巧用交流机化解局域网安全,局域网网络流量调控与治本格局

网络应用的不断更新发展,网络视频、网络游戏等对流量的消耗越来越多,企业的带宽受到严峻的考验,网速越来越慢,严重的影响了员工的工作!那么如何管理好企业的带宽呢?以下5点是企业需要做找到的:

当前,网络宽带不断升级,可是网络速度却常常不尽人意,给很多商家、企业带来了极大的困扰。网速不能满足工作的需要,就需要对宽带进行升级,也就意味着需要投入更多的资金,可成效并不显著,网速仍然在变缓。造成这种情况的原因是多样的,其中最重要的一点就是桌面宽带永远高于出口带宽。另外,随着网络时代的到来,人们对网络的依赖程度不断提高。近几年,P2P等下载软件和网络电视走入了人们的生活,使得本来就捉襟见肘的网络带宽上加霜。想要营造一个良好的网络环境,将P2P、网络视频等软件进行有效控制是关键。

现在人们一谈起网络安全,首先就会想到病毒、木马、黑客等等,令人不寒而栗。当问及采取的防范措施时,基本上也就是防火墙和杀毒软件。防火墙作为一种比较成熟而且也算是比较传统的网络安全设备,它的这种安全形象已经深入人心。可是,防火墙只是用于阻止外网计算机对内部网络的恶意攻击,并不能包治百病,而且随着互联网以及网络安全状况的发展变化,完全依靠防火墙来实现整个公司企业网络的安全已经不大可能了。

首先保证网络通畅,禁止P2P、视频是关键。企业网络的现状是:文件下载、浏览网页、邮件收发和视频通讯都采用相同的带宽处理策略,对于企业的关键业务如:OA,MIS,ERP,CRM等和网络中的一般应用(例如:P2P应用、网络电视等)去争抢带宽,
80%的网络带宽都被一般应用程序占据。因此要解决网络拥塞的问题,首先要禁止P2P软件的下载,以及在线视频。

1、局域网网络流量监控方法

  当今网络安全问题

行政手段不可缺少。想要进行有效的网络管理,首先一定要获得管理层的支持,建立相应的上网管理制度。双管齐下,才能真正有效的进行带宽管理。

网络流量监控的主要目的是对网络进行管理,其过程一般是:一、实时、不间断地采集网络数据。二、统计、分析所得数据。三、确认网络的主要性能指标。四、对网络进行分析管理。网络流量监控的方法主要有两种,一种是使用网络监控设备,另一种是使用网络流量监控软件。当前的局域网网络设备对于P2P这种模式没有很好的管理效果,导致P2P软件大行其道,占用了极多的带宽资源。当前,以下几种网络流量最为常见:

  当今世界信息化建设飞速发展,尤其以通信、计算机、网络为代表的互联网技术更是日新月异,令人眼花燎乱,目不睱接。由于互联网络的发展,计算机网络在政治、经济和生活的各个领域正在迅速普及,全社会对网络的依赖程度越来越大,整个世界经济正在迅速地融为一体,计算机网络已经成为国家的经济基础和命脉。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,利用网络的信息和资源充分共享。网络已经成为社会和经济发展强大动力,其地位越来越重要。

ARP防火墙,一定要装。ARP病毒已经成为局域网带宽的一大杀手,轻则导致网络不稳定,重则导致网络瘫痪,同时容易将用户隐私泄露出去,从而遭到黑客攻击或被一些不法分子利用盗用用户名及密码。所以,在进行带宽管理之前,一定要安装ARP防火墙。

1)P2P流量:P2P文件共享在网络带宽消耗方面是大户,夜间,有95%的网络带宽被P2P占用。

  自冲击波病毒开始,病毒在局域网疯狂传播所造成的强大杀伤力开始让用户心惊胆战,之后计算机病毒更是控制住大量的“僵尸”电脑对特定网站或者服务器发动洪水攻击,进入2006年,在网吧行业影响最严重的安全问题变成了ARP和DDOS,这些恶意程序不仅巧妙伪装而且无处不在,更严重的是一旦局域网某台计算机感染了病毒,就会造成大量的计算机掉线甚至整个网络陷入瘫痪,令网吧业主和网吧玩家万般无奈,在公司企业内部网络也几乎存在同样的问题,而此时传统的防火墙却显得毫无办法。

