局域网组建与维护教程

第1章局域网基础

学习目的

了解架设局域网的方法

了解计算机连网的益处

了解局域网的拓扑结构

本章要点

局域网的基本特征

局域网的技术特点

局域网的种类

课堂讲解

本书首先介绍一些局域网的简单知识和概念,然后详细的介绍目前广泛应用的几种局域网的架设方法和配置方法,为学习局域网架设技术和网络管理技术的人员提供快速入门的培训,并希望为实际中的网络架设和管理工作提供技术参考资料。

1.1 为什么要建立计算机网络

随着科学技术的发展,计算机应用的普及,网络信息时代已经来临。想一想我们生活中

2 全能培训——局域网组建与维护教程

的许多事情,比如使用电话预定飞机票、使用银行的通兑通取存折等等。网络技术的飞速发展,给我们的生活带来了很大的方便。网络对于今天的公司或企业已经是必不可少,使用电子邮件收发信件、公司内部资源的共享、信息的交流、公司业务的管理等等,计算机网络为公司或企业创造着价值。那么,为什么要建立计算机网络呢,

1.1.1 未联网计算机的弊处

对一个公司或企业来说,如果每个人或每个部门之间的计算机彼此独立工作,很明显会有以下一些不方便之处。

1、无法进行数据共享

没有网络,每个人计算机上的数据,只能供本人使用,你的领导或同事,需要查询你的数据时,只能到你的计算机上来查,或者,你只好将他们需要的数据用磁盘拷贝给他们,使得同样的数据存在于多个人的计算机上,造成资源的浪费。同样,别人的数据,你也不能共享。在计算机未联网时,存在于各台计算机上的数据,只能用磁盘进行拷贝,达到共享的目的。用磁盘拷贝进行数据共享,仅在文件大小小于软盘容量时工作才方便,当需要传递的数据量很大时,这种方式既费时又不可靠。而最可怕的事情则是文件或数据的各个版本分散在不同的计算机上,当你对自己计算机上的文件或数据进行更新后,别人无法了解到它的变化, 数据共享其实就成了一句空话。

2、无法进行软件应用程序共享

当计算机未联网时,工作中需调用的所有应用程序必须安装在每台计算机上,例如,如果你在自己的计算机上没有安装字处理应用程序,那么用户就不能在自己的计算机进行任何字处理的工作。

3、无法进行打印机资源共享

计算机在未联网的情况下,如果要打印文件,必须在自己的计算机上连接一台打印机, 造成了打印机资源的浪费。有的企业,通过使用手动转换开关盒选择计算机的打印机端口将计算机连至打印机,但这样做,一方面经常转换开关很不方便,而且转换开关还有可能损坏打印机,另一方面,计算机与打印机之间的距离受打印电缆长度的限制,不可能相距太远。

4、无法进行 Internet 资源共享

未联网的计算机不能共享 Internet 连接。随着 Internet 的应用日益广泛,电子商务为我们的工作和生活带来了很大的方便,同时降低 Internet 账户成本也是企业需要考虑的一个重要问题。为解决这一问题,很多企业提出了建立小型网络的需求,这样它们可以将所有的用户通过一个连接进入 Internet。

局域网基础 3

5、无法进行集中式的数据管理

当计算机未联网时,由于管理成本高和耗时,且配置不能标准化,所以没有办法集中管理它们并确保它们共享共同的配置和访问数据。

6、工作效率低下

未联网的计算机由于每个用户各自维护数据,造成人员重复劳动,工作效率低,资源浪费。如果你拥有通信、共享应用和避免将软盘从这台机器拿到另一台机器进行操作的需求, 那么将计算机进行联网将是满足你以上所有需求的最佳解决方案。

1.1.2 计算机连网的益处

不管计算机网络的种类是什么,不管建立网络的原因是什么,归纳来说,计算机网络能为我们带来以下显而易见的益处,

1、提高工作效率

使用电子邮件,不需打印便函,即可快速发出邮件,使用信息管理系统,不需要从一张办公桌转移到另一张办公桌,就能与每个人交谈并检查他们的工作,不需要从这台计算机跑至另一台计算机,仅在网络驱动器中就可以拷贝、打开或修改你所需的文件。提高管理网络效率的更好的解决方案是集中管理功能。

一旦计算机连网,就有许多软件实用程序,Microsoft 的 Systems Management Server、 McAfee 的 Saber LAN Manager、Tivoli 的 TME10 和 Symantec 的 Norton Administrator for

Networks 等等,可以使管理员远程诊断和改正网络用户出现的问题,并实现远程安装和配置软件。

2、节省资源

通过计算机连网,我们可以共享打印机、硬盘空间、数据等资源,一个部门可以只有一台打印机,也可以将很多部门都需要的数据只存储在某一台计算机上等等。

3、确保信息一致性

同样的数据在连网的计算机系统中只存储一份,任何人任何时间对这些数据的更新,都

导致相关数据的更新,并且系统中的所有用户都同时可以引用更新后的数据。

4、公共论坛

通过计算机连网,我们可以实现多人、异地、实时的信息交流,如电视会议、Internet

网上聊天,整个部门或公司可以使用一张电子日程表安排工作日程等等。

4 全能培训——局域网组建与维护教程

计算机网络能够大大提高我们的工作效率、节省资源、降低成本,所以现在公司或企业

内部计算机连网的需求激增。

1.2 局域网的基本特征

局部区域网络,Local Area Network,通常简称为“局域网”,缩写为 LAN。局域网是结构复杂程度最低的计算机网络。局域网仅是在同一地点上经网络连在一起的一组计算机。局域网通常挨得很近,它是目前应用最广泛的一类网络。

通常将具有如下特征的网络称为局域网,

网络所覆盖的地理范围比较小,通常不超过几十公里,甚至只在一幢建筑或一个房

间内

1Mbps 10Mbps100Mbps 信息的传输速率比较高,其范围自到 ,近来已达到

局域网的出现,使计算机网络的威力获得更充分地发挥,在很短的时间内计算机网络就深入到各个领域。因此,局域网技术是目前非常活跃的技术领域,各种局域网层出不穷,并得到广泛应用,极大地推进了信息化社会的发展。

尽管局域网是最简单的网络,但这并不意味着它们必定是小型的或简单的。局域网可以变得相当大、复杂,在行业杂志上看到配有成百上千用户的局域网是很常见的事。

1.3 局域网的技术特点

局域网在设计中,主要考虑的因素是能够在较小的地理范围内更好地运行,提高资源利

用率和信息安全性,易于操作和维护等。此要求也决定了局域网的技术特点。

局域网的特性主要由三个要素决定,即拓扑结构、传输介质和介质询问方式。下面一一进行描述。

1.3.1 局域网的拓扑结构

计算机网络的组成元素可以分为两大类,即网络结点,又可分为端结点和转发结点,和通信链路,网络中结点的互连模式叫网络的拓扑结构。网络拓扑定义了网中资源的连接方式, 在局域网中常用的拓扑结构有,总线型结构、环形结构、星形结构。

1、总线型拓扑结构

总线型拓扑结构采用单根传输线作为传输介质,所有的站点都通过相应的硬件接口直接

局域网基础 5

连接到传输介质或总线上。任何一个站点发送的信号都可以沿着介质传播,而且能被其他所

有站点接收。

总线拓扑结构的优点是,

电缆长度短,易于布线和维护

结构简单,传输介质又是无源元件

总线拓扑结构的缺点是,

故障检测需要在网上的各个站点上进行

在扩展总线的干线长度时,需重新配置中继器、剪裁电缆、调整终端器等

总线上的站点需要介质访问控制功能,这就增加了站点的硬件和软件费用

以太网等常采用总线型结构,如图 1-1 所示的是一总线型拓扑结构例子。

图 1-1 典型的总线型拓扑结构

在总线型拓扑结构中,局域网的各个节点都连接到一个单一连续的物理线路上。由于各个节点之间通过电缆直接相连,因此,总线拓扑结构中所需要的电缆长度是最小的。但是, 由于所有节点都在同一线路上进行通信,任何一处故障都会导致所有的节点无法完成数据的发送和接收。

总线型拓扑结构的一个重要特征就是可以在网中广播信息。网络中的每个站几乎可以同时“收到”每一条信息。这与下面要讲到的环型网络形成了鲜明的对比。

总线型拓扑结构最大的优点是价格低廉,用户站点入网灵活。另外一个优点是某个站点失效不会影响到其他站点。但它的缺点也是明显的,由于共用一条传输信道,任一个时刻只能有一个站点发送数据,而且介质访问控制也比较复杂。总线型结构网是一种针对小型办公环境的成熟而又经济的解决方案。

6 全能培训——局域网组建与维护教程

2、环形拓扑结构

环形拓扑结构是由连接成封闭回路的网络结点组成的,每一个结点与它左右相邻的结点连接。环形网络常使用令牌环来决定哪个结点可以访问通信系统。在环形网络中信息流只能是单方向的,每个收到信息包的站点都向它的下游站点转发该信息包。信息包在环网中“旅

,最后由发送站进行回收。当信息包经过目标站时,目标站根据信息包中的目标地行”一圈

址判断出自己是接收站,并把该信息拷贝到自己的接收缓冲区中。为了决定环上的哪个站可以发送信息,平时在环上流通着一个叫令牌的特殊信息包,只有得到令牌的站才可以发送信息,当一个站发送完信息后就把令牌向下传送,以便下游的站点可以得到发送信息的机会。环形拓扑结构的优点是它能高速运行,而且避免冲突的结构相当简单。

环形拓扑结构中,连接网络中各节点的电缆构成一个封闭的环,信息在环中必须沿每个节点单向传输,因此,环中任何一段的故障都会使各站之间的通信受阻。所以在某些环形拓扑结构中如 FDDI,在各站点之间连接了一个备用环,当主环发生故障时,由备用环继续工作。如图 1-2 所示的是一个环形拓扑结构的例子。

图 1-2 对等的环形拓扑结构

环形拓扑结构并不常见于小型办公环境中,这与总线型拓扑结构不同。因为总线型结构中所使用的网卡较便宜而且管理简单,而环形结构中的网卡等通信部件比较昂贵且管理复杂得多。环形结构在以下两种场合比较常见,一是工厂环境中,因为环网的抗干扰能力比较强, 二是有许多大型机的场合,采用环型结构易于将局域网用于大型机网络中。

3、星形拓扑结构

星形拓扑结构是由通过点到点链路接到中央结点的各站点组成的。星形网络中有一个唯

一的转发结点,中央结点,,每一台计算机都通过单独的通信线路连接到中央结点。

星形拓扑结构的优点是,

局域网基础 7

利用中央结点可方便地提供服务和重新配置网络

单个连接点故障影响一个设备,不会影响全网,容易检测隔离故障,便于维护

任何一个连接只涉及到中央结点和一个站点,控制介质访问的方法很简单,从而访

问协议也十分简单

星形拓扑结构的缺点是,

每个站点直接与中央结点相连,需要大量电缆,因此费用较高

如果中央结点产生故障,则全网不能工作,所以对中央结点的可靠性和冗余度要求

很高

图 1-3 星形拓扑结构

在星形拓扑结构中,网络中的各节点都连接到一个中心设备上,由该中心设备向目的节点传送信息。星形拓扑结构方便了对大型网络的维护和调试,对电缆的安装检验也相对容易。由于所有工作站都与中心节点相连,所以,在星形拓扑结构中移动某个工作站十分简单。

目前流行的星形结构网主要有两类,

一类是利用单位内部的专用小交换机,PABX,组成局域网,在本单位内为综合语

音和数据的工作站交换信息提供信道,还可以提供语音信箱和电话会议等业务,是

局域网的一个重要分支

另一类是利用集线器,HUB,连接工作站的网,被认为是今后办公局域网的发展方

向

4、其他拓扑结构

除了上面介绍之外,还有其他一些我们应该了解的拓扑结构。下面,我们就简要地了解一下这些拓扑结构的优缺点。

分布式结构

8 全能培训——局域网组建与维护教程

分布式结构的网络是将分布在不同地点的计算机通过线路互连起来的一种网络形式,分布式结构的网络具有如下特点,由于采用分散控制,即使整个网络中的某个局部出现故障, 也不会影响全网的操作,因而具有很高的可靠性,网中的路径选择最短路径算法,故网上延迟时间少,传输速率高,但控制复杂,各个节点间均可以直接建立数据链路,信息流程最短, 便于全网范围内的资源共享。缺点为连接线路时使用电缆长,造价高,网络管理软件复杂, 报文分组交换、路径选择、流向控制复杂,在一般局域网中不采用这种结构。

