网络知识培训_20090331

1、TCL Home Networking BUTCL家庭网络事业部网网络络基基础础知知识识培培训训TCL Home Networking BUTCL家庭网络事业部l 公司网络环境介绍 公司网络结构 公司网络设备 公司网络服务器l 网络基础知识 网络基础知识简介 Windows里的网络基本配置 网络设备的基本配置l 防火墙的介绍 防火墙在网络中的位置及作用 防火墙的设置原理l 网络常见故障及处理方法 常见故障 处理方法l 网络故障预防 故障预防 网络配置备份 网络配置还原TCL Home Networking BUTCL家庭网络事业部公司网络环境介绍公司网络环境介绍公司网络结构TCL家庭网络事业部

2、的网络主要分布在两个区域：深圳和惠州；深圳惠州通过城域网专线连接，互联网深圳和惠州各有独立的出口。拓扑图：TCL Home Networking BUTCL家庭网络事业部公司网络环境介绍公司网络环境介绍公司网络设备主要使用的网络设备有接入层交换机；三层交换机；路由器；防火墙；光纤收发器；无线AP；无线路由器；TCL Home Networking BUTCL家庭网络事业部公司网络环境介绍公司网络环境介绍公司网络服务器AD服务器，位于深惠两地各一台；DHCP服务器，位于深惠两地各一台；DNS服务器，位于深惠两地各一台；防病毒服务器，位于深圳，一台；网络安全审计服务器，位于惠州，一台；TCL Ho

3、me Networking BUTCL家庭网络事业部网络基础知识简介现在的电脑基本上都配有一个网络适配器，接口一般为RJ45在Windows设备管理器中查看方式：开始控制面板管理工具计算机管理网络基础知识TCL Home Networking BUTCL家庭网络事业部查看网络连接的方式开始控制面板(左边点击切换为经典视图)网络连接分分类视图类视图TCL Home Networking BUTCL家庭网络事业部查看网络连接的方式其他方式：开始运行：cmd 回车：ipconfig /all /?查看Ipconfig命令帮助及参数TCL Home Networking BUTCL家庭网络事业部网络基

4、础知识Windows里的网络基本配置另： ipconfig /all /?查看查看Ipconfig命令帮助及参数命令帮助及参数 Demo！TCL Home Networking BUTCL家庭网络事业部网络基础知识路由表查看方法：route print 或 nbtstat r含义：到达目的含义：到达目的/的网络通过接口的网络通过接口40把信息把信息发给网关发给网关TCL Home Networking BUTCL家庭网络事业部网络基础知识网络设备的基本配置CISCO网络设备的配置：1）登入方式：一般为telnet或SS

5、H方式登录到23号端口或通过http或https方式登录到管理页面；2）Demo；HP网络设备的配置：1）登入方式：一般为telnet或SSH方式登录到23号端口或通过http或https方式登录到管理页面；2）Demo；TCL Home Networking BUTCL家庭网络事业部网络基础知识DNS解析命令开始运行：cmdNslookup 敲入？显示帮助及所有参数TCL Home Networking BUTCL家庭网络事业部防火墙的介绍防火墙的介绍防火墙在网络中的位置及作用防火墙可以是一单纯软件、单纯硬件或软硬结合的网络设备，防火墙的拓扑结构就可以有防御主机、屏蔽子网和双重防火墙；可以利

6、用包括防火墙、带有封包过滤功能的边界路由器以及入侵探测系统等的多种安全设备。第一种选择：防御主机第一种最基本的选择是使用防御主机。在这种设置中（下图1所示），防火墙设置在因特网和受保护网络之间。它可以过滤所有进入或离开网络的流量。TCL Home Networking BUTCL家庭网络事业部防火墙的介绍防火墙的介绍防御主机拓扑结构适合于相对简单的网络（比如，那些不提供任何公共因特网服务的网络。）要切记的关键因素是它仅提供一个单一的边界。一旦有人设法渗透到边界之中，那么他们就已经可以不受任何限制地（至少从边界保护的角度来说）进入到受保护的网络之中。如果你仅仅使用防火墙来保护整主要用来上网的企业

7、网络，这种设置是可行的。但是，如果你的主机是Web站点或e-mail服务器，这种配置就不够用了。TCL Home Networking BUTCL家庭网络事业部防火墙的介绍防火墙的介绍第二种选择：屏蔽子网第二种选择是使用一种屏蔽子网，比防御主机方法而言，可以提供更多的优点。这种方法使用带有三个网卡的单一防火墙（通常是指三宿主机防火墙）。这种拓扑结构的一个例子如图2 所示。屏蔽子网提供了这样一种解决方案：企业可以为因特网用户安全地提供服务。任何负责公共服务的服务器都被设置在隔离区(DMZ)，隔离区是被防火墙分割开因特网和所信任的网络。因此，如果恶意用户设法攻破防火墙，他或她也无法进入企业内部的互

