《局域网组建与维护 应用型高等教育网络类课程规划教材 郭晓利第9章 局域网安全与管理》由会员分享,可在线阅读,更多相关《局域网组建与维护 应用型高等教育网络类课程规划教材 郭晓利第9章 局域网安全与管理(29页珍藏版)》请在金锄头文库上搜索。
1、第9章 局域网安全与管理,了解网络安全的内容 学会数据备份的方法 了解防火墙的概念 学会网络故障维护工具的使用 掌握常用的网络故障及处理方法,9.1 局域网安全,9.1.1 网络安全 1网络安全主要内容 (1)网络环境安全:通过访问控制、身份识别和授权来监控用户在系统中的操作,监视路由器、防火墙的使用等; (2)数据加密:即使数据被偷窃也不至于泄密; (3)调制解调器安全:使用一些技术阻碍非法的调制解调器访问; (4)网络隔离:使用防火墙等技术以防止通讯威胁,有效地隔离非法入侵; (5)系统维护和管理计划:从安全的角度建立适当的规章制度,有计划地维护和管理网络,防患于未然; (6)灾难和意外应
2、急计划:建立灾难应急计划、备份方案和其他方法等,保证能够及时恢复系统数据。,9.1 局域网安全,2网络安全的五大原则 (1)私密性。当信息可被信息发送者和接收者之外的第三者以恶意或非恶意的方式得知时,就丧失了私密性。某些形式的信息特别强调隐私性,诸如个人身份资料、信用交易记录、医疗保险记录、公司研发资料及产品规格等。 (2)完整性。当信息被非预期的方式更改时,就丧失了完整性。如民航交通、金融交易等应用场合,资料遭受变动后可能会造成重大的生命财产损失,因此须特别重视资料的完整性。 (3)身份鉴别。身份鉴别要求使用者能够提出与宣称身份相符的证明。对于信息系统,这项证明可能是电子形式(如使用者账号密
3、码、IC卡等),或其他独一无二的方式(如指纹、虹膜、声音等生物辨识)。,9.1 局域网安全,(4)授权。系统必须能够判定用户是否具备足够的权限进行特定的活动,如开启档案、执行程序等。因为系统授权给特定用户后,用户才具备运行于系统之上的权限,因此用户事先必须经由系统身份鉴别,才能取得对应的权限。 (5)不可否认性。用户在系统进行某项运作之后,若事后能提出证明,而无法加以否认,便具备不可否认性。因为在系统运作时必须拥有权限,不可否认性通常是架构在授权机制之上的。,3网络安全威胁 表9-1列出了典型的网络安全威胁。,9.1.2 数据备份,在局域网中的计算机中,特别是在服务器中,如DNS服务器、Web
4、服务器、FTP服务器、电子邮件服务器和数据库服务器等,存放了大量重要的数据,这些数据一旦丢失,就如同硬盘丢失数据一样,后果不堪设想。由于服务器上的数据会随着管理员和用户的操作而经常发生变化,因此需要定期地对服务器中的重要数据进行备份。常用的备份软件有Ghost以及操作系统自带的磁盘备份工具等,这些软件可以将数据压缩后另存到除该数据所在目录下的其他位置,或者将整个磁盘用另一个磁盘进行镜像磁盘中的文件复制。,9.1.3 网络防火墙,1防火墙 防火墙是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合,它允许一些数据分组通过,也禁止一些数据分组通过。防火墙允许网络管理员控制对外部网络
5、和被管理网络内部资源之间的访问,这种控制是通过管理流入和流出这些资源的流量实现的。防火墙逻辑位置示意图如图9-9所示。,2防火墙的功能 防火墙的功能主要有以下几方面: (1)过滤掉不安全服务和非法用户; (2)控制对特殊站点的访问; (3)提供监视Internet安全和预警的方便端点。 由于互联网的开放性,有许多防范功能的防火墙也有一些防范不到的地方。 (1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 (2)防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主
