网管员必读——网络应用(第二版)第七章
合集下载
网管员必读——网络安全
《网管员必读 网管员必读— 网管员必读 —网络安全》 网络安全》 网络安全
欢迎词
非常感谢贵校选择本书作为教材!《网管员必 读——网络安全》一书是近两年来一直畅销全国、 在各权威机构近两年的年度IT图书评比中大获全 胜,获得过许多第一的《网管员必读》系列丛书 中的一本。同时,该系列有多本图书输出到了我 国台湾省。 在此以本书作者身份,祝您们通过对本书的学 习能取得实实在在的进步,学到实实在在的网络 安全管理方面的的知识和培养实实在在的安全策 略部署方面的动手实践能力。
目录第一章企业网络安全概述第二章恶意软件的浓度防护第三章防火墙在网络安全中的应用第四章入侵检测系统及应用第五章企业网络安全隔离第六章windows用户账户安全策略第七章公钥基础结构第八章文件加密不数字签名第九章数据备份不恢复第十章远程网络连接的安全配置教学目的不要求通过本书的学习学员要达到以下基本目的
1.1.7 备份数据和存储媒体的损坏与丢失
正由于以上各节介绍的那么多网络安全隐患的存在,所 以应非常重视系统或数据的备份。个人用户的备份通常是 采取Ghost之类的整盘复制软件,或者把一些重要数据在单 独一个硬盘中,或者刻成光碟备份。对于企业用户,通常 是采用像磁盘阵列、磁带、磁带库、光盘塔、光盘库等专 用硬件,加上适当的备份软件系统组成的数据备份与恢复 系统进行。 然而即使有了完善的数据备份与恢复系统,仍可能存在 备份数据和备份媒体损坏或丢失的危险。如存储媒介中的 数据读不出来,存储媒价丢失、损坏等。这就需要我们为 企业数据备份部署完善的容灾方案。具体将在本书的第十 章介绍,但要了解数据存储与备份的详细知识和应用方案 请参见本系列《网管员必读——服务器与数据存储》一书。
1.1.6 外网的非法入侵
外网入侵的方式有多种方式,如IP电子欺骗、 毁损攻击、拒绝服务攻击、邮件洪流攻击、中间 人攻击、HTTP协议攻击和应用层攻击等。 防止这类外网入侵的主要安全措施就是架设防 火墙。对于个人用户,出于经济成本、性能需求 等各方面的综合考虑,一般都是选择个人软件防 火墙,但对于企业用户来说,强列建议采用硬件 防火墙,当然主要是硬件防火墙的安全防护功能 和性能远比软件防火墙要好。另外,防火墙不仅 可以在内、外部网络之间架设,还可在内部网络 的关键部门与其他部门之间架设,用于保护关键 部门。具体将在本书第三章介绍。
欢迎词
非常感谢贵校选择本书作为教材!《网管员必 读——网络安全》一书是近两年来一直畅销全国、 在各权威机构近两年的年度IT图书评比中大获全 胜,获得过许多第一的《网管员必读》系列丛书 中的一本。同时,该系列有多本图书输出到了我 国台湾省。 在此以本书作者身份,祝您们通过对本书的学 习能取得实实在在的进步,学到实实在在的网络 安全管理方面的的知识和培养实实在在的安全策 略部署方面的动手实践能力。
目录第一章企业网络安全概述第二章恶意软件的浓度防护第三章防火墙在网络安全中的应用第四章入侵检测系统及应用第五章企业网络安全隔离第六章windows用户账户安全策略第七章公钥基础结构第八章文件加密不数字签名第九章数据备份不恢复第十章远程网络连接的安全配置教学目的不要求通过本书的学习学员要达到以下基本目的
1.1.7 备份数据和存储媒体的损坏与丢失
正由于以上各节介绍的那么多网络安全隐患的存在,所 以应非常重视系统或数据的备份。个人用户的备份通常是 采取Ghost之类的整盘复制软件,或者把一些重要数据在单 独一个硬盘中,或者刻成光碟备份。对于企业用户,通常 是采用像磁盘阵列、磁带、磁带库、光盘塔、光盘库等专 用硬件,加上适当的备份软件系统组成的数据备份与恢复 系统进行。 然而即使有了完善的数据备份与恢复系统,仍可能存在 备份数据和备份媒体损坏或丢失的危险。如存储媒介中的 数据读不出来,存储媒价丢失、损坏等。这就需要我们为 企业数据备份部署完善的容灾方案。具体将在本书的第十 章介绍,但要了解数据存储与备份的详细知识和应用方案 请参见本系列《网管员必读——服务器与数据存储》一书。
1.1.6 外网的非法入侵
外网入侵的方式有多种方式,如IP电子欺骗、 毁损攻击、拒绝服务攻击、邮件洪流攻击、中间 人攻击、HTTP协议攻击和应用层攻击等。 防止这类外网入侵的主要安全措施就是架设防 火墙。对于个人用户,出于经济成本、性能需求 等各方面的综合考虑,一般都是选择个人软件防 火墙,但对于企业用户来说,强列建议采用硬件 防火墙,当然主要是硬件防火墙的安全防护功能 和性能远比软件防火墙要好。另外,防火墙不仅 可以在内、外部网络之间架设,还可在内部网络 的关键部门与其他部门之间架设,用于保护关键 部门。具体将在本书第三章介绍。
计算机网络技术项目教程计算机网络管理员级工作单元7 网络应用
7.2.4 共享文件夹
共享资源是指可以由其他设备或程序使用的任何设备、 数据或程序。对于Windows操作系统,共享资源指所有可 用于用户通过网络访问的资源,包括文件夹、文件、打印机、 命名管道等。文件共享是一个典型的客户机/服务器工作模 式,Windows操作系统在实现文件共享之前,必须在网络 连接属性中添加网络组件“Microsoft网络的文件和打印共 享”以及“Microsoft网络客户端”,其中网络组件 “Microsoft网络的文件和打印共享”提供服务器功能, “Microsoft网络客户端”提供客户机功能。
