绝技之一、网络地址规划
企业建立局域网的目的,就是为了实现自动化无纸办公等高效率、低成本的运营和管理。对于企业而言,网络扩充和升级都是网管人员必须面对的。因此,IP地址的分配和管理对于网管来说尤为重要。网络地址规划,也有技巧可言。
技巧一:体系化编址
体系化其实就是结构化、组织化,根据企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼,然后逐级由大到小分割、划分的。这其实跟实际的物理地址分配原则是一样的,肯定是先划分省市、再细分割出县区、再细分出 道路、再来是街巷,最后是门牌。图一
IP地址分配计算工具
从网络总体来说,体系化编制由于相邻且性质相同的办公区都在IP地址上也是连续的,这样不仅于便于网络管理,也方便网络升级。未来,一旦某个性能相同的办公室区域要划分VLAN或者单独接入互联网,地址无需重新分配。
技巧二:可持续扩展性
其实就是在初期规划时为将来的网络拓展考虑,眼光要放得长远一些,在将来很可能增大规模的区块中要留出较大的余地。例如,市场部目前有80台PC,由于市场部是人员增长速度最快的一个部门,我们可以分配给该部门一个整段的IP,192.168.1.X。这样既可以保证市场部IP地址的连贯性,又预留了充裕的升级空间。从表面来看,IP地址的分配似乎没有什么技巧,事实上,一个科学的IP分配方案,可以让网络管理更加有序,也可以减轻网管人员的工作量。
绝技之二:网络设计与规划
对于一个网管而言,网络设计与规划本应属于基本功,在实际工作中,网络设计与规划,也是考验网管技术水平的工作,也是一个蕴藏着诸多技巧的项目,更是展示网管绝技的一项工作。诸如网络设计与网络设备的选择,这些是网络设计与规划中的基本功,很多网管也都能处理的非常恰当。网络设计中,带宽计算、安全防范及容错,才是网络设计中很多网管容易忽视的细节。带宽计算:众所周知,企业申请接入互联网时,所申请的带宽越大,费用越高。对于网管来说,必须认真计算出自己所在企业对带宽的准确需求,这也是网管必须掌握的一项技能。带宽的计算,通常是按照企业网络中的PC数量和具体应用来计算的。在企业日常工作中,浏览网页,收发邮件,传输文件是主要应用,其中,每台PC浏览网页通常需要占用60Kbps的带宽,由于收发邮件和文件传输是偶尔性的操作。
因此,为了保障网络内每台机器可以流畅的访问互联网,60Kbps带宽是必须的。按照这个数量,乘以机器数量即可得到企业网络所需要的真正带宽。由于网络速度会的损耗,在计算出的带宽值中,最好上浮50-80%,这样不仅可以充分保障浏览互联网的流畅度,还可以保证企业网络增加三五台PC时不至于影响整体的网络速度。
安全防范:对于企业而言,网络安全生于泰山,为此,企业网络在设计初期,一定要把安全防范设备考虑在内。少于200台PC的企业网络,至少应该安装软件版的防火墙及网络版杀毒软件;大于200台PC的企业网络,可以考虑购买专业的硬件防火墙。在网络设计阶段,一定要把安全防范考虑在内,切莫忽视安全。当企业网络成功运营之后再做网络安全防范方案,将会影响企业的工作效率。 图二
路由器中的防火墙设置
容错与备份:在网络设计过程中,一定要涉及到容错与备份。一旦服务器故障,或者是网络线路出现故障,如何能够让企业的网络不中断。在设计企业网络时,可以申请两条宽带接入线路,一条作为主干线路,另外申请一条廉价的ADSL线路做备份。对于数据安全要求比较高的企业,一定要制定完备的双机热备方案,真正做好网络容错与备份。企业网络是一个对安全、稳定性、易用性要求比较高的场所,因此,网管必须学会在网络设计与规划过程中,将网络运行中出现的问题做好预案。
绝技之三:网络优化
在企业发展过程中,不少企业的网络规模超出了当初的设计规模,这种情况之下,网络通常会超载,流量过大,速度缓慢,这时,网管必须对现有的网络进行简单的优化。所谓的网络优化,是指利用网络设备的一些功能,消除现有的网络传输瓶颈,提高网络的数据处理能力。通常情况下,网络优化主要有以下几种方法:
划分VLAN:VLAN是Virtual Local Area Network的简称,又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。通过划分VLAN,可以降低离了广播,缩小了广播范围,可以控制广播风暴的产生。图三
根据办公区域划分VLAN
目前,一般具备网管功能的交换机,都可以划分VLAN。划分VLAN时,可以根据部门或者通讯量比较大的一些计算机规划在同一个VLAN里,有效降低大容量的网络通讯对骨干网络的占用。
更换网络设备:对于划分VLAN仍然无法解决问题的企业网络,可以更换网络数据吞吐量大的网络设备。有条件的企业,可以更换传输介质,将传统的双绞线传输介质,更换尤为光纤。无论是更换数据交换设备,还是更换光纤,其目的都是为了增加网络的数据吞吐量,这也是网络优化最常用的一种方法。总之,网络优化要以不增加网络设备为原则,结合现有网络设备的功能,发挥网络传输的极限。对于规模比较大的企业网络,网络优化要经常进行,切莫不要让网络始终保持同一状态运行。