树型结构

树型结构是分级的集中控制式网络,与星型相比,它的通信线路总长度短,成本较低, 节点易于扩充,寻找路径比较方便,但除了叶节点及其相连的线路外,任一节点或其相连的线路故障都会使系统受到影响。

网状拓扑结构在网状拓扑结构中,网络的每台设备之间均有点到点的链路连接,

这种连接不经济,只

有每个站点都要频繁发送信息时才使用这种方法。它的安装也复杂,但系统可靠性高,容错

能力强。也有人将其称为分布式结构。

蜂窝拓扑结构

蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质,微波、卫星、红外等,

点到点和多点传输为特征,是一种无线网,适用于城市网、校园网、企业网。

在计算机网络中还有其他类型的拓扑结构,如总线型与星型混合、总线型与环型混合连接的网络结构等。在局域网中,使用最多的是总线型和星型结构,它们的特点是我们应该熟悉和掌握的。

1.3.2 局域网的传输介质

网络中各站点之间的数据传输必须依靠某种传输介质来实现。传输介质种类很多,适用于局域网的介质主要有三类,双绞线、同轴电缆和光纤。

1、双绞线

双绞线,Twisted Pair Cable,由绞合在一起的一对导线组成,这样做减少了各导线之间的相互电磁干扰,并具有抗外界电磁干扰的能力。双绞线电缆可以分为两类,屏蔽型双绞线

,STP,和非屏蔽型双绞线,UTP,。屏蔽型双绞线外面环绕着一圈保护层,有效减小了影响

信号传输的电磁干扰,但相应增加了成本。而非屏蔽型双绞线没有保护层,易受电磁干扰,

但成本较低,如图 1-4 所示。

局域网基础 9

图 1-4 双绞线

非屏蔽双绞线广泛用于星形拓扑的以太网。采用新的电缆规范,如 10BaseT 和 100BaseT, 可使非屏蔽型双绞线达到 10Mbps 以至 100Mbps 的传输数率。

双绞线的优势在于它使用了电信工业中已经比较成熟的技术,因此,对系统的建立和维护都要容易得多。在不需要较强抗干扰能力的环境中,选择双绞线特别是非屏蔽型双绞线, 既利于安装,又节省了成本,所以非屏蔽型双绞线往往是办公环境下网络介质的首选。

双绞线的最大缺点是抗干扰能力不强,特别是非屏蔽型双绞线。

2、同轴电缆

同轴电缆由内、外两个导体组成,且这两个导体是同轴线的,所以称为同轴电缆。在同轴电缆中,内导体是一根导线,外导体是一个圆柱面,两者之间有填充物。外导体能够屏蔽外界电磁场对内导体信号的干扰,如图 1-5 所示。

图 1-5 同轴电缆

同轴电缆既可以用于基带传输,又可以用于宽带传输。基带传输时只传送一路信号,而

宽带传输时则可以同时传送多路信号。用于局域网的同轴电缆都是基带同轴电缆。

3、光导纤维

光导纤维简称为光纤。对于计算机网络而言,光纤具有无可比拟的优势。光纤由纤芯、包层及护套组成。纤芯由玻璃或塑料组成,包层则是玻璃的,使光信号可以反射回去,沿着光纤传输,护套则由塑料组成,用于防止外界的伤害和干扰,如图 1-6 所示。

10 全能培训——局域网组建与维护教程

图 1-6 光纤

光波由发光二极管或激光二极管产生,接收端使用光电二极管将光信号转为数据信号。光导纤维传输损耗小、频带宽、信号畸变小,传输距离几乎不受限制,且具有极强的抗电磁干扰能力,因此,被认为是今后网络传输介质的发展方向。

1.3.3 局域网的标准

局域网出现之后,发展迅速,类型繁多。1980 年 2 月,美国电气和电子工程师学会,IEEE, 成立 802 课题组,研究并制定了局域网标准 IEEE802。后来,国际标准化组织,ISO,经过讨论,建议将 802 标准定为局域网国际标准。

IEEE802 为局域网制定了一系列标准,主要有如下 12 种。

IEEE 802.1 概述,局域网体系结构以及网络互连。

IEEE 802.2 定义了逻辑链路控制,LLC,子层的功能与服务。

IEEE 802.3 描述 CSMA/CD 总线式介质访问控制协议及相应物理层规范。

IEEE 802.4 描述令牌总线,Token Bus,式介质访问控制协议及相应物理层规范。

IEEE 802.5 描述令牌环,Token Ring,式介质访问控制协议及相应物理层规范。

IEEE 802.6 描述市域网,MAN,的介质访问控制协议及相应物理层规范。

IEEE 802.7 描述宽待技术进展。

IEEE 802.8 描述光纤技术进展。

IEEE 802.9 描述语音和数据综合局域网技术。

IEEE 802.10 描述局域网安全与解密问题。

IEEE 802.11 描述无线局域网技术。

IEEE 802.12 描述用于高速局域网的介质访问方法及相应的物理层规范。

1.4 局域网的种类

架设局域网的方法很多,常见的有以下三种,

对等网

局域网基础 11

客户机/服务器网络

无盘工作站网络

除了介绍这三种常见的局域网组网方式之外,我们还将向您简要介绍一下最新的无线局

域网。

1.4.1 对等网组建局域网

对等网络是非结构化地访问网络资源。对等网中的每一台设备可以同时是客户机和服务器。网络中的所有设备可直接访问数据、软件和其他网络资源。换言之,每一台网络计算机与其他连网的计算机是对等的,它们没有层次的划分。

对等网主要针对一些小型企业,因为它不需要服务器,所以对等网成本较低,但它只是局域网中最基本的一种,许多管理功能不能实现。它可以使职员之间的资料免去了用软盘拷贝的麻烦,对于规模较小公司,这些有限的功能足够满足他们的要求。

1.4.2 客户机/服务器方式组建局域网

客户机/服务器,Computer/Server,网络又叫服务器网络,在客户机/服务器网络中,计算机划分为服务器和客户机。基于服务器的网络引进了层次结构,它是为了适应网络规模, 增大所需的各种支持功能而专门设计的。通常将基于服务器的网络都称为客户机/服务器网络。

客户机/服务器网络应用于大中型企业,可以实现数据共享,对财务、人事等工作进行网络化管理,并可以开网络化会议。还提供了强大的 Internet/Intranet Web 信息服务,其中包括 FTP、GOPHER、WWW 等功能,几乎是一种近乎完美的局域网构架方案。但它需要一台或多台高档服务器,所以成本较高,但对于企业而言,它的功能对企业的工作效率及业务工作带来了极大的方便,这远远超过了对它的投资。

1.4.3 无盘工作站方式组建局域网

无盘工作站顾名思义就是没有硬盘、软驱,是基于服务器网络的一种结构,无盘工作站利用网卡上的启动芯片与服务器连接,使用服务器的硬盘空间进行资源共享。

“无盘工作站网络”可以实现“客户机/服务器网络”的所有功能,在它的工作站上, 没有磁盘驱动器,但因为每台工作站都需要从“远程服务器”启动,所以对服务器、工作站以及网络组建的要求较高,因而成本并不比“客户机/服务器网络”成本低,但它的稳定性, 安全性一直为大众所看好,特别是被一些安全系数要求较高的企业所喜爱。

12 全能培训——局域网组建与维护教程

1.4.4 无线局域网

无线局域网络,Wireless Local Area Networks: WLAN,是相当便利的数据传输系统,它是利用射频,Radio Frequency: RF,的技术,取代旧式碍手碍脚的双绞铜线所构成的局域网络,使得无线局域网络能利用简单的存取架构,让用户通过它达到“信息随身化、便利走天下”的理想境界。

无线局域网络绝不是用来取代有线局域网络,而是用来弥补有线局域网络之不足,以达到网络延伸的目的,下列情形可能须用无线局域网,

无固定工作场所的使用者

有线局域网络架设受环境所限制

作为有线局域网络的备用系统

对于铺设电缆或是检查电缆是否断线这种耗时的工作,以及其他局域网管理方面的工作,很容易令人烦躁,也不容易在短时间内找出故障所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路,虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是陈旧的大楼,配线工程费用就更高了。因此,架设无线局域网络成为最佳解决方案。

本章小结

本章介绍了有关局域网的基本知识,对计算机网络的起因和发展提出了一个比较清晰的概念,并且详细地介绍了各种网络结构的划分以及各自的特点,由浅至深地阐述了各种网络的组成,另外还介绍了网络通信协议,了解各种网络通信协议是掌握网络技术的关键。

只有充分理解本章的内容,才能在后面各章学习中有一个整体的认识,从某种意义上来说,本章是以后各章的理论基础,无论是组建宿舍网、企业网或者其他形式的局域网都应该把握这些理论知识,来解决更多的实际问题。

课后习题

局域网基础 13

1、填空题

1, 计算机联网的益处有、、、。

2, 网络按地域分类,分以下三大类型, 、、。

3, 世界最早投入运行的计算机网络是。

4, 一个计算机网络由组成。

5, 局域网的传输介质有、、。

6, 星形拓扑结构是由通过接到组成的。

7, 局域网的特性主要由三个要素决定,即、和。

8, 局域网在设计中,主要考虑的因素是能够和 ,易于操作和维护等。2、选择题

1, 下面这些网络拓扑结构中,哪些属于局域网的拓扑结构 , ,

A.总线型拓扑结构 B.环形拓扑结构 C.星型拓扑结构 D.分布式拓

网状拓扑结构 H.蜂窝拓扑扑结构 E.树型结构 F.

结构

2, 局域网的种类包含下列中的哪些 , ,

A.对等网 B.C/S,客户机/服务器端,网络 C.无盘工作站

网络 D. 卫星网络

3, 计算机网络的组成元素可以分为哪两大类, , ,

A.传输介质和介质询问方式 B.有线网络和无线网络

C.网络节点和通信链路 D.中央节点和分布节点

14 全能培训——局域网组建与维护教程

《局域网组建与维护教程》第11章局域网安全维护

局域网组建与维护教程

第 11章局域网安全维护

学习目的

掌握局域网安全基础知识

学会更新操作系统和安装系统补丁

掌握局域网的数据安全

本章要点

网络安全知识

黑客

防火墙概述

系统更新与补丁

课堂讲解

通过前面章节的叙述与讲解, 终于可以自如的架设各种各样的局域网, 并能轻松地接入 Internet ,享受无尽的网络资源了。但病毒和黑客,使得我们的局域网出现安全危机,稍一疏忽,就会让我们辛苦架设的局域网毁于一旦。

下面,我们就来从局域网维护角度入手,讲解常见的网络病毒及防治措施、防火墙的相关知识和运用,最好介绍有关 IE 高级设置的问题。

214 全能培训——局域网组建与维护教程

局域网安全维护

215

11.1 网络安全知识

大多数人都知道在 Internet 上冲浪的时候要注意安全,一方面防止网上病毒的蔓延,另一方面又要防止黑客的攻击,然而对局域网内部的安全隐患却很少看见。事实上, Internet 只不过是局域网的一个延伸,在 Internet 上可能遇到的安全问题在局域网上同样可能遇到。对局域网的安全掉以轻心使非法侵入局域网的病毒得以肆意蔓延, 这个问题在对等网中尤为严重,而一些不怀好意的来自局域网内部的攻击更是防不胜防。

11.1.1 病毒的由来

1988年 11月 2日下午 5时 1分 59秒,美国康奈尔大学的计算机科学系研究生, 23岁的莫里斯(Morris )将其编写的蠕虫程序输入计算机网络。几小时后因特网连接严重堵塞。这个网络连接着大学、研究机关的 155000台计算机,整个网络全部瘫痪。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。

