計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)模塊七網(wǎng)絡(luò)管理與網(wǎng)路安全教學(xué)課件

計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)模塊七網(wǎng)絡(luò)管理與網(wǎng)路安全56、死去何所道，托體同山阿。57、春秋多佳日，登高賦新詩。58、種豆南山下，草盛豆苗稀。晨興理荒穢，帶月荷鋤歸。道狹草木長，夕露沾我衣。衣沾不足惜，但使愿無違。59、相見無雜言，但道桑麻長。60、迢迢新秋夕，亭亭月將圓。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)模塊七網(wǎng)絡(luò)管理與網(wǎng)路安全計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)模塊七網(wǎng)絡(luò)管理與網(wǎng)路安全56、死去何所道，托體同山阿。57、春秋多佳日，登高賦新詩。58、種豆南山下，草盛豆苗稀。晨興理荒穢，帶月荷鋤歸。道狹草木長，夕露沾我衣。衣沾不足惜，但使愿無違。59、相見無雜言，但道桑麻長。60、迢迢新秋夕，亭亭月將圓。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)模塊7網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全3/17/20212任務(wù)7.1安全防護(hù)與病毒檢測

任務(wù)描述：計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)為人類帶來了方便和快捷，同時(shí)也伴隨著各種威脅。由于計(jì)算機(jī)網(wǎng)絡(luò)本身有漏洞，加上黑客、病毒、木馬的威脅，人們越來越關(guān)心計(jì)算機(jī)本身和網(wǎng)絡(luò)信息的安全性問題。3/17/20213

我國在2001年實(shí)施的《計(jì)算機(jī)系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》，將信息安全分為5個(gè)等級。自主保護(hù)級：相當(dāng)于C1級；系統(tǒng)設(shè)計(jì)保護(hù)級：相當(dāng)于C2級；安全標(biāo)記保護(hù)級：相當(dāng)B1級，屬于強(qiáng)制保護(hù)；結(jié)構(gòu)化保護(hù)級：相當(dāng)B2級；訪問驗(yàn)證保護(hù)級：相當(dāng)于B3-A1級。實(shí)際應(yīng)用中，主要考核的安全指標(biāo)有身份認(rèn)證、訪問控制、數(shù)據(jù)完整性、安全審計(jì)、信道分析等。7/26/202367.1.2網(wǎng)絡(luò)安全的威脅與對策

計(jì)算機(jī)網(wǎng)絡(luò)上存在的威脅主要分為主動(dòng)攻擊和被動(dòng)攻擊兩大類，共4種：①篡改：故意修改存儲或傳遞的數(shù)據(jù)內(nèi)容。②截獲：非法的竊取他人的數(shù)據(jù)內(nèi)容。③拒絕服務(wù)：阻止或中斷通信的正常服務(wù)，使雙方的信息傳遞不能正常進(jìn)行。④偽裝:：冒名頂替，一般來說，偽裝的威脅中伴隨著其他的威脅。其中除了截獲屬于被動(dòng)攻擊外，其他的都屬于主動(dòng)攻擊。網(wǎng)絡(luò)安全威脅從形式上主要有：非授權(quán)訪問（如假冒、身份攻擊、非法用戶進(jìn)入系統(tǒng)等）、泄露信息（黑客攻擊等）、破壞信息、計(jì)算機(jī)病毒、木馬、拒絕服務(wù)等。7/26/20237

1.計(jì)算機(jī)病毒的檢測和查殺（1）計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒是人為編寫的一個(gè)程序，一組可執(zhí)行代碼。其特征就像生物病毒一樣，有強(qiáng)大的自身復(fù)制能力。它們能把自身附著在各種類型的文件上，感染這些文件。當(dāng)感染文件被復(fù)制時(shí)計(jì)算機(jī)病毒同樣會(huì)跟著復(fù)制文件移動(dòng)，從一個(gè)用戶傳送到另一個(gè)用戶，它們就隨同文件一起蔓延開來，而又常常難以根除。（2）計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：①傳染性。②潛伏性。③隱蔽性。④破壞性。

