四川省05年现代远程教育工程项目(模式三)骨干教师绵阳...ppt课件

1、局域网组建、管理、利用主讲人：周 彬邮 箱：zb电 话章内容概述：本章主要讲述了局域网的构成和搭建,以及网站构建与配置的根本知识和相关运用。主要内容包括：局域网设备和运用及根本的组网运用；网站IP、域名的根本知识、网站效力器软件的选择和运用，以及配置方法。学习目的：经过本章的学习，他可以：熟习常用的局域网设备的运用；掌握常见局域网运用的配置方法；了解网络协议和常用的效力器操作系统；掌握常用的网络效力器的搭建和配置方法；了解根本的网络及效力器的平安配置及病毒防备；掌握根本的网络缺点的排除和处理方法。 1.1 网络的构造一局域网的组建及运用1.1.1 网络的拓扑构造1.

2、网络的拓扑构造： 网络拓扑构造是指网络中各个站点相互衔接的方式类型： 1)星型 2) 总线型 3)环型星型:特点：采用集中式控制方式，将各站点经过链路单独与中心结点衔接，且各站点之间的通讯都要经过中心结点交换。优点：网络构造简单,便于管理、集中控制,容易检测和隔离缺点；组网容易；网络延迟时间短，误码率低。缺陷：通讯线路利用率不高，中间节点负担过重，当中心站出现超负载或中心站发生缺点时，会导致整个网络停顿任务。总线型:特点：普通用于分布式的控制方式，一切的任务站都连在一条总线上，任务时只需一个站点可经过总线进展发送信息，可沿着总线向两个方向传输分散，其他一切站点这时都不能发送，且都将接纳到该信号

3、。优点：构造简单灵敏，便于扩展结点，网络呼应速度快，共享资源才干强，任一结点上的缺点不会引起整个网络的运用，因此可靠性好。缺陷：总线缺点诊断和隔离困难，网络对总线缺点较为敏感;总线长度有一定限制，一条总线也只能衔接一定数量的结点。环型特点：环形网中各结点经过环路接口连在一条首尾相连的闭合环形通讯线路中，环路上任何结点均可以恳求发送信息。恳求一旦被同意，便可以向环路发送信息。优点：信息在网络中沿固定方向流动，途径选择简单，可靠性较高。当网络确定时，其延时固定，实时性强；缺陷：当环中所接站点过多时，将会影响信息传输效率。由于环路封锁故扩展不方便。2.网络的分类： 按作用 1效力器 2任务站 按任务

4、方式 1 公用效力器构造 效力器中转、完成大量任务 2 主从构造 客户机之间可相互交流 3 对等式构造 一切计算机位置均等3.介质的访问方式：1环型逻辑拓扑 环形逻辑拓扑的网络的任务方式：在一个环形逻辑拓扑的网络中的一切计算机在没有信息需求传送时，会在网络中周而复始的传送一个阐明网络空闲的令牌；当计算机n需求向计算机m传送信息的时候，它需求等到令牌传到它那的时候，在它获得令牌后，就开场向计算机n+1发送它所要发送的信息，然后计算机n+1在向计算机n+2发送它接纳到的信息当计算机m接纳到这段信息后，判别出这段信息是发给它的，它就开场处置这段信息，并向计算机n发送信息已接纳的信号，这个信号也是按着

5、m-m+1-m+2-n的顺序传送的，当计算机n接纳到这个信号后，它就会向计算机n+1发送一个新的阐明网络重新空闲的令牌。 2总线型逻辑拓扑 总线型逻辑拓扑的任务方式：当网络中的一个节点要向另一个节点发送数据的时候，发送数据的节点就会在整个网络上广播相应的数据。其他节点都进展收听，并查看本人能否是数据的接纳者。假设是，就保管这些数据；假设不是，就忽略这些数据。1.2.1 网卡网卡Network Interface Card，简称NIC，也称网络适配器，是电脑与局域网相互衔接的接口。无论是普通电脑还是高端效力器，只需衔接到局域网，就都需求安装一块网卡。假设有必要，一台电脑也可以同时安装两块或多块网

6、卡。网卡分类:(1)按总线接口ISA，PCI，USB(2)按网络构造ATM，Token Ring，Ethernet以太网卡(3)按网络带宽1000Mbps，10/100Mbps ，10Mbps可以与远端网络设备集线器或交换机自动协商，以确定当前可以运用的速率是10Mbps还是100Mbps 1.2 局域网硬件设备1.2.2 网线1双绞线分为屏蔽双绞线STP和非屏蔽双绞线UTP两类。由于STP仅在一些特殊场所(如受电磁干扰严重、易受化学品的腐蚀等)运用，所以普通UTP运用频率最高。目前常用的双绞线有五类： 1类 速率12 Mbps ； 2类 速率12 Mbps，用于语音 ； 3类 速率16 Mb