流量分配工具需谨慎选择。(1)解决网络拥塞的关键问题是如何能够将带宽合理分配到每个桌面用户,有些人偏向于分配指定的带宽给某个IP其实这样并不能够有效地利用带宽。应该在网络资源紧张的时候限制那些使用量大的用户,保障那些使用量小的用户,反之,当网络资源有较大的空闲时则取消这些限制。(2)尽量不要选择用ARP欺骗方式来限制流量的工具,使用ARP欺骗方式极易导致局域网网络不稳定。

2)FTP流量:FTP这项服务的应用比较早,且重要程度只比HTTP和SMTP稍低。P2P的出现,FTP的重要性再次降低,但其重要性仍然不可忽视。

  局域网—病毒高发区

使用有效的流量监控工具。知己知彼方能百战不殆,选择一款有效的流量监控工具,能够让你到底是哪个用户使用的最多,哪个服务使用的最多使这个未知的网络使用情况变成透明的。能够监控到哪一个用户占用的带宽比较多,又是什么进程占用的带宽,让管理者一目了然,是进行有效管理的前提。

3)SMTP流量:电子邮件是企业之间交流的重要手段,是网络应用中不可或缺的一部分。据不完全统计,竟然有75%以上的用户将收发邮件作为上网的主要目的。再加上发送电子邮件是不另外收费的,所以被部分人当成广告工具,互联网中垃圾邮件的泛滥之势愈演愈烈。

  相信任何一个网管都知道,病毒并不可怕,可怕的是局域网内病毒的传播。这些病毒不但感染内网中的机器,而且还会向外网(互联网)蔓延,感染互联网中的机器,同时网络带宽也会被这些病毒大量占用,导致局域网用户无法正常上网办公。

4)HTTP流量:互联网上应用最广泛的协议当属HTTP协议。再加上视频共享网站的兴起,HTTP占用的网络流量已经超过了P2P。

  如果是在4年前,局域网还是非常安全的,很多公司也习惯了直接在局域网共享各种常用软件和资料,但是现在为了获得一些非正当的利益,很多病毒开发者打起了局域网的主意:

将以上这些流量种类分析清楚之后,我们就可以针对其特点,对症下药,以收获事半功倍的效果。

  先是由于网游的热火而产生了ARP病毒。这是一种欺骗性质的病毒,虽然它的目的并不是破坏局域网,但为了达到它盗号盗宝的目的,会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,而且ARP病毒这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号、QQ密码等用户信息,因此它不仅会造成局域网堵塞,也会威胁到局域网用户的信息安全。

2、局域网流量控制与管理策略

防火墙、路由器无法解决内网安全问题

在输出端口处建立一个队列,是流量控制过程中常用的做法。通过控制路由,也就是控制IP地址的方式,来达到控制的目的。

  面对日益严重的内网攻击和整网掉线问题,很多路由器和防火墙开发商也在产品中加入了相关技术,例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗,但是这些设备由于以太网工作原理的关系,其实还是无法全面解决内网安全问题。

2.1 通过路由控制流量

  例如DDOS攻击,虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征,但是它必须在收到这些数据包之后才能对数据包进行分析,而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源,由于路由器和防火墙都在局域网的最外端,这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵,而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连,加上大部分的局域网交换机都是线速转发的二层交换机,受感染客户端发送的大量数据包可以很快用完这些带宽,因此网络数据传输的压力都加载在路由器的LAN端口,这时候很多正常的请求都无法顺利通过LAN口提交过去,因此即使路由器知道哪些是正常的请求也无济于事。

流量控制是相当部分路由器具有的常规功能。TP-Link
TL-R410、TL-R460等型号路由器最近也新增了“流量控制”功能,对局域网内的电脑进行带宽资源分配,对P2P下载进行管控,防止部分用户的过度占用,为大多数用户提供一个良好的上网环境。

  交换机显现神奇实力

2.2 禁止P2P下载

  在大部分网管人员和技术员看来,交换机似乎和网络安全根本不搭界,在他们的印象中,交换机纯粹就是用来拓展上网计算机数量,提供更多的LAN口,似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备。

P2P下载是占用带宽流量的主要原因,禁止方法主要是:使用注册表禁止P2P下载软件。编辑一个名字为KillP2P.reg的注册表文件,内容如下:

