ISA服務(wù)器檢測(cè)界面

惡意用戶與病毒木馬的襲擊讓內(nèi)網(wǎng)用戶驚魂不定，公司早期網(wǎng)絡(luò)留下的漏洞故障讓網(wǎng)管員疲于應(yīng)付，該如何改變這種網(wǎng)絡(luò)結(jié)構(gòu)滯后的狀況呢?

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大與計(jì)算機(jī)數(shù)量的增多，和普通計(jì)算機(jī)需要不斷更新?lián)Q代一樣，企業(yè)內(nèi)部網(wǎng)在實(shí)際運(yùn)行過程中也會(huì)慢慢出現(xiàn)效率低下、不滿足當(dāng)前運(yùn)行環(huán)境的情況。如何改變這種網(wǎng)絡(luò)結(jié)構(gòu)滯后的狀況呢？

局域網(wǎng)中眾多計(jì)算機(jī)出現(xiàn)問題而不能使用，整個(gè)網(wǎng)絡(luò)速度在上班高峰時(shí)間非常緩慢。究其原因，不外乎以下幾點(diǎn)：

1.由于大多數(shù)客戶機(jī)安裝的是Windows操作系統(tǒng)，而員工沒有及時(shí)更新Windows操作系統(tǒng)的補(bǔ)丁，導(dǎo)致計(jì)算機(jī)系統(tǒng)存在多個(gè)漏洞。員工在瀏覽一些網(wǎng)站時(shí)，感染了針對(duì)某個(gè)漏洞的木馬或病毒，這些木馬或病毒會(huì)嘗試掃描并攻擊網(wǎng)絡(luò)中其他計(jì)算機(jī)。另外，木馬或病毒還會(huì)嘗試在后臺(tái)瀏覽廣告網(wǎng)站或者下載一些病毒程序，這都占用了大量的網(wǎng)絡(luò)帶寬。

2.現(xiàn)在大多數(shù)單位都安裝了殺毒軟件，但許多員工沒有及時(shí)更新病毒庫，或者雖然更新了病毒庫，但當(dāng)感染病毒時(shí)也不會(huì)清除。

3.某些員工習(xí)慣于瀏覽一些網(wǎng)站，或者經(jīng)常下載一些軟件或電影，而現(xiàn)在提供軟件或電影下載的網(wǎng)站，為了自身的利益，都會(huì)捆綁一些流氓軟件或者木馬程序，有的軟件還帶有病毒。

4.現(xiàn)在許多機(jī)器感染了ARP病毒，這也是網(wǎng)絡(luò)緩慢的一個(gè)原因。

5.一些單位沒有劃分VLAN，這樣，當(dāng)單位中一臺(tái)計(jì)算機(jī)感染病毒并掃描整個(gè)網(wǎng)絡(luò)或者對(duì)整個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行攻擊時(shí)，也會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

找到問題的根源后，就需要針對(duì)以上問題逐步進(jìn)行解決。

劃分VLAN 必不可少

雖然很多企業(yè)也有三層交換機(jī)，但是并沒有劃分VLAN。沒有劃分VLAN的原因很多，一個(gè)最主要的原因就是遺留問題。剛開始的時(shí)候，企業(yè)中計(jì)算機(jī)數(shù)量比較少，沒有劃分的必要，而隨著計(jì)算機(jī)數(shù)量的增多，也沒有人考慮這個(gè)問題。當(dāng)單位的計(jì)算機(jī)數(shù)量在80臺(tái)以上的時(shí)候，就要考慮劃分VLAN。劃分VLAN后，可以屏蔽VLAN之間的廣播，當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)出現(xiàn)問題導(dǎo)致對(duì)外廣播大量數(shù)據(jù)包的時(shí)候，只會(huì)影響自己的VLAN（當(dāng)然，如果每個(gè)VLAN中都有大量廣播數(shù)據(jù)包的計(jì)算機(jī)，也會(huì)影響整個(gè)網(wǎng)絡(luò)）。劃分VLAN最少需要一個(gè)三層交換機(jī)。在劃分的時(shí)候，可以按照樓層或者按照部門的原則劃分。如果網(wǎng)絡(luò)中沒有三層交換機(jī)，而單位中計(jì)算機(jī)數(shù)量又不是非常多的時(shí)候，可以在Windows 2000 Server或者Windows Server 2003的計(jì)算機(jī)上，安裝多塊網(wǎng)卡。每個(gè)網(wǎng)卡連接一臺(tái)交換機(jī)，使用Windows Server 2003的軟路由劃分VLAN，可以完成三層交換機(jī)的功能。

