【教学课件】第10章网络管理与网络安全.ppt

10章 网络管理与网络安全,第10章 网络管理与网络安全,本章主要内容：计算机网络安全的基础知识、网络安全立法、黑客攻击的主要手段和网络安全控制技术、Windows 2003安全配置技术、网络管理和维护技术。重点及难点：系统升级和漏洞修补、Windows防火墙、安全配置向导、微软基准安全分析器、网络管理的概念、远程桌面配置和应用、网络故障诊断与排除、TCP/IP诊断命令。,10章 网络管理与网络安全,第10章 网络管理与网络安全,10.1 网络安全基础知识10.2 网络安全立法10.3 黑客攻击的主要手段和网络安全控制技术104 Windows 2003安全配置技术 10.5网络管理技术,Return,10章 网络管理与网络安全,10.1.1 网络安全基本概念 随着计算机网络的迅猛发展，网络安全已成为网络发展中的一个重要课题。由于网络传播信息快捷，隐蔽性强，在网络上难以识别用户的真实身份，网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。,10.1 网络安全基础知识,10章 网络管理与网络安全,从概念上来看，网络和安全是根本矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性，而安全则要尽可能地实现一台计算机的封闭性。因此，在现实中，计算机网络的安全性，实际上是在二者中寻找到一个平衡点，一个可以让所有用户都可能接受的平衡点。从这个意义上讲，网络安全是一个无穷无尽的主题。在计算机网络领域，没有终极的安全方案。,10章 网络管理与网络安全,网络安全包括5个基本要素：机密性、完整性、可用性、可控性与可审查性。(1)机密性，确保信息不暴露给未授权的实体或进程。(2)完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。(3)可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。(4)可控性：可以控制授权范围内的信息流向及行为方式。(5)可审查性：对出现的网络安全问题提供调查的依据和手段。,10章 网络管理与网络安全,10.1.2 网络安全评价标准,网络安全评价标准中比较流行的是美国国防部1995年制定的可信任计算机标准评价准则，各国根据自己的国情也制定了相关标准。,10章 网络管理与网络安全,（1）我国评价标准1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保护划分为以下5个级别。第l级为用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。第2级为系统审计保护级：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。,10章 网络管理与网络安全,第3级为安全标记保护级：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。第4级为结构化保护级：在继承前面安全级别安全功能的墓础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。第5级为访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。,10章 网络管理与网络安全,我国是国际标准化组织的成员国，信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始，自主制定和采用了一批相应的信息安全标准。但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作相比，覆盖的范围还不够大，宏观和微观的指导作用也有待进一步提高。,10章 网络管理与网络安全,(2)国际评价标准根据美国国防部和国家标准局的可信计算机系统评测标准可将系统分成4类共7级：D级：级别最低，保护措施少，没有安全功能：属于这个级别的操作系统有DOS和Windows 9x等。C级：自定义保护级。安全特点是系统的对象可由系统的主题自定义访问权。C1级：自主安全保护级，能够实现对用户和数据的分离，进行自主存取控制数据保护以用户组为单位；,10章 网络管理与网络安全,C2级：受控访问级，实现了更细粒度的自主访问控制，通过登录规程安全性相关事件以隔离资源。能够达到C2级别的常见操作系统有如下几种(1)Unix/Linux系统：(2)Novell 3X或者更高版本；(3)WindowsNT，Windows2000和Windows2003。,10章 网络管理与网络安全,B级：强制式保护级。其安全特点在于由系统强制的安全保护。B1级：标记安全保护级。对系统的数据进行标记，并对标记的主体和客体实施强制存取控制；B2级：结构化安全保护级。建立形式化的安全策略模型，并对系统内的所有主体和客体实施自主访问和强制访问控制；B3级：安全域。能够满足访问监控器的要求，提供系统恢复过程。A级：可验证的保护。