7/26/20238除了上述特點(diǎn)外，病毒還具有觸發(fā)性、衍生性、寄生性、持久性等。這里就不詳細(xì)講述了。（3）計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒破壞系統(tǒng)的數(shù)據(jù)，甚至導(dǎo)致系統(tǒng)癱瘓。主要表現(xiàn)在如下幾個(gè)方面：破壞磁盤文件分配表；刪除磁盤上的文件；修改或破壞文件的數(shù)據(jù)；產(chǎn)生垃圾文件；破壞硬盤的主扇區(qū)；破壞主板上的BIOS內(nèi)容；破壞網(wǎng)絡(luò)中的資源；占用CPU運(yùn)行時(shí)間，使運(yùn)行效率降低；破壞屏幕的正常顯示，干擾用戶的操作；破壞鍵盤的輸入程序，使用戶的正常輸入出現(xiàn)錯(cuò)誤；破壞系統(tǒng)設(shè)置或?qū)ο到y(tǒng)信息進(jìn)行加密，使用戶工作紊亂。（4）計(jì)算機(jī)病毒的分類按照病毒的傳染途徑可以分為引導(dǎo)型病毒、文件型病毒和混合型病毒。引導(dǎo)型病毒：感染對象是計(jì)算機(jī)存儲介質(zhì)的引導(dǎo)扇區(qū)，取代正常的引導(dǎo)記錄，將正常的引導(dǎo)記錄隱藏在其他存儲空間中。文件型病毒：感染可執(zhí)行文件?；旌闲筒《荆杭嬗幸龑?dǎo)型病毒和文件型病毒的特點(diǎn)。7/26/20239

（5）計(jì)算機(jī)病毒的防范方法預(yù)防計(jì)算機(jī)病毒的保護(hù)措施主要有：一是在管理上的措施，盡早發(fā)現(xiàn)疫情，及時(shí)修復(fù)系統(tǒng)；二是盡可能及時(shí)修補(bǔ)計(jì)算機(jī)上的系統(tǒng)漏洞；三是使用功能強(qiáng)大的、更加完善的、具有超強(qiáng)防御能力的殺毒軟件。具體操作包括：①正確配置windows操作系統(tǒng)，正確配置可以使windows系統(tǒng)免遭病毒的侵害。②經(jīng)常對系統(tǒng)進(jìn)行升級并下載最新補(bǔ)丁。③正確配置網(wǎng)絡(luò)。首先，將網(wǎng)絡(luò)文件和打印機(jī)共享去掉。操作方法：右擊“網(wǎng)上鄰居”圖標(biāo)，選擇“屬性”項(xiàng)，右擊窗口中“本地連接”，選擇“屬性”項(xiàng)，出現(xiàn)如圖7-1所示窗口，取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”復(fù)選框的選擇。7/26/202310圖7-1本地連接屬性7/26/202311其次，將不需要的端口禁用。操作方法：在圖7-1中，選擇“Internet協(xié)議（TCP/IP）”項(xiàng)，單擊“屬性”按鈕，單擊“高級”按鈕，選擇“選項(xiàng)”選項(xiàng)卡，雙擊“TCP/IP篩選”，選擇“啟用TCP/IP篩選機(jī)制”，并選擇系統(tǒng)只對外開放的端口即可，如圖7-2所示。圖7-2啟用TCP/IP篩選機(jī)制7/26/202312

第三，正確配置服務(wù)，將系統(tǒng)不必要的服務(wù)關(guān)閉。具體操作為：在“控制面板”窗口中雙擊“管理工具”圖標(biāo)，選擇“服務(wù)”項(xiàng)，將不需要的服務(wù)設(shè)置為禁用。③利用Windows系統(tǒng)自帶的工具一是利用注冊表工具。在運(yùn)行窗口中，執(zhí)行注冊表編輯命令regedit，打開注冊表編輯窗口，檢查病毒。二是利用Msinfo32.exe命令。Msinfo32.exe命令提供了一個(gè)系統(tǒng)信息查看工具。如圖7-3所示，通過其中的軟件環(huán)境查看系統(tǒng)的運(yùn)行情況，在右邊的窗口中可以查看有沒有可疑的程序。7/26/202313

圖7-3系統(tǒng)信息7/26/202314

④安裝防病毒軟件在服務(wù)器上應(yīng)安裝網(wǎng)絡(luò)防病毒軟件，在工作站上應(yīng)安裝單機(jī)環(huán)境下的反病毒軟件（如金山毒霸）。并及時(shí)升級這些軟件的病毒庫，確保其能查殺最新的病毒。雖然病毒軟件本身都有自動(dòng)查毒功能。但用戶在利用U盤、網(wǎng)絡(luò)等傳遞數(shù)據(jù)時(shí)應(yīng)注意病毒的清查。⑤對下載文件要作病毒檢查處理下載的音樂、軟件等文件在應(yīng)用之前要作病毒檢查處理。⑥電子郵件病毒的防范將攜帶電子郵件病毒的信件刪除，就可以清除電子郵件病毒，但大多數(shù)電子郵件病毒在被接收到客戶端時(shí)就可能開始發(fā)作，基本上沒有潛伏期，所有一般常用的預(yù)防方法有：7/26/202315

