第 8 章 网络应用服务安全配置[可修改版ppt]
合集下载
计算机网络第8章 局域网布线、物理拓扑结构
逻辑拓扑
双绞线以太网中的所有计算机共享一个通信介 质,计算机必须竞争对介质的控制,并且一个 特定的时间只有一台计算机能进行传输。 实质是总线结构
物理拓扑与逻辑拓扑可能是不同的
网络接口卡与布线方案
为使改变布线方案而不改变接口硬件称为可 能,许多网络接口支持多种布线方案 尽管有多种连接器,但是一个特定接口在一 个时间内只能使用一种布线方案 优点:
2. 细缆以太网布线
与粗缆以太网布线的区别
使用比粗缆以太网更细、更柔软的同轴电缆 安装与运行比粗网简单 由于完成收发器功能的硬件被做在网卡里,所 以外部无需外部收发器
通过BNC连接器直接连接每台计算机
BNC
2. 细缆以太网布线
与粗缆以太网相似的地方
均采用同轴电缆,具有良好的屏蔽性 均需要终止器 采用总线拓扑 具有相似的电子特性
2. 小型办公室局域网布线
线缆的选用 1. 一般总线结构的局域网多使用铜轴电缆,不过我 们这里主要讲星形结构的局域网,所以不作详细介绍。 2. 星形结构的局域网所用的线缆大多是双绞线 (Twisted pair cable)。它是由两根绝缘导线互相绞合 而成。双绞线可分为两类:无屏蔽双绞线 (UTP)和屏蔽 双绞线 (STP)。 屏蔽双绞线与无屏蔽双绞线主要的不同是增加了一 层金属屏蔽护套。这层屏蔽护套的主要作用是为了增强 其抗干扰性,同时可以在一定程度上改善其带宽。但是 由于价格比无屏蔽双绞线贵,安装也比较困难,加之小 型局域网结构简单、设备少,所以没有必要使用屏蔽双 绞线。
1.家庭布线(LAN无服务器共享上网)
配置路由 网络的灵魂是软件。当我们布完线,架好 硬件之后,就要对路由器进行配置了。 根据用户的实际情况设置“xDSL”的参数。 将“DHCP Server”设为“Enabled”,这样就 可以让所有计算机自动获得一个“内网IP” 。 启动防火墙功能,这样可以杜绝来自外部的 大部分攻击。
网络服务器配置与管理Windows Server 2012 R2篇—第8章
• 桌面虚拟化 • 指将计算机的桌面进行虚拟化,以达到桌面使用的安全性和灵活性,让用户可以通 过任何设备,在任何地点、任何时间访问在网络上属于自己的桌面系统。
• 虚拟桌面基础架构 • 通过在数据中心的服务器运行Windows操作系统,将用户的桌面进行虚拟化。
8.1 远程桌面服务基础
远程桌面服务的角色服务
8.1 远程桌面服务基础
会话远程桌面的部署类型
标准部署 • 可以跨越多台服务器部署远程桌面服务。 快速启动 • 可以在一台服务器上部署远程桌面服务。
第8章 远程桌面服务
9
内容 导航
CONTENTS
远程桌面服务基础 部署和管理远程桌面服务 部署远程桌面连接
第8章 远程桌面服务
10
8.2 部署和管理远程桌面服务
4
Windows 2000 Server开始支持基本的终端服务。
Windows Server 2003的终端服务开始支持Web浏览器访问。 Windows Server 2008将终端服务作为一个服务器角色,增加了RemoteApp、终端服务网关和 终端服务Web访问等组件。 Windows Server 2008 R2进一步改进终端服务,并将其改称为远程桌面服务,并新增远程桌面 虚拟化主机。 Windows Server 2012支持VDI部署和管理、会话虚拟化部署和管理。
Windows Server 2012 R2改进了RemoteApp用户体验。
8.1 远程桌面服务基础
部署远程桌面服务的优点
第8章 远程桌面服务
5
• 实现应用程序集中式部署,提升企业信息系统的可管理性,降低企业的总体拥有成本。 • 充分利用已有的硬件设备,降低硬件更新频率。 • 支持远程访问和分支机构访问。 • 简化了用户界面。 • 适应多种不同的客户端。
• 虚拟桌面基础架构 • 通过在数据中心的服务器运行Windows操作系统,将用户的桌面进行虚拟化。
