内网安全管理教材

第8章内网安全管理内网安全管理是指用户内部网络（如局域网内）的服务器、客户计算机的安全性，各部门、各应用系统之间的访问安全性，我们可以采用以下几种安全策略：（1）服务器硬盘数据的保护（2）交换机端口MAC地址限制（3．网络二层（数据链路层）的虚拟网VLAN技术（4）网络三层（网络层）访问控制列表AccessControlList技术（5）漏洞扫描系统（6）计算机病毒的防治（7）防止木马和恶意软件的入侵8.1服务器硬盘数据的保护服务器硬盘上的数据是最重要的数据，为防止别人非法窃取，可采用加密存储，如Windows的EFS就可实现此功能。为了保护数据存放的安全，还可采用磁盘阵列和数据备份等技术。

8.1.1磁盘阵列

1．磁盘阵列概述磁盘阵列（DiskArray）是将一组物理磁盘按照一定要求进行有机的组合，构成逻辑上的一个磁盘，使多个物理磁盘的读写同步，减少错误，提高效率和可靠度的技术。磁盘阵列技术可增加存储容量，提高磁盘数据读写速度，还可免除单块硬盘故障所带来的数据丢失，提高数据的安全性。磁盘阵列有两种方式可以实现，那就是“软件阵列”与“硬件阵列”。

2．几种磁盘阵列技术磁盘阵列有时简称RAID（RedundantArrayofInexpensiveDisks，廉价冗余磁盘阵列），RAID技术是一种工业标准，各厂商对RAID级别的定义也不尽相同，目前在业界应用较为广泛的有RAID0、RAID1和RAID5等几种。（1）RAID0

RAID0即条带，最少需要2个硬盘，它可把多个磁盘上的可用空间组合成一个逻辑卷，将数据分为同等大小的数据块并分别放到不同的磁盘上。它将一批数据（如：数据顺序为1，2，3，4，5，6）分别写到不同的磁盘上后，几个磁盘就可同时读写，因此，它的读写速度快，但不能容错。如图8-1所示。

RAID0是无数据冗余的存储空间条带化，具有成本低、读写性能极高、存储空间利用率高等特点，适用于音、视频信号存储、临时文件的转储等对速度要求极其严格的特殊应用。但由于没有数据冗余，其安全性大大降低，构成阵列的任何一块硬盘的损坏都将带来灾难性的数据损失。这种方式没有冗余功能，没有安全保护，只是提高了磁盘读写性能和整个服务器的磁盘容量。（2）RAID1

RAID1只支持2个硬盘，是两块硬盘数据完全镜像，安全性好，技术简单，管理方便，读写性能均好，它可以容错。因为它是一一对应的，所以它无法单块硬盘扩展，要扩展，必须同时对镜像的双方进行同容量的扩展。这种冗余方式为了安全起见，实际上只利用了一半的磁盘容量，磁盘总空间的利用率只有50%，数据空间浪费大，如图8-1所示。（3）RAID5

RAID5最少需要3个硬盘，是目前应用最广泛的RAID技术。它是将一批数据（如：数据顺序为1，2，3，4，5，6）分别写到不同的磁盘上，各块独立硬盘进行条带化分割，相同的条带区的数据进行奇偶校验（异或运算），校验数据平均分布在不同磁盘的不同位置处（如图8-1中的p）。它可以容错，写入速度较慢，读出速度较快（无坏盘时），以n块硬盘构建的RAID5阵列可以有n－1块硬盘的容量，磁盘空间利用率为（n-1）/n，存储空间利用率非常高。任何一块硬盘上的数据丢失，均可以通过校验数据推算出来。它和RAID3最大的区别在于校验数据是否平均分布到各块硬盘上。RAID5的不足之处是如果一块硬盘出现故障以后，整个系统的性能将大大降低，并且不允许两块硬盘同时坏。图8-1RAID0、1、5的工作原理

RAID1、RAID5阵列配合热插拔技术，可以实现数据的在线恢复，即当RAID阵列中的任何一块硬盘损坏时，不需要用户关机或停止应用服务，就可以更换故障硬盘，修复系统，恢复数据，对实现高可用系统具有重要的意义。例如，在服务器上配置4个硬盘，都连接在本机阵列卡的主通道上，其中3个硬盘配置成RAID5结构，另1个配制成在线空闲（Online-Space）结构，当阵列中任意一个硬盘崩溃时，在线空闲硬盘将自动加入阵列，并且根据容错设置自动恢复文件，从而保证数据的安全可靠。8.1.2WindowsServer2003磁盘卷的配置

1．WindowsServer2003的磁盘类型

WindowsServer2003中将磁盘分为了两种类型：基本磁盘和动态磁盘。基本磁盘与老系统兼容，可进行多重引导，是WindowsServer2003中默认的磁盘类型，最多可创建4个分区，基本磁盘一个盘符对应一个分区。一个分区设好后是不能扩展其容量的，使用基本磁盘不能创建磁盘阵列，基本磁盘可以转换为动态磁盘。动态磁盘对应的是卷，非系统的NTFS卷容量可以扩展（如：添加硬盘时），卷的数量无限制。只有动态磁盘才可创建简单卷、跨区卷和RAID0(带区卷)、RAID1(镜像卷)、RAID5等类型的卷。（1）简单卷：空间来自单个硬盘，类似于基本磁盘的一个主分区，但是可以利用同一个磁盘内的剩余空间将简单卷容量扩大。（2）跨区卷：可把2～32个磁盘上的未分配空间组合成一个逻辑卷，每块64K；跨区卷是将分配到一个磁盘上的卷空间充满，然后再从下一个磁盘开始，因此，它并不改进磁盘的读写性能，也不容错，即如果某块磁盘出现故障，全卷的数据都将丢失。（3）带带区区卷卷（（RAID0）：：即即上上述述的的RAID0。WindowsServer2003可把把2～32个磁磁盘盘上上的的可可用用空空间间组组合合成成一一个个逻逻辑辑卷卷，，每每块块64K。