《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)與實(shí)戰(zhàn)（第二版）》課件第7-9章 我的網(wǎng)絡(luò)我做主；構(gòu)建網(wǎng)絡(luò)的銅墻鐵壁；網(wǎng)絡(luò)盛宴里的新生代

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)與實(shí)戰(zhàn)(第二版)我的網(wǎng)絡(luò)我做主07章節(jié)導(dǎo)讀

隨著高校信息化的發(fā)展，網(wǎng)絡(luò)中所承載內(nèi)容發(fā)生了巨大的變化，新的設(shè)備不斷涌現(xiàn)并趨于成熟。網(wǎng)絡(luò)的發(fā)展在滿足實(shí)用性的基礎(chǔ)上，校園網(wǎng)也正面臨著向無(wú)線接入、精細(xì)化認(rèn)證和計(jì)費(fèi)、IPv6技術(shù)演進(jìn)的趨勢(shì)。校園網(wǎng)的建設(shè)目標(biāo)是建立一套具有高性能、高可靠性、高負(fù)載、高安全性、高開放性的網(wǎng)絡(luò)系統(tǒng)，整個(gè)系統(tǒng)易于擴(kuò)充，便于管理，方便用戶接入，能夠滿足萬(wàn)兆擴(kuò)展、滿足IPv6，充分滿足各項(xiàng)業(yè)務(wù)需求，特別是網(wǎng)絡(luò)視頻會(huì)議應(yīng)用、網(wǎng)絡(luò)語(yǔ)音電話業(yè)務(wù)(VoIP)、IP存儲(chǔ)等應(yīng)用要050301

掌握校園網(wǎng)的需求分析和規(guī)劃學(xué)習(xí)目標(biāo)學(xué)會(huì)對(duì)校園網(wǎng)進(jìn)行設(shè)計(jì)、優(yōu)化、管理與運(yùn)維掌握常見的網(wǎng)絡(luò)故障檢測(cè)與排除方法任務(wù)7.1校園網(wǎng)組建策略7.1.1校園網(wǎng)的組建原則在校園網(wǎng)組建時(shí)，應(yīng)根據(jù)企業(yè)規(guī)模的大小、分布、對(duì)多媒體的需求等實(shí)際情況加以確定，一般可按以下原則來(lái)確立：實(shí)用性可靠性技術(shù)先進(jìn)性和實(shí)用性高性能標(biāo)準(zhǔn)開放性靈活性及可擴(kuò)展性可管理性保護(hù)現(xiàn)有投資任務(wù)7.2校園網(wǎng)的規(guī)劃與設(shè)計(jì)7.1校園網(wǎng)的規(guī)劃校園網(wǎng)分層是指按照網(wǎng)絡(luò)規(guī)模，將校園網(wǎng)劃分為核心層、匯聚層和接入層三個(gè)層次，如圖7-1所示。中小型、小型局域網(wǎng)一般可采用核心/接入層；大型、大中型局域網(wǎng)一般可采用核心/匯聚/接入層。校園網(wǎng)一般采用傳統(tǒng)的交換式三層網(wǎng)絡(luò)架構(gòu)，分為學(xué)生、辦公兩大區(qū)域。學(xué)生、辦公分別有各自的區(qū)域匯聚交換機(jī)連接至校內(nèi)核心設(shè)備。7.2.1三層網(wǎng)絡(luò)結(jié)構(gòu)分析接入層即直接信息點(diǎn)，通過(guò)此信息點(diǎn)將網(wǎng)絡(luò)資源設(shè)備(PC、手機(jī)、工作站等)接入網(wǎng)絡(luò)。接入層的主要功能是為最終用戶提供對(duì)園區(qū)網(wǎng)絡(luò)訪問(wèn)的途徑。接入層為用戶提供了在本網(wǎng)段訪問(wèn)應(yīng)用系統(tǒng)的能力，主要用于解決相鄰用戶之間的互訪需求，并為這些訪問(wèn)提供足夠的帶寬。在大中型網(wǎng)絡(luò)中，接入層還應(yīng)當(dāng)適當(dāng)負(fù)責(zé)一些用戶管理功能(如地址認(rèn)證、用戶認(rèn)證和計(jì)費(fèi)管理等)和用戶信息收集工作(如用戶的IP地址、MAC地址，訪問(wèn)日志等)。

接入層應(yīng)使用性價(jià)比高的設(shè)備。接入層設(shè)備是最終用戶與網(wǎng)絡(luò)的接口，它應(yīng)該具有即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。此外，還應(yīng)該考慮端口密度的問(wèn)題。

接入層由無(wú)線網(wǎng)卡、AP(AccessPoint、無(wú)線接入點(diǎn))和二層交換機(jī)組成。接入層利用光纖、雙絞線、同軸電纜、無(wú)線接入技術(shù)等傳輸介質(zhì)實(shí)現(xiàn)與用戶的連接，并進(jìn)行業(yè)務(wù)和帶寬的分配。對(duì)于無(wú)線局域網(wǎng)用戶，用戶終端通過(guò)無(wú)線網(wǎng)卡和AP完成用戶接入。。1

接入層7.2.1三層網(wǎng)絡(luò)結(jié)構(gòu)分析匯聚層匯聚層提供基于統(tǒng)一策略的互連性，是連接接入層和核心層的網(wǎng)絡(luò)設(shè)備，同時(shí)也是核心層和接入層的分界點(diǎn)。它定義了網(wǎng)絡(luò)的邊界，并可對(duì)數(shù)據(jù)包進(jìn)行匯聚、傳輸、管理和分發(fā)等。

匯聚層的選擇取決于網(wǎng)絡(luò)規(guī)模的大小。當(dāng)建筑樓內(nèi)信息點(diǎn)較多，超出一臺(tái)交換機(jī)的端口密度而不得不增加交換機(jī)擴(kuò)充端口時(shí)，就需要有匯聚交換機(jī)。交換機(jī)之間的連接有級(jí)連和堆疊兩種方式，如圖7-2所示。如果采用級(jí)連方式，即將一組固定端口的交換機(jī)上連到一臺(tái)背板帶寬和性能較好的匯聚交換機(jī)上，再由匯聚交換機(jī)上連到主干網(wǎng)的核心交換機(jī)；如果采用多臺(tái)交換機(jī)堆疊方式擴(kuò)充端口密度，其中一臺(tái)交換機(jī)上連，則網(wǎng)絡(luò)中就只有接入層。27.2.1三層網(wǎng)絡(luò)結(jié)構(gòu)分析匯聚層是連接本地的邏輯中心，需要較高的性能和比較豐富的功能。7.2.1三層網(wǎng)絡(luò)結(jié)構(gòu)分析核心層

核心層為接入層和匯聚層提供優(yōu)化的數(shù)據(jù)傳輸功能，如圖7-3所示。它是一個(gè)高速的交換骨干網(wǎng)，其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包運(yùn)算中(ACL、數(shù)據(jù)包過(guò)濾等)，否則會(huì)降低數(shù)據(jù)包的交換速度。

核心層設(shè)備覆蓋的地理范圍不宜過(guò)大，連接的外部設(shè)備不宜過(guò)多，否則會(huì)使得網(wǎng)絡(luò)的復(fù)雜度增大，導(dǎo)致網(wǎng)絡(luò)性能降低。

核心層技術(shù)的選擇要根據(jù)用戶網(wǎng)絡(luò)規(guī)模的大小、網(wǎng)上傳輸信息的種類和用戶可投入的資金等因素來(lái)考慮。一般而言，核心層用來(lái)連接建筑樓宇和服務(wù)器群，可能會(huì)容納網(wǎng)絡(luò)上50%～80%的信息量，是網(wǎng)絡(luò)的主干。典型的主干網(wǎng)技術(shù)主要有100Mb/s-FX以太網(wǎng)、1000Mb/s-SX/LX以太網(wǎng)、FDDI環(huán)網(wǎng)等。從易用性、先進(jìn)性和可擴(kuò)展性的角度考慮，采用100Mb/s，1000Mb/s以太網(wǎng)(條件允許也可以考慮10Gb/s以太網(wǎng))是目前局域網(wǎng)構(gòu)建的流行做法。3

核心層是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)及網(wǎng)絡(luò)設(shè)備的要求是非常嚴(yán)格的。因?yàn)楹诵木W(wǎng)絡(luò)層是網(wǎng)絡(luò)的樞紐中心，在整個(gè)網(wǎng)絡(luò)運(yùn)行中起著關(guān)鍵的作用，所以必須考慮冗余設(shè)計(jì)。在三層網(wǎng)絡(luò)設(shè)備中，核心層設(shè)備將占投資的主要部分。7.2.1三層網(wǎng)絡(luò)結(jié)構(gòu)分析7.2.2基于三層網(wǎng)絡(luò)架構(gòu)的無(wú)線校園網(wǎng)技術(shù)無(wú)線校園網(wǎng)是在現(xiàn)有校園網(wǎng)——核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)—的基礎(chǔ)上，將POE交換機(jī)與核心和匯聚交換機(jī)(使用原有核心、匯聚)通過(guò)光纖連接起來(lái)的網(wǎng)絡(luò)，并通過(guò)放裝式AP和智能天線入室型AP重新布放六類非屏蔽雙絞線以進(jìn)行網(wǎng)絡(luò)連接，如圖7-4所示。由于用戶目前上網(wǎng)應(yīng)用多，對(duì)網(wǎng)絡(luò)帶寬要求較高，因此為了滿足用戶對(duì)高帶寬的需求，所有宿舍無(wú)線設(shè)備以及大部分教室和辦公區(qū)域都采用802.11ac的AP產(chǎn)品，所有AP需要同時(shí)部署在2.4G及5GHz兩個(gè)頻段，其他部分區(qū)域采用802.11n產(chǎn)品作補(bǔ)充。常見的802.11協(xié)議如表7-1所示7.2.2基于三層網(wǎng)絡(luò)架構(gòu)的無(wú)線校園網(wǎng)技術(shù)版

本說(shuō)