  确实,要解决局域网的安全问题,交换机就不能再纯粹完成转发工作了事,还需要判断数封堵一些常见病毒所使用的端口,以及进行端口速率限制。有些读者会觉得,路由器上面不是也具备这些功能吗?没错,但如前面所说,路由器的这些功能发挥作用已经是在路由器的LAN口接收到数据包之后,而如果这些功能转移到交换机上,就可以防止这些病毒端口发送的数据包到达路由器,从而减轻路由器的负担,保证局域网其他用户的正常上网。

WindowsRegistryEditorVersion5.00    [HKEY_CURRENT_USER\Software\M
icrosoft\Windows\CurrentVersion\Policies\Explorer]”DisallowRun”=dword:00000001[HKEY_CURRENT_U
SER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\DisallowRun]

  而为了能够识别各种恶意数据流量,交换机上就必须使用一款智能芯片,使其具备一定的分析处理能力,可以准确的判断、封堵、限制并记录ARP攻击和DDOS攻击事件,切断病毒传播的路径,一台这样的安全交换机,应当具有以下特点:

“1”=”BT.exe”

  支持基于Ip、Mac、应用的访问控制列表功能(ACL)

“2”=”Thunder.exe”

  支持常见病毒端口过滤功能

“3”=”bitcomet.exe”

  支持基于端口、Ip、Mac、应用的速率限制

“4”=”……”

  支持基于端口、ip、mac、802.1p和应用的优先级控制(QOS)

“5”=”……”

  支持基于mac+ip+vlan+端口的绑定(ARP防御)

如对某种P2P进行限制,将P2P下载软件的可执行文件填写到1、2后面,再将KillP2P.reg文件导入注册表后,重启机器,受KillP2P.reg限制的P2P软件就无法正常运行了。

  支持ARP攻击和DDOS攻击事件记录日志

2.3 进行时间段管理

  局域网安全应当受到更多的重视

目前,部分路由器具有一定的时间限制的功能。所谓的时间限制就是对相关参数、功能进行监测,进而采取时间调度进程的方式,达到开与关的目的。

  其实对于网吧和大中型企业网络来说,关于局域网内部的管理一直是一个非常复杂和让管理人员头痛的问题,一个用户哪怕只是不小心点击一个恶意网站的链接,就会在几秒钟之内感染病毒,然后立刻影响到整个局域网的稳定和安全,加上现在恶意网站非常泛滥,病毒传播手段花样叠出,局域网安全必须受到广大网络管理人员的重视。

2.4 限定局域网主机速度

  网络正在高速发展当中,网络安全问题也随之变化,新的安全形势对局域网安全提出新的考验。同时,网络管理人员也需要及时更新掌握最新的技术,采取适当有效的应对措施,以保障网络的稳定畅通。

对局域网主机的上传速度和下载速度进行限制,允许P2P下载,但对速度有所限制,限制的最低标准就是不影响他人对带宽的正常使用。

 

3、局域网流量异常发现与处理

网络监控软件的合理运用可以很容易地找出局域网中流量不正常的电脑,是局域网畅通运转、安全运转、高效运转的有效保障。异常流量造成的结果,轻微时会降低局域网运行速度,严重时,可能会使局域网瘫痪。所以有必要找出流量异常的主机。

3.1 找出流量过大的电脑

当发现流量异常时,首先需要做的就是找出流量异常的主机。网络监控软件可以帮助我们做到这一点。网络监控软件使用起来比较简单,在局域网中任何一台主机上安装都可以实现对整个局域网的监控。监控的内容有流量记录、网页记录、QQ聊天记录等,根据记录确定占用较多网络带宽的某个或者某几个电脑,从而达到找出“元凶”的目的。

3.2 对异常主机发出警告

利用网络监控软件,可以很容易地找出流量异常的主机,下一步就是对该主机的使用者发出警告。这种警告不是现场的面对面警告,而是通告监控软件发出警告消息即可。为了方便警告消息的有效传达,应将对方电脑的信使服务功能开启。如果警告没有效果,那么就要采取进一步的措施,比如“禁止上网”,将其网络断开。

就目前情况而言,网络监控软件为网络管理提供了极大的帮助,是企业局域网管理的重要手段。

4、结语

流量监控软件是监控网络流量最简单、最有效的手段。企业的网络管理者,可以通过它将网络资源的占用情况透明化,并有针对性的进行管理。同时,企业的管理层还应该建立一套切合实际的上网制度,只有内外结合才能从根本上解决局域网流量控制与管理的问题。

Post Author: admin

发表评论

电子邮件地址不会被公开。 必填项已用*标注