（4）镜镜像像卷卷（（RAID1）：：即即上上述述的的RAID1。（5）RAID-5卷：：即即上上述述的的RAID5。WindowsServer2003中RAID5卷最最少少需需要要3个硬硬盘盘，，最最多多可可支支持持32个硬硬盘盘。。下面面的的操操作作将将创创建建简简单单卷卷、、跨跨区区卷卷、、带带区区卷卷（（RAID0）、、镜镜像像卷卷(RAID1)、RAID5卷等等各各种种卷卷，，为为此此，，在在计计算算机机上上安安装装了了3块硬硬盘盘，，以以适适应应磁磁盘盘阵阵列列的的要要求求。。下面面的的操操作作都都是是在在磁磁盘盘管管理理程程序序中中进进行行的的，，因因此此，，要要先先启启动动磁磁盘盘管管理理程程序序。。在桌桌面面上上右右击击““我我的的电电脑脑””，，选选择择““管管理理””，，打打开开““计计算算机机管管理理””控控制制台台，，再再选选择择““磁磁盘盘管管理理””，，启启动动磁磁盘盘管管理理程程序序。。2．转转换换到到动动态态磁磁盘盘在准准备备转转换换到到动动态态磁磁盘盘前前，，请请确确认认磁磁盘盘上上只只装装有有一一个个WindowsServer2003操作作系系统统，，而而没没有有在在一一个个磁磁盘盘上上装装有有多多个个其其他他的的操操作作系系统统（（如如：：DOS、Windows98等）），，并并且且已已有有的的分分区区都都是是NTFS文件件系系统统，，否否则则，，转转换换后后有有可可能能引引起起数数据据丢丢失失。。在磁磁盘盘管管理理程程序序中中，，在在最最左左侧侧的的““磁磁盘盘0”对对应应位位置置处处右右击击鼠鼠标标，，选选择择““转转换换到到动动态态磁磁盘盘””命命令令。。说明明：：只只有有当当磁磁盘盘为为空空时时，，才才能能将将动动态态磁磁盘盘还还原原到到基基本本磁磁盘盘。。3．简简单单卷卷（1）创创建建简简单单卷卷①在在磁磁盘盘管管理理程程序序中中，，右右击击一一块块未未指指派派的的空空间间，，选选择择““新新建建卷卷””菜菜单单。。②在在打打开开的的新新建建卷卷向向导导的的““欢欢迎迎使使用用新新建建卷卷向向导导””对对话话框框中中单单击击““下下一一步步””按按钮钮，，打打开开““选选择择卷卷类类型型””对对话话框框，，在在此此，，选选择择““简简单单””单单选选钮钮。。（2）扩扩展展简简单单卷卷①在在创创建建好好的的以以NTFS文件件系系统统格格式式化化的的简简单单卷卷上上右右击击鼠鼠标标，，选选择择““扩扩展展卷卷””菜菜单单。。②在在打打开开的的扩扩展展卷卷向向导导的的““欢欢迎迎使使用用扩扩展展卷卷向向导导””对对话话框框中中单单击击““下下一一步步””按按钮钮，，打打开开““磁磁盘盘类类型型””对对话话框框，，在在此此设设置置要要扩扩展展的的容容量量及及其其所所在在的的磁磁盘盘。。如如果果选选择择了了其其他他的的磁磁盘盘，，将将简简单单卷卷扩扩展展到到了了其其他他磁磁盘盘内内，，则则它它就就变变成成了了跨跨区区卷卷。。简简单单卷卷可可以以成成为为带带区区卷卷或或镜镜像像卷卷的的成成员员之之一一，，但但在在它它变变成成跨跨区区卷卷后后，，就就不不具具备备成成为为带带区区卷卷、、镜镜像像卷卷或或RAID5卷成员的的功能。。③单击““下一步步”按钮钮，打开开“完成成扩展卷卷向导””对话框框，单击击“完成成”按钮钮即可。。说明：扩扩展简单单卷的容容量是基基本磁盘盘类型做做不到的的。（3）删除卷卷在建好的的卷上右右击鼠标标，选择择“删除除卷”菜菜单命令令，即可可将卷删删除。4．跨区卷卷在磁盘管管理程序序中，右右击一块块未指派派的空间间，选择择“新建建卷”菜菜单，在在打开的的新建卷卷向导的的“欢迎迎使用新新建卷向向导”对对话框中中单击““下一步步”按钮钮，打开开“选择择卷类型型”对话话框，在在此，选选择“跨跨区”单单选钮。。说明：跨跨区卷实实现了一一个盘符符跨越多多个物理理硬盘，，这一点点也是基基本磁盘盘类型做做不到的的。5．带区卷卷（RAID0）带区卷成成员中，，不可以以包含系系统卷和和启动卷卷。在磁磁盘管理理程序中中，右击击一块未未指派的的空间，，选择““新建卷卷”菜单单，在打打开的新新建卷向向导的““欢迎使使用新建建卷向导导”对话话框中单单击“下下一步””按钮，，打开““选择卷卷类型””对话框框，在此此，选择择“带区区”单选选钮。6．镜像卷卷（RAID1）（1）创建镜镜像卷在磁盘管管理程序序中，右右击一块块未指派派的空间间，选择择“新建建卷”菜菜单，在在打开的的新建卷卷向导的的“欢迎迎使用新新建卷向向导”对对话框中中单击““下一步步”按钮钮，打开开“选择择卷类型型”对话话框，在在此，选选择“镜镜像”单单选钮。。镜像卷的的创建有有一个重重新同步步的过程程，时间间稍长一一点。（2）添加镜镜像卷除了将两两个未指指派的空空间来组组合成镜镜像卷之之外，还还可以选选择一个个已经存存在的简简单卷与与一个未未指派的的空间组组合成镜镜像卷，，这就是是添加镜镜像卷。。添加镜像像卷的过过程中，，会将简简单卷内内的现有有数据复复制到另另一个成成员中。。①在一个个简单卷卷上右击击鼠标，，选择““添加镜镜像”菜菜单命令令。②在打开开的“添添加镜像像”对话话框中选选择参与与镜像的的另一个个磁盘。。③单击““添加镜镜像”按按钮，开开始镜像像同步过过程。