史成寶

管理投資不高的局域網(wǎng)是件很困難的工作。仔細分析網(wǎng)絡現(xiàn)狀，匯集有限的資金投在網(wǎng)關設備建設上，通過精心部署，挖掘網(wǎng)關設備的管理功能，使局域網(wǎng)管理實用有效。

局域網(wǎng)管理的主要目的是在保障各用戶數(shù)據(jù)安全和提供穩(wěn)定通暢的網(wǎng)絡通道，具體的工作有網(wǎng)絡用戶資料建立、設備接入管理、配置交換與路由設備、劃分VLAN、管理各種應用服務器、設置用戶訪問權限、備份各種數(shù)據(jù)、查殺病毒、控制下載流量等。當今建立局域網(wǎng)的目的無外乎是依照不同的權限共享局域網(wǎng)軟、硬件資源和共享上網(wǎng)。通過對網(wǎng)絡交換機的配置部署，實施劃分VLAN、設置各用戶的訪問權限、流量控制、地址分配、地址綁定等管理項目，使安全使用網(wǎng)絡得以保障。

隨著用戶數(shù)量增加、新添各種網(wǎng)絡應用等原因，很多局域網(wǎng)需要擴充。但由于資金、采購、招標評定、產品更新等方面的原因，新增設備很可能與原有設備不相同，甚至品牌也無法統(tǒng)一，在部署與管理上難以協(xié)同一致，如交換機的配置命令不同、支持協(xié)議有差異等。有些無法基于Web頁進行遠程管理，或只支持最簡單的網(wǎng)絡管理，若網(wǎng)絡由不同的設備混合而成且其中有不可網(wǎng)管的交換設備，配置與管理就相當棘手，時常導致總體規(guī)劃無法得以順利實施，使局域網(wǎng)出現(xiàn)管理盲區(qū)，數(shù)據(jù)安全和網(wǎng)絡通暢令人擔憂。

人所皆知，互聯(lián)網(wǎng)的高速發(fā)展幾乎改變了每個人的工作與生活方式，也成為許多人賴以生存的特殊空間。筆者從工作中發(fā)現(xiàn)局域網(wǎng)用戶對能否正常訪問互聯(lián)網(wǎng)極度關注，而局域網(wǎng)用戶訪問互聯(lián)網(wǎng)必須通過網(wǎng)關設備，注重局域網(wǎng)網(wǎng)關設備的建設選型。強化和挖掘其管理功能，可以彌補局域網(wǎng)內低端交換設備的管理缺憾，在一定程度上達到有效網(wǎng)絡管理的目的。

局域網(wǎng)網(wǎng)關設備的種類、特點與可實施的網(wǎng)絡管理功能

可共享上網(wǎng)的服務器（或高配置計算機）通常在局域網(wǎng)的某臺計算機或服務器上安裝相關軟件實現(xiàn)內外網(wǎng)地址轉換（NAT）、設置緩沖區(qū)域（Cache），提高訪問速度和效率。根據(jù)網(wǎng)絡管理的需要，可在機器上部署認證機制，安裝網(wǎng)絡管理軟件，對通過的數(shù)據(jù)包進行審核或限制等。自己選用合適的代理或網(wǎng)關軟件，如WinGate、CCProxy、Microsoft ISA、WinProxy，實施相關策略，擴展網(wǎng)絡管理功能。也可在機器上安裝地址映射（端口映射）軟件，將內網(wǎng)地址映射到外網(wǎng)，使外網(wǎng)可以訪問建于內網(wǎng)中的Web服務器等。優(yōu)點是可自由安裝軟件，管理策略改變便捷；缺點是易感染病毒和中木馬遭攻擊等，穩(wěn)定性較差，對網(wǎng)絡管理員技術要求較高，管理維護時間較多。

CCProxy是國內最流行、下載量最大的國產代理服務器軟件，代理共享上網(wǎng)和客戶端代理權限管理。只要局域網(wǎng)內有一臺機器能夠上網(wǎng)，其他機器就可通過這臺機器上安裝的CCProxy代理共享上網(wǎng)。支持瀏覽器代理、郵件代理、游戲代理等，可以控制客戶端代理上網(wǎng)權限，針對不同用戶合理安排上網(wǎng)時間，監(jiān)視上網(wǎng)記錄，限制不同用戶帶寬流量，多種文字界面，具有服務器IP綁定、詳細的日志分析、加強過濾（端口屏蔽、站點過濾）、更強大的賬號管理(組管理、使用時間)，及遠程Web方式賬號管理等功能。設置簡單，功能強大，適合中小企事業(yè)共享代理上網(wǎng)。

ISA（Internet Security and Acceleration）Server是Microsoft開發(fā)的最新代理服務器和防火墻產品，同時向網(wǎng)絡用戶提供針對應用系統(tǒng)和數(shù)據(jù)的快速和安全的遠程訪問能力，經(jīng)過細心部署Web緩存可大幅度提高訪問Internet的速度、限制P2P與聊天等應用，強大的功能與易用性為網(wǎng)絡管理者提供了近乎完美的解決方案。ISA Server也因此成為很多用戶，特別是基于Microsoft網(wǎng)絡的企事業(yè)首選的代理服務器和防火墻產品。