7.1.3 DNS
域名是与IP地址相对应的一串容易记忆的字符,由若干 个从a到z的26个拉丁字母及1到0的10个阿拉伯数字及“-”、 “.”等符号构成并按一定的层次和逻辑排列。目前也有一些 国家在开发其他语言的域名,如中文域名。域名不仅便于记 忆,而且即使在IP地址发生变化的情况下,通过改变其对应 关系,域名仍可保持不变。 TCP/IP的域名系统(DNS)提供了一整套域名管理的 方法。在DNS中采用了树型结构,树的顶层被分成几个主要 的组,由顶层往下的分支继续扩展,每一分支被认为是一个 域,每一级的名字和前面几级的名字一起构成它的域名。
7.2.3 本地用户账户和组
1. 本地用户账户 用户账户定义了用户可以在Windows中执行的操作。 在独立计算机或作为工作组成员的计算机上,用户账户存储 在本地计算机的SAM中,这种用户账户称为本地用户账户。 本地用户账户只能登录到本地计算机。 作为工作组成员的计算机或独立计算机上有两种类型的 可用用户账户:计算机管理员账户和受限制账户,在计算机 上没有账户的用户可以使用来宾账户。
7.2.5 公用文件夹
在Windows Server 2008 R2系统中,磁盘内的文件在 经过设置权限后,每位登录计算机的用户都只能访问有相应 访问权限的文件。如果这些用户要相互共享文件的话,可以 开放权限,也可以利用系统提供的公用文件夹。每位登录 Windows Server 2008 R2系统的用户都可以通过依次选择 “开始”→“计算机”→“本地磁盘”→“用户”→“公用” 命令访问公用文件夹。公用文件夹内默认已经建立了公用视 频、公用图片、公用文档、公用下载与公用音乐等文件夹, 用户只要把要共享的文件复制到适当的文件夹即知识】
-计算机网络技术与应用教程(第2版) --PPT课件:第7章 网络安全
– (4)蠕虫 – 网络蠕虫是一种可以通过网络(永久性网络连接或拨号网络),并在网络中爬行 的过程中进行繁衍的恶意程序。它是一种可以独立运行的程序,它可以通过自身 大量繁衍,消耗系统资源,甚至导致系统崩溃;并且它还可以携带别的恶意程序, 对系统进行破坏活动。 – (5)流氓软件 – 流氓软件最早出现于2001年,其发展大致经历了恶意网页代码、插件推广、软件 捆绑和流氓软件病毒化4个阶段。 – (6)病毒 – “计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数 据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。”(1994年2 月28日颁布的《中华人民共和国计算机信息系统安全保护条例》)。通常认为, 计算机病毒具有如下基本特点。
• •
2.恶意程序的类型 恶意程序已经名目繁多,并且还在通过改进、混合、技术交叉等手段,生成 新的品种。下面仅介绍几种常见的恶意程序。 – (1)陷门 – 陷门(trap doors)是为程序开辟的秘密入口。本来陷门是程序员们进行 程序测试与调试而编写的程序片段,但也发展成为攻击者们的一种攻击 手段: • ● 利用陷门进行远程文件操作和注册表操作; • ● 利用陷门记录各种口令,获取系统信息或限制系统功能。 – (2)逻辑炸弹 – 逻辑炸弹是嵌入在某个合法程序中的一段程序,它在某种条件下会被 “引爆”,产生有害行为,如改变、删除数据或整个文件,执行关机操 作,甚至破坏系统。 – (3)特洛伊木马 – 特洛伊木马的名字来自古代的一次战争。在这次战争中,希腊人在一个 名叫特洛伊的城外丢弃了一种木制的马,它看起来好像是在企求和平, 马肚子里却藏着几十位战士。后人常把看起来有用或无辜,实际却有害 的东西称为特洛伊木马。 – 特洛伊木马程序就是一些看起来有用,但也包含了一段隐藏的、激活时 将执行某些破坏性功能的代码。
网管员必读——网络基础(第二版)第七章
第七章 互联网及其应用基础
本章主要从应用的角度介绍了当前一些主要互联网基础 知识和最新互联网应用技术(如博客、RSS、Wiki、Tag、 网摘、SNS等)的应用方法。 本章重点如下: 基本HTML标志对 DHTML与HTML的区别与联系 ASP、的主要功能与特点 在IIS中的安装、启用ASP和的方法 的主要优点 XML的主要功能与特征 域名类型和结构 Gmail的主要特点和注册方法 Web2.0的主要功能、特点和新技术 博客、RSS、Wiki、Tag、网摘和圈子的使用方法
在完整的域名中,最右一个“.”的左边部分称为二级域名, 命名规则由相对应的顶级域名管理机构制定,并由相应的 机构来管理。我国互联网的二级域名分为行政区域名和类 别域名两类。行政区域名34个,适用于我国的各省、自治 区、直辖市。 (3)三级域名(TLD) 在完整的域名中,二级域名的左边部分称为三级域名, 由相对应的二级域名所有人来管理。由于各个顶级域名的 政策不一样,这个管理者可以是专门的域名管理机构,也 可以是公司或个人。 3. 域名注册机构 各级域名分别是由ICAAN、InterNIC、CNNIC 注册、管 理的。 (1)ICANN ICANN(互联网名称与数字地址分配机构)成立于1998 年10月,是一个集合了全球网络界商业、技术及学术各领 域专家的非营利性国际组织。它负责互联网协议(IP)地 址的空间分配、协议标识符的指派、通用顶级域名 (gTLD)以及国家和地区顶级域名(ccTLD)系统的管理、 以及根服务器系统的管理。