（3）中断、、删除镜镜像整个镜像像卷被视视为一体体，如果果要将其其中任何何一个成成员独立立出来使使用，可可通过中中断镜像像或删除除镜像的的方法实实现。在镜像卷卷上右击击鼠标，，选择““中断镜镜像”菜菜单命令令，将镜镜像关系系中断。。中断后后，原来来的两个个成员都都会被改改为简单单卷，并并且其中中的数据据都会被被保留着着。在镜像卷卷上右击击鼠标，，选择““删除镜镜像”菜菜单命令令，再选选择将镜镜像卷中中的一个个成员删删除，被被删除成成员中的的数据将将被删除除，它所所占用的的磁盘空空间会被被改为未未指派的的空间。。如果卷卷成员是是系统卷卷或启动动卷，建建议采用用删除镜镜像的方方法取消消镜像。。7．RAID-5卷RAID-5卷成员中中，不可可以包含含系统卷卷和启动动卷。在在磁盘管管理程序序中，右右击一块块未指派派的空间间，选择择“新建建卷”菜菜单，在在打开的的新建卷卷向导的的“欢迎迎使用新新建卷向向导”对对话框中中单击““下一步步”按钮钮，打开开“选择择卷类型型”对话话框，在在此，选选择“RAID-5””单选钮。。说明：RAID-5卷内，从从磁盘容容量上看看，n个磁盘中中只有n-1个磁盘的的容量用用于存放放用户数数据，另另一个磁磁盘容量量用于存存放校验验数据。。在WindowsServer2003中创建带带区卷（（RAID0）和RAID-5卷时，卷卷成员中中不可以以包含系系统卷和和启动卷卷，而且且，在磁磁盘管理理器中能能看出有有几块物物理磁盘盘。如果果用硬件件阵列卡卡做RAID0或RAID5，则卷卷成员员中磁磁盘的的内容容没有有限制制，而而且用用户看看到只只是一一个大大硬盘盘（几几个磁磁盘的的集合合），，性能能也比比软件件阵列列方式式好，，只是是要多多花费费一块块硬件件阵列列卡的的资金金。8.1.3数据备备份1．数据据备份份的必必要性性对于与与IT基础设设施相相关的的业务务中断断来说说，由由于数数据丢丢失所所造成成的后后果是是最具具有破破坏性性的。。数据丢丢失以以后数数据备备份在在数据据恢复复中就就显得得极为为重要要了。。系统统数据据丢失失会导导致业业务难难以正正常进进行。。这时时，关关键的的问题题在于于如何何尽快快恢复复计算算机系系统，，使其其能正正常运运行。。如果果每一一台服服务器器或每每一个个局域域网都都配置置了数数据备备份设设备以以及相相应的的备份份软件件，那那么无无论网网络硬硬件还还是软软件出出了问问题，，都能能够很很轻松松地恢恢复，，保证证系统统的正正常运运行。。数据据备份份为当当今的的企业业服务务器网网络提提供了了全天天候快快速数数据保保护。。2．数据据备份份介质质（1）磁带带备份份（2）磁盘盘备份份（3）光盘盘备份份（4）远程程镜像像备份份远程镜镜像其其思想想是把把数据据副本本存放放于离离公司司设施施足够够远的的磁盘盘阵列列上，，这样样就不不会在在一次次灾难难中同同时丢丢失原原始数数据和和备份份数据据。远远程镜镜像可可以为为用户户提供供很高高的系系统可可靠性性。3．数据据备份份与磁磁盘阵阵列的的区别别数据备备份是是为了了在系系统遭遭受破破坏或或其他他特定定情况况下，，对数数据重重新加加以利利用。。目的的是数数据的的恢复复。磁盘阵阵列最最初的的研制制目的的是为为了组组合小小的廉廉价磁磁盘来来代替替大的的昂贵贵磁盘盘，以以降低低大批批量数数据存存储的的费用用，同同时也也希望望采用用冗余余信息息的方方式，，使得得磁盘盘失效效时不不会使使对数数据的的访问问受损损失，，从而而开发发出一一定水水平的的数据据保护护技术术。数据备备份与与磁盘盘阵列列都用用于保保护数数据，，数据据备份份使把把数据据备份份到其其他的的地方方，当当灾难难发生生后可可以恢恢复数数据，，它对对数据据的保保护是是长期期的。。而磁盘盘阵列列对数数据的的保护护是短短时间间的，，而且且一旦旦设备备出现现错误误将不不能恢恢复数数据。。因此数数据备备份与与磁盘盘阵列列的做做法和和效果果都是是不同同的，，它们们不能能互相相取代代。4．数据据备份份与存存档的的区别别（1）存档档数据的的存档档在许许多组组织中中变得得越来来越重重要，，这些些组织织需要要确保保将数数据的的一致致副本本作为为业务务或应应用程程序状状态的的长期期记录录来进进行维维护。。与关关键应应用程程序恢恢复相相对，，存档档通常常用于于审计计、分分析和和检索索不经经常访访问的的数据据。存档的的一个个理由由是对对数据据的长长期保保存。。具有有一定定的使使用价价值或或历史史价值值要进进行长长期保保存，，在急急需的的时候候可以以对它它们进进行恢恢复，，其经经济意意义和和历史史意义义是不不容置置疑的的。（2）数据据备份份与存存档的的区别别数据备备份与与存档档有很很多共共性，，但同同样也也有着着很多多的不不同。。存档的的目的的不是是为了了保障障数据据安全全，而而只是是为了了实现现数据据存储储。数据备备份是是为了了保障障数据据安全全，使使数据据丢失失时候候能够够很快快恢复复。数据存存档是是数据据存储储解决决方案案，它它是指指数据据在不不同存存储介介质之之间移移动，，与数数据备备份完完全不不同，，这些些数据据不修修改、、不删删除，，长期期保存存，类类似于于单位位的档档案。。5．数据据备份份方式式（1）在线线备份份方式式在线备备份(On-lineBackup)，有时时也叫叫做热热备份份，是是指对对正在在运行行的数数据库库或应应用进进行备备份。。