■
有的時候,局域網(wǎng)運行速度非常緩慢,引起這種故障的原因,常常是某些不務(wù)正業(yè)的終端用戶偷偷訪問視頻站點,消耗了寶貴的網(wǎng)絡(luò)出口帶寬資源。如果能夠“封殺”國內(nèi)主流的一些視頻站點,限制普通用戶自由訪問它們,那么網(wǎng)絡(luò)帶寬資源就不會被過度占用,自然局域網(wǎng)運行速度就不會受到影響了。要做到這一點,其實很簡單,只要利用局域網(wǎng)路由器的訪問控制列表功能,就能輕松限制局域網(wǎng)終端用戶訪問特定的危險站點了。
例如,要限制訪問土豆視頻站點時,首先需要使用ping命令測試土豆視頻站點的域名,以返回目標站點的IP地址,這樣我們就能通過訪問控制列表限制IP地址的方式,來限制訪問危險站點了,假設(shè)這里返回的土豆視頻站點IP地址為“61.164.63.180”,如圖1所示。當(dāng)然,ping命令測試法獲取到的IP地址有可能不全面,因為現(xiàn)在很多視頻站點都采取特殊技術(shù)手段,將視頻站點內(nèi)容分散在多個IP地址的多臺服務(wù)器中,以確保視頻站點的工作穩(wěn)定性;在這種情形下,ping命令測試法只能獲取其中一臺服務(wù)器的IP地址,其他服務(wù)器的IP地址無法探測到,這樣通過訪問控制列表限制一個IP地址,就無法達到限制用戶訪問特定站點的目的。只有在MS-DOS工作窗口中,輸入“nslookup www.tudou.com”命令,才能獲取土豆視頻站點域名的所有IP地址。
當(dāng)獲取到危險站點的IP地址后,我們就能在局域網(wǎng)路由器后臺系統(tǒng),通過“Accesslist”命令創(chuàng)建訪問控制列表了。以思科系列路由器為例,在創(chuàng)建訪問控制列表,限制訪問土豆視頻站點時,先進入路由器后臺系統(tǒng),執(zhí)行“configure terminal”命 令,切換到全局配置模式狀態(tài),輸入“access-list 123 deny tcp any host 61.164.63.180 eq www”命令,來屏蔽土豆視頻站點的IP地址,以限制局域網(wǎng)中的任何終端計算機去訪問該站點。如果土豆視頻站點還有其他IP地址時,只要反復(fù)執(zhí)行上述命令,將相關(guān)的所有IP地址全部過濾掉。
為了讓創(chuàng)建好的訪問控制列表正式生效,我們還需要進入路由器的特定端口視圖模式(該端口必須是局域網(wǎng)計算機與路由器的連接端口),執(zhí)行字符串命令“IP access-group 123 out”,來將指定編號的訪問控制列表應(yīng)用于局域網(wǎng)計算機的連接端口,那么日后局域網(wǎng)中的任何一臺計算機在上網(wǎng)訪問時,就會受到上述訪問控制列表的限制,自然它們也就不能隨意訪問土豆視頻站點了。值得注意的是,如果危險站點的IP地址日后發(fā)生變化時,我們還需要及時進入路由器后臺系統(tǒng),修改以前的訪問控制列表,確保將新的IP地址全部屏蔽掉。
由于工作的特殊性,某些單位可能會限制特定網(wǎng)段的終端用戶上網(wǎng)訪問,以避免發(fā)生單位重要數(shù)據(jù)對外泄密事故。要實現(xiàn)這種限制操作目的,我們有時只要在為局域網(wǎng)計算機提供域名解析服務(wù)的DNS服務(wù)器所在系統(tǒng)中,通過服務(wù)器系統(tǒng)內(nèi)置的高級安全防火墻功能,來限制特定網(wǎng)段的計算機訪問DNS服務(wù)即可,因為在沒有了DNS服務(wù)的支持,那些終端計算機自然就無法隨意訪問外部站點了。