TCP/IP协议研制成功 1980年,TCP/IP协议研制成功。1982年,ARPANET网 络开始采用IP协议。这是一个非常重要的技术转折点。 第一个Internet诞生 美国国家科学基金会(NFS)在1985开始建立NSFNET。 1986年美国国家科学基金会NSF资助建成了基于TCP/IP技 术的主干网NSFNET,世界上第一个互联网产生,迅速连 接到世界各地。 Internet的商业化运作 20世纪90年代,随着Web技术和相应的浏览器的出现, 互联网的发展和应用出现了新的飞跃。1995年,NSFNET 停止运作,Internet已彻底商业化了。 Internet的高速发展 1995年以来,互联网用户数量呈指数增长趋势,平均每 半年翻一番。 第二代互联网(Internet2) 下一代互联网(Internet2)的关键技术就是目前经常见 到的Web2.0,当然它包括了一系列的相关技术,其中一个 重中之重就是下一代IP协议——IPv6。
本章主要从应用的角度介绍了当前一些主要互联网基础 知识和最新互联网应用技术(如博客、RSS、Wiki、Tag、 网摘、SNS等)的应用方法。 本章重点如下: 基本HTML标志对 DHTML与HTML的区别与联系 ASP、的主要功能与特点 在IIS中的安装、启用ASP和的方法 的主要优点 XML的主要功能与特征 域名类型和结构 Gmail的主要特点和注册方法 Web2.0的主要功能、特点和新技术 博客、RSS、Wiki、Tag、网摘和圈子的使用方法
在完整的域名中,最右一个“.”的左边部分称为二级域名, 命名规则由相对应的顶级域名管理机构制定,并由相应的 机构来管理。我国互联网的二级域名分为行政区域名和类 别域名两类。行政区域名34个,适用于我国的各省、自治 区、直辖市。 (3)三级域名(TLD) 在完整的域名中,二级域名的左边部分称为三级域名, 由相对应的二级域名所有人来管理。由于各个顶级域名的 政策不一样,这个管理者可以是专门的域名管理机构,也 可以是公司或个人。 3. 域名注册机构 各级域名分别是由ICAAN、InterNIC、CNNIC 注册、管 理的。 (1)ICANN ICANN(互联网名称与数字地址分配机构)成立于1998 年10月,是一个集合了全球网络界商业、技术及学术各领 域专家的非营利性国际组织。它负责互联网协议(IP)地 址的空间分配、协议标识符的指派、通用顶级域名 (gTLD)以及国家和地区顶级域名(ccTLD)系统的管理、 以及根服务器系统的管理。
TCP/IP协议研制成功 1980年,TCP/IP协议研制成功。1982年,ARPANET网 络开始采用IP协议。这是一个非常重要的技术转折点。 第一个Internet诞生 美国国家科学基金会(NFS)在1985开始建立NSFNET。 1986年美国国家科学基金会NSF资助建成了基于TCP/IP技 术的主干网NSFNET,世界上第一个互联网产生,迅速连 接到世界各地。 Internet的商业化运作 20世纪90年代,随着Web技术和相应的浏览器的出现, 互联网的发展和应用出现了新的飞跃。1995年,NSFNET 停止运作,Internet已彻底商业化了。 Internet的高速发展 1995年以来,互联网用户数量呈指数增长趋势,平均每 半年翻一番。 第二代互联网(Internet2) 下一代互联网(Internet2)的关键技术就是目前经常见 到的Web2.0,当然它包括了一系列的相关技术,其中一个 重中之重就是下一代IP协议——IPv6。
网管员必读——超级网管经验谈(第2版)第七章
7.3.3 登录脚本变量的设置方法
1.设置环境变量 使用set命令创建、更改、删除或显示环境变量。set命令只更改当前解 释器环境中的变量。 要查看变量,请在命令提示符下键入: set VariableName 要添加变量,请在命令提示符下键入: set variablename=Value 要删除变量,请在命令提示符下键入: set VariableName= # 后面不接变量值即可删除所选变量。 2.替换环境变量值 要在命令行或脚本中启用变量值替换,请将变量名包括在百分号之中 (即%Variable Name%)。使用百分号可以确保Cmd.exe引用变量值, 而不是进行文字比较。 具体内容参见书中介绍。
7.4 实用经验与故障排除
本节集中解答以下问题: 我为用户配置了用户文件,可在用户登录时总是提示找不 到配置文件路径,为什么? 为什么我在为用户配置用户配置文件时系统出现如书中图 7-8所示的错误提示? 用户配置文件路径有没有特别的规定? 我为用户配置了主文件夹,可用户说找不到这个主文件夹, 也没有映射驱动器,为什么? 我为用户配置了主文件夹,为什么不能在“网上邻居”中 看到它? 我已为用户配置了主文件夹,可用户反映说在使用Word等 应用程序打开或保存时仍首选的是本地计算机中的“我的 文档”位置,为什么?应如何设置?