6、机上装反病毒软件。 (3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。,3天网防火墙 黑客或电脑病毒的有意攻击将会给网络带来难以估量的损失。为了防御黑客和病毒的攻击、保证网络安全运行,除了安装反病毒软件外,还需要安装网络防火墙。这里以天网防火墙个人版软件为例,介绍如何进行网络安全防御。天网防火墙个人版是由国内天网安全实验室制作的反黑软件,该软件是一套给个人电脑使用的网络安全程序,它可以抵挡网络入侵和攻击。,9.2 局域网管理,9.2.1 网络管理工具 1.系统性能监视 系统性能监视是指对局域网中计算机系统
7、(服务器、终端计算机)的 性能进行监视,以保证计算机能稳定、有效地运行,从而使整个局域网 能安全、稳定地运行。 在Windows Server 2003系统中提供了性能监视器。它能够提供现有 性能的数据,使管理员能方便地利用图表、报表、日志及警报等窗口监 视形式形象地观察它们,还可以将有关内容记录下来,保存在文件中, 以便日后分析时用来作为历史资料。当设置了激活的警报时,系统性能 超过变化范围就能够报警,以及时提醒管理员解决系统性能问题。,9.2 局域网管理,性能监视器把系统组件看作对象,通过记录对象的特征(计数器) 来完成对组件的监视。使用性能监视器可以监视的有效对象取决于安装 了什么系统组
8、件。一般情况下,Windows Server 2003的性能监视器提供 了5种类型的对象,即处理器(Processor)、内存(Memory)、磁盘 (Disk)、网络(Network)和互联网(Internet)。每一种对象都有自 己的计数器,通过各种计数器,性能监视器可以监视各种组件性能,以 便确定哪里出现了性能瓶颈。 2网络性能监视 网络性能监视是指利用工具软件,对局域网的性能如带宽、数据流 量、数据包进行分析和监视。要在Windows Server 2003网络中进行网络 性能监视,可以使用Microsoft网络监视器,它是服务器所提供的一个网 络诊断工具。选择“开始”“控制面板”“管
9、理工具”“网络监视器”命令, 可以打开“Microsoft网络监视器”控制台窗口,如图9-19所示。,Microsoft网络监视器主要由4个信息窗格组成,分别为图表、会话统计、机器统计和总共统计。,9.2.2 网络故障诊断与维护工具,1利用ping命令判断网络故障 ping命令是Windows系统自带的一个可执行命令,是网络中使用最频繁的工具,它主要用于判断网络的连通性问题,其格式为: a:解析主机地址。 n count:发出的测试包的个数,默认值为4。 l size:发送缓冲区的大小。 t:继续执行ping命令,直到按Ctrl+C组合键终止。 1)ping 127.0.0.1 ping 12
10、7.0.0.1是本地循环地址。如果该地址无法使用ping命令连通,则表明本机TCP/IP协议不能正常工作;如果连通了该地址,证明TCP/IP协议正常工作,则进入下一个步骤继续诊断,如图9-20所示。,9.2.2 网络故障诊断与维护工具,2)ping本机IP地址 假如本机IP地址为192.168.1.100,则执行命令ping 192.168.1.100, 如果网卡安装配置没有问题,则显示如图9-21所示的提示信息。 如果在“命令提示符”窗口执行此命令后显示内容为Request timed out, 则表明网卡安装或配置有问题。将网线断开再次执行此命令,如果显示正 常,则说明本机使用的IP地址可
11、能与另一台正在使用的计算机IP地址重复 了。如果仍然不正常,则表明本机网卡安装或配置有问题,须继续检查相 关网络配置。 3)常见出错信息 ping命令的出错信息通常分为四种情况: unknown host(不知名主机),这种出错信息表示故障原因可能是命名服务器有故障,或者其名称不正确,也有可能是与远程主机之间的通信线路有故障。,9.2.2 网络故障诊断与维护工具,network unreachable(网络不能到达),这是本地系统没有到达远程 系统的路由。 no answer(无响应),远程系统没有响应。这种故障说明本地系统有 一条到达远程主机的路由,但却接收不到它发给该远程主机的任何分组报
