第12章-局域網(wǎng)性能與安全管理

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與基礎(chǔ)實(shí)訓(xùn)第12章局域網(wǎng)性能與安全管理學(xué)習(xí)要點(diǎn)了解網(wǎng)絡(luò)安全的基本知識(shí)掌握用戶賬戶與口令的安全設(shè)置掌握性能監(jiān)視器的設(shè)置和使用掌握網(wǎng)絡(luò)防病毒軟件和網(wǎng)絡(luò)防火墻的安裝與設(shè)置了解計(jì)算機(jī)端口安全管理12.1設(shè)置本地安全策略在沒有活動(dòng)目錄集中管理的情況下，本地管理員必須為計(jì)算機(jī)進(jìn)行本地安全設(shè)置，例如，限制用戶如何設(shè)置密碼、通過賬戶策略設(shè)置賬戶安全性、通過鎖定賬戶策略避免他人登錄計(jì)算機(jī)、指派用戶權(quán)限等。將這些安全設(shè)置分組管理，就組成了WindowsServer2003的本地安全策略。

WindowsServer2003在“管理工具”對(duì)話框中提供了“本地安全設(shè)置”控制臺(tái)，可以集中管理本地計(jì)算機(jī)的安全設(shè)置原則。使用管理員賬戶登錄到本地計(jì)算機(jī)，即可打開“本地安全設(shè)置”對(duì)話框

12.1設(shè)置本地安全策略1．密碼安全設(shè)置WindowsServer2003的密碼原則主要包括以下4項(xiàng)：密碼必須符合復(fù)雜性要求，密碼長度最小值，密碼使用期限,強(qiáng)制密碼歷史等。12.1設(shè)置本地安全策略2．賬戶鎖定策略密碼安全賬戶鎖定原則包括如下設(shè)置：賬戶鎖定閾值、賬戶鎖定時(shí)間和重設(shè)賬戶鎖定計(jì)算機(jī)的時(shí)間間隔。賬戶鎖定閾值默認(rèn)為“0次無效登錄”，可以設(shè)置為5次或更多的次數(shù)以確保系統(tǒng)安全。12.1設(shè)置本地安全策略3．用戶權(quán)限分配

WindowsServer2003將計(jì)算機(jī)管理各項(xiàng)任務(wù)設(shè)置為默認(rèn)的權(quán)限，例如，從本地登錄系統(tǒng)、更改系統(tǒng)時(shí)間、從網(wǎng)絡(luò)連接到該計(jì)算機(jī)、關(guān)閉系統(tǒng)等。系統(tǒng)管理員在新增了用戶賬戶和組賬戶后，如果需要指派這些賬戶管理計(jì)算機(jī)的某項(xiàng)任務(wù)，可以將這些賬戶加入到內(nèi)置組，但這種方式不夠靈活。系統(tǒng)管理員可以單獨(dú)為用戶或組指派權(quán)限，這種方式提供了更好的靈活性。用戶權(quán)限的分配在“本地安全設(shè)置”對(duì)話框的“本地策略”下設(shè)置。12.2使用性能工具12.2.1性能對(duì)象和計(jì)數(shù)器

WindowsServer2003系列操作系統(tǒng)從各個(gè)組件中獲得性能數(shù)據(jù)，該數(shù)據(jù)被描述為性能對(duì)象，通常以生成數(shù)據(jù)的組件命名。例如，處理器（Processor）對(duì)象是對(duì)系統(tǒng)上處理器性能數(shù)據(jù)的收集。性能對(duì)象內(nèi)置于操作系統(tǒng)中，通常對(duì)應(yīng)于主要的硬件、軟件組件，例如內(nèi)存、處理器以及DNS、終端服務(wù)等。12.2使用性能工具12.2.2使用系統(tǒng)監(jiān)視器監(jiān)視性能

執(zhí)行“開始”→“程序”→“管理工具”命令，在“管理工具”對(duì)話框中可以看到一個(gè)“性能”圖標(biāo)。雙擊“性能”圖標(biāo)。打開“性能”對(duì)話框。該性能工具提供了詳細(xì)的性能監(jiān)視功能，包括“系統(tǒng)監(jiān)視器”和“性能日志和警報(bào)”兩項(xiàng)。

12.2使用性能工具12.2.3性能日志和警報(bào)要監(jiān)視簡單服務(wù)器配置的性能，需要收集某個(gè)時(shí)間段內(nèi)的3種不同類型的性能數(shù)據(jù):

一般性能數(shù)據(jù)：此信息可幫助管理員發(fā)現(xiàn)短期趨勢，如內(nèi)存泄漏等。經(jīng)過一段時(shí)間的數(shù)據(jù)收集后，可以求出結(jié)果的平均值并用更緊湊的格式保存這些結(jié)果。這種存檔數(shù)據(jù)可幫助管理員在業(yè)務(wù)增長時(shí)作出容量規(guī)劃，并有助于管理員在日后評(píng)估上述規(guī)劃的效果。

基準(zhǔn)性能數(shù)據(jù)：此信息可幫助管理員發(fā)現(xiàn)隨著時(shí)間的推移而慢慢發(fā)生的更改。通過將系統(tǒng)的當(dāng)前狀態(tài)與歷史記錄數(shù)據(jù)相比較，可以排除系統(tǒng)問題并調(diào)整系統(tǒng)。