7.3.4 登录脚本配置
在运行Windows Server 2003家族操作系统(Windows 2000 Server系统也可以)的计算机上,可以为用户账户指 派登录脚本。如果用户登录时登录脚本路径出现在用户账 户中,那么系统将会查找并运行该文件。还可以通过“组 策略”管理单元指派登录和注销脚本,以及计算机启动和 关闭脚本。 登录脚本与用户配置文件一样,也有本地用户登录脚本 和漫游用户登录脚本之分,本地用户登录脚本就是用户在 本机上登录时所使用的脚本,而漫游用户登录脚本则适用 于网络中所有计算机系统,无论用户选择哪一台机器登录, 都可使用这个脚本。 本地用户登录脚本是在“计算机管理”管理工具中进行 配置的。方法是先选择一个用户,单击鼠标右键,在弹出 的快捷菜单中选择“属性”选项,在打开对话框中选择 “配置文件”选项卡,就在这个对话框中进行配置。
《Internet应用》第7章网络安全和网络管理
上一页 下一页 返回
7 .1网络安全的概述
在TCSEC准则中将计算机系统的安全分为了四大类,依次为 D,C,B,A,A是最高的一类。每一类都代表一个保护敏感信息的 评判准则,并且一类比一类严格。在C和B中又分若干个子类, 我们称为级,下面分别进行介绍。
(1)D类:最小的保护。这是最低的一类,不再分级。这一类是 那些通过评测但达不到较高级别安全要求的系统。早期商用 系统属于这一类,典型的就是MS一DOS。
(3)软件和数据的可用性—是指在保证软件和数据完整的同 时,还要能使其被正常利用和操作。
(4)软件和数据的保密性—主要是利用密码技术对软件和数 据进行加密处理,保证在系统中存储和网络上传输的软件和 数据不被无关人员识别。
上一页 下一页 返回
7 .1网络安全的概述
7. 1. 2网络安全威胁介类 计算机网络面临的安全威胁如图7-1所示,主要有截获、中断、
篡改和伪造4种。 (1)截获—从网络上窃听他人的通信内容。 (2)中断—有意中断他人在网络上的通信。 (3)篡改—故意篡改网络上传送的报文。 (4)伪造—伪造信息在网络上传送。 上述四种威胁可划分为两大类,即主动攻击和被动攻击。截
获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资 源的攻击称为主动攻击。在被动攻击中,攻击者只是观察和 分析某一个PDU而不干扰信息流。主动攻击是指攻击者对某 个连接中通过的PDU进行各种处理。
(4)A类:经过验证的保护,是安全系统等级的最高类。这类系 统可建立在具有结构、规范和信息流密闭的形式模型基础之 上。
上一页 返回
7 .2计算机病毒与防范
1985年世界上首次出现了以软盘传播为主的计算机病毒, 1989年起计算机病毒开始在我国出现并广泛传播。由于计算 机系统自身的脆弱性,无论是硬件系统还是软件系统,关键 部位稍受损伤就会使得整台计算机瘫痪。因此计算机病毒为 何物、从何而来、有何危害、怎样防治等等,已成为每个计 算机用户所必须了解和掌握的基本知识。防治病毒的传播、 消除病毒、保护计算机系统的安全可靠是每个用户长期面临 的共同问题。
7 .1网络安全的概述
在TCSEC准则中将计算机系统的安全分为了四大类,依次为 D,C,B,A,A是最高的一类。每一类都代表一个保护敏感信息的 评判准则,并且一类比一类严格。在C和B中又分若干个子类, 我们称为级,下面分别进行介绍。
(1)D类:最小的保护。这是最低的一类,不再分级。这一类是 那些通过评测但达不到较高级别安全要求的系统。早期商用 系统属于这一类,典型的就是MS一DOS。
(3)软件和数据的可用性—是指在保证软件和数据完整的同 时,还要能使其被正常利用和操作。
(4)软件和数据的保密性—主要是利用密码技术对软件和数 据进行加密处理,保证在系统中存储和网络上传输的软件和 数据不被无关人员识别。
上一页 下一页 返回
7 .1网络安全的概述
7. 1. 2网络安全威胁介类 计算机网络面临的安全威胁如图7-1所示,主要有截获、中断、
篡改和伪造4种。 (1)截获—从网络上窃听他人的通信内容。 (2)中断—有意中断他人在网络上的通信。 (3)篡改—故意篡改网络上传送的报文。 (4)伪造—伪造信息在网络上传送。 上述四种威胁可划分为两大类,即主动攻击和被动攻击。截
获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资 源的攻击称为主动攻击。在被动攻击中,攻击者只是观察和 分析某一个PDU而不干扰信息流。主动攻击是指攻击者对某 个连接中通过的PDU进行各种处理。
(4)A类:经过验证的保护,是安全系统等级的最高类。这类系 统可建立在具有结构、规范和信息流密闭的形式模型基础之 上。
