博文
注重上网行为管理 实施软件限制策略(2009-04-21 09:31:00)
摘要:在企业网络管理中,我们很重要的一块工作,就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具,或者不允许他们在上班时间看电影等等。要实现这些方面的控制,现在已经有不少好的工具。利用域控制器,来实现对某些软件的限制,也是其中一种比较流行的方式之一。
域环境中的软件限制策略,也就是说,当用户利用域帐户登陆到本机电脑的时候,系统会根据这个域帐户的访问权限,来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候,则操作系统就会拒绝用户访问某个应用软件,从而来管理企业员工的操作行为。
在这篇文章中,笔者将对软件限制策略的一些常识进行一些简短的介绍,然后在后续的文章中,笔者会结合自己公司的设置,来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。
一、 应用软件与数据文件独立 在应用软件限制策略的时候,需要明白的第一个原则就是"应用软件与数据文件"独立原则。也就是说,你即使具有数据文件的访问权限,但是,若其没有其关联软件的访问权限的话,则仍然不能够打开这个文件。如现在某个用户从网上私自下载了一部电影,其作为所有者人,当然具有对这个数据文件进行访问的权限。但是,我们在软件限制策略设置的时候,这个用户帐户无法访问任何的视频播放软件。如此的话,这个用户仍然无法播放这部电影。 这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上下载文件。如用户若从网络上下载歌曲,甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是,我们对于用户电脑上应用程序的控制来说,则相对简单许多。我们只需要把这些应用程序控制好,则即使用户私自下载受限制的文件,则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。
二、 软件限制策略的冲突处理原则 软件限制策略跟其他组策略一样,可以在多个级别上进行设置。或者说,软件限制策略是组策略中的一个特殊分支也未尝不可。所以,软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此,所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候,其优先性如何呢? 一般来说,其优先性的级别从高到低如下: 第一,组织单元策略;第二,域策略;第三,站点策略......
巧限网速 让企业网络带宽不被占用(2009-04-21 09:29:00)
摘要:
小王是一家单位的网络管理员,该单位最近租用了本地电信部门的一条独享10MB的宽带光纤线路,使单位局域网实现了直接连接Internet网络的目的。刚开始,无论在局域网的哪一台工作站中访问网页内容或下载信息时,速度都非常快;不过,伴随着单位规模的逐步扩大,各个部门中的工作站数量越来越多,再加上一些不自觉的员工在上班期间随意使用BT之类的专业工具下载电影或视频信息,使得整个单位局域网的上网速度非常缓慢,常常会出现打开一个简单网页都需要等上好几分钟的尴尬现象。单位领导对这种现象非常重视,要求身为网络管理员的小王能够迅速采取措施,解决单位局域网上网速度缓慢的现象。
一、方案选择
一般来说,提高宽带网络访问速度的主要办法只有两个,一种办法就是提高局域网网络出口带宽的大小,让上网通道能够应对更大流量的工作访问需求,另外一种办法就是保持已有网络带宽大小,从局域网网络内部优化设置着手,提高网络的出口访问效率。由于扩大出口带宽的容量大小需要单位支付更高的通信费用,很显然这种方法没有多大的实际意义,因此小王决定采用第二种方案,来对单位局域网网络进行合适优化设置。考虑到局域网上网速度下降,主要是由于员工不自觉使用BT之类的专业工具下载大容量信息引起的,而且P2P类型的下载应用往往很难直接进行限制封锁,于是网络管理员小王经过到网上搜索相关资料,并经过反复琢磨后,决定对局域网中每一台工作站用户采取限制带宽大小的方法,来保障单位局域网有限的出口带宽资源不被消耗殆尽。
正常情况下,对局域网工作站的上网带宽大小进行限制时,专家给出两种选择,一种选择就是在局域网的代理服务器中安装专业网络管理工具——SyGate,借助该专业工具的帮忙,来对局域网中不同子网的最大传输速度进行限制或规定,也可以针对特定IP地址的工作站进行限速设置;另外一种选择就是在可管理的交换机中,直接对特定交换端口的传输速度进行限制。考虑到单位局域网中的工作站分散安装在许多不同部门的不同位置处,小王认为要是直接配置一台代理服务器来限制工作站上网带宽的话,不但成本比较高,而且局域网中所有工作站通过代理服务器进行中转上网,代理服务器将面临不小的流量压力,弄不好局域网上网速度没有实质性改观;经过再三权衡考虑,网络管理员小王决定利用单位局域网交换机的可管理功能,来对交换机连接端口的速度进行限制,从而实现限制员工随意使用BT......
