计算机网络安全管理与维护66464.doc-道客多多

资源描述

1、1毕业设计（论文）（2013 年）论文题目：计算机网络安全管理与维护系别：班级：姓名：班级：指导老师：山西电力职业技术学院二一三年四月 2目录前言 4摘要 5第一章、局域网 61.1什么是局域网 .61.2局域网的现有拓扑结构 .61.2.1. 星型结构 61.2.2. 环型结构 71.2.3. 总线型结构 71.2.4. 混合型拓扑结构 81.3什么是内网 .81.3.1如何检测公网和内网 81.3.2内网与外网的区别 9第二章、内网安全 .102.1局域网内网安全现状 102.2局域网内网安全威胁分析 102.2.1 欺骗性的软件使数据安全性降低 102.2.2服务

2、器区域没有进行独立防护 .102.2.3计算机病毒及恶意代码的威胁 .102.2.4局域网用户安全意识不强 .112.2.5IP 地址冲突 11第三章、网络管理软件的分析123.1总括计算机网络管理软件123.1.1网络管理软件概念及应用的简单介绍123.1.2市场上主流的网络管理软件产品13.1.3网络管理软件的应用范围123.2具体对三款网络管理软件进行介绍123.2.1聚生网管123.2.2聚生网管适合的客户类型163.2.3网路岗163.2.4. 网路岗适合的客户类型 183.2.5家庭网络哨兵 18第四章、局域网内网安全实现与病毒防治策略 .194.1、加强人员的网络安全培训 194

3、.2、局域网内网安全控制策略 194.2.1、利用桌面管理系统控制用户入网 .194.2.2、采用防火墙技术 .194.2.3、封存所有空闲的 IP 地址 204.2.4、属性安全控制 .204.2.5、启用杀毒软件强制安装策略 .204.3病毒防治 204.3.1、增加安全意识和安全知识 .214.3.2、小心使用移动存储设备 .2134.3.3、挑选网络版杀毒软件 .214.4企业网络安全策略 214.4.1、注意内网安全与网络边界安全的不同 .214.4.2、限制 VPN 的访问 .214.4.3、为合作企业网建立内网型的边界防护 .224.4.4、自动跟踪的安全策略 .224.4.5、

4、关掉无用的网络服务器 .224.4.6、首先保护重要资源 .224.4.7、建立可靠的无线访问 .224.4.8、建立安全过客访问 .234.4.9、创建虚拟边界防护 .234.4.10、可靠的安全决策 23总结 .24参考文献 .254计算机网络安全管理与维护前言2 年多的大学生活结束了，开始正式的步入社会，毕业要面临的除了就业之外就是毕业论文的设计，在毕业前接到指导老师对论文设计的通知，需要我们每个人自己设定一个论文标题上交到老师手上，既然是毕业论文当然是要自己学了什么东西根据所学来写一份毕业设计了，于是我开始在构思我的毕业设计到底应该写一些什么，身边的同学都有了自己要写的内容的打算，

5、按照我们的专业来分析的话可以写的东西很多，比如网络的搭建啊，网络的教学应用，小型企业局域网的维护与管理之类的，有的同学在毕业前就有打算正式的从事网络管理我们这一专业的工作，所以写起来都是得心应手的。按照自己所想先将这一大概的蓝图规划好，之后一步步的填充东西进去，其实写论文比较难得还是设计大纲，我可能有所不同，因为我知道在我们这种专业学出来的可能以后想找个稳定的好工作非常难，而且说一句老实话我的专业知识不管是软件还是硬件学的都不好，所以此次毕业设计我定下了一个模糊的标题计算机网络安全管理与维护从这一模糊的大纲中慢慢的填写我心中所想的内容，将自己所能达到的专业度完全发挥一下，当然之中也有一些网络上

6、的资料了。因为主题开始就比较模糊，所以内容也有点天马行空，希望老师在看的过程中做好心理准备。5摘要当人类步入 21 世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶

7、意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。一、关键字网络安全管理、局域网、内网、病毒 SummaryWhen humans into the 21st century this information society, social network, China will set up

8、 a complete set of network security system, especially from a policy and legal with Chinese characteristic establish the network security system. In the information age, information can help groups or individuals, make them benefit, also, information can also be used to pose a threat to them, causin