7、ps，用于10BaseT及4Mbps Token Ring； 4类 速率20 Mbps，用于10BaseT及16Mbps Token Ring； 5类 速率100 Mbps，用于100BaseTX。普通局域网运用的，屏蔽双绞线分别有3 类和5 类二种，非屏蔽双绞线又分别有3类、4 类、5 类、超5 类四种。3类双绞线的速率为10Mb/S， 5类双绞线的速率可达100Mb/S，超5类更可达155Mb/s以上普通局域网运用的，屏蔽双绞线分别有3 类和5 类二种，非屏蔽双绞线又分别有3类、4 类、5 类、超5 类四种。3类双绞线的速率为10Mb/S， 5类双绞线的速率可达100Mb/S，超5类更可达

8、155Mb/s以上双绞线制造EIA/TIA 568A1 T3 白绿2 R3 绿3 T2 白橙4 R1 蓝5 T1 白蓝6 R2 橙7 T4 白棕8 R4 棕 1.直通线：用于衔接网络中任务站计算机与集线器的双绞线 1脚 2脚 3脚 4脚 5脚 6脚 7脚 8脚 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕 EIA/TIA 568B1 T2 白橙2 R2 橙3 T3 白绿4 R1 蓝5 T1 白蓝6 R3 绿7 T4 白棕8 R4 棕2.交叉线：用于衔接网络中一样类型设备的双绞线，如：PC与PC之间交叉线：白橙 -白绿橙 - 绿白绿 - 白橙 蓝 - 蓝白蓝 - 白蓝绿 - 橙白棕 - 白棕棕 - 棕

9、 2同轴电缆由一根空心的外圆柱导体和一根位于中心轴线的内导线组成。内导线和圆柱导体及外界之间用绝缘资料隔开。根据传输频带的不同，同轴电缆可分为基带同轴电缆和宽带同轴电缆两种类型。按直径的不同，同轴电缆可分为粗缆和细缆两种。 3光纤由一组光导纤维组成的用来传播光束的、细小而柔韧的传输介质。优势：与其它传输介质相比较，光缆的电磁绝缘性能好，信号衰变小，频带较宽，传输间隔较大。运用：主要是在要求传输间隔较长，布线条件特殊的情况下用于主干网的衔接。任务原理：光缆通讯由光发送机产生光束，将电信号转变为光信号，再把光信号导入光纤，在光缆的另一端由光接纳机接纳光纤上传输来的光信号，并将它转变成电信号，经解码

10、后再处置。光缆的最大传输间隔远、传输速度快，是局域网中的最正确传输介质。 1.2.3 集线器HUB 集线器的英文称为“Hub。“Hub是“中心的意思，集线器的主要功能是对接纳到的信号进展再生整形放大，以扩展网络的传输间隔，同时把一切节点集中在以它为中心的节点上。集线器与网卡、网线等传输介质一样，属于局域网中的根底设备。 以集线器为中心的优点是：当网络系统中某条线路或某节点出现缺点时，不会影响网上其他节点的正常任务。集线器可分为无源Passive集线器、有源Active集线器和智能Intelligent集线器。无源集线器只担任把多段介质衔接在一同，不对信号作任何处置，每一种介质段只允许扩展到最大

11、有效间隔的一半。有源集线器类似于无源集线器，但它具有对传输信号进展再生和放大从而扩展介质长度的功能。智能集线器除具有有源集线器的功能外，还可将网络的部分功能集成到集线器中，如网络管理、选择网络传输线路等。集线器的端口扩展：1级联： * 直通线连HUB的级联口 * 交叉线连HUB的任两个端口2堆叠： * 用特殊连线与HUB上的堆叠端口衔接。 堆叠层数越多，每个用户实践可享有的带宽那么越小1.2.4 交换机Switching交换机是按照通讯两端传输信息的需求，用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机就是一种在通讯系统中完成信息交换功能的设备。交换机拥

12、有一条很高带宽的背部总线和内部交换矩阵。交换机的一切的端口都挂接在这条背部总线上。控制电路收到数据包以后，处置端口会查找内存中的MAC地址网卡的硬件地址经过内部交换矩阵直接将数据迅速包传送到目的节点。优点:1.效率高，不会浪费网络资源，只是对目的地址发送数据，普通来说不易产生网络堵塞；2.数据传输平安，由于它不是对一切节点都同时发送，发送数据时其它节点很难侦听到所发送的信息。1.2.5 集线器HUB与交换机(Switching)的主要区别数据传输方式不同 集线器的数据传输方式是广播broadcast方式，而交换机的数据传输是有目的的，数据只对目的节点发送。带宽占用方式不同 集线器一切端口是共享

13、集线器的总带宽，而交换机的每个端口都具有本人的带宽，这样就交换机实践上每个端口的带宽比集线器端口可用带宽要高许多，也就决议了交换机的传输速度比集线器要快许多。传输方式不同集线器只能采用半双工方式进展传输的，由于集线器是共享传输介质的，这样在上行通道上集线器一次只能传输一个义务。而交换机是采用全双工方式来传输数据的，在同一时辰可以同时进展数据的接纳和发送，这不但令数据的传输速度大大加快，而且在整个系统的吞吐量方面交换机比集线器至少要快一倍以上。1.2.6 网桥Bridge网桥Bridge是一个局域网与另一个局域网之间建立衔接的桥梁。作用：扩展网络和通讯手段，在各种传输介质中转发数据信号，扩展网络

