局域網(wǎng)安全管理的布置與實(shí)現(xiàn)

　　為一個(gè)科研機(jī)構(gòu)、一所高校或者政府部門組建的一個(gè)內(nèi)部局域網(wǎng),不論是ATM、快速以太網(wǎng),還是FDDI、令牌環(huán),對(duì)用戶來(lái)說(shuō),使用起來(lái)感覺上沒有多少差別,但從網(wǎng)絡(luò)管理角度上,怎樣安全管理網(wǎng)中的工作組、個(gè)人計(jì)算機(jī),則是一個(gè)重要而且復(fù)雜的問題。下面將介紹一個(gè)簡(jiǎn)便的解決辦法,希望能對(duì)中小型企業(yè)網(wǎng)有所借鑒。

　　網(wǎng)絡(luò)連接方法

　　解決辦法的關(guān)鍵一環(huán)是使用匯訊企業(yè)版管理軟件,匯訊企業(yè)版2.0是多贏軟件公司最新推出的基于GateWay方式的軟件,不但支持Windows 2000/03,而且支持Windows NT 4.0;SyGate2.0軟件支持微軟的撥號(hào)網(wǎng)絡(luò),支持多種物理連接,如PSTN撥號(hào),ISDN、ASDL和Cable Modem,支持幾乎所有的Internet應(yīng)用和協(xié)議。另外,因?yàn)閰R訊企業(yè)版使用了低級(jí)包交換技術(shù),性能極佳,是解決小局域網(wǎng)的安全、管理等方面問題比較理想的選擇。在小局域網(wǎng)中利用一臺(tái)微機(jī)作為網(wǎng)關(guān),處理進(jìn)出的網(wǎng)絡(luò)流量,其它微機(jī)通過(guò)網(wǎng)關(guān)間接與Internet連接,這樣,局域網(wǎng)內(nèi)的微機(jī)感覺就象直接上網(wǎng)一樣,在客戶端只需要在控制面板上作一點(diǎn)修改,就可以直接調(diào)用瀏覽器、FTP、News、Internet、Mail、ICO、Netmeeting、MIRC等客戶軟件,不需要另外的特別設(shè)置。

　　我們的應(yīng)用大環(huán)境是通過(guò)DDN專線連接Internet,網(wǎng)絡(luò)布線采用綜合布線,接線口就在微機(jī)旁邊的墻壁上,直接接入即可使用,小局域網(wǎng)由六臺(tái)微機(jī)組成,它們是小范圍的群體集合——一個(gè)開發(fā)組,除了PC-1安裝Windows NT 4.0操作系統(tǒng)外,其余全部安裝Windows 95操作系統(tǒng),PC-1計(jì)算機(jī)作為與外部連接的網(wǎng)關(guān),安裝SyGate2.0軟件。

　　優(yōu)點(diǎn)

　　1. 保留了原有局域網(wǎng)功能

　　我們?cè)谛【钟蚓W(wǎng)上工作和學(xué)習(xí)如同在大環(huán)境上一樣,如:瀏覽Internet網(wǎng),下載文件,共享其他單位的共享文件,發(fā)郵件等。

　　2. 經(jīng)濟(jì)實(shí)惠

　　這種方案是一個(gè)大局域網(wǎng)中的小局域網(wǎng)的方案,服務(wù)器是一臺(tái)PC機(jī),根據(jù)單位的現(xiàn)有條件挑選一個(gè)較好的PC機(jī)就行,只須在PC機(jī)上加一塊網(wǎng)卡,而網(wǎng)卡性能一般且較便宜的只有100元錢左右,功能較強(qiáng)、質(zhì)量較好的也只不過(guò)300多元,實(shí)現(xiàn)起來(lái)經(jīng)濟(jì)實(shí)惠。

　　3. 安全性較強(qiáng)