A1级：与B3级类似，但拥有正式的分析及数学方法。,10章 网络管理与网络安全,10.1.3 网络安全的意义,目前研究网络安全已经不只为了信息和数据的安全性,网络安全已经渗透到国家的经济，军事等领域。1.网络安全与政治 目前我国政府上网已经大规模地发展起来，电子政务工程已经在全国启动并在北京试点,政府网络的安全直接代表了国家的形象。1999年到2001年，我国一些政府网站遭受了4次大的黑客攻击事件。,10章 网络管理与网络安全,第1次在1999午1月份左右，美国黑客组织“美国地下军团”联合了波兰组织及其他的黑客组织，有组织地对我国的政府网站进行了攻击。第2次是在1999年7月，台湾李登辉提出两国论的时候。第3次是在2000年，月8号，美国轰炸我国驻南联盟大使馆后。第4次是在2001年4月到5月，美国战机撞毁王伟战机并侵入我国海南机场后。,10章 网络管理与网络安全,2.网络安全与经济 我国计算机犯罪的增长速度超过了传统的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来就没有办法统计了。利用计算机实施金融犯罪已经津透到了我国金融行业的各项业务近几年已经破获和掌握的犯罪案件100多起，涉及的金额达几十个亿。,10章 网络管理与网络安全,2000年2月黑客攻击的浪潮，是互联网问世以来最为严重的黑客事件。1999年4月26日，台湾人编制的CIH病毒的大爆发，据统计，我国受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达12亿元。1996年4月16日，美国金融时报报道，接入Intemet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新圮录。,10章 网络管理与网络安全,3.网络安全与社会稳定 互联网上散布的虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个谣言大得多。1999年4月，河南商都热线的一个BBS上，一张说交通银行郑州支行行长携巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提款十多亿。2001年2月8日正是春节期间，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成了几百万用户无法正常联络。,10章 网络管理与网络安全,4.网络安全与军事 在第二次世界大战中，美国破译了日本人的密码，几乎全歼山本五十六的舰队，重创日本海军。目前的军事战争更是信息化战争，下面是美国三位知名人士对目前网络的描述。美国著名未来学家阿尔温托尔勒说过“掌握了信息，控制了网络，谁将拥有整个世界”。美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是靠信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。,10章 网络管理与网络安全,10.2 网络安全立法,10.2.1 网络安全立法概述 人们的阅读、交流、娱乐乃至商业活动越来越多地在网上进行，世界被网络紧紧地连在了一起。可是，网络世界也有黑暗的一面，那就是网络犯罪。面对日益增多的网络犯罪，为了有效打击网络犯罪，制定相关的法律法规，成为遏制网络犯罪的有力武器，为此世界各国都制定了相关的法律。,10章 网络管理与网络安全,10.2.2 我国立法情况,目前网络安全方面的法规已经写入中华人民共和国宪法。于1982年8月23口写入中华人民共和国商标法，于1984年3月12日写入中华人民共和国专利法，于1988年9月5日写入中华人民共和国保守国家秘密法，于1993年9月2日写入中华人民共和国反不正当竞争法。网络安全方面的法规，已经增加了相关的条款到国家法律。为了加强对计算机犯罪的打击力度，在1997年对刑法进行重新订订时，加进了以下计算机犯罪的条款。,10章 网络管理与网络安全,第二百八十五条违反国家规定，侵入国家事务，国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储，处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序。影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,10章 网络管理与网络安全,第二百八十七条利用计算机实施金融诈骗，盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。计算机网络安全方面的法规，已经写入国家条例和管理办法。于1991年6月4日写入计算机软件保护条例，于1994年2月18日写入中华人民共和国计算机信息系统安全保护条例，于1999年10月7 日写入商用密码管理条例，于2000年9月20日写入互联网信息服务管理办法，于2000年9月25日写入中华人民共和国电信条例，于2000年12月29日写入全国人大常委会关于网络安全和信息安全的决定。