8.1 远程桌面服务基础
远程桌面服务的角色服务
8.1 远程桌面服务基础
会话远程桌面的部署类型
标准部署 • 可以跨越多台服务器部署远程桌面服务。 快速启动 • 可以在一台服务器上部署远程桌面服务。
第8章 远程桌面服务
9
内容 导航
CONTENTS
远程桌面服务基础 部署和管理远程桌面服务 部署远程桌面连接
第8章 远程桌面服务
10
8.2 部署和管理远程桌面服务
4
Windows 2000 Server开始支持基本的终端服务。
Windows Server 2003的终端服务开始支持Web浏览器访问。 Windows Server 2008将终端服务作为一个服务器角色,增加了RemoteApp、终端服务网关和 终端服务Web访问等组件。 Windows Server 2008 R2进一步改进终端服务,并将其改称为远程桌面服务,并新增远程桌面 虚拟化主机。 Windows Server 2012支持VDI部署和管理、会话虚拟化部署和管理。
Windows Server 2012 R2改进了RemoteApp用户体验。
8.1 远程桌面服务基础
部署远程桌面服务的优点
第8章 远程桌面服务
5
• 实现应用程序集中式部署,提升企业信息系统的可管理性,降低企业的总体拥有成本。 • 充分利用已有的硬件设备,降低硬件更新频率。 • 支持远程访问和分支机构访问。 • 简化了用户界面。 • 适应多种不同的客户端。
计算机网络_自顶向下方法_(中文版课件)第八章_网络安全.TopDownV3-8
4. 选择d 使得 ed-1 能够被z整除(换句话说: ed mod z = 1 ). 5. 公钥是(n,e). 私钥是 (n,d). KB
+ KB
网络安全 18
RSA: 加密,解密
0. 给定(n,e)和(n,d)如上面所计算 1. 为加密比特模式, m, 计算
c = m e mod n (即当 me被n相除时的余数)
(m mod n) d mod n = m edmod n = m
e
ed mod (p-1)(q-1)
1
(using number theory result above)
mod n
= m mod n
(因为我们选择ed(p-1)(q-1) 相除具有余数1 )
= m
网络安全 21
RSA: 另一个重要性质
Alice的 IP 地址
加密的 “I’m Alice” 口令
记录并重放 仍然有效!
Alice的 IP地址
OK
Alice的 IP地址
加密的 “I’m Alice” 口令
网络安全
31
鉴别:另一种尝试
目标:避免重放攻击 不重数(Nonce): 数字(R)一生仅用 一次 ap4.0: 为了证实 Alice “活跃”, Bob向Alice发送不重数 。 Alice必须返回 R, 用共享的秘密密钥加密 “I am Alice” R KA-B(R) 实效,缺点?
网络安全 3
什么是网络安全?
机密性: 仅发送方,希望的接收方应当“理解” 报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输 或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用
+ KB
网络安全 18
RSA: 加密,解密
0. 给定(n,e)和(n,d)如上面所计算 1. 为加密比特模式, m, 计算
c = m e mod n (即当 me被n相除时的余数)
(m mod n) d mod n = m edmod n = m
e
ed mod (p-1)(q-1)
1
(using number theory result above)
mod n
= m mod n
(因为我们选择ed(p-1)(q-1) 相除具有余数1 )
= m
网络安全 21
RSA: 另一个重要性质
Alice的 IP 地址
加密的 “I’m Alice” 口令
记录并重放 仍然有效!
