還局域網(wǎng)運行安全

■

限制訪問危險站點

有的時候，局域網(wǎng)運行速度非常緩慢，引起這種故障的原因，常常是某些不務(wù)正業(yè)的終端用戶偷偷訪問視頻站點，消耗了寶貴的網(wǎng)絡(luò)出口帶寬資源。如果能夠“封殺”國內(nèi)主流的一些視頻站點，限制普通用戶自由訪問它們，那么網(wǎng)絡(luò)帶寬資源就不會被過度占用，自然局域網(wǎng)運行速度就不會受到影響了。要做到這一點，其實很簡單，只要利用局域網(wǎng)路由器的訪問控制列表功能，就能輕松限制局域網(wǎng)終端用戶訪問特定的危險站點了。

例如，要限制訪問土豆視頻站點時，首先需要使用ping命令測試土豆視頻站點的域名，以返回目標站點的IP地址，這樣我們就能通過訪問控制列表限制IP地址的方式，來限制訪問危險站點了，假設(shè)這里返回的土豆視頻站點IP地址為“61.164.63.180”，如圖1所示。當(dāng)然，ping命令測試法獲取到的IP地址有可能不全面，因為現(xiàn)在很多視頻站點都采取特殊技術(shù)手段，將視頻站點內(nèi)容分散在多個IP地址的多臺服務(wù)器中，以確保視頻站點的工作穩(wěn)定性；在這種情形下，ping命令測試法只能獲取其中一臺服務(wù)器的IP地址，其他服務(wù)器的IP地址無法探測到，這樣通過訪問控制列表限制一個IP地址，就無法達到限制用戶訪問特定站點的目的。只有在MS-DOS工作窗口中，輸入“nslookup www.tudou.com”命令，才能獲取土豆視頻站點域名的所有IP地址。

當(dāng)獲取到危險站點的IP地址后，我們就能在局域網(wǎng)路由器后臺系統(tǒng)，通過“Accesslist”命令創(chuàng)建訪問控制列表了。以思科系列路由器為例，在創(chuàng)建訪問控制列表，限制訪問土豆視頻站點時，先進入路由器后臺系統(tǒng)，執(zhí)行“configure terminal”命 令，切換到全局配置模式狀態(tài)，輸入“access-list 123 deny tcp any host 61.164.63.180 eq www”命令，來屏蔽土豆視頻站點的IP地址，以限制局域網(wǎng)中的任何終端計算機去訪問該站點。如果土豆視頻站點還有其他IP地址時，只要反復(fù)執(zhí)行上述命令，將相關(guān)的所有IP地址全部過濾掉。

為了讓創(chuàng)建好的訪問控制列表正式生效，我們還需要進入路由器的特定端口視圖模式（該端口必須是局域網(wǎng)計算機與路由器的連接端口），執(zhí)行字符串命令“IP access-group 123 out”，來將指定編號的訪問控制列表應(yīng)用于局域網(wǎng)計算機的連接端口，那么日后局域網(wǎng)中的任何一臺計算機在上網(wǎng)訪問時，就會受到上述訪問控制列表的限制，自然它們也就不能隨意訪問土豆視頻站點了。值得注意的是，如果危險站點的IP地址日后發(fā)生變化時，我們還需要及時進入路由器后臺系統(tǒng)，修改以前的訪問控制列表，確保將新的IP地址全部屏蔽掉。

限制訪問DNS服務(wù)

由于工作的特殊性，某些單位可能會限制特定網(wǎng)段的終端用戶上網(wǎng)訪問，以避免發(fā)生單位重要數(shù)據(jù)對外泄密事故。要實現(xiàn)這種限制操作目的，我們有時只要在為局域網(wǎng)計算機提供域名解析服務(wù)的DNS服務(wù)器所在系統(tǒng)中，通過服務(wù)器系統(tǒng)內(nèi)置的高級安全防火墻功能，來限制特定網(wǎng)段的計算機訪問DNS服務(wù)即可，因為在沒有了DNS服務(wù)的支持，那些終端計算機自然就無法隨意訪問外部站點了。

