搭建微软网络域管理
搭建微软网络域管理环境前的准备工作
为了提高大型网络的管理效率与安全性,微软提出了一个通过域来管理企业局域网的思路。通过域可以实现在一个统一的平台上对企业网络采取一些统一的管理策略,这也一直是网络管理员所追求的目标。不过域对于企业的网络环境要求比较高。在搭建微软网络域管理环境之前所需要做的一些准备工作。
第一项工作:为域设计一个好名字
若要访问WINDOWS的域,一般是通过域名进行访问,而不是通过域控制器的IP地址。所以,在部署微软的域环境之前,则必须给这个域提个名字。这个名字可不能随便取,必须符合微软的域命名规则。
第一项工作:为域设计一个好名字
若要访问WINDOWS的域,一般是通过域名进行访问,而不是通过域控制器的IP地址。所以,在部署微软的域环境之前,则必须给这个域提个名字。这个名字可不能随便取,必须符合微软的域命名规则。
第二项工作:部署DNS服务器
在部署域管理环境的时候,域控制器会将自己登记到DNS服务器中去。如此做的目的,就是让其他客户端可以通过我们上面所取的名字访问到这台域控制器。所以,在企业的网络中必须有一台DNS服务器,否则的话,域控制器在安装的过程中就会以失败告终。
一是在安装域控制器的时候,可以同时安装DNS服务器。在将某台服务器升级为域控制器的时候,如果这台服务器没有安装DSN服务器的时候,则会自动在这台服务器上安装微软的DNS服务器,同时,也会自动在DSN服务器内建立一个以我们上面设计的域名一样的空间,如A.COM。而且,会自动能启用安全更新功能,当然,其安全等级选项是“只有安全的”。若采用这种方式部署DNS服务器的,必须先将这台机器的中DNS服务器地址改过来。在TCP/IP属性设置框中,除了设置IP地址、默认网关、子网掩码之外,还可以设置DSN服务器地址。若想在这台服务器上安装DNS服务器的话,则必须把这个DNS地址清空,或者指定为本机的IP地址,否则,会出现一些故障。
二是使用独立的DNS服务器。在部署域管理环境的时候,我们也可以采用,而且也是积极建议的,使用独立的DNS服务器。这可以使企业正在使用的,也可以新建一台DNS服务器。然后,再DNS服务器为这个域建立一个区域,并启动自动更新功能。然后在安装域控制器的时候,把域控制器的DNS地址指向这台DNS服务器。
域管理的优点
1、权限管理比较集中,管理成本大大下降。
1.1:域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。
1.2:防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。
2、安全性加强。
2.1有利于企业的一些保密资料的管理,比如说某个盘某个人可以进,但另一个人就不可以进;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。
2.2可以封掉客户端的USB端口,防止公司机密资料的外泄。
3、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。
卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件(限保存过的32个版本)。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
4、方便用户使用各种资源。可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。
并且各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
5、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
企业上网行为管理解决方案
信息化引发企业对网络管理需求增长,行为审计的实际意义
随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在全世界网络使用情况的调查中发现,非法使用邮件、浏览非法Web网站、下载音乐、电影等数字文件,或者在线观看收听流媒体的员工正在增加,令网络管理者头疼不已。这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。
作为一个开放的网络系统,运行状况愈来愈复杂。IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒,***造成的网络异常)快速的故障定位,这一切都是网信息安全管理的挑战。
