面对如今愈来愈庞大的网络,各种网络威胁也应运而生。如今局域网网络维护人员也因为很多原因使得工作量大大的增加。面对如今越来越复杂的网络,局域网网络维护人员要如何才能够更加有效的对局域网进行管理呢?这里就如何加强局域网网络安全与提高局域网网络维护效率进行探讨。
一、当前局域网网络安全现状
主要的网络安全威胁有以下几方面:自然灾害、意外事故;计算机犯罪;人为行为,比如使用不当,安全意识差等;“黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
对于一个企业来说网络安全问题具体表现在以下的一些方面。一是网络共享与恶意代码防控。网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。二是信息化建设超速与安全规范不协调。网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。三是信息产品国外引进与安全自主控制。国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。这是我国的一种普遍现象。四是IT产品单一性和大规模攻击问题。信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生。五是IT系统复杂性和漏洞管理。多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。六是网络攻击突发性和防范响应滞后。网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。这就导致网络攻击很难被防范。七是内外网络隔离安全和数据交换方便性的矛盾。这两者之间是必然会存在矛盾的。由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。八是安全岗位设置和安全管理策略实施难题。在企业中即使网络管理人员有再好的建议,也不一定能够得到上级部门的响应。
二、对网络问题进行防范的管理措施
(一)构建完善的安全防范体系
域网络的安全防范是一个系统的工程,这个该工程并不是仅仅依赖使用各种技术先进的安全设备就能够实现的,它更加注重的是通过正确合理的网络结构设计、规划和组织的整体性。同时还需要制定出严密完善的安全技术规范、管理制度,并且配备高水平且有高度的工作责任心的安全技术人才队伍。
要建立起一个完善的安全防范体系需要做好以下几个方面:建立一个由防火墙、入侵检测系统、防病毒软件、网管软件及其他如过滤系统、桌面管理系统等组成的全方位安全防范系统。
1防火墙系统
防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。在网络的入口部署防火墙是防范来自外部网络攻击最常用的方法。
2入侵检测系统
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。IDS在网络中的位置一般选择在:(1)尽可能靠近攻击源;(2)尽可能靠近受保护资源。这些位置通常在服务器区域的交换机上,Internet接入路由器之后的第一台交换机上,重点保护网段的局域网交换机上。
3过滤系统
现在网络安全产品越来越成熟,部署这些系统时,在INTERET网关上配置硬件的病毒过滤网关,实现全网分布式的病毒防护。但是必须建立起各系统之间的联动,配合使用,这样当一个系统发现问题时其他系统能够立刻响应进行相关的防范。
(二)加强日常维护
进行局域网日常维护时,主要要做好以下几项工作。
确定安全策略。网络安全策略需要事先就制定好,不能够等到发生入侵之后才想起来制定那个策略。
检测防火墙的配置是否正确合理。虽然局域网硬件配置了硬件防火墙,各客户端也配制了软件防火墙。但是其中任何一种防火墙都有可能被攻破,甚至是失去效用。因此,必须要定期进行检查,让防火墙能够正常工作。
及时更防病毒系统。虽然在网关里建立起防病毒机制能够解决一部分问题。但是在企业的整个防病毒战线中,只能够将网关防病毒当作是一种附加的防线,不能够将其作为一个防病毒的主要工具。所以必须要及时的升级防病毒库,以保证其是最新的。
加强服务器建设。服务器是整个局域网的核心,所以必须要加强服务器的安全设置。要及时的删除或者禁用不需要的东西,将服务器安装到最精简的程度(不能够放过必要的安全设置)。删除或者修改设备和软件通常配置的默认用户名密码访问、来宾和匿名账户以及默认共享。
三、提高局域网网络管理效率
在进行网络维护的过程中,我们要从多方面出发,提高局域网网络维护的工作效率。
(一)学会利用“本地连接”,提高网络维护效率
在平时的网络维护过程中,我们会经常与“本地连接”打交道。如此一来网络维护的效率,就与“本地连接”息息相关了。
利用本地连接解决网络访问隐性故障。某局域网中有一台计算机不能正常访问内网中的文件服务器,笔者进入该计算机的“本地连接”属性设置对话框,发现该计算机不但可以正常向外面发送数据信息,而且也能正常从外面接受数据信息,可是该计算机却始终不能访问内网中的文件服务器。经过仔细观察,笔者看到故障计算机的网卡设备信号灯状态有点不正常,这说明网卡的工作状态也是不正常的。笔者通过各种方法都没有检测到问题,最后是通过重新创建了一个网络访问连接解决问题。
利用“本地连接”通透本地网络流量状态。我们可以使用第三方专业工具,来让计算机系统的“本地连接”图标显示更加详细的本地网络流量状态内容,比方说我们可以从网上下载使用“DUMeter”这样的专业工具,来让系统托盘区域处的“本地连接”图标显示更多的网络流量状态信息,成功安装好该专业工具后,“本地连接”图标既可以直观地显示出在任意一个时间段内的本地网络流量大小信息,又能显示出每天、每周或者每月的本地网络流量大小。
利用“本地连接”追踪潜在网络访问错误。当我们选中了“本地连接”图标的“连接后在通知区域显示图标”属性选项后,日后就可以从系统任务栏右下角处的“本地连接”图标上看到各种网络访问状态信息,依照这些信息能够快速追踪到本地系统的网络错误。
(二)即时监控让网络管理效率更高效
在规模较大的局域网环境中,单纯依靠网络管理员手工力量管理、维护网络时,那工作量无疑是相当巨大的,而且网络管理效率也不会高到哪里。因此,我们可以利用工具来对网络进行即时监控,从而减少工作量,例如NetControl工具。网络维护人员可以将自己单位局域网中的所有工作站以及其他重要网络设备全部加入到一个电子拓扑图中,之后NetControl工具会对电子拓扑图中的每一台工作站网络连通状态进行即时、动态监控,并且还会自动将动态监控出来的结果显示出来,从电子拓扑图中就能一眼看出此时局域网网络究竟什么位置发生了连通性故障,这样一来网络维护人员就能快速、高效地解决网络故障了。
(三)利用局域网管理辅助软件提高网络维护效率
要想提高网络维护效率,必然就会必须借助各种辅助软件,例如“网络执法官”、上面所介绍的NetControl。“网络执法官”是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机(本文中主机指各种计算机、交换机等配有IP的网络设备)进行监控;采用网卡号(MAC)识别用户,可靠性高;软件本身占用网络资源少,对网络没有不良影响。软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的网络(支持多网段监控)。
通过网络执法官网络管理人员可以实时记录上限用户并存档备查;利用软件自动侦测未登记主机接入并报警;对各个主机的IP进行限制,防止IP盗用;对各主机的连接时段进行限制。
总之,要提高网络管理效率,减少网络人员的工作量,就必须要事先建立起一套完善的管理机制与网络安全管理机制。并积极的开发或者使用各种方便的网络管理软件,为网络管理人员提供各种方便。