第12章-局域网性能与安全管理

计算机网络技术与基础实训第12章局域网性能与安全管理学习要点了解网络安全的基本知识掌握用户账户与口令的安全设置掌握性能监视器的设置和使用掌握网络防病毒软件和网络防火墙的安装与设置了解计算机端口安全管理12.1设置本地安全策略在没有活动目录集中管理的情况下，本地管理员必须为计算机进行本地安全设置，例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算机、指派用户权限等。将这些安全设置分组管理，就组成了WindowsServer2003的本地安全策略。

WindowsServer2003在“管理工具”对话框中提供了“本地安全设置”控制台，可以集中管理本地计算机的安全设置原则。使用管理员账户登录到本地计算机，即可打开“本地安全设置”对话框

12.1设置本地安全策略1．密码安全设置WindowsServer2003的密码原则主要包括以下4项：密码必须符合复杂性要求，密码长度最小值，密码使用期限,强制密码历史等。12.1设置本地安全策略2．账户锁定策略密码安全账户锁定原则包括如下设置：账户锁定阈值、账户锁定时间和重设账户锁定计算机的时间间隔。账户锁定阈值默认为“0次无效登录”，可以设置为5次或更多的次数以确保系统安全。12.1设置本地安全策略3．用户权限分配

WindowsServer2003将计算机管理各项任务设置为默认的权限，例如，从本地登录系统、更改系统时间、从网络连接到该计算机、关闭系统等。系统管理员在新增了用户账户和组账户后，如果需要指派这些账户管理计算机的某项任务，可以将这些账户加入到内置组，但这种方式不够灵活。系统管理员可以单独为用户或组指派权限，这种方式提供了更好的灵活性。用户权限的分配在“本地安全设置”对话框的“本地策略”下设置。12.2使用性能工具12.2.1性能对象和计数器

WindowsServer2003系列操作系统从各个组件中获得性能数据，该数据被描述为性能对象，通常以生成数据的组件命名。例如，处理器（Processor）对象是对系统上处理器性能数据的收集。性能对象内置于操作系统中，通常对应于主要的硬件、软件组件，例如内存、处理器以及DNS、终端服务等。12.2使用性能工具12.2.2使用系统监视器监视性能

执行“开始”→“程序”→“管理工具”命令，在“管理工具”对话框中可以看到一个“性能”图标。双击“性能”图标。打开“性能”对话框。该性能工具提供了详细的性能监视功能，包括“系统监视器”和“性能日志和警报”两项。

12.2使用性能工具12.2.3性能日志和警报要监视简单服务器配置的性能，需要收集某个时间段内的3种不同类型的性能数据:

一般性能数据：此信息可帮助管理员发现短期趋势，如内存泄漏等。经过一段时间的数据收集后，可以求出结果的平均值并用更紧凑的格式保存这些结果。这种存档数据可帮助管理员在业务增长时作出容量规划，并有助于管理员在日后评估上述规划的效果。

基准性能数据：此信息可帮助管理员发现随着时间的推移而慢慢发生的更改。通过将系统的当前状态与历史记录数据相比较，可以排除系统问题并调整系统。

用于服务级别报告的数据：此信息可帮助管理员确保系统达到特定的服务或性能级别，收集和维护该数据的频率取决于特定的业务需要。

12.3网络监视器12.3.1安装网络监视器WindowsServer2003操作系统提供的“网络监视器”组件可以捕获所在计算机收到或发出的帧。要安装网络监视器，可以使用如下步骤:①在“控制面板”对话框中，双击“添加或删除程序”图标。②单击“添加/删除Windows组件”按钮，打开Windows组件向导对话框。③在“Windows组件向导”对话框中，选择“管理和监视工具”选项，然后单击“详细信息”按钮。④在“管理和监视工具的子组件”对话框中，选择“网络监视工具”复选框，然后单击“确定”按钮。⑤如果系统提示您提供其他文件，插入操作系统的安装光盘，或输入指向网络上文件位置的路径。安装完成后，可以在“开始”→“程序”→“管理工具”中找到网络监视器。12.3网络监视器12.3.2监视网络通信首次启动网络监视器时，提示用户选择一个网络连接以进行网络数据捕获。打开后的网络监视器，该窗口包括4个窗格:

图表窗格：以图形显示当前捕获数据的总体捕获统计信息。 会话统计窗格：以每个会话为单位显示统计信息。 机器统计窗格：说明工作站的网络活动状态。 统计总数窗格：可以从整体上查看本地计算机发出和收到的网络通信。

12.4防火墙软件防火墙是近年发展起来的一种保护计算机网络安全的访问控制技术。它是一个用以阻止网络中的黑客访问某个机构网络的屏障，在网络边界上，通过建立起网络通信监控系统来隔离内部和外部网络，以阻挡通过外部网络的入侵。

12.4防火墙软件12.4.1防火墙概述1．防火墙的概念（1）防火墙的基本功能。防火墙应具有如下基本功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。（2）防火墙存在的缺陷。防火墙可能存在如下一些缺陷：防火墙不能防范不经由防火墙的攻击；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能防止数据驱动式攻击。12.4防火墙软件2．防火墙的类型按照防火墙保护网络使用方法的不同，可将其分为3种类型：网络层防火墙应用层防火墙链路层防火墙12.4防火墙软件12.4.2安装天网防火墙软件

天网防火墙是由中国人自行设计的防攻击软件，通过直观、易用的界面来实现强大系统管理功能。该软件内置了一些不同安全级别和IP规则，非常适合普通用户使用。天网防火墙还可以对所有来自外部计算机的访问进行过滤，发现未授权的访问请求后立即拒绝，随时保护用户系统的信息安全。另外，对熟悉网络协议的用户，可以根据自己实际情况，添加、删除、修改安全规则，保护本机安全。即使用户对网络不熟悉，使用天网提供的默认设置，也同样可以保护用户系统的安全。访问记录可以详细地记录是否有入侵者访问用户系统，当出现异常情况时，报警系统可以随时提醒用户。12.5端口安全管理端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，只打开需要使用的端口会比较安全。在网络技术中，端口大致有两种含义：一是物理意义上的端口，比如ADSLModem集线器、交换机、路由器，用于连接其他网络设备的接口，如RJ-45端口、SC端口等；二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围为0～65535，比如用于浏览网页服务的80端口，用于FTP服务的2l端口等。12.5端口安全管理12.5.1端口分类按端口号分布动态端口知名端口按协议类型UDPTCPICMP等IP12.5端口安全管理12.5.2端口查看在