ISA服務器檢測界面

惡意用戶與病毒木馬的襲擊讓內網用戶驚魂不定，公司早期網絡留下的漏洞故障讓網管員疲于應付，該如何改變這種網絡結構滯后的狀況呢?

隨著企業網絡規模的擴大與計算機數量的增多，和普通計算機需要不斷更新換代一樣，企業內部網在實際運行過程中也會慢慢出現效率低下、不滿足當前運行環境的情況。如何改變這種網絡結構滯后的狀況呢？

局域網中眾多計算機出現問題而不能使用，整個網絡速度在上班高峰時間非常緩慢。究其原因，不外乎以下幾點：

1.由于大多數客戶機安裝的是Windows操作系統，而員工沒有及時更新Windows操作系統的補丁，導致計算機系統存在多個漏洞。員工在瀏覽一些網站時，感染了針對某個漏洞的木馬或病毒，這些木馬或病毒會嘗試掃描并攻擊網絡中其他計算機。另外，木馬或病毒還會嘗試在后臺瀏覽廣告網站或者下載一些病毒程序，這都占用了大量的網絡帶寬。

2.現在大多數單位都安裝了殺毒軟件，但許多員工沒有及時更新病毒庫，或者雖然更新了病毒庫，但當感染病毒時也不會清除。

3.某些員工習慣于瀏覽一些網站，或者經常下載一些軟件或電影，而現在提供軟件或電影下載的網站，為了自身的利益，都會捆綁一些流氓軟件或者木馬程序，有的軟件還帶有病毒。

4.現在許多機器感染了ARP病毒，這也是網絡緩慢的一個原因。

5.一些單位沒有劃分VLAN，這樣，當單位中一臺計算機感染病毒并掃描整個網絡或者對整個網絡的計算機進行攻擊時，也會導致整個網絡癱瘓。

找到問題的根源后，就需要針對以上問題逐步進行解決。

劃分VLAN 必不可少

雖然很多企業也有三層交換機，但是并沒有劃分VLAN。沒有劃分VLAN的原因很多，一個最主要的原因就是遺留問題。剛開始的時候，企業中計算機數量比較少，沒有劃分的必要，而隨著計算機數量的增多，也沒有人考慮這個問題。當單位的計算機數量在80臺以上的時候，就要考慮劃分VLAN。劃分VLAN后，可以屏蔽VLAN之間的廣播，當網絡中的計算機出現問題導致對外廣播大量數據包的時候，只會影響自己的VLAN（當然，如果每個VLAN中都有大量廣播數據包的計算機，也會影響整個網絡）。劃分VLAN最少需要一個三層交換機。在劃分的時候，可以按照樓層或者按照部門的原則劃分。如果網絡中沒有三層交換機，而單位中計算機數量又不是非常多的時候，可以在Windows 2000 Server或者Windows Server 2003的計算機上，安裝多塊網卡。每個網卡連接一臺交換機，使用Windows Server 2003的軟路由劃分VLAN，可以完成三層交換機的功能。

劃分VLAN后，還要將單位中每臺計算機（尤其是服務器）的MAC地址與IP地址綁定。在這方面，政府部門做的最好，幾乎所有的政府部門，計算機的MAC地址與IP地址進行了綁定。但許多機關、事業單位、學校的網絡沒有綁定，這就導致現在ARP病毒爆發時，單位的網絡速度奇慢。

自動升級 安全可靠

單位工作站操作系統大多是Windows XP、Windows 2000、Vista，辦公軟件用Office，上網用IE，如果這些系統或軟件沒有及時更新Microsoft發布的最新補丁，在上網的時候就可能遭受攻擊或者感染木馬、病毒程序。即使機器不上網，如果單位中其他計算機感染了病毒或木馬，也會被感染。

在企業網絡中采用Microsoft的WSUS服務器，可以很好地解決這個問題。WSUS當前版本是3.0，可以為Windows 2000、Windows XP、Windows Server 2003、Windows Vista、IE6、IE7、Office 2003、Office XP、Office 2007、SQL Server等產品提供補丁程序。WSUS的安裝與配置本文不做過多介紹，只是要注意以下幾個問題：