绝技之四:网络DOS命令
在Windows大行其道的今天,提及DOS命令,或许很多网管会对此不屑一顾。然而,在日常的网络维护和网络故障处理中,DOS命令却可以起到意想不到的效果。为此,网络DOS命令也成为一些网管必备的绝技之一。Ping、telnet等网络DOS命令就无需之介绍,下面,我在这里介绍几个在网络维护中经常用到的DOS命令。
Netstat:这是一个用来查看网络状态的命令,操作简便功能强大。利用这个命令,可以查看到当前机器的服务信息,通过这些信息,可以有效发现和预防木马。如图四:
当前机器开放的端口信息
-a 查看本地机器的所有开放端口,这里可以看出本地机器开放有http服务。
命令格式:netstat -a IP
-r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。
命令格式:netstat -r IP
Tracert:跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。如图五,
Tracert经过的路由信息
这里说明数据从本地机器传输到211.99.194.172的机器上,中间所经过的路由节点,以及经过每个路由时的时间,通过这些信息,可以判断网络故障出现在哪个节点。命令格式:tracert IP
Net:这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。在这里,我们重点掌握几个重要的子命令。
net start:使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。命令格式:net start servername与net start对应的还有net stop命令。如果发现远程主机的某个服务碍手碍脚,可以直接利用这个命令将该服务停止,命令格式和net start相同。图六
启程远程机器的MySQL服务
net user:查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的,最重要的,它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户,包括已经禁用的。Net user还有以下几种经典应用:
net user viger 6688 /add,新建一个用户名为viger密码为6688的帐户,默认为user组成员。
net user viger /del,将用户名为viger的用户删除。
net user viger,查看用户名为viger的用户的情况。
net user viger /active:no,将用户名为viger的用户禁用。
net user viger /active:yes,激活用户名为viger的用户。
熟悉了这些网络DOS命令后,在网络维护中肯定会起到事半功倍的效果。为此,虽然目前已经是Windows视窗操作系统的天下,可DOS命令仍然不能忽视。
绝技之五:手工查杀木马
互联网的出现,给企业日常办公带来了便捷,同时也为企业网络的安全运行带来了巨大的隐患。诚然,目前市面上号称功能出色的木马查杀软件,但一些网友的话,生动的形容了目前的网络安全现状:“最可怕的不是杀毒软件查出木马,而是查不出木马。”对于网管来说,手工查杀木马,也是必备的一项基本功。木马,其实质只是一个网络客户/服务程序。因此,木马程序只要运行,肯定会打开一个网络端口,这也是木马的踪迹。要想准确的判断驻留在机器中的木马程度,必须熟知一些常用程序所占用的端口。不上网的情况下,系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,IE一般会打开连续的端口1025,1026,1027……,QQ会打开4000、4001……等端口。
了解了常用网络程序占用的端口之后,在DOS提示符下,运行netstat –an查看本机当前打开的端口。如果发现除了以上所说的端口外,还有其他端口被占用,尤其是木马常用端口被占用,那么机器有可能被植入了“木马”。图七
注册表中的RUN键值
为了确定机器被植入了木马程序,可以继续检查注册表的以下几个位置。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。
如果上述键值中加载了可疑的程序,那么机器肯定被植入了木马程度。除了注册表之外,Win.ini、system.ini等系统文件中,也是木马的藏身之所。找到了木马的藏身之所,查杀木马病毒就容易多了。不过,查杀木马时,尽量断开网络,在操作系统的安全模式下查杀,更重要的是,一定要把木马程序的所有加载项目查清楚,否则,机器重新启动之后,木马仍然会驻留在机器中。
