校园网络管理培训讲解

资源描述

《校园网络管理培训讲解》由会员分享，可在线阅读，更多相关《校园网络管理培训讲解（118页珍藏版）》请在金锄头文库上搜索。

1、校园网络管理培训于振洋 QQ:106994961 TEL:13952335633 淮阴工学院计算机工程学院2014.10 培训内容交换机(三层) 路由器防火墙服务器管理网络实例介绍交换机(三层) 交换机基本概念及功能交换机应用举例交换机基本概念及功能按照网络OSI七层模型来划分，可以将交换机划分为二层交换机、三层交换机、多层交换机。二层交换机是按照 MAC 地址进行数据帧的过滤和转发，这种交换机是目前最常见的交换机。三层交换机采用“一次路由，多次交换”的原理，基于 IP 地址转发数据包。部分三层交换机也具有四层交换机的一些功能，譬如依据端口号进行转发。四层交换机以

2、及四层以上的交换机都可以称为内容型交换机，一般使用在大型的网络数据中心。交换机基本概念及功能三层交换机具有路由功能三层交换机划分VLAN，每个VLAN都可以单独设置IP地址，并且VLAN间能互访。减少广播域的范围。交换速度快（千兆、万兆等），吞吐量大。连接多个局域网（子网）高性能的网络交换机，处在网络的核心（主干）位置。 QOS（服务质量），有效分配带宽。 ping IPconfig Tracert netstat nslookup 防火墙技术防火墙基本概念、功能和分类防火墙应用配置(CISCO、锐捷、H3C、神码) 防火墙概念从计算机网络安全技术的角度看，防火墙

3、是一个连接两个或更多物理网络，并把分组从一个网络转发到另一个网络的意义上的路由器，它将网络分成内部网络和外部网络。在被保护网络和外部网络之间建立一道屏障，通过相应的访问控制策略（允许、拒绝、监测、记录）控制进出网络的访问行为。各个接口（DMZ） DMZ (demilitarized zone，也称非军事区)是一个非安全系统与安全系统之间的缓冲区。它的设立是为了解决安装防火墙后，外部网络不能访问内部网络服务器的问题。 DMZ位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通过这样一

4、个DMZ区域，更加有效地保护了内部网络。 DMZ区 1.内网可以访问外网 2.内网可以访问DMZ 3.外网不能访问内网 4.外网可以访问DMZ 5.DMZ不能访问内网 6.DMZ不能访问外网 DMZ区控制策略防火墙的功能 l限定内部用户访问特殊站点； l防止未授权用户访问内部网络； 1. 过滤和管理 l 允许内部网络中的用户访问外部网络的服务和资源； l 不泄漏内部网络的数据和资源； 2. 保护和隔离 l记录通过防火墙的信息内容和活动； l对网络攻击进行监测和报警。 3. 日志和警告防火墙的基本功能：访问控制访问控制 l 基于源MAC地址 l 基于目的MAC地址 l 基于源IP地址 l

5、基于目的IP地址 l 基于源端口 l 基于目的端口 l 基于方向 l 基于时间 l 基于用户 l 基于流量 l 基于内容路由功能 NAT功能 VPN功能用户认证带宽控制日志审计流量分析防火墙的扩展功能不能防备新的计算机病毒；不能防范不经过防火墙的攻击；对于来自网络内部的攻击无能为力；不能防备新的网络安全问题。防火墙的不足之处防火墙的类型按物理实体分类按工作方式分类按结构分类按部署位置分类按性能分类按物理实体分类通过软件的方式来达到，价格便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。 1. 软件防火墙采用电路级设计，通

6、常使算法设计专用芯片，效率最高，但价格较贵，一般小型企业和个人很难实现。 2. 硬件防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen 、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 3.芯片级防火墙按工作方式分类防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型。包过滤（Packet filtering）防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。

7、1. 包过滤型包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤防火墙的原理包过滤型防火墙包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。它的不足之处也显而易见，包过滤防火墙配置困难，且无法满足各种安全要求，缺少审计和报警机制。包过滤防火墙的优缺点应用代理型防火墙（Application Proxy）工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程

8、序，实现监视和控制应用层通信流的作用。 2. 应用代理型状态检测防火墙是在包过滤防火墙的基础上，采取抽取相关数据的方法，既检查应用层协议信息，也监控并且维护每一个连接的状态信息。状态检测防火墙将每个数据包看成是一个独立单元的同时，也考虑前后报文的历史关联性，动态地决定是否允许通过防火墙。 3. 状态检测型状态检测防火墙具有高效率、高安全性、可伸缩，易扩展、应用范围广的特点。状态检测防火墙的特点按结构分类从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差

9、不多，价格昂贵。 1. 单一主机防火墙单一主机防火墙这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。 2. 路由器集成式防火墙分布式防火墙不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。 3. 分布式防火墙 7.2.4 按部署位置分类按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。 1

10、. 边界防火墙边界防火墙位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。 2. 个人防火墙 3. 混合防火墙混合式防火墙可以说就是分布式防火墙，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。按性能分类按防

11、火墙性能分为百兆级防火墙和千兆级防火墙两类。这主要是指防火墙的通道带宽，或者吞吐率。目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙。防火墙在网络中的位置 1. 安装防火墙以前的网络 2. 安装防火墙后的网络防火墙的选购和使用防火墙的选购策略防火墙的安装防火墙的维护防火墙的选购策略稳定性；灵活性；先进性；过滤语言灵活，编程友好，具备若干过滤属性；高效和可靠性；可扩展性。 1. 防火墙的基本性能网络管理与网络专家的决策者，要事先考虑把防火墙放在网络系统的哪一个位置上，才能满足自己公司或组织的需求，确定欲购的防火墙所能接受的风险水平。

12、 2. 认真制定安全政策除考虑防火墙的销售价格外，还要考虑它的管理费用、维护费用及消耗材料费用等。 3. 满足实用性、安全性的基础上，还要考虑经济性防火墙的维护接受专业培训；定期维护和检查；保障畅通；及时服务。对网络管理维护人员的要求小结防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位。防火墙配置讲解服务器管理 IIS(信息服务器) WEB服务器 FTP服务器 DNS服务器什么是IIS IIS是Internet Information Service

13、s的简称，中文意思为Internet信息服务。它是Windows Server 2003的一个重要的服务器组件，主要是向客户端提供各种Internet服务。 IIS 提供了基本服务，包括发布信息、传输文件、支持用户通讯和更新这些服务所依赖的数据存储等等。下面介绍 IIS 6.0 提供的服务。 IIS 1万维网发布服务通过将客户端 HTTP 请求连接到在 IIS 中运行的网站上，万维网发布服务（WWW 服务）向 IIS 最终用户提供 Web 发布。WWW 服务管理 IIS 核心组件，这些组件处理 HTTP 请求并配置和管理 Web 应用程序。 2文件传输协议服务通过文件传输协议服

14、务（FTP 服务），IIS 提供对管理和处理文件的完全支持。该服务使用传输控制协议 (TCP)，这就确保了文件传输的完成和数据传输的准确。该版本的 FTP 支持在站点级别上隔离用户以帮助管理员保护其 Internet 站点的安全并使之商业化。 IIS 3简单邮件传输协议服务通过使用简单邮件传输协议服务（SMTP 服务），IIS 能够发送和接收电子邮件。例如，为确认用户提交表格成功，可以对服务器进行编程以自动发送邮件来响应事件。也可以使用 SMTP 服务以接收来自网站客户反馈的消息。SMTP 不支持完整的电子邮件服务。要提供完整的电子邮件服务，请使用 Microsoft Excha

15、nge Server。 4网络新闻传输协议服务可以使用网络新闻传输协议服务（NNTP 服务）主控单个计算机上的 NNTP 本地讨论组。因为该功能完全符合 NNTP 协议，所以用户可以使用任何新闻阅读客户端程序加入新闻组进行讨论。通过 inetsrv 文件夹中的 Rfeed 脚本，IIS NNTP 服务现在支持新闻流。 NNTP 服务不支持复制。要利用新闻流或在多个计算机间复制新闻组，请使用 Exchange Server。安装IIS6.0 打开的服务越多，黑客攻击的机会就越大，所以，IIS6.0不是随Windows Server 2003一起默认安装的，只有在确定要配置一台Web服务器的时候，使用“Windows组件向导”手动安装IIS6.0。安装IIS6.0可以使用“添加或删除程序”，也可以使用“配置您的服务器向导”。使用“添加或删除程序”安装IIS6.0 可以遵循以下步骤来安装IIS6.0： (1) 选择“开始”菜单中“控制面板”级联菜单，单击“添加或删除程序”，打开“添加或删除程序”对话框。单击“添加/删除Windows组件”，在组件向导中选择“应用程序服务器” ，如图10-1所示。 (2) 单击“详细信息”按钮，在“应用程序对话框”中选中 “Internet信息服务(IIS)” ，如图10-2所示。 (3) 单击“应用程序对话框”

展开阅读全文