　　在小局域網(wǎng)上建立了入網(wǎng)限制、用戶權(quán)限、受托權(quán)限以及文件和目錄屬性等四級(jí)安全機(jī)制,從而有效地防止了對(duì)重要數(shù)據(jù)和文件的竊取及破壞。小局域網(wǎng)內(nèi)的計(jì)算機(jī)均可以瀏覽Internet網(wǎng),但不顯露在大局域網(wǎng)上,給黑客的侵入加了一道防線,給病毒的干擾減少了一次機(jī)會(huì),按這種方式建網(wǎng)安全性就會(huì)相應(yīng)的高一些,就我們的應(yīng)用經(jīng)驗(yàn)來(lái)說(shuō),網(wǎng)上運(yùn)行安全性是至關(guān)重要的,安全是我們共享資源的可靠保證,也是我們做好目前工作的前提。

　　4. 便于管理

　　我們的小局域網(wǎng)中的計(jì)算機(jī),在內(nèi)部相互看得到,出了我們這個(gè)小范圍,其他單位看不到我們的個(gè)人計(jì)算機(jī),這樣我們就可以放心地共享我們的文件和打印,尤其是共同開發(fā)同一個(gè)項(xiàng)目和利用同一個(gè)題案時(shí),更顯出其優(yōu)越性。

　　性能測(cè)試初探

　　在我們?cè)噲D評(píng)估這個(gè)小局域網(wǎng)的性能時(shí),我們發(fā)現(xiàn)評(píng)估的難度非常大,大到我們掌握的材料及工具幾乎是不可能的,所以我們改為去監(jiān)視它的瓶頸,從這方面入手來(lái)提高系統(tǒng)性能,提高效率。

　　1. 利用性能監(jiān)視程序收集測(cè)試數(shù)據(jù)

　　我們的小局域網(wǎng)的服務(wù)器配置是PC/586/300MHz/64M/6.4G,操作系統(tǒng)是Windows NT4.0,IIS 3.0,利用性能監(jiān)視程序可以實(shí)時(shí)地監(jiān)視一個(gè)系統(tǒng),也就是說(shuō)所監(jiān)視的對(duì)象是當(dāng)前發(fā)生的,所看到的對(duì)象的值,是反映該對(duì)象在一個(gè)最小的事件間隔內(nèi)的實(shí)際值。性能監(jiān)視程序把事件定義為對(duì)象,對(duì)象可以是系統(tǒng)、處理器、進(jìn)程、線程和其它類似的項(xiàng)目,對(duì)象可以分為不同的計(jì)數(shù)器,例如:系統(tǒng)對(duì)象包括統(tǒng)計(jì)總的處理時(shí)間(系統(tǒng)總的處理器利用率),總的中斷時(shí)間(系統(tǒng)產(chǎn)生的總的中斷時(shí)間),總的特權(quán)時(shí)間(系統(tǒng)在核心態(tài)運(yùn)行的總時(shí)間)以及其它指標(biāo)所占的百分比,每一個(gè)對(duì)象都對(duì)應(yīng)一個(gè)計(jì)數(shù)器,在計(jì)數(shù)器內(nèi)部又可以有若干個(gè)事例,比如:有兩個(gè)處理器,在事例中就會(huì)發(fā)現(xiàn)兩個(gè)編號(hào)分別為0和1或者指定不同的名字。如監(jiān)視RAS端口對(duì)象計(jì)數(shù)器,在事例中將包括Com1、Com2以及RAS連接的數(shù)目,這樣我們就可以收集大量的與網(wǎng)絡(luò)有關(guān)的性能方面的基礎(chǔ)數(shù)據(jù),包括圖表、日志、報(bào)表和警告,以備后用。

　　2. 創(chuàng)建解析性能數(shù)據(jù)庫(kù)