作为一个开放的网络系统,运行状况愈来愈复杂。IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒,***造成的网络异常)快速的故障定位,这一切都是网信息安全管理的挑战。
网络资源的不合理使用,并导致工作效率下降
根据IDC最新数据报导,全球企业员工平均每天有超过四分之一的上班时间用来在线聊天,浏览娱乐、×××、×××,或处理个人事务;员工从互联网下载各种信息,而在那些用于下载信息的时间中,62%用于软件下载,11%的时间用于下载音乐,只有25%用于下载与写报告和文件相关的资料。
互联网上的内容太丰富了,对企业员工有太多的诱惑,很多的员工沉溺其中,无法自拔,常常把自己的本职工作放在一边,导致企业整体工作效率没有提升反而下降。 调查数据显示以下为影响工作效率主要的互联网行为,它们与工作无关而且可能导致更多的问题(比如网络安全等):
·浏览×××网站;
·浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件,在线听音乐,在线看视频图像等,不仅耽误工作,而且占用大量的网络带宽资源,影响其他人员使用公司的资源;
·浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息;
·浏览“在线”购物和拍卖网站;
·浏览×××;
·使用即时信息交流软件如ICQ、QQ、AOL、MSN、Yahoo;
互联网上的内容太丰富了,对企业员工有太多的诱惑,很多的员工沉溺其中,无法自拔,常常把自己的本职工作放在一边,导致企业整体工作效率没有提升反而下降。 调查数据显示以下为影响工作效率主要的互联网行为,它们与工作无关而且可能导致更多的问题(比如网络安全等):
·浏览×××网站;
·浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件,在线听音乐,在线看视频图像等,不仅耽误工作,而且占用大量的网络带宽资源,影响其他人员使用公司的资源;
·浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息;
·浏览“在线”购物和拍卖网站;
·浏览×××;
·使用即时信息交流软件如ICQ、QQ、AOL、MSN、Yahoo;
网络资源的不公平使用,带来严重的带宽问题
许多上网人员不停地下载大容量的文件,比如大量的MP3音乐文件;或者在线听音乐、看视频电影、新闻等行为,严重占用网络带宽,造成网络堵塞,上网速度下降,影响其他员工的正常上网行为。
管理人员奇怪企业大量投资的专线接入速度一天比一天慢;IT部门经常遭到抱怨,要求提升上网的带宽;而有趣的是抱怨的人中包括那些下载音乐文件或看视频电影的员工。
管理人员奇怪企业大量投资的专线接入速度一天比一天慢;IT部门经常遭到抱怨,要求提升上网的带宽;而有趣的是抱怨的人中包括那些下载音乐文件或看视频电影的员工。
上网给企业带来的泄密或信息系统破坏等安全问题
任何企业都担心自己内部的机密信息流露出去,而互联网偏偏又方便信息的交流和传递。通过互联网,任何数字文件都可以方便地发送出企业的内部网,正因为如此国外很多公司都对企业内部的电子邮件系统实施定期的检查。但邮件的检查并不全面,因为有很多免费的邮件系统可以利用,它们的使用只要用浏览器就可以;此外即时信息交流软件也可以使用户绕过电子邮件系统而直接发送信息到企业外部。
不受限制的上网行为将带来更多的安全问题,比如下载的文件中带有病毒或其它有破坏性的程序;ICQ、OICQ等软件的使用有可能招到网络***的袭击,硬盘里的资料和数据被窃取或破坏。
不受限制的上网行为将带来更多的安全问题,比如下载的文件中带有病毒或其它有破坏性的程序;ICQ、OICQ等软件的使用有可能招到网络***的袭击,硬盘里的资料和数据被窃取或破坏。
网络资源的非法使用,使企业有可能陷入法律纠纷
在国内,法律规定了很多网站是非法的,比如有×××内容的、与反动政治相关的、与迷信和犯罪相关的等等。使用专线接入互联网后,企业内部网某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内部网中。事实上,这是很多企业要加强网络行为管理的最初的原因。另外一个日渐显露出来的问题是网络***利用企业专线入网的条件,实施非法的网络***,发送病毒文件等,这都给企业上网带来了很多可能引起法律纠纷的隐患。 企业目前缺乏有效的工具在相关事情发生后提供数字化证据。
企业缺乏对网络资源使用进行量化的标准和工具
网络资源作为一种电子化的资源,在是通过企业内部的局域网共享的,网络中的每个登录用户都能使用。专线上网后,到底是哪些人在使用该资源,使用的程度如何,如果要进行相关的成本核算,并把专线接入的成本划到企业内部的每个成本中心,怎样做才是最有效呢?