绝杀之六:查杀病毒
在各种品牌杀毒软件随处可见的今天,杀毒似乎不是什么难题,这致使一些网管对于查杀病毒存在了一些侥幸心理。其实,在网络病毒肆意横行的今天,查杀病毒也是有很多技巧可言的。目前,市场上99%以上的杀毒软件都是基于Windows界面的,DOS下的杀毒软件基本已经绝迹。要想让杀毒软件物尽其用,彻底杀光病毒,必须有技巧的使用杀毒软件。
安全模式下再杀毒:目前大多数杀毒软件是基于Windows界面的,但在杀毒中经常会遇到这样的情形,明明已经把病毒杀掉,可重新启动之后,病毒依然存在,这是因为在一般Windows环境下杀毒,效果可能会大打折扣。诚然,现在的反病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能将病毒全部杀光。因此,如果发现Windows下无法将病毒彻底查杀,可以尝试在Windows安全模式下进行。在Windows安全模式下,这些病毒都不会在启动时被激活,病毒可以被彻底杀掉。图八
各种病毒专杀工具
杀毒先断网:目前,很多病毒都是网络病毒,可以借助局域网大肆传播。为此,网管在杀毒时,一定要将机器与网络断开。如果带着网络查杀病毒,有可能会出现杀毒软件刚刚将病毒杀毒,机器再次感染了病毒。
杀毒要分类对待:最近一年多的时间里,即时通讯软件的兴起,大大方便了企业员工的交流,不过,即时通讯软件也成为病毒的一个重要传播工具。QQ尾巴曾经一度让很多人为之苦恼,杀毒软件查不出病毒,讨厌的QQ尾巴却挥之不去。对于类似QQ尾巴及相关的病毒,普通杀毒软件一般很难奏效,要想彻底根治此类病毒,最有效的办法就是使用专杀工具,特殊病毒,特殊对待。杀病毒,并不是仅仅是简单的用杀毒软件就可以达到预期效果的,网管同样不能轻视。要想彻底杀光企业网络中的病毒,不仅需要技巧,也需要策略,更需要对病毒知识的全面了解。
绝技之七:防范网络攻击
企业网络也是互联网中的一个节点,同样也面临着被攻击的可能。在网络这个不断更新换代的世界里,网络中的安全漏洞无处不在。与此同时,开放性的互联网也为黑客知识的传播提供了便利,一些对黑客知识略知一二的人打起了企业网络的主意,对企业网络的系统和资源进行攻击。对于网管而言,防范网络攻击是保障企业网络正常运行的重要措施。目前,网络攻击主要有以下几种方式:
口令入侵:在企业网络中,只要拥有正确的帐号和口令就可以获取一定的资源,为此,一些黑客通常会利用网络监听软件,或者强行破解及系统漏洞获得口令。一旦企业网络的口令泄露,企业网络的安全将失去了保障,而且这种破坏对于企业网络是致命的。
电子邮件攻击:电子邮件是互联网上运用得十分广泛的一种通讯方式,也是企业员工的主要通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。
DDoS攻击:DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。随意在Google或者百度等搜索引擎中输入“DDoS攻击”的关键字,会有多种可以实现DDoS攻击的软件,这也使得企业网络备受威胁。图九
DDoS攻击原理图
只有了解了网络攻击的方式和相关知识,网管才能针对攻击模式制定防范网络攻击的方案。由于防范网络攻击不仅仅需要在网络设备及PC上做防范,还需要对PC的使用者进行一定的安全教育。
安全总汇:
提高安全意识:提醒使用企业网络的员工不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序,比如“特洛伊”类黑客程序就需要骗你运行。尽量避免从互联网中下载不知名的软件,即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举。将常用的密码设置不同,防止被人查出一个,连带到重要密码。重要密码最好经常更换。
使用防毒、防黑等防火墙软件:防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
资料定期备份:对于重要的企业资料做好严密的保护,并养成资料备份的习惯。对于一些机密资料,最好加上密码,防止机密资料失窃。对于企业而言,一旦网络被攻击,企业面临的可能是商业机密的泄露,或者是网络的中断,这将会影响企业的正常运营。为此,网管必须积极做好防范网络攻击的工作。
结束语:DOS命令,查杀木马,杀毒,这些看似平常的操作,其实却蕴含着诸多的技巧。网管同行们熟练掌握了网络建设、管理和维护的诸多技巧后,这些看似平常的操作,也会成为“绝技”。一个优秀的网管,不仅需要七大绝技,而是需要更多的绝技。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |