对于企业网络来讲,稳定的速度是评价其是否健康运行的一个重要指标,当企业网络处于异常状态的时候我们的网络管理员直接面临的就是各方的责难和求救:“XXX,我这里网站打开好慢,你过来帮我看下什么问题”,”XXX,怎么XXX网站打不开,你们是怎么管理网络的”,”XXX,你过来帮我看下怎么邮件收不了”,一个两个人来让你看你还应付得过来,如果整个公司几十几百个人同时找你的话我想即使你有三头六臂也未必能应付得过来,即便你能应付得过来,这样的情况发生多了,大家必然会将对网络的不满转移到你的头上来,如何有效的保障企业网络健康运行成了我们每个网络管理者的当务之急。
1.事前预防,防患于未然
ISA提供了优秀的应用层过滤功能,在这里可以通过HTTP策略,控制所有的ISA Server客户的连接,ISA 可以通过与域环境中建立的用户集相结合,可以对用户的访问内容进行灵活控制,从而对一些非法色情站,在线视频,P2P下载之类的网站进行拦截。
同时在ISA中还可以通过设置“enable bindwith control”的数值,启动流量控制功能,当你的实际流量超过enable bindwith control设定值时,将根据预先设定的用户流量级别来优先保障主要业务员的网络带宽,确保公司业务正常进行。
与此同时ISA还可以利用第三方插件(如: Bandwidth Splitter for ISA Server)来扩展起性能,可以定制(分配或限制)内部网络中的单个用户和主机,或是用户组、主机组(AD环境中)对INTERNET连接和带宽,也可以对企业网络中的用户下载的内容进行反病毒扫描,从而保证用户所浏览的网页及下载的文件的安全性。
为了合理的利用带宽和提高工作效率,我们还可以在ISA上对指定的用户组上网的时间段进行控制。在ISA中为指定的用户组设置每个星期的某一天某个时间段执行某个协议规则,其他时间段执行另外的协议规则,从而使得企业网络的管理和控制更为人性化。
2.对外部攻击和入侵进行检测,将不安全因素拒之门外
ISA Server的一个重要功能就是入侵检测,在ISA Management的IP数据包筛选属性对话框中启用入侵检测,可以把ISA Server配置为能够检测6种常见的网络攻击。这些攻击包括端口扫描攻击、IP半扫描攻击、登录攻击、Ping of Death攻击、UDP轰炸攻击以及Windows out-of-band(WinNuke)攻击。
有人试图攻击您的网络时,入侵检测能够将其鉴别出来,检测到攻击后,ISA Server就会采取一系列预先配置的措施(或警报)。默认状态下,启用入侵检测后,ISA Server一检测到攻击,就会往Windows事件日志中发消息。也可以把ISA Server配置为对检测到的攻击做出其他的反应,例如给管理员发送电子邮件、启动一个特定的程序、以及启动或停止选定的ISA Server服务。
3.实时的监控管理和日志分析能力,强化网络管理水平
ISA利用基于微软管理控制台(MMC)的用户界面、图形化的任务垫和向导对ISA Server进行管理,从而简化了管理。借助ISA的实时日志监控功能,可以即时监控所有活动的防火墙会话以及对性能监控数据进行跟踪,会话过滤工具可以帮助我们缩小监控范围,从而更快的找出问题所在。
当然,在这里你还可以根据自己的使用习惯和专业水平采用合适的第三方插件来协助你进行管理,借助更加直观,更加详累的日志分析结果,企业的管理者可以更方便的知道自己的员工都什么时候在上网,在上网做些什么。管理人员也可以根据此报表了解企业内部员工的网络行为趋向,从公司的管理上制止某些网络滥用行为。
【编辑推荐】
服务器与个人电脑有什么不同
服务器与PC的区别应该从硬件和软件两方面来看,根据应用的不同两者的差别很大,打个比方,PC就是那什么都会的门诊医生,但是医术不是那么精湛,而服务器就应该是某个方面的专家了,处理能力越出众,它“专”的就越厉害。 我先从硬件上,根据各个组件说说他们的不同: 服务器cpu的指令一般是采用的RISC(精简指令集)。 根据研究,在大多数的应用中,CPU仅仅使用了很少的几种命令,于是研究人员就根据这种情况设计了该指令集,运用集中的各种命令组合来实现各种需求。 这种设计的好处就是针对性更强,可以根据不同的需求进行专门的优化,处理效更高。 相对应的则是CISC(复杂指令集),他的特点就是尽量把各种常用的功能集成到一块,例如我们常常听到的MMX,SSE,SSE+,3D!NOW!等等都是这种类型的。 另外,服务器的CPU设计一般都要考虑它的多路功能,说白了就是好几个甚至上千上万个CPU一起工作的问题,而PC则简单多了,这种多路功能用上实在浪费,而它的价钱也的确是上面兄弟说的,不是谁都能受的了的。 (补充:服务器的寻址能力很早前就是64位了;APPEL采用的指令集也是RISC,他是个另类,不过现在已经投靠INTEL了)2.内存。 内存在服务器上的原则也上越快越大越好,不过它对纠错和稳定提出了更高的要求,比如ECC(错误检查和纠正好象没人这么叫的)。 我们现在使用的PC上很少有人能够用到1G的内存(玩游戏的不算),而在服务器上,这G级的内存有时也会显着捉襟见肘,记得去年国家发布银河最新超级计算机时,他的内存更是达到了1个T;相比内存的速度,人们在应用的时候更优先考虑内存的稳定和纠错能力,只有在保证了这两条,才能再考虑别的东西。 