局域網網絡維護及管理策略分析

張 巍

（中國聯合網絡通信有限公司太原市分公司，山西 太原 030001）

在計算機進入網絡的時代，把各自獨立的計算機通過通信介質互相連接，并按照一定的協議相互訪問，就能實現信息和資源的共享。局域網作為一種計算機網絡，在網絡協議上根據OSI模型，該網絡基于TCP/IP技術，實現了數據的傳輸和處理功能。由于局域網短距離、高速率、低延時、低出錯等特點，被眾多企事業應用。如何狠抓實際利用現有的資源，提高維護效率，是每個網絡維護管理工作者的職責，科學靈活地運用局域網的理論和技術來規劃、設計、管理局域網是網管人員需要研究的內容。

1 網絡現狀

某公司拓撲圖見圖1。

圖1 某公司拓撲網

該公司使用HIPER 4240 NB高速智能寬帶路由器，下聯核心交換機，連接到服務器，各個部門通過匯聚層、核心層設備組成一個小型局域網，使用路由器接入互聯網。根據以上對某公司組網結構的分析，可以看出其可能受到的攻擊及安全方面的缺陷主要有以下幾方面：

1.1 有害信息的傳播

內網與Internet融為一體，公司員工都可以通過網絡在自己的機器上輕易地進入Internet。目前Internet上充斥著各種各樣海量的信息，其中不乏一些包含有色情、暴力之類不健康內容的文章、網頁、網站，難免通過網絡進入內網進行傳播，造成不良的影響。

1.2 病毒破壞

通過網絡傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒無法比擬的。特別是在公司接入廣域網后，為外面病毒進入公司內網大開方便之門，并對自身的局域網造成干擾與破壞。

1.3 惡意破壞

對計算機的硬件系統和軟件系統的惡意破壞，這包括對網絡設備和網絡系統兩個方面的破壞，它們出現問題會造成網絡部分或全部的癱瘓。另一方面是利用黑客技術對網絡系統進行破壞，表現在對公司網站的主頁面進行修改破壞公司的形象，向服務器發送大量信息使整個網絡陷于癱瘓兩方面。

1.4 口令入侵

用戶非法獲得口令入侵，破壞網絡，并有可能造成或引發相應敏感信息的泄露。

1.4.1 維護原則

針對網絡系統實際情況，解決網絡的安全保密問題是當務之急，考慮技術難度及經費等因素，維護時應遵循以下原則：①大幅度地提高系統的安全性和保密性；②保持網絡原有的性能特點；③易于操作、維護，并便于自動化管理；④盡量不影響原網絡拓撲結構，同時便于系統及系統功能的擴展；⑤安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；⑥安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證；⑦分步實施原則：分級管理，分步實施。

1.4.2 安全策略

（1）采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統盡量在最優的狀況下運行。

（2）采用各種安全技術，構筑防御系統，主要包括：防火墻技術、NAT技術、VPN、網絡加密技術（Ipsec）、認證、多層次多級別的企業級的防病毒系統、對內部網絡實施實時的監測，通過這些安全技術構筑的防御系統能夠更好地保證公司網絡信息安全。

（3）實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。

（4）建立分層管理和各級安全管理中心。

1.4.3 安全服務

網絡是個動態的系統，它的變化包括網絡設備的調整、網絡配置的變化等。即使最初制定的安全策略十分可行，但是隨著網絡結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。

1.4.4 網管守則

廢除或修改系統所有默認的賬號和密碼。關閉可能引發“黑客”攻擊系統的網絡服務。使用復雜的密碼，如6~8位的字母數字式密碼，并盡量使用字符數字字母的混合的方式來設置密碼。限制用戶嘗試登錄到系統的次數。記錄違反安全性的情況并對安全記錄進行復查。對于重要的或敏感的信息作加密處理。修改網絡配置文件，以便將來自外部的TCP連接限制到最少數量的端口。不允許諸如tftp，sunrpc，printer，rlogin或rexec之類的協議。使用chmod將所有系統目錄變更為711模式。這樣，攻擊者們將無法看到它們當中有什么東西，而用戶仍可執行。每周對公司所有服務器、用戶PC機進行安全維護即殺查病毒，如遇到強大病毒，馬上進行隔離處理，阻斷所有傳播途徑。