上网行为管理:管事更要管人!(2009-03-31 14:15:00)
摘要:
“不能制约自己的人,不能称之为自由的人”,古希腊哲学家毕达哥拉斯的这句哲理名言,用来描述当今的企事业单位上网行为管理现状非常合适。无数鲜活的例子告诉我们,政企机构所面临的诸如信息安全、机密泄露、效率下降等问题,实在是因为我们的员工太“自由”了。
另一方面,在IDC连续多年的信息安全年度报告中,总是在强调这样的一个结论,那就是企业所面对的信息安全问题,超过80%来自于其内部。而这80%的问题中,几乎大半与员工个体行为有关,尤其是员工滥用网络的行为。
这也就是说,“人患”才是最大的问题所在。网络技术发展到今天,仅仅是对事件的处理已经远远不够,更重要的是针对人进行有效的管理。
为什么要“对人”
在以往,我们常常强调“对事不对人”,这在一定程度上是正确的。“对事”的这种问责体系,更多的是要求我们客观的分析事情,在处理问题过程中要针对问题本身,而不是针对某个人。这样的态度,是有其客观存在的科学意义。然而,放到当今的上网管理中,就不适合了,因为事实告诉我们需要“对事更对人”。
为什么要对人呢?同是一件事情为何不同的人做出来的结果不相同?就是因为人的不同,所做出来的结果就不相同。正常的人就有正常的思维,所做出来的一切事都是对的。非正常的人就有非正常的思维,所做的一切事都是错的。
事实上,人的行为往往是错综复杂且难以预料,是企业安全管理的重点,也是难点。一般企业的内网中,有着越来越多的需要管人的地方。员工的上网行为如果不加控制,就会带来诸多风险。 许多上网人员通过下载工具不停地下载大容量的文件,比如大文件的MP3和电影;或者欣赏在线音乐、看视频电影、新闻等;以及大量的P2P应用,严重占用网络带宽,造成网络堵塞。不加管理的网络活动,严重消耗了带宽,企业的核心应用得不到应有的资源保障。 员工有意或无意的访问了不恰当资源,病毒、蠕虫、木马、恶意代码及间谍软件等就会籍由网页、Email、聊天工具、下载软件等方式,侵入到网络的各个角落,严重影响了网络的正常使用。 正常情况下,员工应该把所有的精力投入到工作中。然而,互联网丰富的内容总是在分散员工注意力,他们常常把自己的本职工作放......
网络管理软件:接入因特网方式的几种特点(2009-03-31 14:05:00)
摘要: 我们大家可能对一些接入因特网的技术并不陌生,比如通过Modem和电话线路进行的电话拨号上网;ISDN适配器和ISDN线路连接ISDN网,除这些外,我们还可以通过电缆调制解调器,数字用户线路(DSL)或DDN或X.25网络连接到Internet服务提供商ISP。 Internet服务提供商ISP是提供Internet连接的公司,世界各地都有Internet服务提供商ISP。用户通过Internet服务提供商ISP接入因特网,ISP的作用一是为用户接入Internet提供服务,二是为用户提供各种类型的信息服务,如电子邮件服务,信息发布代理服务和广告服务等。 一 通过Modem拨号接入Internet 计算机用户通过Modem接公用电话网络,再通过公用电话网络连接到ISP,通过ISP的主机接入Internet,在建立拨号连接以前,向ISP(我国一般是当地电信部门)申请拨号连接的使用权,获得使用帐号和密码,每次上网前需要通过帐号和密码拨号。拨号上网方式又称为拨号IP方式,因为采用拨号上网方式,在上网之后会被动态地分配一个合法的IP地址。在用户和ISP之间要用专门的通信协议SLIP或PPP。 拨号上网的投资不大,但功能比拨号仿真终端方法联入要强得多,适合一般家庭及个人用户使用;速度慢,因为其受电话线及相关接入设备的硬件条件限制,一般在56K左右。 二 通过ISDN接入Internet ISDN是综合业务数字网骡的缩写,是提供端到端的数字连接网络,除了支持电话业务外,还能支持网络中传输传真,数字和图象等业务。ISDN专线接入又称为一线通,因为它通过一条电话线就可以实现集语音、数据和图像通信于一体的综合业务。ISDN连接通过网络终端NT,用户终端和ISDN终端适配器TA等一些通过电话网络连接到ISP,不过需要强调的是这与拨号上网不同的是这里在电话线上传输的数字信号。 由于ISDN使用数字传输技术,因此ISDN线路抗干扰能力强,传输质量高且支持同时打电话和上网,速度快且方便,能支持多种不同设备,最高网速可达到128K/S。 三 通过DDN专线接入Internet DDN是数字数据网络的缩写,它是利用铜缆、光纤、数字微波或卫星等数字传输通道,提供永久或半永久连接电路,以传输数字信号为主的数字传输网络,在连到Internet时,是通过DDN专线连接到ISP......
