最后，公司员工上网行为没有统一的管理员控制，完全属于个人行为。金山、诺顿、江民、瑞星，个人PC上爱装什么杀毒软件装什么软件，爱装什么防火墙装什么防火墙。这给网管的管理监管工作带来了很大的难度，也给公司网络安全造成了巨大的隐患。
 
自行研究“节约”解决方案

　　巡视完新公司的网络状况，方建国不禁暗暗担忧，为自己也为公司。难道又要开始陀螺般的网管生活，难道公司还需要继续因为网络管理不善而白银外流？ 不行！方为自己定下的工作信条是“最大限度地为公司节约成本，为自己赢得时间”，于是他开始自行研究解决方案。

　　在前期布署阶段，建立双网系统，公网与内网。整个网络管理主要是通过千兆网络，使用PCANYWHERE来管理的，也就是在一台机器上来管理所有的200多台Web服务器。

　　方深谙“治军切忌乱”的道理，首先就根据公司各部门职能的不同、地理位置分布的不同， 将整个内网划分成若干个子网，并依次决定好要添加多少个网关机，并在在网关机上利用Linux强大的功能做入侵检测。例如西三旗分支公司的网络升级为10M电信通光纤接入，内部设5个不同的子网，互联互通，但之间有ACL限制。北洼路同西三旗分支公司类似。

　　针对大家全用光纤上网的问题，方建国在设计中认真考虑了不同的子网该使用光纤还是ADSL上网，什么时段可以用光纤上网，什么时候只能用ADSL上网。如何添加路由，编写脚本废了一大番心思。怎么决定不同子网访问网络时走什么路由，参考的依据主要是两点：不同部门需要使用网络带宽多少，以及部门和中心联系频率高低。最后对整个分支公司的各子网设定了访问规则，某些极度依赖公网和与清华中心网络联系紧密的子网只通过光纤上网，但对外网依赖不强的子网则在工作时段通过ADSL上网，下班时间后解禁，可以选择两种方式中的任意一种上网。

　　方牢牢记得一位对其影响至深的导师曾开诚布公地说过：“不要在我面前提某某品牌几十万的路由器，它能实现的功能，我完全可以用免费的软件帮你实现。”西三旗分支公司之前一直使用着一款老版思科的路由器，方认为该路由器性能上不可能支持500台工作站工作的流量；功能上不能实现ACL、细化对内部机器的控制，比如控制不让员工访问某个网站，它做不到；管理上不便，定制性不强，比如在思科服务器上做一个静态网页来控制它，网管员个人是做不到的。

　　有朋友建议重新购买一些新版本功能更强大的服务器好了，省时又省力，一个网管员犯不着为公司省钱累坏自己。但是方还是购买了5台市场上淘汰下来的单价不足3000元的PC机，分别装上了免费的服务器版本的操作系统RedHat Linux AS4，分别做接入网关，包过滤防火墙，路由，网关等。虽然辛苦一些，但却为公司省了大量的成本。

一个好汉三个帮

　　在这里，不得不提的是方一直坚持的观点：“在IT界，没有人是万能的。面对一个难题，我可能解决不了，但是我永远不缺一大帮朋友心甘情愿地来帮我”。在遇到网络安全控制的难题后，方建国一直和自己的死党，中软的prian还有微软的黑色数据交流着处理意见。最后，在安全方面，方建国决定将“节约”精神进行到底。

　　其一、为了网管员能在任何一台可以上网的电脑上对整个内网进行管理，以此节约大量人力和时间。将服务器全连接在具有网管功能和SNMP功能的交换机上，并做了MRTG流量监控，这样子，就可以很清楚地通过IE来查看网站服务器的网络流量是否正常，以此来作为网络是否异常的一种判断依据。

　　其二、为了节省时间，根据实际经验写了查核服务器系统日志的脚本，通过运行脚本进行网站系统日志检查、安全更新检查。只要运行大约半小时，就可以查到特殊ID的日志，这样就可以有针对性的进行管理了。

　　其三、在整个网络系统中引进了WSUS（微软安全更新服务器），这样每天下班之后网管员先在服务器上下载好微软的新的安全补丁，不挤占上班时间至关重要的足够带宽。第二天工作时间，WSUS自动扫描内网，给未打上补丁的工作站打好补丁。这也减轻了员工上外网下载补丁给网络带来的负担。

　　但是由于机器较多，维护量大，可能造成疏露等现象，据此，方建国也做了脚本，来查核每台机器更新没有？更新完成否？是否成功？

　　其四、关于病毒防护体系，系统中引进了NORTON的网络防、杀毒服务器，其他服务器安装客户端，并在服务器进行，简单设置，这样可以做到，病毒码自动更新，系统自动扫描了。网管员基本上每天就是登陆上服务器看看，不需要做什么操作了。