9、g destruction Therefore network security including composition network system hardware, software and its transfer over a network information safety, make its not for accidental or malicious attack destroyed, network security both technical problems, also have management problems, two respects comple

10、ment each other, be short of one cannot.6第一章、局域网1.1什么是局域网局域网（Local Area Network），简称 LAN，是指在某一区域内由多台计算机互联成的计算机组。 “某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、(扫描仪共享(注：扫描仪不能共享）)工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。 1.2局域网的现有拓扑结构网络中的计算机等设备要实现互联，

11、就需要以一定的结构方式进行连接，这种连接方式就叫做“拓扑结构” ，通俗地讲这些网络设备如何连接在一起的。目前常见的网络拓扑结构主要有以下四大类： 1.2.1. 星型结构这种结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是 Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点：（1）容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质

12、相对来说比较便宜，如目前正品五类双绞线每米也仅 1.5 元左右，而同轴电缆最便宜的也要 2.00 元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE802.2、IEEE802.3 标准的以太局域网中；（2）节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可,而不会像环型网络那样“牵其一而动全局” ；（3）维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；（4）采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大

13、；（5）网络传输数据快：这一点可以从目前最新的 1000Mbps 到 10G 以太网接入速度7可以看出。其实它的主要特点远不止这些，但因为后面我们还要具体讲一下各类网络接入设备，而网络的特点主要是受这些设备的特点来制约的，所以其它一些方面的特点等我们在后面讲到相应网络设备时再补充。 1.2.2. 环型结构这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为“令牌环网” 。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型，一般情况下，环的两端是通过一个阻抗

14、匹配器来实现环的封闭的，因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。这种拓扑结构的网络主要有如下几个特点：（1）这种网络结构一般仅适用于 IEEE802.5 的令牌网在这种网络中， “令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。（2）这种网络实现也非常简单，投资最小。可以从其网络结构示意图中看出，组成这个网络除了各工作站就是传输介质-同轴电缆，以及一些连接器材，没有价格昂贵的节点集中设备，如集线器和交换机。但也正因为这样，所以这种网络所能实现的功能最为简单，仅能当作一般的文件服务模式；（3）传输速度较快：在令牌网中允许有 16Mbps 的传输速度

15、，它比普通的 10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展，以太网的速度也得到了极大提高，目前普遍都能提供 100Mbps 的网速，远比 16Mbps 要高。（4）维护困难：从其网络结构可以看到，整个网络各节点间是直接串联，这样任何一个节点出了故障都会造成整个网络的中断、瘫痪，维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式，所以非常容易造成接触不良，网络中断，而且这样查找起来非常困难，这一点相信维护过这种网络的人都会深有体会。（5）扩展性能差：也是因为它的环型结构，决定了它的扩展性能远不如星型结构的好，如果要新添加或移动节点，就必须中断整个网络，

16、在环的两端作好连接器才能连接。 1.2.3. 总线型结构这种网络拓扑结构中所有设备都直接与总线相连，它所采用的介质一般也是同轴电缆（包括粗缆和细缆），不过现在也有采用光缆作为总线型传输介质的，如后面我们将要讲的 ATM 网、所采用的网络等都属于总线型网络结构。这种结构具有以下几个方面的特点： 8（1）组网费用低：从示意图可以这样的结构根本不需要另外的互联设备，是直接通过一条总线进行连接，所以组网费用较低；（2）这种网络因为各节点是共用总线带宽的，所以在传输速度上会随着接入网络的用户的增多而下降；（3）网络用户扩展较灵活：需要扩展用户时只需要添加一个接线器即可，但所能连接的用户数量有限

17、；（4）维护较容易：单个节点失效不影响整个网络的正常通信。但是如果总线一断，则整个网络或者相应主干网段就断了。（5）这种网络拓扑结构的缺点是一次仅能一个端用户发送数据，其它端用户必须等待到获得发送权。 1.2.4. 混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。 1.3什么是内网内网就是局域网，网吧、校园网、单位办公网都属于此类。另外光纤到楼、小区