明工作頻段802.11原始標(biāo)準(zhǔn)2.4GHz(2Mb/s)802.11a新增物理層補(bǔ)充協(xié)議5GHz(54Mb/s)802.11b最普及的標(biāo)準(zhǔn)，稱為WiFi2.4GHz(11Mb/s)802.11gCCK技術(shù)兼容802.11b，OFDM技術(shù)2.4GHz(54Mb/s)802.11nMIMO，540Mb/s2.4GHz、5GHz802.11ac繼承802.11n，更寬的RF帶寬，更多的MIMO，多用戶的MIMO，更高階的調(diào)制5GHz任務(wù)7.3校園網(wǎng)的管理與運(yùn)維7.3.1校園網(wǎng)的管理與運(yùn)維網(wǎng)絡(luò)服務(wù)器的管理需求高校大多數(shù)核心業(yè)務(wù)都集中在服務(wù)器上，Web網(wǎng)站、郵件、多媒體教學(xué)、一卡通服務(wù)等都需要服務(wù)器的支持。對(duì)這些服務(wù)器的維護(hù)是校園網(wǎng)管理的重點(diǎn)保障工作。17.3.1校園網(wǎng)的管理與運(yùn)維

教師和學(xué)生是校園網(wǎng)的主要參與者。只有保證每個(gè)用戶的行為都是安全的，才能保證網(wǎng)絡(luò)系統(tǒng)不被破壞。網(wǎng)絡(luò)管理員要對(duì)用戶的終端行為進(jìn)行合理、合法的控制。2網(wǎng)絡(luò)用戶行為的管理需求7.3.1校園網(wǎng)的管理與運(yùn)維網(wǎng)絡(luò)設(shè)備是校園網(wǎng)正常運(yùn)行的基礎(chǔ)。如何查看所有網(wǎng)絡(luò)的信息、運(yùn)作情況，發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備故障和隱患，并能快速操控不同廠商、型號(hào)的設(shè)備，是對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施維護(hù)和管理的核心要求。3

網(wǎng)絡(luò)設(shè)備及IP地址的管理需求4

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)管理需要更加關(guān)注的問(wèn)題，如何設(shè)置有效的告警規(guī)則，從而分析告警信息并采取相應(yīng)措施保障業(yè)務(wù)安全是安全管理的首要任務(wù)。網(wǎng)絡(luò)安全管理需求7.3.1校園網(wǎng)的管理與運(yùn)維7.3.2校園網(wǎng)運(yùn)維管理平臺(tái)建設(shè)

為了保證校園網(wǎng)信息平臺(tái)高效安全地運(yùn)行，需要采用統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)對(duì)整個(gè)學(xué)校網(wǎng)絡(luò)提供實(shí)用、易用的網(wǎng)絡(luò)管理功能。在網(wǎng)絡(luò)資源集中管理的基礎(chǔ)上，實(shí)現(xiàn)拓?fù)?、故障、性能、配置、安全等管理功能，?duì)于設(shè)備數(shù)量較多、分布地域較廣并且又相對(duì)較為集中的校園網(wǎng)絡(luò)現(xiàn)狀，必須采取分級(jí)分域管理平臺(tái)，有效應(yīng)對(duì)網(wǎng)絡(luò)中的負(fù)載均衡和對(duì)整個(gè)網(wǎng)絡(luò)的分權(quán)管理。在校園網(wǎng)管理平臺(tái)的建設(shè)過(guò)程中，可以從以下幾個(gè)方面出發(fā)：針對(duì)網(wǎng)絡(luò)用戶的身份和從事的工作，可以將用戶劃分為學(xué)生用戶、機(jī)房用戶和辦公用戶，并對(duì)三類用戶指定不同的認(rèn)證規(guī)則和計(jì)費(fèi)規(guī)則。7.3.2校園網(wǎng)運(yùn)維管理平臺(tái)建設(shè)1）用戶管理7.3.2校園網(wǎng)運(yùn)維管理平臺(tái)建設(shè)2）IT資源管理

統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)需要對(duì)學(xué)校不同的IT資源，如有線網(wǎng)絡(luò)設(shè)備、無(wú)線網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等進(jìn)行實(shí)時(shí)監(jiān)控，以及時(shí)了解學(xué)校骨干鏈路的流量，規(guī)范設(shè)備管理。同時(shí)運(yùn)維管理平臺(tái)需要完成數(shù)據(jù)采集工作，通過(guò)采集數(shù)據(jù)，識(shí)別網(wǎng)絡(luò)負(fù)荷，分析設(shè)備性能和安全風(fēng)險(xiǎn)。7.3.2校園網(wǎng)運(yùn)維管理平臺(tái)建設(shè)3）運(yùn)維質(zhì)量管理依據(jù)數(shù)字化校園網(wǎng)絡(luò)優(yōu)化校園網(wǎng)絡(luò)報(bào)修流程，使用戶可以通過(guò)自助服務(wù)平臺(tái)發(fā)起故障報(bào)修。網(wǎng)絡(luò)管理人員應(yīng)提高故障排查處理效率，并將故障信息和解決方案及時(shí)存檔，為運(yùn)維管理提供技術(shù)支持7.3.2校園網(wǎng)運(yùn)維管理平臺(tái)建設(shè)4）通過(guò)無(wú)線AP和AC設(shè)備對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行統(tǒng)一監(jiān)控，直觀了解學(xué)校物理位置的無(wú)線網(wǎng)絡(luò)運(yùn)行情況，快速識(shí)別各區(qū)域無(wú)線網(wǎng)絡(luò)的異常情況。無(wú)線設(shè)備可視化管理任務(wù)7.4網(wǎng)絡(luò)故障的檢測(cè)與排除7.4網(wǎng)絡(luò)故障的檢測(cè)與排除1網(wǎng)絡(luò)故障的排除方法概述OSI的層次結(jié)構(gòu)為管理員分析和排查故障原因提供了極大的便利。由于各層相對(duì)獨(dú)立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。逐層排查方式通常有兩種，一種是從低層開始排查，適用于物理網(wǎng)絡(luò)不夠成熟穩(wěn)定的情況，如新組建的網(wǎng)絡(luò)、網(wǎng)絡(luò)線纜的重新調(diào)整、新的網(wǎng)絡(luò)設(shè)備的增加；另一種是從高層開始排查，適用于物理網(wǎng)絡(luò)相對(duì)成熟穩(wěn)定的情況，如硬件設(shè)備沒(méi)有變動(dòng)。無(wú)論哪種方式，最終都能達(dá)到目標(biāo)，只是解決問(wèn)題的效率有所差別。7.4網(wǎng)絡(luò)故障的檢測(cè)與排除網(wǎng)絡(luò)故障分類及排除方法2

網(wǎng)絡(luò)故障主要分為物理層故障、數(shù)據(jù)鏈路層故障、網(wǎng)絡(luò)層故障以及傳輸層、應(yīng)用層故障。物理層故障及排除方法

(1)電氣性能故障。

(2)傳輸模式故障。2)數(shù)據(jù)鏈路層故障及排除方法3)網(wǎng)絡(luò)層故障及排除方法4)傳輸層、應(yīng)用層故障及排除方法7.4.2常見網(wǎng)絡(luò)故障及故障排除工具

故障的正確診斷是排除故障的關(guān)鍵，因此選擇好的故障診斷工具是很重要的。這些工具既有軟件工具，也有系統(tǒng)命令，功能各異，各有長(zhǎng)處。Windows操作系統(tǒng)中包括幾種常用的網(wǎng)絡(luò)故障測(cè)試診斷工具，主要有IP測(cè)試工具Ping、TCP/IP協(xié)議配置工具Ipconfig、網(wǎng)絡(luò)協(xié)議統(tǒng)計(jì)工具Netstat和跟蹤工具Tracert等。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具TCP/IP體系結(jié)構(gòu)OSI模型網(wǎng)絡(luò)故障組件故障診斷工具測(cè)試重點(diǎn)應(yīng)用層應(yīng)用層應(yīng)用程序、操作系統(tǒng)瀏覽器、各類網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)性能測(cè)試軟件、Nslookup命令網(wǎng)絡(luò)性能、計(jì)算機(jī)系統(tǒng)會(huì)話層表示層傳輸層傳輸層各類網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)協(xié)議分析軟件、網(wǎng)絡(luò)協(xié)議分析硬件、網(wǎng)絡(luò)流量監(jiān)控工具服務(wù)器端口設(shè)置、網(wǎng)絡(luò)攻擊與病毒網(wǎng)絡(luò)層網(wǎng)絡(luò)層路由器、計(jì)算機(jī)網(wǎng)絡(luò)配置路由及協(xié)議設(shè)置、計(jì)算機(jī)的本地連接、Ping命令、Route命令、Tracert命令、Pathping命令、Netstat命令計(jì)算機(jī)IP設(shè)置、路由設(shè)置網(wǎng)絡(luò)接入層數(shù)據(jù)鏈路層交換機(jī)、網(wǎng)卡設(shè)備指示燈、網(wǎng)絡(luò)測(cè)試儀、交換機(jī)配置命令、Arp命令網(wǎng)卡及交換機(jī)硬件、交換機(jī)設(shè)置、網(wǎng)絡(luò)環(huán)路、廣播風(fēng)暴物理層雙絞線、光纜、無(wú)線傳輸、電源測(cè)線儀、光纖測(cè)試儀、電源指示燈雙絞線、光纜接口及傳輸特性7.4.2常見網(wǎng)絡(luò)故障及故障排除工具硬件檢測(cè)工具1測(cè)線儀

測(cè)線儀是一種價(jià)格低廉、簡(jiǎn)單易用的用來(lái)測(cè)試雙絞線或電話線通斷的儀器，如圖7-5所示。使用時(shí)，只要將網(wǎng)線的一端接入測(cè)線儀的一個(gè)RJ-45口中，另一端接另一個(gè)RJ-45口中，網(wǎng)線的通斷情況即可一目了解。測(cè)線儀上有兩組相對(duì)應(yīng)的指示燈，一組為1～8，另一組為8～1；也有兩組順序相同的測(cè)線儀。開始測(cè)試后，這兩組燈一對(duì)一地亮起來(lái)。比如第一組是1號(hào)燈亮，另一組也是1號(hào)燈亮，這樣依次閃亮直到8號(hào)燈。如果哪一組的燈沒(méi)有亮，則表示哪一組的網(wǎng)線有問(wèn)題。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具尋線儀2