14、的间隔，同时又有选择地将有地址的信号从一个传输介质发送到另一个传输介质，并能有效地限制两个介质系统中无关紧要的通讯。路由器Router是用于衔接多个逻辑上分开的网络。逻辑网络是指一个单独的网络或一个子网。当数据从一个子网传输到另一个子网时，可经过路由器来完成。路由器具有判别网络地址和选择途径的功能，它能在多网络互联环境中建立灵敏的衔接，可用完全不同的数据分组和介质访问方法衔接各种子网。路由器只接纳源站或其他路由器的信息，它不关怀各子网运用的硬件设备，但要求运转与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来衔接网络传输介质的，如光纤、同轴电缆和双绞线；远程路由器是用来

15、与远程传输介质衔接并要求相应的设备，如线要配调制解调器，无线要经过无线接纳机和发射机。 1.2.7 路由器Router6.用软件搭建硬件平台好多网络操作系统本身就提供路由功能，基于软件的路由。各网络已建成的情况下，建立Win 2000 server路由器，其建立过程如下：1、在同一台Win 2000 server机器中安装两块网卡，网卡可以采用任何NT所支持的网卡。 2、进入控制面板，安装TCPIP协议3、配置网卡：为每一块网卡配置一个IP地址，两个IP地址分别属于不同的网络内的IP地址。4、设置Win 2000 server的IP路由功能为Enable。5、确定后重新启动计算机。这样， Wi

16、n 2000 server路由器就可以在两网络间进展任务了。 经过实例讲解： 1根本配置引见 IP、任务组、共享权限、代理软件. 2如何设置共享上网 a 可利用windows自带的共享网络 b 可运用其它代理软件 3如何设置文件共享 配置为同一网段的IP，同一任务组，装好协议，设置文件夹共享 4如何设置打印机的共享 配置为同一网段的IP，同一任务组，装好协议，设置打印机共享 5如何限制客户机某些软件的运用 利用代理上网软件或网络防火墙进展限制 6如何搭建只需两台电脑的网络 用交叉双绞线衔接两台电脑 1.3 局域网配置实例及适用技术问题讲解 2.1 网络协议2.1.1 网络协议的概念及要素计算机

17、网络协议Protocol实现计算机网络中不同计算机系统之间的通讯所必需遵守的通讯规那么的集合。网络协议包括以下三大要素：1语法 “如何讲 数据格式、编码、信号电平2语义 “讲什么 系统同步、过失处置等控制信息3同步 讲话次序 速度匹配、排序1TCP/IPTransport Control Protocol/Internet ProtocolTCP/IP允许与Internet完全的衔接TCP/IP同时具备了可扩展性和可靠性的需求。但是牺牲了速度和效率 二网站构建与配置2.1.2 常用协议的引见2NETBEUINETBEUI是为IBM开发的非路由协议，用于携带NETBIOS通讯。 NETBEUI缺

18、乏路由和网络层寻址功能，既是其最大的优点，也是其最大的缺陷。优点：不需求附加的网络地址和网络层头尾，所以很快并很有效且适用于只需单个网络或整个环境都桥接起来的小任务组环境。 缺陷：不支持路由。3IPX/SPX 是NOVELL用于NETWARE客户端/效力器的协议群组，防止了NETBEUI的弱点。 IPX具有完全的路由才干，可用于大型企业网。它包括32位网络地址，在单个环境中允许有许多路由网络。 其他常用的运用协议：，FTP，POP3，SMTP，MMS，RTSP 1. Windows类这是全球最大的软件开发商-Microsoft微软公司开发的。这类操作系统配置在整个局域网配置中是最常见的，但由于

19、它对效力器的硬件要求较高，且稳定性能不是很高，所以微软的网络操作系统普通只是用在中低档效力器中，高端效力器通常采用UNIX、LINUX或Solairs等非Windows操作系统。在局域网中，微软的网络操作系统主要有：Windows NT 4.0 Server、Windows 2000 Server/Advance Server，以及最新的Windows 2003 Server等。任务站系统可以采用任一Windows或非Windows操作系统，包括个人操作系统，如Windows 9x/ME/XP等。2.2.1 操作系统 2.2 WEB效力器软件2. Unix系统 UNIX是针对小型机主机环境开发

20、的操作系统，是一种集中式分时多用户体系构造。 目前常用的UNIX系统版本主要有：Unix SUR4.0、HP-UX 11.0，SUN的Solaris8.0等。特点： 1.支持网络文件系统效力，提供数据等运用，功能强大 2.操作系统稳定和平安性能非常好 3.多数是以命令方式来进展操作的，不容易掌握，特别是初级用户。运用：小型局域网根本不运用Unix作为网络操作系统，UNIX普通用于大型的网站或大型的企、事业局域网中。UNIX网络操作系统历史悠久，其良好的网络管理功能已为宽广网络 用户所接受，拥有丰富的运用软件的支持。3. Linux 这是一种新型的网络操作系统，它的最大的特点就是源代码开放。 目