3.硬盘。 硬盘性能无论是在PC上还是服务器上,性能的提升一直很缓慢,个人认为,依靠机械的发展,硬盘的发展是不可能出现质的飞跃。 由于使用服务器的一般都是企业单位,里面都是保存了大量珍贵数据,这对硬盘就提出了安全稳定的要求,硬盘上出现的相关技术也基本上围绕这两个要求转。 比如:数据冗余备份,热插拔等。 另外,服务器硬盘必须能做到24*7不间断工作的要求。 4.主板.这个我了解的比较少,很少看到服务器有主板的说法,不过我觉得应该提提服务器的总线设计——多路,就是多个CPU如何能够协调工作。 有兴趣建议你看看操作系统方面的书,看老外写的,很好! 5.显卡.除了图形和3D设计(那个人家好象都叫工作站,哪位达人知道请告诉我对不对),服务器上的显卡基本上就是你只要能接上显示器能显示就行! 接下来我说说软件,软件就主要指操作系统,比如我们熟悉的NT,2000 SERVER,2003 SERVER,LINUX,SOLRAIS和UNIX等等,都是专门针对服务器设计的,比如:负载均衡,多路CPU的支持。
求企业局域网管理方案 ~!!!!高手进
那也先说下机子数量和规模,网络带宽及配置要求等等才行吧…… 为了200分,稍微谈谈吧:)假设是200台机子吧,路由器和交换机之类硬件配置就不用说了吧 软件嘛,操作系统用WIN2003 server enterprise 企业版,推荐一并安装R2升级包,所有机器组局域网,用一台千兆网卡做域控,架设web、smtp、流媒体、打印机、文件等服务器,其他机做为域成员加入进来,内网IP各用各的,外网用端口映射到一个IP(当然,如果你的企业有钱那参照具体情况了,重要的服务器各用各的外网IP),用域控做网络流量负载平衡,域控机器配置要强,如果你网络流量大,建议用专业级服务器,至强+2Gb+SCSI硬盘之类,看你环境要求了,如果必要可以上双至强,再用一台512mb内存的p4 2.0G以上机做备份域控,这样主域控上下线或重启或出故障不影响域内成员正常工作,备份域控凑合就可以了,按我上面的要求就行,当然,有钱可以用好的 如果你安全性要求高,建议路由前端用普通P4+512Mb内存机器架ISA2004 server组防火墙,配置的好效果比一般的硬件防火墙要好,完全不影响网络环境运行,域内成员可以裸奔不怕毒和黑 至于域内成员机,如果仅全力供应片源或做做一般的平面设计,当前主流家用机型就够用了 服务器建议用hp 360G系列,目前价位不算高,性价比还不错,售后很好,如果你对建网不怎么了解,可以让他们帮你装,买他们的服务器就是要利用他们的人力资源嘛 路由器可以选用飞鱼星4200以上机型,电信网通双WAN口,是可以提供150~250台机器的大型网吧专用的,内置参数非常丰富,同样适合用于中小企业 至于网管软件,网络负载平衡靠ISA,DHCP/DNS/WEB/打印机/文件共享等靠IIS6.0,如果觉得不用杀毒软件不放心,上SAV3.0,至于成员机出问题需要求助什么的,直接用远程连接就可以,当然用pcAnywhere效果也一样,方便一点,至于说小工具之类的,推荐聚生网管,其他就没什么了,我很少用到第三方软件,微软产品足够对付了,另外科室或者部门内部上工作组也行,只是安全性低,不能做到用户之间的完全隔离,有悖网管职责:) Win2000完全不在考虑之内,如果牵涉到域控级别的更改,麻烦死了,2003非常强大了,看你水平啦,反正我不用任何杀毒软件,就一个ISA裸奔的,至今还没出现什么安全问题,IP安全机制筛选的强悍就行:) 另外再多罗嗦几句,板卡不要买七彩虹的,我上过当,七彩虹本身是咨讯公司,没有任何板卡生产能力,都是同德代工的,以为它的出货量大,就选了它,结果广告上的指标参数和实际产品根本不同,水份太多太多了,售后也很烂,特此建议…… 楼下别再抄袭我了,每天都被抄走好几个200分最佳,实在是郁闷!
小弟在学习ISA时 遇到了几个问题:什么是防火墙客户 什么是SNAT客户 什么是 web代理客户
ISA Server 支持3种客户端 1.。 Firewall Client --- 防火墙客户端 这种客户端需要安装Firewall Client软件。 。 不可以在ISA server的CD光盘上直接执行。 。 必须通过网上邻居或者其他的方式进行安装。 。 其实ISA在安装好后。 在安装ISA的那台计算机上会共享一个名为“clients”的文件夹。 。 在客户端上使用UNC路径的方式访问“clients”文件夹。 。 执行“clients”文件夹下的文件进行安装 2.。 SecureNAT Client --- 安全网络地址转换客户端 这种客户端不需要安装任何软件。 。 设置的方法是在客户端上把默认网关设置成ISA服务器的IP地址就可以了。 。 也可以在DHCP服务器上设置客户机的默认网关为ISA服务器的IP地址 3.。 Web Proxy Client --- Web代理客户端 这种客户端也不需要安装任何软件。 。 就是我们所说的代理服务器。 。 在IE里设置。 。 。 设置的方法是“工具 --- Internet选项 --- 连接 --- 局域网设置” 在弹出的“局域网设置”勾选“为LAN使用代理服务器”复选框。 。 在“地址”栏中填上ISA服务器的IP地址。 。 在“端口”栏中填写ISA服务器提供的端口。 ! 在点击“确定”。 。 就可以了
发表评论