作者:铃
Hi,大家好,随着网络的流行,部署局域网的企业越来越多,如何做一个“懒惰”的网管,将这个网络治的服服帖帖的呢?不用说,自然是要靠软件和正确的设置哩~这个是地球人都知道的事情。(笑。别拿番茄砸俺啊!)
不用说,所有的网管都头疼几个问题:网络管制(如禁止BT等P2P或者软件下载)、病毒防护、补丁安装,这些问题是所有网管都很头疼的一个事。借助KV和其他软件共同配合,我们就能搭建起一个强壮的,安全的企业网络,为企业的电子化办公保驾护航。希望下面的方法能对您的网络管理有所帮助,这样俺就很开心了。
网络安全,从“头”做起
说到边界,就是整个公司网络的一个出口处,所有的数据都会从这里流进流出,当然,如果有钱购买专业的路由,那么就不用费事了。但是毕竟专业的路由又贵,投资又大,不是大的公司一般不会考虑的。(便宜的又不好选,容易出乱子)
正所谓饮水思源,切断网络毒害的源头就要从边界做起。只要在这里做好了,任凭下面的人员再狡猾,我们也可以通过规则,轻轻松松的将他们切断。不过哩,狐狸也不是笨蛋,他们会变着方法突破层层封锁,所以哪,没有哪个规则是可以吃遍天下的哟~
一般来说,软路由,俺推荐微软的ISA或者ROUTER OS,这2个是俺用过比较好的路由软件。均具有防火墙功能(众人:ISA本来就是防火墙!)。
ROUTER OS是一个基于Linux内核的专业路由软件,安装简单,而且很小,包括安装程序只有16M,可以说是非常mini的一个好东西,但麻雀虽小,五脏俱全哩。
安装十分的简单轻松,将一台空的机器设置成从光盘启动即可,放入ROUTE OS光盘即可进行安装,安装过程也十分的轻松简单,这里就不多废话了。
装好并设置好以后,除了一般的防火墙的功能外,我们还可以通过他观察整个网络的流量,并且可以制作规则来限制,例如某些关键字就进行拦截之类的。可以说是非常好的一个软路由哦!
至于ISA,不用说,地球人都知道,这个是微软的又一安全利器。除了是一个优秀的企业级防火墙之外,也是一个优秀的软路由哦。其基于MSSQL的日志让我们可以很轻松的进行第三方的日志报表的制作,当然,它本身提供的报表功能也是非常强悍的。可以很直观的看出哪个工作站在哪个时间段内流量特别大,哪个网站的访问率最高,这样就可以根据需要制定相应的规则来封杀那些不该看的网站哩。(看网络扫描/攻击日志不过是其中的一个小功能)
不过哪,狡猾的狐狸是会用代理软件来突破封锁的,这个时候,就需要具有相关的经验咯。但是有一点是可以肯定的,由于使用了代理,那么,大部分的流量都会流向代理服务器,这就成为判断是否是代理服务器的根据之一。
这两个软件无疑是网管从源头控制网络的利器之一,因为使用上比较方便,俺经常使用。有兴趣的话,可以去看看相关的资料,这里就不多说咯~
据说KV跟华为合作,似乎会推出路由级的防毒产品,如果真的推出了,应该是一款不错的路由级防毒产品,这样就能真正的实现,从源头切断病毒!
KV网络版,网络防毒新选择
用过单机版的朋友肯定对单机版的强悍功能印象深刻。网络版则是在单机版的基础上增加了网络管理功能所形成的一个方便的网络防毒解决方案。
刚才已经说明了如何从源头切断病毒的入侵,这样就万无一失了?no,no,no。随着电子化程度的提高,病毒已经无处不在,无孔不入。电邮,IM,P2P等等都已经成了病毒入侵的常见手段。使用边界隔离互联网虽然是一个不错的选择,但是,并不是万无一失的。不管我们网管员怎么劝导,总是会有一些好奇心特强的员工喜欢胡乱的下载。无奈之下,防病毒软件是不得不使用的利器。
先说下为什么我喜欢什么XPSP2作为工作站的平台。主要还是因为其集成了一个内置的网络防火墙的缘故,其次是因为对SUS(软件更新服务)的支持比2000要好许多,这对于懒惰的管理员来说是一个不错的好消息。
不过许多企业并不特别限制员工一定要使用某个系统,有些企业是允许员工自行重装系统的,这样就给网络管理增加了不少难度。比较标准的管理方法是将其限制在user权限下,而不是放任自流的administrator权限。不过这个就不在考虑之列只是稍微说说罢了。(笑)
KV的整体部署上十分的方便,服务器端的安装很轻松,一路Next的风格让人倍感惬意,安装完毕之后,使用默认密码admin即可进入管理器(记得改密码!!!!!!切记!!!!)。如下图所见,我们可以看到整个网段内的计算机,如果没有安装的话,就是灰色的:-(,当然,不同的图标有不同的意思,这里就不详细解释了,因为说明书更详细。
KV网络版管理器
当然,如果你喜欢,你也可以对其进行分组,以便管理。比如将财务部门的机器归在一起,业务部门的机器归在一起,这样看起来不仅直观,而且在管理上能带来很大的便利。
如果使用了域,就可以使用域分发的模式进行安装,如图所见,确实十分的方便,只要钩选要安装的机器就可以了,当有用户登陆的时候就会自行安装了。不过这种模式有个缺点。必须有用户登陆才能使安装继续下去。:-(
要是你是一个标准的懒人,那么你肯定会觉得这种方法十分的笨拙,要亲自跑现场装,那还了得?要是当前的使用者点了取消,那就更麻烦了。编写脚本?繁琐又麻烦,而且效果还不一定好。怎么办呢?如果网络情况跟我上面所提出的方法一样,那么使用KV网络版来管理就相对轻松了不少,怎么说呢?因为可以设置一个统一的administrator账号,这样在管理上就来得方便许多。
KV网络版提供了一个可以直接通过后台安装的模式,无声无息的将客户端装在目标机器上,这样不仅仅不会影响到当前正在使用计算机的用户,而且还能快速的完成部署任务,加之能提高网络的整体安全性,何乐而不为?