21、前中文版本的Linux有如REDHAT(红帽子)，红旗Linux等。优势主要表达在它的平安性和稳定性方面，它与Unix有许多类似之处。主要运用：中、高档效力器中。 操作系统的选择：对特定计算环境的支持使得每一个操作系统都有适宜于本人的任务场所，这就是系统对特定计算环境的支持。例如，Windows 2000 Professional适用于桌面计算机，Linux目前较适用于小型的网络，而Windows 2000 Server和UNIX那么适用于大型效力器运用程序。因此，对于不同的网络运用，需求我们有目的有选择适宜地网络操作系统。 2.2.2 WEB效力器平台“默许Web站点普通是用于向一切用户开放

22、的WWW站点，用户可以经过阅读器来阅读这个WWW站点。点击“开场菜单程序管理工具Internet信息效力，进入“Internet信息效力。进入默许Web站点的属性设置框1) WWW效力器IIS安装和简单配置IIS 与 Apache的对比IIS与Windows集成度高，设置简单，对ASP，.NET的支持好Apache稳定性高，支持的言语多，配置较为复杂设置“Web站点，在“IP地址栏中填写00，“TCP端口采用默许的80端口。 设置“主目录，在“本地途径经过“阅读按钮来选择网页文件所在的目录，在本文中目录是“C：inetpubwwwroot。 进入“文档设置框图2，勾选“启用默许文档项。假设需求

23、，可以将我们制造的网页文件名添加至“默许文档栏中。“目录平安性的设置，点击“编辑，勾选“匿名访问，确保每个用户都可无限制地访问该WWW站点。 其他选项采用系统的默许值即可。在点击“确定后能够会出现“承继覆盖对话框，普通都选择“全选，再单击“确定按钮完成“默许Web站点的设置。 2) FTP效力器FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。而FTP效力器，那么是在互联网上提供存储空间的计算机，它们按照FTP协议提供效力。 用ServU架设个人FTPServ-U支持一切版本的Windows操作系统，可以设定多个FTP效力器，可以

24、限定登录用户的权限、登录目录及效力器空间大小，功能非常完善。1. 设置ServU的IP地址与域名一路单击“下一步跳过系统提示信息，来到“您的IP地址窗口，这里要求输入本机的IP地址。假设他的电脑有固定的IP地址，那就直接输入；假设他只需动态IP例如拨号用户，那该处请留空，Serv-U在运转时会自动确定他的IP地址。下一步，进展“域名设定。接下来的“系统效力选项必需选“是，这样当他的电脑一启动，效力器也会跟着开场运转。2.设置匿名登录匿名访问就是允许用户以Anonymous为用户名，无需特定密码即可衔接效力器并拷贝文件。假设他不想让陌生人随意进入他的FTP效力器，或想成立VIP会员区，就应该在“

25、匿名账号窗口中选“否，这样就只需经过他答应的用户才干登录该FTP。之后就要为匿名账户指定FTP上传或下载的主目录，这是匿名用户登录到他的FTP效力器后看到的目录。设定后，导游还会继续讯问他能否将匿名用户锁定于此目录中，从平安的角度思索，建议选“是。这样匿名登录的用户将只能访问他指定的主目录及以下的各级子目录，而不能访问上级目录，便于保证硬盘上其他文件的平安。3.创建新账户除了匿名用户，我们普通还需求建立有密码的公用账号，也就是说可以让指定用户以专门的账号和密码访问他的效力器，这样做适用于实行会员制下载或只让好友访问。在“命名的账号窗口中将“创建命名的账号吗选为“是，进入“账号称号设置，填入他制

26、定的账号称号，而后在“账号密码窗口输入该账号的密码。单击“下一步，会要求他指定FTP主目录，并讯问能否将用户锁定于主目录中，选“是，作用与匿名账户设定根本一样，不再赘述。紧接着要设置该账户的远程管理员权限，分为“无权限、“组管理员、“域管理员、“只读管理员和“系统管理员五种选项，每项的权限各不一样，可根据详细情况进展选择。4.管理员设置每个Serv-U引擎都能用来运转多个虚拟的FTP效力器，而虚拟的FTP效力器就称为“域。对FTP效力器来说，建立多个域是非常有用的，每个域都有各自的用户、组和相关的设置值。最后，请在有改动内容的标签卡上点击右键，选择“运用，如此才干使设置生效！好了！如今，一个简

27、单的个人FTP效力器就曾经完好地呈如今他面前了。不过这时还要测试一下能否胜利地下载和上传。3) 邮件效力器 a Windows自带的简单邮件效力安装方法：控制面板添加/删除程序添加删除Windows组件可建立简单的邮件效力器，功能简单，配置容易 b 简单适用邮件系统-winwebmail安装、设置引见Winwebmail是一个相对来说设置较为简单、功能比较适用的邮件系统，未注册版本可添加25个用户，能根本满足小型学校的邮件需求。IP 标示Internet的主机位置 IP v4 32位二进制 IP v6 128位 域名便于记忆和管理的对主机的命名 层次化级别、类型、独一性全球范围内没有反复域名的

28、类型：国际英文域名 cctv中文国家顶级域名 / /.net /.org .国际中文域名 西南科技大学中文通用域名 中央电视台.公司域名的后缀名：ac 科研机构 com 公司、企业 edu 教育机构gov 政府部门 net 互联网效力 org 非赢利组织其他后缀名：.info / .name / .biz / .cc2.2.3 IP地址及域名 域名 解析IP地址DNS效力器DNS是域名系统 (Domain Name System)的缩写，是一种组织成域层次构造的计算机和网络效力命名系统。DNS效力器中有域名系统数据库，有域名到DNS效力器地址以及域名到主机IP地址的对应记录。* 及时定时更新

29、根效力器 域名注册、存在 各地效力器 解析 * 可多对多 多个域名对应同一IP地址 如虚拟主机 同一域名对应多个IP地址 (集群，负载平衡2.2.4 动态域名解析引见及根本配置动态DNS域名解析，也就是可以将固定的互联网域名和动态非固定IP地址实时对应解析。这就是说相对于传统的静态DNS而言，它可以将一个固定的域名解析到一个动态的IP地址，简单的说，不论用户何时上网、以何种方式上网、得到一个什么样的IP地址、IP地址能否会变化，他都能保证经过一个固定的域名就能访问到用户的计算机。 1安装系统最少需求两个分区，分区格式都采用NTFS格式 2断开网络安装操作系统，打补丁，装防火墙 3IIS的安装

30、最小的效力=最大的平安 4SQL SERVER 2000，SP31管理员帐户 最好少建，修正默许2用户，用户组 为每个网站建立用户3权限 将权限划分细化到网站目录，或某个系统文件1.安装事项2.帐户及权限 2.3 WEB效力器的平安配置 1制止C$、D$、ADMIN$一类的默许共享 2只需求TCP/IP协议 3封锁不需求的效力 4配置Windows自带的防火墙1操作审核 帐户登陆、系统修正、目录访问、特权运用2IIS访问日志 日志保管的途径，需求记录的信息3权限 将权限划分细化到网站目录，或某个系统文件3.网络效力的平安性4.审核战略5.其他设置 1针对注册表的一些修正 2IIS的其他平安战略

31、2.4.1 系统平台的平安战略1. 系统平台应留意的问题1效力器、操作系统、系统软件 防止平安破绽，补丁2维护WEB效力器主机系统3防止DOS、DDOS4帐户管理5建立平安战略6平安日志 2.4 网络平安及病毒防备2. 平安战略1物量平安战略 维护系统、效力器等硬件和通讯链路2访问控制战略 a. 入网访问控制 b. 网络的权限控制 c. 目录级平安控制 d. 属性平安控制 e. 网络效力器平安控制 f. 网络监测和锁定控制 g. 网络端口和节点的平安控制 h. 防火墙控制 3数据加密战略 链路 端点 节点4网络平安管理战略2.4.2 防火墙的构筑与配置防火墙的概念网络边境上的网络通讯监控系统2

32、. 防火墙的类型1屏蔽路由器Screening Router屏蔽路由器普通是一个多口IP路由器，用于在内部和外部的主机之间发送数据包，它不但对数据包进展路由发送，还根据一定的平安规那么检查数据包，决议能否发送。 任务原理：它根据的规那么由站点的平安战略决议，这些规那么可根据IP包中信息：IP源地址、IP目的地址、协议、ICP或UDP源端口等进展设置，也可根据路由器知道的信息如数据包到达端口、出去端口进展设置。这些规那么由屏蔽路由器强迫设置，也称它为包过滤规那么。2代理效力器Proxy Server代理效力器是运转在防火墙主机上的专门运用程序或效力器程序。这些程序接受用户对Internet效力的

33、恳求，并按照相应的平安战略将这些恳求转发到实践的效力。代理效力器为一个特定的效力提供替代衔接，充任效力的网关，因此又称为运用级网关。3. 防火墙的体系构造(1) 挑选路由器包过滤Packet filter防火墙 任务原理：普通作用在网络层IP层，对进出内部网络的一切信息进展分析，并按照一定的平安战略信息过滤规那么对进出内部网络的信息进展限制。中心就是平安战略即包过滤算法的设计。 实现方式：包过滤型防火墙往往可以用一台过滤路由器来实现，对所接纳的每个数据包作允许回绝的决议。 优点：速度快、实现方便 缺陷：平安性能差；而且由于不同操作系统环境下TCP和UDP端口号所代表的运用效力协议类型有所不同，

34、兼容性差。 (2)双宿主主机双宿主主机构造是围绕着至少具有两个网络接口的双宿主主机又称堡垒主机而构成的。 任务原理： 内部网络双宿主主机 外部网络 (3)屏蔽主机网关一切到达路由器的数据包被发送到被屏蔽主机，其构造如下图。网络层平安包过滤 + 运用层平安代理效力 (4)被屏蔽子网 内部挑选路由器 + 堡垒主机 + 外部挑选路由器4. 选择防火墙的根本原那么 1支持“除非明确允许，否那么就制止的设计战略 2本身支持平安战略，而不是添加上去的。 3假设组织机构的平安战略发生改动，可以参与新的效力。 4有先进的认证手段或有挂钩程序，可以安装先进的认证方法。 5假设需求，可以运用过滤技术和制止效力。