,10章 网络管理与网络安全,10.2.3 国际立法情况,美国和日本是计算机网络安全比较完善的国家机网络安全方面的法规还不够完善。一些发展中国家和第三世界国家的计算机网络安全方面的法规还不完善。,10章 网络管理与网络安全,10.2.4 国际立法情况,欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运作，该组织在诸多问题上建立了一系列法律，具体包括：竞争(反托拉斯)法，产品责任、商标和广告规定法，知识产权保护法，保护软件、数据和多媒体产品及在线版权法，以及数据保护法、跨境电子贸易法、税收法、司法等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准。,返回本章首页,10章 网络管理与网络安全,10.3 黑客攻击的主要手段和网络安全控制技术,10.3.1 黑客攻击的主要手段 涉及网络安全的问题很多，但最主要的问题还是人为攻击，黑客就是最具有代表性的一类群体。黑客在世界各地四处出击，寻找机会袭击网络，几乎到了无孔不入的地步。有不少黑客袭击网络时并不是怀有恶意,他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华，但也有一些黑客的网络袭击行为是有意地对网络进行破坏。,10章 网络管理与网络安全,黑客(Hacker)指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里，活跃着这批特殊的人，他们是真正的程序员，有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地，同时也使计算机网络世界多了一份灾难，一般人们把他们称之为黑客(Hacker)或骇客(Cracker)，前者更多指的是具有反传统精神的程序员，后者更多指的是利用工具攻击别人的攻击者，具有明显贬义。但无论是黑客还是骇客，都是具备高超的计算机知识的人。,10章 网络管理与网络安全,1.口令入侵 所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。,10章 网络管理与网络安全,2.放置特洛伊木马程序 在古希腊人同特洛伊人的战争期间，古希腊人佯装撤退并留下一只内部藏有士兵的巨大木马，特洛伊人大意中计，将木马拖人特洛伊城。夜晚木马中的希腊士兵出来与城外战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。,10章 网络管理与网络安全,在计算机领域里，有一类特殊的程序，黑客通过它来远程控制别人的计算机，把这类程序称为特洛伊木马程序。从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序。,10章 网络管理与网络安全,特洛伊木马程序一般分为服务器端(Server)和客户端(Client)服务器端是攻击者传到目标机器上的部分，用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部分，放在攻击者的机器上。,10章 网络管理与网络安全,特洛伊木马程序常被伪装成工具程序或游戏，一旦用户打开了带有特洛伊木马程序的邮件附件或从网上直接下载，或执行了这些程序之后，当用户连接到因特网上时，这个程序就会把用户的IP地址及被预先设定的端口通知黑客。黑客在收到这些资料后，再利用这个潜伏其中的程序，就可以恣意修改用户的计算机设定，复制文件，窥视用户整个硬盘内的资料等，从而达到控制用户计算机的目的。现在有许多这样的程序，国外的此类软件有BackOriffice、Netbus等，国内的此类软件有Netspy、冰河、广外女生等。,10章 网络管理与网络安全,3.DoS攻击 DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。,10章 网络管理与网络安全,分布式拒绝服务(DDoS，DistributedDentalofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通信，代理程序已经被安装在因特网上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。,10章 网络管理与网络安全,4.端口扫描 所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方式有：TCP connect()扫描、TCP SYN扫描、TCPFIN扫描、IP段扫描和FTP返回攻击等。,10章 网络管理与网络安全,扫描器是一种自动捡测远程或本地主机安全性弱点的程序，通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。扫描器并不是一个直接的攻击网络漏洞的程序，它仅能发现目标主机的某些内在的弱点。,10章 网络管理与网络安全,一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有3项功能；发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力。