借助于组策略的应用,治理员可以通过域控制器,让系统自动而高效地完成许多重复、繁琐的系统治理与安全治理工作,提高网络治理工作的效率和网络的安全性,保持系统和网络的稳定运行 。
借助交换机实现访问限制
交换机非凡是接入层交换机作为客户端连接网络的接口和网络传输的通道,在限制客户访问时起着非常重要的作用 。交换机中的访问限制可以概括为3个方面:限制非授权用户访问网络,包括802.1x身份认证、安全端口、MAC地址绑定和禁用/启用端口;限制用户滥用网络,包括时间访问限制、网络协议和端口访问限制、IP/MAC地址访问限制和连接带宽限制;网络用户的隔离,包括VLAN(Virtual LAN,虚拟局域网)访问限制、PVLAN(专用虚拟局域网)访问限制和Trunk中继访问限制 。下面给出其中几种常用的访问限制方法 。
基于端口的传输限制 借助对端口传输控制的配置,既可以有效杜绝广播风暴对整个网络的冲击,保证网络的正常通信,又可以拒绝未授权的计算机接入网络,限制某个端口接入计算机的数量,保证网络的接入安全,避免网络被个别用户滥用 。
基于VLAN的访问限制 由于位于不同VLAN中的计算机,就像真正位于不同的物理网络一样,彼此之间无法直接通信,而必须借助三层交换机才能实现 。因此,将不同部门、甚至不同权限的计算机划分至不同的VLAN,并在三层交换机中对VLAN的访问进行限制,即可实现完美的网络客户区域控制 。当局域网内的计算机达到一定数量后(通常限制在100~150台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害 。VLAN另一个很大的优势是提高了网络安全性 。由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接相互访问 。因此,通过划分VLAN,并在Trunk中限制答应通信的VLAN,就可以在物理上防止某些非授权用户访问敏感数据 。
基于列表的访问限制 访问控制列表(Access Control List,ACL)是一种非常重要的访问控制技术,被广泛应用于路由器和三层交换机之中 。借助ACL技术,可以有效地控制用户对Internet的访问,从而最大限度地保障网络安全,杜绝蠕虫病毒在网络中的传播,并屏蔽P2P、即时通信等软件,保证企业网络不再被滥用 。ACL技术的原理是在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口和目的端口等,并根据预先定义好的规则对数据包进行过滤,从而达到访问控制的目的 。
基于端口的身份认证 基于端口的网络访问控制使用局域网(LAN)基础设施的物理特征来验证连接到LAN端口的设备,并禁止访问身份验证进程已经失败的那个端口 。IEEE 802.1x身份验证可以用于对有线以太网和无线IEEE 802.11网络进行网络的身份验证 。IEEE 802.1x通过提供对集中式用户标识、身份验证、动态密钥治理和计费的支持来提高安全性和部署 。
网络客户端资产治理
Microsoft Systems Management Server(以下简称SMS)2003是微软推出的用于中小型企业资产治理、软件产品更新、操作系统部署和远程治理的一套企业级的治理软件(如图1所示) 。它的主要功能包括:统计企业内部的硬件系统和软件系统清单,并生成相关报表,对客户端的计算机软硬件进行实时的监控和治理;对MSI格式的软件包进行批量分发,并定期进行软件包的维护更新,确保用户使用的是最新版本;利用其自带的远程控制功能,对于安装出现问题的用户进行远程除错 。
图1“Microsoft Systems Management Server 2003”界面
推荐阅读
- 局域网ARP协议和欺骗技术及其对策
- 虚拟局域网技术VLAN的管理与测试
- 在局域网内部实现MSN通讯服务
- 跟我学PPStream局域网实现共享
- 马鹿的饲养管理与鹿茸的收获
- 做好局域网中的故障查找与排除
- 避免虚拟局域网可能带来的灾难
- 如何进行局域网传输介质的选择
- 局域网与广域网接口电缆的标准
- 教您架设局域网软件更新服务器