上一页 返回
7 .2计算机病毒与防范
1985年世界上首次出现了以软盘传播为主的计算机病毒, 1989年起计算机病毒开始在我国出现并广泛传播。由于计算 机系统自身的脆弱性,无论是硬件系统还是软件系统,关键 部位稍受损伤就会使得整台计算机瘫痪。因此计算机病毒为 何物、从何而来、有何危害、怎样防治等等,已成为每个计 算机用户所必须了解和掌握的基本知识。防治病毒的传播、 消除病毒、保护计算机系统的安全可靠是每个用户长期面临 的共同问题。
网管员必读——网络管理(第2版)第七章
7.2 组策略管理控制台
在安装了Windows Server 2003 SP1和GPMC后,打开 "组策略管理控制台"的方法是直接执行【开始】→【管 理工具】→【组策略管理】菜单操作,控制台窗口如下图 所示.
7.2.1 新,旧组策略相关操作比较 安装了GPMC后,组策略的管理就不再依靠"Active Directory用户和计算机"和"Active Directory站点和服务" 了,而可以直接通过GPMC来进行全面的管理了.组策略 相关操作的新,旧方法比较参见书中表7-2所示.
第七章 组策略管理
本章将以新的GPMC工具为例介绍组策略的管理. 本章重点如下: 组策略的主要用途 组策略的执行顺序 GPMC的基本使用方法 域组策略的基本管理 域组策略安全筛选器的创建与配置 组策略的备份,还原和导入方法
7.1 组策略基础
组策略是Active Directory目录服务中的结构,可用于定 义将自动应用到Active Directory中的用户和计算机账户的 默认设置.策略设置可用于管理桌面显示,指派脚本,将 文件夹从本地计算机重新定向到网络位置,确定安全选项, 以及控制特定计算机上可安装的软件和特定用户组可用的 软件. 7.1.1 组策略概述 组策略设置定义了系统管理员需要管理的用户桌面环境 的各种组件.要为特定用户组创建特殊的桌面配置,请使 用组策略对象编辑器. 组策略不仅应用于用户和客户端计算机,还应用于成员 服务器,域控制器及管理范围内的任何其他Windows 2000 计算机.默认情况下,应用于域(即在域级别应用,刚好 在Active Directory用户和计算机的根目录之上)的组策略 (也就是"域组策略")会影响域中的所有计算机和用户.
网管员必读——网络应用(第二版)第一章
1.1.3 配置动态域名解析方案的基本步骤
动态域名解析方案配置的基本步骤如下: (1)选择一家提供动态域名解析服务的服务商,在其 网站注册动态解析帐户主域名。 (2)用本书后面介绍的IIS、Apache、Serv-u等软件组 建自己的Web网站、FTP站点或者邮件服务器。并把上一 步所申请到的域名网站上下载网站源码,然后经过适当的编辑,变成自己的 网站。 (4)利用任意动态互联网接入方式把服务器连接到互 联网,下载相应服务商提供的动态解析客户端软件,并用 注册的用户登陆。这样就把自己的服务器通过动态域名解 析服务成功放在互联网上供全球用户访问了。 (5)如果互联网服务器不是直接连接互联网,则需要 按照本章后面介绍的方法进行端口映射配置。
本书是一本全面、系统而又专业的网络应用类图书。书 中介绍的应用方案大多数是适合于大中型企业,比较复杂 的网络应用方案,所以在学习本书内容时,首先要保持一 个高度清醒的头脑,然后跟着书中介绍的基本配置思路和 章节顺序进行配置操作。 在本书在教学中,建议授课老师遵循以下教学思路: 配置真实的网络环境。 在进行具体内容讲解前,先与学员一起,结合实际的网 络管理工作需求,分析相应网络应用在企业中的需求。 先要求学生全面预习课本中相应方案内容,然后通过书 中介绍的基本配置思路理清整个配置思路,化繁为简。 思路清晰后,老师可以带领学习跟着书中介绍的方法一 步步配置应用方案。讲解完后,再由学生自己动手配置, 最后由老师进行评分。 因为本书主要介绍的是应用方案配置,所以本课件所涉 及的大部分内容仍在书本之中,如具体的配置步骤和详细 技术介绍等,所以一定要结合书本学习。
目录
第一章 动态域名解析与端口映射配置 第二章 IIS 6.0 Web网站配置与管理 第三章 Apache2.2网站配置 第四章 FTP站点配置与管理 第五章 中小企业邮局系统 第六章 大中型企业邮局系统 第七章 RTX2006企业即时通信系统 第八章 企业流媒体服务器系统 第九章 企业SharePoint门户网站配置
网管工作手册
