局域網安全管理的布置與實現

　　為一個科研機構、一所高校或者政府部門組建的一個內部局域網,不論是ATM、快速以太網,還是FDDI、令牌環,對用戶來說,使用起來感覺上沒有多少差別,但從網絡管理角度上,怎樣安全管理網中的工作組、個人計算機,則是一個重要而且復雜的問題。下面將介紹一個簡便的解決辦法,希望能對中小型企業網有所借鑒。

　　網絡連接方法

　　解決辦法的關鍵一環是使用匯訊企業版管理軟件,匯訊企業版2.0是多贏軟件公司最新推出的基于GateWay方式的軟件,不但支持Windows 2000/03,而且支持Windows NT 4.0;SyGate2.0軟件支持微軟的撥號網絡,支持多種物理連接,如PSTN撥號,ISDN、ASDL和Cable Modem,支持幾乎所有的Internet應用和協議。另外,因為匯訊企業版使用了低級包交換技術,性能極佳,是解決小局域網的安全、管理等方面問題比較理想的選擇。在小局域網中利用一臺微機作為網關,處理進出的網絡流量,其它微機通過網關間接與Internet連接,這樣,局域網內的微機感覺就象直接上網一樣,在客戶端只需要在控制面板上作一點修改,就可以直接調用瀏覽器、FTP、News、Internet、Mail、ICO、Netmeeting、MIRC等客戶軟件,不需要另外的特別設置。

　　我們的應用大環境是通過DDN專線連接Internet,網絡布線采用綜合布線,接線口就在微機旁邊的墻壁上,直接接入即可使用,小局域網由六臺微機組成,它們是小范圍的群體集合——一個開發組,除了PC-1安裝Windows NT 4.0操作系統外,其余全部安裝Windows 95操作系統,PC-1計算機作為與外部連接的網關,安裝SyGate2.0軟件。

　　優點

　　1. 保留了原有局域網功能

　　我們在小局域網上工作和學習如同在大環境上一樣,如:瀏覽Internet網,下載文件,共享其他單位的共享文件,發郵件等。

　　2. 經濟實惠

　　這種方案是一個大局域網中的小局域網的方案,服務器是一臺PC機,根據單位的現有條件挑選一個較好的PC機就行,只須在PC機上加一塊網卡,而網卡性能一般且較便宜的只有100元錢左右,功能較強、質量較好的也只不過300多元,實現起來經濟實惠。

　　3. 安全性較強

　　在小局域網上建立了入網限制、用戶權限、受托權限以及文件和目錄屬性等四級安全機制,從而有效地防止了對重要數據和文件的竊取及破壞。小局域網內的計算機均可以瀏覽Internet網,但不顯露在大局域網上,給黑客的侵入加了一道防線,給病毒的干擾減少了一次機會,按這種方式建網安全性就會相應的高一些,就我們的應用經驗來說,網上運行安全性是至關重要的,安全是我們共享資源的可靠保證,也是我們做好目前工作的前提。

　　4. 便于管理

　　我們的小局域網中的計算機,在內部相互看得到,出了我們這個小范圍,其他單位看不到我們的個人計算機,這樣我們就可以放心地共享我們的文件和打印,尤其是共同開發同一個項目和利用同一個題案時,更顯出其優越性。

　　性能測試初探

　　在我們試圖評估這個小局域網的性能時,我們發現評估的難度非常大,大到我們掌握的材料及工具幾乎是不可能的,所以我們改為去監視它的瓶頸,從這方面入手來提高系統性能,提高效率。

　　1. 利用性能監視程序收集測試數據

　　我們的小局域網的服務器配置是PC/586/300MHz/64M/6.4G,操作系統是Windows NT4.0,IIS 3.0,利用性能監視程序可以實時地監視一個系統,也就是說所監視的對象是當前發生的,所看到的對象的值,是反映該對象在一個最小的事件間隔內的實際值。性能監視程序把事件定義為對象,對象可以是系統、處理器、進程、線程和其它類似的項目,對象可以分為不同的計數器,例如:系統對象包括統計總的處理時間(系統總的處理器利用率),總的中斷時間(系統產生的總的中斷時間),總的特權時間(系統在核心態運行的總時間)以及其它指標所占的百分比,每一個對象都對應一個計數器,在計數器內部又可以有若干個事例,比如:有兩個處理器,在事例中就會發現兩個編號分別為0和1或者指定不同的名字。如監視RAS端口對象計數器,在事例中將包括Com1、Com2以及RAS連接的數目,這樣我們就可以收集大量的與網絡有關的性能方面的基礎數據,包括圖表、日志、報表和警告,以備后用。

　　2. 創建解析性能數據庫

　　創建一個性能數據庫,用來衡量當前使用服務器的性能優劣,改善其性能。該數據庫是那些描述特定部件操作的原始數據的集合,用我們長期收集的數據來確定當前服務器的整體行為,而不是只憑觀察現象、人工跟蹤、記錄峰值來確定。利用前面提到的性能監視程序,獲得了大量的性能數據,將它們轉化為易于管理的形式,導入到Excel中,觀察幾天、幾個星期,甚至幾個月的數據,這樣收集、觀察的數據越多,就越能有助于我們正確地掌握性能的走向。隨著收集數據的增多,可以利用它準確的定位波峰活動時間段,甚至可以確定波峰形成的原因,而且有些問題需在較長的時間才能顯露出來,這也是我們建立數據庫的主要原因。一般至少一周一次用新輸出的數據創建一個可以打印的圖表,可以將這些圖表積累起來,每月至少一次地比較它們,查找不尋常之處,最好將新數據與前幾個月的圖表進行比較,這樣通過大量的數據累計、比較,為準確地定位性能降低的原因提供可靠的依據。

　　3. 利用收集的數據提高系統性能

　　根據我們收集的數據庫顯示性能的情況,即可做出決策,對服務器的哪個部件,以及與網絡相關的連線、網卡、集線器、交換機等采取有效措施,比如:服務器與客戶之間收發數據包的速度不夠快,那么網絡適配器很可能就是一個瓶頸,這種情況下,可以把10 BaseT的網卡換成100 Base-T的網卡來提高服務器收發數據的能力。又比如:服務器從I/O子系統訪問數據的速度跟不上用戶的請求,則I/O輸入輸出子系統就是瓶頸。在這種情況下,用一組磁盤來取代單個的磁盤驅動器,可以提高服務器訪問數據的能力,從而能提高服務器的性能。每消除一個瓶頸,服務器的性能就會得到提高,但往往又會發現另一個瓶頸。

　　通常,當輸入輸出子系統是瓶頸時,我們提高了I/O子系統的效率,網絡子系統很可能又成為系統的瓶頸,我們提高了網絡子系統的效率,又發現處理器成為瓶頸。而當我們增加了一個處理器或換用一個處理器的時候,很可能會發現I/O子系統又重新成為新的瓶頸。這個過程周而復始,直到達到我們滿意為止,這時,此系統就已經實現了最大的效率、最好的性能。但這不是一成不變的,當我們的需求提高時,我們又要改善系統的性能,永不停止。