局域網管理策略保障網絡高效運行

2019-11-05 03:01:17

字體：大中小

來源：轉載

供稿：網友

　　隨著網絡用戶數量的不斷增加，由此引發的網絡通信和安全故障越來越多,尤其體現在網絡濫用導致的網絡擁塞、蠕蟲病毒泛濫導致的性能下降，以及系統漏洞導致的惡意攻擊等方面。假如不采取相應有力的應對措施，那么網絡癱瘓的情形將不斷上演。由此可見，對網絡客戶端進行必要的甚至是嚴格的治理與控制，已成為保障網絡高效、穩定、安全運行的重要措施。

　　合理規劃組織單位

　　網絡服務中最要害的問題是安全，安全的基礎是權限。那么，如何為用戶劃分權限呢？為每個用戶分別設置權限雖然理論上可行，但是，當用戶數量較多時，不僅治理的工作量非常巨大，而且還可能因誤操作而產生問題。因此，借助工作組實現對用戶權限的劃分，就成為提高治理效率的重要手段。該方法的實現非常簡單，只需將用戶指定至不同的工作組，然后為不同的工作組劃分權限，最終，這些權限就會對該工作組中的所有用戶產生作用。

　　Windows 2003 Server服務器操作系統在Active Directory活動目錄中增加了組織單位這種對象，使得整個域的規劃和治理更具彈性，更能發揮出“分層負責、授權自治”的優點。簡而言之，組織單位就是一個比域還小的治理單位。若能善用組織單位，就可以有效避免形成多域架構，節約企業成本。下面介紹幾種常見的組織單位劃分方法。

　　以治理或對象觀點劃分當以治理的觀點來建立組織單位結構時，對所有擁有該組織單位的治理員來說是有利的。在Active Directory服務中，可以建立以對象觀點為基礎的組織單位，如使用者、計算機、應用程序、群組、打印機以及安全性原則等。

　　以地理觀點劃分該劃分方法可以建立一個包含每個地域的組織單位，它將形成一個永久、穩定的結構。但是,假如公司的組織結構出現重大變動時，就必須考慮其它多方面的因素來設定組織單位了。

　　以商業功能觀點劃分假如企業重視商業功能，可以按照不同的行政職能(如市場部、IT部以及行政部)來劃分組織單位。即使該組織自身結構并不十分穩定，但它們對這些功能的需求卻是固定的。

　　以部門觀點劃分這種劃分方法的思路是建立一種能反映部門架構的組織單位。該方法能夠與當前組織相互對應，但是當組織重組時將非常不穩定。

　　以項目觀點劃分使用這一類型的組織單位模式是以項目為中心來考慮的。這種組織單位通常用來作為其它更穩定組織單位的下層結構。假如要采用這種類型，切記必須指定由誰來治理該組織單位。

　　利用組策略實現自動化治理

　　隨著網絡內計算機數量的不斷增加，軟件安裝、系統安全以及文件夾共享等基本操作都會成為系統治理員的“累贅”，系統維護和安全維護的工作量也會越來越大。盡管系統治理員變得越來越忙碌，但安全隱患和用戶抱怨卻越來越多，如何治理和部署這些基本操作已成為系統治理員的“心病”。

　　組策略(Group Policy，簡稱GP)是系統治理員為計算機和用戶所定義的，用來控制應用程序、系統設置和治理模板的一種機制。通俗一點說，組策略是介于控制面板和注冊表之間的一種修改系統設置的工具，它提供了一種對批量計算機進行高效治理的方法。

　　windows 2000 Server和Windows 2003 Server作為功能強大的服務器操作系統，內置強大的組策略治理平臺。通過組策略治理可以完成網絡環境中客戶端的統一軟件部署、安全設置、腳本設置、軟件限制、客戶端桌面環境部署以及瀏覽器功能統一設置等功能，同時根據策略的不同需求可以分為計算機配置策略和用戶策略。假如系統治理員不想在重裝系統、升級系統補丁和病毒庫等瑣碎的日常工作中疲于奔命，就必須要把握組策略。

　　借助于組策略的應用，治理員可以通過域控制器，讓系統自動而高效地完成許多重復、繁瑣的系統治理與安全治理工作，提高網絡治理工作的效率和網絡的安全性，保持系統和網絡的穩定運行。
　　借助交換機實現訪問限制

