ISA服務器檢測界面

惡意用戶與病毒木馬的襲擊讓內網(wǎng)用戶驚魂不定，公司早期網(wǎng)絡留下的漏洞故障讓網(wǎng)管員疲于應付，該如何改變這種網(wǎng)絡結構滯后的狀況呢?

隨著企業(yè)網(wǎng)絡規(guī)模的擴大與計算機數(shù)量的增多，和普通計算機需要不斷更新?lián)Q代一樣，企業(yè)內部網(wǎng)在實際運行過程中也會慢慢出現(xiàn)效率低下、不滿足當前運行環(huán)境的情況。如何改變這種網(wǎng)絡結構滯后的狀況呢？

局域網(wǎng)中眾多計算機出現(xiàn)問題而不能使用，整個網(wǎng)絡速度在上班高峰時間非常緩慢。究其原因，不外乎以下幾點：

1.由于大多數(shù)客戶機安裝的是Windows操作系統(tǒng)，而員工沒有及時更新Windows操作系統(tǒng)的補丁，導致計算機系統(tǒng)存在多個漏洞。員工在瀏覽一些網(wǎng)站時，感染了針對某個漏洞的木馬或病毒，這些木馬或病毒會嘗試掃描并攻擊網(wǎng)絡中其他計算機。另外，木馬或病毒還會嘗試在后臺瀏覽廣告網(wǎng)站或者下載一些病毒程序，這都占用了大量的網(wǎng)絡帶寬。

2.現(xiàn)在大多數(shù)單位都安裝了殺毒軟件，但許多員工沒有及時更新病毒庫，或者雖然更新了病毒庫，但當感染病毒時也不會清除。

3.某些員工習慣于瀏覽一些網(wǎng)站，或者經(jīng)常下載一些軟件或電影，而現(xiàn)在提供軟件或電影下載的網(wǎng)站，為了自身的利益，都會捆綁一些流氓軟件或者木馬程序，有的軟件還帶有病毒。

4.現(xiàn)在許多機器感染了ARP病毒，這也是網(wǎng)絡緩慢的一個原因。

5.一些單位沒有劃分VLAN，這樣，當單位中一臺計算機感染病毒并掃描整個網(wǎng)絡或者對整個網(wǎng)絡的計算機進行攻擊時，也會導致整個網(wǎng)絡癱瘓。

找到問題的根源后，就需要針對以上問題逐步進行解決。

劃分VLAN 必不可少

雖然很多企業(yè)也有三層交換機，但是并沒有劃分VLAN。沒有劃分VLAN的原因很多，一個最主要的原因就是遺留問題。剛開始的時候，企業(yè)中計算機數(shù)量比較少，沒有劃分的必要，而隨著計算機數(shù)量的增多，也沒有人考慮這個問題。當單位的計算機數(shù)量在80臺以上的時候，就要考慮劃分VLAN。劃分VLAN后，可以屏蔽VLAN之間的廣播，當網(wǎng)絡中的計算機出現(xiàn)問題導致對外廣播大量數(shù)據(jù)包的時候，只會影響自己的VLAN（當然，如果每個VLAN中都有大量廣播數(shù)據(jù)包的計算機，也會影響整個網(wǎng)絡）。劃分VLAN最少需要一個三層交換機。在劃分的時候，可以按照樓層或者按照部門的原則劃分。如果網(wǎng)絡中沒有三層交換機，而單位中計算機數(shù)量又不是非常多的時候，可以在Windows 2000 Server或者Windows Server 2003的計算機上，安裝多塊網(wǎng)卡。每個網(wǎng)卡連接一臺交換機，使用Windows Server 2003的軟路由劃分VLAN，可以完成三層交換機的功能。

劃分VLAN后，還要將單位中每臺計算機（尤其是服務器）的MAC地址與IP地址綁定。在這方面，政府部門做的最好，幾乎所有的政府部門，計算機的MAC地址與IP地址進行了綁定。但許多機關、事業(yè)單位、學校的網(wǎng)絡沒有綁定，這就導致現(xiàn)在ARP病毒爆發(fā)時，單位的網(wǎng)絡速度奇慢。

自動升級 安全可靠

單位工作站操作系統(tǒng)大多是Windows XP、Windows 2000、Vista，辦公軟件用Office，上網(wǎng)用IE，如果這些系統(tǒng)或軟件沒有及時更新Microsoft發(fā)布的最新補丁，在上網(wǎng)的時候就可能遭受攻擊或者感染木馬、病毒程序。即使機器不上網(wǎng)，如果單位中其他計算機感染了病毒或木馬，也會被感染。

