博文

限制上网有妙招(2009-04-27 16:09:00)

摘要:  实现校园网与Internet的连接有很多方法。然而,在校园网管理中又会因为各种原因,要求禁止部分客户机上网,只要求能够在内网中资源共享即可。下面,笔者就想借助我们普遍在用的代理服务器软件Sygate来完成这一工作。 获取目标客户机IP地址 使用Sygate来禁止部分客户机访问Internet,前提是该客户机必须拥有固定IP地址。实际情况是一般网络中的客户机都是采用DHCP动态分配地址的,只有极少数特殊机器采用固定IP。如何解决这个问题呢?目标客户机本身就具有固定IP暂且不说。如果目标机器是动态分配地址的,那么我们首先要给它指定IP。或许大家认为,这也未免太烦琐了吧。把部分机器地址改为固定IP,部分又采用动态地址,不仅工作量大,而且还混乱了原有的管理秩序。这里,笔者给大家介绍另一种方法。原有的客户机不需做任何设置,照样可以分配到固定IP。那就是在DHCP服务器端通过客户机的MAC地址来给客户机强行捆绑固定IP。使用这种方法也有个前提,必须知道目标机器的网卡MAC地址,这个应该说不难。在平时的管理中我们都应做了相应记录。举例:现要对网络中一台原采用动态分配地址、网卡MAC地址为000795e7e74f的客户机(用在演播室)进行捆绑固定IP地址172.18.10.51。登录DHCP服务器,启动DHCP服务。鼠标右击左窗格目录树中的“保留”项,选择“新建保留”。出现“新建保留”对话框(如图1)。其中,保留名称自己定义。IP地址就是我们要给该机器指定的固定地址,这里填写:172.18.10.51。MAC地址这里输入:000795e7e74f。下面的说明项建议和保留名称一样,便于日后管理。 图1到此,点击“添加”就完成一个地址的捆绑。此时,还会出现“新建保留”对话框,如还有机器继续添加,否则点“关闭”按钮结束。现在,在DHCP管理窗口中,就可以清楚地看到刚才的设置。如果对刚才的某些设置还需要更改,只要再用鼠标右击有关“演播室”的保留,选择“属性”,在相应处即可修改。这不,是不是很快就完成了该客户机和IP地址172.18.10.51的捆绑呢。至此,172.18.10.51这个地址其它机器已无法使用。如强行把它指定给另一客户机,则会出现该地址已被保留提示信息。当然,该机器的网卡可不要随便拆卸。 禁止客户机访问Internet 有了固定IP地址,在Sygate......

阅读全文(981) | 评论:0

迅雷、超级旋风、网际快车的协议分析(2009-04-27 15:22:00)

摘要:  协议概述迅雷是深圳市迅雷网络技术有限公司推出的一种基于多资源超线程技术的下载软件,能够连接多点资源同时下载,并支持BT 下载。 迅雷,快车,超级旋风多点下载通讯协议及端口范围迅雷支持HTTP 连接、FTP 连接、MMS 连接、RTSP 连接以及其他代理模式。迅雷查询和下载资源默认利用HTTP 进行多点资源(即候选资源)地连接,通讯端口不固定。迅雷的雷区注册和登录使用的是TCP 5200 和6200 端口。  超级嗅探狗对局域网内迅雷,快车,超级旋风多点下载的管理方案记录迅雷下载的文件名称,并对其流量进行统计出报表。 封堵迅雷下载。(节约局域网内带宽资源和电脑使用资源) 禁止迅雷多点下载,此禁止并不能完全禁止迅雷下载,但是运用此功能后,迅雷下载讲由原来的P2P下载变成普通的WEB下载,它耗用的带宽和机器资源和普通WEB下载一样。 完全禁止,在实现禁止迅雷多点下载的同时,设置超级嗅探狗的"文件下载黑白名单"这样可以完全禁止迅雷的任何形式的下载。 了解更多  支持的产品快车 (   最新支持版本:“3.0beta1”   ) WEB迅雷 (   最新支持版本:“1.13.1.224”   ) 超级旋风 (   最新支持版本:“1.9.260”   ) 迅雷 (   最新支持版本:“5.8.2.515”   ) 通过聚生网管系统,点点鼠标就可以禁止迅雷、禁止超级旋风、禁止网际快车的下载,极为方便!......

