博文
选择网管软件的关键着眼点(2009-03-31 14:01:00)
摘要:当前国内网络管理软件日渐成熟,网管可选择的网管品牌也更为丰富。但是如何从中选择真正适合本单位网络管理需要的网管软件呢?笔者以为,应该首先从以下几个方面加以选择:
1、 明白自己单位网络管理的主要需求。选择网管软件主要用来配合网管对本单位的局域网进行管理。这里上网行为分为两个主要方面,一个方面就是网络行为的管理,就是局域网的电脑使用者的上网行为,如网页浏览、P2P下载、普通下载、占用网络带宽的情况、使用股票软件的情况、玩网络游戏以及更改局域网IP地址等等行为,如果企业主要是管理这些上网行为,那么就可以选择那些主要用来管理局域网上网行为的网络管理系统,并且在选择上网行为管理系统的时候一定要着眼这种网络管理系统部署的简单性、功能的有效性等等。如果要求部署简单,那么最好选择B/S架构的软件,这种软件只需要在局域网的一台服务器上安装,局域网的其他电脑都不需要安装,从而可以节省网管的工作,维护起来也较为方便;而如果从功能的实效性来看,由于象股票软件、网络游戏、网页浏览的封堵较为简单,但是针对于那些P2P软件,如BT、电驴、迅雷、超级旋风、酷狗、wagaa等等采用复杂的P2P协议进行传输,并且一些聊天软件,如QQ、skype等等也采用加密的P2P协议进行传输,所以封堵较为困难。网管人员在选择网管软件时一定要仔细试用这些功能,确保可以实现,防止买了监控软件却无法实现相应的控制功能。同时,在采购网络管理软件的时候,不要盲目的认为硬件监控系统就一定比软件监控产品好,其实很多硬件监控系统配置还不如PC的配置高,运行监控软件的时候不能很好地提升效率,而且硬件监控系统容易损坏,维修更为麻烦,此外,硬件监控系统其实也是将监控软件安装到硬件的监控系统里面,所以和纯软件的监控软件安装在PC上没有什么区别,同时,硬件的监控系统收费较高,会增加企业采购网管软件的成本。
2、 限制各种聊天软件。当前国内聊天软件也十分多,很多企事业单位的员工一上班就打开QQ、msn等聊天软件进行聊天,这些聊天内容大多数是和工作无关的事情。这些聊天行为占用了员工大量的工作时间,降低了工作效率,也背离了网络资源使用的初衷。同时,通过这些聊天软件,如QQ、MSN、SKYPE等聊天软件可以轻松地将企业的商业机密传输到外面去,从而给企业的经营带来巨大的风险。同时,这些聊天软件由于采用了多......
网络监控软件使用(2009-03-31 09:41:00)
摘要:一、IPHelper v3.5 绿色版 软件大小 246 KB 软件类别 国产软件/网络辅助 运行环境 Win2003, WinXp, Win2000, Nt, WinMe, Win9x 授权方式 免费版 下载地址:http://www.crsky.com/soft/6876.html你已经厌倦了Windows设置网络配置繁琐的步骤了吗?你希望你的笔记本能更方便快捷的接入各个局域网吗?你可以试试IPHelper,它能快速的更改你的网络配置,很方便的实现在不同网段内IP地址等配置的切换。而且它是一款免费的绿色软件,小巧实用,特别适用于移动办公用户和需要经常在不同网段间切换的用户。
二、ByteOMeter v1.2.0 汉化版 软件大小 1.2 MB 软件类别 汉化软件/网络辅助 运行环境 Win2003, WinXp, Win2000, Nt, WinMe, Win9x 授权方式 特别版 软件语言 简体中文 下载地址:http://www.crsky.com/soft/6740.html一款功能强大的带宽测试和监控软件,它可以测量和显示出你网络的所有流量,可以创建网络上所有计算机的流量的统计表格,测量和显示所有电脑从 Internet 下载和上传的流量。
三、局域网超级工具(NetSuper) v2.1 软件大小 1.26 MB 软件类别 国产软件/网络辅助 运行环境 Win2003, WinXP, Win2000, NT, WinME, Win9X 授权方式 共享版 下载地址:http://www.crsky.com/soft/999.html(1)搜索局域网内的所有活动的计算机,并将显示这些计算机的IP地址,所属的域或者工作组.(2)搜索指定的某个计算机的共享资源.(3)搜索所有计算机的所有共享资源.(4)打开某个指定的计算机.(5)打开某个指定的共享目录.(6)将某个指定的共享目录映射到本地磁盘(映射网络驱动器).(7)将搜索到的计算机列表导出到文本文件,一目了然.(8)将搜索到的共享资源列表导出到文本文件.(9)搜索SQL Server服务器,将局域网中的所有的活动的SQL Server服务器搜索出来.(10)搜索局域网中的所有的打印服务器.(11)增强功能:将局域网中的所有服务器都搜索出来.(12)给指定的计算机发送消息.(13)给指定的某个域或者工......