从此, “病毒” 成为计算机界一个令人恐怖的词语, 而病毒 “队伍 ” 也不断 “ 发展壮大” 。以后的 CIH 病毒和梅莉莎病毒和前段时间新出现的冲击波、振荡波病毒等部对整个社会带来了重大的损失。

11.1.2 病毒的分类

计算机病毒也是一种应用程序。但它与其他计算机应用程序不同的是, 它本身具有破坏性 ,更重要的是,计算机病毒可以通过自身进行复制 ,而且这些计算机病毒一般都有很好的隐蔽性 ,来躲避计算机使用者的注意。而在特定的触发条件下, 比如时间或者具体的操作事件等都会导致计算机病毒的发作。

病毒的破坏性主要是软件方面的, 按照计算机病毒的属性 ,病毒可以按照如下分类。

1、根据病毒的传播介质分类

根据病毒的传播媒体 ,病毒可以划分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件。文件病毒感染计算机中的文件(如 :COM , BAT , EXE , DOC 等文件) ,并通过这些文件的使用不断地复制自身 ,以摧毁整个系统。引导型病毒感染启动扇区 (Boot )和硬盘的系统引导扇区 (MBR ) 。

事实上, 随着“病毒技术 ”的不断进步 ,现在的病毒大多数是这三种情况的综合型。例如, 著名的 CIH 病毒就是一个典型 , 这个病毒初期通过 Internet 传播到世界上每一个角落. 而

本身又寄生在文件中,在内存调用文件时感染下一个文件,然后损坏引导区 , 继续向下感染和传播 ,最终使全球无数的计算机难逃劫难。

2、根据病毒的破坏能力分类

基本无害型

除了传染时减少磁盘的可用空间外 , 对系统没有其他影响。但对于这样的病毒也不可以掉以轻心, 它们的变种往往会大量吞噬掉硬盘空间。

基本无危险型

这类病毒仅仅是减少内存、显示图像、发出声音。这样的病毒事实上是一个恶作剧的计算机程序, 编写者自称这样的程序是跟计算机的使用者开一个玩笑或者以此来证明自己的计算机水平 , 但它终究是一个病毒, 没有人愿意在工作的时候听到或者看到一些令人厌恶的声音或者图像。

危险型

这类病毒在计算机系统操作中造成严重的错误。无数次的“ 蓝屏 ”和“非法操作”最终使计算机系统崩溃。

极端危险型

这类病毒属于恶性病毒, 它们不仅删除程序, 破坏数据, 清除系统内存区和操作系统中重要的信息 , 甚至损坏计算机硬件设备 ,重写 BIOS , 修改硬盘引导区信息 ,让你的电脑不停地重新启动等等都是它们的拿手好戏 , 典型的就是 CIH 病毒和振荡波病毒。

3、根据病毒特有的算法分类

伴随型病毒

这一类病毒并不改变文件本身 , 它们根据算法产生 exe 文件的伴随体 , 具有同样的名字和不同的扩展名 (COM ) , 例如, XCOPY . EXE 的伴随体是 XCOPY . COM 。病毒把自身写入 COM 文件并不改变 EXE 文件, 当 Dos 加载文件时, 优先执行伴随体 , 再由伴随体加载执行原来的 EXE 文件。

“蠕虫” 型病毒

通过计算机网络传播 , 不改变文件和资料信息 , 利用网络从一台机器的内存传播到其他机器的内存 ,计算网络地址 ,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。这种病毒的攻击对象主要是网络, 其破坏结果往往是使整个网络瘫痪。

216 全能培训——局域网组建与维护教程

局域网安全维护

217

寄生型病毒

除了伴随型和“蠕虫” 型 ,其他病毒均可称为寄生型病毒, 它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。这种病毒往往并不是立即发作, 还有一段潜伏期 ,在潜伏期内通过各种途径迅速地传染和蔓延,最后通过触发条件发作。

综上所述,病毒的分类是一个很模糊的概念。越是高级的病毒,其算法就越复杂 , 传播途径就越多, 破坏力就越强。

11.1.3 病毒的攻击对象

如果计算机已经感染病毒,会出现什么症状呢 ? 不同的症状是病毒攻击了计算机不同的部分造成的,病毒攻击对象以及表现特征有以下几种 :

1、攻击系统数据区

攻击部位包括:硬盘主引导扇区、 Boot 扇区、 FAT 表、文件目录。一般来说 ,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。

2、攻击文件

病毒对文件的攻击方式很多, 如删除 , 改名 , 替换内容 , 丢失部分程序代码 , 内容颠倒 , 写入时间空白 , 变碎片 , 假冒文件, 丢失文件簇和丢失数据文件。

3、攻击内存

内存是计算机的重要资源, 也是病毒的主要攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。如占用大量内存 , 禁止分配内存及蚕食内存。

4、干扰系统运行

病毒会干扰系统的正常运行 ,以此作为自己的破坏行为。此类行为也是花样繁多,如不执行命令, 干扰内部指令的执行 , 虚假报警.打不开文件, 占用特殊数据区 , 换现行盘 ,时钟倒转 ,重启动 , 死机, 强制游戏和扰乱串并行口。

5、占用资源

病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数, 迫使计算机空转 ,计算机速度明显下降。

6、扰乱屏幕显示

病毒扰乱屏幕显示的方式很多,如字符跌落、环绕、倒置、显示前一屏、光标下跃、滚

屏、抖动、乱写、颜色显示异常和无图标等等。

7、键盘

病毒干扰键盘操作, 如响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱等等。 8、攻击 CMOS

在机器的 CMOS 区中, 保存着系统的重要数据。例如系统时钟、磁盘类型及内存容量等,有的病毒激活时,能够对 CMOS 区进行写人动作, 破坏系统 CMOS 中的数据。 9、吞噬网络资源

最明显的就是“蠕虫”病毒,其明显持征是网络速度变慢 ,系统反应迟钝。

11.1.4 几种常见的病毒

1、“爱虫”病毒(love bug)

“ 爱虫”病毒是一种“蠕虫”病毒,前面说过“蠕虫”病毒主要就是通过占用内存和网络资源达到使网络瘫痪的目的。 “ 爱虫”就是个典型的例子 , 它通过 M icrosoft Outlook电子邮件系统传播 , 邮件的主题为“ I Love You” , 包含一个附件(“ Love-Letter-for-you.txt.vbs ” ) 。一旦在 Microsoft Outlook中打开这个附件, 系统就会自动复制并向通信簿中的所有电子邮件地址发送这个病毒。

用户感染了该病毒后, 邮件系统会变慢 ,并可能导致整个网络系统崩溃 ,这个病毒对于电子邮件系统具有极大的危险性。这种病毒同时会感染并坏文件名为 :*.VBS、 *.VBE、 *.JS、 *.JSEE、 *.CSS、 *.WSH、 *.SCT、 *.HTA、 *.JPG、 *.JPEC、 *.PM3和 *.MP2等 12种数据文件。

2、 Funlove 病毒

Win32.Funlove.4099文件型病毒主要针对局域网,如果局域网中的一台计算机感染该病毒, 那么 Win32.Funlove.4099将感染 Windows 9X和 Windows NT 4.0的 Win32PE 文件。如 .exe 、 .scr 和 .ocx 文件。当该病毒首次运行时, 会在系统 System 目录下生成一个名为 Flcss.Exe 的文件,然后感染所有的 .exe 、 .scr 和 .ocx 文件,而且 Explorer.exe 也会在 NT 系统重新启动后被感染。这个病毒还会修改 Ntoskrnl.exe 和 Ntldr 等 NT 系统文件, 并通过这种方式实现在系统重启动后拥有 NT 系统的所有通道。

218 全能培训——局域网组建与维护教程

局域网安全维护

219

3、 CIH 病毒

图 11-1 CIH病毒文件

臭名昭著的 CIH 病毒相信很多人都知道,其破坏力之强令任何一个计算机使用者都为之咋舌。

首先 , CIH 病毒将感染 Windows 9X及在 Windows 9X下运行的后缀名为 *.exe, *.com、 *.vxd, *.vxe的应用程序,自解压文件、压缩文件和压缩包中的这 4种后缀名的程序也会受到感染 , 拷贝到硬盘上压缩名为 CAB 中的压缩文件中的 Windows 98以及备份包中的 Windows 98文件均会受到感染 ,也就是说 , CIH 病毒会毁坏掉磁盘上的所有系统文件 ; 其次, CIH 病毒会感染硬盘上的所有逻辑驱动器. 以硬盘中 2048个扇区为单位 ,从硬盘主引导区开始依次向硬盘中写入垃圾数据, 直到硬盘中数据被全部破坏为之 , 最坏的情况是硬盘所有数据(含全部逻辑盘数据) 均被破杯; 然而 . 这都没有什么 ,更为可怕的是 CIH 病毒还会破坏主板上的 BIOS ,使 CMOS 的参数回到出厂时的设置, 假如用户的 CMOS 是 Flash Rom 型的, 那么主板将会报废。

对于硬盘数据的恢复用一些查毒工具基本就可以做到,而破坏的 BIOS 则比较难恢复 , 一般来说都要先下载主板 BIOS , 然后重刷 BIOS 。具体的刷 BIOS 步骤这里就不详细叙述了, 请参考《全能培训—— 电脑组装与维护教程》一书相关章节。

4、 YAI 病毒

YAI (You And I)是第一个国内编写的大规模流行的“黑客”病毒, 它是由重庆的一位叫杜江的大学生编写的, YAI (backdoor ) 属于文件型病毒,通过各种存储介质和因特网传播 , 主要以右键附件的形式传递。在 YAI (backdoor )病毒感染 Windows 系统的可执行文件并执行了染毒文件后,系统没有任何特殊现象 , 即在毫无征兆的情况下能够将病毒激活 ,使之侵入系统。当染毒文件 *.exe被运行后,会在当前目录下生成 *.TMP和 *.TMP.YAI两个文件,同时此病毒自动搜索系统内的可执行文件,并将这些可执行文件感染。

5、“圣诞节”病毒

“ 圣诞节”病毒也是一种极度恶性病毒, 它不但能删除计算机上的文件,而且通过破坏计算机的 FLASH BIOS,使其完全瘫痪。在破坏 FLASH BIOS时, 该病毒的作者使用了与 CIH 病毒一样的手法 —— 这种病毒能感染 Windows 95, Windows 98及 Windows NT, 这种病毒在 12月 25日发作。目前的杀毒软件基本上都可以查杀这种病毒。

11.1.5 防毒措施

在前面已经介绍了计算机中病毒的各种特征表现, 如果计算机出现了这些表现就不得不怀疑系统已经中毒,这时候需要用专业的查毒工具检查系统,通过检查 ,如果计算机已经感染了病毒, 则要尽快进行杀毒。因此, 在平时就要准备一个专业的杀毒软件, 例如 Symantec Antivirus 等。

检查文件时, 不要以为只有 *.exe、 *.com等可执行文件会感染病毒, 就忽略了其他文件, 事实上一些宏病毒就潜伏在 *.doc文件中,而且通过一些特别技术 , *.txt文件也可以感染病毒 . 因此必须对硬盘上的所有文件进行检查。

检查完硬盘上的所有文件还必须对硬盘的引导扇区进行检查 , 一些隐藏在硬盘引导扇区的病毒是最容易被人遗忘的。要使计算机时刻保持正常状态 ,对病毒的预防是首要的。不要用盗版光盘, 在这些光盘中经常带有大量的病毒, 已经成为传播计算机病毒的 —个重要途径。

在因持网上下载软件时, 应该到一些知名的网站去下载, 一些来历不明的软件很可能就携带了病毒。下载后也不要忘了用查毒软件查毒。

对重要的数据和硬盘引导区等进行备份,以防不测。

图 11-2 杀毒软件 Symantec AntiVirus

220 全能培训——局域网组建与维护教程

局域网安全维护

221

11.2 黑客

本节介绍的网络入侵不仅在 Internet 上应当注意,在局域网中的计算机同样可能受到来自网络内部的攻击。

11.2.1 黑客与骇客

黑客一词的英文为 Hacker , 即凭借自己掌握的计算机技术知识, 采用非法手段逃过计算机网络系统的存取控制而获得进入计算机网络, 进行未经授权的或非法访问的人。