尋線儀由信號(hào)震蕩發(fā)聲器和尋線器及相應(yīng)的適配線組成，其工作原理是信號(hào)震蕩發(fā)聲器發(fā)出的聲音信號(hào)通過(guò)RJ-45/RJ-11通用接口接入目標(biāo)線纜的端口上，致使目標(biāo)線纜回路周圍產(chǎn)生一個(gè)環(huán)繞的聲音信號(hào)場(chǎng)；用高靈敏度感應(yīng)式尋線器很快在回路沿途和未端識(shí)別它發(fā)出的信號(hào)場(chǎng)，從而找到這條目的線纜。因?yàn)閷ぞ€器可以迅速高效地從大量的線束線纜中找到所需線纜，所以是網(wǎng)絡(luò)線纜、通訊線纜、各種金屬線路施工工程和日常維護(hù)過(guò)程中查找線纜的必備工具。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具紅光筆3

紅光筆又叫做通光筆、筆式紅光源、可見光檢測(cè)筆、光纖故障檢測(cè)器、光纖故障定位儀等，其外形如圖7-7所示，多數(shù)用于檢測(cè)光纖斷點(diǎn)。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具光功率計(jì)4

光功率計(jì)是用于測(cè)量絕對(duì)光功率或通過(guò)一段光纖的光功率的相對(duì)損耗的儀器，其外形如圖7-8所示。在光纖系統(tǒng)中，光功率計(jì)是最基本的儀器，非常像電子學(xué)中的萬(wàn)用表。在光纖測(cè)量中，光功率計(jì)是重負(fù)荷常用表。通過(guò)測(cè)量發(fā)射端機(jī)或光網(wǎng)絡(luò)的絕對(duì)功率，一臺(tái)光功率計(jì)就能夠評(píng)價(jià)光端設(shè)備的性能。將光功率計(jì)與穩(wěn)定光源組合使用，則能夠測(cè)量連接損耗、檢驗(yàn)連續(xù)性，并評(píng)估光纖鏈路傳輸質(zhì)量。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具1)

Ping命令(1)?Ping命令簡(jiǎn)述。Ping是因特網(wǎng)包探索器，是一個(gè)專用于TCP/IP協(xié)議網(wǎng)絡(luò)的測(cè)試工具，用于檢查網(wǎng)絡(luò)是否暢通。它的工作原理是利用IP地址的唯一性，給目標(biāo)IP地址發(fā)送ICMPECHO_REQUEST包進(jìn)行測(cè)試，并要求對(duì)方返回一個(gè)同樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包確定兩臺(tái)電腦是否連通。常見的Ping命令如表7-3所示。2.檢測(cè)命令工具7.4.2常見網(wǎng)絡(luò)故障及故障排除工具選

項(xiàng)說(shuō)

明-tPing指定的主機(jī)，直到停止-a將地址解析為主機(jī)名-ncount要發(fā)送的回顯請(qǐng)求數(shù)-lsize發(fā)送緩沖區(qū)大小-f在數(shù)據(jù)包中設(shè)置“不分段”標(biāo)記(僅適用于IPv4)-ITTL生存時(shí)間-vTOS服務(wù)類型(僅適用于IPv4該設(shè)置已被棄用)-rcount記錄計(jì)數(shù)躍點(diǎn)的路由(僅適用于IPv4)-scount計(jì)數(shù)躍點(diǎn)的時(shí)間戳(僅適用于IPv4)-jhost-list與主機(jī)列表一起使用的松散源路由(僅適用于IPv4)-khost-list與主機(jī)列表一起使用的嚴(yán)格源路由(僅適用于IPv4)-wtimeout等待每次回復(fù)的超時(shí)時(shí)間(毫秒)-R同樣使用路由標(biāo)頭測(cè)試反向路由(僅適用于IPv6)-Ssrcaddr要使用的源地址-ccompartment路由隔離艙標(biāo)識(shí)符-pPingHyper-V網(wǎng)絡(luò)虛擬化提供程序地址-4強(qiáng)制使用IPv4-6強(qiáng)制使用IPv67.4.2常見網(wǎng)絡(luò)故障及故障排除工具(2)常用的Ping命令舉例。①

連續(xù)對(duì)目標(biāo)IP地址執(zhí)行Ping命令，如圖7-9所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具③

對(duì)目標(biāo)地址發(fā)送5個(gè)數(shù)據(jù)包，如圖7-11所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具(3)使用Ping命令進(jìn)行網(wǎng)絡(luò)檢測(cè)的順序。①?Ping(或Ping127.1)。②

Ping本地IP(IPConfig查看本地IP地址)。③

Ping一臺(tái)同網(wǎng)段計(jì)算機(jī)的IP。④

Ping路由器(默認(rèn)網(wǎng)關(guān))。⑤

Ping遠(yuǎn)程IP。⑥

Ping網(wǎng)站。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具(4)無(wú)法Ping通時(shí)可能有以下故障：①

程序未響應(yīng)。②

訪問(wèn)控制。③

某些路由器端口是禁用Ping響應(yīng)的。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具2)

ipconfigTCP/IP配置參數(shù)出錯(cuò)，導(dǎo)致用戶不能正常使用網(wǎng)絡(luò)，修復(fù)TCP/IP配置參數(shù)是排除這一網(wǎng)絡(luò)故障常用的一種方法?？梢允褂肐pconfig命令來(lái)修復(fù)TCP/IP錯(cuò)誤。

Ipconfig功能表如表7-5所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具選

項(xiàng)說(shuō)

明all顯示完整配置信息release釋放指定適配器的IPv4地址release6釋放指定適配器的IPv6地址renew更新指定適配器的IPv4地址renew6更新指定適配器的IPv6地址flushdns清除DNS解析程序緩存registerdns刷新所有DHCP租用并重新注冊(cè)DNS名稱displaydns顯示DNS解析程序緩存的內(nèi)容showclassid顯示適配器允許的所有DHCP類IDsetclassid修改DHCP類IDshowclassid6顯示適配器允許的所有IPv6DHCP類IDsetclassid6修改IPv6DHCP類ID7.4.2常見網(wǎng)絡(luò)故障及故障排除工具Ipconfig/all可用來(lái)查看獲取的詳細(xì)網(wǎng)絡(luò)信息，如圖7-12所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具3)?ARPARP命令的作用是顯示和修改IP地址與物理地址之間的轉(zhuǎn)換表，查看和修改本地計(jì)算機(jī)上的ARP表項(xiàng)，以及查看ARP緩存和地址解析問(wèn)題。

ARP功能表如表所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具選

項(xiàng)說(shuō)

明-a通過(guò)詢問(wèn)當(dāng)前協(xié)議數(shù)據(jù)，顯示當(dāng)前ARP項(xiàng)。如果指定inet_addr，則只顯示指定計(jì)算機(jī)的IP地址和物理地址。如果不止一個(gè)網(wǎng)絡(luò)接口使用ARP，則顯示每個(gè)接口的ARP的表項(xiàng)-g與-a相同-v在詳細(xì)模式下顯示當(dāng)前ARP項(xiàng)。所有無(wú)效項(xiàng)和環(huán)回接口上的項(xiàng)都將顯示inet_addr指定Internet地址-Nif_addr顯示if_addr指定的網(wǎng)絡(luò)接口的ARP項(xiàng)-d刪除inet_addr指定的主機(jī)。inet_addr可以是通配符*，以刪除所有主機(jī)-s添加主機(jī)并且將Internet地址inet_addr與物理地址eth_addr相關(guān)聯(lián)。物理地址是用連字符分隔的6個(gè)十六進(jìn)制字節(jié)。該項(xiàng)是永久的eth_addr指定物理地址if_addr如果存在，此項(xiàng)指定地址轉(zhuǎn)換表應(yīng)修改接口的Internet地址。如果不存在，則使用第一個(gè)適用的接口7.4.2常見網(wǎng)絡(luò)故障及故障排除工具arp-a命令用于查看所有當(dāng)前網(wǎng)卡的arp表?xiàng)l目數(shù)，如圖所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具4)

TracertTracert(跟蹤路由)是路由跟蹤實(shí)用程序，用于確定IP

數(shù)據(jù)報(bào)訪問(wèn)目標(biāo)所采取的路徑。Tracert命令用IP生存時(shí)間字段和ICMP錯(cuò)誤消息來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由以及數(shù)據(jù)包在網(wǎng)絡(luò)上的停止位置。Tracert功能表如表7-7所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具選

項(xiàng)說(shuō)

明-d不將地址解析成主機(jī)名-hmaximum_hops搜索目標(biāo)的最大躍點(diǎn)數(shù)-jhost-list與主機(jī)列表一起的松散源路由(僅適用于IPv4)-wtimeout等待每個(gè)回復(fù)的超時(shí)時(shí)間(以毫秒為單位)-R跟蹤往返行程路徑(僅適用于IPv6)-Ssrcaddr要使用的源地址(僅適用于IPv6)-4強(qiáng)制使用IPv4-6強(qiáng)制使用IPv67.4.2常見網(wǎng)絡(luò)故障及故障排除工具

Tracert可用來(lái)進(jìn)行故障定位，如圖7-14所示。圖中默認(rèn)網(wǎng)關(guān)確定53主機(jī)沒(méi)有有效路徑，這可能是路由器配置的問(wèn)題，或者是網(wǎng)絡(luò)不存在(錯(cuò)誤的IP地址)，此時(shí)可以采取幾條路徑到達(dá)同一個(gè)點(diǎn)的辦法來(lái)解決該問(wèn)題。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具5)

RouteRoute命令是指在本地IP路由表中顯示和修改網(wǎng)絡(luò)條目的命令。一般使用routedelete、routeadd、routeprint這三條命令可解決路由的所有功能。例如，使用routeprint命令可輸出主機(jī)路由表，如圖7-15所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具功

能說(shuō)

明-f清除所有網(wǎng)關(guān)項(xiàng)的路由表。如果與某個(gè)命令結(jié)合使用，在運(yùn)行該命令前，應(yīng)清除路由表-p與ADD命令結(jié)合使用時(shí)，用戶永久保留某條路徑(即在系統(tǒng)重啟時(shí)不會(huì)丟失路由，但在Windows95下無(wú)效)-4強(qiáng)制使用IPv4-6強(qiáng)制使用IPv6PRINT打印路由ADD添加路由DELETE刪除路由CHANGE修改現(xiàn)有路由destination指定主機(jī)MASK指定下一個(gè)參數(shù)為“netmask”值netmask指定此路由項(xiàng)的子網(wǎng)掩碼值。如果未指定，其默認(rèn)設(shè)置為55gateway指定網(wǎng)關(guān)interface指定路由的接口號(hào)碼METRIC指定躍點(diǎn)數(shù)，例如目標(biāo)的成本7.4.2常見網(wǎng)絡(luò)故障及故障排除工具6)