35、6可以运用FTP和Telnet等效力代理，以便先进的认证手段可以被安装和运转在防火墙上。 7拥有界面友好、易于编程的IP过滤言语，并可以根据数据包的性质进展包过滤，数据包的性质有目的和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 其他留意： 定期对防火墙和相应的操作系统用补丁程序进展晋级5.设置防火墙时应留意的问题 1 设置的密码绝对不能采用常用单词或人名生日等，长度应尽量地长。 2 绝对不能运用系统默许值。 3 留意调整平安级别。 4 设置读写权限时要留意。2.4.3 病毒防备和查杀病毒的概念： 计算机病毒就是指可以经过某种途径埋伏在计算机存储

36、介质(或程序)里，当到达某种条件时，即被激活的具有对计算机资源进展破坏作用的一组计算机指令或者程序代码。 1994年2月18日，我国正式公布实施了，其中第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机运用，并能自我复制的一组计算机指令或者程序代码。 病毒的分类： 根据计算机病毒的特点和特性，计算机病毒有多种分类方法，例如按照攻击的系统分类、按照病毒的破坏情况分类、按照病毒的寄生部位或感染对象分类、按照病毒的链接分类、按照病毒的激活时间分类等，根据不同的分类规范，一种病毒能够有多种叫法，例如一种病毒能够有攻击Windows系统的病毒、外壳

37、型病毒、恶性计算机病毒、可执行程序传染的计算机病毒等多个称谓。但普通情况下，人们习惯把计算机病毒按照病毒的寄生方式和传染途径来进展分类。根据寄生方式的不同，分为引导型病毒和文件型病毒；根据传染途径的不同，分为驻留内存型和不驻留内存型。 病毒的分类：引导型病毒：经过感染磁盘上的引导扇区或改写磁盘分区表(FAT)来感染系统，它是一种开机即可启动的病毒，先于操作系统而存在，所以用软盘引导启动的电脑容易感染这种病毒。该病毒几乎常驻内存，激活时即可发作，破坏性大。文件型病毒：以感染COM、EXE、OVL等可执行文件为主，病毒以这些可执行文件为载体，当他运转可执行文件时就可以激活病毒。文件型病毒大多数也是

38、常驻内存的。混合型病毒：兼有文件型病毒和引导型病毒的特点，所以它的破坏性更大，传染的时机也更多，杀灭也更困难。宏病毒：是一种新型的文件型病毒，它存放于Word文档中，一翻开隐藏有该种病毒的文档，宏病毒即被激活，该病毒还可衍生出各种变形变种病毒，由于Word的广泛运用，所以宏病毒的流行非常广泛。 病毒的传播方式： 复制文件、传送文件、运转程序 软盘、硬盘、光盘、网络病毒的传播机理： 1 传染源2 传播途径3 病毒传染4 病毒发作网络病毒：网络病毒的分类： 目前流行的网络病毒从类型上分主要有木马病毒和蠕虫病毒。 木马病毒实践上是一种后门程序，他经常埋伏在操作系统中监视用户的各种操作，窃取用户的帐号

39、和密码。 蠕虫病毒是一种更先进的病毒，他可以经过多种方式进展传播，甚至是利用操作系统和运用程序的破绽自动进展攻击，每种蠕虫都包含一个扫描功能模块担任探测存在破绽的主机，在网络中扫描到存在该破绽的计算机后就马上传播出去。由于蠕虫发送大量传播数据包，所以被蠕虫感染了的网络速度非常缓慢，被蠕虫感染了的计算机也会由于CPU和内存占用过高而接近死机形状。网络病毒：网络病毒的分类：按照网络病毒的传播途径划分的话又分为邮件型病毒和破绽性病毒。前者是经过电子邮件进展传播的，病毒将本身隐藏在邮件的附件中并伪造虚伪信息欺骗用户翻开该附件从而感染病毒，当然有的邮件型病毒利用的是阅读器的破绽来实现。这时用户即使没有翻

40、开邮件中的病毒附件而仅仅阅读了邮件内容，由于阅读器存在破绽也会让病毒趁虚而入。破绽型病毒那么更加可怕，大家都知道目前运用最广泛的是WINDOWS操作系统，而WINDOWS系统破绽非常多，每隔一段时间微软都会发布平安补丁弥补破绽。防备网络病毒的方法： 第一步：将计算机中的帐户密码设置得复杂些，不要保管空密码或弱口令的帐号，将GUEST帐户禁用并删除无用的用户。 第二步：及时更新操作系统的破绽补丁，将WINDOWS UPDATE效力启用。并保证每周均执行补丁安装任务，安装终了后需求重新启动计算机。由于很多补丁只需在重新启动后才干生效。 第三步：封锁不用要的系统效力，如MESSENGER，REMOT

41、E REGISTRY SERVICE等。封锁无用的共享资源，象系统默许的共享都要封锁，如c$,d$,ipc$,admin$等。 第四步：为本机安装杀毒软件及防火墙，从而有效的防备病毒和黑客的入侵。不要以为安装其中之一就可大功告成，需求两者兼得才干起到最大的效果。在防火墙上要配置恰当的规那么，杀毒软件也要及时更新病毒库。 第五步：一切防备任务终了之后还要对员工进展平安培训，严厉要求员工不随意运转网上下载的可疑程序，不随意执行他人发来的文件，不随意运转电子邮件中的附件。查杀网络病毒的方法： 查找病毒： 其实电脑中毒跟人生病一样，总会有一些明显的病症表现出来，例如机器运转非常缓慢，上不了网，杀毒软件