除了工作站之外,是不是别的就不用安装了呢?当然话不是这么说的啦,例如web,ftp,mail服务器都是应该重点保护的对象,在上面安装反病毒软件可以降低病毒的传播速度,增加整个网络的安全度。如果使用的是ISA作为边界,记得要在ISA服务器上安装KV哟,这样可以在源头上增加一层保护的哩。(笑)
部署完了并不是说就万事大吉了,别忘了病毒是天天在更新的!所以,我们也应该天天更新病毒库的!网络版最大的好处就是可以集中管理,这样你就不用一台台的跑,一台台的设,只要在管理器上设置好升级的时间,方式之后,就能很轻松的进行升级。因为KV网络版一般是每天早上8点左右升级,所以记得要将网络版的主控制器设置为每天早上9点升级或者更晚一些(个人经验:但是不要超过11点,这个时候网络正繁忙)。而客户端则推荐是每天主控制器升级的时间再加30分钟进行升级。
个人来说,推荐文件服务器(Web,FTP等,甚至mail服务器也可以使用)上使用单机版的2006,虽然管理上不大方便,不过由于有BootScan技术,你可以设定其检查关键的目录,并且设定好定期重启,这样就可以在每次重启的时候对关键目录进行查杀,以避免病毒的潜伏。(由于单机版的升级时间是在晚上,所以可以错开升级时间,设为凌晨升级以避开高峰期)
BootScan
懒人懒办法,补丁自动打
网管员的一个头疼的问题就是windows的补丁升级的问题,网络不大,走走手动升级下就OK了,大一点的话,还这样搞就会头疼死。加上不管怎么设置,如果升级的客户端太多,会严重影响网络速度的。
有人可能会说,装了KV就万事大吉了。不好意思,我想说一下,KV也不是万能的,如果病毒反复感染,结果造成死循环,那就头疼了。(例如冲击波)所以,安装补丁彻底堵死安全漏洞才是安全之道。
人总是会懒惰的,所以SUS(软件更新服务)就诞生了。这个就是微软提供的局域网补丁解决方案。
SUS在安装上也算是比较简单的,但是最好是将其装在一****立的计算机上用做升级服务器,因为SUS工作时比较消耗内存,一般还是推荐将其独立以避免一些无所谓的问题,比如内存消耗过大导致的死机之类的。
SUS在安装上十分的傻瓜化,一路Next的向导风格,只要顺利安装完毕就不用担心太多问题。安装完毕后,需要在客户端上进行一些设置,如果有域的话,可以做一个域策略就可以轻松解决了。如果没有,记得装完系统的时候就进行设置,或者导出成一个模板,这些具体的细节可以在微软的TechNet或者在Google上找到,这里我就不复述了。
安装完以后,可以使用微软提供的MBSA(Microsoft Baseline Security Analyzer)评估安全漏洞并自动使用SUS进行升级。这点是非常人性化的。
大家对冲击波应该还记忆犹新吧?反复感染是清除冲击波最大的麻烦,当SUS下载完升级补丁之后,我们即可断网,使用KV进行全网查杀,之后再借助SUS的来完成全网补丁的安装!KV网络版+SUS不得不说是企业网络管理中的一个绝配!
网络安全,重在管理
虽然软件的功能很强,但缺乏有效管理的网络依然是十分脆弱的。有效的管理,有效的防护,再加上KV的守护,那么这个网络的安全就能得到有效的保障。希望KV能在您的工作生活中给您带来更多的帮助和便利!