以Windows Server 2008服務(wù)器系統(tǒng)為例,在限制特定子網(wǎng)的用戶訪問局域網(wǎng)DNS服務(wù)器時,只要先以系統(tǒng)管理員權(quán)限登錄Windows Server 2008系統(tǒng),依次點擊“開始”、“程序”、“服務(wù)器管理器”選項,彈出服務(wù)器管理器窗口。在該窗口的左側(cè)列表中,依次展開“配置”、“高級安全Windows防火墻”、“入站規(guī)則”分支,用鼠標右鍵單擊目標分支選項,點擊快捷菜單中的“新規(guī)則”命令,切換到如圖2所示的新規(guī)則創(chuàng)建向?qū)гO(shè)置框。
選中這里的“端口”選項,單擊向?qū)гO(shè)置框中的“下一步”按鈕,在其后彈出的設(shè)置界面中,正確輸入DNS服務(wù)使用的網(wǎng)絡(luò)端口號,依照提示輸入需要限制訪問的特定工作子網(wǎng)地址,同時將連接條件參數(shù)選擇為“阻止連接”,之后設(shè)置好應(yīng)用該新安全規(guī)則的使用場合,再為新創(chuàng)建的安全規(guī)則取一個合適名稱,這樣一來局域網(wǎng)中特定子網(wǎng)的計算機就無法通過單位DNS服務(wù)器訪問外部站點了。
目前不少單位局域網(wǎng)的出口帶寬資源并不“富?!?,要是讓一些不自覺的用戶,在局域網(wǎng)環(huán)境中自由進行P2P應(yīng)用下載操作,那么整個網(wǎng)絡(luò)的出口訪問速度都會受到顯著影響。為了能讓每臺終端計算機都可以高效穩(wěn)定地上網(wǎng)訪問,我們不妨合理利用局域網(wǎng)路由器自帶的流量控制功能,來限制每個上網(wǎng)端口的傳輸流量大小,以確保所有網(wǎng)絡(luò)端口都能獲取不錯的上網(wǎng)速度,從而達到高效提升上網(wǎng)效率的目的!
例如,某局域網(wǎng)使用了D-Link DI-7000系列路由器組網(wǎng),網(wǎng)絡(luò)中經(jīng)常有惡意用戶偷偷使用P2P工具下載訪問大容量數(shù)據(jù),這對其他用戶的正常上網(wǎng)帶來了不小的影響,最明顯的現(xiàn)象就是用戶打開一個普通網(wǎng)頁,都要經(jīng)過漫長的等待。盡管借助“P2P終結(jié)者”之類的外力工具,能防止P2P應(yīng)用過度消耗局域網(wǎng)寶貴的帶寬資源,可是這種方法在部署有ARP防火墻的場合下,就無法獲得理想的控制效果了。而善于使用局域網(wǎng)路由器內(nèi)置的流量控制功能,限制每個網(wǎng)段地址的帶寬大小,就能讓整個局域網(wǎng)保持穩(wěn)定的運行狀態(tài)了。
在啟用流量控制功能時,先登錄局域網(wǎng)的某臺終端計算機系統(tǒng),在其中開啟IE瀏覽器程序運行狀態(tài),在瀏覽窗口地址欄中輸入局域網(wǎng)路由器的WEB管理地址,成功登錄后進入到路由器設(shè)備的后臺管理頁面,選中并按下“流量控制”按鈕,切換到如圖3所示的流量控制頁面,選中“啟用流量控制”選項,同時點擊“保存”按鈕返回。
之后進入流量控制規(guī)則添加頁面,根據(jù)實際情況輸入需要限制訪問速度的每一個虛擬工作子網(wǎng)IP地址,或者是某臺終端計算機的IP地址,同時定義好上行速度、下行速度數(shù)值,這樣,就能有效限制任意一臺終端計算機隨意占用寶貴的網(wǎng)絡(luò)出口帶寬資源了。為了讓空閑的帶寬資源得到合理利用,網(wǎng)絡(luò)管理員還能針對上行速度、下行速度,進行適當(dāng)?shù)墓芾聿呗钥刂?,讓局域網(wǎng)中的每臺終端計算機在網(wǎng)絡(luò)帶寬資源處于閑置狀態(tài)的時候,能合理調(diào)配閑置帶寬資源進行上網(wǎng)訪問。
