對(duì)于大多數(shù)中小企業(yè)來(lái)說(shuō)經(jīng)常遇到上網(wǎng)速度緩慢，內(nèi)網(wǎng)絡(luò)傳輸效率不高的問(wèn)題，身為企業(yè)網(wǎng)絡(luò)管理員的我們也無(wú)時(shí)不刻為內(nèi)網(wǎng)病毒與內(nèi)網(wǎng)帶寬殺手服務(wù)而煩惱，就好比我們居家過(guò)日子一樣賺錢(qián)雖然很重要，但是不會(huì)算計(jì)不會(huì)節(jié)省一樣會(huì)落得個(gè)敗家的下場(chǎng)，在網(wǎng)絡(luò)維護(hù)與管理方面也是如此，我們?cè)诓粩唷伴_(kāi)源”的基礎(chǔ)上也要學(xué)會(huì)適當(dāng)“節(jié)流”，今天筆者就從“節(jié)流”方面談?wù)勛约旱膬?nèi)網(wǎng)管理經(jīng)驗(yàn)，讓更多的IT168網(wǎng)絡(luò)頻道讀者能夠優(yōu)化自己的內(nèi)網(wǎng)，從路由下手與內(nèi)網(wǎng)服務(wù)搶帶寬。

一，內(nèi)網(wǎng)服務(wù)帶寬大戶(hù)知多少：

病毒與下載是企業(yè)內(nèi)網(wǎng)絡(luò)資源的兩大殺手，病毒中最主要的就是蠕蟲(chóng)類(lèi)病毒，感染病毒的主機(jī)會(huì)向整個(gè)網(wǎng)絡(luò)發(fā)送大量的廣播數(shù)據(jù)包，從而堵塞網(wǎng)絡(luò)，讓網(wǎng)絡(luò)鏈接時(shí)斷時(shí)續(xù)。在眾多蠕蟲(chóng)病毒中ARP欺騙蠕蟲(chóng)病毒是最讓我們頭疼的，他不僅僅會(huì)拖慢企業(yè)內(nèi)網(wǎng)速度，還會(huì)造成多個(gè)客戶(hù)端甚至全部?jī)?nèi)網(wǎng)用戶(hù)都無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)的惡劣后果。

而在下載方面的殺手主要集中P2P類(lèi)軟件，包括早些時(shí)候的BT下載與電驢，還有最近越來(lái)越瘋狂的迅雷下載。這些下載工具會(huì)同時(shí)開(kāi)啟成百的連接數(shù)進(jìn)行數(shù)據(jù)傳輸，消耗了大量的網(wǎng)絡(luò)資源。

正因?yàn)橐陨蟽煞N帶寬殺手的存在，使得帶寬擴(kuò)大效果變得非常不明顯，一些企業(yè)花費(fèi)重金購(gòu)買(mǎi)了額外的帶寬，結(jié)果發(fā)現(xiàn)只能夠起到治標(biāo)不治本的效果，企業(yè)內(nèi)網(wǎng)速度依然沒(méi)有得到有效改善。

二，從路由下手與內(nèi)網(wǎng)服務(wù)搶帶寬：

那么面對(duì)兩大帶寬殺手我們真的無(wú)能為力了嗎？在與P2P軟件和病毒的對(duì)抗中我們永遠(yuǎn)是被動(dòng)方只有招架之力嗎？答案是否定的，今天我們就要從路由下手與內(nèi)網(wǎng)服務(wù)搶帶寬，讓病毒閉嘴讓P2P軟件失效。眾所周知企業(yè)級(jí)路由器上都有很多安全策略和管理策略，我們通過(guò)這些策略和對(duì)應(yīng)功能可以實(shí)現(xiàn)“搶帶寬”以及主動(dòng)防御的目的。

（1）利用聯(lián)機(jī)數(shù)封鎖帶寬雙煞：

從工作原理上我們知道不管是蠕蟲(chóng)病毒還是P2P軟件，他都會(huì)頻繁向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，向多個(gè)主機(jī)發(fā)送連接請(qǐng)求，這樣自然會(huì)帶來(lái)本機(jī)聯(lián)機(jī)數(shù)的增加，因此我們可以通過(guò)聯(lián)機(jī)數(shù)管理控制功能實(shí)現(xiàn)對(duì)過(guò)多聯(lián)機(jī)數(shù)客戶(hù)端的封鎖與屏蔽。

第一步：連接內(nèi)網(wǎng)后進(jìn)入客戶(hù)端的命令提示窗口，通過(guò)ipconfig查詢(xún)當(dāng)前內(nèi)網(wǎng)網(wǎng)關(guān)地址，這個(gè)地址就是路由器的管理地址。例如筆者的是192.168.0.200。（如圖1）