1.4.5 日志記錄

網絡上經常會出現各種各樣的問題，當出現問題時需要及時檢查和排除，并需要同步記錄，這是一個不可缺少的環節，因為有了記錄，就可以為今后出現的同樣問題提供解決方法，并可讓網管一目了然，知道最近網絡出現過什么問題，因此要了解日志的重要性及寫日志的方法。

2 硬件設備及軟件維護

2.1 網絡硬件連接設備的檢查及維護

2.1.1 網卡

網卡是局域網中計算機聯網用到的最基本的設備。要保證局域網絡的正常運行，首先要確保網卡驅動正確安裝并與計算機操作系統兼容。目前一般的局域網絡采用以太網卡，網卡類型多數為16位ISA總線接口。在使用時，需要配置中斷請求（IRQ）、基本輸入輸出（I/O）地址及高端內存3個參數。網絡中需要的網卡數量依據網絡結構等情況而定，因此在前期安裝調試時就涉及到了網卡的設置問題。若網卡設置有誤導致不能正常工作，則局域網內系統也就無法正常運行。建議網絡維護人員在網卡安裝調試過程中要做好網卡的管理工作，切實做到對網卡相關數據有據可查。這樣，在網絡維護過程中，無論網卡出現何種故障，都可以快速確定問題所在并及時排除，從而確保系統安全可靠運行。

2.1.2 交換機和路由器

交換機是組網過程中使用的最為頻繁的網絡設備。其工作狀態下指示燈如果出現閃爍或常亮黃燈的情況，則表明在該網絡上有擁塞，需要檢查網絡中是否存在IP地址沖突等情況。如果網線和IP地址都沒有問題，則應該測量網絡設備的地線和零線之間的電壓是否超過3 V，超過了則表明交換機的供電系統出現了問題，影響了數據信號的傳輸。

路由器是一種連接多個網絡或網段的網絡設備，一般用于把局域網連入到Internet等廣域網，或者用于不同結構子網之間的相互連接。作為不同網絡之間相互連接的紐帶，路由器系統構成了基于TCP/IP的Internet的主要部分。

2.1.3 UTP雙絞線的標準使用

UTP雙絞線由于安裝容易、成本低、使用方便、操作簡單，是目前最廣泛使用的網絡連接介質。因此，雙絞線的正確連接非常重要。對8根4對雙絞線的不正確連接使用，會影響通訊效果。在10 Base-T標準中，第1、第2為一對線，第3、第6為一對線。在成對使用的線路傳輸中，由于線路雙絞的特性，能夠將渦流互相抵消，從而減少數據信號在傳輸過程中的衰減。

2.2 軟件方面的維護

軟件可分為公司網絡中服務器及用戶終端電腦使用的軟件，要特別注意服務器上使用的軟件。公司網絡中服務器是其核心內容，公司內部重要內容都放置在上面，因此要極力保障此類信息的安全。具體內容包括：

（1）服務器上軟件的維護。其主要包括操作系統、文件服務器等軟件。要定期檢查這些軟件的運行情況。當服務器出現異常情況時，維護人員應盡快作出相應處理，保障網絡安全有效運行。

（2）定期查殺病毒。由于公司網絡之間要經常進行信息傳遞，在信息傳遞過程中難免會受到病毒的感染，因此，對于公司服務器及終端電腦要及時更新病毒庫，定期進行病毒查殺，以防止公司內部信息泄露。

（3）定期的數據備份。軟件無論設計多么優秀，在運行當中都會或多或少出現這樣那樣的問題。因此，作為維護人員在平時的工作中就要不定期地對軟件進行更新，對重要數據內容做到定期備份，以備在今后網絡系統運行出現問題時，避免因數據丟失給公司帶來不必要的損失。

3 結束語

網絡的維護問題，不僅是安全、技術的問題，更是管理的問題。對于公司網絡的管理人員來講，一定要提高網絡安全意識，加強網絡安全技術的掌握，注重對公司員工的網絡安全知識培訓，而且更需要制定一套完整的規章制度來規范上網人員的行為。

局域網的維護及相應的管理策略是一個需要長期關注的實用研究課題。在網絡的使用實踐過程中，牢固樹立安全意識、不斷采用新技術、完善管理規章制度才能有效地保證公司網絡正常、安全地運行。在具體的工作中，可以根據人力、財力、物力的資源情況，在一定的安全目標預期下，進行適當組織，綜合制定一個行之有效的最佳方案，保證網絡穩定可靠運行。