通常常对打打开的的数据据库和和应用用是禁禁止备备份操操作的的，然然而现现在有有的计计算机机应用用系统统要求求24小时运运转（（例如如银行行的ATM业务）），因因此，，要求求数据据存储储管理理软件件能够够对在在线的的数据据库和和应用用进行行备份份。在在线备备份常常采用用磁盘盘作为为存储储介质质。在线备备份的的优点点：可可在表表空间间或数数据文文件级级备份份，备备份时时间短短；备备份时时数据据库仍仍可使使用；；可达达到秒秒级恢恢复（（恢复复到某某一时时间点点上））；可可对几几乎所所有数数据库库实体体作恢恢复；；恢复复是快快速的的，在在大多多数情情况下下在数数据库库仍工工作时时恢复复。在线备备份的的不足足：不不能出出错，，否则则后果果严重重；若若热备备份不不成功功，所所得结结果不不可用用于时时间点点的恢恢复；；维护护因难难，所所以要要特别别仔细细小心心，不不允许许失败败。（2）近线线备份份方式式企业数数据量量是日日益增增加的的，而而备份份时间间却要要求不不断缩缩小。。解决决该问问题的的方法法之一一就是是将数数据分分段备备份到到近线线存储储，以以进行行更快快的备备份和和恢复复，这这就是是近线线备份份（NearOnlineBackup）。所谓的的近线线备份份，就就是指指所保保存的的数据据并不不是经经常用用到的的，或或者说说数据据的交交易量量并不不大。。而高高使用用率的的数据据将会会被存存放在在在线线存储储设备备上，，对这这些的的设备备要求求是寻寻址迅迅速、、传输输率高高。因因此，，近线线备份份对性性能要要求相相对来来说并并不高高，但但由于于不常常用的的数据据要占占总数数据量量的大大多数数，这这也就就意味味着近近线备备份设设备首首先要要保证证的是是容量量。近近线备备份成成本较较低，，可在在各种种应用用程序序间共共享，，具有有多功功能、、灵活活的特特点。。可将磁磁盘作作为存存储介介质做做在线线备份份，再再将磁磁盘上上的不不常用用数据据备份份到磁磁带上上作为为近线线备份份。（3）离线线备份份方式式离线备备份（（OffLineBackup），是是指在在数据据库关关闭或或应用用关闭闭后对对数据据进行行备份份，离离线备备份通通常采采用全全备份份。离线备备份的的优势势：是是非常常快速速的备备份方方法（（只需需拷贝贝文件件），，容易易归档档（简简单拷拷贝即即可）），容容易恢恢复到到某个个时间间点上上（只只需将将文件件再拷拷贝回回去）），能能与归归档方方法相相结合合，作作数据据库““最新新状态态”的的恢复复，低低度维维护，，高度度安全全。离线备备份的的问题题：单单独使使用时时，只只能提提供到到“某某一时时间点点上””的恢恢复；；在实实施备备份的的全过过程中中，数数据库库必须须要作作备份份而不不能作作其他他工作作。也也就是是说，，在离离线备备份过过程中中，数数据库库必须须是关关闭状状态；；若磁磁盘空空间有有限，，只能能拷贝贝到磁磁带等等其他他外部部存储储设备备上，，速度度会很很慢；；不能能按表表或按按用户户恢复复。离线备备份常常采用用将数数据直直接备备份到到磁带带上的的方式式。（4）三种种备份份方式式的结结合在线备备份特特点是是：备备份时时间短短，恢恢复速速度快快。所所得结结果不不可用用于时时间点点的恢恢复；；维护护困难难。近线备备份特特点是是：备备份容容量大大，经经常与与其他他方式式一起起使用用。离线备备份特特点是是：备备份速速度快快，低低度维维护，，高度度安全全。备备份过过程中中数据据库必必须关关闭。。适用用于所所有模模式的的数据据库。。一般而而言，，企业业只要要有““在线线”与与“离离线””的备备份系系统即即够使使用。。6．备份份类型型备份有有五种种类型型。（1）正常常备份份正常备备份复复制所所有选选中的的文件件，并并且备备份后后标记记每个个文件件（即即清除除文件件的““存档档”属属性））。使使用正正常备备份，，用户户只需需用最最近备备份的的文件件或磁磁带的的副本本来还还原所所有文文件。。第一一次创创建备备份集集时，，通常常都使使用正正常备备份。。（2）副本本备份份副本备备份复复制所所有选选中的的文件件，但但不将将这些些文件件标记记为已已经备备份（（即不不清除除文件件的““存档档”属属性））。如如果，，用户户想在在正常常和增增量备备份之之间备备份文文件，，该复复制是是很有有用的的，因因为该该复制制不影影响其其他备备份操操作。。说明：：正常常备份份与副副本备备份非非常类类似，，它们们之间间的差差别只只是对对备份份过的的文件件作不不做标标记。。（3）增量量备份份增量备备份只只备份份上一一次正正常或或增量量备份份后，，创建建或改改变的的文件件。备备份后后标记记文件件（即即清除除文件件的““存档档”属属性））。如如果使使用正正常备备份和和增量量备份份的组组合，，用户户需要要有上上一次次的正正常备备份和和所有有的增增量备备份集集，以以便还还原数数据。。（4）差异异备份份差异备备份只只备份份上一一次正正常或或增量量备份份后，，创建建或改改变的的文件件。备备份后后不标标记为为已备备份文文件（（即不不清除除文件件的““存档档”属属性））。如如果使使用正正常备备份和和差异异备份份的组组合，，还原原数据据时需需要有有上一一次的的正常常备份份和差差异备备份。。说明：：增量量备份份与差差异备备份非非常类类似，，它们们之间间的差差别只只是对对备份份过的的文件件作不不做标标记。。（5）每日日备份份每日备备份复复制当当天修修改的的所有有选中中的文文件。。