劃分VLAN后，還要將單位中每臺(tái)計(jì)算機(jī)（尤其是服務(wù)器）的MAC地址與IP地址綁定。在這方面，政府部門做的最好，幾乎所有的政府部門，計(jì)算機(jī)的MAC地址與IP地址進(jìn)行了綁定。但許多機(jī)關(guān)、事業(yè)單位、學(xué)校的網(wǎng)絡(luò)沒有綁定，這就導(dǎo)致現(xiàn)在ARP病毒爆發(fā)時(shí)，單位的網(wǎng)絡(luò)速度奇慢。

自動(dòng)升級(jí) 安全可靠

單位工作站操作系統(tǒng)大多是Windows XP、Windows 2000、Vista，辦公軟件用Office，上網(wǎng)用IE，如果這些系統(tǒng)或軟件沒有及時(shí)更新Microsoft發(fā)布的最新補(bǔ)丁，在上網(wǎng)的時(shí)候就可能遭受攻擊或者感染木馬、病毒程序。即使機(jī)器不上網(wǎng)，如果單位中其他計(jì)算機(jī)感染了病毒或木馬，也會(huì)被感染。

在企業(yè)網(wǎng)絡(luò)中采用Microsoft的WSUS服務(wù)器，可以很好地解決這個(gè)問題。WSUS當(dāng)前版本是3.0，可以為Windows 2000、Windows XP、Windows Server 2003、Windows Vista、IE6、IE7、Office 2003、Office XP、Office 2007、SQL Server等產(chǎn)品提供補(bǔ)丁程序。WSUS的安裝與配置本文不做過多介紹，只是要注意以下幾個(gè)問題：

1.在WSUS第一次安裝好之后，首先要從Microsoft網(wǎng)站進(jìn)行更新，更新之后，要手動(dòng)審批補(bǔ)丁之后，補(bǔ)丁文件才會(huì)下載。

2.在補(bǔ)丁下載完成后，修改WSUS的選項(xiàng)，并創(chuàng)建自動(dòng)審批、自動(dòng)下載選項(xiàng)，以后WSUS可以不經(jīng)管理員手動(dòng)審批即可以自動(dòng)從Microsoft網(wǎng)站下載補(bǔ)丁到WSUS服務(wù)器。

3.工作站配置好后，可以進(jìn)入命令提示符，使用wuauclt/detectnow或wuauclt1/detectnow命令，立刻與局域網(wǎng)內(nèi)的WSUS進(jìn)行同步，并且可以使用netstat an命令檢查到WSUS服務(wù)器的連接，如果與WSUS服務(wù)器連接正常，應(yīng)該有到服務(wù)器IP地址與端口的連接信息。

大多數(shù)殺毒軟件，例如卡巴斯基、NOD32、金山毒霸等，都提供了局域網(wǎng)升級(jí)功能，只要在網(wǎng)絡(luò)中找一臺(tái)計(jì)算機(jī)做服務(wù)器，這臺(tái)服務(wù)器從廠商的網(wǎng)站升級(jí)，并把病毒庫作為共享文件夾，網(wǎng)絡(luò)中其他工作站都可以從共享文件夾或該Web服務(wù)器升級(jí)。只要及時(shí)升級(jí)病毒庫并開始文件實(shí)時(shí)防毒功能，一般情況下，都能對(duì)計(jì)算機(jī)進(jìn)行很好的防護(hù)。

