局域网客户端的管理
随着网络用户数量的不断增加,由此而引发的网络通信和安全故障越来越多。尤其是对网络滥用导致的网络拥塞,以及蠕虫病毒泛滥导致的性能下降,以及系统漏洞导致的恶意攻击,如果不采取相应的、有力的应对措施,那么,网络瘫痪的情形将会不断上演。由此可见,对网络客户端进行必要的、甚至是严格地控制和管理,是保障网络稳定、高效、安全运行的重要措施。
一、合理规划组织单位
网络服务中最关键的问题是安全,安全的基础是权限。那么,如何为用户划分权限呢?为每个用户分别设置权限虽然是可行的,但是,当用户数量较多时,不仅管理的工作量非常巨大,而且还有可能因操作失误使权限授予产生问题。因此,借助工作组,甚至组织单元实现对用户权限的划分,就成为提高管理效率的重要手段。原因很简单,只需将用户指定至不同的工作组或组织单元,然后,为不同的工作组和组织单元划分权限,那么,这些权限将对该工作组和组织单元中的所有用户发生作用。
Windows Server 2003服务器操作系统在Active Directory活动目录中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥“分层负责、授权自治”的优点。简而言之,组织单位就是一个比域还小的管理单位。若能善用组织单位,能尽量避免形成多域架构,节省企业成本。决定组织单位分层时该使用划分依据是十分重要的。许多系统管理员都将域结构建立成能反映其组织业务的模式。
下面介绍划分组织单位时的主要方法。
1. 以管理或对象观点划分
当以管理的观点来建立组织单位结构时,对所有拥有该组织单位的管理员来说是有利的。在Active Directory服务中,可以建立以对象观点为基础的组织单位,如使用者、计算机、应用程序、群组、打印机、安全性原则等。以逻辑性、有意义的方式建立的组织单位能有助于管理员快速、容易地完成工作。在大多数情况下,这是组织组织单位的最佳方式,因为它确保了变动的数目会减至最低。
2. 以地理观点划分
可以建立一个包含每个地域的组织单位,它将会形成一个永久、稳定的结构。但是如果预料到公司组织结构将有重大变动时,就必须以其它为考虑来设定组织单位。
3. 以商业功能观点划分
如果企业重视商业功能,可以建立以组织内不同行政职能(如市场部、IT部、行政部)划分的组织单位。即使某些特定的组织自身并不稳定,但它们对这些功能的需求却是固定的。
4. 以部门观点划分
建立能反映部门成本中心的组织单位。该方法能与当前组织相互对应,但当组织重组时将非常不稳定。
5. 以项目划分
使用这一类型的组织单位模式能以项目和成本中心为考虑,而非以部门来划分。有些组织的业务是透过项目来推动的,如软件开发工程等。
这并不是一个值得建议的组织单位结构,因为它通常不是静态的。
这种组织单位通常是其它更稳定组织单位的下层结构。要采用这种类型,切记必须指定由谁来管理该组织单位。
6. 组合方式划分
在企业的组织单位规划着,没有一个单一的规划可以满足企业全部的需要,因此将多种规划模式结合起来,应该是一种最佳的选择。
组策略(Group Policy,简称GP)是系统管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,组策略是介于控制面板和注册表之间的一种修改系统、设置程序的工具。组策略提供了一种对批量计算机高效管理的模式。因此,对于系统管理员而言,重要的不在于是不是在管理计算机,而是计算机是否允许被管理。
二、利用组策略实现用户管理自动化
随着网络内计算机数量的不断增加,软件的安装、系统安全、文件夹共享等基本操作都会成为系统管理员的“累赘”,系统维护和安全维护的工作量越来越大,尽管系统管理员变得越来越忙碌,但安全隐患和用户抱怨却越来越多,如何管理和部署这些基本操作就成为系统管理员的“心病”。
Windows 2000 Server和Windows Server 2003作为功能强大的服务器操作系统,内置强大的组策略管理平台,通过组策略管理可以完成网络环境内客户端的统一软件部署、安全设置、脚本设置、软件限制、客户端桌面环境同一部署、浏览器功能统一设置等功能,同时根据策略不同需求可以分为计算机配置策略和用户策略。如果系统管理员不想在重装系统、升级系统补丁和病毒库等琐碎的日常工作中疲于奔命,就必须要掌握组策略。借助于组策略的应用,系统管理员可以通过域控制器,让系统自动、高效地完成许多重复、繁琐的系统管理与安全管理工作,提高网络管理工作的效率和网络的安全性,保持系统和网络的稳定运行。当然,普通用户也可以借助组策略,实现对自己所使用计算机的配置与管理。
