局域網(wǎng)網(wǎng)絡(luò)維護(hù)及管理策略分析

張 巍

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司太原市分公司，山西 太原 030001）

在計(jì)算機(jī)進(jìn)入網(wǎng)絡(luò)的時(shí)代，把各自獨(dú)立的計(jì)算機(jī)通過(guò)通信介質(zhì)互相連接，并按照一定的協(xié)議相互訪問(wèn)，就能實(shí)現(xiàn)信息和資源的共享。局域網(wǎng)作為一種計(jì)算機(jī)網(wǎng)絡(luò)，在網(wǎng)絡(luò)協(xié)議上根據(jù)OSI模型，該網(wǎng)絡(luò)基于TCP/IP技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)的傳輸和處理功能。由于局域網(wǎng)短距離、高速率、低延時(shí)、低出錯(cuò)等特點(diǎn)，被眾多企事業(yè)應(yīng)用。如何狠抓實(shí)際利用現(xiàn)有的資源，提高維護(hù)效率，是每個(gè)網(wǎng)絡(luò)維護(hù)管理工作者的職責(zé)，科學(xué)靈活地運(yùn)用局域網(wǎng)的理論和技術(shù)來(lái)規(guī)劃、設(shè)計(jì)、管理局域網(wǎng)是網(wǎng)管人員需要研究的內(nèi)容。

1 網(wǎng)絡(luò)現(xiàn)狀

某公司拓?fù)鋱D見(jiàn)圖1。

圖1 某公司拓?fù)渚W(wǎng)

該公司使用HIPER 4240 NB高速智能寬帶路由器，下聯(lián)核心交換機(jī)，連接到服務(wù)器，各個(gè)部門通過(guò)匯聚層、核心層設(shè)備組成一個(gè)小型局域網(wǎng)，使用路由器接入互聯(lián)網(wǎng)。根據(jù)以上對(duì)某公司組網(wǎng)結(jié)構(gòu)的分析，可以看出其可能受到的攻擊及安全方面的缺陷主要有以下幾方面：

1.1 有害信息的傳播

內(nèi)網(wǎng)與Internet融為一體，公司員工都可以通過(guò)網(wǎng)絡(luò)在自己的機(jī)器上輕易地進(jìn)入Internet。目前Internet上充斥著各種各樣海量的信息，其中不乏一些包含有色情、暴力之類不健康內(nèi)容的文章、網(wǎng)頁(yè)、網(wǎng)站，難免通過(guò)網(wǎng)絡(luò)進(jìn)入內(nèi)網(wǎng)進(jìn)行傳播，造成不良的影響。

1.2 病毒破壞

通過(guò)網(wǎng)絡(luò)傳播的病毒無(wú)論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒無(wú)法比擬的。特別是在公司接入廣域網(wǎng)后，為外面病毒進(jìn)入公司內(nèi)網(wǎng)大開(kāi)方便之門，并對(duì)自身的局域網(wǎng)造成干擾與破壞。

1.3 惡意破壞

對(duì)計(jì)算機(jī)的硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，這包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞，它們出現(xiàn)問(wèn)題會(huì)造成網(wǎng)絡(luò)部分或全部的癱瘓。另一方面是利用黑客技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞，表現(xiàn)在對(duì)公司網(wǎng)站的主頁(yè)面進(jìn)行修改破壞公司的形象，向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓兩方面。

1.4 口令入侵

用戶非法獲得口令入侵，破壞網(wǎng)絡(luò)，并有可能造成或引發(fā)相應(yīng)敏感信息的泄露。

1.4.1 維護(hù)原則

針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問(wèn)題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，維護(hù)時(shí)應(yīng)遵循以下原則：①大幅度地提高系統(tǒng)的安全性和保密性；②保持網(wǎng)絡(luò)原有的性能特點(diǎn)；③易于操作、維護(hù)，并便于自動(dòng)化管理；④盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；⑤安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；⑥安全與密碼產(chǎn)品具有合法性，及經(jīng)過(guò)國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證；⑦分步實(shí)施原則：分級(jí)管理，分步實(shí)施。

1.4.2 安全策略

（1）采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

（2）采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要包括：防火墻技術(shù)、NAT技術(shù)、VPN、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、認(rèn)證、多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)、對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施實(shí)時(shí)的監(jiān)測(cè)，通過(guò)這些安全技術(shù)構(gòu)筑的防御系統(tǒng)能夠更好地保證公司網(wǎng)絡(luò)信息安全。