Netstat

利用該工具可以顯示有關(guān)統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接的情況，用戶或網(wǎng)絡(luò)管理人員可以得到非常詳盡的統(tǒng)計(jì)結(jié)果。當(dāng)網(wǎng)絡(luò)中沒(méi)有安裝特殊的網(wǎng)管軟件，但要對(duì)整個(gè)網(wǎng)絡(luò)的使用狀況做詳細(xì)了解時(shí)，就是Netstat大顯身手的時(shí)候了。Netstat功能表如表7-9所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具選

項(xiàng)說(shuō)

明-a顯示所有連接和偵聽端口-b顯示在創(chuàng)建每個(gè)連接或偵聽端口時(shí)涉及的可執(zhí)行程序。在某些情況下，已知可執(zhí)行程序承載多個(gè)獨(dú)立的組件。此時(shí)，可執(zhí)行程序的名稱位于底部[]中，它調(diào)用的組件位于頂部，直至達(dá)到TCP/IP。注意，此選項(xiàng)可能很耗時(shí)，并且在沒(méi)有足夠權(quán)限時(shí)可能失敗-e顯示以太網(wǎng)統(tǒng)計(jì)信息。此選項(xiàng)可以與-s選項(xiàng)結(jié)合使用-f顯示外部地址的完全限定域名(FQDN)-n以數(shù)字形式顯示地址和端口號(hào)-o顯示擁有的與每個(gè)連接關(guān)聯(lián)的進(jìn)程ID7.4.2常見網(wǎng)絡(luò)故障及故障排除工具選

項(xiàng)說(shuō)

