随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在全世界企业网络使用情况的调查中发现,非法使用邮件、浏览非法Web网站、下载音乐、电影等数字文件,或者在线观看收听流媒体的员工正在增加,令网络管理者头疼不已。这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒,木马造成的网络异常)快速的故障定位,这一切都是对企业网信息安全管理的挑战。
一、分配员工访问网络的权限和时间
对于有些企业而言,不是所有的电脑连入了网络都需要提供上网服务的. 比如一个公司,有一台电脑专门只做文字处理,根本不需要提供上网服务,还有销售部门的几台电脑在上班时间08:00~17:30 不提供上网服务,以免影响工作,对于这种情况我们可以在防火墙配置里的访问存取规则设定来阻挡这几台电脑的在特定要求的情况下不可以上网,管理人员可以通过类似的设定达到对局域网内的电脑实施阻挡的目的,首先添加新的管制存取规则,具体设置如下,拥有192.168.1.4 的这个电脑设置在任何时间是禁止上网的,同样可以把销售部门的 4 台电脑的IP 192.168.1.5~8 地址通过类似的方法再设定时间的管制使这 4 台电脑在星期一到星期五的08:00~17:30 这段时间不可以上网。
在此界面可以配置指定IP或IP段电脑访问网络的权限.
在此界面可以对上网时间进行控制.
二、防止 BT 及电影等大量下载占用带宽(QoS) 限制大量占用带宽
现在企业的环境中,BT,kugoo,电驴,迅雷等软件的使用,更是线路带宽的杀手,因此,如何保证企业的带宽得到有效的利用,成了各往管人员的当务之急。而使用海蜘蛛路由器,可以针对每个区用 QoS(带宽管理)功能,来限制内网每个 IP 或者服务端 口的流量,可以把 P2P,迅雷等软件的使用带宽限制到非常小,再也不会因为内网的某台电脑大量下载而占用比较多的线路带宽。例如我要限制内网 192.168.1.x 段(192.168.1.2~192.168.1.80)的每台电脑最大下载只能使用 2M 的带宽,只需如下设置即可:
或者直接关闭相关软件,如QQ、MSN、电驴等
三、IP 与 MAC 绑定、PPPOE服务
有些企业,对不同部门或个人设定了不同的上网权限,可能有的部门以及个人工作比较特殊,没有联入互联网的上网权限,为了避免这些用户去修改 IP 地址逃脱规则的设定而达到上网的目的的,我们可以通过IP/MAC 的绑定功能使得这些用户即使修改了 IP 地址也无法达到上网目 的。比如公司有一台专门做文件处理的电脑和销售部门的 4 台电脑是不可以上网的,他们的IP地址分别是 192.168.1.4~8(分别对这 5个IP地址做存取规则的设定,阻止联入互联网), 我们通过对 IP/MAC 的绑定后,无任用户改变什么IP地址,都是不可以上网的。
除了IP/MAC 的绑定,我们还可以使用PPPOE服务来实现管理.我们可以在路由上给每台需要上网的电脑分配帐号和密码,每台电脑只能通过对应的帐号密码拨入路由器才能访问网络.对于企业里的应用服务器可以设为VIP主机,仍然采用原有的方式访问网络。
(完) |