,10章 网络管理与网络安全,5.网络监听 网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作术，因而一直备受网络管理员的青眯。然而，在另一方面网络监听也给以太网的安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内的网络监听行为，从而造成口令失窃、敏感数据被截获等连锁性安全事件。,10章 网络管理与网络安全,网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具就可轻而易举地截取包括口令和账号在内的信息资料。Sniffer是一个著名的监听工具，它可以监听到网上传输的所有信息。,10章 网络管理与网络安全,6.欺骗攻击 欺骗攻击是攻击者创造一个易于误解的环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏：攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话，那么受攻击者所做的一切都是无可厚非的。但遗憾的是，在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。常见的欺骗攻击有：,10章 网络管理与网络安全,(1)Web欺骗。Web欺骗允许攻击者创造整个WWW世界的影像复制。影像Web的入口进入到攻击者的Web服务器，经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动，包括账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义发送数据给受攻击者。,10章 网络管理与网络安全,(2)ARP欺骗。通常源主机在发送一个IP包之前，它要到该转换表中寻找和Iy包对应的MAC地址。此时，若入侵者强制目的主机Down掉(比如发洪水包)，同时把自己主机的IP地址改为合法目的主机的IP地址，然后他发一个ping(iempo)给源主机，要求更新主机的ARP转换表，主机找到该IP，然后在ARP表中加入新的IP与MAC对应关系。合法的目的主机失效了，入侵主机的MAC地址变成了合法的MAC地址。,10章 网络管理与网络安全,(3)IP欺骗。IP欺骗由若干步骤组成。首先，目标主机已经选定。其次，信任模式已被发现，井找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。,10章 网络管理与网络安全,7.电子邮件攻击 电子邮件攻击主要表现为向目标信箱发送电子邮件炸弹。所谓的邮件炸弹实质上就是发送地址不详且容量庞大的邮件垃圾。由于邮件信箱都是有限的，当庞大的邮件垃圾到达信箱的时候，就会把信箱挤爆。同时，由于它占用了大量的网络资源，常常导致网络塞车，它常发生在当某人或某公司的所作所为引起了某些黑客的不满时，黑客就会通过这种手段来发动进攻，以泄私愤。,10章 网络管理与网络安全,10.3.2 网络安全控制技术,为了保护网络信息的安全可靠，除了运用法律和管理手段外，还需依靠技术方法来实现。网络安全控制技术目前有：防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。,10章 网络管理与网络安全,1.防火墙技术 防火墙技术是近年来维护网络安全最重要的手段。从狭义上说防火墙是指安装了防火墙软件的主机或路由器系统；从广义上说防火墙还包括包括整个网络的安全策略和安全行为。加强防火墙的使用，可以经济、有效地保证网络安全。一般将防火墙内的网络称为“可信赖的网络”，而将外部的因特网络称为“不可信赖的网络”。防火墙可用来解决内联网和外联网的安全问题。但防火墙也不是万能的，简单地购买一个商用的防火墙往往不能得到所需要的保护，但正确地使用防火墙则可将安全风险降低到可接受水平。,10章 网络管理与网络安全,换句话说，防火墙的作用就好比一道安全门，通过这道“门”可以控制进出网络的所有数据的流通，另一方面它又要允许网络数据的流通。正是由于这种网络的管理机制及安全策略的不同，才使防火墙的规则制订呈现出不同的表现形式。归纳起来，有两种形式，第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可的都被允许。其中第一种形式的特点是非常安全但可用性差，第二种形式的特点是易用但不够安全，所以目前大多数防火墙都在两者之间采取折中的方式制定规则。,10章 网络管理与网络安全,2.加密技术 加密技术是网络信息安全主动的、开放型的防范手段，对于敏感数据应采用加密处理，并且在数据传输时采用加密传输，目前加密技术主要有两大类：一类是基于对称密钥的加密算法，也称私钥算法；另一类是基于非对称密钥的加密算法，也称公钥算法。加密手段，一般分软件加密和硬件加密两种。软件加密成本低而且实用灵活，更换也方便，硬件加密效率高，本身安全性高。密钥管理包括密钥产生、分发、更换等，是数据保密的重要一环。,10章 网络管理与网络安全,何谓“密钥”？“密钥”是指一段用来加密解密的字符串。对称加密法 使用这种方法，客户端与服务器端所使用的密钥是一样的，就像我们用钥匙将房子上了锁，需要用同一把钥匙才能把锁打开，这种方法也称之为私钥密法。,10章 网络管理与网络安全,非对称加密法 使用这种方法，客户端与服务器端所拥有的密钥是不一样的，客户端的密钥称为公钥，而服务端所拥有的则为私钥。公钥是用来加密用，可放置在公开场合，不限定任何人领取；经公钥加密的资料，只能由私钥解密，因此私钥通常由提供服务的服务商保管。此方法被称之为公钥加密法。,10章 网络管理与网络安全,3.用户识别技术 用户识别和验证也是一种基本的安全技术。其核心是识别访问者是否属于系统的合法用户，目的是防止非法用户进入系统。目前一般采用基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证。比较著名的有Kerberos、PGP等方法。,10章 网络管理与网络安全,4.访问控制技术 访问控制是控制不同用户对信息资源的访问权限。根据安全策略，对信息资源进行集中管理，对资源的控制粒度有粗粒度和细粒度两种，可控制到文件、Web的HTML页面、图形、CCT、Java应用。,10章 网络管理与网络安全,5.网络反病毒技术 计算机病毒从1981年首次被发现以来，在近20年的发展过程中，在数目和危害性上都在飞速发展。因此，计算机病毒问题越来越受到计算机用户和计算机反病毒专家的重视，并且开发出了许多防病毒的产品。,10章 网络管理与网络安全,6.漏洞扫描技术 漏洞检测和安全风险评估技术，可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果。该技术的应用可以帮助分析资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。网络漏洞扫描技术，主要包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息以及评测风险、提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能地消除安全隐患。,10章 网络管理与网络安全,7.入侵检测技术 入侵行为主要是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏，可以造成系统拒绝合法用户的服务等危害。入侵检测是一种增强系统安全的有效技术。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。检测时，通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评估结果来鉴别系统中行为的正常性，从而帮助系统管理员进行安全管理或对系统所受到的攻击采取相应的对策。,返回本章首页,10章 网络管理与网络安全,微软为了提高Windows 2003的安全进行了很多技术上的创新，Windows 2003在安全方面比以前的Windows 系统有很大的提高，但Windows 2003的安全问题同样不容忽视。,104 Windows 2003安全配置技术,10章 网络管理与网络安全,系统升级和漏洞修补微软通常会不定期的推出针对系统更新的Service Pack，Service Pack的安装是系统安全必不可少的环节，Service Pack的推出一般周期较长，象Windows 2003 标准版是2003年发行的，微软直到2005年4月才推出Service Pack 1。针对系统漏洞方面的补丁微软一般会单独提供补丁程序，如大家熟知的冲击波补丁就是单独提供的。,10章 网络管理与网络安全,1在线升级 Windows Update是我们用来升级系统的组件，通过它来更新系统，能够扩展系统的功能，让系统支持更多的软、硬件，解决各种兼容性问题，让系统更安全、更稳定。在线升级步骤如下：步骤1：保证系统能接入Internet，单击“开始”“Windows Update”连接到微软的更新站点。,10章 网络管理与网络安全,步骤2：在Windows Update页面中，出现“正在搜索Windows Update软件的最新版本”提示，系统需要一些的检测时间，如果期间出现安全警告请按“确定”，单击“查看以寻找更新”，接着还会出现“复查并安装更新”，单击“立即安装”“确定”，系统将自动下载程序并安装，期间可能会提示重启，请按系统提示操作。,10章 网络管理与网络安全,2离线升级在线升级对网速要求较高，如果网速不稳定，很容易引起升级失败，我们也可以把需要更新的程序下载后再进行升级。经常访问微软的官方网站获取更新信息，网址：。,10章 网络管理与网络安全,3自动升级 设置方法：桌面“我的电脑”“右键属性”“自动更新”如图10.2所示，选定“保持我的计算机更新”,在设置中设置自动更新方式，按“确定”。设置完成后，系统不定期在后台访问微软的更新网站，如有新的补丁系统将自动下载，并通知安装。