黑客队伍日渐壮大,一些后来在 IT 技术史中占有重要地位的人物开始崭露头角,其中包括苹果机创始人之一的沃兹尼亚克。越来越多的黑客们在共享着技术所带来的喜悦的时候, 发现惟一美中不足的是欠缺互相交流心得的地方。因此,在 1978年,来自芝加哥的兰边·索萨及沃招·克里斯琴森便制作了第一个供黑客交流的网上公告版 ,此 BBS 至今仍在运行之中。

11.2.2 黑客攻击的常用几种手段

黑客常用的攻击手段有 :

1、密码入侵

所谓密码入侵就是指用一些软件解开加密文档 , 但是, 许多忠于此术的黑客并不采用这种方法而是用一种可以绕开或屏蔽密码保护的程序。对于那些可以解开或屏蔽密码保护的程序通常校称为 Crack 。

2、特洛伊木马

说到特洛伊木马只要知道这个故事的人就不难理解, 它最为广泛的方法就是把某一特定程序依附在某一合法用户程序中,这时, 合法用户的程序代码已被改变 ,而一旦用户触发该程序, 那么依附在内的黑客指令代码同时被激活 , 这些代码往往能完成黑客早已指定的任务。由于这种入侵法需要黑客有很好的编程经验 , 且要更改代码 , 要一定的权限 , 所以较难掌握。但是正因为它的复杂性 ,一般的管理员很难发现,对于黑客来说就要有一点耐心了。

3、监听法

目前的局域网基本上都采用以广播为技术基础的以太网, 任何两个节点之间的通信数据包 , 不仅为这两个节点的网卡所接收 , 也同时为处在同一以太网上的任何一个节点的网卡所截取 ,因此,黑客只要接入以太网上的任一节点进行侦听 ,就可以捕获发生在这个以太网卡

的所有数据包 ,对其进行解包分析 ,从而窃取关键信息 , 达就是以太网所固有的安全隐患。有一种软件 Sniffer 网络嗅探器就是通过这种途径来监听网络中的数据流向 , 它可以截获密码 ,可以截获秘密的信息 ,可以用来攻击相邻的网络。

11.3 防火墙概述

图 11-3 Sygate个人防火墙

开放的计算机和服务器 /工作站体系结构较以前的各种网络结构确实具有许多好处 , 但安全问题却变得十分严重,特别是在连接到互联网的时候。在这种条件下,防火墙产品应运而生。防火墙是网络安全工具中最早成熟 ,最早产品化的,网络防火墙一般定义为在两个网络间执行访问控制策略的一个或一组系统。

防火墙可以分为两大类 , 即边界式防火墙和分布式防火墙,下面我们详细的介绍一下 : 11.3.1 边界式防火墙

根据边界式防火墙的特点和原理可将其分成不同的几类。

1、按边界式防火墙的特点分类

边界式防火墙按其特点可分为 :屏蔽路由器、应用网关、屏蔽主机网关、被屏蔽子网等几种。

屏蔽路由器

最简单和最流行的防火墙形式是“ 屏蔽路由器 ” 。一般说来, 屏蔽路由器类型的防火墙具有以下优点 :

通常其性能要优于其他类型的防火墙

规则设置简单

222 全能培训——局域网组建与维护教程

局域网安全维护

223

不需对客户端计算机进行专门的配置

通过 NAT (网络地址转换) ,可以对外部用户屏蔽内部 IP 地址

但它本身也具有一定的缺点 :

无法识别到应用层协议,也无法对协议子集进行约束

通常不能提供其他附加功能,如 HTTP 的目标缓存, URL 过滤以及认证等

只能控制信息进出,但细心的人可以看到,入侵者可能访问到防火墙主机的服务,

换句话说,入侵者可以攻击到防火墙主机,从而带来安全隐患

没有或缺乏审计追踪,从而也就缺乏报警机制

由于对众多网络服务的“广泛”支持所造成的复杂性,很难对规则有效性进行测试应用网关

它通常被配置为“ 双宿主网关” , 具有两个网络接口卡 ,同时接入内部和外部网。由于网关可以与两个网络通信 , 它是安装传递数据软件的理想位置。这种软件就称为“ 代理 ” , 通常是为其所提供的服务定制的。

代理级防火墙和屏蔽路由器一样具有一些共同的特点 , 例如 :

可以识别并实施高层的协议,如 HTTP 和 FTP 等

包含通过防火墙服务器的通信信息, 可以提供源于部分传输层、全部应用层和部分

会话层的信息

可以用于禁止访问特定的网络服务,而允许其他服务的使用,能够处理数据包可以屏蔽掉内部网的 IP 地址,这是因为代理服务不允许外部和内部主机间直接通

信,因此内部主机名对外部是不可知的

屏蔽主机网关

屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上, 通常在路由器上设立过滤规则 , 并使这个堡垒主机成为从外部网络惟一可直接到达的主机, 这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网, 即没有子网和路由器. 那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器 , 网关的基本校制策略由安装在上面的软件决定。如果攻击者设法登录到它上面, 内网中的其余主机就会受到很大威胁。这与应用网关受攻击时的情形差不多。

被屏蔽子网

被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网, 并且通过两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多案例的实现中, 两台分组过滤路由器均放在子网的两端。

2、边界式防火墙的原理分类

防火墙根据其工作原理分为 3种 :包过滤防火墙、代理服务器和状态监视器。包过滤防火墙(IP Filting Firewall)

包过滤 (Packet Filter) 是在网络层中对数据包实施有选择地放行 , 依据系统事先设定好的过滤逻辑 , 检查数据据流中的每个数据包 , 根据数据包的源地址、目标地址以及包所使用端口确定是否允许该类数据包通过。

配置繁琐是包过滤防火墙的一个缺点。它阻挡别人进入内部网络, 但也不告诉何人进入系统, 或者何人从内部进入网际网路。包过滤另一个关键的弱点就是不能在用户级别上进行过滤 , 即不能鉴别不同的用户和防止 IP 地址被盗用。

包过滤型防火墙是某种意义上的绝对安全的系统。

代理服务器〔 Proxy Server〕

代理服务器通常也称为应用级防火墙。包过滤防火墙可以按照 IP 地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络、对于这样的企业来说 , 应用级防火墙是更好的选择。所谓代理服务 . 即防火墙内外的计算机系统应用层的连接是在两个终止于代理服务的连接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。代理服务器像真的墙一样挡在内部用户和外界之间 , 特别是从外面来的访问者只能看到代理服务器而看不到任何内部资源, 诸如用户的 IP 地址等。而内部客户根本感觉不到它的存在,可以自由访问外部站点。但代理服务器同时也存在一些不足 ,特别是它会使网络的访问速度变慢 ,因为它不允许用户直接访问网络,而代理又要处理入和出的通信量 ,因此每增加一种新的媒体应用 . 则必须对代理进行设置。

状态监视器 (Stateful Inspection)

状态监视器作为防火墙技术其安全特性最佳 , 它采用了一个在网关上执行网络安全策略的软件引擎 , 称之为检测模块。检测模块在不影响网络正常工作的前提下, 采用抽取相关数据的方法对网络通信的各层实施监测 , 抽取部分数据, 即状态信息 ,并动态地保存起来作为以后制定安全决策的参考。

3、边界防火墙的缺点

结构性受限制

边界防火墙的工作机理依赖于网络的物理拓扑结构。例如家庭移动办公和服务器托管越来越普遍 , 所谓内联网已经变成一个逻辑上的概念 ,实际的内部物理网络已经很模糊 ; 另一

224 全能培训——局域网组建与维护教程

局域网安全维护

225

方面, 电子商务的应用要求商务伙伴之间在一定权限下可以进入到彼此的内部网络, 所以说 , 内联网的边界已经是一个逻辑的边界 . 物理的边界日趋模糊 , 边界防火墙的应用受到了愈来愈多的结构件限制。

内部不够安全

边界防火墙设置安全策略的一个基本假设是 :网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中, 80%的攻击和越权访问来自于内部,也就是说. 边界防火墙在对付网络安全的主要威胁时束手允策。

基于上述缺陷诞生了一种新兴的防火墙技术 “分布式防火墙” (Distributed Firewalls) , 它能够有效地防止来自内部网络的攻击。

11.3.2 分布式防火墙

从狭义来讲,分布式防火墙产品是指那些驻留在网络中主机(如服务器或桌面机)并对主机系统自身提供安全防护的软件产品; 从广义来讲, “分市式防火墙”是一种新的防火墙体系结构。

1、分布式防火墙结构组成

分布式防火墙由网络防火墙、主机防火墙和中心管理三个部分组成。边界防火墙只是网络中的单一设备 , 管理是局部的。对分布式防火墙来说 , 每个防火墙作为安全监测机制 ,可以根据安全性的不同要求布置在网络中的任何需要的位置上, 但总体安全策略又是统一策划和管理的, 安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。

2、分布式防火墙的优点

分布式防火墙,在局域网尤其是大型局域网中的典型应用优点如下 :

系统购安全性

增加了针对主机的入侵监测和防护功能

加强了对来自内部攻击的防范

可以实施全方位的安全策略

提供了多层次立体的防范体系

系统性能的保证

消除了结构性瓶颈问题,提高/系统性能

系统的扩展性

随系统扩充提供了安全防护无限扩充的能力

代表性的主机防火墙

11.4 系统更新与补丁

我们所使用的微软操作系统, 同样也是一种软件 ——针对硬件应用的软件。既然是软件, 那么它就有 BUG , 即平常我们所说的系统漏洞。接下来,我们就从网络安全的角度讲解微软 Windows 操作系统的漏洞。

11.4.1 Windows 9X安全漏洞

Microsoft 9X登录漏洞

Windows 9X/Me系统在用户登录计算机时可以通过不输入密码 , 单按 “ 取消 ” 按钮就能登录到系统。在网络登录时输入正确的用户名并按确定 ,这时将会出现 Windows 登录窗口 , 按 “ 取消 ” 按钮将会以该用户的身份成功登录进入系统。

Microsoft Windows 9X客户端驱动器类漏洞

TCP/IP协议中 Net BIOS密码验证方案中存在安全漏洞 ,攻击者可以修改它的文件共亨服务 ,并执行 DOS 命令,攻击访问共享服务的 Windows 9X客户端。

处理方法 :禁用基于 TCP/IP的 Net BIOS,如图 11-4所示。

图 11-4网络协议中的 Net BIOS

从上面这些漏洞中可以看出, NetBIOS服务给 Windows 9X带来了巨大的危险 , 本章

226 全能培训——局域网组建与维护教程

局域网安全维护

227

在前面的内容中也已经提到其危害性 ,并详细叙述了解除 NetBIOS 服务绑定的方法,用户可以参考。

11.4.2 Windows 2000非法登录漏洞

输入法漏洞

漏洞描述 :通过该漏洞用户可浏览计算机上的所有文件, 且可执行 net.exe 命令添加 Administrator 级别的管理员用户 ,从而完全控制计算机。

解释 :在 Windows 2000的登陆窗口中, 按【 Ctrl+Shift】键 , 切换至全拼输入法。在输入法状态条上按鼠标右键 , 选择 “ 帮助 ” 的 “输入指南 ” , 然后选择 “ 选项 ” , 按右键选择 “ 跳转到 URL ” 命令, 随后即可输入各类命令。如使用系统的“ net ” 命令, 即可添加系统管理员用户 , 随后即可通过该帐户登录。

图 11-5 卸载输入法

对策 :(1) 卸载不用的输入法,并删除输入法的帮助文件 ; (2)安装 Windows 2000的 Service Pack 1以上的版本。

Unicode 漏洞

漏洞描述 :攻击者可通过 IE 浏览器远程运行被攻击计算机的 cmd.exe 文件,从而使该计算机的文件暴露 , 且可随意执行和更改文件。

解释 :Unicode 标准被很多软件开发者所采用, 无论何种平台、程序或开发语言 , Unicode 均为每个字符提供独一无二的序号 ,如向 IIS 服务器发出包括非法 Unicode UTF-8序列的

