内部网络划分成几个区域,授权某些用户可以访问的机器或区域。有些产品还提供流量控制、带宽分配、P2P下载限制等诸多实用功能,提升网络管理的力度。
2008年底市面上主流硬件防火墙的参考价格为4 000元(用户数在30左右)、1万元以内(用户数在100以内)、1.5万元(用户数在300左右)、10万元以内(用户数在500左右,支持VPN)。硬件防火墙管理功能较强,升级机会较多,价格适中,维护方便。
统一威胁管理设备(UTM)通常指由软件、硬件和网络技术组成的以安全特性为用途的设备,发展趋势是将网络防火墙、网络入侵检测/防御、网关防病毒、上网行为管理等多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。
近年来市场推出的智能网关、上网行为管理等设备,管理功能最为强大。不仅具备NAT转换功能,也有较强的过滤与入侵检测功能;能使用浏览器登录后进行详细的部署,对局域网用户对外网的访问进行全面的管理;可以对用户进行的访问反动网站、浏览不良站点、与工作无关的聊天、沉迷网络游戏、炒股、在线视频、FTP上传、电子邮件、传播不良信息、恶意占用带宽下载等行为进行审核或限制。有些功能强大的产品还内置日志记录硬盘,可以对在聊天室、BBS、贴吧、博客等交互栏目所发信息进行明文显示并长期记录留存,实现较为完善的网络访问行为监控,在为局域网用户提供稳定高效可管理的访问通道的同时,也保护网络中敏感数据的安全,极大地提高网络管理的实效,是现阶段网络管理的利器,组建局域网或更新网关设备的首选。
2008年底有类似管理功能的设备参考价格为2万元以内(用户数在100左右)、4万元以内(用户数在300左右)、10万元左右(用户数在500左右)。价格偏高,经费充裕的用户可考虑选用。
由于此类产品在网络管理中至关重要,应具有较高的硬件配置和合理的软件设计。但从一些用户反映的情况了解到,有的商家为了获取订单,在推销一些配置较低的产品时会夸大其词,在只有少数用户和仅启用部分管理功能的条件下进行低负荷演示,以骗取用户的信任。一旦用户全面使用后极易发生网络拥塞、宕机等严重事件。因此,网络管理者在选用此类产品前,必须逐一对各品牌产品在启用全部管理功能、多种需求、满用户重负荷状态下,认真试用并精确记录测试数据,经分析对比后慎重选用。
充分使用网关设备的管理功能,进行有效网络管理的实例
某中学有相隔600米的2个校区,通过光纤相互连通,校园网早期选用的核心交换设备是国外品牌,未购置昂贵的网管软件,三层交换也需升级软件后方可支持,划分VLAN也很麻烦。随着用户的增多,7年来通过各种形式先后添置3个品牌的多个系列的网络交换设备。由于资金原因,其中有很多是造价仅千元左右且不可网管的普通交换机,使用虽较稳定,管理却不方便。局域网网关设备原来采用的是路由器,通过建立访问控制列表、将IP-MAC实行绑定等措施,实现一定程度的网络管理。
为了加强网络管理的实效,增配一台造价1.6万元的硬件防火墙,以下是具体管理措施。
建立安全区域硬件防火墙有4个网络接口,分别配置为:1)外部:电信;2)内部:南校区、北校区、服务器区。
建立用户及地址资料为每台计算机建一主机名,并对应于指定的IP地址,实施IP-MAC地址绑定;建立不同的地址范围,根据用户的性质统一赋予相关的权限和实施策略;建立教师、教室、网管、可下载、处室等不同的地址组,将各主机添加到对应的地址组内。
设定时间段设定上班、下班、周末等时间段,便于实施相关控制。
自定义服务在系统内已定义的服务外,根据自己网络应用的需要自定义服务,选择不同的协议和端口,方便通过地址或端口映射实现外网可访问内部主机。
实施防火墙策略在系统已定义的阻断策略外,添加自定义的阻断策略,有效限制黑客攻击,遏制木马攻击;根据需要添加访问控制规则,设置不同区域里的主机之间的访问权限,设置主机与区域之间的访问权限,其效果类似于在交换机上划分VLAN与建立路由;建立地址转换规则,实现如通过公网地址的80端口访问到地址为192.168.0.2的内网机器上使用8000端口发布的网站,通过公网地址的9500端口访问到地址为192.168.5.2内网机器上8650端口发布的网站;使用公网地址,通过远程桌面连接到内网某一主机,实施远程控制等。
启用内容过滤建立过滤对象,选定关键字、填写URL;设定过滤策略,封堵用户访问不良网站;通过应用程序识别进行过滤与限制,在上班期间限制软件下载,有效阻止部分用户滥用网络恶意下载的行为,保障网络通畅。
其他管理功能将ARP请求限制在每秒500个,减少ARP地址欺骗病毒的危害;通过设定用户的并发连接数与接入认证等措施,实现对用户的全面管理;启用带宽管理,实施流量控制,有一定的成效;记录防火墙运行日志、设置报警方式,全过程监控网络运行状态;开放公网对硬件防火墙的访问权限,赋予网管组成员管理权限,实施全方位管理;提供网络下载服务,由信息中心安排在校园网轻负荷时段开展下载作业,满足用户提出的合理下载需求。
通过挖掘网关设备潜力,充分使用硬件防火墙的管理功能,在低成本建造的局域网中有效地开展网络管理,为学校教育教学提供优良的网络环境。
(作者单位:南京市雨花台中学)