Alice的 IP地址
OK
Alice的 IP地址
加密的 “I’m Alice” 口令
网络安全
31
鉴别:另一种尝试
目标:避免重放攻击 不重数(Nonce): 数字(R)一生仅用 一次 ap4.0: 为了证实 Alice “活跃”, Bob向Alice发送不重数 。 Alice必须返回 R, 用共享的秘密密钥加密 “I am Alice” R KA-B(R) 实效,缺点?
网络安全 3
什么是网络安全?
机密性: 仅发送方,希望的接收方应当“理解” 报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输 或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用
计算机网络技术及应用第8章应用服务器安装配置(第二版)
•
本次课内容介绍
• • •
主要内容:
了解www服务的理论知识 配置IIS发布www服务 配置DNS服务器;
重点内容:
配置IIS服务 配置DNS服务器
8.1.1 了解服务器
•
• •
1、服务器的角色定位: 服务器英文名称叫做SERVER,是一种高性能计算机,作为 网络的节点,存储、处理网络上80%的数据、信息,因此也 被称为网络的灵魂。 2、服务器硬件特性: 服务器服务于整个网络的用户,需要24小时不间断工作,必 须具有极高的稳定性; 服务器通过采用对称多处理器(SMP)安装、插入大量的高 速内存来保证工作。
•
(5)网站绑定 点击“Internet信息服务(IIS)管理器”窗口中选择“网 站”→“web1”,在右侧操作栏单击“限制”链接,弹出 “网站绑定”对话框,在该对话框中可以添加网站的IP地址、 端口、协议类型、主机头等参数。
5、站点安全设置
•
(1)用户控制安全 “Internet信息服务(IIS)管理器”窗口中选择“网 站”→“web1”,点击“身份验证”,打开身份验证窗口
8.2.2 域名解析过程
• •
1、反复查询 查询者不断在各个体服务器上轮询,每个被询问的个体服务 器根据情况选择回应方式。 2、递归查询 查询者只向一个服务器提出查询要求,该服务器或是自己提 供所需结果,或是求助其他DNS服务器,被求助的服务器也 可以再向其他服务器求助,这样就形成一个服务器链。
方式.
•
(1)用户控制安全 关闭“匿名身份验证”,启用“Windows身份验证”,在IE浏 览器中输入网站地址,发现需要使用用户名和密码访问网站。 输入WEB服务器上创建的账号和密码,顺利进入网站浏览,从 而实现用户访问控制.
本次课内容介绍
• • •
主要内容:
了解www服务的理论知识 配置IIS发布www服务 配置DNS服务器;
重点内容:
配置IIS服务 配置DNS服务器
8.1.1 了解服务器
•
• •
1、服务器的角色定位: 服务器英文名称叫做SERVER,是一种高性能计算机,作为 网络的节点,存储、处理网络上80%的数据、信息,因此也 被称为网络的灵魂。 2、服务器硬件特性: 服务器服务于整个网络的用户,需要24小时不间断工作,必 须具有极高的稳定性; 服务器通过采用对称多处理器(SMP)安装、插入大量的高 速内存来保证工作。
•
(5)网站绑定 点击“Internet信息服务(IIS)管理器”窗口中选择“网 站”→“web1”,在右侧操作栏单击“限制”链接,弹出 “网站绑定”对话框,在该对话框中可以添加网站的IP地址、 端口、协议类型、主机头等参数。
5、站点安全设置
•
(1)用户控制安全 “Internet信息服务(IIS)管理器”窗口中选择“网 站”→“web1”,点击“身份验证”,打开身份验证窗口
8.2.2 域名解析过程
• •
1、反复查询 查询者不断在各个体服务器上轮询,每个被询问的个体服务 器根据情况选择回应方式。 2、递归查询 查询者只向一个服务器提出查询要求,该服务器或是自己提 供所需结果,或是求助其他DNS服务器,被求助的服务器也 可以再向其他服务器求助,这样就形成一个服务器链。
方式.
•
(1)用户控制安全 关闭“匿名身份验证”,启用“Windows身份验证”,在IE浏 览器中输入网站地址,发现需要使用用户名和密码访问网站。 输入WEB服务器上创建的账号和密码,顺利进入网站浏览,从 而实现用户访问控制.