URL ,攻击者可使服务器逐字 “ 进入或退出” 目录并执行任意程序, 该攻击即称为目录转换攻击。

Unicode 用“ %2f”和“ %5c”分别代表 “ /”和“ \” 字符 ,但也可用“ 超长 ”序列来代替这些字符。 “ 超长 ”序列是非法的 Unicode 表示符 ,如用“ %c0%af” 代表 “ /” 字符。由于 IIS 不对超长序列进行检查 ,因此在 URL 中添加超长的 Unicode 序列后,可绕过微软的安全检查 , 如在一个标记为可执行的文件夹发出该请求 , 攻击者即可在服务器上运行可执行文件。

图 11-6 微软更新主页

对策 :

(1)为避免该类攻击, 建议下载最新补丁,网址如下所述 :

http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

(2)安装 IIS Lockdown和 URL Scan来加固系统,从而避免该类攻击。

IIS Lockdown的下载地址如下所述 :

http://www.microsoft.com/technet/security/tools/locktool.asp

URLScan 的下载地址如下所述 :

http://www.microsoft.com/technet/security/URLScan.asp

(3)安装 Windows 2000的 Service Pack 2或 Service Pack 2以上的版本。如下图所示

图 11-7 Windows 2000 SP2的系统

MS SQL Server的 SA 空密码漏洞

漏洞描述 :攻击者可在安装 MS SQL Server的 Windows 2000服务器上新建 Administrators

228 全能培训——局域网组建与维护教程

局域网安全维护

229

组用户。

解释 :在 Windows 2000中, 企业级用户一般均使用微软的数据库管理软件 MS SQL Server ,在安装 M S SQL Server后,会将产生默认的 SA 用户 , 且初始密码在管理员未设置的情况下为空 , 但 SA 为 SQL Server中非常重要的安全模块成员 , 因此入侵者即可通过 SQL Server 客户端进行数据库远程连接,然后通过 SQL 的远程数据库管理命令进行命令操作, 从而在 MS SQL Server服务器上新建管理员级别的 Administrators 组用户。

对策 :(1) 安装 SQL Server后应立即修改 SA 的空密码 ; (2) 安装 Windows 2000的 Service Pack 3以上版本补丁。

图 11-8安装了 Windows 2000 SP4的系统

系统管理权限漏洞

漏洞描述 :操作系统权限有可能被登录至 Windows 2000的普通用户所窃取。

解释 :该漏洞发现于网络连接管理器 (Network Connection Manager, 即 NCM )中,网络连接管理器是管理并设置系统网络连接的组件。在建立网络连接时, 连接管理器将调用某个处理程序, 由于连接管理器中的安全漏洞 ,因此经过某些复杂的操作步骤 , 被调用的处理程序将在局部系统权限下运行 , 且有可能调用其他处理程序。

如作为处理程序而指定任意程序后, 该程序将在局部系统权限下运行 ,而该权限即 Windows 系统自身的执行权限 , 且基本未受任何限制 ,因此在该权限下任何程序均可运行 , 普通用户即可控制整个系统。

对策 :安装 Windows 2000的 Service Pack 3以上版本补丁。

微软操作系统的漏洞并非仅仅只有以上介绍的这些, 但是由于用户的反馈以及微软系统测试员的不断努力,其操作系统的漏洞不断的在减少。自从微软的 Windows 系列操作系统开发以来, 微软就推出了操作系统的更新,这也是解决系统漏洞的一个很好途径。 11.5 如何更新与升级操作系统

本节将以 Windows 2000为例 ,将介绍一下如何将 Windows 2000 SP1升级到 Windows 2000 SP4版本的详细过程。首先我们了解一下 Windows 2000 SP4与原版本有些什么改进。

SP4是 Windows 2000 更新的集合。 SP4 包含对 Windows 2000 功能中下列方面的更新 :安全、操作系统可靠性、应用程序兼容性、 Windows 2000 安装程序。 SP4 还包括:Windows 2000的 Service Pack 1、 Service Pack 2 和 Service Pack 3中包含的更新 ; M icrosoft Internet Explorer 6.0 Service Pack 1 ; 带有 Service Pack 2 的 Microsoft Outlook Express 5.5 。 SP4 包含具备通用串行总线 2.0增强主控制器接口 (EHCI ) 外围组件互连(PCI ) 控制器的计算机的驱动程序,同时 SP4还支持 IEEE 802.1x 身份验证协议。

更新与升级操作系统主要有两种方法, 一种是先下载安装包文件, 再在本地硬盘上安装 ; 另外一种是直接登陆微软的官方网址 ,网络下载和安装。

11.5.1 本地安装

先看看系统现在的版本吧。在桌面上右击“我的电脑 ” 属性 ,就可以查看你的电脑操作系统的版本。

图 11-9 Windows 2000 SP2

我们可以看到, 现在的系统版本是 Windows 2000 SP2, 我们要将它升级到 Windows 2000 SP4。操作步骤如下 :

步骤 1我们先要到微软的官方网站或是其它网站下载 , 下载一个 Windows 2000 SP4安装包 ,内含 Windows 2000 SP4的可执行文件(图 11-10)。

图 11-10 Windows 2000 SP4安装文件

步骤 2双击执行它 ,出现正在提取文件的对话框 , 状态是正在验证文件(图 11-11)。步骤 3验证完之后, 开始提取文件,其实就是解压缩到一个文件夹 (图 11-12)。

230 全能培训——局域网组建与维护教程

局域网安全维护

231

图 11-11正在提取文件的对话框图 11-12提取文件步骤 4 提取文件完毕后,就会弹出 Windows 2000 SP4的安装向导了(图 11-13)。步骤 5 在这里,安装向导给了我们一些建议 , 比如关闭其它打开的程序等等,因为它们有可能会导致升级的失败 ,然后单击下一步 ,就会弹出许可协议 (图 11-14)。

图 11-13 Windows 2000 SP4的安装向导图 11-14 许可协议步骤 6 选择 “我同意”,然后, 单击“下一步 ” 按钮。接着出现了选择选项的对话框 (图 11-15)。

步骤 7 其中有两个选项 ,一个是文件存档 ,一个是文件不存档 ,这里, 建议选择 “ 文件存档 ”,这样,如果装完 SP4后出现了问题,可以卸载 Windows 2000 SP4。单击“下一步 ” 按钮 ,就开始更新了 Windows (图 11-16)。

图 11-15选择选项图 11-16更新版本步骤 8 这里大约将进行 5分钟左右 ,就更新完毕了,然后重新启动。让我们再看看, 系统属性里的版本吧 (图 11-17)。

图 11-17 更新后的属性

上面已经显示为“ Service Pack 4”了, 表明我们已经把 Windows 2000 SP2成功升级为 Windows 2000 SP4了。

11.5.2 网络安装

对于互联网用户 , 还可以使用 Windows 自动更新方法登陆微软网站 , 直接升级操作系统,这种方法也可以用于安装系统补丁(关于安装系统补丁,我们将在下节做介绍) 。以下是通过网络更新的方法来升级操作系统 :

步骤 1首先 , 打开 Internet Explorer,在 IE 的菜单栏的【工具】子菜单选择 “ Windows Update ” 选项 ,如图 11-18所示。

步骤 2单击 “ Windows Updater” 后, IE 连接到微软的网站 , 并出现一个安全设置警告 , 如图 11-19所示。

图 11-18打开 IE 图 11-19 安全设置警告

步骤 3我们选择 “是”, IE 就继续连接到微软的 Windows 升级网页 ,如图 11-20。步骤 4在图 11-20中,我们可以看到一个选项 “ 查看以寻找更新”, 单击它 ,系统会自动帮你查看你的系统需要更新的地方,如图 11-21所示。

232 全能培训——局域网组建与维护教程

局域网安全维护

233

图 11-20微软的 Windows 升级网页图 11-21寻找的更新地方步骤 5 单击“ 复查并安装更新”后,出现了如图 11-22所示的界面。

图 11-22 显示安装的升级程序及补丁

步骤 6 在上图下半部分, 显示的是所要安装的升级程序及补丁, 可以选择不需要更新, 笔者建议全部更新。单击“ 立即安装”。

图 11-23安装过程

步骤 7 接下来,系统自动下载更新程序并且自动安装更新,重新启动后即可。

11.6 IE高级设置

现在的浏览器市场上说不上百家争鸣 ,但也有数十种了,可以说是各有特色。微软的新一代浏览器 IE 6.0因为采用开放的标准并加强了对 Cookie 的管理而受到普遍欢迎。它是在 IE 5.5基础上发展而来的, 能够完全兼容 Windows 98/Me/2000操作系统, 而且微软采用了隐私 P3P 标准。从理论上看, 能更安全地访问网页。如果你访问的网页不符合指定的最低安全要求 , IE 6.0将在任务栏上发出警告。

当然上网的安全性保障措施有很多种,这里主要介绍一些必要的 IE 安全使用设置和技巧。下面我们就来看一下 IE 6.0的安全使用及优化设置技巧。

1、清除上网记录

单击 IE6.0地址栏右侧的下拉标志 , 已访问过的站点无一遗漏、尽在其中。如果不想让别人知道刚才访问了哪些站点 , 怎么办?

清除部分上网记录

若只想清除部分上网记录 , 单击浏览器工具栏上的“ 历史 ” 按钮 ,在右栏的地址历史记录中,用鼠标右键选中某一希望清除的地址或其下一网页 , 选取 “ 删除 ” 。

也可用编辑注册表的方法达到目的,在注册表编辑器中, 找到

“ HKEYCURRENT_USER /Software/Microsoft/Internet Explorer/Typed URLS” , 在右栏中删去不想再让其出现的主键即可, 记住要让 urlx (x 代表序号 )以自然顺序排列。

清楚全部上网记录

为了加快浏览速度 , IE 会自动把你浏览过的网页保存在缓存文件夹 C:\Windows\Temporary Internet Files下。当你确信已浏览过的网页不再需要时,在该文件夹下选中所有网页 , 删除即可。

若想清楚全部的上网记录 , 还可以打开【工具】→【 Internet 属性】命令, 单击“常规 ” 标签 “ 历史记录 ” 选项中的“ 清除历史记录 ” 按钮。这时系统会弹出警告 “是否确实要让 Windows 删除已访问过网站的历史记录 ? ” , 选择 “是”就行了,如图 11-24所示。

图 11-24 Internet选项提示

234 全能培训——局域网组建与维护教程

局域网安全维护

235

这种方法清楚全部上网的记录不太彻底 ,会留下少许 Cookies 在文件夹内。在“常规 ” 标签 “ Internet 临时文件” 选项中,有一个“ 删除 Cookies ” 按钮 ,通过它可以很方便地删除遗留的 Cookies ,如图 11-25所示。

其实, 比较快捷的设置做法是,将 IE6.0的上网历史记录的天数设置为“ 0” 天 ,这样电脑只会保存当天的上网记录 , 昨天的记录则没有,如图 11-25所示。

如果想浏览网页却又不想网址出现在 IE6.0的下拉框中,这里可以介绍一种更加简单的方法 :当每次上网时不要在 IE6.0的地址栏中输入网址 ,从【文件】→【打开】命令中输入网址 ,在单击“ 确定 ” 按钮 ,如图 11-26所示 ,通过这种方式浏览的网址就不会出现在 IE6.0地址栏中了, 读者可以试一试。

图 11-25 历史纪录设置图 11-26目录打开网页方式 2、更改临时文件夹

每当上网去浏览网页时,都会将网上的部分文件(包括图片和 HTML 文件等) 储存于系统内的 “ Temporary Internet files(临时文件夹 ) ” 之中, 以方便同一个网站的浏览。但 IE6.0中设置的临时文件夹所占空间比较大,对硬盘比较小的读者来说可能不希望这样。