第二步：通過(guò)瀏覽器訪(fǎng)問(wèn)這個(gè)管理地址，輸入網(wǎng)絡(luò)管理員的有效帳戶(hù)信息和密碼后確定登錄。（如圖2）

第三步：在管理界面中找到“QOS帶寬管理”->“聯(lián)機(jī)數(shù)設(shè)置”，在這里我們會(huì)看到一個(gè)名為“聯(lián)機(jī)數(shù)管控”的選項(xiàng)，我們根據(jù)實(shí)際需要設(shè)置“當(dāng)單一個(gè)IP聯(lián)機(jī)數(shù)到達(dá)5時(shí)自動(dòng)封鎖此IP所有聯(lián)機(jī)2分鐘”。這樣就能夠?qū)崿F(xiàn)自動(dòng)封殺P2P軟件與蠕蟲(chóng)病毒的功能。我們?cè)O(shè)置對(duì)應(yīng)參數(shù)后點(diǎn)“確定”按鈕保存。（如圖3）

小提示：

在聯(lián)機(jī)數(shù)管控參數(shù)中設(shè)置是非常靈活的我們可以設(shè)置內(nèi)網(wǎng)IP最大的對(duì)外聯(lián)機(jī)數(shù)，這樣當(dāng)P2P軟件聯(lián)機(jī)數(shù)到達(dá)一定程序后就不再增加了，從而避免了該軟件對(duì)內(nèi)網(wǎng)資源的進(jìn)一步侵襲。#p#

第四步：通過(guò)聯(lián)機(jī)數(shù)管控功能限制了聯(lián)機(jī)數(shù)后，我們?cè)诳蛻?hù)端上啟動(dòng)BT軟件進(jìn)行下載，封殺效果就非常明顯了，當(dāng)聯(lián)機(jī)數(shù)到達(dá)指定限制后該客戶(hù)端自動(dòng)斷網(wǎng)2分鐘。（如圖4）

第五步：在斷網(wǎng)的時(shí)間內(nèi)我們不光是P2P軟件無(wú)法使用，就是IE瀏覽器訪(fǎng)問(wèn)站點(diǎn)，F(xiàn)TP傳輸數(shù)據(jù)文件都無(wú)法正常工作，這樣就可以告誡那些總是使用P2P軟件或感染病毒的用戶(hù)不要再使用了。（如圖5）

第六步：關(guān)閉聯(lián)機(jī)數(shù)管控功能后客戶(hù)端又可以上網(wǎng)了，當(dāng)然過(guò)了兩分鐘的封鎖期該客戶(hù)端也可以恢復(fù)上網(wǎng)，但是一定要保證聯(lián)機(jī)數(shù)不要再次超過(guò)限制，否則還會(huì)再次被封鎖2分鐘。（如圖6）

小提示：

當(dāng)然如果我們希望依舊保持客戶(hù)端的WWW訪(fǎng)問(wèn)或諸如FTP的其他服務(wù)，那么可以在“不受限制的服務(wù)或IP地址”處進(jìn)行設(shè)置，這樣就算是被封殺2分鐘，在這時(shí)間段內(nèi)也可以訪(fǎng)問(wèn)WWW服務(wù)或FTP服務(wù)。具體參數(shù)需要我們?cè)O(shè)置，包括符合條件的來(lái)源IP地址，目的地址等信息。（如圖7）

#p#

（2）利用帶寬策略限制對(duì)應(yīng)服務(wù)： 　　

除了前面提到的聯(lián)機(jī)數(shù)設(shè)置功能外，我們還可以利用帶寬策略來(lái)限制內(nèi)網(wǎng)服務(wù)請(qǐng)求。

第一步：一般在中高級(jí)路由器中都提供了帶寬策略的設(shè)置功能，我們可以針對(duì)某服務(wù)以及來(lái)源IP地址，目的地址等信息設(shè)置帶寬的最小最大值。

第二步：值得注意一點(diǎn)的是在設(shè)置時(shí)一定記得添加對(duì)應(yīng)的接口位置，否則路由器不知道到底哪個(gè)接口適用該策略。

第三步：例如筆者針對(duì)FTP服務(wù)的傳輸進(jìn)行了限制，要求下載帶寬在10Kbit/s到40Kbit/s之間，并且所有客戶(hù)端共享這個(gè)帶寬。經(jīng)過(guò)設(shè)置后我們?cè)偻ㄟ^(guò)FTP下載資源時(shí)能夠明顯感到速度的降低與被限制。（如圖8）

小提示：

不過(guò)很多路由器內(nèi)置的服務(wù)管理都是針對(duì)端口的，例如FTP服務(wù)對(duì)應(yīng)的是20和21端口，我們通過(guò)該服務(wù)添加帶寬策略的話(huà)也只是針對(duì)20，20端口FTP傳輸進(jìn)行限制。有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員都知道當(dāng)我們?cè)贔TP傳輸過(guò)程中如果選擇被動(dòng)模式，那么傳輸所用的端口將不是默認(rèn)的20與21，是一個(gè)隨機(jī)的端口，這樣該策略就無(wú)法起作用了。