18、宽带、教育网、有线电视上网虽然地域范围比较大但本质上还是基于以太网技术，所以仍然属于内网。内网接入方式：上网的计算机得到的 IP 地址是互联网上的保留地址，保留地址有如下 3 种形式： 10.x.x.x 172.16.x.x 至 172.31.x.x 192.168.x.x 内网的计算机以 NAT（网络地址转换）协议，通过一个公共的网关访问Internet。内网的计算机可向 Internet 上的其他计算机发送连接请求，但 Internet上其他的计算机无法向内网的计算机发送连接请求。公网接入方式：上网的计算机得到的 IP 地址是 Interne 上的非保留地址。公网的计算机和 Int

19、ernet 上的其他计算机可随意互相访问。 91.3.1如何检测公网和内网请用上面介绍的查看 IP 地址的办法，检查一下您的电脑里有没有这个 IP 地址。如果有，您就是通过公网接入 Internet，否则，就是通过内网接入 Internet。请注意：1、如果您的浏览器里设置了使用代理服务器，请清除代理服务器设置，并刷新本页面，之后再检测。2、有些学校或大型的机关单位虽然分配公网 IP 给用户，但学校或单位为了安全起见，会封闭校外对校内的访问请求。这部分用户虽然有公网 IP 地址，但依然要用内网动态域名来建网站。如果您通过校园网或机关单位的网络上网，并检测到自己有公网 IP，请您在本机调试好

20、网站后，把防火墙打开，请外网的朋友通过 IP 地址来访问您的网站。如果能访问，就是公网；如果不能访问，就是内网。 1.3.2内网与外网的区别内网指的是局域网.几台或者几十台电脑之间互访外网指的是我们上的 internet 网络内网也叫私网地址如下： IP 等级 IP 位置 ClassA10.0.0.0-10.255.255.255 ClassB172.16.0.0-172.31.255.255 ClassC192.168.0.0-192.168.255.255 子网掩码一般设为:255.255.255.0 内网是可以上网的.内网需要一台服务器或路由器做网关,通过它来上网做网关的服务器有

21、一个公网 IP,其它内网电脑的 IP 可根据它来随意设置,前提是 IP 前三个数要跟它一样,第四个可从 0-255 中任选但要跟服务器的 IP 不同 10第二章、内网安全2.1局域网内网安全现状广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS 等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。目前，局域网络安全隐患是利用了网络系

22、统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。2.2局域网内网安全威胁分析局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类： 2.2.1 欺骗性的软件使数据安全性降低由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性” ，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击” ，钓鱼工具是通过大量

23、发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号 ID、ATMPIN 码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。 2.2.2服务器区域没有进行独立防护局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电

24、脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。 2.2.3计算机病毒及恶意代码的威胁 11由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007 年，两种软件的结合推动旧有寄生软件变种增长 3 倍之多。2

25、008 年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长 20%。 2.2.4局域网用户安全意识不强许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在 Internet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。 2.2.5IP 地址冲突局域网用户在同一个网段内，经常造成 IP 地址冲突，造成

26、部分计算机无法上网。对于局域网来讲，此类 IP 地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。 12第三章网络管理软件的分析3.1 总括计算机网络管理软件3.1.1 网络管理软件概念及应用的简单介绍网络管理软件属于网络软件（包括网络协议和协议软件、网络通信软件、网络操作系统软件、网络管理软件及网络应用软件）的一种，即通过此种软件来支持行为，提高工作效率。网管软件是专门为网络管理人员设计的，帮助网络管理人员进行自动化的网络监测和

27、管理，最终目的是减少故障，从而提高 IT 效率。一般来说，网络管理软件应用于网络存在的地方。从实际应用来看，网络管理软件应用于电信、银行、金融、石油石化等各个行业。按照网络管理软件管理的对象，它可以分为系统管理软件和设备管理软件。在这里我们主要研究系统管理软件。3.1.2 市场上主流的网络管理软件产品目前市场上的网络管理软件很多，被广泛使用的有网路岗、聚生网管、lanecat 网猫、北塔、网强、SiteView、Superscan、In-statChina 等。在这里只简单介绍几种常用的网络管理软件，下面还将会具体对特定的网络管理软件进行具体的分析。3.1.3 网络管理软件的应用范围可以将网络