网络常见攻击方式及对应防御方式概述(2009-03-31 14:03:00)
摘要:
崩溃型攻击 死亡之ping (ping of death) 概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。 防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。 泪滴(teardrop) 概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。 防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。 UDP洪水(UDP flood) 概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。 SYN洪水(SYN flood) 概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有......
选择网管软件的关键着眼点(2009-03-31 14:01:00)
摘要:当前国内网络管理软件日渐成熟,网管可选择的网管品牌也更为丰富。但是如何从中选择真正适合本单位网络管理需要的网管软件呢?笔者以为,应该首先从以下几个方面加以选择:
1、 明白自己单位网络管理的主要需求。选择网管软件主要用来配合网管对本单位的局域网进行管理。这里上网行为分为两个主要方面,一个方面就是网络行为的管理,就是局域网的电脑使用者的上网行为,如网页浏览、P2P下载、普通下载、占用网络带宽的情况、使用股票软件的情况、玩网络游戏以及更改局域网IP地址等等行为,如果企业主要是管理这些上网行为,那么就可以选择那些主要用来管理局域网上网行为的网络管理系统,并且在选择上网行为管理系统的时候一定要着眼这种网络管理系统部署的简单性、功能的有效性等等。如果要求部署简单,那么最好选择B/S架构的软件,这种软件只需要在局域网的一台服务器上安装,局域网的其他电脑都不需要安装,从而可以节省网管的工作,维护起来也较为方便;而如果从功能的实效性来看,由于象股票软件、网络游戏、网页浏览的封堵较为简单,但是针对于那些P2P软件,如BT、电驴、迅雷、超级旋风、酷狗、wagaa等等采用复杂的P2P协议进行传输,并且一些聊天软件,如QQ、skype等等也采用加密的P2P协议进行传输,所以封堵较为困难。网管人员在选择网管软件时一定要仔细试用这些功能,确保可以实现,防止买了监控软件却无法实现相应的控制功能。同时,在采购网络管理软件的时候,不要盲目的认为硬件监控系统就一定比软件监控产品好,其实很多硬件监控系统配置还不如PC的配置高,运行监控软件的时候不能很好地提升效率,而且硬件监控系统容易损坏,维修更为麻烦,此外,硬件监控系统其实也是将监控软件安装到硬件的监控系统里面,所以和纯软件的监控软件安装在PC上没有什么区别,同时,硬件的监控系统收费较高,会增加企业采购网管软件的成本。
2、 限制各种聊天软件。当前国内聊天软件也十分多,很多企事业单位的员工一上班就打开QQ、msn等聊天软件进行聊天,这些聊天内容大多数是和工作无关的事情。这些聊天行为占用了员工大量的工作时间,降低了工作效率,也背离了网络资源使用的初衷。同时,通过这些聊天软件,如QQ、MSN、SKYPE等聊天软件可以轻松地将企业的商业机密传输到外面去,从而给企业的经营带来巨大的风险。同时,这些聊天软件由于采用了多......
网络监控软件使用(2009-03-31 09:41:00)
摘要:一、IPHelper v3.5 绿色版 软件大小 246 KB 软件类别 国产软件/网络辅助 运行环境 Win2003, WinXp, Win2000, Nt, WinMe, Win9x 授权方式 免费版 下载地址:http://www.crsky.com/soft/6876.html你已经厌倦了Windows设置网络配置繁琐的步骤了吗?你希望你的笔记本能更方便快捷的接入各个局域网吗?你可以试试IPHelper,它能快速的更改你的网络配置,很方便的实现在不同网段内IP地址等配置的切换。而且它是一款免费的绿色软件,小巧实用,特别适用于移动办公用户和需要经常在不同网段间切换的用户。
二、ByteOMeter v1.2.0 汉化版 软件大小 1.2 MB 软件类别 汉化软件/网络辅助 运行环境 Win2003, WinXp, Win2000, Nt, WinMe, Win9x 授权方式 特别版 软件语言 简体中文 下载地址:http://www.crsky.com/soft/6740.html一款功能强大的带宽测试和监控软件,它可以测量和显示出你网络的所有流量,可以创建网络上所有计算机的流量的统计表格,测量和显示所有电脑从 Internet 下载和上传的流量。
三、局域网超级工具(NetSuper) v2.1 软件大小 1.26 MB 软件类别 国产软件/网络辅助 运行环境 Win2003, WinXP, Win2000, NT, WinME, Win9X 授权方式 共享版 下载地址:http://www.crsky.com/soft/999.html(1)搜索局域网内的所有活动的计算机,并将显示这些计算机的IP地址,所属的域或者工作组.(2)搜索指定的某个计算机的共享资源.(3)搜索所有计算机的所有共享资源.(4)打开某个指定的计算机.(5)打开某个指定的共享目录.(6)将某个指定的共享目录映射到本地磁盘(映射网络驱动器).(7)将搜索到的计算机列表导出到文本文件,一目了然.(8)将搜索到的共享资源列表导出到文本文件.(9)搜索SQL Server服务器,将局域网中的所有的活动的SQL Server服务器搜索出来.(10)搜索局域网中的所有的打印服务器.(11)增强功能:将局域网中的所有服务器都搜索出来.(12)给指定的计算机发送消息.(13)给指定的某个域或者工......
