科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用防火墙路由器构建高度可控的有序网络 (1)

用防火墙路由器构建高度可控的有序网络 (1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

大家做网络工程可能会经常遇到种种关于路由器的问题,但是通常路由器除了看配置外,更常用的办法是通过路由器端口状态看网络故障。下面是笔者的一些经验总结,希望对大家有用。

作者:赛迪网 来源:赛迪网 2007年9月27日

关键字: 防火墙 VPN 全功能 路由器

  • 评论
  • 分享微博
  • 分享邮件

对于企业网管来说,最头疼的莫过于网络的滥用和网络使用的低效。良好的网络规划和配置可以显著提高企业的效率,而一个糟糕无序的网络则会让大家各行其是甚至无所事事。因此企业管理者往往非常重视网络的规划和配置,往往把对网络的管理水平作为对网管管理水平的直接衡量尺度。网管对于各种糟糕的网络问题往往如临大敌,不胜其烦。

总的来说,让老板和网管头疼的网络问题分为以下几个方面:

1、 员工上班时间开小差,心思不放在工作上,很难去监控。

2、 传统的防火墙配置起来规则复杂,可读性差,很难维护,出现问题时很难快速反映,直击问题。

3、 网络带宽有限,P2P,迅雷等软件的广泛应用使得带宽始终捉襟见肘,正常的工作应用反而无法得到保障。

4、 病毒的传播速度越来越快,对网络影响越来越大;网络黑客入侵也对网络也越来越有威胁。

5、 公司外接入公司内进行资料交换的安全问题。

如果解决了这五大问题,相信每个网管都可以安枕无忧。

长期以来,企业往往需要购买昂贵的防火墙,加上价格不菲的网络监控设备,才能解决上述问题;但是由于成本的考虑,更多的企业都不得不选择忍受低效的网络。

随着Vigor防火墙路由的推出,网管担心的问题可以迎刃而解,头疼苦恼的经历可以变成过去。防火墙的功能,配合着路由器般低廉的价格,是企业用户的完美解决方案。

1、网络权限全面简单管控

传统的路由器在设置网络权限的时候,往往是采用IP规则的方式进行设置,由于网络应用日益复杂化,从而导致往往对于一个/一组用户的权限设定,就需要做很多条规则设定。这就给网管带来的很大的麻烦:

1、 规则可读性差,动辄几十条规则,下次需要改动设定时,可能先要花很长时间去搞清楚当前规则的设定思路,如果一个新网管想要着手去修改规则,这个麻烦就更大了。

2、 可维护性差,如果部门人数发生变化,需要变更网络规则,往往一次就要变更很多条规则,维护非常困难。

3、 由于不同的IP对应着不同的权限,因此就会有用户通过盗用IP的方式获得更高权限。

4、 网络应用越来越多,通过IP,端口来进行网络权限的设定越来越困难,例如QQ应用,就使用了TCP,UDP等多个服务器的多种登录方式,对QQ的屏蔽就需要进行长时间的分析和实验才能做到。如果做多种应用屏蔽,设置规则的难度可想而知。

5、 上班时间非工作网页的浏览,很难通过IP,URL黑名单的方式进行完全的屏蔽,但是企业又往往都希望员工不要访问各种非工作站点。

面对这么多的困难,可想而知,一个公司的网管人员需要面临怎样的难以解决的困难。而使用Vigor路由器,情况将会大有不同。

1、IP/MAC地址绑定,杜绝盗用IP

很多对网络稍有了解的人都知道,网络访问规则的设定往往是基于IP的,一个公司的不同部门人员也往往会有不同的访问权限设定。因此,这些人往往会尝试修改IP来获取更高的权限,这样一来,一方面如果盗用到其他用户正在使用的IP,会影响正常用户的网络使用;另一方面,这样也影响了网管对网络的管理。IP/MAC地址的绑定是解决这一问题的关键,由于Vigor防火墙路由器都内置了IP/MAC绑定,用户无需再额外购买网管智能型交换机来做绑定工作,又节省了一笔开支。

  

  

2、基于对象的网络规则设置

将一段IP定义为IP对象,将常用的网络应用定义为服务对象,然后分别分组,排列组合,就可以将网络规则设置的井井有条。例如研发人员设定为rd组,然后将网页访问服务定义为web组,两者一组合,就只需要一条规则搞定,其他的网络访问规则依此类推。传统的路由器设置里,简单的网络应用服务就需要设置dns规则,http 80规则,https 443规则。其他更加的复杂应用设置起来有多麻烦也就可想而知了。

