自学校建好校园网后,治理一直是个令人头痛的问题。我们学校有300多台电脑,通过光纤连成对等网,每台机器分配一个固定保留ip地址,通过网关(路由器)连接互联网。电脑分布在两个校区的办公室、学校内教师宿舍、校外教师楼,非常分散。
经常出现的问题有:部分老师私自修改网卡IP地址,造成IP地址冲突,影响其他老师上网;有些老师没有经过学校答应私自连接网络或者自己架设代理服务器(网关),几家一起通过代理上网;电子备课室在上班时间只答应制作课件,但有些老师用来上网聊天、玩游戏;教室里的多媒体平台在非工作时间是不答应上网的,而有些学生在周六、周日偷偷回来使用等等。在纪律教育屡屡失效后,领导交代我:你把这些问题处理好!
笔者上网找了很多软件来尝试治理,但这些软件不是功能有限,就是很不稳定。直到用上了一款叫作“网络执法官”的局域网治理软件,才解决了这些问题,它像包青天一样公正严明地执法,是局域网治理的好帮手。
软件信息:网络执法官 V2.90
软件大小:1646KB
软件语言:简体中文
软件类别:共享版
应用平台:Windows9x/NT/2000/XP
因为我要随时监控网络,就把“网络执法官”安装在学校的Web服务器上。软件启动后首先要设置监控的范围。在“指定监控范围”后输入局域网的IP地址段:172.16.1.1~172.16.2.254,单击[添加/修改]按钮,然后按[确定],软件主界面就打开了(图1)。很快,正在使用的电脑的网卡物理地址、IP地址、主机名等信息都显示了出来。
图1
注重:软件不能安装在代理服务器、网关等电脑上。
上班时间别上网
为了将电子备课室在规定时间和外网断开而不断开内网,先要把学校的网关设为要害主机。点击“设置→要害主机”,在“指定IP”后填上网关的IP地址:172.16.0.1,再按[添加],就把网关设为了要害主机。
在用户列表中右击电子备课室的电脑,选“设定权限”,在图2所示窗口中选择“答应以指定的条件与网络连接”,接着在“时段限定”后选“不答应使用以下时段”。下面可以设定两个不答应与网络连接的时段,我把上午和下午的上班时间填上,同时选中“治理方式”下的“禁止与要害主机的TCP/IP连接”,再按[确定]。这样,电子备课室的电脑到了上班时间就会与外网断开连接,但不会影响内网的使用,不再需要人去监督了。而教室里的电脑进行相反的设置,只答应上班时间使用。
图2
非法电脑不要来
软件在使用一段时间后,会把所有电脑的信息记录下来。现在到了拒绝非法电脑连接上网的时候了。单击菜单“设置→默认权限”,在“权限设定”栏中选择“发现该用户与网络连接即进行治理”,在治理方式下选中“禁止与所有其他主机(含要害主机)的TCP/IP连接”。这样当有新的电脑接入网络时,是没办法和其他电脑联系的,达到了禁止非法电脑联网的目的。假如还选中了“产生IP冲突警告”,则不管这台电脑设置什么IP地址,都将不断弹出IP冲突的提示,每次提示冲突的网卡地址都是不同的。
假如有新的合法电脑要连入网络,点击“用户→登记新用户”,在“网卡地址”处输入新电脑网卡物理(MAC)地址,再根据情况设置电脑的权限就行了。
注重:当发现没有登记过的电脑联网时,这台用来治理的电脑将发出不间断的短鸣。假如你不在办公室,这种噪音会严重影响同事工作。点击菜单“设置→安全设置”,把“发现非法用户时,启用声音警报”这一项取消,选中“发现非法用户或其他运行本软件的用户时向治理员发送消息”。要注重这台电脑必须开启了信使服务才能收到报警信息。
提示:如何知道网卡的物理地址。打开DOS窗口,输入“ipconfig /all”,将显示出网卡的具体信息。其中“Physical Address”后面就是网卡的物理地址。
我的地址你别用
虽然我们可以通过命令来绑定网卡的物理地址和IP地址,但一台台电脑去操作显然不方便。在用户列表中选中所有用户,点击鼠标右键右击,选“MAC_IP绑定”,单击[全部绑定]按钮就把网卡物理地址和IP地址绑定了,再也不用担心有人乱设IP地址造成冲突。同时还可以在“以上用户违反后的治理方式”下把“添加‘禁止与要害主机连接’”选中,这样乱设IP地址的电脑就会和网关断开了,无法上网。假如对绑定IP的电脑还有上网时段要求,也可以在这里设置(图3)。未注册软件不能进行批量绑定,只能一个个绑定。
图3
因为我们的IP地址还没有分配完,要对暂未分配的IP地址进行保护。单击菜单“设置→IP保护”,在“设定受保护的IP(段)”下输入要保护的IP地址段,单击[添加]按钮,不断把受保护的IP段添加进去(总共可以设置64个IP保护段)。当要使用这些IP地址段时可以通过[删除]按钮将其释放。
非法代理你别开
为了防止用户非法架设代理服务器,软件可以进行如下设置:右击用户列表,选择“扫描全部代理”,勾选“定时扫描”,并选择一个“定时间隔”,在“扫描以下端口”下把常用的代理端口填上(如常见的80、8080等),并选择“除要害主机外,其他机器开启代理服务功能均为非法”。在规定的时间间隔后,软件将对所有机器进行扫描,自动将非法架设代理的机器与网络断开。
在用户列表右击,选择“检测全部路由器”,可以扫描出非法架设路由的用户。该功能只有注册企业版才能使用。
提示:在设定定时扫描时要把定时间隔尽量选长一点。因为在扫描时软件会比较多地向网络发送数据包,太频繁的扫描既没必要也会影响网络速度。
使用后记:几个要注重的问题
1. 本软件能突破防火墙的限制,能任意断开局域网内某一用户和网络的连接,当非法用户使用时将对局域网的安全产生很大威胁。假如你发现有人在不断访问你的55555端口,并且有些机器莫名其妙地不能上网,就要留意是不是有人在用它捣乱。
2. 治理多网段需将本机直接接入到多个网段中,否则,本软件是不能跨路由器、网关、代理服务器等设备的。假如有多个由路由器隔开的网段,将每网段中引出的一条线路集中到一台集线器,将运行本软件的机器连接到这台集线器上,设好相应的多个IP地址,即可由本机直接连接到各网段。运行本软件,在启动时的“监控范围选择”对话框中就可以选择这些网段。
3. 软件默认状态为自动备份用户数据文件,每隔一小时备份一次,默认的备份目录为“C:\”,可以在主菜单“数据处理→备份文件数据”中修改此项设定。否则将在C盘根目录下生成许多文件,文件名都以“netrobocop”开头。
4. 正常情况下,对用户停止“断开”治理后,用户应该能立即恢复连接,但在某些网络中需重启动计算机或等待几分钟才能连接。出现这种情况时,可单击“设置→其他设定”,把断开方式设为“单向断开”。
进入讨论组讨论。