用于服務(wù)級(jí)別報(bào)告的數(shù)據(jù)：此信息可幫助管理員確保系統(tǒng)達(dá)到特定的服務(wù)或性能級(jí)別，收集和維護(hù)該數(shù)據(jù)的頻率取決于特定的業(yè)務(wù)需要。

12.3網(wǎng)絡(luò)監(jiān)視器12.3.1安裝網(wǎng)絡(luò)監(jiān)視器WindowsServer2003操作系統(tǒng)提供的“網(wǎng)絡(luò)監(jiān)視器”組件可以捕獲所在計(jì)算機(jī)收到或發(fā)出的幀。要安裝網(wǎng)絡(luò)監(jiān)視器，可以使用如下步驟:①在“控制面板”對(duì)話框中，雙擊“添加或刪除程序”圖標(biāo)。②單擊“添加/刪除Windows組件”按鈕，打開Windows組件向?qū)?duì)話框。③在“Windows組件向?qū)А睂?duì)話框中，選擇“管理和監(jiān)視工具”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕。④在“管理和監(jiān)視工具的子組件”對(duì)話框中，選擇“網(wǎng)絡(luò)監(jiān)視工具”復(fù)選框，然后單擊“確定”按鈕。⑤如果系統(tǒng)提示您提供其他文件，插入操作系統(tǒng)的安裝光盤，或輸入指向網(wǎng)絡(luò)上文件位置的路徑。安裝完成后，可以在“開始”→“程序”→“管理工具”中找到網(wǎng)絡(luò)監(jiān)視器。12.3網(wǎng)絡(luò)監(jiān)視器12.3.2監(jiān)視網(wǎng)絡(luò)通信首次啟動(dòng)網(wǎng)絡(luò)監(jiān)視器時(shí)，提示用戶選擇一個(gè)網(wǎng)絡(luò)連接以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)捕獲。打開后的網(wǎng)絡(luò)監(jiān)視器，該窗口包括4個(gè)窗格:

圖表窗格：以圖形顯示當(dāng)前捕獲數(shù)據(jù)的總體捕獲統(tǒng)計(jì)信息。 會(huì)話統(tǒng)計(jì)窗格：以每個(gè)會(huì)話為單位顯示統(tǒng)計(jì)信息。 機(jī)器統(tǒng)計(jì)窗格：說明工作站的網(wǎng)絡(luò)活動(dòng)狀態(tài)。 統(tǒng)計(jì)總數(shù)窗格：可以從整體上查看本地計(jì)算機(jī)發(fā)出和收到的網(wǎng)絡(luò)通信。

12.4防火墻軟件防火墻是近年發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的訪問控制技術(shù)。它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上，通過建立起網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋通過外部網(wǎng)絡(luò)的入侵。

12.4防火墻軟件12.4.1防火墻概述1．防火墻的概念（1）防火墻的基本功能。防火墻應(yīng)具有如下基本功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。（2）防火墻存在的缺陷。防火墻可能存在如下一些缺陷：防火墻不能防范不經(jīng)由防火墻的攻擊；防火墻不能防止感染了病毒的軟件或文件的傳輸；防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。12.4防火墻軟件2．防火墻的類型按照防火墻保護(hù)網(wǎng)絡(luò)使用方法的不同，可將其分為3種類型：網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻鏈路層防火墻12.4防火墻軟件12.4.2安裝天網(wǎng)防火墻軟件

天網(wǎng)防火墻是由中國人自行設(shè)計(jì)的防攻擊軟件，通過直觀、易用的界面來實(shí)現(xiàn)強(qiáng)大系統(tǒng)管理功能。該軟件內(nèi)置了一些不同安全級(jí)別和IP規(guī)則，非常適合普通用戶使用。天網(wǎng)防火墻還可以對(duì)所有來自外部計(jì)算機(jī)的訪問進(jìn)行過濾，發(fā)現(xiàn)未授權(quán)的訪問請(qǐng)求后立即拒絕，隨時(shí)保護(hù)用戶系統(tǒng)的信息安全。另外，對(duì)熟悉網(wǎng)絡(luò)協(xié)議的用戶，可以根據(jù)自己實(shí)際情況，添加、刪除、修改安全規(guī)則，保護(hù)本機(jī)安全。即使用戶對(duì)網(wǎng)絡(luò)不熟悉，使用天網(wǎng)提供的默認(rèn)設(shè)置，也同樣可以保護(hù)用戶系統(tǒng)的安全。訪問記錄可以詳細(xì)地記錄是否有入侵者訪問用戶系統(tǒng)，當(dāng)出現(xiàn)異常情況時(shí)，報(bào)警系統(tǒng)可以隨時(shí)提醒用戶。12.5端口安全管理端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全，一般來說，只打開需要使用的端口會(huì)比較安全。在網(wǎng)絡(luò)技術(shù)中，端口大致有兩種含義：一是物理意義上的端口，比如ADSLModem集線器、交換機(jī)、路由器，用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等；二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號(hào)的范圍為0～65535，比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的2l端口等。12.5端口安全管理12.5.1端口分類按端口號(hào)分布動(dòng)態(tài)端口知名端口按協(xié)議類型UDPTCPICMP等IP12.5端口安全管理12.5.2端口查看在