8、联网（前提是正确配置防火墙）。TCL Home Networking BUTCL家庭网络事业部防火墙的介绍防火墙的介绍第三种选择：双重防火墙最安全（也是最贵的）选择是在采用两个防火墙的屏蔽子网，。这种情况下，隔离区（DMZ）设置在两个防火墙之间，如图3所示。使用双重防火墙，公司还可以通过DMZ为因特网用户提供服务，但是需要增加一层保护。安全架构师从两个不同的经销商的防火墙技术，然后用来实施这一计划，这种情况相当常见。当恶意个人发现某个软件有可以利用的漏洞时，这种做法就增强了安全性。TCL Home Networking BUTCL家庭网络事业部防火墙的介绍防火墙的介绍高端防火墙在这些方面也有一

9、些变化。基本的防火墙模式通常有三界面界限，高端防火墙则可以有许多物理和虚拟界面。比如，Secure Computing 公司的Sidewinder G2防火墙可以有20个物理界面。通过使用VLAN，标记物理界面，就可以增加额外的虚拟界面。这对你来说意味着什么？有了大量的界面，你就可以在网络中采用不同的安全区。比如，你可能会有下面的界面配置：安全区1：因特网 安全区2：受限工作站 安全区3：普通工作站 安全区4：公共隔离区 安全区5：内部隔离区 安全区6：中心服务器这种构架中，你可以使用任何一种上述三种拓扑结构，并有了极大地灵活性。这是关于防火墙构架的简单入门知识。现在你已经掌握了基本概念，那么

10、你就能够在不同情况下，帮助选择合适的防火墙拓扑结构。TCL Home Networking BUTCL家庭网络事业部防火墙的设置原理防火墙术语在我们进行更深一步的讨论防火墙设计之前，我们来看一下一些应该熟悉的术语。网关-网关通常是一台计算机，它把一个私有网络和另一个网络连接起来，通常是和Internet或者是WAN的连接。一个防火墙网关可以定义哪些内容可以、哪些内容不可以通过，并在内部网络和Internet之间进行数据传送。网络地址转换（NAT）- NAT对外部网络（Internet）把内部的网络地址隐藏起来。如果你的防火墙使用了NAT，所有的内部地址将会被转换成公开的IP地址，这就隐藏了他们

11、原来的身份。代理服务器- 一个代理服务器代替了网络的IP地址，并且有效地对外部网络隐藏了内部真实的地址。代理服务器包括Web服务器，应用级网关。包过滤防火墙-这是一种简单的防火墙方案，它通常是在路由器上进行设置，用来对数据包进行过滤。当数据包经过防火墙的时候，防火墙会检查它们的包头。根据你设定的规则，这些包被接受或是被拒绝。因为大部分的路由器可以过滤数据包，这是一种很简单的办法来规定应该接受哪些数据包，拒绝哪些数据包。但是包过滤很难区分善意和恶意的数据包。TCL Home Networking BUTCL家庭网络事业部防火墙的设置原理筛选路由器-这是一种有两块网卡的包过滤路由。这种路由连接两个

12、网络，并对两个网络间的数据进行过滤和控制。安全系统管理员制定过滤的规则。这种路由又被称之为外部路由或者边界路由。应用级网关-和路由器包过滤相比，这种网关允许网络管理员进行更加复杂的安全策略设置。它对于每种要通过防火墙的应用或者是服务采用专门的程序进行处理。堡垒主机-一个堡垒主机是一个计算机，它允许一个不安全的网络（比如Internet）访问一个安全的网络(比如你的内部网)。它通常被作为一个应用级网关被设置在两个网络之间。安全区（DMZ）-DMZ位于你的内部网络和外部网络之间，这是放置公开的服务器的最好位置。比如Web服务器和FTP服务器就可以放置在这里。现在我们已经把防火墙里的相关常用术语进行

13、了解释，接下来让我们开始讨论一般防火墙的设计。筛选路由器一个筛选路由器是最简单的防火墙策略。这个方法很流行，因为有很多公司已经具备了这样的硬件条件。一个筛选路由器是你防火墙策略里一个非常好的第一道安全防线。它只是一个路由，根据IP地址、UDP和TCP端口来筛选数据。图A是一个筛选路由器方案的示意图。TCL Home Networking BUTCL家庭网络事业部筛选路由器如果你决定采用这种措施，你应该对TCP/IP有很好的理解，并能够在你的路由器上正确地进行有关筛选的设置。如果不能够正确地进行配置，危险的数据包就有可能透过你的防火墙进入你的内部局域网。如果这是你唯一的安全设备，那么黑客们将非常