嗅探原理与反嗅探技术(2009-03-18 17:20:00)
摘要:
一.嗅探器的基础知识 1.1 什么是嗅探器?
嗅探器的英文写法是Sniff,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。
可是,计算机直接所传送的数据,事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据, 嗅探器也就必须能够识别出那个协议对应于这个数据片断,只有这样才能够进行正确的解码。
计算机的嗅探器比起电话窃听器,有他独特的优势: 很多的计算机网络采用的是“共享媒体"。也就是说,你不必中断他的通讯,并且配置特别的线路,再安装嗅探器,你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”(promiscuous mode) 。 尽管如此,这种“共享” 的技术发展的很快,慢慢转向“交换” 技术,这种技术会长期内会继续使用下去, 它可以实现有目的选择的收发数据。
1.2嗅探器是如何工作的
1.2.1如何窃听网络上的信息
刚才说了,以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。
正是因为这样的原因,以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。
嗅探程序正是利用了这个特点,它主动的关闭了这个嗅探器,也就是前面提到的设置网卡“混杂模式”。因此,嗅探程序就能够接收到整个以太网内的网络数据了信息了。
1.2.2什么是以太网的MAC地址
MAC:Media Access Control.
由于大量的计算机在以太网内“共享“数据流,所以必须有一个统一的办法用来区分传递给不同计算机的数据流的。这种问题不会发生在拨号用户身上,因为计算机会假定一切数据都由你发动给modem然后通过电话线传送出去。可是,当你发送数据到以太网上的时候,你必须弄清楚,哪台计算机......
VPN知识大全(2009-03-04 17:33:00)
摘要:VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。 虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。[编辑本段]VPN的分类方案 针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。[编辑本段]VPN需求及可解决方案 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而......
中小企业办公网维护点滴谈(2009-03-04 17:30:00)
摘要:
1、在单位局域网的使用过程中,常常会出现“不通”现象,也许是其中几台机器无法连通(通信),也许是整个网络无法工作。当然,这也要看你的网络的拓朴结构是什么类型的。
当出现网络不通的现象时,首先检查各连入网络的机器中网卡设置是否正常,这通过检查“控制面板”、“系统”、“设备管理”、“网络适配器”有无中断号及I/O地址冲突(最好将各台机器的中断设为相同,以便于对比),直到网络适配器的属性中出现“该设备运转正常”,并且在“网上邻居”中至少能找到自己,这说明网卡的配置没有问题。
2、当某台机器无法上网时,第一步要确定网线没有问题。这可以通过替代的方法来解决。然后使用替代的方法确定网卡是不是有问题。在网线和网卡本身都没有问题的情况下,再看一看是不是软件设置方面的原因。
另外,再检查驱动程序本身是否损坏,如果没有损坏,看看安装是否正确。如果这些可以判断正常,设备也没有冲突,就是不能连入网络,这时候可以将网络适配器在系统配置中删除,然后重新启动计算机,系统就会检测到新硬件的存在,然后自动寻找驱动程序再进行安装,笔者在安装Windows98对等网过程中曾多次运用此方法解决“上不了网的问题”。
3、防火墙的设置是中小企业办公网络维护中关键的一个环节。
内、外网间的屏障方案:当单位内部网与公共网络连接时,内部网络将直接暴露在来自世界各个角落的黑客的攻击之下。这种情况下必须使用防火墙对内部网络进行保护。防火墙的功能是隐藏内部网络结构;限制外部网络用户对内部主机的访问;限制内部用户对Internet的访问。建立局部安全区方案:网络安全的隐患不仅仅来自外部网络,事实上在对企业或政府部门中数据的丢失或服务器的破坏多数是由内部人员造成的,因此即使用户的网络没有连接到Internet,也应该对内部的关键业务部门的网络进行保护。单一主机防护方案:在企业或政府部门中,某一个别服务器系统往往具有特别重要的地位,保存大量关键数据或资料。这些服务器上的数据发生丢失或系统被破坏,将对用户造成无法挽回的损失。因此利用防火墙对关键主机进行隔离和保护,并对出入该服务器的数据进行监控。
4、随着企业信息化建设的深入,企业内部网上的信息将越来越丰富,企业数据对领导决策及企业发展将起到越来越重要的作用,一旦由于意外而丢失数据,将给企业造成巨大的损失。
灾难恢复措施在......