在企業(yè)網(wǎng)絡中采用Microsoft的WSUS服務器，可以很好地解決這個問題。WSUS當前版本是3.0，可以為Windows 2000、Windows XP、Windows Server 2003、Windows Vista、IE6、IE7、Office 2003、Office XP、Office 2007、SQL Server等產(chǎn)品提供補丁程序。WSUS的安裝與配置本文不做過多介紹，只是要注意以下幾個問題：

1.在WSUS第一次安裝好之后，首先要從Microsoft網(wǎng)站進行更新，更新之后，要手動審批補丁之后，補丁文件才會下載。

2.在補丁下載完成后，修改WSUS的選項，并創(chuàng)建自動審批、自動下載選項，以后WSUS可以不經(jīng)管理員手動審批即可以自動從Microsoft網(wǎng)站下載補丁到WSUS服務器。

3.工作站配置好后，可以進入命令提示符，使用wuauclt/detectnow或wuauclt1/detectnow命令，立刻與局域網(wǎng)內的WSUS進行同步，并且可以使用netstat an命令檢查到WSUS服務器的連接，如果與WSUS服務器連接正常，應該有到服務器IP地址與端口的連接信息。

大多數(shù)殺毒軟件，例如卡巴斯基、NOD32、金山毒霸等，都提供了局域網(wǎng)升級功能，只要在網(wǎng)絡中找一臺計算機做服務器，這臺服務器從廠商的網(wǎng)站升級，并把病毒庫作為共享文件夾，網(wǎng)絡中其他工作站都可以從共享文件夾或該Web服務器升級。只要及時升級病毒庫并開始文件實時防毒功能，一般情況下，都能對計算機進行很好的防護。

精選工具 全面監(jiān)控

大多數(shù)單位上網(wǎng)，都是用的路由器的NAT功能，也有的單位購買硬件防火墻。硬件防火墻配置復雜、更改配置不易，不易增加垃圾網(wǎng)站或者有問題網(wǎng)站的禁止訪問列表，而路由器中的NAT就沒有這項功能。此時，可以用好的軟件防火墻，例如Microsoft的ISA Server代替原來的路由器或硬件防火墻，改進網(wǎng)絡出口的管理。

使用ISA Server的時候，如果啟用“入侵檢測”后，外網(wǎng)對ISA Server的掃描、入侵都會被ISA Server拒絕并刻錄下對方的IP地址（如圖），在啟用“定義連接限制”后，可以限制內網(wǎng)中每個IP地址每分鐘最大的并發(fā)連接數(shù)。當達到或超過限制后，在ISA Server上會刻錄該IP地址并限制該IP進行新的連接。這樣，當單位中的計算機感染木馬或病毒，試圖在網(wǎng)絡上廣播時，會在第一時間被ISA Server記錄。同時，如果內網(wǎng)中的計算機使用BT、Flashget等多線程或P2P工具下載軟件時，達到限制的并發(fā)連接數(shù)也會被ISA Server記錄。管理員可以通過ISA Server的監(jiān)視記錄查看入侵或超過限制的計算機的IP地址。

在本文介紹的方案指導下，近兩年來給多個政府、企業(yè)、學校進行了網(wǎng)絡升級改造，從這些單位最近兩年的使用情況來看，效果非常好。但在使用過程中，也需要注意某些問題。如保存WSUS升級補丁的硬盤一定要有足夠的空間。另外，服務器硬盤相對來說都比較小。在這種情況下，我們給服務器增加新的硬盤，要使用Windows Server 2003的動態(tài)卷功能，把WSUS補丁所在分區(qū)轉換成動態(tài)卷，并且把新安裝的硬盤轉換成動態(tài)卷，擴展保存WSUS補丁所在的硬盤分區(qū)，增加硬盤的可用空間，然后重新從Microsoft網(wǎng)站同步并下載補丁。

變廢為寶

網(wǎng)絡升級改造要如何充分利用現(xiàn)有網(wǎng)絡環(huán)境？

線路類的利用

在最近5年內建設的企業(yè)局域網(wǎng)的布線系統(tǒng)都應有千兆升級能力。水平布線系統(tǒng)中的超五類雙絞線有千兆能力，兩端的超五類信息模塊也有千兆能力。垂直主干布線系統(tǒng)的多模光纖也有千兆能力。因此現(xiàn)有的網(wǎng)絡布線是可以直接利用的，不需做任何改造就能向千兆擴容。需要擴容的關鍵是網(wǎng)絡設備。

網(wǎng)絡設備的利用

對于網(wǎng)絡設備的利用策略是一線退二線、升級一線。10/100M的快速以太網(wǎng)交換機作的核心現(xiàn)在可退居二線。這種交換機可以做局部的桌面級工作組交換機來使用，因此可以移至網(wǎng)絡的末端，在接入密度較高的工作組辦公區(qū)使用。而網(wǎng)絡中心的核心交換機則換成千兆交換機。