當(dāng)然,也有的局域網(wǎng)路由器流量控制功能操作起來更簡單,網(wǎng)絡(luò)管理員只要為每個端口提供不同級別的帶寬大小選項即可。例如,使用TLR4000系列路由器來組網(wǎng)時,網(wǎng)絡(luò)管理員可以將路由器連接端口的帶寬大小設(shè)置為128K,256K,512K,1M,2M,4M,8M等級別,以實現(xiàn)限制用戶上網(wǎng)訪問速度的目的。
圖3 流量控制頁面
對于普通終端用戶來說,用戶能通過限制所有網(wǎng)絡(luò)端口的方法,來保護終端計算機的運行安全,因為普通用戶根本不必讓自己的終端計算機對外提供任何網(wǎng)絡(luò)服務(wù)。而對于對外提供網(wǎng)絡(luò)服務(wù)的局域網(wǎng)服務(wù)器來說,網(wǎng)絡(luò)管理員只要將必須用到的網(wǎng)絡(luò)端口開放,比如只開放WWW服務(wù)的80端口、FTP服務(wù)的21端口、郵件服務(wù)的25、110端口等,其他的網(wǎng)絡(luò)端口則全部限制訪問。
對于基于Windows系統(tǒng)的服務(wù)器主機來說,網(wǎng)絡(luò)管理員不需要在其中安裝任何其他控制軟件,只要簡單地利用“TCP/IP篩選”功能,就能輕松限制訪問特定服務(wù)器的端口號碼。具體操作為:依次點擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令,進入網(wǎng)絡(luò)連接列表界面,用鼠標右鍵單擊其中的本地連接圖標,從彈出的右鍵菜單中,選擇“屬性”命令,進入本地連接屬性對話框。
選擇“此連接使用下列項目”位置處的“Internet協(xié)議(TCP/IP)”選項,按下“屬性”按鈕,展開“Internet協(xié)議(TCP/IP)”屬性對話框,單擊“高級”按鈕。在其后彈出的TCP/IP協(xié)議高級設(shè)置框中,點擊“選項”標簽,選中“TCP/IP篩選”標簽,展開TCP/IP篩選屬性框,選中“啟用TCP/IP篩選”復(fù)選框,再將左邊TCP端口上的“只允許”選上。這樣用戶就能根據(jù)實際情況,來自行添加或刪除需要的TCP協(xié)議或UDP協(xié)議端口了。添加或者刪除操作結(jié)束后,需要及時重新啟動服務(wù)器系統(tǒng),服務(wù)器的特定端口才能被保護起來。
單位中的一些重要共享資源,有時只能給領(lǐng)導(dǎo)之類的特定用戶訪問,其他普通用戶則不允許訪問。雖然通過給共享文件夾添加訪問口令的方法,能實現(xiàn)限制訪問共享資源目的。但是面對一些有點技術(shù)手段的用戶來說,這種方法可能沒有任何作用,因為他們會通過破解密碼的方法,來偷偷訪問局域網(wǎng)中的重要共享資源!要達到徹底限制訪問共享資源的目的,完全可以利用免費的天網(wǎng)防火墻或系統(tǒng)防火墻,來定制安全規(guī)則,指定共享文件夾只能讓局域網(wǎng)中某一臺固定的計算機訪問。以天網(wǎng)防火墻為例,只要將其下載安裝到共享資源所在的計算機系統(tǒng)中,開啟它的運行狀態(tài),打開IP規(guī)則設(shè)置界面,雙擊“允許局域網(wǎng)的機器使用我的共享資源”選項,切換到IP規(guī)則修改對話框。在這里,先將“數(shù)據(jù)包方向”選項調(diào)整為“接收或發(fā)送”,之后依次點擊“對方IP地址”、“指定地址”選項,同時在后面的“地址”位置處,輸入單位領(lǐng)導(dǎo)所用計算機的IP地址,確認后保存設(shè)置操作。這樣,即使沒有為共享資源設(shè)置訪問密碼,特定的共享資源也只有單位領(lǐng)導(dǎo)那臺計算機才能訪問到,局域網(wǎng)中的其他計算機都無法訪問到!