12、文。故障原因可能是远程主机没有工作;本地或远程主机网络配置不正 确;本地或远程的路由器没有工作;通信线路有故障;远程主机存在路由 选择问题。 timed out(超时),与远程主机的链接超时,数据包全部丢失。故障 原因是与对方不能通信。,9.2.2 网络故障诊断与维护工具,2ipconfig命令 ipconfig命令能报告出用户计算机中的拨号网络适配器和以太网卡的信 息。可以查看和修改网络中的TCP/IP协议的IP配置信息和IP配置参数,如 IP地址、网关和子网掩码等。 配置不正确的IP地址或子网掩码是接口配置的常见故障。其中配置不 正确的IP地址有以下两种情况。 网号部分不正确,此时执行ip
13、config命令会显示no answer,这样,执 行该命令后,错误的IP地址就能被发现,修改即可。 主机部分不正确,比如与另一主机配置的地址相同而引起冲突。这种 故障只有当两台主机同时工作时才会出现间歇性的通信问题。更换IP地址 中的主机号部分,该问题即可排除。,9.2.2 网络故障诊断与维护工具,3netstat命令 netstat命令的功能是显示本计算机当前网络连接、路由表和网络接口信息,可以让用户得到目前都有哪些网络连接正在运行。 4tracert命令 tracert命令用来显示数据包到达目标主机所经过的路径,并显示到达每个节点的时间。该命令的功能同ping类似,但它所获得的信息要比p
14、ing命令详细得多,它把数据包所经由的全部路径、节点的IP以及花费的时间都显示出来。该命令比较适用于大型网络。,9.2.3 常用的网络故障及处理方法,1网卡故障及处理 1)观察网卡指示灯 一般10/100Mbps网卡通常都有23个LED指示灯。不同品牌型号的网 卡,其指示灯所代表的意义有所不同,如D-Link 530TX,“100M”指示灯表示 连接速率、“LINK”指示灯闪烁表示正在通信、“FULL”指示灯表示目前工作在 全双工状态。 如果插上网线后,网卡指示灯没有亮或者不全亮时,表明计算机与网络 设备之间没有建立正常连接,物理链路有故障。这个时候除了线路可能有 故障外,一般是网卡的故障。
15、2)网卡驱动程序故障 我们知道,网卡必须安装与之配套的驱动程序后才能正常工作,网卡的 驱动程序未装或者装了和网卡不匹配的驱动程序,都会引起网卡驱动程序 故障。另外,引起驱动故障的原因就是计算机在使用过程中网卡驱动遭病 毒破坏或者被误删除了,解决办法就是找到匹配的网卡驱动程序,重新安 装即可。,9.2.3 常用的网络故障及处理方法,3)网卡接触不良或者损坏 开机后,发现网络不通,在计算机的“设备管理器”中没有发现网卡,反 复刷新设备列表或重新启动系统都无法找到网卡,这一般是网卡和主板PCI 插槽接触不好或者网卡损坏了。我们可以关机后,将网卡拔下把灰尘弄干 净,再插到其他插槽内,重新开机看能不能找
16、到网卡,实在不行就拿一块 好网卡来替换。如果替换后网络正常了,就说明原来的网卡确实是坏了, 只有换一个好网卡了。,9.2.3 常用的网络故障及处理方法,2网线故障及处理 目前,一般的网线就是双绞线做的网线。双绞线故障主要有4种可能。 第一种是双绞线两端的水晶头出现问题,水晶头在使用过程中经常插 拔,时间一久导致接触不良或者水晶头坏了。这种情况是最常见的。 第二种是做网线时接水晶头的线序不对,或者没有严格按照T568A标准 和T568B标准做网线,传输距离一长就出现问题。这种情况解决的办法就是 用工具重新做两头的水晶头。 第三种就是双绞线某处断了,导致不能通信。这种情况可以用烙铁把断 了的线焊接好,但这样可能影响通信质量,不提倡这样做,最好是直接把 线换掉。 第四种就是双绞线布线施工工程中,在墙上安装了接线盒和模块,如图 9-25所示,模块压线没有压好导致接触不良或者压线的线序不对。这种情 况就需要重新压线,但这种模块一般压线的次数不能太多,否则容易导致 线槽松弛,压线不紧而接触不良。当然也有的是模块本身内部电路有故 障,这就需要更换模块了。,