嗅探原理与反嗅探技术(2009-03-18 17:20:00)
摘要:
一.嗅探器的基础知识 1.1 什么是嗅探器?
嗅探器的英文写法是Sniff,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。
可是,计算机直接所传送的数据,事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据, 嗅探器也就必须能够识别出那个协议对应于这个数据片断,只有这样才能够进行正确的解码。
计算机的嗅探器比起电话窃听器,有他独特的优势: 很多的计算机网络采用的是“共享媒体"。也就是说,你不必中断他的通讯,并且配置特别的线路,再安装嗅探器,你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”(promiscuous mode) 。 尽管如此,这种“共享” 的技术发展的很快,慢慢转向“交换” 技术,这种技术会长期内会继续使用下去, 它可以实现有目的选择的收发数据。
1.2嗅探器是如何工作的
1.2.1如何窃听网络上的信息
刚才说了,以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。
正是因为这样的原因,以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。
嗅探程序正是利用了这个特点,它主动的关闭了这个嗅探器,也就是前面提到的设置网卡“混杂模式”。因此,嗅探程序就能够接收到整个以太网内的网络数据了信息了。
1.2.2什么是以太网的MAC地址
MAC:Media Access Control.
由于大量的计算机在以太网内“共享“数据流,所以必须有一个统一的办法用来区分传递给不同计算机的数据流的。这种问题不会发生在拨号用户身上,因为计算机会假定一切数据都由你发动给modem然后通过电话线传送出去。可是,当你发送数据到以太网上的时候,你必须弄清楚,哪台计算机......
VPN知识大全(2009-03-04 17:33:00)
摘要:VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。 虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。[编辑本段]VPN的分类方案 针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。[编辑本段]VPN需求及可解决方案 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而......
中小企业办公网维护点滴谈(2009-03-04 17:30:00)
摘要:
1、在单位局域网的使用过程中,常常会出现“不通”现象,也许是其中几台机器无法连通(通信),也许是整个网络无法工作。当然,这也要看你的网络的拓朴结构是什么类型的。
当出现网络不通的现象时,首先检查各连入网络的机器中网卡设置是否正常,这通过检查“控制面板”、“系统”、“设备管理”、“网络适配器”有无中断号及I/O地址冲突(最好将各台机器的中断设为相同,以便于对比),直到网络适配器的属性中出现“该设备运转正常”,并且在“网上邻居”中至少能找到自己,这说明网卡的配置没有问题。
2、当某台机器无法上网时,第一步要确定网线没有问题。这可以通过替代的方法来解决。然后使用替代的方法确定网卡是不是有问题。在网线和网卡本身都没有问题的情况下,再看一看是不是软件设置方面的原因。
另外,再检查驱动程序本身是否损坏,如果没有损坏,看看安装是否正确。如果这些可以判断正常,设备也没有冲突,就是不能连入网络,这时候可以将网络适配器在系统配置中删除,然后重新启动计算机,系统就会检测到新硬件的存在,然后自动寻找驱动程序再进行安装,笔者在安装Windows98对等网过程中曾多次运用此方法解决“上不了网的问题”。
3、防火墙的设置是中小企业办公网络维护中关键的一个环节。
内、外网间的屏障方案:当单位内部网与公共网络连接时,内部网络将直接暴露在来自世界各个角落的黑客的攻击之下。这种情况下必须使用防火墙对内部网络进行保护。防火墙的功能是隐藏内部网络结构;限制外部网络用户对内部主机的访问;限制内部用户对Internet的访问。建立局部安全区方案:网络安全的隐患不仅仅来自外部网络,事实上在对企业或政府部门中数据的丢失或服务器的破坏多数是由内部人员造成的,因此即使用户的网络没有连接到Internet,也应该对内部的关键业务部门的网络进行保护。单一主机防护方案:在企业或政府部门中,某一个别服务器系统往往具有特别重要的地位,保存大量关键数据或资料。这些服务器上的数据发生丢失或系统被破坏,将对用户造成无法挽回的损失。因此利用防火墙对关键主机进行隔离和保护,并对出入该服务器的数据进行监控。
4、随着企业信息化建设的深入,企业内部网上的信息将越来越丰富,企业数据对领导决策及企业发展将起到越来越重要的作用,一旦由于意外而丢失数据,将给企业造成巨大的损失。
灾难恢复措施在......
