計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)（第5版）課件 工作單元7-9　組建小型無線網(wǎng)絡(luò)、配置常用網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全與管理

工作單元7組建小型無線網(wǎng)絡(luò)對用戶移動接入網(wǎng)絡(luò)的支持是目前計算機網(wǎng)絡(luò)建設(shè)的基本需求，實現(xiàn)這種移動性的基礎(chǔ)架構(gòu)有許多，但在在家庭及企業(yè)網(wǎng)絡(luò)環(huán)境中最重要的是WLAN（WirelessLocalAreaNetwork，無線局域網(wǎng)）。無線局域網(wǎng)已經(jīng)成為計算機網(wǎng)絡(luò)建設(shè)的重要組成部分，是有線網(wǎng)絡(luò)的必要補充。本單元的主要目標是了解常用的無線局域網(wǎng)技術(shù)和設(shè)備；熟悉無線局域網(wǎng)的組網(wǎng)方法；能夠利用相關(guān)設(shè)備組建小型無線網(wǎng)絡(luò)。本單元主要內(nèi)容任務(wù)7.1認識無線局域網(wǎng)任務(wù)7.2組建BSS無線局域網(wǎng)任務(wù)7.1認識無線局域網(wǎng)【任務(wù)目的】（1）了解常用的無線局域網(wǎng)技術(shù)標準；（2）認識組建無線局域網(wǎng)所需的常用設(shè)備。【工作環(huán)境與條件】

（1）能夠接入Internet的計算機；（2）典型的無線局域網(wǎng)組網(wǎng)案例。7.1.1無線局域網(wǎng)的技術(shù)標準

1997年6月，IEEE推出了第一代無線局域網(wǎng)標準——IEEE802.11。該標準定義了物理層和介質(zhì)訪問控制子層（MAC）的協(xié)議規(guī)范，速度大約有1～2Mb/s。任何LAN應(yīng)用、網(wǎng)絡(luò)操作系統(tǒng)或協(xié)議在遵守IEEE802.11標準的WLAN上運行時，就像它們運行在以太網(wǎng)上一樣。為了支持更高的數(shù)據(jù)傳輸速度，IEEE802.11標準定義了多樣的物理層標準，主要包括IEEE802.11b、IEEE802.11a、IEEE802.11g和IEEE802.11n。7.1.1無線局域網(wǎng)的技術(shù)標準1.IEEE802.11b

IEEE802.11b標準對IEEE802.11標準進行了修改和補充，規(guī)定無線局域網(wǎng)的工作頻段為2.4GHz~2.4835GHz，一般采用直接系列擴頻（DSSS）和補償編碼鍵控（CCK）調(diào)制技術(shù)，數(shù)據(jù)傳輸速率可以根據(jù)實際情況在11Mb/s、5.5Mb/s、2Mb/s、1Mb/s的不同速率間自動切換。2.IEEE802.11a

IEEE802.11a標準規(guī)定無線局域網(wǎng)的工作頻段為5.15~5.825GHz，采用正交頻分復(fù)用（OFDM）的獨特擴頻技術(shù)，數(shù)據(jù)傳輸速率可達到54Mb/s。IEEE802.11a與工作在2.4GHz頻率上的IEEE802.11b標準互不兼容。7.1.1無線局域網(wǎng)的技術(shù)標準3.IEEE802.11g

IEEE802.11g標準可以視作對IEEE802.11b標準的升級，該標準仍然采用2.4GHz頻段，數(shù)據(jù)傳輸速率可達到54Mb/s。IEEE802.11g支持2種調(diào)制方式，包括IEEE802.11a中采用的OFDM與IEEE802.11b中采用的CCK。IEEE802.11g標準與IEEE802.11b標準完全兼容，遵循這兩種標準的無線設(shè)備之間可相互訪問。4.IEEE802.11n