第8章 网络应用软件
7
8.2.1 TheWorld浏览器 浏览器
• TheWorld(世界之窗)是一款采用IE内核的浏览 器,因此,其显示效果与IE完全相同。与常见的浏览 器相比,TheWorld浏览器体积更小、速度更快、功 能更强大。
8
8.2.2 谷歌浏览器
• 谷歌浏览器(Google Chrome)是由Google推出 的一款设计简洁、技术先进的浏览器。其设计目标是 稳定、高效和安全。通过谷歌浏览器,用户可以更加 快速、安全地浏览网页。
12
8.4 浏览器辅助工具
• 用户在使用浏览器浏览网页的时候会遇到各种各样 的问题,例如:浏览网页的速度越来越慢、磁盘空间越 来越小、网络不良信息泛滥、网页字体太小看不清等。 此时,就需要使用浏览器辅助工具,通过清理临时文件 和历史记录、过滤浏览或搜索内容、放大网页等方法, 来解决这些问题。
13
8.4.1 IEHistoryX
第8章 网络应用软件 章
随着计算机技术的逐渐发展以及互联网的普及, 网络提供的信息开始丰富起来,为用户提供了工作、 学习和娱乐等功能。可以说,互联网在潜移默化中改 变人们的生活方式。 网络应用的逐渐增多是立足于网络应用软件发展 的。几乎每一种网络的应用,都是依靠各种软件的支 持,例如,各种网页浏览器、浏览器辅助软件、网络 传输软件和网络共享软件等。学习这些软件的使用, 可以帮助用户更有效、便捷地使用互联网。
4
8.1.2 数据传输软件概述
• 在使用互联网时,经常会需要进行上传和下载等数 据传输。虽然使用网页浏览器也可以进行部分下载,但 如果需要实现例如断点续传、共享上传等功能,就需要 使用专门的数据传输软件。
5
8.1.3 网络辅助软件
• 网络辅助软件是辅助用户使用互联网的软件,这 是一个宽泛的大类,包括许多类型的软件,例如各种 浏览器管理软件、网络共享工具等。
网络互联技术PPT_第8章无线局域网技术
网络互联技术--刘桂江
8/44
无线传输信道
无线局域网采用电磁波(RF)作为信息传输的载体,在空气中发送和接收数据。 生活中对电磁波的使用分两种模式:窄带通信和扩频通信。
基带信号的频谱扩频
网络互联技术--刘桂江 9/44
扩频通信的扩频
网络互联技术--刘桂江
10/44
无线扩频技术
常见的无线扩频技术包括两种:跳频扩频和直接 序列扩频
网络互联技术--刘桂江
14/44
WLAN传输使用的频段 WLAN传输使用的频段
网络互联技术--刘桂江
15/44
802.11b
由于最初的802.11标准存
工作于
在诸多缺陷,1999年IEEE 进行了很多更新,推出了 802.11b标准,该标准工作 在2.4GHz频带,最大数据 传输速率可达11Mbps。
• AP(Access Point 无线接入点): ( 无线接入点): ):AP相当于基站,主要作用 将无线网络接入以太网,其次要将各无线网络客户端连接到一起, 相当于以太网的集线器,使装有无线网卡的PC,通过AP共享有 线局域网络甚至广域网络的资源,一个AP能够在几十至上百米 的范围内连接多个无线用户。
网络互联技术--刘桂江
2/44
组建无线局域网 组件一:无线局域网基础技术 组件二:无线局域网组成设备 组件三:Ad-Hoc模式无线局域网 组件四:Infrastructure模式无线局域网
网络互联技术--刘桂江 3/44
组建无线局域网
组件一:无线局域网基础技术
网络互联技术--刘桂江
4/44
什么是无线网络
WLAN(Wireless Local Area Networks )是计算机网络技术与无线通信技术结 合的产物,无线局域网利用电磁波作为介质,在空气中发送和接收数据,无需 线缆连接,网络的组建、配置和维护较便利,用户的接入也更加灵活。无线局 域网技术尤其适用于会议中心、图书馆、阅览室、阶梯教室等空间大、移动用 户多、不方便铺设线缆的场所。
第8章网络系统集成与网络维护.pptx
第7章 网络系统集成与网络维护
7-1 网络系统设计