关于IP-MAC地址绑定的交换机设置问题(2009-03-04 17:26:00)
摘要:
IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。
虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。
在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。
为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进......
路由器防火墙配置命令(2009-03-04 17:24:00)
摘要:
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一......
如何用路由器设置来限制访问及控制上网速度?(2009-03-04 17:23:00)
摘要:
P2P软件与TP-LINK宽带路由器P2P全称peer-to-peer,可定义为:以非集中方式使用分布式资源来完成关键任务的一类系统和应用。定义中有两点解释一下:1、资源――包括计算能力、数据、网络带宽等;2、关键任务――分布式计算、文件共享、平台服务、协同通信等。对一般用户群体来说,使用得最多的当然是文件共享。这类软件有几种典型代表:BT、电驴、迅雷、QQ直播、PPStream等。
下图是一个混合型的P2P结构图,最常用的一种:
图1 混合型P2P结构图
P2P软件在下载(download)的同时,也在为其他用户提供上传(upload),所以不会随着用户数的增加而降低下载速度。简单的说就是:下载的人越多,速度越快。
接着,就图1来看看BT具体的工作原理:首先,有个tracker服务器,提供种子下载,同时把一个原始文件分成了Z个部分,A在服务器随机下载了第N个部分,B在服务器随机下载了第M个部分,这样A的BT就会根据情况到B的电脑上去拿B已经下载好的M部分,B的BT就会根据情况去到A的电脑上去拿A已经下载好的N部分,这样就服务器端得负荷就比较小,同时也加快了用户方(A、B)的下载速度,效率也提高了,更同样减少了地域之间的限制。比如说C要连到服务器去下载的话可能才几K,但是要是到A和B的电脑上去拿就快得多了。所以说用的人越多,下载的人越多,大家也就越快。而且,在你下载的同时,你也在上传(别人从你的电脑上拿那个文件的某个部分)。
其他P2P软件的原理都是类似的。
BT等软件在下载的同时又作为种子为其他人提供下载服务,由于ADSL上行带宽最大只有512K,所以使用P2P软件后更容易造成局域网出口上行带宽的拥塞,但是任何上网操作均需要上行/下行两个方向的流量,如果上行带宽被占满,就会影响到所有用户的使用,表现为速度变慢。所以,这里建议使用BT的时候,上传速度不宜设置得太大;否则,会影响下载速度的。原因就是上传速度过大,会导致上行带宽阻塞。
从P2P软件应用来看,有人喜,也有人忧。喜的是可以免费下载海量的文件;忧的是,网络带宽被大量占用,影响了网络性能。那么,为了更好的使用P2P软件,路由器该如何设置呢?
第一、 接了路由器之后,BT下载速度变慢,怎么办?
对这种情况,您只需要在“转发规......