路由器路由器是一種連接多個網(wǎng)絡或網(wǎng)段的網(wǎng)絡設備，其工作過程即數(shù)據(jù)的轉發(fā)發(fā)生在OSI參考模型的第三層即網(wǎng)絡層，通過路由決定數(shù)據(jù)的轉發(fā)。它能將不同網(wǎng)絡或網(wǎng)段之間的數(shù)據(jù)信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數(shù)據(jù)，從而構成一個更大的網(wǎng)絡。路由器主要是用來連通不同的網(wǎng)絡，其次是選擇信息傳送的線路，使數(shù)據(jù)傳輸?shù)酶旖?。由于路由器配置完成后不用?jīng)常修改，出現(xiàn)問題只需重新啟動便可恢復正常，因此受到廣泛采用。

通過設置路由器的訪問控制列表可加強網(wǎng)絡的安全性；查看路由器中的ARP表可檢查網(wǎng)絡中是否有ARP地址欺騙病毒。有些路由器還有IP-MAC綁定功能，具有一定的管理功能。早期的產品初期使用配置較麻煩，近年來很多廠家推出可基于Web頁面進行管理的產品，增加端口（地址）映射、簡易防火墻、虛擬服務器、流量控制等功能，網(wǎng)絡管理員可以直觀地進行修改配置，降低使用難度，得到眾多局域網(wǎng)（如網(wǎng)吧）管理者的青睞。

2008年底市面上路由器的參考價格為百元左右（SOHO）、1 000多元（用戶數(shù)在100以內）、4 000元（用戶數(shù)在300左右）、萬元以上（用戶數(shù)在500以上）。早期路由器產品管理功能較弱，近年來多家廠商的新產品增加了很多管理功能，但從總體上看產品管理功能升級機會較少。由于低端產品價格便宜且較穩(wěn)定，小型局域網(wǎng)選用幾率很高；高端產品主要用于骨干網(wǎng)絡，如運營商城域網(wǎng)等。

硬件防火墻硬件防火墻由軟件和硬件設備組合構成，架設在內外網(wǎng)之間、專網(wǎng)與公共網(wǎng)之間。使用防火墻的目的是在網(wǎng)絡連接界面建立安全機制，對進出的數(shù)據(jù)流進行審計和控制，只有符合安全策略預先設定的數(shù)據(jù)流才能通過。防火墻包過濾、防黑功能強大，功能精髓主要在其研發(fā)的軟件里，絕大多數(shù)產品可以基于Web頁面進行配置部署。通過建立主機、范圍、子網(wǎng)、地址組，可實施阻斷、網(wǎng)站過濾、地址轉換等策略；具有認證、IP-MAC綁定等功能，可將內部網(wǎng)絡劃分成幾個區(qū)域，授權某些用戶可以訪問的機器或區(qū)域。有些產品還提供流量控制、帶寬分配、P2P下載限制等諸多實用功能，提升網(wǎng)絡管理的力度。

2008年底市面上主流硬件防火墻的參考價格為4 000元（用戶數(shù)在30左右）、1萬元以內（用戶數(shù)在100以內）、1.5萬元（用戶數(shù)在300左右）、10萬元以內（用戶數(shù)在500左右，支持VPN）。硬件防火墻管理功能較強，升級機會較多，價格適中，維護方便。

統(tǒng)一威脅管理設備（UTM）通常指由軟件、硬件和網(wǎng)絡技術組成的以安全特性為用途的設備，發(fā)展趨勢是將網(wǎng)絡防火墻、網(wǎng)絡入侵檢測/防御、網(wǎng)關防病毒、上網(wǎng)行為管理等多種安全特性集成于一個硬件設備里，形成標準的統(tǒng)一威脅管理平臺。

近年來市場推出的智能網(wǎng)關、上網(wǎng)行為管理等設備，管理功能最為強大。不僅具備NAT轉換功能，也有較強的過濾與入侵檢測功能；能使用瀏覽器登錄后進行詳細的部署，對局域網(wǎng)用戶對外網(wǎng)的訪問進行全面的管理；可以對用戶進行的訪問反動網(wǎng)站、瀏覽不良站點、與工作無關的聊天、沉迷網(wǎng)絡游戲、炒股、在線視頻、FTP上傳、電子郵件、傳播不良信息、惡意占用帶寬下載等行為進行審核或限制。有些功能強大的產品還內置日志記錄硬盤，可以對在聊天室、BBS、貼吧、博客等交互欄目所發(fā)信息進行明文顯示并長期記錄留存，實現(xiàn)較為完善的網(wǎng)絡訪問行為監(jiān)控，在為局域網(wǎng)用戶提供穩(wěn)定高效可管理的訪問通道的同時，也保護網(wǎng)絡中敏感數(shù)據(jù)的安全，極大地提高網(wǎng)絡管理的實效，是現(xiàn)階段網(wǎng)絡管理的利器，組建局域網(wǎng)或更新網(wǎng)關設備的首選。