已备备份的的文件件在备备份后后不做做标记记（即即不清清除文文件的的“存存档””属性性）。。组合使使用正正常备备份和和增量量备份份来备备份数数据时时，需需要最最少的的存储储空间间，也也是最最快的的备份份方法法。然然而，，恢复复文件件是耗耗时和和困难难的，，因为为备份份集可可能存存储在在几个个磁盘盘或磁磁带上上。例如，，在星星期一一进行行完全全备份份，在在星期期二至至星期期五进进行增增量备备份。。如果果在星星期五五数据据被破破坏了了，则则你需需要还还原星星期一一正常常的备备份和和从星星期二二至星星期五五的所所有增增量备备份。。这种种策略略备份份数据据时间间较少少，但但还原原数据据时耗耗时较较多。。组合使使用正正常备备份和和差异异备份份来备备份数数据时时，耗耗时较较多，，尤其其当数数据经经常更更改时时。但但它更更容易易还原原数据据，因因为，，备份份集通通常只只存储储在少少量磁磁盘或或磁带带上。。例如，，在星星期一一进行行完全全备份份，在在星期期二至至星期期五进进行差差异备备份。。如果果在星星期五五数据据被破破坏了了，则则你只只需要要还原原星期期一完完全的的备份份和星星期四四的差差异备备份。。这种种策略略备份份数据据需要要较多多的时时间，，但还还原数数据使使用较较少的的时间间。8.1.4WindowsServer2003中的数数据备备份1．WindowsServer2003备份概概述使用WindowsServer2003中的备备份，，可以以实现现如下下目的的。（1）在硬硬盘上上备份份选择择的文文件和和文件件夹。。（2）将备份文文件和文件件夹还原到到硬盘或其其他任何可可以访问的的磁盘上。。（3）创建自动动系统恢复复（ASR）文件及磁磁盘，如果果系统文件件损坏或意意外被删除除，该文件件及磁盘可可以帮助用用户修复它它们。备份的系统统状态数据据包括注册册表、系统统启动文件件、类注册册数据库、、域控制器器上的活动动目录数据据库及SYSVOL共用文件夹夹、证书服服务器上的的证书服务务数据库。。（4）备份任何何远程存储储数据和存存储在已装装入驱动器器的任何数数据。（5）计划定期期备份以保保持备份数数据是最新新的。可以备份和和还原FAT或NTFS文件系统卷卷上的数据据。说明：从哪哪种文件系系统卷上备备份的数据据，还原时时应还原到到原文件系系统卷中，，以避免数数据和一些些系统特性性的丢失。。备份可将数数据备份到到文件或磁磁带上。将将数据备份份到文件时时，必须指指定文件保保存的名称称和位置。。备份文件件的扩展名名通常为.bkf，但是，用用户可以将将该扩展名名更改为喜喜欢的扩展展名。备份份文件可以以保存到硬硬盘、软盘盘或任何其其他可以保保存文件的的可移动或或不可移动动的媒体介介质。将数据备份份到磁带时时，计算机机必须接有有磁带设备备。磁带可可由“计算算机管理””工具中““存储”下下的“可移移动存储””项来管理理。尽管备备份与可移移动存储可可以一同工工作，但可可能要使用用“可移动动存储”项项来执行某某些维护任任务，例如如，准备和和弹出磁带带。2．WindowsServer2003备份操作步步骤一个简单的的备份操作作有如下4个步骤。（1）选择备份份的文件、、文件夹和和驱动器。。（2）为备份数数据选择存存储媒体或或文件位置置。（3）设置备份份选项。（4）开始备份份。下面介绍WindowsServer2003中备份与还还原的操作作步骤。3．创建备份份作业（1）通过“开开始/所有程序/附件/系统工具/备份”菜单单命令打开开“备份或或还原向导导”对话框框。（2）可以单击击“下一步步”按钮，，按照向导导的提示继继续操作下下去，在此此我们不这这么做。我我们在“高高级模式””处单击鼠鼠标，打开开“备份工工具”控制制台。（3）在“备份份工具”控控制台中选选择“欢迎迎”选项卡卡，单击““备份向导导”按钮，，打开“欢欢迎使用备备份向导””对话框，，单击“下下一步”按按钮，打开开“要备份份的内容””对话框，，选择“备备份选定的的文件、驱驱动器或网网络数据””单选钮，，然后，按按向导提示示一步步操操作。（4）在“完成成备份向导导”对话框框，可单击击“完成””按钮，开开始备份，，也可以单单击“高级级”按钮，，对备份选选项进行设设置。（5）单击“高高级”按钮钮，打开““备份类型型”对话框框，在“选选择要备份份的类型””下拉列表表框中可选选择备份类类型。然后后，按向导导提示一步步步操作。。说明：对某某文件或文文件夹如果果是进行第第1次备份，一一般选择““正常”类类型，如果果是进行第第2次备份以后后的多次备备份，可选选择“增量量”或“差差异”类型型，以降低低对存储设设备空间的的占用。4．制定备份份计划在“备份””控制台中中使用“欢欢迎”选项项卡中“备备份向导””开始进行行备份，或或使用“计计划作业””选项卡中中“添加作作业”按钮钮调出“备备份向导””开始进行行备份。当进行到“完成备份向向导”对话框时选选择“高级级”按钮，，对备份的的有关选项项进行设置置，当进行行到“备份份时间”对对话框时，，选择“以以后”单选选钮，在““作业名””栏中输入入一个作业业名，再单单击“设定定备份计划划”按钮，，打开“计计划作业””对话框，，在此可设设定以后备备份的计划划。说明：制定定备份计划划时，一般般备份时间间最好选择择在非工作作时间。5．还原数据据文件或文件件夹的还原原操作一般般有如下4个步骤。（1）选择要还还原的文件件、文件夹夹。