  

  

3、内置的各种常用网络应用规则QQ,MSN,BT,SkyPe等,网管做屏蔽设置时勾选即可,相当简单方便。

我们知道,QQ,MSN等软件为了避免网络封锁,都采取了多种登录方式来绕过封锁,网管封锁这些应用时都非常困难。我们将这些软件的登录特征码进行了内置,网管只需勾选即可实现屏蔽。

  

  

4、网页分类过滤,勾选即可屏蔽指定分类站点

老板一定都希望员工在上班时,不要访问那些非工作站点,例如股票,新闻,娱乐,色情等,但是传统的基于关键字的网页过滤是无法做到分类的过滤的,充其量只能把一些常见的域名关键字给过滤掉,但无法做到彻底的过滤。

网页分类过滤基于国际领先的surfcontrol分类过滤,可以对网站进行精确的分类,只要选择了“新闻”分类,所有的新闻站点即可直接屏蔽。设置变得非常简单,用户也就不能肆意访问非工作站点了。

  

  

2、带宽管理,让每个人都享有足够的带宽

  网管经常听到“网速为什么这么慢?”这样的抱怨,那么,带宽是真的不够了吗?实际上,带宽往往是够的,只不过由于缺乏带宽的管理,从而导致了带宽的滥用,真正有工作需要的用户无法得到足够的带宽。

人们常说,无节制的自由不是真正的自由,说的就是这样的道理。

举例来说,一个10个人的办公室申请了2MB的ADSL线路,正常使用下,由于10个人不会同时在下载,有些在浏览网页,基本不占带宽,有些在做文案,完全不占带宽,对这样一个办公室来说,2M的线路已经足够用了。但是,如果有一个人开着emule/bt进行24小时不间断的下载,情况就完全不同了,2M的带宽一直被这一个人占用,其他用户打开网页,收发邮件都无法正常进行,就出现了“网速为什么这样慢?”的疑问和抱怨。

解决方案也很简单,对每个人使用的带宽做一下限制,那么任何一个人都无法完全占用公司的带宽,影响他人了。

1、带宽管理功能,对每个IP进行带宽定制,确保每台PC享有“有节制的自由”

通过设定带宽管理,可以具体为每台PC/每个地址段设置不同的带宽限制,达到限制的同时对于不同的用户进行区别化对待。

  

  

2、会话管理,限制会话以防止P2P电视/广播,P2P下载等软件对会话的占用。

我们知道,任何网络分享设备的网络会话都是有限的,如果使用P2P应用,会话会被大量占用,有可能会影响正常网络的应用,通过限制会话可以轻松解决这一问题。

  

  

3、QoS,保障关键应用带宽

既然有限制,当然也需要有保障,对于一些关键性的应用,例如IP电话,邮件服务等,关系到工作的进行,因此自然希望能够提供优先的保障。通过Vigor提供的QoS功能,就可以实现对关键应用的优先保障了。

  

  

3、防毒,防入侵,防垃圾邮件,三位一体,全面解决网安问题

病毒,黑客入侵,垃圾邮件,都会给企业的正常运作带来不良的影响,有些甚至严重影响了工作的正常进行。有了Vigor系列防火墙路由器,一台设备就可以帮您搞定这一切。

通过防毒/防入侵功能,将病毒和入侵直接阻挡在外部,防止了危害的入侵,配合内部PC的杀毒软件,就可以实现完全立体化的网络防御。

而对于垃圾邮件来说,通过扫描,标记,使得垃圾邮件可以被用户直接鉴别丢弃。

1、防毒/防入侵,和防毒业界巨人卡巴斯基合作,使用卡巴斯基成熟的特征码,24小时实时更新

由于采用了卡巴斯基的特征库,因此在扫毒可靠性上是值得信赖的。速度方面,由于内置了专门的扫毒芯片,因此,速度上也很快。

  

  

2、和国际顶尖反垃圾邮件厂商Commtouch合作,对进出垃圾邮件进行实时扫描并进行标记

垃圾邮件的泛滥,给用户带来了很多困扰,往往随之而来的还有众多的网络病毒,验证影响网络的使用,通过对垃圾邮件进行认定和标记,收到的垃圾邮件将会自动在主题部分加入标记,这样用户收到邮件后,看到设定的标记,就可以直接将这些邮件删除,避免了误打开垃圾邮件带来的麻烦。

  

  

