结合ISA2000和长角牛网络监控机实现对局域网内用户的分组管理
时间:2022-08-17 04:56:49
网络为企业提供了新的机遇,但是同时它也给安全、性能和可管理性等领域带来了新的风险。一个长期困扰网络管理者的实际情况就是,如何针对局域网内的不同用户作出不同的反应,毕竟总裁和员工的权限是有差别的。本文将使用两款优秀的网络管理软件实现对网络的全方位管理。但篇幅有限,一些必要的技术如DHCP、OUTLOOK等就不一一尽述了。
1 ISA简介
ISA Server 2000是Microsoft的一款高级防火墙,它是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵,同时也可以制定不同的策略来适应不同的组别。
长角牛网络监控机是长角牛软件工作室开发的一款局域网管理辅助软件,采用网络底层协议,能对网络中的每一台主机(这里指各种计算机、交换机等配有IP的网络设备)进行监控。它采用网卡地址(MAC)而不是IP地址识别用户,可靠性高。
3.1 建立组-用户-IP对应表
首先将名单按照岗位描述分成不同的组,比如总裁组、高频率组、低频率组等。
3.2 用ISA对网络用户实现用户分组
(1)打开ISA Management,在“Client Address Sets”下新建“Set”。将分好的组全部加入进ISA。
(2)加入一个客人组,客人组的IP即为除正常用户以外的IP地址(这段IP地址可由DHCP自动分配,而客人使用自动获取IP地址)。
3.3 使用长角牛网络监控机实现用户入网管理
(1)设置网络外的新用户禁止接入网络。在“用户权限设置”窗口中设置新用户默认权限为“禁止用户,发现该用户上线即管理”和“IP冲突”。这样新用户只有经管理者批准才能接入网络,否则即使插上网线也无法接通局域网。
(2)设置报警机制提示管理者。在“alarm setting”窗口进行设置,当发现新接入网络的计算机时就向管理者所在IP发送一条信使消息。当然也可以设置邮件通知,然后在管理者电脑上配置outlook。
(3)批量IP-MAC绑定。通过设置权限,指定用户只能使用某一个IP,否则即为非法用户被自动管理。
3.4 使用ISA实现用户与外网接入管理
(1)控制带宽
一旦ISA Server发现网络资源出现拥挤,则使用带宽优先级和带宽规则来分配通信优先级。带宽优先级可以为带宽分配值在1和200之间的优先级值。然后,这些带宽优先级可以通过带宽规则应用到指定的连接。
①设置带宽优先级。例如:因为高频率组对带宽的要求比较高,所以设置带宽优先级为180。在“Bandwidth Priorities”下新建一个“Bandwidth Priority”并设置带宽优先级为180。
②设置带宽规则。在“Bandwidth Rules”下新建一个“Rule”。其中选中“Specific computers(client address sets)”以加入高频率组,在“Use this bandwidth priority”中选择180。
由此为例,可以将所有人员进行分组管理。例如在公司,必须保证总裁们的网络顺畅,所以可以设定总裁组的带宽指数是200;低频率组对网络的使用要求比较低,所以可以设定成150;而客人设定成100。
(2)屏蔽协议
在局域网内,用户不遵守规定、肆意聊天、看电影等情况是最让网络管理者头疼的,ISA通过屏蔽协议对网络进行了有效的管理。例如:单位规定除总裁级别和客人外,其余员工不允许使用MSN聊天。那么网络管理者可以进行如下操作
①在“Protocol Rules”下新建一个“rule”。注意点击“下一步”后选择“deny”。
②选中“Selected protocols”以加入“MSN”和“MSN Messenger”两个协议。
③选中“Specific computers(client address sets)”以加入低频率组和高频率组
3.5 限制时间段
根据实际工作需要,ISA还可以配置设定不同组别的上网时间段。
4 使用这种解决方案的优点
(1)双重保险。通过两个软件很好的配合,使得网络更加安全,达到了新的一台计算机只要刚刚接入网络就会随即被发现并管理的目的。
(2)分组配置简单,扩展性好,配置低耦合。随着企业的不断运营发展,人事调动在所难免。而网络管理者只需要修改策略单元就可以轻松更改设置,有效地解决了防火墙设置的高耦合性。
参考文献
[1]李静安.高级防火墙ISA Server 2000.中国铁道出版社.
[2]Microsoft. MCSE Training Kit(Exam 70-227):Microsoft Internet Security and Acceleration Server 2000.北京大学出版社.
