運用網關設備管理局域網的實用方法

史成寶

管理投資不高的局域網是件很困難的工作。仔細分析網絡現狀，匯集有限的資金投在網關設備建設上，通過精心部署，挖掘網關設備的管理功能，使局域網管理實用有效。

局域網管理的主要目的是在保障各用戶數據安全和提供穩定通暢的網絡通道，具體的工作有網絡用戶資料建立、設備接入管理、配置交換與路由設備、劃分VLAN、管理各種應用服務器、設置用戶訪問權限、備份各種數據、查殺病毒、控制下載流量等。當今建立局域網的目的無外乎是依照不同的權限共享局域網軟、硬件資源和共享上網。通過對網絡交換機的配置部署，實施劃分VLAN、設置各用戶的訪問權限、流量控制、地址分配、地址綁定等管理項目，使安全使用網絡得以保障。

隨著用戶數量增加、新添各種網絡應用等原因，很多局域網需要擴充。但由于資金、采購、招標評定、產品更新等方面的原因，新增設備很可能與原有設備不相同，甚至品牌也無法統一，在部署與管理上難以協同一致，如交換機的配置命令不同、支持協議有差異等。有些無法基于Web頁進行遠程管理，或只支持最簡單的網絡管理，若網絡由不同的設備混合而成且其中有不可網管的交換設備，配置與管理就相當棘手，時常導致總體規劃無法得以順利實施，使局域網出現管理盲區，數據安全和網絡通暢令人擔憂。

人所皆知，互聯網的高速發展幾乎改變了每個人的工作與生活方式，也成為許多人賴以生存的特殊空間。筆者從工作中發現局域網用戶對能否正常訪問互聯網極度關注，而局域網用戶訪問互聯網必須通過網關設備，注重局域網網關設備的建設選型。強化和挖掘其管理功能，可以彌補局域網內低端交換設備的管理缺憾，在一定程度上達到有效網絡管理的目的。

局域網網關設備的種類、特點與可實施的網絡管理功能

可共享上網的服務器（或高配置計算機）通常在局域網的某臺計算機或服務器上安裝相關軟件實現內外網地址轉換（NAT）、設置緩沖區域（Cache），提高訪問速度和效率。根據網絡管理的需要，可在機器上部署認證機制，安裝網絡管理軟件，對通過的數據包進行審核或限制等。自己選用合適的代理或網關軟件，如WinGate、CCProxy、Microsoft ISA、WinProxy，實施相關策略，擴展網絡管理功能。也可在機器上安裝地址映射（端口映射）軟件，將內網地址映射到外網，使外網可以訪問建于內網中的Web服務器等。優點是可自由安裝軟件，管理策略改變便捷；缺點是易感染病毒和中木馬遭攻擊等，穩定性較差，對網絡管理員技術要求較高，管理維護時間較多。

CCProxy是國內最流行、下載量最大的國產代理服務器軟件，代理共享上網和客戶端代理權限管理。只要局域網內有一臺機器能夠上網，其他機器就可通過這臺機器上安裝的CCProxy代理共享上網。支持瀏覽器代理、郵件代理、游戲代理等，可以控制客戶端代理上網權限，針對不同用戶合理安排上網時間，監視上網記錄，限制不同用戶帶寬流量，多種文字界面，具有服務器IP綁定、詳細的日志分析、加強過濾（端口屏蔽、站點過濾）、更強大的賬號管理(組管理、使用時間)，及遠程Web方式賬號管理等功能。設置簡單，功能強大，適合中小企事業共享代理上網。

ISA（Internet Security and Acceleration）Server是Microsoft開發的最新代理服務器和防火墻產品，同時向網絡用戶提供針對應用系統和數據的快速和安全的遠程訪問能力，經過細心部署Web緩存可大幅度提高訪問Internet的速度、限制P2P與聊天等應用，強大的功能與易用性為網絡管理者提供了近乎完美的解決方案。ISA Server也因此成為很多用戶，特別是基于Microsoft網絡的企事業首選的代理服務器和防火墻產品。