互联网或者说信息技术确实是一个“神奇”的东西,在不同的人、不同的组织、不同的企业环境中,它带来的影响是充满矛盾的,能提高企业的工作效率、增加企业的竞争力、降低企业运营成本;另一方面,它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么,到底要不要用它?答案其实很简单,肯定要用,但是必须对它实施有效的管理,就象管理其它的企业资源一样。
互联网或者说信息技术确实是一个“神奇”的东西,在不同的人、不同的组织、不同的企业环境中,它带来的影响是充满矛盾的,能提高企业的工作效率、增加企业的竞争力、降低企业运营成本;另一方面,它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么,到底要不要用它?答案其实很简单,肯定要用,但是必须对它实施有效的管理,就象管理其它的企业资源一样。
金盾上网行为管理系统的主要功能
一. 多重身份认证
·支持本地认证、LDAP服务器、RADIUS服务器、 AD、802.1X等多种认证体系
·支持多种认证方式:WEB认证,专用客户端、PPPOE认证、802.1X、用户名+口令、用户名+口令+计算机特征、用户名+口+IP+MAC、用户名+口令+IP+MAC+计算机特征、支持动态令牌身份认证(可选)
·支持强制用户下线
·认证页面和认证后首页可定制重定向
·可定制用户自动过期,注销时间
·认证客户端可自动升级,认证客户端可自动升级
·支持多种认证方式:WEB认证,专用客户端、PPPOE认证、802.1X、用户名+口令、用户名+口令+计算机特征、用户名+口+IP+MAC、用户名+口令+IP+MAC+计算机特征、支持动态令牌身份认证(可选)
·支持强制用户下线
·认证页面和认证后首页可定制重定向
·可定制用户自动过期,注销时间
·认证客户端可自动升级,认证客户端可自动升级
二. 全面行为审计
能够审计企业员工的在线上网行为或本机应用程序使用行为,记录每个员工所有的上网行为诸如网络连接、页面访问、收发电子邮件、即时通信、下载软件、BT工具等;并能妥善有效保存记录,以供管理人员随时查看。
·内容审计和回放:对FTP、邮件、聊天、WEB访问内容、WEB提交(BBS\Webmail)、MSN、ICQ、 YAHOO聊天、TELNET内容能记录并进行回放;管理员可以对所有用户增加及取消内容记录。
·内容全文检索:可根据关键字对邮件以及附件进行关键字全文检索。
·灵活弹性搜索:按任意条件组合搜索功能,支持海量(上亿条链接)检索。
·内容审计和回放:对FTP、邮件、聊天、WEB访问内容、WEB提交(BBS\Webmail)、MSN、ICQ、 YAHOO聊天、TELNET内容能记录并进行回放;管理员可以对所有用户增加及取消内容记录。
·内容全文检索:可根据关键字对邮件以及附件进行关键字全文检索。
·灵活弹性搜索:按任意条件组合搜索功能,支持海量(上亿条链接)检索。
三. 详细报告分析
通过各种报表,管理人员对内部每个员工使用互联网的情况了如指掌,针对上述网络资源管理中的每个问题都能得到数据依据,做相关决策时更准确。
四. 上网权限管理
可以按照个人、部门、系统、策略组、地址段等进行互联网访问控制。
·可以设置允许访问互联网的时间段:工作时间,节假日以及自定义的任何时间。
·可以对访问互联网的每日总时间量和总流量进行限制。
·十个级别的过滤覆盖服务、内容和人员属性。
·采用增强的身份验证机制使控制管理更加精确。
·增强的桌面应用过滤功能更加强大。
·可以设置允许访问互联网的时间段:工作时间,节假日以及自定义的任何时间。
·可以对访问互联网的每日总时间量和总流量进行限制。
·十个级别的过滤覆盖服务、内容和人员属性。
·采用增强的身份验证机制使控制管理更加精确。
·增强的桌面应用过滤功能更加强大。
五. 服务过滤
IM的管理:可控制管理多种流行IM软件(QQ、MSN、Yahoo通、AIM(ICQ)、Skype、网易泡泡、新浪、UC、淘宝旺旺、飞信、IRC等支持对MSN、Yahoo通聊天内容的监控)
P2P管理:可控制管理多种P2P软件(BT、eMule/eDonkey、迅雷(以及web方式)、PP点点通、Kugoo、KaZaA(Fast Track)、Gnutella、Vagaa、 WinMX、Winny、Rayfile、未知P2P应用(UDP)等)