系统集成又称为网络规划,就是根据用户的 具体应用要求,遵照最佳性能价格比的原则, 在众多新产品中为用户做出正确的选择,并将 其集成为最佳的计算机网络系统。
网络设计不仅指建立网络,而且包括补充 新结点、扩充新网段以及对现存网络进行定期 优化。一个大型网络的设计过程是一个包括分
第7章 网络系统集成与网络维护
7-3-1 网络连接技术 1.网络连接技术的定义
网络连接技术是指一个局域网与Internet相互 连接的技术,或者是两个及两个以上的远程局域 网之间的相互连接技术。这里所指的“连接”, 是指用户利用电话线或数据专线等方式,将个人 或单位的计算机系统与Internet连接,进而使用 其中的资源;或者是使用电话线或数据专线连接
● 硬件设备的选型和配置:根据网络系统和计算机系统的 方案,选择性能价格比最好的硬件设备。
● 系统软件的选择:为计算机系统选择应该采用的数据库 系统、管理系统及开发平台。
第7章 网络系统集成与网络维护
7-1-4 网络系统设计遵循原则 在它的设计过程中应该遵循以下设计原则。 (1)整个网络应具有良好的性能价格比。一方面,
的设计建设,院校MIS系统的设计建设,包括 各种应用软件的设计等。下面逐一说明。 ● 主干网:它提供校园网计算机主干通信服务。 主干网应具有速度快、带宽宽、稳定、可靠的 特点。根据当前技术的发展,我们推荐采用千
第7章 网络系统集成与网络维护
● 各子网及远程办公网:校园网中,特别是在大型 和复杂的网络情况下,划分多个子网是一项十分 重要的工作。子网作为楼宇内或协同工作的计算 机集合的网络,提供网络服务。子网主要包括计 算中心子网、图书馆子网、教学子网、科研子网、 综合办公子网和各系子网等。远程办公网是为在 校园高速网络实施安装条件差的办公地点、子网 根据其实现的方式,可分为有线子网和无线子网 两种方式。
盛立军计算机网络技术基础ppt课件第八章
8.1 网络安全基础
9
4 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁,病毒在发 作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的 破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒 传播的速度更快,范围更广,造成的损失也更加严重。据统计, 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍,网络服务器杀毒花费的时间是单机的40倍。
在对称加密技术中,最为著名的算法是IBM公司研发的数据加密标准(Data Encryption Standard)分组算法。DES使用64位密钥,经过16轮的迭代、乘积变换、压缩变化等处理, 产生64位的密文数据。
8.2 网络加密技术
15
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
数字签名是一种信息认证技术,它利用数据加密技术、数据变换技术,根据某种协议 来产生一个反映被签署文件和签署人的特征,以保证文件的真实性和有效性,同时也可用 来核实接收者是否存在伪造、篡改文件的行为。简单地说,数字签名就是只有信息的发送 者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息 真实性的一个有效证明。
在实际应用过程中,通常利用两种密钥体制的长处,采用二者相结合的方式对信息进行加 密。例如,对实际传输的数据采用对称加密技术,这样数据传输速度较快;为了防止密钥泄 露,传输密钥时采用非对称加密技术加密,使密钥的传送有了安全的保障。
8.2 网络加密技术
16
8.2.2 数字签名
1 数字签名技术
现实生活中的书信或文件是根据亲笔签名或印章来证明其真实性。那么在计算机网络 中传送的文件又如何盖章呢?这就要使用数字签名。
第八章 信息安全基础知识
