博文
网管故事3:单位内部局域网限制网速、限制带宽的经历(2009-09-27 15:03:00)
摘要:前一段时间小王按照单位领导的指示,将聊天软件暂时封堵起来了,现在局域网内部在上班时间聊天的用户已经很少了,小王的网络管理工作总算告一段落了。不过,最近公司内部不知道什么原因,经常出现网络堵塞的现象,有时候相当严重,导致公司内部的视频会议、VOIP,还有公司的ERP系统、VPN等系统经常出现马赛克的现象,严重影响了公司的各项业务的正常进行,甚至有时候连打开网页、收发电子邮件都延迟很大,公司领导为此大为光火。
主管信息化工作的张主任一天将小王叫到自己的办公室,十分关切地询问小王现在的生活和工作情况……。主任虽然没有明说网络最近的堵塞现象,但是小王心里明白,这是领导在向他警示了。小王心里倍感压力,下定决心一定要将消耗网络带宽的不速之客抓获,给领导一个交代!
小王首先针对视频会议出现的马赛克现象,通过网络了解到,大致有以下原因:1)网络硬件链路出现故障引发的丢包;2)网络拥塞引发的大量丢包;3)注意设备的双工半双工通讯方式设置。小王根据上面的原因,对公司的网络设备和链路进行了现场检查,同时也详细查看了公司的硬件设备监控系统的最近一段时间的监控日志,都没有发现特别的异常。所以设备和链路故障的原因排除了,剩下了就是网络拥塞的原因了。小王决定查个究竟。
什么情况可能导致网络拥塞呢?
一种就是网络病毒。比如当前影响较为严重的蠕虫病毒、冲击波、震荡波和ARP病毒等等,这些病毒容易引发网络风暴,对整个局域网进行大肆攻击,发送大量的攻击信息,从而导致设备崩溃,或者对外网发送攻击信息,导致网络带宽被耗尽,从而出现网络拥塞现象。小王查询单位内部的网络杀毒软件的服务端日志记录,并没有发现什么可疑病毒,并且那些病毒杀毒软件应该早就可以查杀了吧,同时,也没有接到客户端报告说电脑出现问题的案例啊。
小王突然想到,还有一种情况也会导致网络拥塞现象,就是当前流行的P2P软件,比如迅雷、超级旋风、网际快车、PPlive、QQlive、emule、BT等等,这些P2P工具可以无限制地占用公司的下行带宽资源,同时,这些P2P工具由于在下载的同时还伴随着上传,从而对网络的危害更大,可以完全导致网络堵塞,完全不能上网。想到这里,小王倒吸了一口冷气,因为他知道现在的P2P软件不但下载速度快,而且纷纷采用了服务器集群和智能可变端口,同时糅合了各......
利用微软的ISA实现对局域网上网行为管理的设置方法(2009-09-15 15:15:00)
摘要: ISA Server是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且,通过本地而不是Internet为对象提供服务,其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA Server时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二者兼备。
ISA Server提供直观而强大的管理工具,包括Microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具,ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。
本文将介绍如何使用ISA封堵QQ等聊天软件
说到封锁QQ,这的确让不少网络管理员头疼,因为QQ可以使用多种协议通信,如:UDP、TCP、HTTP、HTTPS,而且支持使用代理。只要允许HTTP协议就可以登录,而在网络中又不能禁用所有的协议,那怎么办呢?
要禁止QQ登录,我们先看一下QQ的登录过程。在默认情况下,QQ是使用UDP协议向服务器发送请求的,也可以使用HTTP代理进行通信。我们不能禁止HTTP协议,所以最好的办法是封锁服务器IP,然后利用ISA 2006对HTTP检查机制来禁止QQ使用代理登录。
1.封锁服务器IP地址
首先要找到QQ服务器的IP地址,QQ的服务器不止一个,大家可以到网上找一下,这里我暂时用下面这几个:61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通过HTTP代理连接的服务器的URL,可以去找一下,也可以自己抓包看一下。这里我们用tencent.com这个地址。和刚才一样要定义源集、目标集、策略。源集和禁止访问网络的定义一样,内网的全部计算机。在定义目标集时也定义成为计算机集,然后添加访问规则。但是鉴于目前腾讯QQ服务器IP地址众多,并且每隔一段时间都会增加新的IP地址,这样导致通过ISA禁止QQ聊天软件的方法将会面临着较大的挑战。
图9
2.禁止QQ使用HTTP代理登录
这里使用的是ISA Server的深层过滤机制,在“防火墙策略规则”中“无限制的Internet访问”上面点右键,选择“配置......