,10章 网络管理与网络安全,Windows 2003 标准版本中集成了Internet 连接防火墙(Internet Connection Firewall，简称ICF)功能，但功能显得较弱，微软在Service Pack 1中加入了功能更强完善的Windows防火墙代替ICF。Windows 防火墙是一个基于主机的状态防火墙，它会断开未经防火墙许可的通信。Windows防火墙可以通过组策略对防火墙进行各种设置。和其他的防火墙不同，Windows 防火墙和系统紧密集成，可以为系统提供更加安全的保护。Windows 防火墙对话框包括：常规、例外、高级选项卡。,10.4.2 Windows防火墙,10章 网络管理与网络安全,1常规设置 在“常规”选项卡中，您可以进行下列操作，如图10.3所示。启用（推荐）默认情况下Windows Firewall处于关闭状态，选择对“高级”选项卡中选定的所有网络连接启用 Windows 防火墙。启用 Windows 防火墙后将只允许请求的和例外的传入通信。例外通信在“例外”选项卡中进行配置。,10章 网络管理与网络安全,图10.3 Windows 防火墙界面,10章 网络管理与网络安全,不允许例外点击该选项将只允许请求的传入通信，例外传入通信则不被允许。不管“高级”选项卡中的设置如何，“例外”选项卡中的设置将被忽略，所有的网络连接都将得到保护。关闭（不推荐）选择该选项将禁用 Windows 防火墙。不推荐使用此选项，尤其是对于可以直接从 Internet 进行访问的网络连接，除非已经使用了第三方的主机防火墙产品。,10章 网络管理与网络安全,2例外设置 在“例外”选项卡中，如图10.4所示，您可以启用或禁用一个现有的程序或服务，或者维护用于定义例外通信的程序和服务列表。在“常规”选项卡中选定“不允许例外”选项后，例外通信将不被允许。有一组预定义的程序，其中包括：文件和打印共享、远程桌面、UPnP 框架，这些预定义程序和服务是不能被删除的。,10章 网络管理与网络安全,图10.4 Widnows 防火墙例外选项卡界面,10章 网络管理与网络安全,3高级设置 在“高级”选项卡包括网络连接设置、安全日志、ICMP、默认设置设置项，如图10.5所示。,图10.5 防火墙高级选项卡界面,【例10-1】允许客户端用Ping对服务器进行测试。启用Windows 防火墙后，防火墙默认不允许其他机器用Ping对服务器进行测试，如需允许必须手工设置，假设服务器IP地址为。操作步骤如下：步骤1：在客户端“开始”“运行”“cmd”，在提示符下输入“”，系统提示Request timed out.，说明Ping不通。,步骤2:在服务器端“开始”“控制面板”“Windows防火墙”“高级”选择相应的本地连接“设置”“icmp”选择“允许传入响应请求”“确定”。步骤3：在客户端开始运行cmd，在提示符下输入，系统将提示与服务器Ping测试成功。,10章 网络管理与网络安全,10.4.3 安全配置向导,微软在Service Pack 1新增了“安全配置向导”安全工具。安全配置向导可以对服务器角色、客户端角色、系统服务、端口、应用程序、网络安全、管理选项等内容进行配置，安全配置向导确定服务器所需的最少功能，禁用不必要的服务，减少系统受攻击面，从而提高系统的安全性。,安装SP1后，安全配置向导并没有安装，必须手动安装该程序。安全配置向导的安装：“开始”“设置”“控制面板”“添加或删除程序”“添加删除Windows组件”“选择安全配置向导”“下一步”“完成”。,【例10-2】安全配置向导使用实例 假设服务器提供Web服务、FTP服务，并允许远程桌面连接，要求用安全配置向导进行设置，对其他无关的服务全部禁止。看演示,10章 网络管理与网络安全,10.4.4 微软基准安全分析器,微软为了提高Windows系统的安全性，陆续发行了很多免费的工具以帮助系统管理员分析当前的系统，以便管理员及时安装系统的补丁包。微软基准安全分析器(Microsoft Baseline Security Analyzer，简称MBSA）可以运行在Windows 2000、Windows XP和Windows 2003系統上，并可以扫描系统中缺少的即时修补程序和存在的安全漏洞。MBSA可以针对所扫描的每台计算机分别创建安全报告，并以HTML格式在图形用户界面中显示这些报告。,10章 网络管理与网络安全,MBSA是微软公司免费提供给所有用户的，目前的版本是MBSA2.0，暂无中文版，可以从微软网站中免费下载到最新的版本，也可以到http:/下载。1.安装MBSA 管理员获得了MBSA的安装包后就可以在计算机中安装了。运行MBSA计算机必须是Windows 2000、Windows 2003、Windows XP系统。MBSA的安装很简单，运行安装程序，按照系统默认选项就可以了。,10章 网络管理与网络安全,2.扫描单台计算机 在计算机上安装MBSA后，执行“开始”“程序”“Microsoft Baseline Security Analyzer”，选择Scan a computer（扫描单台计算机），输入要扫描的目标计算机名或目标计算机的IP地址，输入完成后，单击Start Scan（开始扫描）,MBSA开始查找指定计算机系统中存在的安全问题。