以Windows Server 2008服務(wù)器系統(tǒng)為例，在限制特定子網(wǎng)的用戶訪問局域網(wǎng)DNS服務(wù)器時，只要先以系統(tǒng)管理員權(quán)限登錄Windows Server 2008系統(tǒng)，依次點擊“開始”、“程序”、“服務(wù)器管理器”選項，彈出服務(wù)器管理器窗口。在該窗口的左側(cè)列表中，依次展開“配置”、“高級安全Windows防火墻”、“入站規(guī)則”分支，用鼠標右鍵單擊目標分支選項，點擊快捷菜單中的“新規(guī)則”命令，切換到如圖2所示的新規(guī)則創(chuàng)建向?qū)гO(shè)置框。

選中這里的“端口”選項，單擊向?qū)гO(shè)置框中的“下一步”按鈕，在其后彈出的設(shè)置界面中，正確輸入DNS服務(wù)使用的網(wǎng)絡(luò)端口號，依照提示輸入需要限制訪問的特定工作子網(wǎng)地址，同時將連接條件參數(shù)選擇為“阻止連接”，之后設(shè)置好應(yīng)用該新安全規(guī)則的使用場合，再為新創(chuàng)建的安全規(guī)則取一個合適名稱，這樣一來局域網(wǎng)中特定子網(wǎng)的計算機就無法通過單位DNS服務(wù)器訪問外部站點了。

限制上網(wǎng)訪問速度

目前不少單位局域網(wǎng)的出口帶寬資源并不“富?！?，要是讓一些不自覺的用戶，在局域網(wǎng)環(huán)境中自由進行P2P應(yīng)用下載操作，那么整個網(wǎng)絡(luò)的出口訪問速度都會受到顯著影響。為了能讓每臺終端計算機都可以高效穩(wěn)定地上網(wǎng)訪問，我們不妨合理利用局域網(wǎng)路由器自帶的流量控制功能，來限制每個上網(wǎng)端口的傳輸流量大小，以確保所有網(wǎng)絡(luò)端口都能獲取不錯的上網(wǎng)速度，從而達到高效提升上網(wǎng)效率的目的！

例如，某局域網(wǎng)使用了D-Link DI-7000系列路由器組網(wǎng)，網(wǎng)絡(luò)中經(jīng)常有惡意用戶偷偷使用P2P工具下載訪問大容量數(shù)據(jù)，這對其他用戶的正常上網(wǎng)帶來了不小的影響，最明顯的現(xiàn)象就是用戶打開一個普通網(wǎng)頁，都要經(jīng)過漫長的等待。盡管借助“P2P終結(jié)者”之類的外力工具，能防止P2P應(yīng)用過度消耗局域網(wǎng)寶貴的帶寬資源，可是這種方法在部署有ARP防火墻的場合下，就無法獲得理想的控制效果了。而善于使用局域網(wǎng)路由器內(nèi)置的流量控制功能，限制每個網(wǎng)段地址的帶寬大小，就能讓整個局域網(wǎng)保持穩(wěn)定的運行狀態(tài)了。

在啟用流量控制功能時，先登錄局域網(wǎng)的某臺終端計算機系統(tǒng)，在其中開啟IE瀏覽器程序運行狀態(tài)，在瀏覽窗口地址欄中輸入局域網(wǎng)路由器的WEB管理地址，成功登錄后進入到路由器設(shè)備的后臺管理頁面，選中并按下“流量控制”按鈕，切換到如圖3所示的流量控制頁面，選中“啟用流量控制”選項，同時點擊“保存”按鈕返回。

之后進入流量控制規(guī)則添加頁面，根據(jù)實際情況輸入需要限制訪問速度的每一個虛擬工作子網(wǎng)IP地址，或者是某臺終端計算機的IP地址，同時定義好上行速度、下行速度數(shù)值，這樣，就能有效限制任意一臺終端計算機隨意占用寶貴的網(wǎng)絡(luò)出口帶寬資源了。為了讓空閑的帶寬資源得到合理利用，網(wǎng)絡(luò)管理員還能針對上行速度、下行速度，進行適當(dāng)?shù)墓芾聿呗钥刂?，讓局域網(wǎng)中的每臺終端計算機在網(wǎng)絡(luò)帶寬資源處于閑置狀態(tài)的時候，能合理調(diào)配閑置帶寬資源進行上網(wǎng)訪問。