明-pproto顯示proto指定的協(xié)議連接；proto可以是下列任何一個(gè)：TCP、UDP、TCPv6或UDPv6。如果與-s選項(xiàng)一起用來(lái)顯示每個(gè)協(xié)議的統(tǒng)計(jì)信息，proto可以是下列任何一個(gè)：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6-q顯示所有連接、偵聽端口和綁定的非偵聽TCP端口。綁定的非偵聽端口不一定與活動(dòng)連接相關(guān)聯(lián)-r顯示路由表-s顯示每個(gè)協(xié)議的統(tǒng)計(jì)信息。默認(rèn)情況下，顯示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的統(tǒng)計(jì)信息-p選項(xiàng)可用于指定默認(rèn)的子網(wǎng)-t顯示當(dāng)前連接卸載狀態(tài)-x顯示NetworkDirect連接、偵聽器和共享終結(jié)點(diǎn)-y顯示所有連接的TCP連接模板。無(wú)法與其他選項(xiàng)結(jié)合使用interval重新顯示選定的統(tǒng)計(jì)信息以及各個(gè)顯示間暫停的間隔秒數(shù)。按CTRL+C停止重新顯示統(tǒng)計(jì)信息。如果省略，則netstat將打印當(dāng)前的配置信息一次7.4.2常見網(wǎng)絡(luò)故障及故障排除工具netstat命令單獨(dú)使用時(shí)，將顯示本機(jī)所有活動(dòng)的TCP連接，如圖7-16所示。7.4.2常見網(wǎng)絡(luò)故障及故障排除工具netstat-a命令可以查看本機(jī)所有TCP和UDP的網(wǎng)絡(luò)連接狀況，如圖7-17所示。小結(jié)校園網(wǎng)組建是一項(xiàng)看似簡(jiǎn)單實(shí)則復(fù)雜的系統(tǒng)工程，涉及需求分析、設(shè)計(jì)原則、技術(shù)選型、設(shè)備選擇和安全防范等諸多方面。校園網(wǎng)分層按照網(wǎng)絡(luò)規(guī)模劃分為核心層、匯聚層和接入層三個(gè)層次。校園網(wǎng)一般采用傳統(tǒng)的交換式三層網(wǎng)絡(luò)架構(gòu)，分為辦公、學(xué)生兩大區(qū)域。學(xué)生、辦公分別由各自的區(qū)域匯聚交換機(jī)連接至校內(nèi)核心設(shè)備。要正確地維護(hù)網(wǎng)絡(luò)，對(duì)故障進(jìn)行迅速、準(zhǔn)確的定位，必須要建立一個(gè)系統(tǒng)化的故障排除觀念和合理的解決方案，將一個(gè)復(fù)雜的問(wèn)題隔離、分解成若干簡(jiǎn)單問(wèn)題或縮減排錯(cuò)范圍謝謝觀看計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)與實(shí)戰(zhàn)(第二版)構(gòu)建網(wǎng)絡(luò)的銅墻鐵壁08章節(jié)導(dǎo)讀隨著互聯(lián)網(wǎng)的發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越高，網(wǎng)絡(luò)中的潛在威脅也日益突出。尤其近幾年，不法分子對(duì)系統(tǒng)的攻擊手段愈加多樣化，某種特定程度的技術(shù)遠(yuǎn)不足以確保一個(gè)系統(tǒng)的安全。網(wǎng)絡(luò)安全最基本的要領(lǐng)是要有預(yù)備方案，即不是在遇到問(wèn)題的時(shí)候才去處理，而是通過(guò)對(duì)可能發(fā)生的問(wèn)題進(jìn)行預(yù)測(cè)，在可行的最大范圍內(nèi)為系統(tǒng)制定安保對(duì)策，進(jìn)行日常運(yùn)維，構(gòu)建網(wǎng)絡(luò)的銅墻鐵壁，才是保障網(wǎng)絡(luò)正常運(yùn)行的重中之重。0504030201了解防火墻和入侵檢測(cè)系統(tǒng)的基本原理學(xué)習(xí)目標(biāo)了解對(duì)稱密碼體制和非對(duì)稱密碼體質(zhì)的區(qū)別熟悉常見的身份認(rèn)證技術(shù)及安全協(xié)議掌握最常見的網(wǎng)絡(luò)攻擊手段及防范措施熟悉Windows7系統(tǒng)的基本安全配置、MD5加密解密工具的使用以及IE瀏覽器的安全配置任務(wù)8.1了解網(wǎng)絡(luò)攻擊與防范8.1.1網(wǎng)絡(luò)安全研究的主要問(wèn)題計(jì)算機(jī)網(wǎng)絡(luò)安全是涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合學(xué)科，包括網(wǎng)絡(luò)管理、數(shù)據(jù)安全等很多方面。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全包括物理安全、邏輯安全、操作系統(tǒng)安全和網(wǎng)絡(luò)傳輸安全。8.1.1網(wǎng)絡(luò)安全研究的主要問(wèn)題物理安全物理安全是指用來(lái)保護(hù)計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)的裝置和工作程序。物理安全包括防盜、防火、防靜電、防雷擊和防電磁泄漏等內(nèi)容。防盜。防火。防靜電。防雷擊。防電磁泄漏。18.1.1網(wǎng)絡(luò)安全研究的主要問(wèn)題邏輯安全計(jì)算機(jī)的邏輯安全主要用口令、文件許可、加密、檢查日志等方法來(lái)實(shí)現(xiàn)。防止黑客入侵主要依賴于計(jì)算機(jī)的邏輯安全。邏輯安全可以通過(guò)以下措施來(lái)加強(qiáng)：(1)限制登錄的次數(shù)，對(duì)試探操作加上時(shí)間限制；(2)把重要的文檔、程序和文件加密；(3)限制存取非本用戶自己的文件，除非得到明確的授權(quán)；(4)跟蹤可疑的、未授權(quán)的存取企圖。28.1.1網(wǎng)絡(luò)安全研究的主要問(wèn)題操作系統(tǒng)安全操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件，同一計(jì)算機(jī)可以安裝幾種不同的操作系統(tǒng)。如果計(jì)算機(jī)系統(tǒng)需要提供給許多人使用，操作系統(tǒng)必須能區(qū)分用戶，防止他們相互干擾。一些安全性高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的不同用戶分配賬戶。不同賬戶有不同的權(quán)限。操作系統(tǒng)不允許一個(gè)用戶修改由其他賬戶產(chǎn)生的數(shù)據(jù)。操作系統(tǒng)分為網(wǎng)絡(luò)操作系統(tǒng)和個(gè)人操作系統(tǒng)，其安全內(nèi)容主要包括如下幾方面：(1)系統(tǒng)本身的漏洞；(2)內(nèi)部和外部用戶的安全威脅；(3)通信協(xié)議本身的安全性；(4)病毒感染。38.1.1網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)傳輸安全網(wǎng)絡(luò)傳輸安全是指信息在傳播過(guò)程中出現(xiàn)丟失、泄露、受到破壞等情況。其主要內(nèi)容如下：(1)訪問(wèn)控制服務(wù)：用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。(2)通信安全服務(wù)：用來(lái)認(rèn)證數(shù)據(jù)的保密性和完整性，以及各通信的可信賴性。48.1.2網(wǎng)絡(luò)攻擊的主要手段1．網(wǎng)絡(luò)攻擊的概念計(jì)算機(jī)網(wǎng)絡(luò)攻擊是指網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)通信協(xié)議自身存在的缺陷、用戶使用的操作系統(tǒng)內(nèi)在缺陷或用戶使用的程序語(yǔ)言本身所具有的安全隱患，通過(guò)使用網(wǎng)絡(luò)命令或者專門的軟件非法進(jìn)入本地或遠(yuǎn)程用戶主機(jī)系統(tǒng)，獲得、修改、刪除用戶系統(tǒng)的信息以及在用戶系統(tǒng)上插入有害信息，降低、破壞網(wǎng)絡(luò)使用性能等一系列活動(dòng)的總稱。8.1.2網(wǎng)絡(luò)攻擊的主要手段8.1.2網(wǎng)絡(luò)攻擊的主要手段2．常見的攻擊方法為了獲取訪問(wèn)權(quán)限，或者修改、破壞數(shù)據(jù)等，攻擊者會(huì)綜合利用多種攻擊方法達(dá)到其目的。常見的攻擊方式主要有以下幾種：1.獲取口令3.WWW欺騙技術(shù)2.放置特洛伊木馬程序4.電子郵件攻擊5.通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)6.SQL注入攻擊7.數(shù)據(jù)庫(kù)入侵攻擊8.跨站攻擊8.1.2網(wǎng)絡(luò)攻擊的主要手段獲取口令有多種方式，包括：通過(guò)網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令；在知道用戶的賬號(hào)后(如用戶電子郵件口令@前面的部分)利用一些專門軟件強(qiáng)行破解；在獲得一個(gè)服務(wù)器上的用戶口令文件(此文件成為Shadow文件)后，用暴力破解程序破解用戶口令。獲取口令18.1.2網(wǎng)絡(luò)攻擊的主要手段特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞。它常被偽裝成工具程序或者游戲等，誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序，它們就會(huì)像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在Windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。放置特洛伊木馬程序28.1.2網(wǎng)絡(luò)攻擊的主要手段WWW欺騙技術(shù)是指要訪問(wèn)的網(wǎng)頁(yè)已經(jīng)被黑客篡改過(guò)。例如，黑客將用戶要瀏覽網(wǎng)頁(yè)的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁(yè)的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，黑客就可以達(dá)到欺騙的目的了。電子郵件攻擊主要表現(xiàn)為兩種方式：一是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說(shuō)的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無(wú)窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來(lái)危險(xiǎn)，甚至造成服務(wù)器癱瘓。二是電子郵件欺騙，這類欺騙只要用戶提高警惕，一般危害性不是太大。電子郵件攻擊4WWW欺騙技術(shù)38.1.2網(wǎng)絡(luò)攻擊的主要手段通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)是指黑客在突破一臺(tái)主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)(以隱蔽其入侵路徑，避免留下蛛絲馬跡)。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過(guò)IP欺騙和主機(jī)信任關(guān)系攻擊其他主機(jī)。這類攻擊很狡猾，但由于IP欺騙等技術(shù)很難掌握，因此較少被黑客使用。SQL注入攻擊技術(shù)自2004年開始逐步發(fā)展，并日益流行，已成為WEB入侵的常青技術(shù)。這主要是因?yàn)榫W(wǎng)頁(yè)程序員在編寫代碼時(shí)，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使得攻擊者可以構(gòu)造并提交一段惡意的數(shù)據(jù)，根據(jù)返回結(jié)果來(lái)獲得數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的敏感信息。由于編寫代碼的程序員技術(shù)水平參差不齊，一個(gè)網(wǎng)站的代碼量往往又大得驚人，使得注入漏洞往往層出不窮，也給攻擊者帶來(lái)了突破的機(jī)會(huì)。SQL常用的注入工具有pangolin、NBSI3.0等。SQL注入攻擊6通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)58.1.2網(wǎng)絡(luò)攻擊的主要手段數(shù)據(jù)庫(kù)入侵包括默認(rèn)數(shù)據(jù)庫(kù)下載、暴庫(kù)下載以及數(shù)據(jù)庫(kù)弱口令連接等攻擊方式。默認(rèn)數(shù)據(jù)庫(kù)漏洞是指部分網(wǎng)站在使用開源代碼程序時(shí)，未對(duì)數(shù)據(jù)庫(kù)路徑以及文件名進(jìn)行修改，導(dǎo)致攻擊者可以直接下載到數(shù)據(jù)庫(kù)文件進(jìn)行攻擊。暴庫(kù)下載攻擊是指由于IIS存在%5C編碼轉(zhuǎn)換漏洞，因此攻擊者在提交特殊構(gòu)造的地址時(shí)，網(wǎng)站將數(shù)據(jù)庫(kù)真實(shí)物理路徑作為錯(cuò)誤信息返回到瀏覽器中。攻擊者即可以此下載到關(guān)鍵數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)弱口令連接入侵是指攻擊者將通過(guò)掃推得到的弱口令，利用數(shù)據(jù)庫(kù)連接工具直接連接到目標(biāo)主機(jī)的數(shù)據(jù)庫(kù)上，并依靠數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程擴(kuò)展等方式，添加后門賬號(hào)、執(zhí)行特殊命令。跨站攻擊是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式?？缯竟舻哪繕?biāo)是為了盜取客戶端的cookie或者其他網(wǎng)站用于識(shí)別客戶端身份的敏感信息。獲取到用戶信息后，攻擊者甚至可以假冒最終用戶與網(wǎng)站進(jìn)行交互。