阅读全文(1776) | 评论:0

聚生网管控制P2P的原理和方案(2009-04-27 15:19:00)

摘要:在BT协议中有多个不同的角色:        Web服务器:用于发布静态元信息文件�D�D“.torrent        ■终端浏览器:用于查询和获取静态元信息文件        ■静态元信息文件:使用bencoding编码来保存数据,包含发布文件和Tracker信息        ■BT Tracker:对等节点信息的维护者和传输过程的调度者        ■下载者:希望下载文件的需求者,在下载过程中同时上传已经下载的部分        ■原始下载者:文件的最初拥有者,对本文件只上传不下载,在其他下载者共同拥有文件的全部内容后,它可能退出活动。        有BT有几个工作过程:        ■查询过程:        查询过程的参与者是:Web服务器、终端浏览器和静态元信息文件。        原始下载者拥有一个文件,愿意与大家共享;他自己或让其它相关者制作一个静态元信息文件,发布在Web服务器上;下载者所在终端通过浏览器查询到这个静态元信息文件,并通过HTTP协议GET到这个文件;从文件中解析出Tracker信息和文件信息。        ■控制过程:        控制过程的参与者是Tracker、下载者(包括原始下载者)。        BitTorrent拥有一个中心控制程序Tracker。它和下载者(包括原始下载者)通过HTTP协议来交换信息......

阅读全文(1514) | 评论:0

通过ISA2004限制用户使用迅雷下载的方法(2009-04-24 15:57:00)

摘要:  通过ISA2004限制用户使用迅雷下载的方法1、流媒体和P2P软件都采用自己独特的协议。例如常用的流媒体协议有mms和rstp,P2P软件中使用的BitTorrent协议和eDonkey协议。因此我们可以通过辨识特定的协议来拦截它们。但是迅雷是一款普通的下载软件,它使用的是和IE浏览器一样的http协议。因此,我们无法通过区分协议来拦截迅雷产生的流量。 2、使用http协议的软件,通常会在http request报文中加入自己软件的名称、版本号等信息。这些信息保存在user-agent字段中。这就是我们通常所说的signature。MSN Messenger等即时通信软件都会保存自己独特的名称和版本号,因此我们可以通过识别特定的signature来拦截它们产生的流量。 IE浏览器也不例外,IE各个版本都会在user-agent中保存自己的名称和版本号。问题在于迅雷在自己产生的http request报文中也使用这样的信息,从而将自己伪装成IE 6.0的客户端,在防火墙层面上我们无法识别迅雷产生的流量。因此,通过内容类型、应用程序、以及签名都无法阻止迅雷软件 3、由于网络中启用了web代理,因此即使Firewall Client禁止了迅雷直接连接目标服务器,迅雷还是可以绕过Firewall Client,通过代理服务器连接目标服务器。防火墙客户端的过滤也不能生效。 ->限制方法:经过研究,使用软件限制策略可以一定程度限制迅雷软件的使用。具体设置为: Computer Configuration – Windows Settings – Security Settings – Software Restrictions。默认为空。此时需要新建一个软件限制策略。点击菜单Action – New Software Restriction Policies。 此时您会看到Software Restrictions下面多出两项。选择Additional Rules。 默认有四个允许策略,不用修改它们。在右边的列表中右击,选择”New Path Rule…”。 迅雷安装完毕后会将自身的执行文件路径放置在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Thunder Network\ThunderOem\thunder_back......

阅读全文(2748) | 评论:1

层层设防 全面拦截企业网络病毒(2009-04-24 15:51:00)

摘要:病毒是一个与计算机相伴而生的“恶狼”,它的危害随着网络的出现达到了顶点。网络的纵深发展,更使病毒得到了长足的发展, 使其传播更加便利,传播速度也变的越来越快。目前,绝大部分单位都建有局域网,并通过局域网连入互联网。由病毒造成的网络故 障及损失更是非常严重。作为网管员,如何才能够保障网络计算机不受病毒侵犯,为网络的正常运转提供保障呢?在这里,就我们的 一些做法与大家一起交流。   一、病毒层层解读   病毒如洪水猛兽,但并不是毫无规律可言。在这里我们首先分析一下网络的安全防护层次。通常情况下,网络的安全可分为客户 主机的防范、服务器的防范和网关的防范三部分。   客户主机就是网络中用户使用的电脑,他们对网络的知识知之甚少,对病毒的防范意识不强,而且一旦一台主机感染了病毒,就 会形成连锁反应,使整个网络的计算机都感染病毒。同样对于服务器,基本每个单位都有,以满足对外网站发布、文件共享、邮件服 务等需求。而这些服务都是与每个用户都密切相关。如文件共享服务,如果用户上传的文件本身就带毒,而且上传后不能有效拦截, 这样在共享下载的过程中,病毒就会被携带传播出去。说到网关,它是每个网络的门户,面临着内部和外部网络的双重攻击,其重要 性不言而喻。   二、病毒防防防范   上面我们对网络内病毒进行了分层解读,只要我们网管员能够针对所涉及的三个层面进行有效防范,对症下药,分层部署,那么 还是能够非常便利的保障整个网络健康有序运行的。   1、客户主机病毒防范   对于一个网络来说,客户主机的病毒防范工作量最大,如果能够采取切实有效的方法,那么将会起到事半功倍的效果。   (1)杀毒软件不可错过   针对客户主机的病毒查杀,目前只有杀毒软件这一种方案可供选择。针对一个单位来说,杀毒软件除了在品牌的选择之外,更重 要的是选择单机版还是网络版。   就杀毒能力来说,单机版和网络版都是使用一套反病毒引擎,病毒库的升级都是一样的,也就是说它们的病毒查杀能力也是一样 的。但是网络版杀毒软件管理方便,可以统一安装、升级、查杀病毒,价格也非常贵。八哥网(http://www.it8g.com)建议较大规 模的单位可布署。相对于只有十几台、几十台电脑的一般建议使用单机版的杀毒软件就能够满足应用的需要了,而且性价比非常好。   (2)及时升级   升级非......