不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行文件。不要輕易打開附件中的文檔文件。應(yīng)先保存到磁盤上，用殺毒軟件檢查無毒后再打開使用。刪除文件擴(kuò)展名很奇怪的附件，如*.VBS、*.SHS等的附件。使用Outlook收發(fā)電子郵件，應(yīng)當(dāng)進(jìn)行一些必要的設(shè)置。如在菜單命令【工具】->【選項(xiàng)】，“安全”選項(xiàng)卡下的設(shè)置；“其他”選項(xiàng)卡中單擊“高級選項(xiàng)”按鈕，單擊“加載項(xiàng)管理器”，取消“服務(wù)器腳本運(yùn)行”選項(xiàng)；“閱讀”選項(xiàng)卡中，取消“在預(yù)覽窗各種自動(dòng)顯示新聞郵件”和“自動(dòng)顯示新聞郵件中的圖片附件”選項(xiàng)。這樣可以防止有些電子郵件病毒利用OutlookExpress的默認(rèn)設(shè)置自動(dòng)運(yùn)行，破壞系統(tǒng)。對于自己往外傳送的附件，應(yīng)確定無毒后，才可發(fā)送。7/26/2023162.黑客攻擊及其防范（1）黑客攻擊黑客（Hacker）是熱衷于計(jì)算機(jī)程序的設(shè)計(jì)者，對任何計(jì)算機(jī)系統(tǒng)都很有興趣的人，他們的行為一般沒有惡意。另一類稱為駭客，他們的行為是具有惡意的，指那些強(qiáng)行闖入別人的計(jì)算機(jī)系統(tǒng)或者以某種惡意的目的干擾遠(yuǎn)端系統(tǒng)，非法獲得訪問權(quán)，破壞數(shù)據(jù)，拒絕服務(wù)等。黑客入侵的常用手段是獲得超級用戶口令。先是通過運(yùn)行的應(yīng)用程序找到可以利用的漏洞，在此基礎(chǔ)上獲得用戶的權(quán)限，然后再去達(dá)到目的。（2）黑客攻擊的工具黑客進(jìn)行網(wǎng)絡(luò)攻擊常用的手段有獲取口令（通過網(wǎng)絡(luò)監(jiān)聽獲取口令，或在知道用戶的帳號，利用一些專門的軟件強(qiáng)行破解用戶口令，或在獲得一個(gè)服務(wù)器上的用戶口令文件后用破解程序破解用戶口令）、放置木馬程序、利用電子郵件攻擊、拒絕服務(wù)攻擊、IP地址欺騙等。7/26/202317

①木馬木馬（Trojan）這個(gè)名字來源于古希臘傳說，特洛伊木馬是指一種計(jì)算機(jī)程序，它駐留在計(jì)算機(jī)里，當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)自動(dòng)運(yùn)行木馬程序且木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令、瀏覽、移動(dòng)、復(fù)制、刪除文件、修改注冊表、更改計(jì)算機(jī)配置等。木馬系統(tǒng)的組成主要有硬件部分，軟件部分和具體連接部分組成。硬件部分是建立木馬連接所必須的硬件實(shí)體。軟件部分是實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。具體連接部分是通過網(wǎng)絡(luò)在服務(wù)端和控制端之間建立一條木馬通道。控制端和服務(wù)端的網(wǎng)絡(luò)地址、控制端和木馬端口號等。7/26/202318預(yù)防木馬的危害，主要采取以下措施：第一，安裝正版的殺毒軟件和個(gè)人防火墻，及時(shí)升級，并且設(shè)置好安全等級，防止未知程序向外傳送數(shù)據(jù)。第二，盡量使用安全性比較好的瀏覽器工具和電子郵件客戶端程序。第三，防止惡意網(wǎng)站在自己計(jì)算機(jī)上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。②拒絕服務(wù)攻擊DoS拒絕服務(wù)是一種很簡單且很有效的方式，目的是使用戶請求的服務(wù)停止，破壞服務(wù)器系統(tǒng)的正常運(yùn)行。拒絕服務(wù)的方式很多種，常見的就是利用合理的請求占據(jù)過多的服務(wù)資源，讓其他的合法請求無法得到服務(wù)。③電子郵件攻擊電子郵件攻擊主要表現(xiàn)為兩種方式：電子郵件欺騙和破壞、郵件炸彈。7/26/2023197.1.3網(wǎng)絡(luò)安全的技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全包括主機(jī)上的信息存儲安全和網(wǎng)絡(luò)上的傳輸安全。目前常用的技術(shù)手段有加密技術(shù)、防火墻技術(shù)、身份認(rèn)證技術(shù)、綜合利用技術(shù)等。1．加密技術(shù)通常采用一定的算法對原文進(jìn)行加密，然后將密文傳送到目的段，即使中間被截獲，也很難破解里面的內(nèi)容。密碼技術(shù)結(jié)合數(shù)學(xué)、計(jì)算機(jī)科學(xué)等多種學(xué)科于一身。它不僅用于數(shù)據(jù)加密，而且還廣泛用于數(shù)字簽名、身份驗(yàn)證、系統(tǒng)安全等。根據(jù)密鑰類型不同可以將現(xiàn)代密碼技術(shù)分為兩類：對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。7/26/202320