（3）實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。

（4）建立分層管理和各級(jí)安全管理中心。

1.4.3 安全服務(wù)

網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整、網(wǎng)絡(luò)配置的變化等。即使最初制定的安全策略十分可行，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。

1.4.4 網(wǎng)管守則

廢除或修改系統(tǒng)所有默認(rèn)的賬號(hào)和密碼。關(guān)閉可能引發(fā)“黑客”攻擊系統(tǒng)的網(wǎng)絡(luò)服務(wù)。使用復(fù)雜的密碼，如6~8位的字母數(shù)字式密碼，并盡量使用字符數(shù)字字母的混合的方式來(lái)設(shè)置密碼。限制用戶嘗試登錄到系統(tǒng)的次數(shù)。記錄違反安全性的情況并對(duì)安全記錄進(jìn)行復(fù)查。對(duì)于重要的或敏感的信息作加密處理。修改網(wǎng)絡(luò)配置文件，以便將來(lái)自外部的TCP連接限制到最少數(shù)量的端口。不允許諸如tftp，sunrpc，printer，rlogin或rexec之類的協(xié)議。使用chmod將所有系統(tǒng)目錄變更為711模式。這樣，攻擊者們將無(wú)法看到它們當(dāng)中有什么東西，而用戶仍可執(zhí)行。每周對(duì)公司所有服務(wù)器、用戶PC機(jī)進(jìn)行安全維護(hù)即殺查病毒，如遇到強(qiáng)大病毒，馬上進(jìn)行隔離處理，阻斷所有傳播途徑。

1.4.5 日志記錄

網(wǎng)絡(luò)上經(jīng)常會(huì)出現(xiàn)各種各樣的問(wèn)題，當(dāng)出現(xiàn)問(wèn)題時(shí)需要及時(shí)檢查和排除，并需要同步記錄，這是一個(gè)不可缺少的環(huán)節(jié)，因?yàn)橛辛擞涗洠涂梢詾榻窈蟪霈F(xiàn)的同樣問(wèn)題提供解決方法，并可讓網(wǎng)管一目了然，知道最近網(wǎng)絡(luò)出現(xiàn)過(guò)什么問(wèn)題，因此要了解日志的重要性及寫日志的方法。

2 硬件設(shè)備及軟件維護(hù)

2.1 網(wǎng)絡(luò)硬件連接設(shè)備的檢查及維護(hù)

2.1.1 網(wǎng)卡

網(wǎng)卡是局域網(wǎng)中計(jì)算機(jī)聯(lián)網(wǎng)用到的最基本的設(shè)備。要保證局域網(wǎng)絡(luò)的正常運(yùn)行，首先要確保網(wǎng)卡驅(qū)動(dòng)正確安裝并與計(jì)算機(jī)操作系統(tǒng)兼容。目前一般的局域網(wǎng)絡(luò)采用以太網(wǎng)卡，網(wǎng)卡類型多數(shù)為16位ISA總線接口。在使用時(shí)，需要配置中斷請(qǐng)求（IRQ）、基本輸入輸出（I/O）地址及高端內(nèi)存3個(gè)參數(shù)。網(wǎng)絡(luò)中需要的網(wǎng)卡數(shù)量依據(jù)網(wǎng)絡(luò)結(jié)構(gòu)等情況而定，因此在前期安裝調(diào)試時(shí)就涉及到了網(wǎng)卡的設(shè)置問(wèn)題。若網(wǎng)卡設(shè)置有誤導(dǎo)致不能正常工作，則局域網(wǎng)內(nèi)系統(tǒng)也就無(wú)法正常運(yùn)行。建議網(wǎng)絡(luò)維護(hù)人員在網(wǎng)卡安裝調(diào)試過(guò)程中要做好網(wǎng)卡的管理工作，切實(shí)做到對(duì)網(wǎng)卡相關(guān)數(shù)據(jù)有據(jù)可查。這樣，在網(wǎng)絡(luò)維護(hù)過(guò)程中，無(wú)論網(wǎng)卡出現(xiàn)何種故障，都可以快速確定問(wèn)題所在并及時(shí)排除，從而確保系統(tǒng)安全可靠運(yùn)行。