　　交換機非凡是接入層交換機作為客戶端連接網絡的接口和網絡傳輸的通道，在限制客戶訪問時起著非常重要的作用。交換機中的訪問限制可以概括為3個方面:限制非授權用戶訪問網絡，包括802.1x身份認證、安全端口、MAC地址綁定和禁用/啟用端口；限制用戶濫用網絡，包括時間訪問限制、網絡協議和端口訪問限制、ip/MAC地址訪問限制和連接帶寬限制；網絡用戶的隔離，包括VLAN(Virtual LAN，虛擬局域網)訪問限制、PVLAN(專用虛擬局域網)訪問限制和Trunk中繼訪問限制。下面給出其中幾種常用的訪問限制方法。

　　基于端口的傳輸限制借助對端口傳輸控制的配置，既可以有效杜絕廣播風暴對整個網絡的沖擊，保證網絡的正常通信,又可以拒絕未授權的計算機接入網絡，限制某個端口接入計算機的數量，保證網絡的接入安全，避免網絡被個別用戶濫用。

　　基于VLAN的訪問限制由于位于不同VLAN中的計算機，就像真正位于不同的物理網絡一樣，彼此之間無法直接通信，而必須借助三層交換機才能實現。因此，將不同部門、甚至不同權限的計算機劃分至不同的VLAN，并在三層交換機中對VLAN的訪問進行限制，即可實現完美的網絡客戶區域控制。當局域網內的計算機達到一定數量后(通常限制在100～150臺以內)，通常采用劃分VLAN的方式將網絡分隔開來，將一個大的廣播域劃分為若干個小的廣播域，以減小廣播可能造成的損害。VLAN另一個很大的優勢是提高了網絡安全性。由于交換機只能在同一VLAN內的端口之間交換數據，不同VLAN的端口不能直接相互訪問。因此，通過劃分VLAN，并在Trunk中限制答應通信的VLAN，就可以在物理上防止某些非授權用戶訪問敏感數據。

　　基于列表的訪問限制訪問控制列表(access Control List，ACL)是一種非常重要的訪問控制技術，被廣泛應用于路由器和三層交換機之中。借助ACL技術，可以有效地控制用戶對Internet的訪問，從而最大限度地保障網絡安全，杜絕蠕蟲病毒在網絡中的傳播，并屏蔽P2P、即時通信等軟件，保證企業網絡不再被濫用。ACL技術的原理是在路由器上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口和目的端口等，并根據預先定義好的規則對數據包進行過濾，從而達到訪問控制的目的。

　　基于端口的身份認證基于端口的網絡訪問控制使用局域網(LAN)基礎設施的物理特征來驗證連接到LAN端口的設備，并禁止訪問身份驗證進程已經失敗的那個端口。IEEE 802.1x身份驗證可以用于對有線以太網和無線IEEE 802.11網絡進行網絡的身份驗證。IEEE 802.1x通過提供對集中式用戶標識、身份驗證、動態密鑰治理和計費的支持來提高安全性和部署。

　　網絡客戶端資產治理

　　Microsoft Systems Management Server(以下簡稱SMS)2003是微軟推出的用于中小型企業資產治理、軟件產品更新、操作系統部署和遠程治理的一套企業級的治理軟件(如圖1所示)。它的主要功能包括:統計企業內部的硬件系統和軟件系統清單，并生成相關報表，對客戶端的計算機軟硬件進行實時的監控和治理；對MSI格式的軟件包進行批量分發，并定期進行軟件包的維護更新，確保用戶使用的是最新版本；利用其自帶的遠程控制功能，對于安裝出現問題的用戶進行遠程除錯。

　　請添加描述

　　圖1“Microsoft Systems Management Server 2003”界面

　　

　　SMS 2003和其他網絡治理軟件一樣，必須在服務器和客戶機上分別安裝好服務器端程序和客戶端程序之后才可以使用。SMS 2003對計算機系統的要求比較高，尤其是服務器端，建議大家使用較高的硬件配置并采用Windows 2003 Sever，至于客戶端，假如不能達到系統的安裝要求，則可能導致某些功能不能使用，甚至不能正常安裝。

　　網絡客戶端補丁治理

　　Windows系統漏洞可謂屢見不鮮、層出不窮，而且其危險性和危害性也越來越大。因此，及時更新系統補丁、堵塞系統漏洞，保證Windows系統安全，就成為網絡系統治理員的當務之急。WSUS(Windows Software Update Service)作為微軟為數不多的免費服務程序(如圖2所示)，支持治理員在Windows工作站和服務器上快速、可靠地部署重大的安全更新。更讓人欣慰的是，WSUS 3.0已經支持Windows Vista系統的安全治理更新服務。

　　請添加描述