14、容易地攻破你的系统，在你的局域网里为所欲为。另外一点值得注意的就是采用这种措施，你的内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。如果你经费有限而且非常急切地需要一个防火墙的解决方案，这个方法能够使你花费最少，并可以使用现有的路由器。这是进一步进行防火墙措施的一个良好开端。当你增加别的网络安全设备的时候，它也还可以使用。TCL Home Networking BUTCL家庭网络事业部有堡垒主机的筛选路由筛选主机防火墙一个筛选主机防火墙架构除了一个筛选路由器外还包括一个单穴堡垒主机。这种设计采用包过滤和堡垒主机作为安全设施，保证了网络级和应用级的安全。路由进行包过滤，堡

15、垒主机进行应用安全控制。这是一种很可靠的设计，一个黑客必须穿透路由和堡垒主机才能够到达内部网络。而且，采用这种设计作为应用网关（代理服务器），你可以用网络地址转换来隐藏内部网络。上面描述的结构使所有进出的数据都要经过堡垒主机。当信息进入筛选路由的时候，筛选路由会让它们经过堡垒主机的过滤才能够到达内部网络。TCL Home Networking BUTCL家庭网络事业部有双穴堡垒主机的筛选路由你可以更进一步，建立一个双穴堡垒主机防火墙。这种结构有两个网络界面。因为它使你的网络在物理上和外部网络断开，所以非常的安全。下图所示的是一个这种结构的范例。TCL Home Networking BUTCL

16、家庭网络事业部安全区拓扑结构DMZ是一个很普遍而安全的防火墙拓扑。它通常被认为是一个过滤的子网。一个DMZ在内部网和Internet 之间构造了一个安全地带。如图所示：一个DMZ通常含有以下组成部分：Web服务器邮件服务器应用网关电子商务系统（它应该只包括你的前端系统。你的后端系统应该在你的局域网内部）TCL Home Networking BUTCL家庭网络事业部安全区拓扑结构一个DMZ通常被认为是非常安全的，它提供了一个区域放置你的公共服务器。一个堡垒主机，Modem池，和所有的公共服务器都可以放置在DMZ里面。而且，外部防火墙抵挡外部的攻击并管理所有内部网络对DMZ的访问。内部防火墙管理

17、DMZ对于内部网络的访问。内部防火墙是内部网络的第二道安全防线，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内对于internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域（外部防火墙、内部防火墙和堡垒主机）才能够到达局域网。很多公司更进一步，他们给DMZ也加上了入侵检测系统。这样就可以在小问题积累成大问题之前解决它们。以上，我们讨论了几种在现代商业社会里比较流行的防火墙的设计。当然，没有完美的防火墙设计。每个网络在商业模式上都是独特的，防火墙也应该按照公司的特别要求而制作。当设计一个防火墙的时候，你必须考虑很多的因素，包括

18、费用，培训，安全，技术，和完成所需要的时间。当你把所有的因素考虑进去，并找到了一个好的安全策略，你就可以开始完成你的防火墙拓扑结构设计。我在这里展示的图表，都可以通过下载的方式得到，可以在你设计的防火墙拓扑的时候作为模板。更多知识参考网址：http:/ Home Networking BUTCL家庭网络事业部网络常见故障及处理方法网络常见故障及处理方法l常见故障1. 无法获取IP地址；2. 能访问局域网不能访问Internet；3. 能上QQ，不能打开网页；4. 访问局域网时断时续；5. 网卡连接时断时续；6. 网络无连接；7. 无线网连接不上；8. 无线网连接时断时续；9. 搜索不到无线连接点；10.地址欺骗攻击；TCL Home Networking BUTCL家庭网络事业部网络常见故障及处理方法网络常见故障及处理方法处理方法1）有线网络故障：首先：观察现象，影响个别人还是影响一部分范围的人；其次：根据现象由外向里、由核心层向接入层、由下至上的排查错误结点；第三：确定问题结点，作出解决办法。2）无线网络故障：首先：观察现象，影响个别人还是影响一部分范围的人；其次：根据现象确认无线路由还是客户端的问题；第三：确认问题点，作出解决办法；TCL Home Networking BUTCL家庭网络事业部网络故障预防故障预