28、管理软件分为两种：从广义上讲，凡是网络存在的地方都需要网络管理，网管软件就是应用在这些领域。从实际运用来看，网管软件应用于电信、银行、金融等诸多行业。从狭义上来讲，网管软件根据角度的不同，存在着不同的划分方式。按照网络管理软件管理的对象，它可以分为系统管理软件和设备管理软件。系统管理软件是对整个网络进行全面、深入监测管理的软件（包括服务器、网络设备和应用系统）；设备管理软件主要是各网络设备厂商推出的，可以很好地对其网络设备进行管理（如华为推出的一些设备管理软件）。3.2 具体对三款网络管理软件进行介绍3.2.1 聚生网管首先，客户可以从 http:/ 下载聚生网管的试用版，激活后便可以使用

29、。该软件可以很好地控制各种 P2P 工具，在使用时不需要调整任何网络结构。真正实现对带宽的动态、精确控制，便于管理员实时掌控局域网的网络资源使用状况。可以对网址浏览、各种聊天、HTTP、FTP 链接、黑客工具、恶意病毒等等妨害局域网的一切网络行为进行一站式、立体式管理。该软件的技术优势在于：不需要任何客户端软件，只需单机安装，就可以控制整个局域网。对网络环境没有任何要求的监控软件，安装在局域网任意一台机器上可以直接在网络应用层对 BT 数据报文进行封堵，从而可以让管理只要轻轻点击一下鼠标，就可以完全封堵所有的 BT 的下载。可以智能抑制 BT 下载的网络监控软件。可以实时控制局域网任

30、意主机流速的监控软件，而不仅仅是控制主机流量。可以许可局域网主机使用任意门户网站的邮箱，但禁止点击网站其他链接的监控软件。13 可以对网址进行精确控制的监控软件。可以通过对任意行业类别的网站进行屏蔽的监控软件。可以检测到局域网终结者、网络执法官、网络剪刀手等当前对局域网危害最为严重的三大工具攻击的监控软件。系统集成了强大的防护功能，实现双重隔离功能：隔离主机公网访问功能和隔离主机内网访问功能。集成了全面的自动化、智能化、节能化监控功能，强化了监控的安全性、稳定性、不间断性。以上可以总结出在大型的网络结构中比较适合使用该款软件。下面对这款软件的功能进行分析研究：下载控制 P2P 下载控

31、制功能：可以控制如 BT、电驴、百度下吧、PP 点点通、卡盟、迅雷等各种 P2P 工具的下载。 P2P 视频传输的功能：可以拦截如 PPFilm、PPVod、QQlive、沸点网络电视等当前流行的 P2P 视频工具。 P2P 下载智能带宽抑制功能：当发现有主机进行 P2P 下载时，自动降低该主机可用带宽。 HTTP 下载控制功能：用户可以自行设定控制任意文件下载，也可以指定文件后缀名限制下载。 FTP 下载功能：用户可以自行设定控制任意文件下载，也可以指定文件后缀名。系统可以禁止一切 HTTP、FTP 的上传下载。带宽（流速）、流量管理实时查看局域网主机带宽占用：从大到小排序功能使得网管

32、可以对网络占用清晰了解。针对特定主机分配公网带宽：可以使企业有限的公网带宽得到最充分的利用，从而使得某些主机无法再大量消耗带宽。主机报文数据分析功能：使得网管可以知道主机所占带宽是用于什么应用。系统可以为局域网主机设定上行、下行流量和总流量，超过设定流量，自动断开其公网连接。流量每日自动清空的功能，用户可以根据需要选择。聊天管理 QQ 聊天控制。 MSN 聊天控制。系统可以禁止 QQ、MSN 文件传输，保证客户信息安全。监控通过网页发送的 WEB 邮件、发帖、留言系统可以详细记录并限制通过网站所发的 WEB 邮件（包括内容和附件）、发帖、留言等通过 HTTP 外发的内容。监控