IEEE802.11n標準可以工作在2.4GHz和5GHz兩個頻段，實現(xiàn)與IEEE802.11b/g以及IEEE802.11a標準的向下兼容。IEEE802.11n標準使用MIMO（多輸入多輸出）天線技術(shù)和OFDM技術(shù)，其數(shù)據(jù)傳輸速率可達300Mb/s以上，理論速率最高可達600Mb/s。7.1.2無線局域網(wǎng)的硬件設(shè)備1.無線網(wǎng)卡無線網(wǎng)卡在無線局域網(wǎng)中的作用相當于有線網(wǎng)卡在有線局域網(wǎng)中的作用。無線網(wǎng)卡主要包括NIC（網(wǎng)卡）單元、擴頻通信機和天線三個功能模塊。NIC單元屬于數(shù)據(jù)鏈路層，由它負責建立主機與物理層之間的連接；擴頻通信機與物理層建立了對應(yīng)關(guān)系，它通過天線實現(xiàn)無線電信號的接收與發(fā)射。按無線網(wǎng)卡的接口類型可分為適用于臺式機的PCI接口的無線網(wǎng)卡和適用于筆記本電腦的PCMCIA接口的無線網(wǎng)卡，另外還有在臺式機和筆記本電腦均可采用的USB接口的無線網(wǎng)卡。7.1.2無線局域網(wǎng)的硬件設(shè)備2.無線訪問接入點無線訪問接入點（AccessPoint，AP）是在無線局域網(wǎng)環(huán)境中進行數(shù)據(jù)發(fā)送和接收的集中設(shè)備，相當于有線網(wǎng)絡(luò)中的集線器，如圖7-1所示。通常，一個AP能夠在幾十至幾百米的范圍內(nèi)連接多個無線用戶。AP可以通過標準的以太網(wǎng)電纜與傳統(tǒng)的有線網(wǎng)絡(luò)相連，從而可以作為無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點。AP還可以執(zhí)行一些安全功能，可以為無線客戶端及通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行認證和加密。由于無線電波在傳播過程中會不斷衰減，導(dǎo)致AP的通信范圍被限定在一定的范圍內(nèi)，這個范圍被稱作蜂窩。7.1.2無線局域網(wǎng)的硬件設(shè)備3.無線路由器無線路由器實際上是AP與寬帶路由器的結(jié)合，借助于無線路由器，可實現(xiàn)無線網(wǎng)絡(luò)中的Internet連接共享。4.天線天線（Antenna）的功能是將信號源發(fā)送的信號傳送至遠處。天線一般有定向性和全向性之分，前者較適合于長距離使用，而后者則較適合區(qū)域性的使用?！救蝿?wù)實施】

實訓(xùn)1分析無線局域網(wǎng)使用的技術(shù)標準請根據(jù)實際條件，選擇一項無線局域網(wǎng)的具體應(yīng)用實例，根據(jù)所學(xué)的知識，分析該網(wǎng)絡(luò)所采用的技術(shù)標準。實訓(xùn)2認識常用的無線局域網(wǎng)設(shè)備（1）請根據(jù)實際條件，選擇一項無線局域網(wǎng)的具體應(yīng)用實例，根據(jù)所學(xué)的知識，了解并熟悉該網(wǎng)絡(luò)使用的無線局域網(wǎng)設(shè)備，列出該網(wǎng)絡(luò)所使用的無線局域網(wǎng)設(shè)備的品牌、型號和主要性能指標。（2）訪問主流無線局域網(wǎng)設(shè)備廠商的網(wǎng)站，查看該廠商生產(chǎn)的無線局域網(wǎng)設(shè)備產(chǎn)品，記錄其型號、價格以及相關(guān)技術(shù)參數(shù)。任務(wù)7.2組建BSS無線局域網(wǎng)【任務(wù)目的】（1）了解無線局域網(wǎng)的組網(wǎng)模式；（2）熟悉單一BSS結(jié)構(gòu)無線局域網(wǎng)的組網(wǎng)方法?！竟ぷ鳝h(huán)境與條件】

（1）無線路由器（本部分以Cisco系列產(chǎn)品為例，也可選用其他品牌型號的產(chǎn)品或使用CiscoPacketTracer等網(wǎng)絡(luò)模擬和建模工具）；（2）安裝Windows操作系統(tǒng)的計算機（帶有無線網(wǎng)卡）；（3）組建網(wǎng)絡(luò)所需的其他設(shè)備。7.2.1無線局域網(wǎng)的組網(wǎng)模式將各種無線局域網(wǎng)設(shè)備結(jié)合在一起使用，就可以組建出多層次、無線與有線并存的計算機網(wǎng)絡(luò)。在IEEE802.11標準中，一組無線設(shè)備被稱為服務(wù)集（ServiceSet），這些設(shè)備的服務(wù)集標識（ServiceSetIdentifier，SSID）必須相同。服務(wù)集標識是一個文本字符串，包含在發(fā)送的數(shù)據(jù)幀中，如果發(fā)送方和接收方的SSID相同，這兩臺設(shè)備將能夠通信。7.2.1無線局域網(wǎng)的組網(wǎng)模式1.BSS組網(wǎng)模式

BSS組網(wǎng)模式包含一個接入點（AP），負責集中控制一組無線設(shè)備的接入。要使用無線網(wǎng)絡(luò)的無線客戶端都必須向AP申請成員資格，客戶端必須具備匹配的SSID、兼容的WLAN標準、相應(yīng)的身份驗證憑證等才被允許加入。若AP沒有連接有線網(wǎng)絡(luò)，則可將該BSS稱為獨立基本服務(wù)集（IndependentBasicServiceSet，IBSS）；若AP連接到有線網(wǎng)絡(luò)，則可將其稱為基礎(chǔ)結(jié)構(gòu)BSS。若不使用AP，安裝無線網(wǎng)卡的計算機之間直接進行無線通信，則被稱作臨時性網(wǎng)絡(luò)（Ad-hocNetwork）。7.2.1無線局域網(wǎng)的組網(wǎng)模式7.2.1無線局域網(wǎng)的組網(wǎng)模式2.ESS組網(wǎng)模式基礎(chǔ)結(jié)構(gòu)BSS雖然可以實現(xiàn)有線和無線網(wǎng)絡(luò)的連接，但無線客戶端的移動性將被限制在其對應(yīng)AP的信號覆蓋范圍內(nèi)。擴展服務(wù)集（ExtendedServiceSet，ESS）通過有線網(wǎng)絡(luò)將多個AP連接起來，不同AP可以使用不同的信道。無線客戶端使用同一個SSID在ESS所覆蓋的區(qū)域內(nèi)進行實體移動時，將自動連接到干擾最小、連接效果最好的AP。7.2.2無線局域網(wǎng)的用戶接入1.掃描（1）被動掃描在AP上設(shè)置SSID信息后，AP會定期發(fā)送Beacon幀。Beacon幀中會包含該AP所屬的BSS的基本信息以及AP的基本能力級，包括BSSID（AP的MAC地址）、SSID、支持的速率、支持的認證方式，加密算法、Beacons幀發(fā)送間隔、使用的信道等。在被動掃描模式中，無線客戶端會在各個信道間不斷切換，偵聽所收到的Beacon幀并記錄其信息，以此來發(fā)現(xiàn)周圍存在的無線網(wǎng)絡(luò)服務(wù)。7.2.2無線局域網(wǎng)的用戶接入（2）主動掃描在主動掃描模式中，無線客戶端會在每個信道上發(fā)送ProbeRequest幀以請求需要連接的無線接入服務(wù)，AP在收到ProbeRequest幀后會回應(yīng)ProbeResponse幀，其包含的信息和Beacon幀類似，無線客戶端可從該幀中獲取BSS的基本信息。7.2.2無線局域網(wǎng)的用戶接入2.認證（Authentication）（1）認證方式

IEEE802.11的MAC子層主要支持兩種認證方式：開放系統(tǒng)認證：無線客戶端以MAC地址為身份證明，要求網(wǎng)絡(luò)MAC地址必須是唯一的，這幾乎等同于不需要認證，沒有任何安全防護能力。在這種認證方式下，通常應(yīng)采用MAC地址過濾、RADIUS等其他方法來保證用戶接入的安全性。共享密鑰認證：該方式可在使用WEP（WiredEquivalentPrivacy，有線等效保密）加密時使用，在認證時需校驗無線客戶端采用的WEP密鑰。7.2.2無線局域網(wǎng)的用戶接入（2）WEP

WEP是IEEE802.11b標準定義的一個用于無線局域網(wǎng)的安全性協(xié)議，主要用于無線局域網(wǎng)業(yè)務(wù)流的加密和節(jié)點的認證，提供和有線局域網(wǎng)同級的安全性。WEP在數(shù)據(jù)鏈路層采用RC4對稱加密技術(shù)，提供了40位（有時也稱為64位）和128位長度的密鑰機制。使用了該技術(shù)的無線局域網(wǎng)，所有無線客戶端與AP之間的數(shù)據(jù)都會以一個共享的密鑰進行加密。WEP的問題在于其加密密鑰為靜態(tài)密鑰，加密方式存在缺陷，而且需要為每臺無線設(shè)備分別設(shè)置密鑰，部署起來比較麻煩，因此不適合用于安全等級要求較高的無線網(wǎng)絡(luò)。7.2.2無線局域網(wǎng)的用戶接入（3）IEEE802.11i、WPA和WPA2