网管工作手册网管工作手册第一章:概述1.1 网管工作的重要性1.2 网管职责和要求1.3 建立和维护网络设备第二章:网络规划和设计2.1 网络拓扑和架构2.2 IP地址规划2.3 子网划分和路由配置第三章:网络设备管理3.1 网络设备购买和安装3.2 网络设备配置和管理3.3 网络设备监控和故障排除3.4 网络设备升级和维护第四章:网络安全管理4.1 网络安全策略制定4.2 防火墙配置和管理4.3 网络访问控制和权限管理4.4 网络漏洞扫描和修复4.5 网络安全事件响应和恢复第五章:网络性能优化5.1 带宽管理和优化5.2 网络流量分析和优化5.3 网络设备性能监控和调优5.4 网络应用程序性能优化第六章:备份和恢复管理6.1 数据备份策略制定6.2 数据备份和恢复工具选择6.3 数据备份和恢复测试和验证6.4 关键数据灾难恢复计划第七章:网络档案和文档管理7.1 网络拓扑图和设备清单7.2 网络配置文件和备忘录7.3 网络设备和应用程序文档7.4 网络故障解决和优化记录第八章:团队协作和沟通8.1 网管团队组织和分工8.2 网管团队协作和沟通工具8.3 网管团队例会和培训第九章:应急响应和预防9.1 网络安全和故障预警9.2 应急响应计划和流程9.3 灾难恢复和磁盘镜像9.4 防范网络安全攻击和病毒第十章:网络监管和合规性10.1 网络管理合规性要求10.2 网络监管工具和报告10.3 网络合规性评估和审计10.4 网络管理政策和程序第十一章:网络技术试验和创新11.1 新技术评估和试验11.2 网络创新和改进计划11.3 技术培训和认证计划11.4 技术交流和分享第十二章:问题解决和总结12.1 网管问题解决流程12.2 网管经验总结和分享12.3 网管工作评估和改进12.4 网管职业发展和规划第十三章:附录13.1 网络设备监控工具13.2 网络安全工具13.3 网络性能优化工具13.4 数据备份和恢复工具13.5 网管相关网站和论坛本网管工作手册旨在为网络管理员提供一个全面而实用的指南,以帮助他们有效地管理和维护企业的网络环境。
网管员必读-超级网管经验谈(第2版)第七章
如SSH、Telnet等,支持在远程计算机上执 行命令和脚本。
远程监控工具
远程协助软件
如SNMP、NetFlow等,提供网络设备的远 程监控和管理功能。
如TeamViewer、AnyDesk等,可实现屏幕 共享、文件传输和远程控制等功能,方便 网管员为用户提供远程技术支持。
02
网络安全防护策略
防火墙配置与管理
跟踪行业动态
关注网络技术和安全领域的最新发展,了解新兴技术和趋势。
学习新技术
积极学习云计算、虚拟化、SDN等新技术,提升自己的技术水平。
实践技术应用
将所学新技术应用到实际工作中,提高解决问题的能力和效率。
实践经验积累和分享
1 2
总结经验教训
在工作中不断总结经验教训,形成自己的知识库 和案例库。
分享经验
按照选定的恢复方式,执行数据恢复操作,并确保恢复过程中的 数据安全和完整性。
灾难性事件应对策略
制定灾难恢复计划
针对可能发生的灾难性事件,如自然灾害、硬件 故障等,制定详细的灾难恢复计划。
建立应急响应机制
设立专门的应急响应团队,负责在灾难事件发生 时快速响应和处理。
定期演练和培训
定期组织灾难恢复演练和培训,提高团队应对灾 难性事件的能力和水平。
关闭不常用的服务,减少系统资源 占用。
清理系统垃圾
定期清理系统垃圾文件,释放磁盘 空间。
03
02
优化系统配置
调整系统参数配置,提高系统性能。
升级系统补丁
及时安装系统补丁,确保系统安全 稳定。
04
应用软件部署及更新
软件安装与配置
安装和配置应用软件,确保软件正常运行。
数据备份与恢复
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.1.1 腾讯RTX简介
RTX(腾讯通)是腾讯公司的核心技术品牌,同时作为 腾讯商业实时应用的品牌。RTX的前身是BQQ(企业 QQ),在将BQQ更名为RTX之后,更突出了腾讯公司在 企业即时通信产品方面的定位。 RTX(腾讯通)是腾讯公司推出的企业级即时通信平台。 其主要功能,包括企业内部实时信息交互、语音视频交流、 企业短信中心、自动存档主题讨论等等。 RTX包括服务器端和客户端软件,可在企业本地自建服 务器,迅速搭建企业的内部即时通信平台。同时,RTX提 供二次开发接口,支持第三方在RTX上进行二次开发。在 软硬件部署方面,主要包括三个部分:RTX用户工作台 (安装RTXClient)、RTX服务器(安装RTX各类服务)、 数据/文件服务器(安装数据库软件/文件系统)。