2. 应用级网关(Application Level Gateway)
应用级网关主要控制对应用程序的访问,它能够对进出的数据包进 行分析、统计,防止在受信任的服务器与不受信任的主机间直接建 立联系。而且它还提供一种监督控制机制,使得网络内3所示。
图8-4 代理服务防火墙功能模型
代理服务器收到用户对某站点的访问请求后,便立即检查该请求是 否符合规则。若规则允许用户访问该站点,代理服务器便会以客户 身份登录目的站点,取回所需的信息再发回给客户。 代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能 看到该代理服务器而无法获知任何内部资料,如IP地址,从而起到 了隔离防火墙内、外计算机系统的作用。
8.2.3 计算机病毒的分类
目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也 存在多种,常见的分类有以下几种:
(1)按病毒存在的媒体分类
引导型病毒 文件型病毒
混合型病毒
(2)按病毒的破坏能力分类
良性病毒
恶性病毒
(3)按病毒传染的方法分类
驻留型病毒
非驻留型病毒
(4)按照计算机病毒的链接方式分类
不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
8.3.2 防火墙的基本类型
典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火 墙的技术包括以下四大类:
1. 包过滤防火墙(Packet Filtering Firewall)
包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当 路由器的计算机组成,如图8-2所示。
破坏性
计算机病毒的最终目的是破坏系统的正常运行,轻则降低速度,影 响工作效率;重则删除文件内容、抢占内存空间甚至对硬盘进行格式 化,造成整个系统的崩溃。
网络设备配置与管理ppt课件完整版
00D0.BC49.D378 • !设定PC1的安全MAC地址。 • Switch1(config-if)#no shut
2024年4月11日星期四
网络设备配置与管理
24
思考题
• 新交换机不知有没有IP地址,怎样配置它呢? • 如果忘记或丢失了Cisco IOS交换机的密码,
怎么办? • 各种交换机配置方法的应用场合和特点,
要求是什么?
2024年4月11日星期四
网络设备配置与管理
25
第3章 交换机端口安全
2024年4月11日星期四
• 运行Web浏览器,在IP地址栏中键入欲配置的交 换机的IP地址或域名后回车,在弹出 的对话框中 键入具有最高权限的用户名和密码(对交换机的访 问通常必须设置权限)即可进入交换机管理的主 Web界面,进行一些基本的配置和管理。
• 使用网管软件如CiscoWorks或Cisco View,也可 对路由器进行管理。
• 如果CRC不正确,帧将被丢弃;如果正确, LAN switch查找硬件目标地址然后转发它 们。
• 交换机需要解读数据帧的目的地址与源地 址,并在MAC地址列表中进行适当的过滤。
2024年4月11日星期四
网络设备配置与管理
32
存储转发
• 如果所接收到的数据帧存在错误、太短(小 于64B)或太长(大于l 518B),最终都会被抛 弃。
• 出现的操作界面与通过Console口以超级终端进
行连接时完全相同。
返回
2024年4月11日星期四
网络设备配置与管理
19
3.通过Web或网管软件
• 通过Web浏览器可在网络中对交换机进行远程管 理。与Telnet方式一样,要求交换机有IP地址的设 置,并且将交换机和管理计算机连接在同一IP网 段。
2024年4月11日星期四
网络设备配置与管理
24
思考题
• 新交换机不知有没有IP地址,怎样配置它呢? • 如果忘记或丢失了Cisco IOS交换机的密码,
怎么办? • 各种交换机配置方法的应用场合和特点,
要求是什么?
