网络系统管理与维护

一、网络系统管理与维护概述

1．按照Is0的定义，网络管理是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。

2．简单地讲，网络系统管理与维护就是为了保证网络系统能够持续、稳定、安全、可靠和高效地运行，所采取的一系列方法和措施。

3．一般而言，网络系统管理与维护主要包含两个任务：一是对网络的运行状态进行监测，二是对网络系统的运行状态进行控制。

4．网络系统管理与维护的基本功能有：故障管理、配置管理、性能管理、计费管理和安全管理。

5．在IS0的网络安全体系结构中定义了5类安全服务：鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务。

6．在网络安全管理工作中，常用的技术包括：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、网络漏洞检测技术、病毒防范技术、备份技术和终端安全技术等。

7．网络管理人员的日常工作主要包含7项任务，即基础设施管理、操作系统管理、应用服务管理、用户服务与管理、安全保密管理、信息存储备份管理和机房管理。

二、用户工作环境管理

1．管理员利用活动目录服务，把网络中需要被管理的资源信息按照一定的方式组织起来放置在活动目录中。

2，在活动目录中，所有被管理的资源信息统称为“活动目录对象”，例如：用户帐户、组帐户、计算机帐户、甚至是域、域树、域森林等都是活动目录对象。

3．在一个域中，计算机角色有：域控制器、成员服务器和工作站。

4．一个最简单的域中将只包含一台计算机，这台计算机一定是该域的域控制器。

5，组织单位是一种容器类的活动目录对象；只能在域中创建，并且只能容纳所在域中的对象；可以对域中的一部分对象实施单独的管理。

6。在活动目录环境中，组策略是实施用户工作环境管理的有力工具。通过制定组策略，管理员可以对域或组织单位中的用户与计算机的行为进行强有力的统一管理。

7．根据应用对象的不同，可以把组策略分为两种。其中，应用于用户帐户的组策略，称为“用户策略”；应用于计算机帐户的组策略，称为“计算机策略”。

8．组策略对象是组策略的载体；要想实现基于组策略的管理，必须先创建组策略对象，然后再对其包含的各条组策略进行设置。

9．在活动目录中，系统处理GPO的先后顺序为：域的GP0一OU的GP0一子OU的GPO。

10．当父容器的组策略设置与子容器的组策略设置没有冲突时，子容器会继承父容器的组策略设置。

11．当父容器的组策略设置与子容器的组策略设置发生冲突时，子容器的组策略设置最

终生效。

12．一旦对父容器的某个GPO设置了“强制”，那么，当父容器的这个GPO的组策略设置与子容器的GPO的组策略设置发生冲突时，父容器的这个GPO的组策略设置最终生效。

13．一旦对某个容器设置了“阻止继承”，那么它将不会继承由父容器传递下来的GPO

设置．而是仅使用那些链接到本级容器的GPO设置。

14．同一个容器上可以同时链接多个GPO，这些GPO的策略设置将被累加起来，作为最后的有效配置；如果这些GPO的策略设置发生冲突时，以排在前面的GPO配置为优先。

15．如果计算机策略与用户策略发生冲突时，以计算机策略优先。

16．利用组策略部署软件的方式有两种：指派和发布。

17．软件限制规则有：哈希规则、证书规则、路径规则和Internet区域规则。

三、网络病毒的防范

1．计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

2．通常，计算机病毒的特征为：可执行性、隐蔽性、传染性、潜伏性、破坏性或表现性、可触发性。

3．计算机病毒的危害主要表现为：破坏计算机的数据、占用磁盘空间、抢占系统资源、

影响计算机的运行速度、窃取机密信息、不可预见的危害。

四、防火墙与入侵检测

1．防火墙是一种将内部网络与外部网络分开的方法，是在内部网络和外部网络之间所施加的安全防范系统。它既是一种隔离技术，也是一种访问控制机制。

2．防火墙通常安装在被保护的内部网络与Internet之间的连接点处，两个网络之间产生的所有通信流量都必须经过防火墙。

3．从实现方式上看，防火墙可以分为硬件防火墙和软件防火墙两类。

4.防火墙的功能主要表现为：过滤进出网络的数据、控制不安全的服务、集中的安全保护、强化私有权、网络连接的日志记录及使用统计。

5．根据防范的方式和侧重点的不同，防火墙技术可以分为：数据包筛选型、应用代理型和复合型。

6．ISA Server 2006的主要功能有：防火墙、VPN服务和Web缓存。

7．防火墙的部署方案主要有：边缘防火墙、三向防火墙和背对背防火墙。

8·ISA Server支持3种客户端：Web代理客户端、防火墙客户端和SecureNAT客户端。

9·Web代理客户端和防火墙客户端支持DNS转发，而SecureNAT客户端不支持。

10·Web代理客户端和防火墙客户端支持用户身份验证，而SecureNAT客户端不支持。

11．在ISA Server上，创建访问规则来控制内部用户访问Internet．

12．在ISA Server上，创建发布规则来控制外部用访问内部网络资源。

13．入侵检测是对各种入侵行为的发现与报警，是一种通过观察通信行为、根据安全日志或审计数据来检测入侵的技术。

14·入侵检测的主要内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的信息泄漏、独占资源以及恶意使用等行为。

15.根据获取的数据来源，入侵检测系统可以分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。