還局域網運行安全

■

限制訪問危險站點

有的時候，局域網運行速度非常緩慢，引起這種故障的原因，常常是某些不務正業的終端用戶偷偷訪問視頻站點，消耗了寶貴的網絡出口帶寬資源。如果能夠“封殺”國內主流的一些視頻站點，限制普通用戶自由訪問它們，那么網絡帶寬資源就不會被過度占用，自然局域網運行速度就不會受到影響了。要做到這一點，其實很簡單，只要利用局域網路由器的訪問控制列表功能，就能輕松限制局域網終端用戶訪問特定的危險站點了。

例如，要限制訪問土豆視頻站點時，首先需要使用ping命令測試土豆視頻站點的域名，以返回目標站點的IP地址，這樣我們就能通過訪問控制列表限制IP地址的方式，來限制訪問危險站點了，假設這里返回的土豆視頻站點IP地址為“61.164.63.180”，如圖1所示。當然，ping命令測試法獲取到的IP地址有可能不全面，因為現在很多視頻站點都采取特殊技術手段，將視頻站點內容分散在多個IP地址的多臺服務器中，以確保視頻站點的工作穩定性；在這種情形下，ping命令測試法只能獲取其中一臺服務器的IP地址，其他服務器的IP地址無法探測到，這樣通過訪問控制列表限制一個IP地址，就無法達到限制用戶訪問特定站點的目的。只有在MS-DOS工作窗口中，輸入“nslookup www.tudou.com”命令，才能獲取土豆視頻站點域名的所有IP地址。

當獲取到危險站點的IP地址后，我們就能在局域網路由器后臺系統，通過“Accesslist”命令創建訪問控制列表了。以思科系列路由器為例，在創建訪問控制列表，限制訪問土豆視頻站點時，先進入路由器后臺系統，執行“configure terminal”命 令，切換到全局配置模式狀態，輸入“access-list 123 deny tcp any host 61.164.63.180 eq www”命令，來屏蔽土豆視頻站點的IP地址，以限制局域網中的任何終端計算機去訪問該站點。如果土豆視頻站點還有其他IP地址時，只要反復執行上述命令，將相關的所有IP地址全部過濾掉。

為了讓創建好的訪問控制列表正式生效，我們還需要進入路由器的特定端口視圖模式（該端口必須是局域網計算機與路由器的連接端口），執行字符串命令“IP access-group 123 out”，來將指定編號的訪問控制列表應用于局域網計算機的連接端口，那么日后局域網中的任何一臺計算機在上網訪問時，就會受到上述訪問控制列表的限制，自然它們也就不能隨意訪問土豆視頻站點了。值得注意的是，如果危險站點的IP地址日后發生變化時，我們還需要及時進入路由器后臺系統，修改以前的訪問控制列表，確保將新的IP地址全部屏蔽掉。

限制訪問DNS服務

由于工作的特殊性，某些單位可能會限制特定網段的終端用戶上網訪問，以避免發生單位重要數據對外泄密事故。要實現這種限制操作目的，我們有時只要在為局域網計算機提供域名解析服務的DNS服務器所在系統中，通過服務器系統內置的高級安全防火墻功能，來限制特定網段的計算機訪問DNS服務即可，因為在沒有了DNS服務的支持，那些終端計算機自然就無法隨意訪問外部站點了。

以Windows Server 2008服務器系統為例，在限制特定子網的用戶訪問局域網DNS服務器時，只要先以系統管理員權限登錄Windows Server 2008系統，依次點擊“開始”、“程序”、“服務器管理器”選項，彈出服務器管理器窗口。在該窗口的左側列表中，依次展開“配置”、“高級安全Windows防火墻”、“入站規則”分支，用鼠標右鍵單擊目標分支選項，點擊快捷菜單中的“新規則”命令，切換到如圖2所示的新規則創建向導設置框。

選中這里的“端口”選項，單擊向導設置框中的“下一步”按鈕，在其后彈出的設置界面中，正確輸入DNS服務使用的網絡端口號，依照提示輸入需要限制訪問的特定工作子網地址，同時將連接條件參數選擇為“阻止連接”，之后設置好應用該新安全規則的使用場合，再為新創建的安全規則取一個合適名稱，這樣一來局域網中特定子網的計算機就無法通過單位DNS服務器訪問外部站點了。

限制上網訪問速度

目前不少單位局域網的出口帶寬資源并不“富裕”，要是讓一些不自覺的用戶，在局域網環境中自由進行P2P應用下載操作，那么整個網絡的出口訪問速度都會受到顯著影響。為了能讓每臺終端計算機都可以高效穩定地上網訪問，我們不妨合理利用局域網路由器自帶的流量控制功能，來限制每個上網端口的傳輸流量大小，以確保所有網絡端口都能獲取不錯的上網速度，從而達到高效提升上網效率的目的！