阅读全文(960) | 评论:0

如何防御Sniffer攻击(2009-04-21 11:55:00)

摘要:1.怎样发现 Sniffer   Sniffer最大的危险性就是它很难被发现,在单机情况下发现一个Sniffer还是比较容易的,可以通过查看计算机上当前正在运行的所有程序来实现,当然这不一定可靠。   在UNIX系统下可以使用下面的命令:ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。   在Windoos系统下,可以按下Ctrl+Alt+Del键,查看任务列表。不过,编程技巧高的Sniffer即使正在运行,也不会出现在这里。   另一个方法就是在系统中搜索,查找可怀疑的文件。但人侵者用的可能是他们自己写的程序,所以这给发现Sniffer造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式,从而发现是否有一个Sniffer正在运行。 但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的,因为Sniffer是一种被动攻击软件,它并不对任何主机发出数据包,而只是静静地运行着,等待着要捕获的数据包经过。  2.抵御 Sniffer   虽然发现一个Sniffer是非常困难的,但是我们仍然有办法抵御Sniffer的嗅探攻击。既然Sniffer要捕获我们的机密信息,那我们干脆就让它捕获,但事先要对这些信息进行加密,黑客即使捕捉到了我们的机密信息,也无法解密,这样,Sniffer就失去了作用。   黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包,因为这些协议以明文在网上传输,我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。   SSH又叫Secure Shell,它是一个在应用程序中提供安全通信的协议,建立在客户/服务器模型上。SSH服务器分配的端口是22,连接是通过使用一种来自RSA的算法建立的。在授权完成后,接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的,适合于任何非秘密和非经典的通信。   SSH后来发展成为F-SSH,提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP的网络通信提供了通用的最强的加密。如果某个站点使用F—SSH,用户名和口令就不再重要了。目前,还没有人突破过这种加密方法。即使是Sniffer,收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。   另一种抵御Sni......

阅读全文(852) | 评论:0

网络管理软件:接入因特网方式的几种特点(2009-04-21 11:52:00)

摘要:我们大家可能对一些接入因特网的技术并不陌生,比如通过Modem和电话线路进行的电话拨号上网;ISDN适配器和ISDN线路连接ISDN网,除这些外,我们还可以通过电缆调制解调器,数字用户线路(DSL)或DDN或X.25网络连接到Internet服务提供商ISP。  Internet服务提供商ISP是提供Internet连接的公司,世界各地都有Internet服务提供商ISP。用户通过Internet服务提供商ISP接入因特网,ISP的作用一是为用户接入Internet提供服务,二是为用户提供各种类型的信息服务,如电子邮件服务,信息发布代理服务和广告服务等。  一 通过Modem拨号接入Internet  计算机用户通过Modem接公用电话网络,再通过公用电话网络连接到ISP,通过ISP的主机接入Internet,在建立拨号连接以前,向ISP(我国一般是当地电信部门)申请拨号连接的使用权,获得使用帐号和密码,每次上网前需要通过帐号和密码拨号。拨号上网方式又称为拨号IP方式,因为采用拨号上网方式,在上网之后会被动态地分配一个合法的IP地址。在用户和ISP之间要用专门的通信协议SLIP或PPP。  拨号上网的投资不大,但功能比拨号仿真终端方法联入要强得多,适合一般家庭及个人用户使用;速度慢,因为其受电话线及相关接入设备的硬件条件限制,一般在56K左右。  二 通过ISDN接入Internet  ISDN是综合业务数字网骡的缩写,是提供端到端的数字连接网络,除了支持电话业务外,还能支持网络中传输传真,数字和图象等业务。ISDN专线接入又称为一线通,因为它通过一条电话线就可以实现集语音、数据和图像通信于一体的综合业务。ISDN连接通过网络终端NT,用户终端和ISDN终端适配器TA等一些通过电话网络连接到ISP,不过需要强调的是这与拨号上网不同的是这里在电话线上传输的数字信号。  由于ISDN使用数字传输技术,因此ISDN线路抗干扰能力强,传输质量高且支持同时打电话和上网,速度快且方便,能支持多种不同设备,最高网速可达到128K/S。  三 通过DDN专线接入Internet  DDN是数字数据网络的缩写,它是利用铜缆、光纤、数字微波或卫星等数字传输通道,提供永久或半永久连接电路,以传输数字信号为主的数字传输网络,在连到Internet时,是通过DDN专线连接到ISP,在通过IS......