42、升不了级，WORD文档打不开，电脑反复重启等等，这些都是中毒的征兆。接下来我们就要开场搜索病毒体了。 第一步：按CTRL+SHIFT+DEL键调出WINDOWS义务管理器，查看系统运转的进程，找出不熟习的进程并记下称号，经过搜索引擎查询判别这些进程能否是病毒产生的，也可以点击义务管理器的性能查看CPU和内存的当前形状，假设CPU的利用率接近100%或内存的占用值居高不下，电脑中毒的能够性是95%。 第二步：运转注册表编辑器，查看都有哪些程序随WINDOWS的启动而启动。主要看 第三步：查看WINDOWS当前启动的效力项，在“控制面板的“管理工具里翻开“效力，查看右边形状为“启动的行。 第四步：

43、用阅读器上网判别，假设他的计算机可以阅读SOHU，新浪等网站但不能访问诸如symantec,ca这样的平安厂商站点的话很有能够是中了网络病毒并被修正了HOSTS文件。去除病毒：由于计算机感染了网络病毒，所以首先应该将网线从计算机上拔下，断开计算机和网络的衔接，防止病毒的二次入侵及再度感染。接着按照以下的方法去除病毒。 第一步：在注册表里删除随系统启动的非法程序，然后在注册表中搜索一切该键值并全部删除。当病毒以系统效力的方式启动话还应该在hkey_local_machinesystemcontrolset001services和controlset002services里藏身，找到后全部删除。

44、第二步：停顿一切有问题的效力，启动方式从自动改为禁用。 第三步：假设上文提到的HOSTS文件被篡改，那么恢复它本来面目，即只剩下一行有效值“ localhost，其他的行全部删除。 第四步：重新启动计算机，按F8进入平安方式，搜索病毒的执行文件，手动将其删除。 第五步：在平安方式下用晋级了最新病毒库的杀毒软件对系统进展全面扫描，剿灭漏网之鱼。扫描后就可以重启计算机完成全部查杀网络病毒的操作了。防病毒软件：1.效力器Symantec Antivirus ( 赛门铁克 诺顿)McAfee Virusscan (卖咖啡Kaspersky Anti-Virus 卡巴斯基2.任务站江民 KV 2004

45、/ KV 2005瑞星 2004 / 2005金山毒霸2.4.4 入侵检测和破绽检测1.入侵检测技术入侵检测系统是指当系统遭到黑客侵扰时，可以发出警告，并让系统采取某些措施的防护系统。 入侵检测是防火墙的合理补充，它提供了自动的网络维护。 作用：它可以自动探测网络流量中能够涉及潜在入侵、攻击和滥用的方式，在很大程度上降低了管理和确保网络平安所需求的培训级别和时间，经过这些功能，入侵检测处理了网络总体平安性与战略兼容的大部分难题。 分类：基于网络的入侵检测；基于主机的入侵检测。 基于网络的入侵检测安装于网络信息集中经过的地方，如中心交换机、集线器等上面，对一切经过的网络数据进展搜集、分析，并对攻

46、击行为做出呼应。 基于主机的入侵检测安装于受维护的主机上，搜集信息，对主机攻击行为做出呼应。典型的入侵检测系统如下图：在每个网段和重要效力器上都安装了入侵检测系统，以维护整个系统的平安。 入侵检测系统能提供以下功能： 监视并分析用户和系统的活动 检查系统配置和破绽 检查关键系统和数据文件的完好性 识别代表知攻击的活动方式 对反常行为方式的统计分析 对操作系统的校验管理，判别能否有破坏平安的用户活动。 入侵检测系统的任务包括信息搜集、信息分析和呼应三部分。任务原理如下： 1信息搜集入侵检测系统的第一步任务是信息搜集，内容包括系统、网络、数据及用户活动的形状和行为。而且，需求在计算机网络系统中的假

47、设干不同关键点不同网段和不同主机搜集信息。2信息分析对上述四类搜集到的有关系统、网络、数据及用户活动的形状和行为等信息，普统统过三种技术手段进展分析：方式匹配，统计分析和完好性分析。其中前两种方法用于实时的入侵检测，而完好性分析那么用于事后分析。3呼应入侵检测系一致旦发现有符合知的攻击行为方式或可疑的攻击行为，就做出呼应。破绽扫描工具 ： 由于网络的快速增长和复杂程度的提高，以及信息新技术的出现带来的大量平安上隐患，使网络系统中的平安破绽不可防止的产生。除了采用传统的平安机制，需求一种加强的处理方案来减少传统平安系统中的这种空白。这就是破绽扫描工具。破绽扫描工具主要是静态对网络中的各种系统、设