Windows 2000 Server和Windows Server 2003作为功能强大的服务器操作系统,内置强大的组策略管理平台,通过组策略管理可以完成网络环境内客户端的统一软件部署、安全设置、脚本设置、软件限制、客户端桌面环境同一部署、浏览器功能统一设置等功能,同时根据策略不同需求可以分为计算机配置策略和用户策略。如果系统管理员不想在重装系统、升级系统补丁和病毒库等琐碎的日常工作中疲于奔命,就必须要掌握组策略。借助于组策略的应用,系统管理员可以通过域控制器,让系统自动、高效地完成许多重复、繁琐的系统管理与安全管理工作,提高网络管理工作的效率和网络的安全性,保持系统和网络的稳定运行。当然,普通用户也可以借助组策略,实现对自己所使用计算机的配置与管理。
三、借助交换机实现用户访问限制
交换机特别是接入层交换机作为客户端连接网络的接口和网络传输的通道,无疑在限制客户访问时起着非常重要的作用。交换机中的访问限制可以概括为3个方面,即限制非授权用户访问网络,包括802.1x身份认证、安全端口、MAC地址绑定、禁用/启用端口;限制用户滥用网络,包括时间访问限制、网络协议和端口访问限制、IP/MAC地址访问限制、连接带宽限制;以及网络用户的隔离,包括VLAN访问限制、PVLAN访问限制、Trunk中继访问限制。
1. 基于端口的传输限制
借助对端口传输控制的配置,既可以有效杜绝广播风暴对整个网络的冲击,从而保证网络的正常通信。同时,又可以拒绝未被授权的计算机接入网络,或者限制某个端口接入计算机的数量,从而保证网络的接入安全,避免网络被个别用户滥用。
风暴控制。当端口接收到大量的广播、单播或多播包时,就会发生广播风暴。转发这些包将导致网络速度变慢或超时。借助于对端口的广播风暴控制,可以有效地避免硬件损坏或链路故障,而导致的网络瘫痪。默认状态下,广播、多播和单播风暴控制被禁用。
保护端口。保护端口可以确保同一交换机上的端口之间不进行通讯。保护端口不向其他保护端口转发任何传输,包括单播、多播和广播包。传输不能在第二层保护端口间进行,所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口间的传输不受任何影响。
端口阻塞。默认状态下,未知目的MAC地址的泛洪包被允许从端口向外传输。如果未知的单播和多播通信被转发到保护端口,将导致安全问题。可以采用阻塞端口的方式,防止未知的单播和多播通信被转在端口间转发。
端口安全。借助安全端口,可以只允许指定的MAC地址或指定数量的MAC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
传输速率限制。为了避免网络客户端滥用网络,使用PPLive、eMule、BT等P2P软件,或者收看在线影视、下载大容量文件,从而导致对网络宽带的大量占用,可以使用“rate-limit”命令限制用户接入端口的传输速率。
2.基于VLAN的访问限制
位于不同VLAN中的计算机,就像真的位于不同的物理网络一样,彼此之间无法直接通讯,而必须借助三层交换机才能实现。因此,将不同部门、甚至不同权限的计算机划分至不同的VLAN,并在三层交换机的对VLAN的访问进行限制,即可实现完美的网络客户区域控制。
当局域网内的计算机达到一定数量后(通常限制在100 ~150台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害,子网之间进行通信也必须通过路由设备。
VLAN还有一个重要好处就是提高了网络安全性。由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接相互访问。因此,通过划分VLAN,并在Trunk中限制允许通信的VLAN,就可以在物理上防止某些非授权用户访问敏感数据。
3. 基于列表的访问限制
访问控制列表(ACL,Access Control List)一种非常重要的访问控制技术,被广泛应用于路由器和三层交换机。借助ACL,可以有效地控制用户对网络和Internet的访问,从而最大限度地保障网络安全,杜绝蠕虫病毒在网络中的传播,并屏蔽P2P、即时通信等软件,使得企业网络不被滥用。如下所示,就是一个比较典型的IP访问列表。