阅读全文(1496) | 评论:0

从“山寨”角度看国内上网行为管理软件(2009-04-21 11:42:00)

摘要:  这两年,随着上网行为管理市场的不断兴盛,提供这方面产品的厂商也不断增多。尤其是上网行为管理的软件产品,一如雨后春笋,遍地生根。其实这些产品所宣传的功能很多是相似的,如记录访问网站、控制上网行为、网络留言审计、邮件监控、聊天内容的监控以及流量监控等等。如何区分这些产品的优劣似乎是一个很大的问题。其实,如果你对山寨手机有较多了解,这个问题看起来就容易了。 台湾芯片厂商联发科于2006年后开发出了一个手机芯片,把需要几十个人合作工作一年多才能完成的手机主板、软件集成到一起,研制出了廉价的MTK手机芯片,一下让手机的生产没有了核心技术,从而导致不正规的手机厂商如雨后春笋般冒出,把正规手机市场全部冲乱——生产商只要将联发科芯片买来,配上手机外壳和电池,就可以组装出一款手机。尽管其质量没有太多的保证,很多产品也没有多少售后服务,但因为其价格极其低廉,加上外形时尚等原因,市场非常火爆。可以肯定的是,没有联发科的手机芯片,就不可能有山寨手机的兴起。 回到上网行为管理产品的话题,这里我们要说的倒不是现在的大部分产品一定是“山寨”的产品。但是这方面厂商的兴起,却有与山寨手机兴起相似的地方。那就是属于上网行为管理软件核心技术的产品底层也不需要这些厂商自己去开发——由于开源的WinPcap的存在。有了它,开发上网行为管理的软件也就有了捷径。 WinPcap是一个基于Win32平台的,用于捕获网络数据包并进行分析的开源库。大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如sockets。这是一种简单的实现方式,因为操作系统已经妥善处理了底层具体实现细节(比如协议处理,封装数据包等等),并且提供了一个与读写文件类似的,令人熟悉的接口。 然而,有些时候,这种“简单的”方式并不能满足任务的需求,因为有些应用程序需要直接访问网络中的数据包。也就是说,那些应用程序需要访问原始数据包,即没有被操作系统利用网络协议处理过的数据包。 WinPcap产生的目的,就是为Win32应用程序提供这种访问方式。WinPcap提供了以下功能:捕获原始数据包,无论它是发往某台机器的,还是在其他设备(共享媒介)上进行交换的;在数据包发送给某应用程序前,根据用户指定的规则过滤数据包;将原始数据包通过网络发送出去;收集并统计网络流量信息。 目前,国内90%以上的上网行为管理软件厂商是基于......

阅读全文(1254) | 评论:0

企业网络管理应该具备的功能(2009-04-21 09:35:00)

