史成寶

管理投資不高的局域網(wǎng)是件很困難的工作。仔細(xì)分析網(wǎng)絡(luò)現(xiàn)狀，匯集有限的資金投在網(wǎng)關(guān)設(shè)備建設(shè)上，通過精心部署，挖掘網(wǎng)關(guān)設(shè)備的管理功能，使局域網(wǎng)管理實(shí)用有效。

局域網(wǎng)管理的主要目的是在保障各用戶數(shù)據(jù)安全和提供穩(wěn)定通暢的網(wǎng)絡(luò)通道，具體的工作有網(wǎng)絡(luò)用戶資料建立、設(shè)備接入管理、配置交換與路由設(shè)備、劃分VLAN、管理各種應(yīng)用服務(wù)器、設(shè)置用戶訪問權(quán)限、備份各種數(shù)據(jù)、查殺病毒、控制下載流量等。當(dāng)今建立局域網(wǎng)的目的無外乎是依照不同的權(quán)限共享局域網(wǎng)軟、硬件資源和共享上網(wǎng)。通過對(duì)網(wǎng)絡(luò)交換機(jī)的配置部署，實(shí)施劃分VLAN、設(shè)置各用戶的訪問權(quán)限、流量控制、地址分配、地址綁定等管理項(xiàng)目，使安全使用網(wǎng)絡(luò)得以保障。

隨著用戶數(shù)量增加、新添各種網(wǎng)絡(luò)應(yīng)用等原因，很多局域網(wǎng)需要擴(kuò)充。但由于資金、采購(gòu)、招標(biāo)評(píng)定、產(chǎn)品更新等方面的原因，新增設(shè)備很可能與原有設(shè)備不相同，甚至品牌也無法統(tǒng)一，在部署與管理上難以協(xié)同一致，如交換機(jī)的配置命令不同、支持協(xié)議有差異等。有些無法基于Web頁(yè)進(jìn)行遠(yuǎn)程管理，或只支持最簡(jiǎn)單的網(wǎng)絡(luò)管理，若網(wǎng)絡(luò)由不同的設(shè)備混合而成且其中有不可網(wǎng)管的交換設(shè)備，配置與管理就相當(dāng)棘手，時(shí)常導(dǎo)致總體規(guī)劃無法得以順利實(shí)施，使局域網(wǎng)出現(xiàn)管理盲區(qū)，數(shù)據(jù)安全和網(wǎng)絡(luò)通暢令人擔(dān)憂。

人所皆知，互聯(lián)網(wǎng)的高速發(fā)展幾乎改變了每個(gè)人的工作與生活方式，也成為許多人賴以生存的特殊空間。筆者從工作中發(fā)現(xiàn)局域網(wǎng)用戶對(duì)能否正常訪問互聯(lián)網(wǎng)極度關(guān)注，而局域網(wǎng)用戶訪問互聯(lián)網(wǎng)必須通過網(wǎng)關(guān)設(shè)備，注重局域網(wǎng)網(wǎng)關(guān)設(shè)備的建設(shè)選型。強(qiáng)化和挖掘其管理功能，可以彌補(bǔ)局域網(wǎng)內(nèi)低端交換設(shè)備的管理缺憾，在一定程度上達(dá)到有效網(wǎng)絡(luò)管理的目的。

局域網(wǎng)網(wǎng)關(guān)設(shè)備的種類、特點(diǎn)與可實(shí)施的網(wǎng)絡(luò)管理功能

可共享上網(wǎng)的服務(wù)器（或高配置計(jì)算機(jī)）通常在局域網(wǎng)的某臺(tái)計(jì)算機(jī)或服務(wù)器上安裝相關(guān)軟件實(shí)現(xiàn)內(nèi)外網(wǎng)地址轉(zhuǎn)換（NAT）、設(shè)置緩沖區(qū)域（Cache），提高訪問速度和效率。根據(jù)網(wǎng)絡(luò)管理的需要，可在機(jī)器上部署認(rèn)證機(jī)制，安裝網(wǎng)絡(luò)管理軟件，對(duì)通過的數(shù)據(jù)包進(jìn)行審核或限制等。自己選用合適的代理或網(wǎng)關(guān)軟件，如WinGate、CCProxy、Microsoft ISA、WinProxy，實(shí)施相關(guān)策略，擴(kuò)展網(wǎng)絡(luò)管理功能。也可在機(jī)器上安裝地址映射（端口映射）軟件，將內(nèi)網(wǎng)地址映射到外網(wǎng)，使外網(wǎng)可以訪問建于內(nèi)網(wǎng)中的Web服務(wù)器等。優(yōu)點(diǎn)是可自由安裝軟件，管理策略改變便捷；缺點(diǎn)是易感染病毒和中木馬遭攻擊等，穩(wěn)定性較差，對(duì)網(wǎng)絡(luò)管理員技術(shù)要求較高，管理維護(hù)時(shí)間較多。