不管怎么說(shuō)通過(guò)帶寬策略功能我們可以有效的管理內(nèi)網(wǎng)各個(gè)服務(wù)使用的帶寬資源，限制無(wú)用網(wǎng)絡(luò)服務(wù)的使用將更多的帶寬提供為WWW服務(wù)或者有用的應(yīng)用。#p#

（3）阻擋特定服務(wù)限制IM工具通訊： 　　

在企業(yè)內(nèi)網(wǎng)實(shí)際使用過(guò)程中經(jīng)常有員工通過(guò)QQ，SKYPE或MSN進(jìn)行聊天，上班的大部分時(shí)間都被聊天替代，嚴(yán)重影響了工作效率。那么是否有辦法來(lái)限制這些IM工具進(jìn)行通訊呢？答案是肯定的，但是只能夠部分限制。

第一步：在中高級(jí)的路由器管理界面中都有阻擋特定服務(wù)的功能，阻擋的特定服務(wù)不外乎MSN，SKYPE，QQ，BT等。

第二步：我們將對(duì)應(yīng)服務(wù)與程序選中后確定保存就可以實(shí)現(xiàn)對(duì)他們的封鎖了。（如圖9）

第三步：開(kāi)啟封鎖特定服務(wù)后MSN登錄會(huì)提示“錯(cuò)誤代碼81000306”。但是在筆者實(shí)際使用過(guò)程中發(fā)現(xiàn)這些所謂的阻擋特定服務(wù)對(duì)于SKYPE與MSN很有效果，但是對(duì)于QQ和BT來(lái)說(shuō)由于這些軟件的“與時(shí)俱進(jìn)”更改了登錄協(xié)議和動(dòng)態(tài)改變端口，所以對(duì)他們來(lái)說(shuō)不起任何作用，只能夠延緩IM登錄的速度和BT傳輸?shù)乃俣?。（如圖10）

#p#

（4）訪(fǎng)問(wèn)規(guī)則設(shè)置讓員工安心工作：

除了上述多個(gè)方法從路由下手與內(nèi)網(wǎng)服務(wù)搶帶寬外，我們還可以就單個(gè)服務(wù)的傳輸進(jìn)行具體設(shè)置，在“防火墻配置”中的“訪(fǎng)問(wèn)規(guī)則設(shè)置”處可以針對(duì)某服務(wù)以及目的地址，來(lái)源地址等信息進(jìn)行設(shè)置。（如圖11）

通過(guò)巧妙設(shè)置我們可以靈活的封鎖客戶(hù)端或指定某（些）客戶(hù)端的某網(wǎng)絡(luò)服務(wù)的使用。（如圖12）

#p#

（5）從訪(fǎng)問(wèn)控制列表入手封殺外網(wǎng)Ddos攻擊：

在筆者一次實(shí)際網(wǎng)絡(luò)管理與維護(hù)中發(fā)現(xiàn)企業(yè)內(nèi)部一臺(tái)路由器速度運(yùn)行異常緩慢，訪(fǎng)問(wèn)連接該路由器下的服務(wù)器需要等待很少時(shí)間才能夠顯示頁(yè)面。為了查明原因筆者登錄該路由器執(zhí)行sh arp后發(fā)現(xiàn)有很多來(lái)自外網(wǎng)的連接請(qǐng)求，而這個(gè)服務(wù)器上的資源只針對(duì)內(nèi)網(wǎng)提供。（如圖13）

筆者懷疑正是因?yàn)檫@些外網(wǎng)連接請(qǐng)求作怪造成路由器運(yùn)行速度緩慢轉(zhuǎn)發(fā)效能降低而直接導(dǎo)致訪(fǎng)問(wèn)服務(wù)器等待時(shí)間過(guò)長(zhǎng)。經(jīng)過(guò)調(diào)試和思考筆者決定從WWW服務(wù)入手禁止外網(wǎng)的連接請(qǐng)求，經(jīng)過(guò)查詢(xún)?cè)性L(fǎng)問(wèn)控制列表沒(méi)有發(fā)現(xiàn)關(guān)于WWW服務(wù)的過(guò)濾信息。（如圖14）

因此筆者決定在原有的訪(fǎng)問(wèn)控制列表Accesslist上添加了如下語(yǔ)句——（如圖15）

access-list 100 permit tcp 58.125.0.0 0.0.1.255 any eq www　　

access-list 100 deny tcp any any eq www

添加語(yǔ)句并在對(duì)應(yīng)端口上應(yīng)用后外部網(wǎng)絡(luò)連接被全部過(guò)濾掉，我們的內(nèi)網(wǎng)客戶(hù)端可以順利的訪(fǎng)問(wèn)該服務(wù)器，一切恢復(fù)正常。