IEEE802.11i定義了無線局域網(wǎng)核心安全標準，該標準提供了強大的加密、認證和密鑰管理措施。該標準包括了兩個增強型加密協(xié)議，用以對WEP中的已知問題進行彌補。

TKIP（暫時密鑰集成協(xié)議）：該協(xié)議通過添加PPK（單一封包密鑰）、MIC（消息完整性檢查）和廣播密鑰循環(huán)等措施增加了安全性。

AES-CCMP（高級加密標準）：它是基于“AES加密算法的計數(shù)器模式及密碼塊鏈消息認證碼”的協(xié)議。其中CCM可以保障數(shù)據(jù)隱私，CCMP的組件CBG-MAC（密碼塊鏈消息認證碼）可以保障數(shù)據(jù)完整性并提供身份認證。AES是RC4算法更強健的替代者。7.2.2無線局域網(wǎng)的用戶接入

WPA（Wi-FiProtectedAccess，Wi-Fi網(wǎng)絡(luò)安全存?。┦荳i-Fi聯(lián)盟制定的安全解決方案，它能夠解決已知的WEP脆弱性問題，并且能夠?qū)褐臒o線局域網(wǎng)攻擊提供防護。WPA使用基于RC4算法的TKIP來進行加密，并且使用預(yù)共享密鑰（PSK）和IEEE802.1x/EAP來進行認證。PSK認證是通過檢查無線客戶端和AP是否擁有同一個密碼或密碼短語來實現(xiàn)的，如果客戶端的密碼和AP的密碼相匹配，客戶端就會得到認證。

WPA2是獲得IEEE802.11標準批準的Wi-Fi聯(lián)盟交互實施方案。WPA2使用AES-CCMP實現(xiàn)了強大的加密功能，也支持PSK和IEEE802.1x/EAP的認證方式。7.2.2無線局域網(wǎng)的用戶接入

WPA和WPA2有兩種工作模式，以滿足不同類型的市場需求。個人模式：個人模式可以通過PSK認證無線產(chǎn)品。需要手動將預(yù)共享密鑰配置在AP和無線客戶端上，無需使用認證服務(wù)器。該模式適用于SOHO環(huán)境。企業(yè)模式：企業(yè)模式可以通過PSK和IEEE802.1x/EAP認證無線產(chǎn)品。在使用IEEE802.1x模式進行認證、密鑰管理和集中管理用戶證書時，需要添加使用RADIUS協(xié)議的AAA服務(wù)器。該模式適用于企業(yè)環(huán)境。7.2.2無線局域網(wǎng)的用戶接入3.關(guān)聯(lián)（association）無線客戶端在通過認證后會發(fā)送AssociationRequest幀，AP收到該幀后將對客戶端的關(guān)聯(lián)請求進行處理，關(guān)聯(lián)成功后會向客戶端發(fā)送回應(yīng)的AssociationResponse幀，該幀中將含有關(guān)聯(lián)標識符（AssociationID，AID）。無線客戶端與AP建立關(guān)聯(lián)后，其數(shù)據(jù)的收發(fā)就只能和該AP進行。【任務(wù)實施】

請組建圖7-5所示的網(wǎng)絡(luò)并對其進行配置，通過一臺無線路由器實現(xiàn)所有計算機之間的連通和Internet接入，并保證無線接入的安全?！救蝿?wù)實施】

實訓(xùn)1設(shè)置無線路由器實訓(xùn)2設(shè)置無線客戶端工作單元8配置常用網(wǎng)絡(luò)服務(wù)組建計算機網(wǎng)絡(luò)的主要目的是實現(xiàn)網(wǎng)絡(luò)資源的共享，滿足用戶的各種應(yīng)用需求。因此在實現(xiàn)了計算機之間的互連互通之后，必須通過網(wǎng)絡(luò)操作系統(tǒng)和相應(yīng)軟件，配置各種網(wǎng)絡(luò)服務(wù)，以滿足用戶的不同應(yīng)用需求。本單元的主要目標是熟悉在WindowsServer2012R2系統(tǒng)環(huán)境下設(shè)置文件和打印機共享、DHCP服務(wù)器、DNS服務(wù)器、Web服務(wù)器、FTP服務(wù)器的基本方法，能夠獨立完成常用網(wǎng)絡(luò)服務(wù)的基本配置。本單元主要內(nèi)容任務(wù)8.1設(shè)置文件共享任務(wù)8.2設(shè)置共享打印機任務(wù)8.3配置DHCP服務(wù)器任務(wù)8.4配置DNS服務(wù)器任務(wù)8.5配置Web服務(wù)器任務(wù)8.6配置FTP服務(wù)器任務(wù)8.1設(shè)置文件共享【任務(wù)目的】（1）理解工作組網(wǎng)絡(luò)的結(jié)構(gòu)和特點；（2）掌握本地用戶的設(shè)置方法；（3）掌握共享文件夾的創(chuàng)建和訪問方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝WindowsServer2012R2操作系統(tǒng)的計算機；（2）安裝Windows8或其他Windows操作系統(tǒng)的計算機；（3）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）。8.1.1工作組網(wǎng)絡(luò)