根据RTX系统的设计原则,RTX客户端用户是不能自动 申请RTX号码的。系统需要由RTX系统管理人员架构企业 的部门组织结构、分配RTX号码,然后才可由RTX客户端 进行登录。所以,首先必须配置好自己单位的组织架构。 7.3.1 添加一级部门 在RTX2006中,添加一级部门的方法是在RTX管理器主 界面导航栏中单击“用户管理”按钮,再在展开的控制台 树中选择”组织架构”选项,配置界面参见上页图示。 具体添加方法参见书中介绍。 7.3.2 添加多级部门 添加多级部门的方法类似添加一级部门,只是要注意需 要在那个部门下添加子部门时,须在主界面左侧定位到该 部门然后打开添加窗口。具体添加方法参见书中介绍。
动态更新运行的应用程序:允许您不必重新启动 Web服务器而更新已编译的组件 迁移路径简单:可以和传统的ASP应用程序一起 在Windows 2000/XP/Server 2003家族成员的IIS上运行。 (4)新的应用程序模型 XML Web服务:XML Web服务允许应用程序通过Internet 进行通信和共享数据,而不管操作系统和编程语言如何。 移动Web设备支持:移动控件允许您处理超过80 台使用的移动Web设备。 (5)开发人员的效率 简单的编程模型:具有服务器控件的使得动态构 建真实的Web应用程序变得更加容易。 灵活的语言选项:不仅支持VBScript和JScript, 而且支持25种以上的.NET语言,包括对、 C#和的内置支持。 丰富的类框架:.NETFramework类库提供了4500多种类。 说明:因7.3.4节属于具体配置步骤,不适宜在课件中表 述,所以本节内容略。
7.2 配置RTX管理器
RTX 2006的管理器把前RTX2005版本的用户管理器、服 务管理器、应用管理器整合成一个RTX服务管理器,只有 一个RTX管理器入口。管理器主界面如下图所示。在这里 主要需要设置的是RTX自身的各服务器服务的启动与停止、 所用端口、IP地址等。具体参见书中介绍。
7.3 部署组织架型理由: (1)改进的性能和可伸缩性 编译后执行:比ASP的运行速度更快,保留了 ASP“只需点击保存”的更新模型,无需显式的编译步骤。 大容量输出缓存:输出缓存极大地改进了应用程 序的性能和可伸缩性。就会执行一次该页并将结 果在发送至用户之前保存在内存中。 Web场会话状态:会话状态允许您在Web场中的 所有计算机之间共享会话数据。 (2)增强的可靠性 自动检测错误(例如,死锁和内存泄漏)并进 行恢复以确保您的应用程序始终可用。 (3)部署简单 “非接触式”应用程序部署:使用,您可以通过 将其复制到服务器来进行整个应用程序的部署。
2. 权限说明 在权限列表中包括“修改姓名”、“发送短信”、“发起 30人以上的多人会话”、“发送大于3M的文件”、“使用 点对点方式传送文件”、“发送广播消息”等权限。
发送短信:可以通过RTX发送手机短信。 发起30人以上的多人会话:可以发起管理员指定人数以内 的多人会话。 发送大于3M的文件:以发送管理员指定大小的文件。 点对点方式传送文件:可以使用点对点方式传送文件。 发送广播消息:可以发送广播消息。 远程登录:被赋予这个权限的用户可以从其他上远程登录 到本地RTX服务器。 权限分为三种:不允许(既不选择允许,也不选择拒 绝)、允许和拒绝;优先级由低到高排序:不允许->允许>拒绝,拒绝权限最高。 3 权限的分配与回收 用户权限的分配与回收是通过角色来实现的。对用户分 配权限的过程,实际上是为角色分配权限的过程。要为角 色配置权限,只需在控制台界面中选中某个角色,再在工 具栏中单击“权限设置”按钮,在打开的如下图所示对话 框中进行设置。先在左侧窗格的权限列表中选择相应权限 选项(可以在选择的同时按住〖Shift〗按键连续多选,也 可
RTX的权限配置可在管理器控制台左边导航栏中单击 “权限管理”选项,在打开的如下图所示界面中配置。
RTX的权限分为内置权限和应用权限,内置权限是系统针 对RTX自身功能所设置的权限;应用权限是针对所集成的插 件应用功能所配置的权限,在添加插件或应用时自行添加。
1. 角色 用户所具有的权限全部由角色(相当于Windows系统中 的“组”功能)所实现,在分配权限之前,先必须为每个 用户,或者部门分配角色。每个角色拥有不同的权限值。 系统内置了“user”和“管理员”这两个角色(参见下图), 并默认所有用户均属于角色“user”。角色的具体添加方法 参见书中介绍。
安装RTX客户端程序后,就可启动客户端登录程序的初 次登录。RTX客户端登录界面如下面左图所示。用户需要 在“帐号”和“密码”两文本框中填写自己的RTX帐号和 密码。客户端设置界面如下面右图所示。具体设置方法参 见书中介绍。
7.5.1 个人设定