当前国内主要网络游戏的端口列表和协议特征(2009-09-15 15:13:00)
摘要:随着网络游戏近几年在国内的流行,上班时间在单位内部的电脑上玩网络游戏的现象也日渐普遍。员工上班时间玩网络游戏严重影响了工作效率,同时这些网络游戏还占用了公司网络大量的带宽,造成公司网络速度降低、网络性能下降等,严重干扰了公司各项业务的正常进行。大势至(北京)软件工程有限公司推出的聚生网管系统,集成了当前所有流行的控制网络游戏的方法,可以有效屏蔽网络游戏在单位内部局域网的运行,提升员工的工作效率和网络资源的使用效率,为企业创造效益。以下是聚生网管系统部分的封堵网络游戏的方法,我们免费提供给客户:
登录中国游戏中心端口
TCP
封堵8000
登录联众游戏
TCP
封堵2000
英文ICQ 端口
TCP
封堵5190
网易泡泡端口
TCP /UDP
封堵TCP1630、443 、UDP4001
Yahoo Messenger端口
TCP
封堵TCP5050
Msn Messenge端口
TCP
封堵TCP 1863
可乐吧游戏中心端口
TCP
封堵TCP 10010
可乐吧老版游戏端口
UDP
封堵TCP 10002
盛大传奇端口
TCP
封堵TCP 7000
盛大传奇世界端口
TCP
封堵TCP 7100
贸易通端口
TCP
封堵TCP 16000
泡泡堂端口
TCP
封堵TCP 3838
游戏茶苑端口
TCP
封堵TCP 3661
边锋游戏端口
TCP
封堵TCP 4000
大话西游端口
TCP
封堵TCP14688
大话西游端口-上海专区
TCP
封堵TCP 7488
大话西游端口-江苏专区
TCP
封......
成为富人的方法(2009-09-15 15:05:00)
摘要:1、做你真正感兴趣的事——你会花很多时间在上面,因此你一定要感兴趣才行,如果不是这样的话,你不愿意把时间花在上面,就得不到成功。 2、自己当老板。为别人打工,你绝不会变成巨富,老板一心一意地缩减开支,他的目标不是使他的职员变成有钱人。 3、提供一种有实效的服务,或一种实际的产品。你要以写作、绘画或作曲变成百万富翁的机会可以说是无限小,而你要在营造业、房地产、制造业发大财的机会比较大。记住,出版商赚的钱比作家多得多。 4、如果你坚持要用自己的灵感来创业?最好选择娱乐业,在这方面,发财的速度相当快,流行歌曲和电视最理想。 5、不论你是演员或商人,尽量增加你的观众。在小咖啡馆唱歌的人,所赚的钱一定比不上替大唱片公司灌唱片的人,地方性的商人,不会比全国性的商人赚的钱多。 6、找出一种需要,然后满足它。社会越变越复杂,人们所需要的产品和服务越来越多,最先发现这些需求而且满足他们的人,是改进现有产品和服务的人,也是最先成为富翁的人。 7、不要不敢采用不同的方式——新的方法和新产品,会造成新的财富。但必须确定你的新方法比旧方法更理想,你的新方法必须增进产品外观、效率、品质、方便或者降低成本。 8、如果你受过专业教育,或者有特殊才能,充分利用它。如果你烧得一手好菜,而却要去当泥水匠,那就太笨了。 9、在你着手任何事情之前,仔细地对周围的情形研究一番。政府机关和公共图书馆,可以提供不少资料,先做研究,可以节省你不少时间和金钱。 10、不要一直都想着发大财,不如你想想如何改进你的事业,您应该常常问自己的是:“我如何改良我的事业?”如何使事业进行顺利,财富就会跟着而来。 11、可能的话,进行一种家庭事业,这种方法可以减少费用,增进士气,利润的分配很简单,利润能够得到充分的利用,整个事业控制也较容易。 12、尽可能减少你的费用,但不能牺牲你的品质,否则的话,你等于是在慢性自杀,赚钱的机会不会大。 13、跟同行的朋友维持友谊——他们可能对你很有帮助。
14、把尽量多的时间花在事业上。一天12小时、一星期6天是最低要求,一天14小时到18小时很平常,一星期工作7天最好了。你必须先牺牲家庭和社会上的娱乐,直到你事业站稳为止。也只有到那时候,你才能把责任分给别人。 15、不要不敢自己下决心。听听别人的赞美和批评,但你自己要下决心。 16、......