Windows操作系統(tǒng)支持兩種網(wǎng)絡(luò)管理模式：工作組：分布式的管理模式，適用于小型的網(wǎng)絡(luò)；域：集中式的管理模式，適用于較大型的網(wǎng)絡(luò)。工作組是由一群用網(wǎng)絡(luò)連接在一起的計算機組成。在工作組網(wǎng)絡(luò)中，每臺計算機的地位平等，各自管理自己的資源。8.1.1工作組網(wǎng)絡(luò)網(wǎng)絡(luò)上的每臺計算機都有自己的本地安全數(shù)據(jù)庫。如果用戶要訪問每臺計算機的資源，那么必須在每臺計算機的SAM數(shù)據(jù)庫內(nèi)創(chuàng)建該用戶的賬戶，并獲取相應(yīng)的權(quán)限。工作組內(nèi)不一定要有服務(wù)器級的計算機，也就是說所有計算機都安裝Windows8系統(tǒng)，也可以構(gòu)建一個工作組結(jié)構(gòu)的網(wǎng)絡(luò)。在工作組網(wǎng)絡(luò)中，每臺計算機都可以方便地將自己的本地資源共享給他人使用。在計算機數(shù)量不多的情況下（如10~20臺），可以采用工作組結(jié)構(gòu)的網(wǎng)絡(luò)。8.1.2計算機名與工作組名1.計算機名計算機名是用于識別網(wǎng)絡(luò)上的計算機的。要連接到網(wǎng)絡(luò)，每臺計算機都應(yīng)有唯一的名稱。在Windows系統(tǒng)中計算機名最多為15個字符，不能含有空格和“;:"<>*+=\|?,”等專用字符。2.NetBIOS名