2.1.2 交換機(jī)和路由器

交換機(jī)是組網(wǎng)過(guò)程中使用的最為頻繁的網(wǎng)絡(luò)設(shè)備。其工作狀態(tài)下指示燈如果出現(xiàn)閃爍或常亮黃燈的情況，則表明在該網(wǎng)絡(luò)上有擁塞，需要檢查網(wǎng)絡(luò)中是否存在IP地址沖突等情況。如果網(wǎng)線和IP地址都沒(méi)有問(wèn)題，則應(yīng)該測(cè)量網(wǎng)絡(luò)設(shè)備的地線和零線之間的電壓是否超過(guò)3 V，超過(guò)了則表明交換機(jī)的供電系統(tǒng)出現(xiàn)了問(wèn)題，影響了數(shù)據(jù)信號(hào)的傳輸。

路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，一般用于把局域網(wǎng)連入到Internet等廣域網(wǎng)，或者用于不同結(jié)構(gòu)子網(wǎng)之間的相互連接。作為不同網(wǎng)絡(luò)之間相互連接的紐帶，路由器系統(tǒng)構(gòu)成了基于TCP/IP的Internet的主要部分。

2.1.3 UTP雙絞線的標(biāo)準(zhǔn)使用

UTP雙絞線由于安裝容易、成本低、使用方便、操作簡(jiǎn)單，是目前最廣泛使用的網(wǎng)絡(luò)連接介質(zhì)。因此，雙絞線的正確連接非常重要。對(duì)8根4對(duì)雙絞線的不正確連接使用，會(huì)影響通訊效果。在10 Base-T標(biāo)準(zhǔn)中，第1、第2為一對(duì)線，第3、第6為一對(duì)線。在成對(duì)使用的線路傳輸中，由于線路雙絞的特性，能夠?qū)u流互相抵消，從而減少數(shù)據(jù)信號(hào)在傳輸過(guò)程中的衰減。

2.2 軟件方面的維護(hù)

軟件可分為公司網(wǎng)絡(luò)中服務(wù)器及用戶終端電腦使用的軟件，要特別注意服務(wù)器上使用的軟件。公司網(wǎng)絡(luò)中服務(wù)器是其核心內(nèi)容，公司內(nèi)部重要內(nèi)容都放置在上面，因此要極力保障此類信息的安全。具體內(nèi)容包括：

（1）服務(wù)器上軟件的維護(hù)。其主要包括操作系統(tǒng)、文件服務(wù)器等軟件。要定期檢查這些軟件的運(yùn)行情況。當(dāng)服務(wù)器出現(xiàn)異常情況時(shí)，維護(hù)人員應(yīng)盡快作出相應(yīng)處理，保障網(wǎng)絡(luò)安全有效運(yùn)行。

（2）定期查殺病毒。由于公司網(wǎng)絡(luò)之間要經(jīng)常進(jìn)行信息傳遞，在信息傳遞過(guò)程中難免會(huì)受到病毒的感染，因此，對(duì)于公司服務(wù)器及終端電腦要及時(shí)更新病毒庫(kù)，定期進(jìn)行病毒查殺，以防止公司內(nèi)部信息泄露。

（3）定期的數(shù)據(jù)備份。軟件無(wú)論設(shè)計(jì)多么優(yōu)秀，在運(yùn)行當(dāng)中都會(huì)或多或少出現(xiàn)這樣那樣的問(wèn)題。因此，作為維護(hù)人員在平時(shí)的工作中就要不定期地對(duì)軟件進(jìn)行更新，對(duì)重要數(shù)據(jù)內(nèi)容做到定期備份，以備在今后網(wǎng)絡(luò)系統(tǒng)運(yùn)行出現(xiàn)問(wèn)題時(shí)，避免因數(shù)據(jù)丟失給公司帶來(lái)不必要的損失。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)的維護(hù)問(wèn)題，不僅是安全、技術(shù)的問(wèn)題，更是管理的問(wèn)題。對(duì)于公司網(wǎng)絡(luò)的管理人員來(lái)講，一定要提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，注重對(duì)公司員工的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。

局域網(wǎng)的維護(hù)及相應(yīng)的管理策略是一個(gè)需要長(zhǎng)期關(guān)注的實(shí)用研究課題。在網(wǎng)絡(luò)的使用實(shí)踐過(guò)程中，牢固樹(shù)立安全意識(shí)、不斷采用新技術(shù)、完善管理規(guī)章制度才能有效地保證公司網(wǎng)絡(luò)正常、安全地運(yùn)行。在具體的工作中，可以根據(jù)人力、財(cái)力、物力的資源情況，在一定的安全目標(biāo)預(yù)期下，進(jìn)行適當(dāng)組織，綜合制定一個(gè)行之有效的最佳方案，保證網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行。