2．防火墻技術(shù)防火墻是目前廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)，是指建立在兩個(gè)網(wǎng)絡(luò)的邊界上的，實(shí)現(xiàn)安全策略和網(wǎng)絡(luò)通信監(jiān)控，可以強(qiáng)制執(zhí)行對內(nèi)部網(wǎng)和外部網(wǎng)的訪問控制的系統(tǒng)或系統(tǒng)組。通過建立一整套規(guī)則和策略來監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。防火墻系統(tǒng)不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，是由軟件、硬件或者是兩者的結(jié)合組成。實(shí)現(xiàn)防火墻的主要技術(shù)有:數(shù)據(jù)包過濾,應(yīng)用網(wǎng)關(guān)和代理服務(wù)器等。7/26/202321

3．身份認(rèn)證技術(shù)身份認(rèn)證業(yè)務(wù)也稱為鑒別驗(yàn)證業(yè)務(wù)。認(rèn)證業(yè)務(wù)就是當(dāng)某個(gè)實(shí)體用它的身份進(jìn)行擔(dān)保時(shí)，該業(yè)務(wù)將證實(shí)這一擔(dān)保的正確性。我們所熟悉的用戶名密碼方式就是一種典型的身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的最基本措施，也是保障網(wǎng)絡(luò)安全的第一道防線。目前常用的身份認(rèn)證技術(shù)有：口令驗(yàn)證、通行證驗(yàn)證、人類特征驗(yàn)證。7/26/202322任務(wù)7.2網(wǎng)絡(luò)管理與故障排除

任務(wù)描述：某臺計(jì)算機(jī)無法登錄服務(wù)器，無法通過局域網(wǎng)接入Internet，無法使用各種共享資源。檢查本地配置及網(wǎng)絡(luò)狀態(tài)，進(jìn)行適當(dāng)設(shè)置，使其恢復(fù)正常。7/26/2023237.2.1網(wǎng)絡(luò)管理簡介

1．網(wǎng)絡(luò)管理的功能網(wǎng)絡(luò)管理功能一般分為故障管理，計(jì)費(fèi)管理，配置管理，性能管理和安全管理等五大管理功能。(1)故障管理故障管理是網(wǎng)絡(luò)管理中最基本的管理功能，主要工作是找出故障的位置并進(jìn)行恢復(fù)。網(wǎng)絡(luò)故障管理的具體操作步驟：檢測故障、判斷故障癥狀、隔離故障、故障修復(fù)、記錄故障的監(jiān)測及其結(jié)果。（2）計(jì)費(fèi)管理計(jì)費(fèi)管理負(fù)責(zé)記錄網(wǎng)絡(luò)資源的使用情況和用戶在使用這些資源服務(wù)時(shí)需支付的代價(jià)。7/26/202324

（3）配置管理配置管理就是跟蹤、收集、監(jiān)測和管理系統(tǒng)的軟硬件配置參數(shù)，并對網(wǎng)絡(luò)配置的變化做出及時(shí)地響應(yīng)。主要包括：配置信息的或?。慌渲眯畔⒌膫浞?；配置信息的檢查；配置信息的調(diào)整；配置信息的錄入。（4）性能管理性能管理主要收集、統(tǒng)計(jì)數(shù)據(jù)，以便規(guī)劃和分析網(wǎng)絡(luò)資源的運(yùn)行狀況和通信效率等系統(tǒng)性能，預(yù)測各系統(tǒng)之間的通信操作的趨勢，或者平衡系統(tǒng)之間的負(fù)載。主要包括：數(shù)據(jù)采集；分析數(shù)據(jù)；閾值分析；實(shí)時(shí)監(jiān)控等。（5）安全管理對網(wǎng)絡(luò)資源的訪問方面的安全控制，保證網(wǎng)絡(luò)不受非法用戶的侵害，并保證重要的數(shù)據(jù)信息在存儲和傳輸?shù)倪^程中不被泄漏、篡改和偽造。7/26/202325