打开【工具】→【 Internet 选项】命令,在“常规 ” 标签 “ Internet 临时文件” 选项 “设置” 按钮中, 预设临时文件夹的使用情况 , 单击“设置” 按钮 ,在弹出的“设置”对话框中将“使用的磁盘空间 ” 缩小为“ 20” MB 比较适合 ,也可以将“ Internet 临时文件夹 ”的保存位置设到 D 盘 ,如图 11-27所示。

3、禁用或限制使用 Java 、 Java Applet、 ActiveX 控件

由于互联网上(如在浏览 web 页和在聊天室里) 经常使用 Java 、 Java Applet、 ActiveX编写的脚本 , 它们可能会获取你的用户标识、 IP 地址 , 乃至口令, 甚至会在你的机器上安装某些程序或进行其他操作。因此对 Java 、 Java Applet 、 ActiveX 控件的使用进行限制是非常必要的。

在 IE 【工具】菜单的【 Internet 选项】窗口的“安全” 标签中打开 “自定义级别 ” ,就可以对 Java 、 ActiveX 控件的使用情况进行设置,如图 11-28所示。

图 11-27“设置”对话框图 11-28 IE安全设置选项

在这里可以设置 “ ActiveX 控件和插件” 、 “ Java ” 、 “ 脚本 ” 、 “下载 ” 、 “用户验证 ” 以及其他安全选项。对于一些不安全或不太安全的控件或插件以及下载操作, 应该予以禁止、限制或至少要进行提示。

4、取消自动完成设置

缺省条件下,用户在第一次使用 Web 地址、表单、表单的用户名和密码后(如果同意保存密码 ) ,在下一次再想进入同样的 Web 页及输入密码时,只需输入开头部分,后面的就会自动完成, 给用户带来了便利 ,但同时也带来了安全问题。

可以通过调整“自动完成”设置,来解决该问题, 具体设置方法如下 :

步骤 1在 IE6.0中打开【工具】→【 Internet 选项】弹出“ Internet 选项 ”对话框。步骤 2单击“内容 ” 标签下的“自动完成” 按钮 , 弹出“自动完成设置”对话框 ,如图 11-29所示。

步骤 3将“ Web 地址 ”、“ 表单 ”、“ 表单上的用户名和密码 ” 复选框全部取消 ,这样可以防止泄露自己的一些信息。同时最好能够定期清除上网留下的有关表单等的历史记录 ,这时只需单击“ 清除表单 ”和“ 清除密码 ” 按钮即可。

5、设置信息限制

网络上的信息无奇不有, 这从另一个侧面也促使我们使用 IE 6.0来屏蔽掉有些与年龄和性别都不大符合的站点。这些站点 , 除了自身具有的精神垃圾特色外 ,很多采用了先进的 Html 代码和 Java 脚本 ,让你上过一次就脱不了手, 恶意修改 IE 6.0和注册表就是最简单的证明。

因此,更需要在 IE6.0上做些限制 ,方法同样是进入“ Internet 选项 ” ,然后选择 “内容 ” 标签 ,将“分级审查 ”设为启用, 随后在“ 暴力” , “ 裸体 ” , “ 性 ” , “语言 ”等四个选项中根据实际情况拖动鼠标滑竿进行相关设置,如图 11-30所示。

236 全能培训——局域网组建与维护教程

局域网安全维护

237

图 11-29“自动完成设置”对话框图 11-30 分级审查选项 11.7 局域网信息的保密

局域网在保密防护方面有三点脆弱性。一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时,其价值往往不大, 一旦网络将大量关联信息聚集在一起时, 其价值就相当可观了。三是设防的困难性。尽管可以层层设防 . 但对一个熟悉网络技术的人来说 ,下些功夫就可能突破这些关卡 , 给保密工作带来极大的困难。

一般来说 ,计算机局域网的保密防范应从以下 4个方面入手。

1、充分利用网络操作系统

充分利用网络操作系统提供的保密措施, 某些用户对网络的认识不足 , 基本不用或很少使用网络操作系统提供的保密措施,从而留下隐患。其实,一般的网络操作系统都有相应的保密措施

2、采用现代密码技术

采用现代密码技术 , 加大保密强度, 借助现代密码技术对数据进行加密 ,将重要秘密信息由明文变为密文。

3、采用防火墙技术

采用防火墙技术 , 防止局域网与外部网联通后秘密信息的外泄 , 防火墙是建立在局域网与外部网络之间的电子系统,用于实现访问控制 , 即阻止外部入侵者进入局域网内部,而允许局域网内部用户访问外部网络。

本章小结

本章主要介绍了网络安全的基本知识, 内容包括对各种黑客攻击手段的防范 , 局域网安全基本途径 ,数据加密以及简单介绍了一些系统的漏洞。只有了解了“攻”的原理才能够很好地“防” , 读者通过这一章的内容应该对局域网的安全知识有了一个初步认识。

也许有人会说 ,黑客是很遥远的事情或者说只要局域网不联入因特网就可以高枕无忧了,这样的想法完全错了,事实上,在因特网上可以进行的攻击更容易在局域网上进行 ,因为局域网有更高的带宽和更加简单的结构 , 如果大意的话 , 来自内部网的攻击比外部网的攻击更加可怕 ,会造成更加严重的后果。

课后习题

1) 什么叫做 “计算机病毒” ?

2) 计算机病毒的分类有哪些 ?

3) 列举常见的几种病毒。

4) 我们应该采取的防毒措施有哪些 ?

5) 什么叫做黑客 ?

6) 黑客攻击的常用手段有哪些 ?

7) 防火墙有哪些主要功能 ?

8) 简要了解微软各版本操作系统的漏洞。

9) 计算机局域网的保密防范应注意哪几个个方面 ?

10)数据加密算法一般有哪几类 ?

11)局域网实体的泄密渠道有哪些 ?

238 全能培训——局域网组建与维护教程

局域网组建与维护

《局域网组建与维护》复习题《局域网组建与维护》复习题《局域网组建与维护》复习题《局域网组建与维护》复习题

期末试卷结构如下:

选择题 20 道, 20 分;填空题 20 空 20 分;简答题 4 道 20 分;分析题 1 道 20 分。认真复习每章课后习题,特别是选择题、填空题。

1 、分别写出直连线缆两端的线序?

答:568A 标准:

绿白 — 1,绿 — 2,橙白 — 3,蓝 — 4,蓝白 — 5,橙 — 6,棕白 — 7,棕 — 8

568B 标准:

橙白 — 1,橙 — 2,绿白 — 3,蓝 — 4,蓝白 — 5,绿 — 6,棕白 — 7,棕 — 8

2 、传输介质分为几大类?

答:。常用的传输介质分为有线传输介质和无线传输介质两大类。

3 、常见的有线传输介质有哪些?

答:有线传输介质主要有双绞线、同轴电缆和光纤。在其中传输的是光波或电磁波信号。 4 、在局域网中使用光纤有什么优势?什么情况下需要使用?

答:最主要的是传输距离长,可以达到几千米没有什么衰减。如果用普通超五类网线只能最多 100米。通常局域网中的光纤都是应用在桥接上,也就是把几个距离远的小网连成一体。如果距离不远还要用光纤成本会很高,不划算了。

5 、什么是交换机的 MAC 地址?如何查看一个网卡的 MAC 地址?

答:MAC (Media Access Control, 介质访问控制) 地址是识别 LAN (局域网) 节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的 EPROM (一种闪存芯片,通常可以通过程序擦写) ,它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。

点击开始 --运行,输入 cmd ,确定,然后打开一个命令行对话框,在里面输入 ipconfig /all

6 、光纤有哪些种类?什么叫多模光纤,什么叫单模光纤?它们之间有何区别?

答:按照光纤传输点模数分为单模光纤和多模光纤。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽、容量大,一般用于长距离传输。多模光纤在给定的工作波长上, 能以多个模式同时传输。光纤波长有 850nm 的短波长 (指定为 SX ) 、 1550nm 的长波长(指定为 LX )之分。 850nm 波长区为多模光纤通信, 1550nm 波长区为单模光纤通信, 1300nm 波长区有单模和多模两种光纤通信方式区别:多模光纤和单模光纤的区别,主要在于光的传输方式不同,当然带宽容量也不一样。多模光纤直径较大,不同波长和相位的光束沿光纤壁不停地反射着向前传输,造成色散,限制了两个中继器之间的传输距离和带宽, 多模光纤的带宽约为 2.5Gbps 。单模光纤的直径较细, 光在其中直线传播,很少反射,所以色散减小、带宽增加,传输距离也得到加长。但是与之配套的光端设备价格较高,单模光纤的带宽超过 10Gbps 。

7 、利用交换机、双绞线组网时应遵循哪些规则?

答:使用非屏蔽双绞线 (UTP-Unshielded Twisted pair) 作为布线的传输介质来组网。 UTP 网线由一定长度的双绞线和 RJ45水晶头组成。双绞线由 8根不同颜色的线分成 4对绞合在一起,成对扭绞的作用是尽可能减少电磁辐射与外部电磁干扰的影响。做好的网线要将 RJ45水晶头接入网卡或 HUB 等网络设备的 RJ45插座内。相应地 RJ45插头座也区分为三类或五类电气特性。 RJ45水晶头由金属片和塑料构成, 制作网线所需要的 RJ 一 45水晶接头前端有 8个凹僧,简称“ SE ” 特别需要注意的是 RJ45水晶头。

8 、无线局域网与有线局域网相比,有哪些优点?

答:1、无线局域网免布线节省空间成本,有线局域网必须先行布线成本较好, 如没有先行布线或者洞口不够还需重新布线。

2、移动性强一直就是无线局域网的优势所在,这是有线网络无法媲美的。 3 、可扩展性。

9 、光缆具有怎样的物理结构、传输特性和抗干扰性?

答:光缆具有圆柱形的形状由三个同心部分组成纤芯、包层和扩套。纤芯是最内层部分它由一根或多根非常细的由玻璃或塑料制成的绞合线或纤维组成。每一根纤维都由各自的包层包着包层是一玻璃或塑料的涂层。最外层是护套它包着一根或一束已加层的纤维由分层的塑料及其附属材料制成。光纤利用全内反射来传输经信号编码的光束其传输频率范围覆盖了可见的光谱和部分红外光谱。光纤有很强的抗干扰性它不受电磁干扰和噪声的影响。这种特性允许在长距离内进行高速数据传输并能提供优良的安全保密性。

10 、路由器与网桥在性能上有哪些差异?

答:网桥在把数据从源端向目的端转换时仅仅依靠链路层的帧头中的信息 (MAC地址 ) 作为转发的依据。而路由器除了分析链路层的信息之外主要以网络层包头中的信息 (网络地址 ) 作为转发的依据。所以可以进一步减少其对特定网络技术的依赖性扩大了路由器的适应范围。再则路由器具有的广播、抑制和网络隔离的功能是网桥所不具备的。但网桥转发数据的速率比路由器要高得多。

11 、如何设置 “ 文件夹共享 ” ?

答:右击 ----你要共享的那个文件夹 ---属性 ---共享 ---网络共享与安全 ----运行网络安装向导— —最后勾选在网络上共享这个文件夹,允许更改我的文件(不想让人修改就不勾选。)。应用 ----确定就设置完了。然后去其他电脑上找下这个共享。能找到就设置成功了。 12 、简述星型拓扑结构。

答:在星型拓扑结构中每个站点由点到点联接到公共中心任意两个站之间的通信通过公共中心。中心节点可以是一个中继器也可以是一个局域网交换器。发送数据的站以帧的形式进入中心节点以帧中所包含的目的地址到达目的地点实现站间链路的单通信。目前局域网中的系统均采用星型拓扑结构几乎取代了环型和总线型结构。

13 、简述 DHCP 客户端申请租约的 4 个阶段。

答:

14 、划分 VLAN 的常用方法有哪几种?并说明各种方法的特点。

答:常用的 VLAN 划分方法有 1) 按交换端口号划分。按交换端口号将交换设备端口进行分组来划分 VLAN 例如一个交换设备上的端口 1、 2、 5、 7所联接的客户工作站可以构成 VLAN A 而端口 3、 4、 6、 8则构成 VLAN B等。 2 按 MAC 地址划分。即由网管人员指定属于同一个 VLAN 中的各客户站的 MAC 地址。 3 按第三层协议划分。基于第三层协议的 VLAN 实现在决定 VLAN 成员身份时主要考虑协议类型支持多协议的情况下或网络层地址如 TCP/IP网络的子网地址。此种类型的 VLAN 划分需要将子网地址映射到 VLAN 交换设备根据子网地址将各机器的 MAC 地址同一个 VLAN 联系起来。交换设备将决定不同网络端口上联接的机器属于同一个 VLAN 。 17、千兆位以太网技术的优势是什么 1 使系统主干的带宽及客户站访问服务器的速度大提高。 2 它是 10BMb/s和 100Mb/s平滑过渡的技术用户的培训和维护方面投资得到有效的保

护系统升级的投资到最低限度即最少的再投资能获得高性能的回报。 3 不仅仅使系统增加了带宽而且还带来了服务质量改善的功能这一切都是在低开销的条件下实现的。

15 、什么是协议?