CCProxy是國(guó)內(nèi)最流行、下載量最大的國(guó)產(chǎn)代理服務(wù)器軟件，代理共享上網(wǎng)和客戶端代理權(quán)限管理。只要局域網(wǎng)內(nèi)有一臺(tái)機(jī)器能夠上網(wǎng)，其他機(jī)器就可通過這臺(tái)機(jī)器上安裝的CCProxy代理共享上網(wǎng)。支持瀏覽器代理、郵件代理、游戲代理等，可以控制客戶端代理上網(wǎng)權(quán)限，針對(duì)不同用戶合理安排上網(wǎng)時(shí)間，監(jiān)視上網(wǎng)記錄，限制不同用戶帶寬流量，多種文字界面，具有服務(wù)器IP綁定、詳細(xì)的日志分析、加強(qiáng)過濾（端口屏蔽、站點(diǎn)過濾）、更強(qiáng)大的賬號(hào)管理(組管理、使用時(shí)間)，及遠(yuǎn)程Web方式賬號(hào)管理等功能。設(shè)置簡(jiǎn)單，功能強(qiáng)大，適合中小企事業(yè)共享代理上網(wǎng)。

ISA（Internet Security and Acceleration）Server是Microsoft開發(fā)的最新代理服務(wù)器和防火墻產(chǎn)品，同時(shí)向網(wǎng)絡(luò)用戶提供針對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)的快速和安全的遠(yuǎn)程訪問能力，經(jīng)過細(xì)心部署Web緩存可大幅度提高訪問Internet的速度、限制P2P與聊天等應(yīng)用，強(qiáng)大的功能與易用性為網(wǎng)絡(luò)管理者提供了近乎完美的解決方案。ISA Server也因此成為很多用戶，特別是基于Microsoft網(wǎng)絡(luò)的企事業(yè)首選的代理服務(wù)器和防火墻產(chǎn)品。

路由器路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，其工作過程即數(shù)據(jù)的轉(zhuǎn)發(fā)發(fā)生在OSI參考模型的第三層即網(wǎng)絡(luò)層，通過路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)。它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀”懂對(duì)方的數(shù)據(jù)，從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。路由器主要是用來連通不同的網(wǎng)絡(luò)，其次是選擇信息傳送的線路，使數(shù)據(jù)傳輸?shù)酶旖?。由于路由器配置完成后不用?jīng)常修改，出現(xiàn)問題只需重新啟動(dòng)便可恢復(fù)正常，因此受到廣泛采用。

通過設(shè)置路由器的訪問控制列表可加強(qiáng)網(wǎng)絡(luò)的安全性；查看路由器中的ARP表可檢查網(wǎng)絡(luò)中是否有ARP地址欺騙病毒。有些路由器還有IP-MAC綁定功能，具有一定的管理功能。早期的產(chǎn)品初期使用配置較麻煩，近年來很多廠家推出可基于Web頁(yè)面進(jìn)行管理的產(chǎn)品，增加端口（地址）映射、簡(jiǎn)易防火墻、虛擬服務(wù)器、流量控制等功能，網(wǎng)絡(luò)管理員可以直觀地進(jìn)行修改配置，降低使用難度，得到眾多局域網(wǎng)（如網(wǎng)吧）管理者的青睞。

2008年底市面上路由器的參考價(jià)格為百元左右（SOHO）、1 000多元（用戶數(shù)在100以內(nèi)）、4 000元（用戶數(shù)在300左右）、萬元以上（用戶數(shù)在500以上）。早期路由器產(chǎn)品管理功能較弱，近年來多家廠商的新產(chǎn)品增加了很多管理功能，但從總體上看產(chǎn)品管理功能升級(jí)機(jī)會(huì)較少。由于低端產(chǎn)品價(jià)格便宜且較穩(wěn)定，小型局域網(wǎng)選用幾率很高；高端產(chǎn)品主要用于骨干網(wǎng)絡(luò)，如運(yùn)營(yíng)商城域網(wǎng)等。

硬件防火墻硬件防火墻由軟件和硬件設(shè)備組合構(gòu)成，架設(shè)在內(nèi)外網(wǎng)之間、專網(wǎng)與公共網(wǎng)之間。使用防火墻的目的是在網(wǎng)絡(luò)連接界面建立安全機(jī)制，對(duì)進(jìn)出的數(shù)據(jù)流進(jìn)行審計(jì)和控制，只有符合安全策略預(yù)先設(shè)定的數(shù)據(jù)流才能通過。防火墻包過濾、防黑功能強(qiáng)大，功能精髓主要在其研發(fā)的軟件里，絕大多數(shù)產(chǎn)品可以基于Web頁(yè)面進(jìn)行配置部署。通過建立主機(jī)、范圍、子網(wǎng)、地址組，可實(shí)施阻斷、網(wǎng)站過濾、地址轉(zhuǎn)換等策略；具有認(rèn)證、IP-MAC綁定等功能，可將內(nèi)部網(wǎng)絡(luò)劃分成幾個(gè)區(qū)域，授權(quán)某些用戶可以訪問的機(jī)器或區(qū)域。有些產(chǎn)品還提供流量控制、帶寬分配、P2P下載限制等諸多實(shí)用功能，提升網(wǎng)絡(luò)管理的力度。