33、Outlook、Foxmail 等邮件收发的邮件内容可以详细记录并限制通过 Outlook、Foxmail 等各种邮件收发工具接收和发送的邮件（包括内容和附件）。Netsense 可以根据需要对电子邮件进行监控，不仅可以知道邮件的去向、大小、何人所发，还可以截获电子邮件的内容，这可以有效地阻止通过电子邮件盗取企业机密的行为。可以详细记录并限制通过 FTP 工具上传和下载的文件 14文件传输方式（FTP）也是盗取内部网络机密常用的手段之一，现在上网速度越来越快，小到几兆，大到几十兆、上百兆的信息都可以在短时间内上传出去，这对企业的信息安全有着巨大的威胁，必须进行实时监控。 WWW 访问管理 W

34、WW 访问完全控制：网管可以选择是全部禁止上网还是使用过滤规则上网。黑白名单规则：网管可以设定网址过滤规则，支持黑白名单自定义。局域网主机充当代理服务器控制：系统可以自动限制局域网主机充当代理服务器，以禁止不当局域网扩展。局域网使用 WWW 代理控制：禁止局域网主机使用 Socks 等代理访问 WWW。系统可以精确、完整记录主机所上网站，便于事后审计。邮箱访问控制系统可以限定局域网主机可访问的任意邮箱网站。控制任意网站的邮箱，但不能点击网站的任意其他连接。组策略管理功能可以为局域网所有主机建立统一的控制策略。可以按照局域网主机设置不同的策略。各个控制策略组里面的主机可以在

35、各个不同的策略之间灵活转换。时间管理管理员可以设定对主机的控制时间，便于灵活管理。跨网段管理在实际网络应用中，经常会遇到这样的情况：某局域网中同时存在着两个或两个以上的网段（即 VLAN），各个网段间物理上联通，但相互之间不能访问，网络管理员要针对每一个网段单独进行的管理工作，重复工作量大，而且还增加了开销。针对这种的情况，聚生网管特别提供了的“透明跨网段管理“这项功能，来帮助网络管理员进行跨网段的管理工作。自定义 ACL 规则系统为网管人员提供自定义控制接口-ACL 规则设置，通过 ACL 规则，你可以设置包括 IP 源地址、IP 目标地址、协议号（TCP/UDP）、端口范围等参数的规

36、则，系统将自动拦截符合规则的数据报文，通过使用 ACL 规则，你可以轻松的实现控制功能的灵活扩展。如控制局域网任意主机 IP 对任意公网 IP 的访问；控制任意的聊天工具、控制任意的网络游戏局域网安全管理 IP-MAC 绑定：系统支持对局域网主机进行 IP-MAC 绑定，一旦发现非法主机，即可以将其隔离网络。嗅探主机扫描：通过使用系统附带的“反侦听技术“以及 windows 的底层分析技术，可以检测出当前对局域网危害最为严重的三大攻击工具：如局域网终结者、网络执法官、网络剪刀手等。断开主机公网连接：系统可以断开指定主机的公网连接。 “主机强制隔离功能”：系统可以针对安装不法软件妨害局域网

37、安全的电脑进行无条件的公网隔离功能，直至其停止使用非法软件。 “聚生网管增强性主动管理工具”：系统可以强制将局域网内的危险电脑进行紧急完全隔离，被隔离后的电脑不能访问局域网或公网，也不能被局域网或公网的任意电脑所访问，形似消失。网络流量统计15系统提供了多种详细、图文并茂的主机流量、流速统计功能。其中包括：日流量统计功能：系统提供了指定主机或所有主机的日流量汇总统计功能。月流量统计功能：系统提供了指定主机或所有主机的月流量汇总统计功能。日流速统计功能：系统提供了指定主机、指定时间内的流速趋势图。详细日志记录系统详细记录了所有控制信息，用户可以通过查看日志文件来确定被管理主机网络访问

38、情况。系统详细记录了局域网主机的 WWW 访问网址，用户可以自行查询。其他功能除上述功能外，系统提供了许多非常实用的功能，如给局域网任意主机发送消息；可以控制局域网电脑的 USB 接口、光驱、软驱的使用等等。当然，在使用过程中，以后遇到很多问题，下面举一些典型的例子来说明一下：启动软件时候出现“启动服务失败”提示。解析：确认你在软件配置里面选择了网卡，并保存。确认你在网络控制台启动了网络控制服务；确认你是否选择了特定的主机，并选择了应用控制设置；确认你在网络应用管理那里选定要了控制的项目并且进行保存；确认本机不是装在局域网的代理服务器上面，有些功能可能不稳定；你的系统是否安装了采用 wi