2008年底有類似管理功能的設備參考價格為2萬元以內（用戶數(shù)在100左右）、4萬元以內（用戶數(shù)在300左右）、10萬元左右（用戶數(shù)在500左右）。價格偏高，經(jīng)費充裕的用戶可考慮選用。

由于此類產品在網(wǎng)絡管理中至關重要，應具有較高的硬件配置和合理的軟件設計。但從一些用戶反映的情況了解到，有的商家為了獲取訂單，在推銷一些配置較低的產品時會夸大其詞，在只有少數(shù)用戶和僅啟用部分管理功能的條件下進行低負荷演示，以騙取用戶的信任。一旦用戶全面使用后極易發(fā)生網(wǎng)絡擁塞、宕機等嚴重事件。因此，網(wǎng)絡管理者在選用此類產品前，必須逐一對各品牌產品在啟用全部管理功能、多種需求、滿用戶重負荷狀態(tài)下，認真試用并精確記錄測試數(shù)據(jù)，經(jīng)分析對比后慎重選用。

充分使用網(wǎng)關設備的管理功能，進行有效網(wǎng)絡管理的實例

某中學有相隔600米的2個校區(qū)，通過光纖相互連通，校園網(wǎng)早期選用的核心交換設備是國外品牌，未購置昂貴的網(wǎng)管軟件，三層交換也需升級軟件后方可支持，劃分VLAN也很麻煩。隨著用戶的增多，7年來通過各種形式先后添置3個品牌的多個系列的網(wǎng)絡交換設備。由于資金原因，其中有很多是造價僅千元左右且不可網(wǎng)管的普通交換機，使用雖較穩(wěn)定，管理卻不方便。局域網(wǎng)網(wǎng)關設備原來采用的是路由器，通過建立訪問控制列表、將IP-MAC實行綁定等措施，實現(xiàn)一定程度的網(wǎng)絡管理。

為了加強網(wǎng)絡管理的實效，增配一臺造價1.6萬元的硬件防火墻，以下是具體管理措施。

建立安全區(qū)域硬件防火墻有4個網(wǎng)絡接口，分別配置為：1）外部：電信；2）內部：南校區(qū)、北校區(qū)、服務器區(qū)。

建立用戶及地址資料為每臺計算機建一主機名，并對應于指定的IP地址，實施IP-MAC地址綁定；建立不同的地址范圍，根據(jù)用戶的性質統(tǒng)一賦予相關的權限和實施策略；建立教師、教室、網(wǎng)管、可下載、處室等不同的地址組，將各主機添加到對應的地址組內。

設定時間段設定上班、下班、周末等時間段，便于實施相關控制。

自定義服務在系統(tǒng)內已定義的服務外，根據(jù)自己網(wǎng)絡應用的需要自定義服務，選擇不同的協(xié)議和端口，方便通過地址或端口映射實現(xiàn)外網(wǎng)可訪問內部主機。

實施防火墻策略在系統(tǒng)已定義的阻斷策略外，添加自定義的阻斷策略，有效限制黑客攻擊，遏制木馬攻擊；根據(jù)需要添加訪問控制規(guī)則，設置不同區(qū)域里的主機之間的訪問權限，設置主機與區(qū)域之間的訪問權限，其效果類似于在交換機上劃分VLAN與建立路由；建立地址轉換規(guī)則，實現(xiàn)如通過公網(wǎng)地址的80端口訪問到地址為192.168.0.2的內網(wǎng)機器上使用8000端口發(fā)布的網(wǎng)站，通過公網(wǎng)地址的9500端口訪問到地址為192.168.5.2內網(wǎng)機器上8650端口發(fā)布的網(wǎng)站；使用公網(wǎng)地址，通過遠程桌面連接到內網(wǎng)某一主機，實施遠程控制等。

啟用內容過濾建立過濾對象，選定關鍵字、填寫URL；設定過濾策略，封堵用戶訪問不良網(wǎng)站；通過應用程序識別進行過濾與限制，在上班期間限制軟件下載，有效阻止部分用戶濫用網(wǎng)絡惡意下載的行為，保障網(wǎng)絡通暢。

其他管理功能將ARP請求限制在每秒500個，減少ARP地址欺騙病毒的危害；通過設定用戶的并發(fā)連接數(shù)與接入認證等措施，實現(xiàn)對用戶的全面管理；啟用帶寬管理，實施流量控制，有一定的成效；記錄防火墻運行日志、設置報警方式，全過程監(jiān)控網(wǎng)絡運行狀態(tài)；開放公網(wǎng)對硬件防火墻的訪問權限，賦予網(wǎng)管組成員管理權限，實施全方位管理；提供網(wǎng)絡下載服務，由信息中心安排在校園網(wǎng)輕負荷時段開展下載作業(yè)，滿足用戶提出的合理下載需求。

通過挖掘網(wǎng)關設備潛力，充分使用硬件防火墻的管理功能，在低成本建造的局域網(wǎng)中有效地開展網(wǎng)絡管理，為學校教育教學提供優(yōu)良的網(wǎng)絡環(huán)境。

（作者單位：南京市雨花臺中學）