网络娱乐:控制管理多种主流的网络娱乐(流行网络游戏、流行网络电视、流行流媒体等)
炒股软件:大智慧、指南针、同花顺、证券之星、钱龙。。。
WEB过滤:强大的互联网上的信息资源非常丰富,您可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。
P2P管理:可控制管理多种P2P软件(BT、eMule/eDonkey、迅雷(以及web方式)、PP点点通、Kugoo、KaZaA(Fast Track)、Gnutella、Vagaa、 WinMX、Winny、Rayfile、未知P2P应用(UDP)等)
网络娱乐:控制管理多种主流的网络娱乐(流行网络游戏、流行网络电视、流行流媒体等)
炒股软件:大智慧、指南针、同花顺、证券之星、钱龙。。。
WEB过滤:强大的互联网上的信息资源非常丰富,您可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。
六. 带宽管理
带宽(QOS)管理:根据不同的部门、人和服务分配不同的带宽通道,使他们得到不同的带宽速度或保证,可以有效地阻止某些人滥用网络资源而影响其他上网。支持基于用户、时间段、应用协议的带宽分配策略 支持自定义带宽通道,以及对应的优先级、速率上限和下限的设定支持对用户/用户组设置总带宽支持对用户组成员设置平均带宽 支持对应用协议设置总带宽。
金盾上网行为管理系统实施效果
一. 实现对网络身份的管理
金盾GNM可以有效无逢地对接他们已经部署的验证系统或者本身提供身份验证机制,这样实现网络身份的同步,做到身份的透明和管理。
金盾还支持多种认证方式:WEB认证,专用客户端、PPPOE认证、802.1X、用户名+口令、用户名+口令+计算机特征、用户名+口令+IP+MAC、用户名+口令+IP+MAC+计算机特征、支持动态令牌身份认证(可选),可以有效识别用户和行为,真正做到对人的管理而不是机器的管理。
金盾还支持多种认证方式:WEB认证,专用客户端、PPPOE认证、802.1X、用户名+口令、用户名+口令+计算机特征、用户名+口令+IP+MAC、用户名+口令+IP+MAC+计算机特征、支持动态令牌身份认证(可选),可以有效识别用户和行为,真正做到对人的管理而不是机器的管理。
二. 有效优化了网络带宽,内网及外网的速度稳定性大大提高
通过对网络带宽的重新分配,有效解决了P2P,流媒体、网络电视等占用大量带宽的情况,从而保证了正常部门快速上网。
金盾还支持很多网络管理功能,比如连接数的管理、上网时间的管理等,这些都大大增强了网络的可用性,通过这些措施,保证了正常网络访问的速度。使防火墙占用率大大降低,高丢包率的问题也根本解决。
金盾还支持很多网络管理功能,比如连接数的管理、上网时间的管理等,这些都大大增强了网络的可用性,通过这些措施,保证了正常网络访问的速度。使防火墙占用率大大降低,高丢包率的问题也根本解决。
三. 防止网络泄密, 信息管理的规范性和可控性大大提高
金盾GNM支持对外发信息的全面审查,对含有敏感信息的外发行为进行阻断和报警。并可以根据保留的数据流信息,取证用户的网络访问行为,避免因用户网络行为带来的道德、法律风险。通过控制IM软件传送文件,可以降低通过QQ、MSN等IM软件传播病毒和***的可能。通过邮件访问控制,避免政府重要资料、私密资料通过邮件泄密。实现了上网监控与管理。
系统提供强大的高级查询功能,日志保存默认是保存60天,用户可以自定义保存时间,最长是无限期,同时日志可以具备导入、导出的功能,让用户可永久保留、查询历史资料。
系统提供强大的高级查询功能,日志保存默认是保存60天,用户可以自定义保存时间,最长是无限期,同时日志可以具备导入、导出的功能,让用户可永久保留、查询历史资料。
四. 上网的工作效率大大提高
金盾网络管理系统提供多层次、使用简单的立体化过滤功能,过滤覆盖了网络七层结构的各个层次:从最基础的服务来接到内容审计,并且在每一个层次中我们都提供灵活的策略和选项,比如时间元素、动作、访问来源等。考虑管理的实际需要,金盾支持多个级别的过滤,可以对不同级别指定不同的策略。比如对不同部门或不同级别的员工或者学生采用不同级别的限制。