　　創(chuàng)建一個(gè)性能數(shù)據(jù)庫(kù),用來(lái)衡量當(dāng)前使用服務(wù)器的性能優(yōu)劣,改善其性能。該數(shù)據(jù)庫(kù)是那些描述特定部件操作的原始數(shù)據(jù)的集合,用我們長(zhǎng)期收集的數(shù)據(jù)來(lái)確定當(dāng)前服務(wù)器的整體行為,而不是只憑觀察現(xiàn)象、人工跟蹤、記錄峰值來(lái)確定。利用前面提到的性能監(jiān)視程序,獲得了大量的性能數(shù)據(jù),將它們轉(zhuǎn)化為易于管理的形式,導(dǎo)入到Excel中,觀察幾天、幾個(gè)星期,甚至幾個(gè)月的數(shù)據(jù),這樣收集、觀察的數(shù)據(jù)越多,就越能有助于我們正確地掌握性能的走向。隨著收集數(shù)據(jù)的增多,可以利用它準(zhǔn)確的定位波峰活動(dòng)時(shí)間段,甚至可以確定波峰形成的原因,而且有些問題需在較長(zhǎng)的時(shí)間才能顯露出來(lái),這也是我們建立數(shù)據(jù)庫(kù)的主要原因。一般至少一周一次用新輸出的數(shù)據(jù)創(chuàng)建一個(gè)可以打印的圖表,可以將這些圖表積累起來(lái),每月至少一次地比較它們,查找不尋常之處,最好將新數(shù)據(jù)與前幾個(gè)月的圖表進(jìn)行比較,這樣通過(guò)大量的數(shù)據(jù)累計(jì)、比較,為準(zhǔn)確地定位性能降低的原因提供可靠的依據(jù)。

　　3. 利用收集的數(shù)據(jù)提高系統(tǒng)性能

　　根據(jù)我們收集的數(shù)據(jù)庫(kù)顯示性能的情況,即可做出決策,對(duì)服務(wù)器的哪個(gè)部件,以及與網(wǎng)絡(luò)相關(guān)的連線、網(wǎng)卡、集線器、交換機(jī)等采取有效措施,比如:服務(wù)器與客戶之間收發(fā)數(shù)據(jù)包的速度不夠快,那么網(wǎng)絡(luò)適配器很可能就是一個(gè)瓶頸,這種情況下,可以把10 BaseT的網(wǎng)卡換成100 Base-T的網(wǎng)卡來(lái)提高服務(wù)器收發(fā)數(shù)據(jù)的能力。又比如:服務(wù)器從I/O子系統(tǒng)訪問數(shù)據(jù)的速度跟不上用戶的請(qǐng)求,則I/O輸入輸出子系統(tǒng)就是瓶頸。在這種情況下,用一組磁盤來(lái)取代單個(gè)的磁盤驅(qū)動(dòng)器,可以提高服務(wù)器訪問數(shù)據(jù)的能力,從而能提高服務(wù)器的性能。每消除一個(gè)瓶頸,服務(wù)器的性能就會(huì)得到提高,但往往又會(huì)發(fā)現(xiàn)另一個(gè)瓶頸。

　　通常,當(dāng)輸入輸出子系統(tǒng)是瓶頸時(shí),我們提高了I/O子系統(tǒng)的效率,網(wǎng)絡(luò)子系統(tǒng)很可能又成為系統(tǒng)的瓶頸,我們提高了網(wǎng)絡(luò)子系統(tǒng)的效率,又發(fā)現(xiàn)處理器成為瓶頸。而當(dāng)我們?cè)黾恿艘粋€(gè)處理器或換用一個(gè)處理器的時(shí)候,很可能會(huì)發(fā)現(xiàn)I/O子系統(tǒng)又重新成為新的瓶頸。這個(gè)過(guò)程周而復(fù)始,直到達(dá)到我們滿意為止,這時(shí),此系統(tǒng)就已經(jīng)實(shí)現(xiàn)了最大的效率、最好的性能。但這不是一成不變的,當(dāng)我們的需求提高時(shí),我們又要改善系統(tǒng)的性能,永不停止。