39、npcap 驱动的监控软件，这有可能造成系统的无法运行。解决方案：先到控制面板卸载 winpcap 驱动，然后重新启动电脑，然后重新安装本软件；确认你的局域网没有进行 ip-mac 绑定，如果已经进行了绑定那么运行本软件就会导致局域网被控主机掉线。确认你的电脑是否安装了其他类似的监控软件，如果有，请卸载后重新测试；重新启动一下系统，因为有时候是你的系统环境有问题。软件已经提示了系统控制 x.x.x.xP2P 下载信息，可是它还能下载。解析：因为 P2P 下载的特点就是不断的去连接新的 IP 地址，所以软件提示的信息表示正在拦截该主机连接更多的 IP，而已经建立的连接聚生网管是无法区分的，所

40、以就会造成还有下载速度。解决方法：让聚生网管软件处于一直运行状态，这样新的 P2P 下载就会受到控制；或者限制发现 P2P 下载时的上行和下行速度，这样 Bt 下载就会受到有效的抑制。网络带宽查看里面显示的主机实时流量和我在主机上查看的流量有差异。解析：因为聚生网管对网络主机的公网下行带宽是根据报文数采用一定算法进行估算而来，而不是根据字节计算，所以就有可能出现一定偏差，但是仍然可以在很大程度上准确反映出当前公网带宽占用情况。对局域网的主机进行了限制，却导致了主机不能上网。解析：查看是否在代理服务器上或者路由器中起用了 ip-mac 绑定，如果启用，请取消绑定设置；可以使用聚生网管提供的

41、Ip-mac 绑定功能来实现绑定；因为聚生网管采用了虚拟路由技术，在被控制主机发出数据报文后，经过控制主机虚拟路由后，报文的源 MAC 地址会发生变化，而如果在代理服务器上或者路由器上启用了 IP-MAC 绑定，那么这种源 MAC 地址已经发生变化的报文就会被代理服务器或者路由器丢弃，从而造成被控制主机无法上网；另外，在软件运行的时候不能直接断电关机，或者按下 RESET 键直接重起电脑，否则可能造成局域网被控制主机暂时掉线。解决方法：正常退出软件或者正常关机，或者在重起电脑后，16迅速启动软件控制，网络即可恢复正常。控制了 QQ、MSN 等聊天工具，对方怎么还能继续聊天。解析：在控制某个主

42、机的 QQ、MSN 等聊天工具后，仍然能够看到对方显示在线，并且在说话，因为 QQ 服务器不会立即把没有受到报文的 QQ 显示为下线（但实际上 QQ与腾讯服务器的连接已经被切断），并且软件本身还有一个时滞，也就是控制后约为 30 秒，就可以完全控制，此后 QQ 所发出的全部报文都会被拦截，发送消息会显示“发送消息失败，是否重试”等等，这样就会迫使 QQ 下线，其他聊天工具截获原理同 QQ 一样。控制了对方进行 http 和 ftp 下载，但是对方仍旧在下载。解析：对 http 和 ftp 下载的控制，必须在客户机进行下载之前，就启动本软件的控制功能；否则，一旦对方已经开始了下载，软件就会默

43、认对方是只是在进行 http 和ftp 通讯，就会不加拦截，因此客户机可以一直下载。发现了“局域网 ip 冲突，由此导致不能上网”等提示字样。解析：如果启动网络控制后，有的主机总是出现 Ip 地址冲突框，那么请查看是否已经启用了“网络安全管理”模块下面的“Ip-mac 绑定” ，并且选定了下面的“发现非法 IP-MAC 绑定时，断开改主机公网连接”以及“发现非法 IP-MAC 绑定时，发 ip冲突给该主机”.如果选定，请取消。如果确认本局域网没有被其他软件实施 ip-mac 绑定，那么就可以启用本系统的 ip-mac 绑定，并且获取 ip-mac 列表。然后选择下面的两项，这样就实施了本软件