48、备和数据库进展破绽扫描，找出整个网络系统中最容易遭到攻击的地方，对网络进展有效的评价，最后提出建立性的处理方案。其任务原理是采用模拟攻击的方式对目的能够存在的知平安破绽进展逐项检查。目的可以是任务站、效力器、交换机、数据库运用等各种对象。破绽扫描工具可以分三种：基于效力器的扫描器、基于网络的扫描器和基于数据库的扫描器，分别可以对效力器、网络或数据库的平安破绽进展扫描并提出平安分析报告。入侵检测系统和破绽扫描工具的优点： 入侵检测系统为网络系统提供了纵深的防护，破绽扫描工具能检测出系统的破绽所在。他们是对防火墙的进一步补充，具有以下优点：提高了系统的监察才干 ，使系统有纵深防护才干跟踪用户从进入

49、到退出的一切活动或影响 ，识别并报告数据文件的改动 发现系统配置的错误，必要时予以更正 识别特定类型的攻击，并向相应人员报警，以做出防御反响 允许非专家人员从事系统平安任务为信息平安战略的创建提供指点三网络及网站常见问题分析处理 3.1局域网网络缺点排除战略 1、识别缺点景象 识别缺点景象时，应该向操作者讯问以下几个问题： (1)当被记录的缺点景象发生时，正在运转什么进程(即操作者正在对电脑进展什么操作)。(2)这个进程以前运转过吗？ (3)以前这个进程的运转能否胜利？ (4)这个进程最后一次胜利运转是什么时候？ (5)从那时起，哪些发生了改动？ 2、对缺点景象进展详细描画 在排除缺点前，可以

50、按以下步骤执行： (1)搜集有关缺点景象的信息； (2)对问题和缺点景象进展详细描画； (3)留意细节； (4)把一切的问题都记下来； (5)不要匆忙下结论。 3、列举能够导致错误的缘由 4、减少搜索范围 5、处理问题 6、缺点分析 常见缺点缘由 1、网络衔接性 网络衔接性是缺点发生后首先该当思索的缘由2、配置文件和选项 效力器、电脑都有配置选项，配置文件和配置选项设置不当，同样会导致网络缺点。3、网络协议 没有网络协议，网络设备和电脑之间就无法通讯。 连通性缺点 1、缺点表现 连通性缺点通常表现为以下几种情况： 电脑无法登录到效力器； 电脑无法经过局域网接入Internet； 电脑在网上邻居

51、中只能看到本人，而看不到其他电脑，从而无法运用其他电脑上的共享资源和共享打印机 电脑无法在网络内实现访问其他电脑上的资源； 网络中的部分电脑运转速度异常的缓慢。 2、缺点缘由 以下缘由能够导致连通性缺点： 网卡未安装，或未安装正确，或与其他设备有冲突； 网卡硬件缺点； 网络协议未安装，或设置不正确； 网线、跳线或信息插座缺点； Hub电源未翻开，Hub硬件缺点，或Hub端口硬件缺点; UPS电源缺点。 3、排除方法 确认连通性缺点 当出现一种网络运用缺点时，如无法接入Internet，首先尝试运用其他网络运用，如查找网络中的其他电脑，或运用局域网中的Web阅读等。假设其他网络运用可正常运用，如

52、虽然无法接入Internet，却可以在网上邻居中找到其他电脑，或可ping到其他电脑，即可排除连通性缺点缘由。假设其他网络运用均无法实现，继续下面操作。 看LED灯判别网卡的缺点 首先查看网卡的指示灯能否正常。正常情况下，在不传送数据时，网卡的指示灯闪烁较慢，传送数据时，闪烁较快。无论是不亮，还是长亮不灭，都阐明有缺点存在。假设网卡的指示灯不正常，需关掉电脑改换网卡。对于Hub的指示灯，凡是插有网线的端口，指示灯都亮。由于是Hub，所以，指示灯的作用只能指示该端口能否衔接有终端设备，不能显示通讯形状。 用ping命令排除网卡缺点 运用ping命令，ping本地的IP地址或电脑名，检查网卡和IP

53、网络协议能否安装完好。假设能ping通，阐明该电脑的网卡和网络协议设置都没有问题。问题出在电脑与网络的衔接上。因此，该当检查网线和Hub及Hub的接口形状，假设无法ping通，只能阐明TCP/IP协议有问题。这时可以在电脑的控制面板的系统中，查看网卡能否曾经安装或能否出错。假设确定网卡和协议都正确的情况下，还是网络不通，可初步断定是Hub和双绞线的问题。假设确定Hub有缺点，应首先检查Hub的指示灯能否正常，假设先前那台电脑与Hub衔接的接口灯不亮阐明该Hub的接口有缺点(Hub的指示灯阐明插有网线的端口，指示灯亮，指示灯不能显示通讯形状)。 假设Hub没有问题，那么检查电脑到Hub的那一段双绞线和所安装的网卡能否有缺点。判别双绞线能否有问题可以经过双绞线测试仪或用两块三用表分别有两个人在双绞线的两端测试。主要测试双绞线的1、2和3、6四条线(其中1、2线用于发送，3、6线用于接纳)。假设发现有一根不通就要重新制造。 经过上面的缺点紧缩，我们就可以判别缺点出在网卡、双绞线或Hub上。 协议缺点 1、协议缺点的表现 协议缺点通常表现为以下几种情况： 电脑无法登录到效力器。 电脑在“网上邻居中既看不到本人，也无法在网络中访问其他电脑。 电脑在“网上邻居中能看到本