,10章 网络管理与网络安全,3.批量扫描计算机 管理员只需在一台计算机安装MBSA，就可以使用批量扫描的功能来检查网络中所有计算机的安全漏洞，这需要安装并运行MBSA的用户帐户在其他计算机上具有管理权限。单击MBSA左边导航条中Pick Multiple computers to scan命令，在Domain name（域名）中输入整个域的名称，MBSA将扫描整个域中的所有计算机，也可以在IP address range(IP地址范围)中输入一个IP的地址范围，输入后单击Start Scan开始扫描多台计算机。,返回本章首页,10章 网络管理与网络安全,10.5 网络管理技术,10.5.1 网络管理的概念 网络管理是指调度和协调资源，以便在任何时候都能通过计划、管理、分析、评估、设计和扩充网络等工作，从而能以合理的成本和最佳的能力满足用户的需求。良好的网络管理能保证网络运行的高性能，高性能又对应着更高的生产率，高生产率意味着高经济效益。这就是我们必须重视计算机网络管理的原因。,10章 网络管理与网络安全,10.5.2 远程桌面配置和应用,在网络维护中，如何实现对服务器的远程控制是我们时常探讨的话题。针对于Windows NT的远程管理来说，实现远程控制一般不外乎两种选择：借助第三方的远程控制软件或者利用Windows NT自身的“终端服务”功能；现在，Windows Server 2003已经集成了更为方便快捷的远程控制手段“远程桌面”。“远程桌面”的配置和使用见上一章。,10章 网络管理与网络安全,10.5.3 网络故障诊断与排除,1网络故障诊断与排除的基本概念 网络故障诊断是以网络原理、网络配置和网络运行的知识为基础，从故障现象出发，以网络诊断工具为手段获取诊断信息、确定网络故障点、查找问题的根源、排除故障、恢复网络正常运行的软件或者硬件。,10章 网络管理与网络安全,网络故障通常有以下几种可能：物理层中物理设备相互连接失败或者硬件及线路本身的问题；数据链路层的网络设备的接口配置问题网络层网络协议配置或操作错误；传输层的设备性能或通信拥塞问题；上三层或网络应用程序错误。网络故障的诊断过程应该沿着OSI七层模型从物理层开始向上进行，首先检查物理然后检查数据链路层，以此类推，设法确定通信失败的故障点，直到系统通信正常。,10章 网络管理与网络安全,网络诊断可以使用包括局域网或广域网分析仪在内的多种工具，路由器诊断命令、网络管理工具和其他故障诊断工具。一般情况下查看路由表是解决网络故障开始的好地方。ICMP的ping、trace命令和Cisco的show命令、debug命令是获取故障诊断有用信息的网络工具。通常使用一个或多个命令收集相应的信息，在给定情况下，确定使用什么命令获取所需要的信息。网络故障往往以某种症状表现出来，对每一个症状使用特定的故障诊断工具和方法都能查找出一个或多个故障原因。,10章 网络管理与网络安全,2网络故障的分类 根据网络故障的性质把网络故障分为物理故障与逻辑故障，也可以根据网络故障的对象把网络故障分为线路故障、路由故障和主机故障。首先介绍按照网络故障不同性质而划分的物理故障与逻辑故障。,10章 网络管理与网络安全,(1)物理故障 物理故障指的是设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。(2)逻辑故障 逻辑故障中最常见的情况就是配置错误，就是指因为网络设备的配置原因而导致的网络异常或故障。配置错误可能是路由器端口参数设定有误，或路由器路由配置错误以至于路由循环或找不到远端地址，或者是路由掩码设置错误等。,10章 网络管理与网络安全,网络故障根据故障的不同对象也可以划分为线路故障、路由故障和主机故障。(1)线路故障 线路故障最常见的情况就是线路不通，诊断这种情况首先检查该线路上流量是否还存在，然后用ping检查线路远端的路由器端口能否响应，用traceroute检查路由器配置是否正确，找出问题逐个解决。,10章 网络管理与网络安全,(2)路由器故障 线路故障中很多情况都涉及到路由器，因此也可以把一些线路故障归结为路由器故障。检测路由器故障，需要利用MIB变量浏览器，用它收集路由器的路由表、端口流量数据、计费数据、路由器CPU的温度、负载以及路由器的内存余量等数据，通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据，并及时给出报警。(3)主机故障 主机故障常见的现象就是主机的配置不当。,10章 网络管理与网络安全,3网络故障的分层诊断技术(1)物理层及其诊断：物理层是OSl分层结构体系中最基础的一层，它建立在通信媒体的基础上，实现系统和通信媒体的物理接口，为数据链路实体之间进行透明传输，为建立、保持和拆除计算机和网络之间的物理连接提供服务。物理层的故障主要表现在设备的物理连接方式是否恰当；连接电缆是否正确。确定路由器端口物理连接是否完好的最佳方法是使用show interface命令，检查每个端口的状态，解释屏幕输出信息，