利用客戶端限制及制度管理營(yíng)造穩(wěn)定網(wǎng)絡(luò)

字號(hào):

管理局域網(wǎng)需要了解整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)和分布,除了要掌握核心設(shè)備的安全配置外,還需對(duì)客戶端進(jìn)行限制、制訂合理的管理制度,雙管齊下才能有效地管理網(wǎng)絡(luò),從而杜絕一些低級(jí)錯(cuò)誤的發(fā)生。
    筆者就曾經(jīng)遇到過類似的情況,那時(shí)筆者剛剛接手公司的局域網(wǎng),雖然對(duì)接入端比較了解,可沒有制定合理的制度對(duì)用戶加以限制。某日一部門反映說外部郵件無法收取,經(jīng)查看,機(jī)器的配置沒有問題,Ping網(wǎng)關(guān)也正常,Ping外部郵件服務(wù)器卻不通,后來其它部門也反映無法上網(wǎng),于是開始檢查路由器和線路,發(fā)現(xiàn)路由器一切正常,系統(tǒng)日志記錄的參數(shù)也并無異常,沒有丟包現(xiàn)象,交換機(jī)各端口和指示燈顯示沒有問題,檢查各臺(tái)服務(wù)器也沒有發(fā)現(xiàn)可疑進(jìn)程,均能正常運(yùn)行??雌饋碚麄€(gè)局域網(wǎng)一切正常,沒有病毒,內(nèi)部郵件收發(fā)正常,但對(duì)外的所有進(jìn)程被切斷了,無法和外網(wǎng)通訊。
    感覺有些奇怪,網(wǎng)關(guān)可以Ping通,排除了路由器的問題,又沒有病毒,客戶端IP沒有沖突,DNS配置正確,電信局端也沒有問題,為什么無法訪問外網(wǎng)呢?仔細(xì)地考慮一下,由于整個(gè)局域網(wǎng)是通過路由器接入一臺(tái)二層交換機(jī),再分到各部門接入客戶端,只有一個(gè)網(wǎng)段,現(xiàn)在內(nèi)網(wǎng)一切通訊正常,那說明交換機(jī)故障應(yīng)該可以排除了,因?yàn)樗杏脩舳际峭ㄟ^此交換機(jī)相互連接交換數(shù)據(jù)的。因此問題的焦點(diǎn)很快轉(zhuǎn)到路由器上,于是嘗試將一臺(tái)正常的主機(jī)單獨(dú)接入路由器而斷開局域網(wǎng),根據(jù)先前的配置通過ADSL拔號(hào)上網(wǎng),一切正常,只用了5秒的時(shí)間就可以拔通上網(wǎng)了。
    由于公司原來沒有配置DHCP服務(wù),各客戶端的地址都是手動(dòng)分配的,應(yīng)該不會(huì)存在IP地址沖突,那難道是其它方面有沖突?借助netsuper軟件,查看了整個(gè)局域網(wǎng)用戶的IP、MAC、USER等信息,發(fā)現(xiàn)某個(gè)用戶的IP地址竟為本地網(wǎng)關(guān)地址。原來如此,先前一直Ping通的并非路由器的IP網(wǎng)關(guān)地址,而只是那臺(tái)主機(jī),是它一直搶占著網(wǎng)關(guān)地址,當(dāng)本地主機(jī)IP被非法改為網(wǎng)關(guān)IP地址時(shí),網(wǎng)內(nèi)電腦通訊時(shí)就會(huì)優(yōu)先選擇本網(wǎng)段內(nèi)路由信息,將所有數(shù)據(jù)流請(qǐng)求紛紛發(fā)到此臺(tái)“非法網(wǎng)關(guān)主機(jī)”上,而忽略路由器上的真實(shí)網(wǎng)關(guān)地址,但此主機(jī)又并非真正網(wǎng)關(guān),無法對(duì)外轉(zhuǎn)發(fā)數(shù)據(jù)和路由信息,所以自然也就無法對(duì)外訪問網(wǎng)絡(luò)了。立刻將此主機(jī)IP改回來,并重啟路由器,一切恢復(fù)如初了。
    問題解決了,但得到了許多啟發(fā),為了避免缺乏有效的網(wǎng)絡(luò)管理制度導(dǎo)致的網(wǎng)絡(luò)問題,就要求不僅要對(duì)客戶端系統(tǒng)進(jìn)行限制,還要有嚴(yán)格的制度管理。筆者建議應(yīng)制定一些管理制度:
    1、給每個(gè)客戶端建一個(gè)USER權(quán)限的帳戶,這樣用戶對(duì)一些IP屬性或帳戶等敏感信息就沒有修改權(quán)限了,也可以建立本地管理員帳戶定時(shí)對(duì)系統(tǒng)進(jìn)行維護(hù)和管理,關(guān)于補(bǔ)丁更新和軟件安裝問題,則通過SUS分發(fā)或組策略來實(shí)現(xiàn)。
    2、對(duì)上網(wǎng)的用戶進(jìn)行控制,對(duì)于沒有網(wǎng)絡(luò)方面要求的用戶則關(guān)閉其外網(wǎng)。對(duì)接入端口進(jìn)行限制,以減少病毒和木馬的感染機(jī)率。
    3、配置DHCP服務(wù),并在服務(wù)器端對(duì)相關(guān)IP地址進(jìn)行排除、保留和捆綁,有效防止手動(dòng)分配可能帶來的維護(hù)不便和地址沖突。
    4、通過域進(jìn)行管理,并制定相應(yīng)的網(wǎng)絡(luò)管理制度。由于先前的是對(duì)等網(wǎng),共享資料零亂,用戶賬號(hào)不統(tǒng)一,用戶還可能私自重裝操作系統(tǒng),給管理帶來極大的不便。為此要出臺(tái)正式的網(wǎng)管制度,對(duì)用戶賬號(hào)的分配和申請(qǐng)需經(jīng)有關(guān)部門的批準(zhǔn),從而有效的提高了網(wǎng)絡(luò)的安全性、可管理性。
    通過以上幾點(diǎn)措施,整個(gè)網(wǎng)絡(luò)的效率提高了,大的網(wǎng)絡(luò)故障或癱瘓現(xiàn)象沒再發(fā)生。由于及時(shí)將安全補(bǔ)丁分發(fā)給客戶端安裝,杜絕了病毒對(duì)網(wǎng)絡(luò)的影響,營(yíng)造了一個(gè)健康、穩(wěn)定的網(wǎng)絡(luò)是環(huán)境。