（2）为备份文文件和文件件夹还原的的位置。（3）设置还原原选项。（4）开始还原原。如果域中有有多个域控控制器，可可用两种方方法还原：：通过复制制另一个域域控制器来来还原活动动目录，或或者从备份份媒体中还还原活动目目录。如果域中只只有一个域域控制器，，则只能从从备份媒体体中还原活活动目录。。如果可能，，可使用自自动系统恢恢复（ASR）文件修复复系统。如如果使用ASR仍不能修复复系统，或或计算机出出现硬件故故障而必须须重装整个个计算机，，重装WindowsServer2003，并且保证证磁盘卷的的数量和容容量与以前前的系统相相同或者更更大，可从从备份媒体体中还原活活动目录。。使用备份来来还原系统统状态，将将还原活动动目录、文文件复制服服务（包含含SYSVOL）和凭证服服务（如果果安装了的的话）。如如果重装WindowsServer2003时换了计算算机或网卡卡，就需要要手工配置置网络设置置。为了在域控控制器还原原系统状态态数据，必必须在WindowsServer2003启动时按下下F8功能键，以以目录服务务还原模式式启动计算算机。使用用这种模式式，可以还还原活动目目录和系统统卷（SYSVOL文件夹）。。如果以安安全模式启启动计算机机，应当按按照使用安安全和其他他启动选项项中的指令令进行，并并单击“目目录服务还还原模式””。如果还原系系统状态数数据而没有有为被还原原的数据指指定还原的的备用位置置，备份将将删除当前前系统状态态数据，且且用正在还还原的系统统状态数据据代替。如果还原系系统状态数数据指定了了还原的备备用位置，，则只有注注册表文件件、系统卷卷、目录文文件和系统统启动文件件被还原到到指定的还还原备用位位置，活动动目录数据据库、凭证证服务数据据库和组件件服务数据据库都不会会被还原。。下面介绍文文件或文件件夹的还原原操作步骤骤。在“备份””控制台中中选择“欢欢迎”选项项卡，单击击“还原向向导”按钮钮，打开““欢迎使用用还原向导导”对话框框，单击““下一步””按钮，打打开“还原原项目”对对话框，在在此对话框框中选择要要还原的文文件或文件件夹。然后后，按向导导提示一步步步操作。。8.2交换机端口口MAC地址限制在用户的局局域网中，，如果有非非法用户使使用自带的的笔记本电电脑连入网网络，并使使用合法账账号上网，，那么他就就能窃取服服务器的资资料，甚至至破坏服务务器。这类类问题该如如何杜绝呢呢？在交换机的的端口限制制MAC地址，可以以有效地防防止非法用用户的入侵侵。我们知道，，计算机是是通过网卡卡来访问网网络的，而而每一块网网卡具有全全球惟一的的MAC地址，就像像每个人具具有惟一的的身份证号号码一样。。交换机““端口MAC地址限制””是指在交交换机上指指定（可以以是自动学学习，也可可以是手工工指定）能能访问该端端口的MAC地址，可以以是一个或或多个地址址，而在指指定的MAC地址范围之之外的网卡卡就不能通通过该端口口上网。每个工作站站上网时，，交换机在在自己的内内存中查找找所有被允允许的MAC，如果能够够匹配，交交换机就允允许该工作作站上网，，否则交换换机自动禁禁用该端口口，使非法法工作站无无法上网。。在基于CiscoIOS的Catalyst交换机的在在全局配置置模式下，，使用下面面的命令可可给端口设设置静态MAC地址。mac-address-tablestatic<MAC地址>vlan<VLAN号>interface<模块号/端口号表>说明：该命命令可分配配一个静态态的MAC地址给某些些端口，即即使重新启启动交换机机，这个地地址也仍然然会存在。。交换机不会会去更新静静态MAC地址表项。。默认情况况下，交换换机的MAC地址表项都都是动态的的，会定期期得到更新新。在某端口上上设置了静静态MAC地址后，该该端口将只只允许这个个MAC地址对应的的设备连接接在该端口口上进行通通信。例如，命令令mac-address-tablestatic5254.AB12.3A5Cvlan1interfacefa0/1，就是在端端口1上设置一个个静态的MAC地址5254.AB12.3A5C。在特权模式式下，利用用showmac-address-table命令可查看看MAC地址表。8.3VLAN的设置8.3.1VLAN概述虚拟局域网网（VLAN或VirtualLAN）在逻辑上上等于OSI七层模型上上第二层的的广播域，，它与具体体的物理网网及地理位位置无关。。在传统的的共享局域域网或者交交换局域网网环境中，，整个网络络处于同一一个广播域域中（即所所谓的同一一个LAN），这样当当大量用户户发送广播播信息时容容易形成广广播风暴，，使得整个个网络瘫痪痪。虚拟网网技术把传传统的广播播域按需要要分割成各各个独立的的广播域（（LAN），由于广广播域的缩缩小，网络络中广播包包消耗带宽宽所占的比比例大大降降低，网络络的性能得得到显著的的提高。利用虚拟网网技术的这这些特点将将不同的部部门或不同同的应用系系统分配于于不同的VLAN之中，实现现不同部门门或不同应应用系统的的逻辑隔离离。VLAN的功能及其其划分都是是在支持VLAN的交换机上上通过网管管软件实现现的，因此此，用户不不仅可以方方便地划分分VLAN，以后还可可以随时修修改VLAN的配置。这这给用户的的管理带来来极大的灵灵活性。虚拟网的划划分可以基基于如下规规则（policy）：交换机机端口、IP地址和子网网、网卡（（MAC）地址或者者上述三种种规则的组组合。