2024年4月11日星期四
网络设备配置与管理
25
第3章 交换机端口安全
2024年4月11日星期四
• 运行Web浏览器,在IP地址栏中键入欲配置的交 换机的IP地址或域名后回车,在弹出 的对话框中 键入具有最高权限的用户名和密码(对交换机的访 问通常必须设置权限)即可进入交换机管理的主 Web界面,进行一些基本的配置和管理。
• 使用网管软件如CiscoWorks或Cisco View,也可 对路由器进行管理。
• 如果CRC不正确,帧将被丢弃;如果正确, LAN switch查找硬件目标地址然后转发它 们。
• 交换机需要解读数据帧的目的地址与源地 址,并在MAC地址列表中进行适当的过滤。
2024年4月11日星期四
网络设备配置与管理
32
存储转发
• 如果所接收到的数据帧存在错误、太短(小 于64B)或太长(大于l 518B),最终都会被抛 弃。
• 出现的操作界面与通过Console口以超级终端进
行连接时完全相同。
返回
2024年4月11日星期四
网络设备配置与管理
19
3.通过Web或网管软件
• 通过Web浏览器可在网络中对交换机进行远程管 理。与Telnet方式一样,要求交换机有IP地址的设 置,并且将交换机和管理计算机连接在同一IP网 段。
《网络工程导论》课件第8章 网络管理与维护
4. 安全管理
安全管理的目标是按照本地的指导来控制对网络资 源的访问,以保证网络不被侵害,并保证重要的信 息不被未授权的用户访问。
安全管理子系统将网络资源分为授权和未授权两大 类。它执行以下几种功能:
(1) 标识重要的网络资源。 (2)确定重要的网络资源和用户集间的映射关系。 (3) 监视对重要网络资源的访问。 (4)记录对重要网络资源的非法访问。
8.1.1网络管理概述
网络管理是控制一个复杂的计算机网络,使它具 有最高的效率和生产力的过程。
根据进行网络管理的系统的能力,这一过程通常 包括数据收集、数据处理、数据分析和产生用于 管理网络的报告。
SNMPv1 SNMPv2 CMIP
8.1.2 ISO网络管理模式
ISO定义了网络管理的五个功能域: ● 配置管理——管理所有的网络设备,包括各设备参
配置管理的目的在于随时了解系统网络的拓扑结构 以及所交换的信息,包括连接前静态设定的和连接 后动态更新的。
(1)客体管理功能 (2)状态管理功能 (3)关系管理功能
2. 故障管理
故障管理的目标是自动监测、记录网络故障并通知 用户,以便网络有效的运行。
故障管理包含以下几个步骤: (1)判断故障症状。 (2)隔离该故障。 (3)修复该故障。 (4)对所有重要子系统的故障进行修复。 (5)记录故障的监测及其结果。
举例
从上面的返回结果可以知道,我们向( 其IP为211.100.31.131)发送的4个大小为32Bytes的 测试数据包中,有3个得到了服务器的正常响应( Reply from…),另一个响应超时(Request timed out)。平均每个数据包自发送到收到服务器响应的 时间间隔为56ms(最小为50ms,最大为60ms)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(7)修改注册表,减小拒绝服务攻击的风险
打开注册表:将
HKLM\System\CurrentControlSet\Se rvices\Tcpip\Parameters下的 SynAttackProtect的值修改为2,使连接 对超时的响应更快。
8.2.2 保证IIS自身的安全性
IIS安全安装,要构建一个安全的IIS服务器, 必须从安装时就充分考虑安全问题。
8.1.1 网络应用服务安全问题 的特点
每一个网络应用服务都是由一个或多个程序构成, 在讨论安全性问题时,不仅要考虑到服务端程序, 也需要考虑客户端程序。服务端的安全问题主要表 现在非法的远程访问,客户端的安全问题主要表现 在本地越权使用客户程序。由于大多数服务的进程 由超级用户守护,许多重大的安全漏洞往往出现在 一些以超级用户守护的应用服务程序上。
第 8 章 网络应用服 务安全配置
河南化工职业学院
8.1 网络应用服务概述
网络应用是利用网络以及信息系统直接为用户提供服务以及业务的平台。 网络应用服务直接与成千上万的用户打交道:用户通过网络应用服务浏 览网站、网上购物、下载文件、看电视、发短信等,网络应用服务的安 全直接关系到广大网络用户的利益。因此网络应用服务的安全是网络与 信息安全中重要组成部分。
8.3 FTP服务器的安全架设