圖8-2為XSS攻擊的過(guò)程?？缯竟?數(shù)據(jù)庫(kù)入侵攻擊78.1.3網(wǎng)絡(luò)安全的常見防范技術(shù)1.數(shù)據(jù)加密技術(shù)5.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)3.防火墻技術(shù)2.信息確認(rèn)技術(shù)4.網(wǎng)絡(luò)安全掃描技術(shù)6.黑客誘騙技術(shù)8.1.3網(wǎng)絡(luò)安全的常見防范技術(shù)數(shù)據(jù)加密技術(shù)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密是保障信息安全最基本、最核心的技術(shù)措施和理論基礎(chǔ)。信息加密是現(xiàn)代密碼學(xué)的核心內(nèi)容，其過(guò)程由形形色色的加密算法來(lái)實(shí)現(xiàn)，它以很小的代價(jià)提供很大的安全保護(hù)。在多數(shù)情況下，信息加密是保證信息機(jī)密性的唯一方法。18.1.3網(wǎng)絡(luò)安全的常見防范技術(shù)信息確認(rèn)技術(shù)信息確認(rèn)技術(shù)通過(guò)嚴(yán)格限定信息的共享范圍來(lái)達(dá)到防止信息被非法偽造、篡改和假置的目的。一個(gè)安全的信息確認(rèn)方案應(yīng)該能：使合法的接收者驗(yàn)證他收到的消息是否真實(shí)；發(fā)信者無(wú)法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無(wú)法偽造消息；發(fā)生爭(zhēng)執(zhí)時(shí)可由第三方仲裁。按照其具體目的，信息確認(rèn)系統(tǒng)可分為消息確認(rèn)、身份確認(rèn)和數(shù)字簽名。消息確認(rèn)是指約定的接收者能夠證實(shí)消息是由約定發(fā)信者送出的，且在通信過(guò)程中未被篡改過(guò)。身份確認(rèn)是指用戶的身份能夠被正確判定，最簡(jiǎn)單但卻最常用的身份確認(rèn)方法有個(gè)人識(shí)別號(hào)、口令、個(gè)人特征(如指紋)等。數(shù)字簽名與日常生活中的手寫簽名效果一樣，它不但能使消息接收者確認(rèn)消息是否來(lái)自合法方，而且可以為仲裁者提供發(fā)信者對(duì)消息簽名的證據(jù)。28.1.3網(wǎng)絡(luò)安全的常見防范技術(shù)防火墻技術(shù)盡管近年來(lái)各種網(wǎng)絡(luò)安全技術(shù)不斷涌現(xiàn)，但到目前為止防火墻仍是網(wǎng)絡(luò)系統(tǒng)安全保護(hù)中最常用的技術(shù)。防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可以是硬件和軟件的結(jié)合。這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問(wèn)控制策略進(jìn)行過(guò)濾或做出其他操作。防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的入侵，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離，也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離，后者通常稱為Intranet防火墻。38.1.3網(wǎng)絡(luò)安全的常見防范技術(shù)網(wǎng)絡(luò)安全掃描技術(shù)網(wǎng)絡(luò)安全掃描技術(shù)是指為使系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。利用安全掃描技術(shù)，可以對(duì)局城網(wǎng)絡(luò)、Web站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)及防火墻系統(tǒng)的安全漏洞進(jìn)行掃描，同時(shí)系統(tǒng)管理員可以了解在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢測(cè)主機(jī)系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯(cuò)誤。網(wǎng)絡(luò)安全掃描技術(shù)主要有網(wǎng)絡(luò)遠(yuǎn)程安全掃描、防火墻系統(tǒng)掃描、Web網(wǎng)站掃描、系統(tǒng)安全掃描等幾種方式。48.1.3網(wǎng)絡(luò)安全的常見防范技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，它通過(guò)硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對(duì)訪問(wèn)控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過(guò)濾掉等。5黑客誘騙技術(shù)黑客誘騙技術(shù)是近期發(fā)展起來(lái)的一種網(wǎng)絡(luò)安全技術(shù)，通過(guò)由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來(lái)引誘黑客，并對(duì)黑客進(jìn)行跟蹤和記錄。6任務(wù)8.2認(rèn)識(shí)網(wǎng)絡(luò)安全的構(gòu)成要素8.2認(rèn)識(shí)網(wǎng)絡(luò)安全的構(gòu)成要素TCP/IP相關(guān)的安全要素如圖所示。下面，我們對(duì)這些要素進(jìn)行簡(jiǎn)要介紹。8.2.1防火墻防火墻的概念1防火墻(Firewall)是一種硬體設(shè)備或軟件系統(tǒng)，主要部署在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間，可防止外界惡意程序?qū)?nèi)部系統(tǒng)的破壞，或阻止內(nèi)部重要信息向外流出，有雙向監(jiān)督的功能，如圖所示。8.2.1防火墻防火墻的功能21）保護(hù)脆弱的服務(wù)防火墻作為阻塞點(diǎn)、控制點(diǎn)，能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)從而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，因此網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以提供對(duì)系統(tǒng)的訪問(wèn)控制，如允許從外部訪問(wèn)某些主機(jī)，同時(shí)禁止訪問(wèn)另外的主機(jī)。例如，防火墻允許外部訪問(wèn)特定的MailServer和WebServer。8.2.1防火墻2）控制對(duì)系統(tǒng)的訪問(wèn)3）策略執(zhí)行防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)數(shù)據(jù)以及非法使用數(shù)據(jù)，如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并在日志中進(jìn)行記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。8.2.1防火墻防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理。防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略；可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件；外部用戶也只需要經(jīng)過(guò)一次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。4）集中的安全管理5）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。VPN可將企事業(yè)單位分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)有機(jī)地連成一個(gè)整體，不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。8.2.1防火墻通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)重點(diǎn)網(wǎng)段的隔離，從而限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題。一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此暴露內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的服務(wù)。6）防止內(nèi)部信息的外泄7）與VPN結(jié)合8.2.1防火墻防火墻的分類3防火墻的實(shí)現(xiàn)從層次上大體可分為包過(guò)濾防火墻，代理防火墻和復(fù)合型防火墻三類，如圖8-5所示。隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展，目前出現(xiàn)的新技術(shù)類型主要有狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測(cè)系統(tǒng)等。混合使用數(shù)據(jù)包過(guò)濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來(lái)防火墻的趨勢(shì)。8.2.1防火墻防火墻的缺陷4由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，并不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：(1)防火墻對(duì)繞過(guò)它的攻擊行為無(wú)能為力。(2)防火墻無(wú)法防范病毒，不能防止感染了病毒的軟件或文件的傳輸。要防范病毒，只能安裝反病毒軟件。(3)防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)支持。網(wǎng)絡(luò)安全性的提高往往以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。8.2.2入侵檢測(cè)系統(tǒng)入侵檢測(cè)的概念1入侵檢測(cè)(IntrusionDetection，ID)就是通過(guò)監(jiān)測(cè)并分析計(jì)算機(jī)系統(tǒng)的某些信息檢測(cè)入侵行為，并做出反應(yīng)。入侵檢測(cè)系統(tǒng)所檢測(cè)的系統(tǒng)信息包括系統(tǒng)記錄、網(wǎng)絡(luò)流量、應(yīng)用程序日志等。入侵是指未經(jīng)授權(quán)的計(jì)算機(jī)使用者以及不正當(dāng)使用計(jì)算機(jī)的合法用戶(內(nèi)部威脅)，危害或試圖危害資源的完整性、保密性、可用性的行為。入侵檢測(cè)的研究開始于20世紀(jì)80年代，進(jìn)入20世紀(jì)90年代成為研究與應(yīng)用的熱點(diǎn)，其間出現(xiàn)了許多研究原型與商業(yè)產(chǎn)品。在實(shí)際應(yīng)用中，入侵檢測(cè)比以上簡(jiǎn)單的定義要復(fù)雜得多，一般是通過(guò)各種入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)來(lái)實(shí)現(xiàn)各種入侵檢測(cè)的功能。8.2.2入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的原理及應(yīng)用2入侵檢測(cè)系統(tǒng)主要執(zhí)行如下任務(wù)：(1)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。(2)對(duì)系統(tǒng)構(gòu)造和弱點(diǎn)進(jìn)行審計(jì)。(3)識(shí)別反應(yīng)已知的進(jìn)攻活動(dòng)模式并向相關(guān)人士報(bào)警。(4)對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析。(5)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。(6)對(duì)操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。8.2.2入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的分類31)根據(jù)數(shù)據(jù)來(lái)源不同分類根據(jù)數(shù)據(jù)來(lái)源不同，入侵檢測(cè)系統(tǒng)可分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。(1)網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方式是將某臺(tái)主機(jī)的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測(cè)模塊。一般來(lái)說(shuō)，網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。(2)主機(jī)型入侵檢測(cè)系統(tǒng)。主機(jī)型入侵檢測(cè)系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源。當(dāng)然也可以通過(guò)其他手段(如檢測(cè)系統(tǒng)調(diào)用)從所有的主機(jī)上收集信息進(jìn)行分析。8.2.2入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的分類32)根據(jù)檢測(cè)方法不同進(jìn)行分類入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)的方法不同可分為異常檢測(cè)和誤用檢測(cè)兩種，如圖8-6所示。