路由器路由器是一種連接多個網絡或網段的網絡設備，其工作過程即數據的轉發發生在OSI參考模型的第三層即網絡層，通過路由決定數據的轉發。它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數據，從而構成一個更大的網絡。路由器主要是用來連通不同的網絡，其次是選擇信息傳送的線路，使數據傳輸得更快捷。由于路由器配置完成后不用經常修改，出現問題只需重新啟動便可恢復正常，因此受到廣泛采用。

通過設置路由器的訪問控制列表可加強網絡的安全性；查看路由器中的ARP表可檢查網絡中是否有ARP地址欺騙病毒。有些路由器還有IP-MAC綁定功能，具有一定的管理功能。早期的產品初期使用配置較麻煩，近年來很多廠家推出可基于Web頁面進行管理的產品，增加端口（地址）映射、簡易防火墻、虛擬服務器、流量控制等功能，網絡管理員可以直觀地進行修改配置，降低使用難度，得到眾多局域網（如網吧）管理者的青睞。

2008年底市面上路由器的參考價格為百元左右（SOHO）、1 000多元（用戶數在100以內）、4 000元（用戶數在300左右）、萬元以上（用戶數在500以上）。早期路由器產品管理功能較弱，近年來多家廠商的新產品增加了很多管理功能，但從總體上看產品管理功能升級機會較少。由于低端產品價格便宜且較穩定，小型局域網選用幾率很高；高端產品主要用于骨干網絡，如運營商城域網等。

硬件防火墻硬件防火墻由軟件和硬件設備組合構成，架設在內外網之間、專網與公共網之間。使用防火墻的目的是在網絡連接界面建立安全機制，對進出的數據流進行審計和控制，只有符合安全策略預先設定的數據流才能通過。防火墻包過濾、防黑功能強大，功能精髓主要在其研發的軟件里，絕大多數產品可以基于Web頁面進行配置部署。通過建立主機、范圍、子網、地址組，可實施阻斷、網站過濾、地址轉換等策略；具有認證、IP-MAC綁定等功能，可將內部網絡劃分成幾個區域，授權某些用戶可以訪問的機器或區域。有些產品還提供流量控制、帶寬分配、P2P下載限制等諸多實用功能，提升網絡管理的力度。

2008年底市面上主流硬件防火墻的參考價格為4 000元（用戶數在30左右）、1萬元以內（用戶數在100以內）、1.5萬元（用戶數在300左右）、10萬元以內（用戶數在500左右，支持VPN）。硬件防火墻管理功能較強，升級機會較多，價格適中，維護方便。

統一威脅管理設備（UTM）通常指由軟件、硬件和網絡技術組成的以安全特性為用途的設備，發展趨勢是將網絡防火墻、網絡入侵檢測/防御、網關防病毒、上網行為管理等多種安全特性集成于一個硬件設備里，形成標準的統一威脅管理平臺。

近年來市場推出的智能網關、上網行為管理等設備，管理功能最為強大。不僅具備NAT轉換功能，也有較強的過濾與入侵檢測功能；能使用瀏覽器登錄后進行詳細的部署，對局域網用戶對外網的訪問進行全面的管理；可以對用戶進行的訪問反動網站、瀏覽不良站點、與工作無關的聊天、沉迷網絡游戲、炒股、在線視頻、FTP上傳、電子郵件、傳播不良信息、惡意占用帶寬下載等行為進行審核或限制。有些功能強大的產品還內置日志記錄硬盤，可以對在聊天室、BBS、貼吧、博客等交互欄目所發信息進行明文顯示并長期記錄留存，實現較為完善的網絡訪問行為監控，在為局域網用戶提供穩定高效可管理的訪問通道的同時，也保護網絡中敏感數據的安全，極大地提高網絡管理的實效，是現階段網絡管理的利器，組建局域網或更新網關設備的首選。

2008年底有類似管理功能的設備參考價格為2萬元以內（用戶數在100左右）、4萬元以內（用戶數在300左右）、10萬元左右（用戶數在500左右）。價格偏高，經費充裕的用戶可考慮選用。