答:为计算机网络中进行数据交换而建立的规则、标准或约定的集合。用来描述进程之间信息交换数据时的规则术语。在计算机网络中, 两个相互通信的实体处在不同的地理位置,其上的两个进程相互通信,需要通过交换信息来协调它们的动作达到同步,而信息的交换必须按照预先共同约定好的规则进行。

16 、使用路由器进行网络互联的特点是什么?

答:路由器的特点是路径选择,连接网络, ACL (访问控制列表),流量控制; 缺点是延迟比交换机高

路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。

17 、简述客户 - 服务器模式。

答:在分布式计算机中,一个应用程序被动的等待,而另一个应用程序通过请求启动通信的模式。客户向服务器发送请求。服务器对客户的请求作出回应。

18 、全双工以太网组网应用的特点是什么?为什么共享型以太网集成器不需要配置全双工端口?

答:全双工以太网组网应用的特点是用全双工操作方式联接客户站,可延伸距离至 2km ; 若联接服务器,可以增加带宽;对于交换器之间的联接来说,要求用 100Base-FX 全双工联接,这样互联的交换器不处在同一座楼宇中,距离较远,在这种情况下,在延伸联接距离和拓展带宽上均能得益。

19 、 10Mb/s 和 100Mb/s 端口自适应过程是怎样工作的?为什么需要 10Mb/s 和 100Mb/ s 端口自适应?

答:10Mb/s和 100Mb/s自适应的处理过程具有以下两种情况:1. 原有 10Base -T 网卡具备自动协商功能, 即具有 10Mb/s和 100Mb/s自适应功能。则双方通过 FLP 信号进行协商和处理,最后协商的结果在网卡和 100Base -TX 集线器的相应端口上均形成 100Base -TX 的工作模式。

2. 原有 10Base -T 网卡不具备自动协商功能,当网卡与具有 10Mb/s和 100Mb/s自动协商功能的集线器端口联接后,集线器端口向网卡端口发出 FLP 信号,而网卡端口不能发出 FLP 信号。但由于在以往的 10Ba se -T 系统中, UTP 媒体的链路正常工作时,始终存在正常链路脉冲 (NLP)以检测链路的完整性,所以在新系统的自动协商过程中,集线器的 10Mb/s和 100Mb/s自适应端口接收到的信号是 NLP 信号,由于 NL P 信号在自动协商协议中也有说明, FLP 向下兼容 NLP , 这样集线器的端口就自动形成了 10Base -T 工作模式与网卡相匹配。

当一个原有的 10Base -T 系统欲过渡或升级到 100Base -TX 系统时, 并非所有的站都需要升级而置换成 1 00Base -TX 的网卡。在过渡的系统中,一部分站为了得到高带宽而置换成 100Mb/s网卡,而大部分站仍处在 10Base -T 工作模式上。此时只要更换 10Base -T 集线器,而新的 100Base -TX 集线器的端口必须具有自动协商功能, 才能达到过渡的目的。其目的的是与原来 10Base -T 系统共存并使 10Base -T 系统平滑地过渡到快速以太网的环境中去,在新的快速以太网环境中,不仅继承了原有的以太网技术,并且最大限度地保护了用户原来的投资,所以需要有 10Mb/s和 100Mb/s自适应功能。

20 、何谓 Internet 、 Intranet 和 Extranet ? Internet/Intranet 上提供哪些常用的信息服务?

答:Internet 是一个建立在 TCP/IP协议集上的国际互联网络它由各个子网以网状结构互联而成。在每个子网中存在着数量不等的主机子网及其主机均以 IP 协议统一编址。子网可以是 LAN 也可以是 W AN 。主机可以是网上的客户机、服务器或者路由器等设备。 Intranet 称为企业内部网它在企业内部实现 Intranet 结构及其信息服务。企业与企业或者企业与其伙伴之间信息联系可以采用 Intranet 实现互联即众多与企业业务有关的 Intranet 通过 Internet 互联形成的系统称为 Extranet 。 Intranet 的主要服务有以下几类电子邮件、文件传输、远程录入、电子公告牌、信息浏览、高级超文本浏览、自动标题搜索、自动搜索以及域名系统等。 Intranet 的主要服务功能包括高级超文本浏览、电子邮件、数据库访问、安全性以及网络管理等。

21 、某公司现在在 5 个国家有分公司,每个子公司有 1000 台 PC ,现在通过 ISP 申请到 1 个网段为 130.8.0.0 你认为可以可为为几个子网?子网掩码及 IP 地址范围是多少? 22 、一个单位有一个 C 类网络 200.1.1.0 。考虑到共有四个部门,准备划分子网。这四个部门内的主机数目分别是:A-72 台, B-35 台, C-20 台, D-18 台;即共有 145 台主机。

① 给出一种可能的子网掩码安排来完成划分任务;

答:A 255.255.255.128

B 255.255.255.192

C 255.255.255.224

D 255.255.255.192

② 如果部门 D 的主机数目增长到 34 台,那么该单位又该怎么做?

答:每部门的机器数的二进制表示为。

部门十进二进

A :7201001000

B :3500100011

C :2000010100

D :1800010010

D :加 3400100100

23 、给一个 IP :59.67.148.64/26 。划分 3 个子网 , 第一个子网 13 台主机 , 第二个 12 台 ,

第三个 30 台主机。写出子网掩码,各子网网络地址,可用 IP 地址段。

答 :题中所给的 IP 地址 59.67.148.64/26。 IP 地址范围为 59.67.148.64~59.67.148.127

第一个子网可容纳 13台主机 block size最小为 16 可容纳 14台主机

即子网掩码为 255.255.255.240

子网网络地址为 59.67.148.64

可用 IP 地址段为 59.67.148.65~59.67.148.78(64为网络号, 79为广播地址。 ) 第二个子网可容纳 12台主机 block size最小为 16 可容纳 14台主机

即子网掩码为 255.255.255.240

子网网络地址为 59.67.148.80

可用 IP 地址段为 59.67.148.61~59.67.148.94(80为网络号, 95为广播地址。 ) 第三个子网可容纳 30台主机 block size最小为 32 可容纳 30台主机

即子网掩码为 255.255.255.224

子网网络地址为 59.67.148.96

可用 IP 地址段为 59.67.148.97~59.67.148.126(96为网络号, 127为广播地址。 )

24 、 192.168.1.32/28 在这个网络中最高 2 位 IP 给 Linux 主机, 最低 1 位给默认网关。

那么还有几个 IP 可用?

25 、给定一个 C 类 IP 地址 : 192.168.5.0 ,要求划分 20 个子网,每个子网 5 台主机。请

问应该怎么划分子网?子网掩码是多少?并写出第二个子网的网络地址及第二个子网的广播地址。 (所有问题均要写出相关分析过程,如文字表述或图,只写出最后答案不给分)

26 、计算出 IP 地址:201.222.20.60 子网掩码:255.255.255.248 的网络 ID 及广播? 答:网络 ID 201.222.20.56

广播 201.222.20.63

27 、 200.200.200.0 划分 6 个子网,写出前 4 个子网的网络、广播、范围。

28 、当前子网 190.5.32.0 子网掩码 255.255.248.0 ,写出其网络的范围。

答:网络范围是 190.5.32.1到 190.5.39.254

注意:21 ~28 题不能只写出答案,要写出分析步骤。

局域网组建与维护

《局域网组建与维护网技术》实训报告

实验报告

姓名

学号专业

指导教师实训时间

局域网组建与维护 5月7日

电子计算机系

实验题目：

局域网组网组建与维护

实验目的：

1、了解安装Ｗindows Server 2003所需的软硬件环境，掌握Windows Server 2003系统的安装与服务器的配置。

2、掌握布线工程中常用工具的使用方法，掌握直通线、交叉线的制作方法。

3、掌握组建对等网络，实现文件和打印共享。

4、掌握Web 、FTP 、DNS 、DHCP 等服务器的配置方法。

5、了解交换机、路由器等网络设备的常用配置。

实验要求：

学会双绞网的制作、协议的安装（TCP/IP协议、IPX/SPX协议和Net/BIOS协议）、学会IIS 组件的安装；学会WEB 、FTP 、DNS 的配置； TCP/IP的设置，最终实现对等网的组建，利用所组建的网络实现文件上传下载和打印机的共享。能够熟练的操作Windows Server 2003操作系统，掌握DHCP 、DNS 、WEB 、FTP 、POP3的安装以相应的配置。并能将理论与实践相结合，把他们之间相互结合起来组成一个完整的局域网服务器。

实验仪器：

带网卡的计算机、双绞线、水晶头、压线钳、剥线钳、测线仪

实验内容及步骤：

一、组建对等网络实现文件的共享

（一）网线的制作与测通

T568A 标准连线顺序从左到右依次为:

1-白绿、2-绿、3-白橙、4-蓝、5-白蓝、6-橙、7-白棕、8-棕。 T568B 标准连线顺序从左到右依次为:

1-白橙、2-橙、3-白绿、4-蓝、5-白蓝、6-绿、7-白棕、8-棕。

1、直通线制作方法：

2个同样的EIA/TIA568A或者2个同样的EIA/TIA568B。

2、交叉线制作方法：

一个EIA/TIA568A和一个EIA/TIA568B

3、网线的测通方法：

通过测试器观察，符合指示灯配对。

（二）对等网络的搭建过程

1、网络协议、服务的安装与配置

NetBEUI与IPX/SPX协议安装之后无需设置即可使用。

TCP/IP协议安装之后一般要进行配置，具体

方法如下：右击“网络邻居”——属性——右击本地连接——属性——Tcp/Ip——属性——在“Tcp/Ip”属性对话框中进行各项设置。

2、网络连接与网络连通性检测

（1）网络连接

通过上述步骤设置完成后，返回“桌面”，双击“网上邻居”?“整个网络”?“Microsoft Windows Network ”?“WORKGROUP ”，观察并记录显示结果。

（2）网络连通性检测

Ping IP ipconfig 查看本机网络适配器的IP 地址、子网掩码及默认网关通过系统提供的Ping 命令来检测网络的配置是否正确

方法：开始——运行——输入下面命令

1）Ping IP（如果不通，表示TCP/IP的安装或运行存在某些最基本的问题。）

2）Ping 本机Ip （如果不通，则表示本地配置或安装存在问题。）

3）Ping 局域网内其他IP （如果不通，表示网卡配置错误或电缆系统有问题。） Ipconfig 查看本机网络配置情况

通表示：不通如何排除故障：Ping 本机ip 通表示：不通如何排除故障：Ping 局域网中pip

通表示：

不通如何排除故障：

（三）共享文件夹的创建与访问

1、创建步骤

通过上述步骤设置完成后，返回“桌面”，双击“网上邻居”?“整个网络”?“Microsoft Windows Network ”?“WORKGROUP ”，观察并记录显示结果。选定要共享的文件夹——鼠标右击——属性/共享和安全——共享选项卡—权限（默认的用户是Everyone ，即所有合法用户都可以访问，默认权限是读取，用户可以根据共享级别自己定义访问用户及操作限制）右键“网上邻居”——“属性”——右击“本地连接”——“属性”——选中 “Microsoft 网络的文件和”选项，