摘要:  一机安装,监控整个网络,网页过滤,P2P控制,BT控制,聊天控制,游戏控制,流量控制,内容记录(收发邮件包括WEB发送的邮件,上传下载文件包括QQ和MSN等外发的文件),记录QQ聊天内容,SKYPE聊天内容,MSN聊天内容等等,网上特工不论是功能控制,网络监视还是综合图形报表都具有同行业中其他软件无法比拟的优势。网络图形监控显示每台机器的流速发包数和接收包数、字节数;全面信息分析所有通信和查询统计功能;完整记录所有收发文件、下载文件、聊天、邮件内容;还提供操作非常简单的强大的‘网上特工控制策略库’,可以随意增加协议类型;大量的流量统计、报表和报警功能;超强的备份机制,可以保存一年或更长的时间;系统还提供了多语言功能可以自由的切换,支持远程管理控制,跨网段,跨路由器,跨三层交换机等等。 一、网络图形监控   1、只须在一台机器上安装网上特工,整个网络的运行状态就会直观地呈现在您眼前; 2、显示每台机器的流速,当天外发和接收的网络包数,字节数和系统记录的日志数,还有上网时间,都会图形化地直观显示; 3、图形化显示整个网络的流速,和当天整个网络外发和接收的网络包数,字节数; 二、全面信息分析   1、记录HTTP,SMTP,TELNET,FTP,POP3,NETBIOS,ICMP,QICQ,MSN,ICQ,YAHOO,UC,PP等等所有通信; 2、可以按天,按小时,按分钟查看任一台机器,不同协议的通信网络包数、字节流量和上网时间; 3、可以自己按照网络通信服务内容,分成不同的类型,再按类型查询统计; 三、完整内容记录   1、记录MSN 外发文件内容; 2、记录MSN,YAHOO,ICQ等的聊天内容,QQ的聊天过程; 3、记录WEB外发文件内容,WEB下载文件内容,WEB论坛等外发贴子内容; 4、记录FTP外发文件内容,FTP下载文件内容; 5、记录WEB外发邮件,SMTP外发邮件,POP3收邮件,包括发件人,收件人,抄送,秘送,主题,邮件内容,邮件附件等都能完整记录; 6、记录WEB、FTP、TELNET、SMTP、POP3、NETBIOS、ICMP等的上网日志; 四、强大策略控制   1、网上特工创造性地提供了操作非常简单的强大的’网上特工控制策略库‘,使对网络控制做到随心所欲; 2、用户可以随意增加协议类型,再在该类型下增加不同的网络应用,通过对......

阅读全文(987) | 评论:0

当前局域网网络管理的形势和对策(2009-04-21 09:34:00)

摘要:当前随着金融危机的进一步蔓延,对国内各行业的影响进一步加深,企业较之于以前更加注重运营成本的降低。在此情况下,企业的网络管理又何去何从呢? 毋庸置疑,度过经济危机的最好办法是企业的自救,这就要求企业的员工比以前更加努力地工作,更高效地利用公司的网络资源,提升工作效率,为企业创造效益。 但是,实际的情况下,在企业的上班族中,很大一部分员工并没有利用工作时间为企业做好自己的本职工作,很多员工在上班时间上网聊天、观看在线视频、下载影视资料等等;还有一部分员工经常盯着自己的股票的涨停,或者经常浏览一些新闻网站等等,以及玩一些在线网络游戏等等。所有这些与工作无关的行为,大大占用了工作时间,导致了员工工作效率的降低;同时,这些与工作无关的上网行为还占用了公司大量的网络宽带,例如通过使用迅雷、BT、电驴、超级旋风、网际快车等等下载工具可以耗尽公司的公网带宽,导致公司网络缓慢,收发电子邮件困难,甚至连网页也无法打开;并且,还可以影响公司数据的传输,影响公司关键业务的进行,对企业造成了很大的危害。 所以,必须对企业职员的上网行为进行管理。功欲善必先利其器,要实现对员工上网的全面管理,单靠行政命令和规章制度是不行的,一套简单易用、功能实用而价格较低的网络管理软件就是不可或缺的。 所谓的简单易用、功能实用。主要是考虑到国内的企事业单位一般没有自己专职的网络管理员,常常是公司的行政人员或者公司的经理兼任网管,而他们一般没有专门的计算机网络知识,特别是网络管理方面的专门知识,所以网络管理软件的操作必须简单明了,并且最好是基于图形界面,同时,软件部署安装也必须尽可能不影响现有的网络结构、不需要其他软硬件支持以及对网络结构的调整;而所谓的功能实用,主要是考虑到国内网络管理目前的需求较为明确,主要是对网络行为的管理,比如P2P下载、股票软件、网络游戏、聊天软件、限制主机带宽流量等等,而具体到公司硬件设备的资产管理、网络安全、信息安全等方面国内一般中小企业都不是急需,所以选择网络管理系统的时候一定要注意这些功能的实现。 此外,由于当前企业开支减少,而大型的上网行为管理系统动辄需要几十万,甚至上百万的投资,对一般的中小型企业难以承受;而几千元、一两万的网络管理系统是比较合适的。 总之,选择网络管理系统必须注重网管软件的易用性、实用性和总体拥有成本的最低。在此,笔者向大家推荐大势至(北京)软......

阅读全文(883) | 评论:0