有效控制局域网主机的带宽、网速和流量的软件(2009-09-15 14:31:00)
摘要:当前,在企事业单位内部的局域网中,一个很困扰网管的问题就是局域网内部经常有人使用P2P软件、在线视频、网络游戏、股票软件等一些与工作无关的网络应用占据了公司的大量的带宽,导致公司正常的网络应用,如在线会议、视频会议、ERP系统、OA系统等等办公系统、业务系统无法正常运行,严重干扰了企业的工作效率和工作质量。这些与工作无关的不合理的上网行为最突出的表现就是占用了公司大量的公网带宽,影响了其他人的网络连接速度。所以,我们必须对这些与工作无关的上网行为进行合理的管控。
国内目前有各种各样的网管软件,但是一般的上网行为监控软件都需要安装在代理服务器上,或者需要在交换机上做端口镜像,然后将监控软件部署在此镜像端口上,或者通过HUB集线器的方式将网络设置成混杂模式,然后将网络流量监控软件部署在任意一个节点上来实现对局域网其他电脑的上网速度、公网带宽的控制。但是实际的情况是,这种架构的上网行为管理软件只能对过往的数据包进行拷贝,而不能全部计算其数据包的大小和速度,从而也就只能统计一段时间的公网流量总和,而不能控制实时的带宽,也就是流速,也不能限制电脑占用带宽的大小。所以网管在选择上网管理软件的时候一定要明白其技术架构和实现原理。
国内目前还有一些基于硬件架构的上网行为管理系统,通过将监控软件嵌入到此硬件监控系统中,然后将此硬件监控系统部署在局域网的公网出口,这样局域网电脑的所有公网报文(包括上行和下行报文)都会经过此硬件设备,这样监控软件就可以捕获数据包并计算其大小和速度,并通过放行和丢弃数据包的方式来实现对局域网电脑占用带宽的大小。这种方式由于可以捕获局域网电脑所有的上行和下行数据报文,所以可以有效限制电脑占用带宽的大小。但是硬件的监控系统由于必须放到公网的出口,这就要求硬件监控系统必须具有较高的稳定性,一旦出现问题将可能导致整个局域网无法上网,对局域网有较大的危害。同时,硬件的监控系统由于造价较高,相应地其售价也较高,不是中小企业所能承受的。
大势至(北京)软件工程有限公司(官方网站:http://www.grabsun.com)推出了新一代的聚生网管系统,可以部署在局域网的一台电脑上就可以控制整个局域网所有电脑占用的公网带宽,可以实时显示和控制各个电脑的上网速度,同时也可以限制各个电脑一段时间内消耗的网络流量大小。同时,......
论局域网流量监控软件选择标准(2009-09-15 14:29:00)
摘要:
封堵还是疏导?