2、访问方法

开始—运行—输入\\资源计算机的IP 地址\文件名，如 \\172.16.14.39\CC（假设主机IP 地址为192.168.0.1的计算机中“CC ”文件夹设为共享）

二、服务器的相关服务配置

（一）Web 服务器的配置

1、IIS 组件的安装步骤：

Windows Server 2003 中Internet 信息服务（IIS ）默认情况下，Windows Server 2003没有安装IIS ，要通过控制面板来安装。具体做法为：

（1）进入“控制面板”。

（2）双击“添加或删除程序”。

（3）单击“添加/删除 Windows 组件”。

（4）在“组件”列表框中，双击“应用程序服务器”。

（5）双击“Internet 信息服务（IIS ）”。

（6）从中选择“万维网服务”及“文件传输协议（FTP ）服务”。

（7）双击“万维网服务”，从中选择“Active Server Pages” 及“万维网服务”等。

2、Web 虚拟站点的配置步骤：

安装好IIS 后，接着设置Web 服务器，具体做法为：

1) 在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。

2) 在“Internet信息服务(IIS)管理器”中双击“本地计算机”。

3) 右击“网站”，在弹出菜单中选择“新建→网站”，打开“网站创建向导”。

4) 依次填写“网站描述（hal.net 的网站）”、“IP地址（192.168.1.30）”、“端口号（80）”、“路径（d:\hal）”和“网站访问权限(读取、目录浏览、记录访问、索引资源)”等。最后，为了便于访问还应设置默认文档(Index.asp、Index.htm) 。

5) 创建虚拟目录(d:\hal)，别名为hal, 虚拟目录访问权限为（读取、运行脚本）。

6) 在本地计算机上输入http://本机IP ，测试成功后会在浏览器显示想要的网页。

7) 在客户机输入http://本机IP ，测试成功就可以了。

注意：（1）开启Active Server Pages（ASP ）功能。（2）如果Web 服务主目录所在分区是NTFS 格式，而ASP 网页有写入操作时（如用到新闻后台管理功能的），要注意设置数据库的写入及修改权限。

（二）Ftp 服务器的配置步骤

1）Windows Server 2003中利用IIS 服务构建FTP 服务器，步骤如下

进入控制面板——管理工具——Internet 信息服务(IIS)管理器——点开“FTP 站点”——右击“默认FTP 站点”——新建——虚拟目录（进入虚拟目录向导）——下一步——输入别名——输入路径——设置访问权限——完成

（2）利用serv_u创建FTP 服务器

①从网上下载serv_u软件；

②安装serv_u软件；

③配置配置服务器；

④上传下载文件。

（三）DNS 配置步骤

1) 安装DNS 服务开始→设置→控制面板→添加/删除程序→添加/删除Windows 组件→“网络服务”→选择“域名服务系统（DNS ）”→按确定进行安装。

2) 创建DNS 正相解析区域开始→程序→管理工具→选择DNS ，打开DNS 控制台→右击“正相搜索区域”→选择“新建区域”→选择“标准主要区域”-→输入域名“hal .net”→输入要保存的区域的文件名“hal .net.dns”→按完成，完成创建。

3) 创建主机记录等：右击“hal .net”→“新建主机”→在名称处输入“www”，在“IP地址”处输入“192.168.1.30”，→按“添加主机”完成。

4) 创建DNS 反向解析区域开始→程序→管理工具→选择DNS ，打开DNS 控制台→右击“反向搜索区域”→选择“新建区域”→选择“标准主要区域”→输入用来标示区域的“网络ID”→输入要保存的区域的文件名“1.168.192.in-addr.arpa.dns”→按完成，完成创建

5) 创建指针PTR ：右击“192.168.1.x.subnet”→选择“新建指针”→在“主机IP 号”中输入30→在“主机名”中选“浏览”找到www.hal.cn 主机—按 “确定”完成添加。

6) 配置DNS 客户端在客户端计算机上打开tcp/ip属性对话框，在dns 服务器地址栏输入dns 服务器的ip 地址 “192.168.1.30”。

7) 测试，在配置DNS 服务器的对话框中，单击服务器名从快捷菜单执行启动NSLOOKUP

输入ip 地址后要是显示域名就可以啦。通过客户机访问在IE 浏览器中输入域名显示得到的网页即可。

（四）配置DHCP ：

1) 通过“管理您的服务器”选择“DHCP 服务器”来安装DHCP 服务组件。

2) 根据向导提示来新建作用域，名称为“hal .net”ip地址范围为“192.168.1.1”—“192.168.1.50”起始ip 为“192.168.1.2”，路由ip 地址为 “192.168.1.1”，父域为“hal .net”，ip 为本机ip 地址“192.168.1.30”，然后激活该作用域即可。

3) 将客户机的ip 设为动态获取ip 。

4) 在客户机中点击“开始”—“运行”，输入cmd, 再在对话框中输入ipconfig/release释放ip ，再输入 ipconfig/renew重新获取ip 。

（四）中小型企业网络拓扑图：

三、实训课题完成过程中出现的问题和解决方法

（1）、DNS 在客服端不能用域名访问服务器。客服端的DNS 没有设置成DNS 的服务器的IP 地址。

（2）、用浏览器访问FTP 站点不能实现上传更新。一定要记得设置写入权限。还有就是要在权限的那几个账户那里打勾。如果从浏览器打开的FTP 站点的方式不能上传下载文件，就从资源管理器当中访问。

四、实验结论

配置服务器上的各种协议，实验有一定难度，需要自己摸索，在实验过程中，也遇到了不少困难，发现了不少需要注意的问题。

1. 在配置ip 时，将dns 的地址配置成了自己的ip 地址，导致访问服务器的网站时，无法显示网页。

2. 在dhcp 配置时，没有设置默认网关，使得客户机不能得到正确分配的ip 地址。

3. 在配置web 时，如果仅仅将网页的路径更改，会出现端口已经被用的提示，不能实现打开两个网站的要求。

4. 在使用ftp 时，如果在ftp 上下载文件。在windows2003系统里，会拒绝下载。可以通过将安全级别改低，或将该ftp 网址设为信任网站解决。

5. 使用ftp 过程中，还应该注意，使用虚拟目录的别名应该与目录的文件夹名称相同，否则登陆ftp 后，可能找到的不是原先建立的文件夹。

6. 在使用outlook 过程中，由于outlook 默认输入的邮箱用户名没有帮用户加上@cm.com，因此，如果在登陆时，没有加上@cm.com，就会出现无法登陆的情况。自己在实际操作过程中，就在这里浪费了很长时间。

通过不断地实践总结，自己对DNS,DHCP,POP3,SMTP,NNTP,

HTTP,FTP 等服务器的配置，对于局域网的工作原理有了更进一步的认识。同时，意识到我们在今后的学习中，要自己动手，改变传统的只从老师那里得到知识的思维，要善于利用身边的工具，在实践中不断进步。

实验心得：这次实训是基本上是按照平时老师所讲和书本上的知识来按部就班配置的，对一些服务器配置间所涉及到知识点，没有进行深入的了解，以至于在答辩的时候老师提的有些题目，支支吾吾的答不出来，也是这次实训，让我在专业技能知识以及动手能力上有了很大的提高，同时在实训过程中所出现的一些问题，也让我深深明白了自己平时所学不够认真不够努力，才在实训的时候手忙脚乱，不是这出问题，就是那里出问题，而且不知道是为什么会导致这样的问题，以及出现这样的问题应该如何解决，这次实训让自己收获了很多，也让自己警醒自己的不足.

这次实训的几个项目相互之间都会有配合，相互之间配合起来就是一个完整的局域网服务器了，虽然配置服务器的中间出现过很多的问题，但通过一周的实训，通过配置这些服务器，也明白了他们之间相互的作用，更对其中所提到的知识点融会贯通，也让我对这些服务器了解的更加的透彻。

局域网组建与维护

内蒙古电子信息职业技术学院

学期授课计划

2015-2016学年第一学期

系：课程：

计算机科学系专业：计算机系统维护

周学时：

班级：计维141学分：.

上课周数：本学期课时分配表：

教学形式课时

讲课

实验

课堂讨论或习题课

课程设计课程作业

现场教学及参观

考核

机动

合计

3030464

备注：1、本课程以前学期完成学时数：

2、本课程在以后学期尚留学时数：3、本课程本学期列为考试（考查）课程：4、本课程使用教材名称：

0任课教师：教研室主任：系、部主任：教务处：

编写日期：2015年

审核日期：审核日期：审核日期：

8月年年年

25日月月月

日日日

学期授课计划

授课顺序

周别

授课章节的内容摘要

需要时数

课件及教具

课外作业

备注

项目一：虚拟机软件VMware

任务一安装VMwareWorkstation任务二配置VMwareWorkstation任务三VMwareWorkstation安装XP上机实验练习

项目二IP地址规划与子网技术任务一IP分类与编址

任务二规划IP与划分子网上机实验练习

项目三制作非屏蔽双绞线与设备之间连接

任务一制作T568A与T568B线缆任务二常见网络设备互联任务三双机互连网络实验实操、上机实验练习项目四任务一任务二任务三

构建WindowsXP对等网组建WindowsXP对等网共享文件和打印机共享Internet上网

课件VM软件

预习课本为上机做准备

机房环境课件软件机房环境网线、网线钳网线、网线钳、机房

填写实验报告

预习课本为上机做准备填写实验报告

预习课本为上机做准备

填写实验报告

2课件

预习课本为上机做准备

8实操、上机实验练习

项目五WindowsServer2003网络服务

任务一组建WindowsXP对等网任务二配置FTP实操、上机实验练习

机房环境课件及软件机房环境

填写实验报告

预习课本为上机做准备填写实验报

告

授课顺序

周别

授课章节的内容摘要

需要时数

课件及教具课件及演示机房环境课件及软件机房环境课件及软件演示机房环境2

课件及软件机房环境2222

课件及软件机房环境课件及软件机房环境

课外作业

备注

项目五WindowsServer2003网络服务

任务三配置DNS任务四配置DHCP实操、上机实验练习

项目六：交换机的初始配置与管理任务一建立交换机的初始配置任务二Telnet方式管理交换机任务三Web方式管理交换机

任务四解决enable密码丢失的方法实操、上机实验练习项目七任务一任务二任务三

交换机的高级配置与管理划分VLAN

不同交换机同VLAN间通信VLAN间路由

预习课本为上机做准备填写实验报

告

预习课本为上机做准备

142

填写实验报告

预习课本为上机做准备

16171819202122

实操、上机实验练习任务四任务五任务六

静态路由与默认路由链路聚合端口镜像

填写实验报告预习课本为上机做准备填写实验报告预习课本为上机做准备填写实验报告预习课本为上机做准备填写实验报告

实操、上机实验练习任务七任务八任务九

绑定端口和MAC地址绑定交换机MAC与IP配置访问控制列表ACL

实操、上机实验练习项目八任务一任务二

路由器的初始配置与管理路由器的基本配置Telnet方式管理路由器

实操、上机实验练习

授课顺序

周别

任务三任务四

授课章节的内容摘要

需要时数222222

课件及教具课件及软件机房环境机房环境机房环境机房环境机房环境

课外作业

备注

232425

还原配置文件和系统升级解决enable密码丢失的方案预习课本为上机做准备填写实验报告预习课本为上机做准备填写实验报告预习课本为上机做准备填写实验报告

实操、上机实验练习项目九任务一任务二

路由器的高级配置与管理配置静态路由及默认路由配置RIP

132627

142829

153031

实操、上机实验练习任务三任务四

NAT地址转换单臂路由

实操、上机实验练习任务五任务六

路由器综合实训

交换机-路由器综合实训

实操、上机实验练习

机

动

一

周

转载请注明出处范文大全网 » 局域网组建与维护教程

《局域网组建与维护教程》第11章 局域网安全维护

局域网组建与维护

局域网组建与维护

局域网组建与维护

《局域网组建与维护教程》第11章局域网安全维护