1.在WSUS第一次安裝好之后，首先要從Microsoft網站進行更新，更新之后，要手動審批補丁之后，補丁文件才會下載。

2.在補丁下載完成后，修改WSUS的選項，并創建自動審批、自動下載選項，以后WSUS可以不經管理員手動審批即可以自動從Microsoft網站下載補丁到WSUS服務器。

3.工作站配置好后，可以進入命令提示符，使用wuauclt/detectnow或wuauclt1/detectnow命令，立刻與局域網內的WSUS進行同步，并且可以使用netstat an命令檢查到WSUS服務器的連接，如果與WSUS服務器連接正常，應該有到服務器IP地址與端口的連接信息。

大多數殺毒軟件，例如卡巴斯基、NOD32、金山毒霸等，都提供了局域網升級功能，只要在網絡中找一臺計算機做服務器，這臺服務器從廠商的網站升級，并把病毒庫作為共享文件夾，網絡中其他工作站都可以從共享文件夾或該Web服務器升級。只要及時升級病毒庫并開始文件實時防毒功能，一般情況下，都能對計算機進行很好的防護。

精選工具 全面監控

大多數單位上網，都是用的路由器的NAT功能，也有的單位購買硬件防火墻。硬件防火墻配置復雜、更改配置不易，不易增加垃圾網站或者有問題網站的禁止訪問列表，而路由器中的NAT就沒有這項功能。此時，可以用好的軟件防火墻，例如Microsoft的ISA Server代替原來的路由器或硬件防火墻，改進網絡出口的管理。

使用ISA Server的時候，如果啟用“入侵檢測”后，外網對ISA Server的掃描、入侵都會被ISA Server拒絕并刻錄下對方的IP地址（如圖），在啟用“定義連接限制”后，可以限制內網中每個IP地址每分鐘最大的并發連接數。當達到或超過限制后，在ISA Server上會刻錄該IP地址并限制該IP進行新的連接。這樣，當單位中的計算機感染木馬或病毒，試圖在網絡上廣播時，會在第一時間被ISA Server記錄。同時，如果內網中的計算機使用BT、Flashget等多線程或P2P工具下載軟件時，達到限制的并發連接數也會被ISA Server記錄。管理員可以通過ISA Server的監視記錄查看入侵或超過限制的計算機的IP地址。

在本文介紹的方案指導下，近兩年來給多個政府、企業、學校進行了網絡升級改造，從這些單位最近兩年的使用情況來看，效果非常好。但在使用過程中，也需要注意某些問題。如保存WSUS升級補丁的硬盤一定要有足夠的空間。另外，服務器硬盤相對來說都比較小。在這種情況下，我們給服務器增加新的硬盤，要使用Windows Server 2003的動態卷功能，把WSUS補丁所在分區轉換成動態卷，并且把新安裝的硬盤轉換成動態卷，擴展保存WSUS補丁所在的硬盤分區，增加硬盤的可用空間，然后重新從Microsoft網站同步并下載補丁。

變廢為寶

網絡升級改造要如何充分利用現有網絡環境？

線路類的利用

在最近5年內建設的企業局域網的布線系統都應有千兆升級能力。水平布線系統中的超五類雙絞線有千兆能力，兩端的超五類信息模塊也有千兆能力。垂直主干布線系統的多模光纖也有千兆能力。因此現有的網絡布線是可以直接利用的，不需做任何改造就能向千兆擴容。需要擴容的關鍵是網絡設備。

網絡設備的利用

對于網絡設備的利用策略是一線退二線、升級一線。10/100M的快速以太網交換機作的核心現在可退居二線。這種交換機可以做局部的桌面級工作組交換機來使用，因此可以移至網絡的末端，在接入密度較高的工作組辦公區使用。而網絡中心的核心交換機則換成千兆交換機。