当前国内上网行为管理软件众多,各家产品功能各异。主流的网络监控软件厂家在宣传自己的产品时往往强调产品的封堵功能,也就是彻底阻断某种网络应用的能力,以此来实现对局域网电脑上网行为的控制。但是,在实际的网管工作中,我们发现,彻底的封堵的网络管控方式显得过于武断,会导致客户端的反感,从而产生抵触网管工作的情绪,不能从根本上实现网络管理的目的。同时,单纯的封堵也使得客户端想办法通过其他的途径进行网络各种的活动,从而使得网管防不胜防,最终出现“猫和老鼠”的结局。笔者同时也想起古代的“大禹治水”的故事,早期的治水方式上通过建设堤坝、封堵决口的方式,基本没有产生效果,洪涝灾害依旧。后来大禹采用疏导的方式,最终治理了洪水。当前局域网内的P2P下载、P2P视频、在线视频、网络聊天、网络游戏、股票软件等等当前流行的各种网络行为正如洪水一样,单纯的封堵是不能解决的,必须采用疏导的方式才能从根本上实现对局域网电脑上网行为的全面的管理。
那么具体到企事业单位的局域网管理中,怎样的管理方式才是疏导的管理方式呢?比如。针对当前流行的P2P下载工具和P2P视频工具,我们可以不完全封堵P2P的应用,而是限制P2P传输的速度,同时在实际上完全控制P2P软件的下载也是不太现实的。这样,局域网用户可以使用P2P软件进行网络活动,但是速度被限制在一个不影响局域网其他用户上网的一个范围内,这种情况下,一般的客户端由于不能忍受较低的传输速度而自觉终止P2P应用,其他网络应用道理类似。比如QQ聊天、股票软件和网络游戏,我们可以限定其在工作时间禁止使用,而在非工作时间,例如中午休息、晚上下班的时候则可以放开,从而使得职员在一定程度上满足其管理自身事物的心理,从而也容易获得客户端的理解和支持。
所以,企事业单位的网络管理中,网络疏导不失为一种明智的网络管理方式!
功能强大还是功能实用?
当前国内上网行为管理厂家不乏技术雄厚、功能强大的产品,同时在企事业单位中,也不乏一些技术狂热的网管,对最新技术、功能强大的产品青睐有加,相应地这些产品的价格也极为惊人。不过,从实际的部署来看,绝大多数企业部署网络监控软件只是用到其中的几个功能。比较常见的是控制P2P下载软件,禁止BT下载、限制网络带宽、限制聊天软件......
流行天王杰克逊复活视频引发的深度思考(2009-09-15 14:22:00)
摘要:流行天王迈克尔·杰克逊去世之后,围绕他的死因展开了各种各样的猜测,网上更是流行一段杰克逊复活的视频,一时间相信MJ仍旧在世的说法似乎占了上风。那么,迈克尔·杰克逊这位伟大的流行天王的逝世给我们带来怎样的思考呢?
当前,随着国内宽带上网的用户越来越多,以及网络带宽的逐步加大;一些视频网站逐步发展起来,通过网友上传各种视频文件供大家在线浏览、观看,已经成为当前网络重要的资讯获取方式,同时更多的是一种新的娱乐方式。在线视频不需要安装播放器、网络电视、网络电影等软件,而是直接通过网页的形式打开,通过流媒体技术和P2P视频缓冲技术,可以随时播放,不受时间和空间的限制,操作也更为简单。
随着在线视频播放技术的进步以及纷纷采用P2P缓冲技术,使得在线视频的缓冲速度不断提升,已经和P2P下载软件的速度不相上下。这一方面更加满足了网友对在线视频流畅播放的需求,但是,相应地这些在线视频对企事业单位内部上网带宽的占用也更为惊人。在一个带宽并不充裕的单位内部局域网中,只要有一两个用户长时间观看在线视频就会造成整个局域网网速的明显下降,使得单位内部正常的网络应用变得延迟堵塞,甚至打开网页、发送电子邮件都变得困难。这样严重影响了企业各项业务的正常进行,造成了企业网络资源的浪费,影响了企业的经济效益;而在这种情况下,如果盲目增加带宽,只能使得那些P2P软件、在线视频的速度更快,因为这些在线视频通常采用点对点的传输方式,可以无限度地占用企业的总体带宽。
同时,在通常情况下,在线视频大都是一些娱乐性质的内容,这些内容充斥着低速、色情、暴力、反动、变态等倾向,使得观看在线视频的用户或多或少地受到不良的影响。不仅是企事业单位的雇员,在学校的一些机房、图书馆等学生上网的地方,也更容易受到诱惑和毒害,对学生的健康心态和世界观的形成都具有极大的毒害。而且,很多在线视频都是一些稀奇古怪乃至伪造的、电脑合成的东西,没有实质的意义,不能使人从中获得知识和教益。所以总体上来说,在线视频对企事业单位内部网络有百害而无一益。所以,必须控制在线视频的观看和使用。大势至(北京)软件工程有限公司(官方网站:http://www.grabsun.com)针对当前在线视频日渐猖獗、对企事业单位内部局域网造成较大影响和危害的事实,推出了新一代的聚生网管系统,聚生网管系统通过集成限......