8.2.2入侵檢測(cè)系統(tǒng)CIDF模型(CommonIntrusionDetectionFramework，公共入侵檢測(cè)框架)是一個(gè)入侵檢測(cè)系統(tǒng)(InstrusionDetectionSystem，IDS)的通用模型，它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：(1)事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。(2)事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。(3)響應(yīng)單元：對(duì)分析結(jié)果做出反應(yīng)的功能單元。它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。(4)事件數(shù)據(jù)庫(kù)：存放各種中間和最終數(shù)據(jù)的位置的統(tǒng)稱。它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。入侵檢測(cè)系統(tǒng)技術(shù)分析48.2.2入侵檢測(cè)系統(tǒng)入侵檢測(cè)的基本流程5入侵檢測(cè)的基本流程如圖8-7所示，詳細(xì)的過(guò)程為：網(wǎng)絡(luò)報(bào)文捕獲→IP層協(xié)議解碼→TCP/UDP/ICMP協(xié)議解碼→TCP狀態(tài)跟蹤→應(yīng)用層協(xié)議解碼→攻擊特征檢測(cè)→報(bào)警及動(dòng)態(tài)響應(yīng)。根據(jù)CIDF模型，各個(gè)環(huán)節(jié)的對(duì)應(yīng)關(guān)系是：網(wǎng)絡(luò)報(bào)文捕獲、IP層協(xié)議解碼、TCP/UDP/ICMP協(xié)議解碼、TCP狀態(tài)跟蹤、應(yīng)用層協(xié)議解碼對(duì)應(yīng)事件產(chǎn)生器；攻擊特征檢測(cè)對(duì)應(yīng)事件分析器、報(bào)警及動(dòng)態(tài)響應(yīng)對(duì)應(yīng)響應(yīng)單元、日志記錄對(duì)應(yīng)事件數(shù)據(jù)庫(kù)。8.2.2入侵檢測(cè)系統(tǒng)8.2.2入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的缺陷6入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前還存在很多問(wèn)題，主要包括以下兩點(diǎn)：1)高誤報(bào)率高誤報(bào)率的原因主要有：一是正常請(qǐng)求誤認(rèn)為是入侵行為；二是對(duì)IDS用戶不關(guān)心事件的報(bào)警。導(dǎo)致IDS產(chǎn)品高誤報(bào)率的原因是IDS檢測(cè)精度過(guò)低和用戶對(duì)誤報(bào)概念的不確定。2)缺乏主動(dòng)防御功能入侵檢測(cè)技術(shù)作為一種被動(dòng)且功能有限的安全防御技術(shù)，缺乏主動(dòng)防御功能。因此，需要在新一代IDS產(chǎn)品中加入主動(dòng)防御功能，才能變被動(dòng)為主動(dòng)。8.2.3反病毒反病毒技術(shù)特點(diǎn)1(1)不存在能夠防治未來(lái)產(chǎn)生的所有病毒的反病毒軟硬件。(2)不存在能夠讓未來(lái)的所有反病毒軟硬件都無(wú)法檢測(cè)的病毒軟件。(3)目前的反病毒軟件和硬件以及安全產(chǎn)品是易耗品，必須經(jīng)常更新、升級(jí)。(4)病毒產(chǎn)生在前，反病毒手段滯后將是長(zhǎng)期的過(guò)程。8.2.3反病毒目前廣泛應(yīng)用的反病毒技術(shù)21)特征碼掃描法特征碼掃描法是指分析出病毒的特征病毒碼并集中存放于病毒代碼庫(kù)文件中，在掃描時(shí)將掃描對(duì)象與特征代碼庫(kù)比較，如有吻合，則判斷為感染病毒。該技術(shù)簡(jiǎn)單有效，安全徹底。但查殺病毒滯后，并且龐大的特征碼庫(kù)會(huì)造成查毒速度下降。2)虛擬執(zhí)行技術(shù)該技術(shù)通過(guò)虛擬執(zhí)行方法查殺病毒，可以對(duì)付加密、變形、異型及病毒生產(chǎn)機(jī)生產(chǎn)的病毒，具有如下特點(diǎn)：(1)在查殺病毒時(shí)，機(jī)器虛擬內(nèi)存會(huì)模擬出一個(gè)“指令執(zhí)行虛擬機(jī)器”。(2)在虛擬機(jī)環(huán)境中虛擬執(zhí)行(不會(huì)被實(shí)際執(zhí)行)可疑帶毒文件。(3)在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實(shí)現(xiàn)對(duì)各類可執(zhí)行文件內(nèi)病毒的查殺。8.2.3反病毒目前廣泛應(yīng)用的反病毒技術(shù)33)文件實(shí)時(shí)監(jiān)控技術(shù)文件實(shí)時(shí)監(jiān)控技術(shù)是指通過(guò)利用操作系統(tǒng)底層接口技術(shù)，對(duì)系統(tǒng)中所有類型的文件或指定類型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控，一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警，從而實(shí)現(xiàn)對(duì)病毒的實(shí)時(shí)、永久、自動(dòng)監(jiān)控。這種技術(shù)能夠有效控制病毒的傳播途徑，但是實(shí)現(xiàn)難度較大，系統(tǒng)資源的占用率也會(huì)有所降低8.2.3反病毒用戶病毒防治使用方法4(1)學(xué)習(xí)電腦知識(shí)，增強(qiáng)安全意識(shí)。(2)經(jīng)常對(duì)電腦內(nèi)容進(jìn)行備份。(3)開機(jī)時(shí)打開實(shí)時(shí)監(jiān)控，定時(shí)對(duì)電腦文件進(jìn)行掃描。(4)經(jīng)常對(duì)操作系統(tǒng)打補(bǔ)丁，對(duì)反病毒軟件進(jìn)行升級(jí)。(5)一旦病毒破壞導(dǎo)致數(shù)據(jù)丟失，通過(guò)備份進(jìn)行修復(fù)或者通過(guò)專業(yè)公司進(jìn)行災(zāi)難恢復(fù)。任務(wù)8.3密碼學(xué)基礎(chǔ)8.3.1密碼體制與算法據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為對(duì)稱密碼體制和公鑰密碼體制，下面分別介紹這兩種技術(shù)。2.公鑰密碼體制與算法1.對(duì)稱密碼體制與算法8.3.1密碼體制與算法1)對(duì)稱密碼體制的含義對(duì)稱密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對(duì)稱加密系統(tǒng)中，加密和解密采用相同的密鑰。因?yàn)榧咏饷苊荑€相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對(duì)方不會(huì)將密鑰泄密出去，才可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性和完整性。對(duì)稱密碼體制的加解密原理如圖8-8所示。對(duì)稱密碼體制的含義18.3.1密碼體制與算法8.3.1密碼體制與算法2)常見的對(duì)稱密碼算法DES(DataEncryptionStandard數(shù)據(jù)加密標(biāo)準(zhǔn))算法及其變形TripleDES(三重DES、GDES(廣義DES)、歐洲的IDEA和日本的FEALN、RC5等是目前常見的幾種對(duì)稱加密算法。DES標(biāo)準(zhǔn)由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出，主要應(yīng)用于銀行業(yè)的電子資金轉(zhuǎn)帳(ElectronicFunelsTransfer，EFT)領(lǐng)域，其密鑰長(zhǎng)度為56b；TripleDES使用兩個(gè)獨(dú)立的56b密鑰對(duì)所要交換的信息進(jìn)行3次加密，從而使其有效長(zhǎng)度達(dá)到112b；RC2和RC4方法是RSA數(shù)據(jù)安全公司的對(duì)稱加密專利算法，它們采用可變的密鑰長(zhǎng)度，通過(guò)規(guī)定不同的密鑰長(zhǎng)度，提高或降低安全的程度。對(duì)稱密碼體制的含義18.3.1密碼體制與算法3)對(duì)稱密碼算法的優(yōu)缺點(diǎn)對(duì)稱密碼算法的優(yōu)點(diǎn)是系統(tǒng)開銷小，算法簡(jiǎn)單，加密速度快，適合加密大量數(shù)據(jù)，是目前用于信息加密的主要算法。盡管對(duì)稱密碼術(shù)有一些很好的特性，但它也存在著明顯的缺陷，例如進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換。這一步驟在某種情況下是可行的，但在某些情況下會(huì)非常困難，甚至無(wú)法實(shí)現(xiàn)。對(duì)稱密碼體制的含義18.3.1密碼體制與算法1)公鑰密碼體制含義公鑰密碼體制的發(fā)現(xiàn)是密碼學(xué)發(fā)展史上的一次革命。從古老的手工密碼到機(jī)電式密碼直至運(yùn)用計(jì)算機(jī)的現(xiàn)代對(duì)稱密碼，對(duì)稱密碼系統(tǒng)雖然越來(lái)越復(fù)雜，但都建立在基本的替代和置換工具的基礎(chǔ)上，而公鑰密碼體制的編碼系統(tǒng)基于數(shù)學(xué)中的單向陷門函數(shù)。更重要的是，公鑰密碼體制采用了兩個(gè)不同的密鑰，這對(duì)在公開的網(wǎng)絡(luò)上進(jìn)行保密通信、密鑰分配、數(shù)字簽名和認(rèn)證有著深遠(yuǎn)的影響。公鑰密碼體制的加解密原理如圖8-9所示。公鑰密碼體制與算法28.3.1密碼體制與算法8.3.1密碼體制與算法2)常見的公鑰加密算法RSA、ElGamal、背包算法、Rabin(Rabin加密法是RSA方法的特例)、Diffie-Hellman(D-H)密鑰交換協(xié)議中的公鑰加密算法、EllipticCurveCryptography(ECC，橢圓曲線加密算法)是目前常見的幾種公鑰加密算法。公鑰密碼體制與算法28.3.1密碼體制與算法3)公鑰加密算法的優(yōu)缺點(diǎn)公鑰加密算法因?yàn)榧咏饷苊荑€不同，即使加密密鑰泄露也不會(huì)影響數(shù)據(jù)的安全性，因此公鑰加密算法提供了更高的安全性。它的缺點(diǎn)主要是產(chǎn)生密鑰很麻煩，運(yùn)算代價(jià)高，加解密速度較慢。公鑰密碼體制與算法28.3.2身份認(rèn)證技術(shù)靜態(tài)密碼是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，它是基于“你知道什么”的驗(yàn)證手段。用戶的密碼由用戶自己設(shè)定，只有他自己才知道，因此只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為他就是這個(gè)用戶。因此，靜態(tài)密碼是一種極不安全的身份認(rèn)證方式，可以說(shuō)基本上沒(méi)有任何安全性可言。靜態(tài)密碼1動(dòng)態(tài)口令技術(shù)是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化，每個(gè)密碼只使用一次的技術(shù)，它是基于“你有什么”的驗(yàn)證手段，采用一種稱之為動(dòng)態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏。動(dòng)態(tài)口令28.3.2身份認(rèn)證技術(shù)短信密碼以手機(jī)短信形式請(qǐng)求包含6位隨機(jī)數(shù)的動(dòng)態(tài)密碼。身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)的6位密碼到客戶的手機(jī)上，客戶在登錄或者交易認(rèn)證時(shí)候輸入此動(dòng)態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。它利用“你有什么”方法，具有以下優(yōu)點(diǎn)：安全性。(2)普及性。(3)易收費(fèi)。(4)易維護(hù)。短信密碼38.3.2身份認(rèn)證技術(shù)USBKey是一種使用USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；赨SBKey的身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證方式，二是基于PKI體系的認(rèn)證方式。USBKey認(rèn)證48.3.2身份認(rèn)證技術(shù)生物識(shí)別技術(shù)是指采用每個(gè)人獨(dú)一無(wú)二的生物特征來(lái)驗(yàn)證用戶身份的技術(shù)，常見的有指紋識(shí)別、虹膜識(shí)別等。生物識(shí)別技術(shù)5聲紋是借助聲譜儀繪出的聲音圖像。研究表明，年齡、語(yǔ)言習(xí)慣、發(fā)音器官等的差異會(huì)導(dǎo)致聲紋各不相同，且聲紋從十幾歲到五十幾歲基本不變。這是構(gòu)成聲紋識(shí)別的基礎(chǔ)，即以聲紋唯一性作為識(shí)別身份的手段。聲紋識(shí)別技術(shù)68.3.3安全協(xié)議安全協(xié)議就是具有安全性的通信協(xié)議，所以又稱為安全通信協(xié)議。換句話說(shuō)，安全協(xié)議是完成信息安全交換所共同約定的邏輯操作規(guī)則。安全協(xié)議的目的是通過(guò)正確地使用密碼技術(shù)和訪問(wèn)控制技術(shù)來(lái)解決網(wǎng)絡(luò)通信的安全問(wèn)題。由于安全協(xié)議通常要運(yùn)用到密碼技術(shù)，所以又稱密碼協(xié)議。安全協(xié)議中有關(guān)身份驗(yàn)證的部分，也被稱為認(rèn)證協(xié)議。安全協(xié)議概述18.3.3安全協(xié)議根據(jù)安全協(xié)議的概念，安全協(xié)議除了具有協(xié)議和通信協(xié)議的基本特點(diǎn)外，還應(yīng)包含以下基本要素：(1)保證信息交換的安全。(2)使用密碼技術(shù)。