小提示：

上面兩句訪(fǎng)問(wèn)控制列表實(shí)際上的作用是容許源地址屬于58.125.0.0/255.255.0.0這個(gè)網(wǎng)段的機(jī)器訪(fǎng)問(wèn)目的地址WWW端口（80端口），而禁止其他網(wǎng)段的機(jī)器訪(fǎng)問(wèn)目的地址的WWW端口，從而實(shí)現(xiàn)了只容許內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)禁止外網(wǎng)惡意攻擊的功能。#p#

（6）雙向綁定讓ARP欺騙失效： 　　

ARP欺騙病毒是最讓網(wǎng)絡(luò)管理員頭疼的內(nèi)網(wǎng)疾病之一，當(dāng)企業(yè)內(nèi)網(wǎng)出現(xiàn)ARP欺騙病毒時(shí)最明顯的癥狀主要有兩點(diǎn)，我們可以通過(guò)這兩點(diǎn)確定ARP欺騙病毒的存在與爆發(fā)。

首先我們會(huì)發(fā)現(xiàn)ping網(wǎng)關(guān)地址出現(xiàn)時(shí)斷時(shí)續(xù)的問(wèn)題，一會(huì)可以ping通一會(huì)又是request timed out。（如圖16）

其次當(dāng)我們?cè)诒緳C(jī)執(zhí)行arp -a查看本機(jī)ARP緩存時(shí)會(huì)發(fā)現(xiàn)MAC地址出現(xiàn)重復(fù)的現(xiàn)象，例如192.168.1.1與192.168.1.252的MAC地址是一個(gè)，那么就可以肯定那臺(tái)IP地址是192.168.1.252的主機(jī)感染了ARP欺騙病毒在冒充網(wǎng)關(guān)欺騙別的地址。（如圖17）

遇到ARP欺騙病毒時(shí)我們最先要做的就是通過(guò)路由器自身的ARP數(shù)據(jù)包發(fā)送功能來(lái)抵消ARP欺騙病毒帶來(lái)的損害，一般可以設(shè)置為Arp每秒發(fā)送2到3個(gè)數(shù)據(jù)包為宜，不要太多，否則會(huì)導(dǎo)致廣播泛濫的。另外我們還需要通過(guò)雙向綁定來(lái)徹底杜絕ARP欺騙病毒帶來(lái)的危害。所謂雙向綁定就是指在路由器上執(zhí)行客戶(hù)端IP與MAC地址的綁定，而在客戶(hù)端上執(zhí)行路由器網(wǎng)關(guān)IP與MAC地址的綁定。

路由器上的綁定： 　　

登錄路由器管理界面，然后激活防止ARP病毒攻擊即可，具體方法是進(jìn)入路由器的防火的基本配置欄將“防止ARP病毒攻擊”在這一行的“激活”并確定。這樣路由器會(huì)自動(dòng)將客戶(hù)機(jī)的MAC地址與分配的IP地址進(jìn)行綁定。另外在DHCP功能中對(duì)IP/MAC進(jìn)行綁定也是可以的，一般中高級(jí)路由器都提供了一個(gè)顯示新加入的IP地址的功能，通過(guò)這個(gè)功能可以一次查找到網(wǎng)絡(luò)內(nèi)部的所有PC機(jī)的IP/MAC的對(duì)應(yīng)列表，然后針對(duì)這個(gè)列表進(jìn)行綁定IP/MAC操作即可。

客戶(hù)機(jī)上的綁定：

對(duì)每臺(tái)pc上綁定網(wǎng)關(guān)的IP和其MAC地址在每臺(tái)PC機(jī)上進(jìn)入dos操作，輸入arp ―s 192.168.1.1(網(wǎng)關(guān)IP) 00-0f-3d-83-74-28(網(wǎng)關(guān)MAC)，回車(chē)后完成每臺(tái)PC機(jī)的綁定。不過(guò)這個(gè)操作每次重新啟動(dòng)計(jì)算機(jī)后都需要重復(fù)設(shè)置，所以可以把此命令做成一個(gè)批處理文件，放在操作系統(tǒng)的啟動(dòng)里面，批處理文件可以這樣寫(xiě)——　　

@echo off 　　

arp -d 　　

arp -s路由器LAN IP 路由器LAN MAC 

通過(guò)雙向綁定可以有效的杜絕ARP欺騙病毒的爆發(fā)，即使有機(jī)器感染了該病毒后也可以將危害降低到最低。

【編輯推薦】

1. 免疫墻路由器和內(nèi)網(wǎng)安全管理技術(shù)
2. 網(wǎng)管支招：如何從地址下手封殺內(nèi)網(wǎng)迅雷下載