2008年底市面上主流硬件防火墻的參考價(jià)格為4 000元（用戶數(shù)在30左右）、1萬元以內(nèi)（用戶數(shù)在100以內(nèi)）、1.5萬元（用戶數(shù)在300左右）、10萬元以內(nèi)（用戶數(shù)在500左右，支持VPN）。硬件防火墻管理功能較強(qiáng)，升級(jí)機(jī)會(huì)較多，價(jià)格適中，維護(hù)方便。

統(tǒng)一威脅管理設(shè)備（UTM）通常指由軟件、硬件和網(wǎng)絡(luò)技術(shù)組成的以安全特性為用途的設(shè)備，發(fā)展趨勢(shì)是將網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御、網(wǎng)關(guān)防病毒、上網(wǎng)行為管理等多種安全特性集成于一個(gè)硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺(tái)。

近年來市場(chǎng)推出的智能網(wǎng)關(guān)、上網(wǎng)行為管理等設(shè)備，管理功能最為強(qiáng)大。不僅具備NAT轉(zhuǎn)換功能，也有較強(qiáng)的過濾與入侵檢測(cè)功能；能使用瀏覽器登錄后進(jìn)行詳細(xì)的部署，對(duì)局域網(wǎng)用戶對(duì)外網(wǎng)的訪問進(jìn)行全面的管理；可以對(duì)用戶進(jìn)行的訪問反動(dòng)網(wǎng)站、瀏覽不良站點(diǎn)、與工作無關(guān)的聊天、沉迷網(wǎng)絡(luò)游戲、炒股、在線視頻、FTP上傳、電子郵件、傳播不良信息、惡意占用帶寬下載等行為進(jìn)行審核或限制。有些功能強(qiáng)大的產(chǎn)品還內(nèi)置日志記錄硬盤，可以對(duì)在聊天室、BBS、貼吧、博客等交互欄目所發(fā)信息進(jìn)行明文顯示并長(zhǎng)期記錄留存，實(shí)現(xiàn)較為完善的網(wǎng)絡(luò)訪問行為監(jiān)控，在為局域網(wǎng)用戶提供穩(wěn)定高效可管理的訪問通道的同時(shí)，也保護(hù)網(wǎng)絡(luò)中敏感數(shù)據(jù)的安全，極大地提高網(wǎng)絡(luò)管理的實(shí)效，是現(xiàn)階段網(wǎng)絡(luò)管理的利器，組建局域網(wǎng)或更新網(wǎng)關(guān)設(shè)備的首選。

2008年底有類似管理功能的設(shè)備參考價(jià)格為2萬元以內(nèi)（用戶數(shù)在100左右）、4萬元以內(nèi)（用戶數(shù)在300左右）、10萬元左右（用戶數(shù)在500左右）。價(jià)格偏高，經(jīng)費(fèi)充裕的用戶可考慮選用。

由于此類產(chǎn)品在網(wǎng)絡(luò)管理中至關(guān)重要，應(yīng)具有較高的硬件配置和合理的軟件設(shè)計(jì)。但從一些用戶反映的情況了解到，有的商家為了獲取訂單，在推銷一些配置較低的產(chǎn)品時(shí)會(huì)夸大其詞，在只有少數(shù)用戶和僅啟用部分管理功能的條件下進(jìn)行低負(fù)荷演示，以騙取用戶的信任。一旦用戶全面使用后極易發(fā)生網(wǎng)絡(luò)擁塞、宕機(jī)等嚴(yán)重事件。因此，網(wǎng)絡(luò)管理者在選用此類產(chǎn)品前，必須逐一對(duì)各品牌產(chǎn)品在啟用全部管理功能、多種需求、滿用戶重負(fù)荷狀態(tài)下，認(rèn)真試用并精確記錄測(cè)試數(shù)據(jù)，經(jīng)分析對(duì)比后慎重選用。