當(dāng)然，也有的局域網(wǎng)路由器流量控制功能操作起來更簡單，網(wǎng)絡(luò)管理員只要為每個端口提供不同級別的帶寬大小選項即可。例如，使用TLR4000系列路由器來組網(wǎng)時，網(wǎng)絡(luò)管理員可以將路由器連接端口的帶寬大小設(shè)置為128K，256K，512K，1M，2M，4M，8M等級別，以實現(xiàn)限制用戶上網(wǎng)訪問速度的目的。

圖3 流量控制頁面

限制訪問特定端口

對于普通終端用戶來說，用戶能通過限制所有網(wǎng)絡(luò)端口的方法，來保護終端計算機的運行安全，因為普通用戶根本不必讓自己的終端計算機對外提供任何網(wǎng)絡(luò)服務(wù)。而對于對外提供網(wǎng)絡(luò)服務(wù)的局域網(wǎng)服務(wù)器來說，網(wǎng)絡(luò)管理員只要將必須用到的網(wǎng)絡(luò)端口開放，比如只開放WWW服務(wù)的80端口、FTP服務(wù)的21端口、郵件服務(wù)的25、110端口等，其他的網(wǎng)絡(luò)端口則全部限制訪問。

對于基于Windows系統(tǒng)的服務(wù)器主機來說，網(wǎng)絡(luò)管理員不需要在其中安裝任何其他控制軟件，只要簡單地利用“TCP/IP篩選”功能，就能輕松限制訪問特定服務(wù)器的端口號碼。具體操作為：依次點擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，進入網(wǎng)絡(luò)連接列表界面，用鼠標右鍵單擊其中的本地連接圖標，從彈出的右鍵菜單中，選擇“屬性”命令，進入本地連接屬性對話框。

選擇“此連接使用下列項目”位置處的“Internet協(xié)議(TCP/IP)”選項，按下“屬性”按鈕，展開“Internet協(xié)議(TCP/IP)”屬性對話框，單擊“高級”按鈕。在其后彈出的TCP/IP協(xié)議高級設(shè)置框中，點擊“選項”標簽，選中“TCP/IP篩選”標簽，展開TCP/IP篩選屬性框，選中“啟用TCP/IP篩選”復(fù)選框，再將左邊TCP端口上的“只允許”選上。這樣用戶就能根據(jù)實際情況，來自行添加或刪除需要的TCP協(xié)議或UDP協(xié)議端口了。添加或者刪除操作結(jié)束后，需要及時重新啟動服務(wù)器系統(tǒng)，服務(wù)器的特定端口才能被保護起來。

限制訪問共享資源

單位中的一些重要共享資源，有時只能給領(lǐng)導(dǎo)之類的特定用戶訪問，其他普通用戶則不允許訪問。雖然通過給共享文件夾添加訪問口令的方法，能實現(xiàn)限制訪問共享資源目的。但是面對一些有點技術(shù)手段的用戶來說，這種方法可能沒有任何作用，因為他們會通過破解密碼的方法，來偷偷訪問局域網(wǎng)中的重要共享資源！要達到徹底限制訪問共享資源的目的，完全可以利用免費的天網(wǎng)防火墻或系統(tǒng)防火墻，來定制安全規(guī)則，指定共享文件夾只能讓局域網(wǎng)中某一臺固定的計算機訪問。以天網(wǎng)防火墻為例，只要將其下載安裝到共享資源所在的計算機系統(tǒng)中，開啟它的運行狀態(tài)，打開IP規(guī)則設(shè)置界面，雙擊“允許局域網(wǎng)的機器使用我的共享資源”選項，切換到IP規(guī)則修改對話框。在這里，先將“數(shù)據(jù)包方向”選項調(diào)整為“接收或發(fā)送”，之后依次點擊“對方IP地址”、“指定地址”選項，同時在后面的“地址”位置處，輸入單位領(lǐng)導(dǎo)所用計算機的IP地址，確認后保存設(shè)置操作。這樣，即使沒有為共享資源設(shè)置訪問密碼，特定的共享資源也只有單位領(lǐng)導(dǎo)那臺計算機才能訪問到，局域網(wǎng)中的其他計算機都無法訪問到！