在一个交换换的VLAN环境下，数数据包只在在相同的广广播域中的的端口之间间才进行交交换。VLAN在第2层执行网络络分区和通通信量分离离，所以，，如果没有有像路由器器这样的第第3层设备，VLAN之间就不能能通信，因因为是网络络层（第3层）设备负负责在多个个广播域之之间通信。。而路由器的的包过滤或或防火墙的的功能可被被用来对不不同虚拟网网间用户的的通信做逐逐项检查，，通信可以以按照网络络管理人员员的要求被被允许或禁禁止，从而而实现不同同部门或不不同应用系系统间的访访问控制，，提高了网网络的安全全性。8.3.2VLAN的设置步骤骤以Cisco的Catalyst交换机为例例，在每台台交换机上上都要做以以下类似的的设置。1．设置VTP域名和模式式在特权模式式下键入vlandatabase，开始有关关的设置。。#vlandatabase(vlan)#vtpdomain<域名>(vlan)#vtp{server|client|transparent}(vlan)#vtppruning说明：（1）这一步只只在VLAN要跨交换机机时使用。。（2）VTP意为VLANTrunkingProtocol，即VLAN主干协议，，主要用于于在交换机机间传递VLAN信息。（3）VTP域只有在server和transparent模式下才可可创建VLAN，常用的为为server模式，这也也是Catalyst交换机的默默认域模式式。2．将交换机机之间的级级连口trunk打开在级连口的的端口配置置模式下使使用switchportmodetrunk命令，将级级连口trunk打开。说明：（1）这一步只只在VLAN要跨交换机机时使用。。（2）在不同交交换机上设设置同一个个VLAN时，他们的的VTP域名和<vlan号>必须相同。。（3）trunk端口属于所所有的VLAN。3．添加（创创建）VLAN在特权模式式下键入如如下命令。。#vlandatabase(vlan)#vlan<vlan号>[name<vlan名>]4．添加端口口到VLAN中在端口配置置模式下键键入如下命命令。(config-if)#switchportmodeaccess(config-if)#switchportaccessvlan<vlan号>5．VLAN之间的路由由设置在第3层交换机中中，由于VLAN和路由模块块同处于一一台交换机机中，VLAN相当于路由由器的直连连网段，其其路由信息息会被直接接收集到路路由表中，，所以VLAN之间的路由由无须人工工配制，只只要使用如如下命令为为每个要进进行数据路路由的VLAN对应的VLAN接口分配一一个惟一的的IP地址，再将将相应VLAN中的各计算算机的默认认网关设置置为该VLAN接口的IP地址，即可可实现VLAN之间的第三三层通信。。(config)#interfacevlan<vlan号>(config-if)#ipaddress<IP地址><子网掩码>(config-if)#noshutdown8.4访问控制列列表路由器（或或第三层交交换机）上上的访问控控制列表（（AccessControlList，ACL）功能可实实现包过滤滤的功能。。ACL选择路由器器的端口作作为控制点点，检查每每一个进出出的数据包包。ACL是基于网络络层协议的的，支持IP、IPX等多种协议议。对于IP，ACL可检查IP包的源地址址、目的地地址、TCP和UDP、TCP和UDP上的端口号号等深层信信息，提供供了良好的的控制能力力。通过交换机机上VLAN功能和路由由器的ACL功能的有机机结合，可可分离用户户中不同部部门的不同同应用，保保证用户网网的内部访访问安全性性。包过滤功能能可以控制制控制数据据包在网络络中的传输输，通过包包过滤可以以限制网络络流量以及及增加网络络安全性。。包过滤功功能对路由由器本身产产生的数据据包不起作作用。当数数据包进入入某个端口口时，路由由器首先检检查该数据据包是否可可以通过路路由或桥接接方式送出出去，如果果不能，则则路由器将将丢掉该数数据包，如如果该数据据包可以传传送出去，，则路由器器将检查该该数据包是是否满足该该端口中定定义的包过过滤规则，，如果包过过滤规则不不允许该数数据包通过过，则路由由器将丢掉掉该数据包包。Cisco路由交换设设备中有两两种方式的的包过滤规规则：（1）标准包过过滤。该种种包过滤只只对数据包包中的源地地址进行检检查，在要要求控制级级别较低的的情况下使使用。（2）扩展包过过滤。该种种包过滤对对数据包中中的源地址址、目的地地址、协议议及端口号号都进行检检查，常用用在更加复复杂的控制制数据包的的传输，它它可以满足足到端口级级的要求。。配置置包包过过滤滤分分为为两两个个步步骤骤，，先先定定义义包包（（标标准准或或扩扩展展））过过滤滤规规则则，，然然后后再再引引用用包包过过滤滤规规则则。。1．定义标准包包过滤规则在全局配置状状态下输入如如下格式的命命令。access-list<标识号码><deny︱permit><源地址><通配符>2．定义扩展包包过滤规则在全局配置状状态下输入如如下格式的命命令。access-list<标识号码><deny︱permit><协议标识><源地址><通配符><目地地址><通配符>Cisco路由交换设备备中access-list规定的标识号号码如下：IP标准包过滤标标识号码范围围为1～99；IP扩展包过滤标标识号码范围围为100～199；可以在指定范范围内任意选选择一个标识识号码定义相相应的包过滤滤规则，deny参数表示禁止止，permit表示允许。