由于此類產品在網絡管理中至關重要，應具有較高的硬件配置和合理的軟件設計。但從一些用戶反映的情況了解到，有的商家為了獲取訂單，在推銷一些配置較低的產品時會夸大其詞，在只有少數用戶和僅啟用部分管理功能的條件下進行低負荷演示，以騙取用戶的信任。一旦用戶全面使用后極易發生網絡擁塞、宕機等嚴重事件。因此，網絡管理者在選用此類產品前，必須逐一對各品牌產品在啟用全部管理功能、多種需求、滿用戶重負荷狀態下，認真試用并精確記錄測試數據，經分析對比后慎重選用。

充分使用網關設備的管理功能，進行有效網絡管理的實例

某中學有相隔600米的2個校區，通過光纖相互連通，校園網早期選用的核心交換設備是國外品牌，未購置昂貴的網管軟件，三層交換也需升級軟件后方可支持，劃分VLAN也很麻煩。隨著用戶的增多，7年來通過各種形式先后添置3個品牌的多個系列的網絡交換設備。由于資金原因，其中有很多是造價僅千元左右且不可網管的普通交換機，使用雖較穩定，管理卻不方便。局域網網關設備原來采用的是路由器，通過建立訪問控制列表、將IP-MAC實行綁定等措施，實現一定程度的網絡管理。

為了加強網絡管理的實效，增配一臺造價1.6萬元的硬件防火墻，以下是具體管理措施。

建立安全區域硬件防火墻有4個網絡接口，分別配置為：1）外部：電信；2）內部：南校區、北校區、服務器區。

建立用戶及地址資料為每臺計算機建一主機名，并對應于指定的IP地址，實施IP-MAC地址綁定；建立不同的地址范圍，根據用戶的性質統一賦予相關的權限和實施策略；建立教師、教室、網管、可下載、處室等不同的地址組，將各主機添加到對應的地址組內。

設定時間段設定上班、下班、周末等時間段，便于實施相關控制。

自定義服務在系統內已定義的服務外，根據自己網絡應用的需要自定義服務，選擇不同的協議和端口，方便通過地址或端口映射實現外網可訪問內部主機。

實施防火墻策略在系統已定義的阻斷策略外，添加自定義的阻斷策略，有效限制黑客攻擊，遏制木馬攻擊；根據需要添加訪問控制規則，設置不同區域里的主機之間的訪問權限，設置主機與區域之間的訪問權限，其效果類似于在交換機上劃分VLAN與建立路由；建立地址轉換規則，實現如通過公網地址的80端口訪問到地址為192.168.0.2的內網機器上使用8000端口發布的網站，通過公網地址的9500端口訪問到地址為192.168.5.2內網機器上8650端口發布的網站；使用公網地址，通過遠程桌面連接到內網某一主機，實施遠程控制等。

啟用內容過濾建立過濾對象，選定關鍵字、填寫URL；設定過濾策略，封堵用戶訪問不良網站；通過應用程序識別進行過濾與限制，在上班期間限制軟件下載，有效阻止部分用戶濫用網絡惡意下載的行為，保障網絡通暢。

其他管理功能將ARP請求限制在每秒500個，減少ARP地址欺騙病毒的危害；通過設定用戶的并發連接數與接入認證等措施，實現對用戶的全面管理；啟用帶寬管理，實施流量控制，有一定的成效；記錄防火墻運行日志、設置報警方式，全過程監控網絡運行狀態；開放公網對硬件防火墻的訪問權限，賦予網管組成員管理權限，實施全方位管理；提供網絡下載服務，由信息中心安排在校園網輕負荷時段開展下載作業，滿足用戶提出的合理下載需求。

通過挖掘網關設備潛力，充分使用硬件防火墻的管理功能，在低成本建造的局域網中有效地開展網絡管理，為學校教育教學提供優良的網絡環境。

（作者單位：南京市雨花臺中學）