44、的 ip-mac 绑定，保存退出。3.2.2 聚生网管适合的客户类型综上的描述，聚生网管这款网络管理软件比较适合大型的网络使用。当用户所处的网络环境是这样的一个环境即：客户机数量较多（一班 200 台以上）、网络结构复杂、需要对客户端进行区分管理、网络的连通性、可靠性、安全性、管理性要求较高、需要不间断的对网络进行监控。在这样的情况下，建议使用聚生网管，该软件的数据库管理、日志管理、跨网段管理等方面明显优于其它同类软件。当然，大型的网络在网络管理方面要求的人员能了也是很强的。聚生网管对 P2P 的拦截采用的是立体交叉拦截技术，对危险主机主动隔离，对 ACL 规则、股票等进行封堵时采用新型算法

45、提高过滤效率以及 ip-mac 绑定等方法都保证了该款软件适合大型公司的安全性。3.2.3 网路岗首先客户可以从 http:/ 下载该软件，激活后便可以正常使用。这款软件的特点在于只需要通过一台电脑即可监控整个网络的网络活动，是政府机构、企事业单位和校园网吧上网的必备管理软件之一。下面对这款软件的具体功能进行介绍：邮件监视/控制监视并记录通过 OutLook、Foxmail 等邮件收发工具接收和发送的邮件内容；监视通过免费邮局发送的 Web 邮件内容和附件；监视通过 BBS 提交的任意信息；控制客户机能否收发邮件；控制客户机在什么时间段能收发邮件；限制外发邮件大小；限制 FTP

46、上传文件大小；限制网页粘贴的文字长度；17 限制客户机只能发送到哪些目标邮箱；限制客户机只能收发哪类的邮件；聊天监视/控制监视 MSN Messenger 聊天内容、传输文件的文件名和文件内容；监视 Yahoo Messenger 聊天内容；监视发送 QQ 消息的机器、使用什么 QQ 号码；全方位封堵 MSN （采用特征码封堵，与通讯端口无关）；全方位封堵 QQ （采用特征码封堵）；全方位封堵 Yahoo Messenger （采用特征码封堵）；控制是否允许客户机通过 MSN、QQ 传输文件；下载控制封堵 BT、电驴等 P2P 软件；封堵任意类型文件的下载。如：禁止

47、下载 MP3 .RAR 等类型的文件；限制下载速度（带宽管理）；网监视/控制可监控到上网的网站 URL、标题、访问时间等；可监视到在网页上发表文章或申请服务或在一些网站上的聊天内容；多种过滤库；其中，列表库有：色情列表库/游戏网站列表库/股票网站过滤库/聊天网站过滤库；端口有：股票软件端口库/游戏端口库；关键词有：黄色关键词过滤库；控制只允许某些机器在某些时段只能上指定的网站，控制某客户机不能浏览网页但可正常收发邮件；控制某客户机器在工作时间不允许上网、非工作时间开放其上网权限；关键词过滤；可封锁 Google Baidu 3721 Yahoo 等知名搜索引擎上的搜索关键词,

48、并支持中文关键词的过滤；端口管理；自定义封锁端口或只开放某些上网端口，下载过滤；可封锁某些类型的下载文件； IP 过滤；可过滤某些地区的网络服务器，IP 与 MAC 地址的绑定；全方位封堵 BT、电驴，封堵任意游戏端口；带宽管理、流量管理；传输文件监视/控制记录 FTP 详细命令监控/FTP 上传文件名、文件内容；记录 MSN、QQ 传输文件名、文件；记录在 BBS 或邮箱系统里上传的附件内容；记录通过邮件收发工具发送和接收邮件正文和附件内容；监控屏幕/系统信息/进程/操作注册表等；可动态(或静态)截取客户机的电脑屏幕；可设置间隔一段时间自动截取客户机屏幕并自动保存；可设置监控屏幕的图片质量；可随时发送消息给被监控机器；查看客户机当前系统信息，运行进程；操作客户机注册表、运行指定文件；可操作客户机硬盘；提供客户端程序自动更新，提供客户端的远程卸载；18 对客户机下达“关机”、“重启”命令；操作客户机硬盘；其他协议的监控 FTP 详细命令

展开阅读全文