例如，某局域網使用了D-Link DI-7000系列路由器組網，網絡中經常有惡意用戶偷偷使用P2P工具下載訪問大容量數據，這對其他用戶的正常上網帶來了不小的影響，最明顯的現象就是用戶打開一個普通網頁，都要經過漫長的等待。盡管借助“P2P終結者”之類的外力工具，能防止P2P應用過度消耗局域網寶貴的帶寬資源，可是這種方法在部署有ARP防火墻的場合下，就無法獲得理想的控制效果了。而善于使用局域網路由器內置的流量控制功能，限制每個網段地址的帶寬大小，就能讓整個局域網保持穩定的運行狀態了。

在啟用流量控制功能時，先登錄局域網的某臺終端計算機系統，在其中開啟IE瀏覽器程序運行狀態，在瀏覽窗口地址欄中輸入局域網路由器的WEB管理地址，成功登錄后進入到路由器設備的后臺管理頁面，選中并按下“流量控制”按鈕，切換到如圖3所示的流量控制頁面，選中“啟用流量控制”選項，同時點擊“保存”按鈕返回。

之后進入流量控制規則添加頁面，根據實際情況輸入需要限制訪問速度的每一個虛擬工作子網IP地址，或者是某臺終端計算機的IP地址，同時定義好上行速度、下行速度數值，這樣，就能有效限制任意一臺終端計算機隨意占用寶貴的網絡出口帶寬資源了。為了讓空閑的帶寬資源得到合理利用，網絡管理員還能針對上行速度、下行速度，進行適當的管理策略控制，讓局域網中的每臺終端計算機在網絡帶寬資源處于閑置狀態的時候，能合理調配閑置帶寬資源進行上網訪問。

當然，也有的局域網路由器流量控制功能操作起來更簡單，網絡管理員只要為每個端口提供不同級別的帶寬大小選項即可。例如，使用TLR4000系列路由器來組網時，網絡管理員可以將路由器連接端口的帶寬大小設置為128K，256K，512K，1M，2M，4M，8M等級別，以實現限制用戶上網訪問速度的目的。

圖3 流量控制頁面

限制訪問特定端口

對于普通終端用戶來說，用戶能通過限制所有網絡端口的方法，來保護終端計算機的運行安全，因為普通用戶根本不必讓自己的終端計算機對外提供任何網絡服務。而對于對外提供網絡服務的局域網服務器來說，網絡管理員只要將必須用到的網絡端口開放，比如只開放WWW服務的80端口、FTP服務的21端口、郵件服務的25、110端口等，其他的網絡端口則全部限制訪問。

對于基于Windows系統的服務器主機來說，網絡管理員不需要在其中安裝任何其他控制軟件，只要簡單地利用“TCP/IP篩選”功能，就能輕松限制訪問特定服務器的端口號碼。具體操作為：依次點擊“開始”、“設置”、“網絡連接”命令，進入網絡連接列表界面，用鼠標右鍵單擊其中的本地連接圖標，從彈出的右鍵菜單中，選擇“屬性”命令，進入本地連接屬性對話框。

選擇“此連接使用下列項目”位置處的“Internet協議(TCP/IP)”選項，按下“屬性”按鈕，展開“Internet協議(TCP/IP)”屬性對話框，單擊“高級”按鈕。在其后彈出的TCP/IP協議高級設置框中，點擊“選項”標簽，選中“TCP/IP篩選”標簽，展開TCP/IP篩選屬性框，選中“啟用TCP/IP篩選”復選框，再將左邊TCP端口上的“只允許”選上。這樣用戶就能根據實際情況，來自行添加或刪除需要的TCP協議或UDP協議端口了。添加或者刪除操作結束后，需要及時重新啟動服務器系統，服務器的特定端口才能被保護起來。

限制訪問共享資源

單位中的一些重要共享資源，有時只能給領導之類的特定用戶訪問，其他普通用戶則不允許訪問。雖然通過給共享文件夾添加訪問口令的方法，能實現限制訪問共享資源目的。但是面對一些有點技術手段的用戶來說，這種方法可能沒有任何作用，因為他們會通過破解密碼的方法，來偷偷訪問局域網中的重要共享資源！要達到徹底限制訪問共享資源的目的，完全可以利用免費的天網防火墻或系統防火墻，來定制安全規則，指定共享文件夾只能讓局域網中某一臺固定的計算機訪問。以天網防火墻為例，只要將其下載安裝到共享資源所在的計算機系統中，開啟它的運行狀態，打開IP規則設置界面，雙擊“允許局域網的機器使用我的共享資源”選項，切換到IP規則修改對話框。在這里，先將“數據包方向”選項調整為“接收或發送”，之后依次點擊“對方IP地址”、“指定地址”選項，同時在后面的“地址”位置處，輸入單位領導所用計算機的IP地址，確認后保存設置操作。這樣，即使沒有為共享資源設置訪問密碼，特定的共享資源也只有單位領導那臺計算機才能訪問到，局域網中的其他計算機都無法訪問到！