网络低俗之风泛滥,网络监管刻不容缓(2009-03-04 17:22:00)
摘要:互联网自从诞生以来,人类的生活生产得到了革命性的突破。事情总是有其两面性,《双城记》的开头说:这是最好的时代,这是最坏的时代;这是智慧的时代,这是愚蠢的时代。把这句话用来比喻网络时代也十分恰当。网络也是一把双刃剑,灯光迷离之下,魔鬼与上帝同在。当前网络低俗之风日益泛滥。互联网为人类创造了一个前所未有的虚拟空间,那同时也为低俗内容的出现铺好了温床。粗鲁的宣泄,“黄、赌、毒”等等信息充斥互联网的很多角落。2008年6月9日,一个穿着“保护我”马甲的人,在中华网的论坛《国际观察》发表了一篇题为“网络阴谋(低调发表)”的文章,揭发凯迪网络公司是日美的特务组织,总经理纠集了一批“网特”攻击某些发言者,诋毁中国文化,歪曲丑化中国政府和中国人的形象,是有组织、有纲领,有分工的行动,故事编得有鼻子有眼。此贴被置顶,被广为传播,给凯迪网造成很大的压力。凯迪网起诉中华网,对于发布这样的信息没有履行审查的责任;现在已经法院一审判决,由中华网向凯迪网公开发表声明赔礼道歉,并象征性赔偿名誉损失1元。实质上,凯迪网受到的是政治攻击。如果把凯迪网的损失和它得到的赔偿放到天枰上的话,那一定是严重失衡。“保护我”这个网友利用了互联网快速得信息传播速度广度,这并不是人类创造互联网的本意,类似事件层出不穷。另外“黄、赌、毒”这类信息的泛滥,戕害了太多缺乏自制力的青少年,他们沉溺于网络,甚至网络犯罪。青少年是社会的栋梁,是国家民族的希望,危害他们就等于危害社会和国家。 中国网民总数自去年6月首次超过美国成为“世界第一”之后,每天都还在增长,中国的网络管理形势更加紧迫。为此,国务院新闻办等7部门5日在京召开电视电话会议,部署在全国开展整治互联网低俗之风专项行动。相信国家的管理政策一定能大扫网络低俗之风。除了从政策方面加强管理,一些必要的强制措施也是必要的。笔者推荐用大势至(北京)软件工程有限公司(http://www.grabsun.com/)的聚生网管软件。聚生网管是国内比较有名的网络管理软件。1、真正不需要调整任何网络结构,不需要端口镜像、代理服务器或者HUB,局域网任意一台电脑安装就可以控制整个局域网2、真正可以有效地控制各种P2P工具(P2P下载控制、P2P视频工具),封堵P2P工具为国内网管软件之最3、真正实现对带宽的动态、精确、智能控制,便于管理员实时掌控局域网的网络资源使用状况4、可以对网址浏......
多种软方法解决共享访问故障(2009-03-04 17:20:00)
摘要:
在局域网环境中,与同事或朋友之间通过共享方式相互交流信息是常有的事情;可是在共享访问对方文件夹的过程中,我们常常会遇到一些莫名其妙的访问故障,在排除这些故障时,不少人总会下意识地将故障排除重点“锁定”在网卡、交换机或物理连接线路上。事实上,我们只要不对网卡、交换机之类的网络设备进行恶意“折磨”的话,共享访问操作就不会出现什么“硬”故障,多数故障其实是由于我们平时的操作不当或设置不当造成的,都应该属于“软”故障。对待这些共享访问“软”故障,我们必须从“软”处出发进行针对性应对! 组策略设置不当引起的“软”故障
在相互访问对方共享资源时,如果系统出现“对方网络资源无权访问”的“软”故障时,我们有必要检查一下对方计算机的系统组策略设置,看看对方是否禁止了其他用户通过网络来访问该计算机中的共享资源。在进行这项检查时,可以按照如下步骤进行操作:
首先在Windows系统桌面中逐一单击“开始”、“运行”菜单命令,进入运行对话框,在其中执行“gpedit.msc”字符串命令,打开组策略编辑界面;在该界面的左侧列表子窗口中,用鼠标依次单击“计算机配置”分支下面的“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”子项,然后在“用户权利指派”子项下面,用鼠标双击其中的“拒绝从网络访问这台计算机”选项,打开如图1所示的目标策略属性设置界面,检查其中是否存在guest帐号,一旦发现该帐号存在的话,我们必须立即选中guest帐号并单击“删除”按钮,这么一来Windows系统就可以允许guest用户通过网络访问本地计算机系统中的目标共享资源了。
图1
其次回到组策略主窗口,在“计算机配置”分支下面,用鼠标逐一双击“Windows设置”、“安全设置”、“本地策略”、“安全选项”项目,然后在“安全选项”下面找到“网络访问:本地帐户的共享和安全模式”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“属性”命令,进入到如图2所示的属性设置界面,看看该界面中的“经典:本地用户自己的身份验证”项目此时是否处于选中状态,倘若发现该项目还没有被选中时,我们必须立即重新选中该选项,并单击“确定”按钮结束该选项的属性设置操作;
图2
下面,我们还需要再次依次展开“计算机配置......