与QQ一样,RTX客户端也可以由用户设置自己的个人基 本资料,如姓名、性别、年龄、联系方式等。还可以修改 密码。在客户端主界面中执行【文件】→【个人设置】菜 单操作 ,即可打开“个人设置”界面,参见上页右图。具 体设置方法参见书中介绍。 7.5.2 系统设置 系统设置的方法与上面介绍的个人设置的方法基本一样, 与我们常用的QQ系统设置方法也一样。它是对RTX客户 端在所在计算机运行时的参数设置,设置界面也请参见上 页右图。具体设置方法参见书中介绍。
第7章 RTX2006企业即时通信系统
随着局域网中的网络应用普及和多样化,加上现在的公 司规模也越来越大,集团公司也是越来越多,基于局域网 平台的即时通信应用需求也越来越旺盛,在这种应用需求 背景下,基于局域网平台下的即时通信应用也随之兴起, 并迅速发展。本章要介绍深圳腾讯公司的RTX 2006企业即 时通信系统的配置方法。 本章重点如下: RTX 2006的安全技术 RTX 2006的服务器配置 RTX 2006系统织架构的部署 RTX 2006用户帐户创建 RTX 2006角色创建与权限配置 RTX 2006客户端的个人配置 RTX 2006客户端联系人的添加与会话
7.4.2 批量导入用户数据
这一功能是在管理器控制台左边导航栏中选择“用户数 据导入导出”选项,相应的配置界面如下图所示,在其中 单击“导入”按钮导入把以前用户数据批量导入。管理员 通过该功能,将该版本之前的以及RTX2005之后版本的 RTX用户导入到本系统中。具体参见书中介绍。
7.4.3 为用户分配权限
7.1.3 RTX 2006的安全技术
RTX系统在数据通信中,采用128位消息加密机制,确保 信息在各个通路之间中的传输安全,同时,配合严谨而灵 活的用户权限机制,最大程度上解决了企业应用中的安全 隐患问题。具体安全技术如下: 数据加密打包传输(128位标准对称加密算法) RTX系统中各个模块之间、各个插件之间的数据通信, 都采用的是TCP协议与UDP协议相结合的传输方式,增强 了通信方式的灵活性。同时,为了避免数据的明文传递, 系统采用了多种128位标准对称加密算法进行数据加密, 支持IDEA、TEA、THEA等多种算法以及在算法之间的轮 换应用。这样,即时通信信息、文件、讨论组信息等等可 能因为明文而造成的网络传输安全隐患,在RTX系统中得 以合理消除。
7.1.2 RTX 2006的主要特性
RTX2006的主要特性如下: 高效的数据传输机制 RTX系统除了即时通信的常用功能,还有会议、讨论组 等功能。 先进的多媒体技术应用 RTX使用了业界先进的视频和语音引擎技术,其中包括 Audio/Video的直接交流。在技术上,RTX系统采用了业界 先进的Audio/Video处理和传播技术,传输通道上采用当前 互联网上广泛应用的P2P先进网络技术,同时可以根据网 络带宽情况进行自适应调节,确保最佳的表现效果。 稳定高效的数据/文件存储 RTX系统服务器端采用了Access数据库作为数据存储方 式,利用ODBC访问技术,采用最优的系统分析方法指导 数据库表的设计,充分发挥了Access数据库小巧、稳定、 高效、灵活的特点。
7.1.4 RTX2006系统的基本部署思路
1. RTX2006应用系统总体部署流程 建议采用以下系统总体部署流程。 (1)了解企业各部门对即时通信的需求和接受程度 (2)部门内部试用,积累推广经验 (3)制定RTX推广方案,争取公司领导支持 (4)结合培训,有计划的在公司各部门进行推广 (5)考虑RTX是否需要和现有信息系统集成 2. RTX2006应用系统配置思路 部署RTX2006系统的基本思路如下: (1)准备好RTX服务器IP地址和网络连接方式; (2)安装好RTX服务器和客户端软件 (3)配置RTX管理器 (4)在RTX2006中配置企业RTX系统组织架构 (5)添加与管理用户
严谨的用户权限机制 在企业用户应用RTX系统的时候,系统管理员、普通客 户端用户、信息服务部门管理员等等,不同的角色在系统 中有不同的用户权限。RTX系统采用了严谨而又非常灵活 的用户权限机制:以求能够合理的搭建企业实际应用的权 限框架。 签名和令牌 每个客户端登陆RTX Server后,会从RTXServer处获得 一个二进制的加密信息,称之为签名。签名是采用RTX服 务系统内部约定的一个密钥(Kss)进行加密的,只有知 道Kss的服务程序才能解开。 客户端在登录其他服务器(例如File Server,Session Server)之前,需要到RTX Server取到一个其他服务器的 访问令牌 (Access Token)。具体的第三方服务器的认证 步骤和以上所介绍的详细安全技术参见书中介绍。