8.3.1 FTP的特性 根据FTP STD 9定义,FTP的目标包括: (1)促进文件(程序或数据)的共享 (2)支持间接或隐式地使用远程计算机 (3)帮助用户避开主机上不同的 (4)可靠并有效地传输数据
几种存在的安全问题以及防范措施
1.防范反弹攻击(The Bounce Attack) (1)漏洞 (2)反弹攻击 (3)防范措施 (4)遗留问题
8.2 IIS Web服务器的安全架设
8.2.1 构造一个安全系统 (1)使用NTFS文件系统,以便对文件和目录
进统管理员账号更名,避免非法用户攻
击。 (5)禁用TCP/IP 上的NetBIOS
高级
TCP/IP 设置对话 框
(6)TCP/IP上对进站连接进行控制
9.WINDOWS下HTTPD
(1)Netscape Communications Server for NT ①Perl解释器的漏洞 ②CGI执行批处理文件的漏洞
(2)O'Reilly WebSite server for Windows NT
(3)Microsoft's IIS Web Server
8.1.2 网络应用服务的分类
按照技术特征分类,点到点业务与点到多点 业务;按照电信业务分类,基础电信业务和 增值电信业务;按照是否经营分类,经营性 网络应用服务与非经营性网络应用服务;按 照所传递加工的信息分类,自主保护、指导 保护、监督保护、强制保护与专控保护五级; 按照服务涉及的范围分类,公众类网络应用 服务与非公众类网络应用服务。
个公用的组如:www,并只分配它只读的权利。 7.有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时,应该注意不
要把FTP的目录与CGI-BIN指定在一个目录之下。
8.通过限制许可访问用户IP或DNS
在NCSA中的access.conf中加上: <Directory /full/path/to/directory >; <Limit GET POST >; order mutual-failure deny from all allow from 168.160.142. </Limit >; </Directory >;
网站属性
“应用程序 配置”对 话框
添加编辑应用程序扩展名映射
(5)保护日志安全
①修改IIS日志的存放路径 ②修改日志访问权限,设置只有管理员才能访
问。
网站属性对话框
日志记录属性对话框
8.2.3 提高系统安全性和稳定性
web服务器安全预防措施: 1.限制在web服务器开帐户,定期删除一些断进程的用户。 2.对在web服务器上开的帐户,在口令长度及定期更改方面作出要求,防止
这样只能是以域名为或IP属于168.160.142的客 户访问该WEB服务器。对于CERN或W3C服务器可以这 样在httpd.conf中加上:
Protection LOCAL-USERS { GetMask @(*, *, 18.157.0.5) } Protect /relative/path/to/directory/* LOCAL-USERS
网络应用服务,是在网络上利用软/硬件平台满足特定信息传递和处理 需求的行为。指的是在网络上所开放的一些服务,通常能见到如WEB、 MAIL、FTP、DNS、TELNET等,当然,也有一些非通用,在某些领 域、行业中自主开发的网络应用服务。我们通常所说的服务器,既是具 有网络服务的主机。
网络应用服务安全,指的是主机上运行的网络应用服务是否能够稳定、 持续运行,不会受到非法的数据破坏及运行影响。
(1)不要将IIS安装在系统分区上。 (2)修改IIS的安装默认路径。 (3)打上Windows和IIS的最新补丁。
8.2.2 保证IIS自身的安全性
IIS的安全配置 (1)删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些 目录,包括IISHelp、IISAdmin、IISSamples、 MSADC等,这些目录都没有什么实际的作用,可 直接删除。 (2)删除危险的IIS组件 (3)为IIS中的文件分类设置权限 (4)删除不必要的应用程序映射
被盗用。 3.尽量使ftp, mail等服务器与之分开,去掉ftp等一些无关的应用。 4.在web服务器上去掉一些绝对不用的shell等之类解释器,即当在你的cgi
的程序中没用到perl时,就尽量把perl在系统解释器中删除掉。 5.定期查看服务器中的日志logs文件,分析一切可疑事件。 6.设置好web服务器上系统文件的权限和属性,对可让人访问的文档分配一