精選工具 全面監(jiān)控

大多數(shù)單位上網(wǎng)，都是用的路由器的NAT功能，也有的單位購買硬件防火墻。硬件防火墻配置復(fù)雜、更改配置不易，不易增加垃圾網(wǎng)站或者有問題網(wǎng)站的禁止訪問列表，而路由器中的NAT就沒有這項(xiàng)功能。此時(shí)，可以用好的軟件防火墻，例如Microsoft的ISA Server代替原來的路由器或硬件防火墻，改進(jìn)網(wǎng)絡(luò)出口的管理。

使用ISA Server的時(shí)候，如果啟用“入侵檢測(cè)”后，外網(wǎng)對(duì)ISA Server的掃描、入侵都會(huì)被ISA Server拒絕并刻錄下對(duì)方的IP地址（如圖），在啟用“定義連接限制”后，可以限制內(nèi)網(wǎng)中每個(gè)IP地址每分鐘最大的并發(fā)連接數(shù)。當(dāng)達(dá)到或超過限制后，在ISA Server上會(huì)刻錄該IP地址并限制該IP進(jìn)行新的連接。這樣，當(dāng)單位中的計(jì)算機(jī)感染木馬或病毒，試圖在網(wǎng)絡(luò)上廣播時(shí)，會(huì)在第一時(shí)間被ISA Server記錄。同時(shí)，如果內(nèi)網(wǎng)中的計(jì)算機(jī)使用BT、Flashget等多線程或P2P工具下載軟件時(shí)，達(dá)到限制的并發(fā)連接數(shù)也會(huì)被ISA Server記錄。管理員可以通過ISA Server的監(jiān)視記錄查看入侵或超過限制的計(jì)算機(jī)的IP地址。

在本文介紹的方案指導(dǎo)下，近兩年來給多個(gè)政府、企業(yè)、學(xué)校進(jìn)行了網(wǎng)絡(luò)升級(jí)改造，從這些單位最近兩年的使用情況來看，效果非常好。但在使用過程中，也需要注意某些問題。如保存WSUS升級(jí)補(bǔ)丁的硬盤一定要有足夠的空間。另外，服務(wù)器硬盤相對(duì)來說都比較小。在這種情況下，我們給服務(wù)器增加新的硬盤，要使用Windows Server 2003的動(dòng)態(tài)卷功能，把WSUS補(bǔ)丁所在分區(qū)轉(zhuǎn)換成動(dòng)態(tài)卷，并且把新安裝的硬盤轉(zhuǎn)換成動(dòng)態(tài)卷，擴(kuò)展保存WSUS補(bǔ)丁所在的硬盤分區(qū)，增加硬盤的可用空間，然后重新從Microsoft網(wǎng)站同步并下載補(bǔ)丁。

變廢為寶

網(wǎng)絡(luò)升級(jí)改造要如何充分利用現(xiàn)有網(wǎng)絡(luò)環(huán)境？

線路類的利用

在最近5年內(nèi)建設(shè)的企業(yè)局域網(wǎng)的布線系統(tǒng)都應(yīng)有千兆升級(jí)能力。水平布線系統(tǒng)中的超五類雙絞線有千兆能力，兩端的超五類信息模塊也有千兆能力。垂直主干布線系統(tǒng)的多模光纖也有千兆能力。因此現(xiàn)有的網(wǎng)絡(luò)布線是可以直接利用的，不需做任何改造就能向千兆擴(kuò)容。需要擴(kuò)容的關(guān)鍵是網(wǎng)絡(luò)設(shè)備。

網(wǎng)絡(luò)設(shè)備的利用

對(duì)于網(wǎng)絡(luò)設(shè)備的利用策略是一線退二線、升級(jí)一線。10/100M的快速以太網(wǎng)交換機(jī)作的核心現(xiàn)在可退居二線。這種交換機(jī)可以做局部的桌面級(jí)工作組交換機(jī)來使用，因此可以移至網(wǎng)絡(luò)的末端，在接入密度較高的工作組辦公區(qū)使用。而網(wǎng)絡(luò)中心的核心交換機(jī)則換成千兆交換機(jī)。