贾君鹏事件背后的深度思考(2009-09-15 14:20:00)
摘要:2009年7月16日,一个只有标题《贾君鹏你妈妈喊你回家吃饭》的帖子引来了成千上万的网民跟帖,极尽无聊之事,“贾君鹏”效应迅速扩散,成为轰动一时的“贾君鹏”事件。
从芙蓉姐姐、“春哥”,到贾君鹏,网络群体性无聊终于走向了登峰造极。让人不可思议的是,“无聊”行为似乎正在成为一种新的原动力,推动这个虚拟的生存空间,以一种奇特的方式向前行进。
贾君鹏事件虽然是一个整体的网络事件,反映了中国网民的整体的一些网络心态与文化特征,而这具体到企业内部局域网的网络用户中,同样也充斥着“群体性无聊”,而且这种无聊的表现形式更加繁杂,已经成为企业网络管理、网络监控的难题。
这种企业内部的“群体性无聊”主要表现在以下几个方面:
1、 上班时间进行P2P下载。因为“无聊”,所以上网要摆脱“无聊”,要找“有聊”,也就是找乐子,找事做。而由于网络的娱乐化倾向日渐严重,网络上各种娱乐形式层出不穷,同时随着企业网络带宽的增加,P2P软件技术的不断进步,P2P影视娱乐资料的日渐丰富,使得当前在企业内部的局域网中,通过利用诸如电驴、迅雷、QQ旋风、网际快车、BT、比特精灵等P2P点对点下载工具下载一些影视娱乐资料、网络游戏、恶意程序等等日渐普遍;同时,新近出现的P2P视频工具,诸如沸点网络电视、VAGAA哇嘎、卡盟、uusee悠视网、PP点点通、PPlive、PPfilm、QQlive等等P2P视频工具,通过这些P2P视频软件,在线看视频变得极为方便,但是对网络带宽的占用也极为惊人。总之,P2P软件的使用已经使得企业网络带宽捉襟见肘,网络堵车现象极为普遍,给企业的业务带来巨大的损失;所以,限制P2P软件的使用,是避免企业内部网络““群体性无聊”的基础和前提。
2、 上班时间职员玩网络游戏。当前企业内部“群体性无聊”的另外一个重要方面就是上班时间玩网络游戏。网络上经常曝光的某些事业单位、政府机关的工作人员在上班时间“斗地主“现象极为严重;而......
比绿坝更强的上网过滤软件,更适合学校、家庭使用(2009-09-15 14:18:00)
摘要:“绿坝·花季护航”由国家工信部强令国内主要的电脑厂家安装的一款针对青少年上网行为的管理软件。此软件的功能主要是:过滤色情、反动、暴力网址;限制网络游戏,限制上网聊天、屏幕截取等等。有关软件现在在国内引起了很大的争议,不过从网络管理的角度来看,这些功能或多或少地有利于保护青少年的上网,能够起到一定的管理和过滤功能。
不过,总体来看,绿坝上网过滤软件存在以下不足:
一、 添加进程名字太复杂。绿坝·花季护航有个阻止程序联网的功能,家长们可以利用它来设置让某些网络游戏无法联网。不得不说的是绿坝·花季护航这个功能设置的不够人性化,添加新的需要禁止上网的程序时,不能浏览选择该程序,需要手动键入该程序名称。这对于某些家长来说可不是一件容易的事情。
测试过程:首先将傲游主程序“Maxthon.exe”添加入绿坝·花季护航的“需要禁止上网的程序”名单中,然后测试傲游能否联网。添加后证实傲游此时已无法连接网络。然后将傲游主程序“Maxthon.exe”改名为“Maxthon1.exe”,再让改名后的傲游尝试连接网络。
测试结果:绿坝·花季护航无法拦截更名后的程序联网
二、时间控制有漏洞。由于绿坝·花季护航有时间段上网时间段控制功能,用户是否可以通过修改时间来逃过时间段控制呢?