2．網(wǎng)絡(luò)管理系統(tǒng)協(xié)議網(wǎng)絡(luò)管理系統(tǒng)中最重要的部分就是網(wǎng)絡(luò)管理協(xié)議，它定義了網(wǎng)絡(luò)管理器與被管代理間的通信方法，目前主要網(wǎng)絡(luò)管理協(xié)議是：SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）和CMIP（通用管理信息協(xié)議）。它們都使用管理信息庫MIB。MIB中包含所有網(wǎng)絡(luò)資源都遵循的信息、測試、公式和控制。3．局域網(wǎng)的數(shù)據(jù)管理網(wǎng)絡(luò)數(shù)據(jù)管理要求不僅能立即訪問準(zhǔn)確信息，更重要的是要將綜合存儲作為組成部分。綜合信息存儲首要問題是數(shù)據(jù)資源的備份。7/26/202326

（1）備份分類系統(tǒng)備份：用戶使用系統(tǒng)備份功能進(jìn)行自動(dòng)備份，系統(tǒng)本身會(huì)自動(dòng)創(chuàng)建還原點(diǎn)，用戶也可以手工設(shè)置還原點(diǎn)。用戶使用Ghost軟件進(jìn)行備份。有兩種：一是使用Ghost管理器Ghostexp.exe對鏡像中的部分內(nèi)容進(jìn)行及時(shí)更新；還有就是保持系統(tǒng)完整、配置基本穩(wěn)定的情況下重新制作鏡像文件。資料備份：只要使用相應(yīng)的管理軟件即可。文檔備份：文檔類數(shù)據(jù)備份，要做到及時(shí)更新備份文檔。7/26/202327（2）備份方法①使用備份向?qū)浞菖c恢復(fù)數(shù)據(jù)備份文件和文件夾。將數(shù)據(jù)備份到文件時(shí)，必須指定文件要保存的名稱和位置。備份文件的擴(kuò)展名為.bkf，也可以將擴(kuò)展名自定義。②利用Ghost快速備份與恢復(fù)數(shù)據(jù)Ghost是一個(gè)用于系統(tǒng)、數(shù)據(jù)備份與恢復(fù)的工具。使用Ghost進(jìn)行系統(tǒng)備份，有整個(gè)硬盤和分區(qū)硬盤兩種方式?？梢杂肎host快速安裝windows操作系統(tǒng)，基本過程是：先將用戶的系統(tǒng)分區(qū)做成一個(gè)擴(kuò)展名.gho的鏡像文件并保存在其他分區(qū)里，當(dāng)需要重新安裝windows時(shí)，就可以利用這個(gè)鏡像文件在短時(shí)間還原系統(tǒng)。（注意：至少有兩個(gè)分區(qū)）。③利用SymantecGhost快速恢復(fù)多機(jī)系統(tǒng)由于多種原因，網(wǎng)絡(luò)的維護(hù)和管理中，需要重新安裝系統(tǒng)或單機(jī)做一個(gè)鏡像來恢復(fù)。為了方便管理，可以利用SymantecGhost進(jìn)行網(wǎng)絡(luò)服務(wù)器/客戶端的映射克隆。7/26/2023287.2.2常見的網(wǎng)絡(luò)故障診斷工具

在網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)故障不可避免，要進(jìn)行網(wǎng)絡(luò)維護(hù)和網(wǎng)絡(luò)故障診斷需要借助測線器、數(shù)字萬用表、網(wǎng)絡(luò)測試儀、網(wǎng)絡(luò)命令和網(wǎng)絡(luò)監(jiān)視軟件等工具完成。1．常用的網(wǎng)絡(luò)測試硬件工具測試儀：用來顯示線纜問題以及RJ-45接頭是否好的工具?？梢詸z測雙絞線和RJ-45接頭的以太網(wǎng)線路。數(shù)字萬用表：一般用來檢查電源插座是否正常電壓，測試PC電源，測試同軸電纜接頭處的終端匹配器。網(wǎng)絡(luò)測試儀：提供了實(shí)時(shí)的網(wǎng)絡(luò)分析測試。7/26/202329

2．軟件工具常用的維護(hù)命令：（1）IP測試工具Ping（2）測試TCP/IP協(xié)議配置