(3)具有嚴(yán)密的共同約定的邏輯交換規(guī)則。(4)使用訪問(wèn)控制等安全機(jī)制。安全協(xié)議的基本要素28.3.3安全協(xié)議關(guān)于安全協(xié)議的分類，尤其是嚴(yán)格的分類是一件很難的事情，從不同的角度出發(fā)，就會(huì)有不同的分類方法。根據(jù)安全協(xié)議的功能分類無(wú)疑比較合理，也容易被人們接受。根據(jù)不同的驗(yàn)證功能，協(xié)議分類如表8-1所示。安全協(xié)議的分類38.3.3安全協(xié)議安全協(xié)議的分類3協(xié)議類型主要功能認(rèn)證協(xié)議實(shí)現(xiàn)認(rèn)證功能，包括消息認(rèn)證、數(shù)據(jù)源認(rèn)證和實(shí)體認(rèn)證密鑰管理協(xié)議實(shí)現(xiàn)建立共享密鑰的功能?？梢酝ㄟ^(guò)密鑰分配來(lái)建立共享密鑰，這也是目前密鑰管理的主要方法；也可以通過(guò)密鑰交換來(lái)共享密鑰，如IKE。所以包括密鑰分配、密鑰交換等密鑰管理協(xié)議不可否認(rèn)協(xié)議通過(guò)協(xié)議的執(zhí)行達(dá)到抗抵賴的目的，包括發(fā)方不可否認(rèn)協(xié)議、收方不可否認(rèn)協(xié)議、數(shù)字簽名協(xié)議等信息安全交換協(xié)議實(shí)現(xiàn)信息的安全交換功能8.3.3安全協(xié)議目前，對(duì)安全協(xié)議進(jìn)行分析的方法主要有兩大類：一類是攻擊檢驗(yàn)方法，一類是形式化的分析方法。所謂攻擊檢驗(yàn)方法就是搜集目前使用對(duì)協(xié)議的有效攻擊方法，逐一對(duì)安全協(xié)議進(jìn)行攻擊，檢驗(yàn)安全協(xié)議是否具有抵抗這些攻擊的能力。在分析的過(guò)程中主要使用自然語(yǔ)言和示意圖對(duì)安全協(xié)議所交換的消息進(jìn)行剖析。這種分析方法往往是非常有效的，關(guān)鍵在于攻擊方法的選擇。形式化的分析方法是指采用各種形式化的語(yǔ)言或者模型為安全協(xié)議建立模型，并按照規(guī)定的假設(shè)和分析、驗(yàn)證方法證明協(xié)議的安全性。目前，形式化的分析方法是研究的熱點(diǎn)，但是就其實(shí)用性來(lái)說(shuō)，還沒(méi)有什么突破性的進(jìn)展。安全協(xié)議的分類3任務(wù)8.4任務(wù)挑戰(zhàn)8.4.1Windows7系統(tǒng)的基本安全配置熟悉Windows7系統(tǒng)的安全配置。任務(wù)目的1一臺(tái)裝有Windows7系統(tǒng)的虛擬機(jī)。任務(wù)準(zhǔn)備28.4.1Windows7系統(tǒng)的基本安全配置1)修改Windows系統(tǒng)注冊(cè)表的安全配置用“Regedit”命令啟動(dòng)注冊(cè)表編輯器，配置Windows系統(tǒng)注冊(cè)表中的安全項(xiàng)，步驟如下：(1)關(guān)閉Windows遠(yuǎn)程注冊(cè)表服務(wù)，通過(guò)任務(wù)欄的“開始→運(yùn)行”，輸入“regedit”進(jìn)入注冊(cè)表編輯器；找到注冊(cè)表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的“RemoteRegistry”項(xiàng)，右鍵點(diǎn)擊“RemoteRegistry”項(xiàng)，選擇“刪除”，如圖8-10所示。任務(wù)步驟38.4.1Windows7系統(tǒng)的基本安全配置(2)修改注冊(cè)表防范IPC$攻擊。查找注冊(cè)表中的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”項(xiàng)，單擊右鍵，選擇“修改”；在彈出的“編輯DWORD值”數(shù)值數(shù)據(jù)框中填入“1”將“RestrictAnonymous”項(xiàng)設(shè)置為“1”，然后單擊“確定”按鈕，如圖8-11所示。8.4.1Windows7系統(tǒng)的基本安全配置(3)修改注冊(cè)表關(guān)閉默認(rèn)共享。在注冊(cè)表中找到“Parameters”，在空白處單擊右鍵，選擇新建DWORD值，在“AutoShareServer”下的數(shù)值數(shù)據(jù)框中填入“0”，如圖8-12所示。8.4.1Windows7系統(tǒng)的基本安全配置2)修改Windows系統(tǒng)的安全服務(wù)設(shè)置點(diǎn)擊“控制面板”→“管理工具”→“本地安全策略”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”，找到“網(wǎng)絡(luò)訪問(wèn)不允許SAM賬戶和共享的匿名枚舉”，單擊右鍵選擇屬性，點(diǎn)擊“已啟用”和“應(yīng)用”，如圖8-13和圖8-14所示。8.4.1Windows7系統(tǒng)的基本安全配置8.4.1Windows7系統(tǒng)的基本安全配置如圖8-15所示，在安全設(shè)置中，將“交互式登錄：不顯示最后的登錄名”配置為已啟用后，再次登錄系統(tǒng)時(shí)，不會(huì)顯示上次的登錄名。8.4.1Windows7系統(tǒng)的基本安全配置3)修改IE瀏覽器安全設(shè)置(1)自定義安全級(jí)別。選擇“工具→Internet選項(xiàng)→安全”，點(diǎn)擊自定義級(jí)別按鈕，進(jìn)行安全級(jí)別設(shè)置，如圖8-16所示。8.4.1Windows7系統(tǒng)的基本安全配置(2)添加受信任和受限制站點(diǎn)。選擇“工具→Internet選項(xiàng)→安全”，分別點(diǎn)擊可信站點(diǎn)和受限站點(diǎn)圖標(biāo)，進(jìn)行站點(diǎn)添加。添加可信站點(diǎn)如圖8-17所示，添加受限站點(diǎn)如圖8-18所示。8.4.1Windows7系統(tǒng)的基本安全配置8.4.1Windows7系統(tǒng)的基本安全配置4)設(shè)置用戶的本地安全策略本地安全策略包括密碼策略和賬戶鎖定策略，設(shè)置步驟如下：(1)如圖8-19所示，打開“控制面板”→“管理工具”→“本地安全設(shè)置”。(2)設(shè)置密碼復(fù)雜性要求。雙擊“密碼必須符合復(fù)雜性要求”會(huì)出現(xiàn)“本地安全策略設(shè)置”界面，可根據(jù)需要選擇“已啟用”，然后單擊“確定”即可啟用密碼復(fù)雜性檢查。(3)設(shè)置密碼長(zhǎng)度最小值。雙擊“密碼長(zhǎng)度最小值”，將密碼長(zhǎng)度設(shè)置在6位以上。(4)設(shè)置密碼最長(zhǎng)存留期。雙擊“密碼最長(zhǎng)存留期”，將密碼作廢期設(shè)置為60天，則用戶每次設(shè)置的密碼只在60天內(nèi)有效。8.4.1Windows7系統(tǒng)的基本安全配置8.4.1Windows7系統(tǒng)的基本安全配置5)Windows7文件安全防護(hù)EFS的配置使用(1)在計(jì)算機(jī)里面選擇要進(jìn)行EFS的文件，然后點(diǎn)擊“右鍵”選擇“屬性”。(2)在“屬性”里面選擇“高級(jí)”選項(xiàng)，如圖8-20所示。8.4.1Windows7系統(tǒng)的基本安全配置(3)在“高級(jí)屬性”里面勾選“加密內(nèi)容以便保護(hù)數(shù)據(jù)”，如圖8-21所示。(4)完成EFS的步驟之后，加密文件的名稱會(huì)變成綠色，如圖8-22所示。至此，便完成了對(duì)“新建文件夾”的EFS工作了。8.4.1Windows7系統(tǒng)的基本安全配置6.學(xué)會(huì)用事件查看器查看三種日志(1)以管理員身份登錄系統(tǒng)，打開“控制面板”→“管理工具”→“事件查看器”，即可看到系統(tǒng)記錄了三種日志。(2)雙擊“應(yīng)用程序日志”，就可以看到系統(tǒng)記錄的應(yīng)用程序日志，如圖8-23所示。(3)在右側(cè)的詳細(xì)信息窗格中雙擊某一條信息，就可以看到該信息所記錄事件的詳細(xì)信息，用同樣方法查看安全日志(如圖8-24所示)和系統(tǒng)日志(如圖8-25所示)。8.4.1Windows7系統(tǒng)的基本安全配置8.4.1Windows7系統(tǒng)的基本安全配置8.4.1Windows7系統(tǒng)的基本安全配置8.4.2MD5加密及暴力破解學(xué)習(xí)使用MD5加密工具和MD5密碼破解工具。任務(wù)目的1MD5加密工具和MD5密碼破解工具。任務(wù)環(huán)境28.4.2MD5加密及暴力破解1)加密(1)點(diǎn)擊桌面上的“MD5加密器”快捷圖標(biāo)。(2)在程序主界面中選擇“字符串MD5加密”方式，在“加密或校驗(yàn)內(nèi)容”文本框中，輸入待加密的明文，這里我們輸入123456。(3)點(diǎn)擊“加密或校驗(yàn)”按鈕對(duì)明文加密，密文將呈現(xiàn)在“生成的MD5密文”文本框中。E10ADC3949BA59ABBE56E057F20F883E就是MD5密文，如圖8-26所示。任務(wù)步驟38.4.2MD5加密及暴力破解2)破解(1)運(yùn)行桌面上的“MD5Crack程序”快捷圖標(biāo)。(2)在MD5Crack程序的“破解單個(gè)密文”文本框中輸入圖8-26生成的123456的MD5密文，確保使用的是“數(shù)字”字符集字典，如圖8-27所示。8.4.2MD5加密及暴力破解(3)下面我們使用MD5加密工具來(lái)對(duì)8個(gè)字母組成的明文dgheraed來(lái)加密，生成的密文為F1502583A7FC656387F799F8B5FF0408。(4)將密文拷貝到“MD5Cracke”的“破解單個(gè)密文”文本框中，在字符集中選擇為“小寫字母”，同時(shí)將最小長(zhǎng)度調(diào)整到8，縮小破解范圍。(5)點(diǎn)擊“設(shè)置”按鈕，在彈出的對(duì)話框中選擇“破解”欄，將“線程”調(diào)節(jié)為8，如圖8-28所示。8.4.2MD5加密及暴力破解(6)點(diǎn)擊主程序“開始”按鈕，開始破解過(guò)程。由于我們縮小了破解范圍，提高了破解線程，所以很快就能破解該段相對(duì)較為簡(jiǎn)單的MD5密文，如圖8-29所示。8.4.3配置InternetExplorer安全多數(shù)大公司都擁有先進(jìn)的防火墻和代理服務(wù)技術(shù)，可過(guò)濾或者阻塞來(lái)自于雇員桌面計(jì)算機(jī)的某些內(nèi)容。這是一個(gè)很必要的功能，但中小規(guī)模的公司想擁有它則是不現(xiàn)實(shí)的，幸運(yùn)的是Microsoft內(nèi)嵌的安全功能，對(duì)Internetexplorer用戶都是可用的。在本實(shí)驗(yàn)中，用戶將配置MicrosoftInternetExplorer(來(lái)阻塞Cookies)和受限站點(diǎn)(RestrictedSites)的默認(rèn)設(shè)置(來(lái)限制文件下載)。任務(wù)目的18.4.3配置InternetExplorer安全(1)運(yùn)行遠(yuǎn)程桌面客戶端程序mstsc.exe，輸入服務(wù)器IP地址，如圖8-30所示，點(diǎn)擊連接。(2)以Administrator(管理員)身份遠(yuǎn)程登錄服務(wù)器Administrator，用戶的登錄密碼為123456，如圖8-31所示。任務(wù)環(huán)境28.4.3配置InternetExplorer安全(3)右擊桌面上的“InternetExplorer”圖標(biāo)，如圖8-32所示，選擇“屬性”。(4)單擊“安全”標(biāo)簽，出現(xiàn)如圖8-33所示的對(duì)話框。8.4.3配置InternetExplorer安全(5)單擊“受信任的站點(diǎn)”圖標(biāo)，如圖8-34所示。(6)單擊“默認(rèn)級(jí)別”按鈕，把該區(qū)域的安全級(jí)別設(shè)置為最低級(jí)。8.4.3配置InternetExplorer安全(7)單擊“站點(diǎn)”按鈕，選中“需要該區(qū)域中所有站點(diǎn)的服務(wù)證書"http:"”選項(xiàng)，在該區(qū)域輸入和兩Web站點(diǎn)，如圖8-35所示。(8)單擊“確定”按鈕，然后單擊“受限制的站點(diǎn)”，如圖8-36所示。8.4.3配置InternetExplorer安全(9)單擊“站點(diǎn)”按鈕，在該區(qū)域輸入和兩個(gè)web站點(diǎn)，如圖8-37所法。(10)單擊“確定”按鈕，關(guān)閉Internet選項(xiàng)對(duì)話框。(11)啟動(dòng)InternetExplorer，在地址欄輸入，如圖8-38所示。注意：若瀏覽器右下角有受限站點(diǎn)圖標(biāo)，將不能完全加載baidu，如圖8-38所示。8.4.3配置InternetExplorer安全(12)在地址欄輸入，則可以正常訪問(wèn)，如圖8-39所示。小結(jié)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或惡意的攻擊而遭到破壞、更改、泄漏，系統(tǒng)能連續(xù)可靠正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。常見的攻擊方式有獲取口令、放置特洛伊木馬程序、WWW的欺騙技術(shù)、電子郵件攻擊等。常見的防范技術(shù)有數(shù)據(jù)加密技術(shù)、信息確認(rèn)技術(shù)、防火墻技術(shù)、