测试过程:首先将绿坝·花季护航设置成网上10点后不能上网,然后修改系统时间为网上9点,接着测试能否正常联网。
测试结果:用户修改系统时间后可以正常浏览网页,从而跳过了时间段控制功能,笔者发现绿坝·花季护航带有“自动时间同步”功能,估计可以自动同步服务器时间来避免这个问题的发生,可是现在绿坝·花季护航的服务器貌似有问题,导致这个功能失效了。但是同步时间可以自行设置,那么如果将来绿坝的使用人数一多,那么对于服务器的同步请求量将非常可观。
三、支持IE较好,其他浏览器不好。如果用户使用的是类似于傲游之类的多标签浏览器,那么,绿坝·花季护航关闭的不是某个标签,而是整个浏览器,这样就导致不能很好地管理电脑的上网网址了。
四、安全性也容易被突破。绿坝虽然通过多进程相互守护,可以在结束进程后自动恢复。但是借助第三方同时结束绿坝·花季护航所有相关进程,结果绿坝·花季护航已经......
当前国内主要网管软件及其特点(2009-08-31 17:21:00)
摘要:随着国内企事业单位信息化建设的逐步完成,网络管理进入了运维阶段,上网行为管理理念逐步形成共识,相应地催生了对上网行为管理软件的需求,伴随着这一网络管理的最新趋势和需求,国内一时间涌现了大大小小不等的上网行为管理软件提供商,纷纷推出了各具特色、功能各异的上网行为管理系统。随着近几年的发展,上网行为管理软件厂商之间的竞争、联合也日渐明显,初步形成了主要的几家上网行为管理软件提供商。比较有代表性的是:聚生网管、深信服、网路岗、网路警等。下面笔者将分别阐述上述几家网管产品的特点,便于网管人员在选择上网行为管理软件时可以提供些微参考。
首先是聚生网管系统。这款网管软件从2004年面世以来,以精简的系统界面、强大而实用的网络管理功能、快捷的部署等优势,在国内网管软件品牌中脱颖而出,获得了国内网管人员的热烈推崇。总结起来这款软件主要有以下特点:1、部署简单。这款网管软件利用早期流行的基于虚拟网关技术的原理,可以部署在局域网的一台电脑上,就可以控制整个局域网的上网行为,不需要调整网络结构,不需要部署代理服务器、HUB集线器或者在交换机上作端口镜像等通用网管软件的部署方式;2、功能强大实用。聚生网管系统从诞生之日起就一直鲜明地举起有效控制P2P软件的旗帜、有效管理聊天软件、限制局域网各个主机的带宽流量为三大核心优势,从2004年到2009年间一直不断强化这种领先优势,而不是像国内其他网管软件一样推出功能大而全、无所不包的全方位网络管理产品。这使得聚生网管系统在监控P2P软件、限制聊天软件和实时控制电脑带宽流量等方面一直走在国内同类网管软件的前列,从实际的封堵P2P软件的效果来看还是很明显的,同时,聚生网管系统也可以有效限制股票软件、禁用网络游戏、进行IP和MAC绑定、防御局域网ARP病毒等等,不过内容监控,如邮件内容监控、外发资料内容监控功能暂时缺失。3、简单易用。聚生网管系统界面和国内其他网管系统不一样,首先基于windows MFC设计的精简界面,特别是聚生网管2009版本,将操作界面做了进一步的精简,同时还增加了更加人性化的提醒。使得聚生网管系统可以更易用,更能适合国内网管人员的技术水平。综上所述,聚生网管系统以各项优势,能够很好地满足国内企事业单位对上网行为进行管理的需要;但是,由于聚生网管系统是基于纯软件架构的网管系统,在监控较大规模的网络环境,如上千台的......