通配符也为32位二进制数字字，并与相应应的地址一一一对应。路由由器将检查与与通配符中的的“0”（2进制）位置一一样的地址位位，对于通配配符中“1”（2进制）位置一一致的地址位位，将忽略不不检查。如果要检查的的是一台主机机，通配符可可写为。通配符在书书写上也可看看成是子网掩掩码的反码。。在命令中地地址和通配符符的组合可使使用any代表匹配所有有地址，使用用host<ip地址>代表一台主机机，等同于<ip地址>。一个包过滤规规则可以包含含一系列检查查条件，即可可以用同一标标识号码定义义一系列access-list语句，路由器器将从最先定定义的条件开开始依次检查查，如数据包包满足某个条条件，路由器器将不再执行行下面的包过过滤条件，如如果数据包不不满足规则中中的所有条件件，Cisco路由交换设备备默认最后一一句为ACL中加入了denyanyany，也就是丢弃弃所有不符合合条件的数据据包。3．引用包过滤滤规则在需要包过滤滤功能的端口口，输入如下下格式的命令令。ipaccess-group<包过滤规则标标识号><in︱out>其中in表示对进入该该端口的数据据包进行检查查，out表示对要从该该端口送出的的数据包进行行检查。如果不不进行行步骤骤3的配置置，则则所定定义的的包过过滤规规则根根本不不会执执行。。例：标标准包包过滤滤配置置在全局局配置置模式式下，，定义义标准准包过过滤规规则access-list10denyhost（或access-list10deny）上面这这条命命令是是将所所有来来自地址的的数据据包丢丢弃。。access-list10deny55上面这这条命命令是是将来来自/24网段的的所有有计算算机数数据包包进行行过滤滤丢弃弃。access-list10permitany上面这这条命命令是是允许许其他他任何何地址址的计计算机机进行行通信信。引用包包过滤滤规则则intvlan1ipaccess-group10out在VLAN1中引用用10号包过过滤规规则，，对从从该端端口送送出的的数据据包进进行检检查。。例：扩扩展包包过滤滤配置置在全局局配置置模式式下，，定义义扩展展包过过滤规规则access-list101denytcp00eq23上面这这条命命令是是不允允许主主机访问主主机00上的telnet应用。。access-list101permitipanyany上面这这条命命令是是允许许其他他任何何地址址的计计算机机进行行通信信。引用包包过滤滤规则则ints0/0ipaccess-group101in在s0/0端口中中引用用101号包过过滤规规则，，对进进入该该端口口的数数据包包进行行检查查。8.5漏洞扫扫描系系统漏洞是是存在在于系系统中中的一一个弱弱点或或者缺缺点。。广义义的漏漏洞是是指非非法用用户未未经授授权获获得访访问或或提高高其访访问层层次的的硬件件或软软件特特征。。实际上上，漏漏洞可可以是是任何何东西西，许许多用用户非非常熟熟悉的的特殊殊的硬硬件和和软件件存在在漏洞洞，如如PC机的CMOS口令在在CMOS的电池池供电电不足足、不不能供供电或或被移移走情情况下下会丢丢失CMOS信息也也是漏漏洞；；操作作系统统、浏浏览器器、TCP/IP、免费费电子子邮箱箱等都都存在在漏洞洞。微软对对漏洞洞的明明确定定义：：“漏漏洞是是可以以在攻攻击过过程中中利用用的弱弱点，，可以以是软软件、、硬件件、程程序缺缺点、、功能能设计计或者者配置置不当当等。。”每个系系统都都有漏漏洞，，不论论在系系统安安全性性上投投入多多少财财力，，攻击击者仍仍然可可以发发现一一些可可利用用的特特征和和配置置缺陷陷。现现在，，安全全漏洞洞所引引发的的安全全事件件愈演演愈烈烈，通通过系系统漏漏洞传传播的的病毒毒、针针对漏漏洞进进行的的攻击击给我我们造造成了了巨大大的破破坏，，而广广大用用户往往往在在病毒毒爆发发之后后或者者安全全事件件出现现之后后才想想到进进行漏漏洞的的弥补补，而而此时时损失失已经经无法法弥补补。漏洞扫扫描是是一种种自动动检测测计算算机安安全脆脆弱点点的技技术。。扫描描程序序集中中了已已知的的常用用攻击击方法法，针针对系系统可可能存存在的的各种种脆弱弱点进进行扫扫描，，输出出扫描描结果果，以以便审审查人人员分分析并并发现现系统统存在在的漏漏洞。。扫描描程序序还可可以通通过TCP/IP端口查查询，，记录录目标标响应应的情情况，，收集集相关关的有有用信信息，，以发发现网网络系系统的的安全全漏洞洞。利利用漏漏洞扫扫描技技术可可以快快速地地在大大范围围内发发现已已知的的系统统安全全漏洞洞。漏洞扫扫描系系统是是在安安全事事件出出现之之前就就对可可能出出现问问题的的漏洞洞进行行侦测测、弥弥补和和评估估，它它指出出了哪哪些攻攻击是是可能能的，，因此此成为为安全全方案案的一一个重重要组组成部部分。。目前，，漏洞洞扫描描产品品可以以分为为基于于网络络的扫扫描和和基于于主机机的扫扫描这这两种种类型型。基于网网络的的漏洞洞扫描描器，就是是通过过网络络来扫扫描远远程计计算机机中的的漏洞洞。一一般来来说，，基于于网络络的漏漏洞扫扫描工工具可可以看看作为为一种种漏洞洞信息息收集集工具具，它它根据据不同同漏洞洞的特特性，，构造造网络络数据据包，，发给给网络络中的的一个个或多多个目