access-list 110 deny tcp any any range 135 139
access-list 110 deny udp any any range 135 netbios-ss
access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 593
access-list 110 deny tcp any any eq 1029
access-list 110 deny tcp any any eq 4444
access-list 110 deny tcp any any eq 5000
access-list 110 deny tcp any any eq 5554
access-list 110 deny tcp any any eq 7955
access-list 110 deny tcp any any range 9995 9996
access-list 110 deny udp any any range netbios-ns netbios-dgm
access-list 110 deny udp any any eq tftp
access-list 110 deny udp any any range 995 999
access-list 110 deny udp any any eq 1434
access-list 110 deny udp any any gt 8890
access-list 110 deny tcp any any gt 8890
access-list 110 permit ip any any
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。不过,由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到“端到端”的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
4. 基于端口的身份认证
IEEE 802.1x执行基于端口的网络访问控制。基于端口的网络访问控制使用交换的局域网(LAN)基础设施的物理特征来验证连接到LAN端口的设备,并防止访问身份验证进程已经失败的那个端口。IEEE802.1x身份验证用于对有线以太网和无线IEEE 802.11网络进行经过身份验证的网络访问。IEEE802.1x通过提供对集中式用户标识、身份验证、动态密钥管理和计帐的支持来提高安全性和部署。
四、网络客户端资产管理
Microsoft Systems Management Server 2003(以下简称SMS)SP2 是微软推出的用于中小型企业IT资产管理、软件产品更新、操作系统部署、远程管理的一套企业级的管理软件,它的主要功能是,可以统计企业内部的IT硬件系统和软件系统清单,并生成相关报表,对客户端的计算机软硬件进行实时的监控和管理;对MSI格式的软件包进行批量分发,并定期进行软件包的维护更新,确保用户使用的是最新版本;可以利用其自带的Remote Control功能,对于安装出现问题的用户进行远程除错;在R2版本中还提供了操作系统部署等高级功能。
SMS 2003和其他网络管理软件一样,必须在主控计算机(服务器)和客户机上分别安装好服务器端和客户端之后才可以使用。SMS 2003对计算机系统的要求比较高,尤其是服务器端,建议大家采用Windows 2003 Sever,至于客户端如果不能达到系统的安装要求,则可能导致某些功能不能使用,甚至不能安装。
五、网络客户端补丁管理
Windows系统漏洞可谓屡见不鲜、层出不穷,而且其危险性和危害性也是越来越大。因此,及时更新系统补丁、堵塞系统漏洞,保证Windows系统安全,就成为网络管理人员的当务之急。WSUS(Windows Software Update Service)作为微软为数不多的免费服务程序,允许管理员在Windows工作站和服务器上快速、可靠的部署重大更新和安全更新。更让人欣慰的是,WSUS 3.0已经可以支持Windows Vista系统的安全管理更新服务。
本文转自
刘晓辉 51CTO博客,原文链接:http://blog.51cto.com/liuxh/42152 ,如需转载请自行联系原作者