4、全功能VPN解决一切远程接入问题,助力企业安全信息化

对于多分支企业来说,往往希望多个地方的办公场所都能和总部连起来,实现直接的网络访问。

对于员工经常出差的企业来说,外出员工也需要经常能够访问公司的文件服务器,来获取/更新信息。

传统的做法是架设服务器并在internet上开端口,这样会为企业带来很大的信息安全隐患,而使用VPN可以避免这一切。VPN的概念因此越来越为人们所接受并广泛使用。

那么,传统的VPN设备往往支持单一的VPN协议,无法做到兼顾各种用户,而Vigor多年发展积累起来的全功能VPN技术很好的满足了各方面用户。

1、PPTP,L2TP,IPSec, SSL VPN,全功能VPN适应各种平台的接入

Windows 内置了PPTP, L2TP的拨号客户端,对于不希望另行安装客户端软件的用户,可以非常方便的接入对于需要更高安全的用户,则可以使用IPSec VPN,通过安装IPSec客户端拨号软件,拨入公司网络对于网吧等无法拨VPN的网络环境,可以使用基于WEB访问的SSL VPN通过内置全功能VPN,Vigor可以满足各层次用户的VPN需求。

  

  

2、单机接入,局域网到局域网全面支持

使用Vigor系列的内置VPN,既可以让单独在外的用户单机拨入网络,也可以实现多分支机构之间直接的互联互通,最大限度的满足了网络部署需求。

  

  

3、免费的VPN客户软件

我们提供了免费的PPTP/L2TP/IPSec全功能VPN拨号软件,用户无需额外花费昂贵的价格去购买VPN客户端软件。

  

  

4、专利技术DHCP over IPSec,让IPSec也支持虚拟网卡

通常来说,使用IPSec接入网络的用户,可以访问局域网的PC获取信息,但是从局域网的PC却无法反过来访问拨入的用户,因为IPSec本身有这样的局限性,不像PPTP那样可以有一个虚拟网卡,获取到一个同网段的IP地址让局域网PC访问。因此,Vigor自行开发了DHCP over IPSec技术,使得IPSec拨入的用户同样拥有虚拟网卡,获取虚拟IP,从而获得和PPTP一样方便的VPN访问。

  

5、网络监控,网络问题早发现,早解决

1、PC的流量监控,会话监控,即时发现问题电脑,踢出网络

中毒PC/滥用带宽的PC的一大特点就是使用带宽大,使用会话多,如果没有良好的监控手段,我们只能任其为所欲为,找不到任何解决的办法。Vigor的流量监控功能可以直接为用户解决这一难题。

这里,不仅提供了网络的监测,同时也提供了屏蔽指定用户上网的功能,通过点击,即可将有问题的PC踢出网络,使其无法访问任何网络资源。

  

  

2、流量图功能,帮助用户进行网络使用情况诊断

通过流量图功能,可以看到路由器在过去的一个昼夜里网络带宽,会话的使用情况,通过流量图,我们可以看出网络带宽有没有得到充分利用,有没有P2P的滥用,从而对网络的设定,例如带宽管理,会话管理等进行调整,实现网络的优化配置。

  

  

3、网站访问记录监测,访问过的网站一目了然

员工上班时究竟访问了哪些网站?相信老板们对这个都比较感兴趣,使用Vigor路由器配套的系统日志工具,就可以对网站访问记录进行实时的保存和检查。

  

  

4、防火墙日志,用户访问日志,协助发现网络问题

网络经常会受到内部的,外部的攻击,只要打开了路由器的防攻击功能,所以的攻击都会在防火墙日志中报告出来,找到了攻击的来源,网管就可以即时将攻击隔离处理了。而用户访问日志则忠实记录了每台电脑对外部任意IP,端口的访问,通过查阅访问日志,就可以查出用户在某个时间点使用了怎样的网络服务。

  

  

5、VPN日志,记录了VPN相关的全部记录,在出现VPN问题时,查阅此处即可获得完整的信息

VPN是现代企业采用非常广泛的功能,通过VPN,可以实现安全的网络访问,但是,随着VPN的广泛采用,VPN断线,VPN无法拨号等一系列问题,也成了网管的恶梦,通过日志工具的VPN日志,可以很轻松的找到VPN问题发生的源头,进行快速有针对性的解决。

  

  

我们有理由相信,部署上这样一台设备,企业的网络问题大都可以迎刃而解,网管也不用再担心别人找老板抱怨网络了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章