充分使用網(wǎng)關(guān)設(shè)備的管理功能，進(jìn)行有效網(wǎng)絡(luò)管理的實(shí)例

某中學(xué)有相隔600米的2個(gè)校區(qū)，通過光纖相互連通，校園網(wǎng)早期選用的核心交換設(shè)備是國(guó)外品牌，未購(gòu)置昂貴的網(wǎng)管軟件，三層交換也需升級(jí)軟件后方可支持，劃分VLAN也很麻煩。隨著用戶的增多，7年來通過各種形式先后添置3個(gè)品牌的多個(gè)系列的網(wǎng)絡(luò)交換設(shè)備。由于資金原因，其中有很多是造價(jià)僅千元左右且不可網(wǎng)管的普通交換機(jī)，使用雖較穩(wěn)定，管理卻不方便。局域網(wǎng)網(wǎng)關(guān)設(shè)備原來采用的是路由器，通過建立訪問控制列表、將IP-MAC實(shí)行綁定等措施，實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)管理。

為了加強(qiáng)網(wǎng)絡(luò)管理的實(shí)效，增配一臺(tái)造價(jià)1.6萬元的硬件防火墻，以下是具體管理措施。

建立安全區(qū)域硬件防火墻有4個(gè)網(wǎng)絡(luò)接口，分別配置為：1）外部：電信；2）內(nèi)部：南校區(qū)、北校區(qū)、服務(wù)器區(qū)。

建立用戶及地址資料為每臺(tái)計(jì)算機(jī)建一主機(jī)名，并對(duì)應(yīng)于指定的IP地址，實(shí)施IP-MAC地址綁定；建立不同的地址范圍，根據(jù)用戶的性質(zhì)統(tǒng)一賦予相關(guān)的權(quán)限和實(shí)施策略；建立教師、教室、網(wǎng)管、可下載、處室等不同的地址組，將各主機(jī)添加到對(duì)應(yīng)的地址組內(nèi)。

設(shè)定時(shí)間段設(shè)定上班、下班、周末等時(shí)間段，便于實(shí)施相關(guān)控制。

自定義服務(wù)在系統(tǒng)內(nèi)已定義的服務(wù)外，根據(jù)自己網(wǎng)絡(luò)應(yīng)用的需要自定義服務(wù)，選擇不同的協(xié)議和端口，方便通過地址或端口映射實(shí)現(xiàn)外網(wǎng)可訪問內(nèi)部主機(jī)。

實(shí)施防火墻策略在系統(tǒng)已定義的阻斷策略外，添加自定義的阻斷策略，有效限制黑客攻擊，遏制木馬攻擊；根據(jù)需要添加訪問控制規(guī)則，設(shè)置不同區(qū)域里的主機(jī)之間的訪問權(quán)限，設(shè)置主機(jī)與區(qū)域之間的訪問權(quán)限，其效果類似于在交換機(jī)上劃分VLAN與建立路由；建立地址轉(zhuǎn)換規(guī)則，實(shí)現(xiàn)如通過公網(wǎng)地址的80端口訪問到地址為192.168.0.2的內(nèi)網(wǎng)機(jī)器上使用8000端口發(fā)布的網(wǎng)站，通過公網(wǎng)地址的9500端口訪問到地址為192.168.5.2內(nèi)網(wǎng)機(jī)器上8650端口發(fā)布的網(wǎng)站；使用公網(wǎng)地址，通過遠(yuǎn)程桌面連接到內(nèi)網(wǎng)某一主機(jī)，實(shí)施遠(yuǎn)程控制等。

啟用內(nèi)容過濾建立過濾對(duì)象，選定關(guān)鍵字、填寫URL；設(shè)定過濾策略，封堵用戶訪問不良網(wǎng)站；通過應(yīng)用程序識(shí)別進(jìn)行過濾與限制，在上班期間限制軟件下載，有效阻止部分用戶濫用網(wǎng)絡(luò)惡意下載的行為，保障網(wǎng)絡(luò)通暢。

其他管理功能將ARP請(qǐng)求限制在每秒500個(gè)，減少ARP地址欺騙病毒的危害；通過設(shè)定用戶的并發(fā)連接數(shù)與接入認(rèn)證等措施，實(shí)現(xiàn)對(duì)用戶的全面管理；啟用帶寬管理，實(shí)施流量控制，有一定的成效；記錄防火墻運(yùn)行日志、設(shè)置報(bào)警方式，全過程監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)；開放公網(wǎng)對(duì)硬件防火墻的訪問權(quán)限，賦予網(wǎng)管組成員管理權(quán)限，實(shí)施全方位管理；提供網(wǎng)絡(luò)下載服務(wù)，由信息中心安排在校園網(wǎng)輕負(fù)荷時(shí)段開展下載作業(yè)，滿足用戶提出的合理下載需求。

通過挖掘網(wǎng)關(guān)設(shè)備潛力，充分使用硬件防火墻的管理功能，在低成本建造的局域網(wǎng)中有效地開展網(wǎng)絡(luò)管理，為學(xué)校教育教學(xué)提供優(yōu)良的網(wǎng)絡(luò)環(huán)境。

（作者單位：南京市雨花臺(tái)中學(xué)）