NetBIOS名是用于標識網(wǎng)絡(luò)上的NetBIOS資源的地址，該地址包含16個字符，前15個字符代表計算機的名字，第16個字符表示服務(wù)；對于不滿15個字符的計算機名稱，系統(tǒng)會補上空格。3.工作組名8.1.3本地用戶賬戶和組1.本地用戶賬戶用戶賬戶定義了用戶可以在Windows中執(zhí)行的操作。在獨立計算機或作為工作組成員的計算機上，用戶賬戶存儲在本地計算機的SAM中，這種用戶賬戶稱為本地用戶賬戶。本地用戶賬戶只能登錄到本地計算機。8.1.3本地用戶賬戶和組（1）計算機管理員賬戶計算機管理員賬戶是專門為可以對計算機進行全系統(tǒng)更改、安裝程序和訪問計算機上所有文件的用戶而設(shè)置的。在系統(tǒng)安裝期間將自動創(chuàng)建名為“Administrator”的計算機管理員賬戶。計算機管理員賬戶具有以下特征：可以創(chuàng)建和刪除計算機上的用戶賬戶。 可以更改其他用戶賬戶的賬戶名、密碼和賬戶類型。無法將自己的賬戶類型更改為受限制賬戶類型，除非在該計算機上有其他的計算機管理員賬戶，這樣可以確保計算機上總是至少有一個計算機管理員賬戶。8.1.3本地用戶賬戶和組（2）受限制賬戶如果需要禁止某些用戶更改大多數(shù)計算機設(shè)置和刪除重要文件，則需要為其設(shè)置受限制賬戶。受限制賬戶具有以下特征：無法安裝軟件或硬件，但可以訪問已經(jīng)安裝在計算機上的程序?？梢詣?chuàng)建、更改或刪除本賬戶的密碼。無法更改其賬戶名或者賬戶類型。對于使用受限制賬戶的用戶，某些程序可能無法正常工作。8.1.3本地用戶賬戶和組（3）來賓賬戶來賓賬戶供那些在計算機上沒有用戶賬戶的用戶使用。系統(tǒng)安裝時會自動創(chuàng)建名為“Guest”的來賓賬戶，并將其設(shè)置為禁用。來賓賬戶具有以下特征：無法安裝軟件或硬件，但可以訪問已經(jīng)安裝在計算機上的程序。無法更改來賓賬戶類型。8.1.3本地用戶賬戶和組2.本地組賬戶組賬戶通常簡稱為組，一般指同類用戶賬戶的集合。一個用戶賬戶可以同時加入多個組，當用戶賬戶加入到一個組以后，該用戶會繼承該組所擁有的權(quán)限。因此使用組賬戶可以簡化網(wǎng)絡(luò)的管理工作。在獨立計算機或作為工作組成員的計算機上創(chuàng)建的組都是本地組，使用本地組可以實現(xiàn)對本地計算機資源的訪問控制。8.1.3本地用戶賬戶和組8.1.4共享文件夾文件共享是一個典型的客戶機/服務(wù)器工作模式，Windows操作系統(tǒng)在實現(xiàn)文件共享之前，必須在網(wǎng)絡(luò)連接屬性中添加網(wǎng)絡(luò)組件“Microsoft網(wǎng)絡(luò)的文件和打印共享”以及“Microsoft網(wǎng)絡(luò)客戶端”。1.共享文件夾的訪問過程在登錄共享服務(wù)器之前，客戶機首先要確定目標服務(wù)器上的協(xié)議，端口，組件能是否齊備，服務(wù)是否啟動，在一切都合乎要求后，開始用戶的身份驗證過程，如果順利通過身份驗證，服務(wù)器會檢查本地的安全策略與授權(quán)，看本次訪問是否允許，如果允許，會進一步檢查用戶希望訪問的共享資源的權(quán)限設(shè)置是否允許用戶進行想要的操作，在通過這一系列檢查后，客戶機才能最終訪問到目標資源。8.1.4共享文件夾2.共享權(quán)限（1）共享權(quán)限的類型當用戶將計算機內(nèi)的文件夾設(shè)為“共享文件夾”后，擁有適當共享權(quán)限的用戶就可以通過網(wǎng)絡(luò)訪問該文件夾內(nèi)的文件、子文件夾等數(shù)據(jù)。8.1.4共享文件夾（2）用戶的有效權(quán)限如果用戶同時屬于多個組，而每個組分別對某個共享資源擁有不同的權(quán)限，此時用戶的有效權(quán)限將遵循以下規(guī)則：權(quán)限具有累加性：用戶對共享文件夾的有效權(quán)限是其所有共享權(quán)限來源的總和?！熬芙^”權(quán)限會覆蓋其他權(quán)限：雖然用戶對某個共享文件夾的有效權(quán)限是其所有權(quán)限來源的總和，但是只要有一個權(quán)限被設(shè)為拒絕訪問，則用戶最后的權(quán)限將是“拒絕訪問”。8.1.5公用文件夾在WindowsServer2012R2系統(tǒng)中，磁盤內(nèi)的文件在經(jīng)過設(shè)置權(quán)限后，每位登錄用戶只能訪問有相應(yīng)訪問權(quán)限的文件。如果這些用戶要相互共享文件的話，可以開放權(quán)限，也可以利用系統(tǒng)提供的公用文件夾。所有用戶都可以在傳統(tǒng)桌面模式中單擊“文件資源管理器”圖標，在“文件資源管理器”窗口中依次選擇“這臺電腦”→“本地磁盤C”→“用戶”→“公用”打開公用文件夾?！救蝿?wù)實施】

實訓(xùn)1將計算機加入到工作組實訓(xùn)2設(shè)置本地用戶賬戶實訓(xùn)3設(shè)置共享文件夾實訓(xùn)4訪問共享文件夾任務(wù)8.2設(shè)置共享打印機【任務(wù)目的】（1）了解打印服務(wù)系統(tǒng)的主要形式；（2）熟悉共享打印機的設(shè)置方法。【工作環(huán)境與條件】

（1）安裝WindowsServer2012R2操作系統(tǒng)的計算機；（2）安裝Windows8或其他Windows操作系統(tǒng)的計算機；（3）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）；（4）打印機及相關(guān)配件。8.2.1共享打印機共享打印機是將打印機用LPT并行口或USB等接口連接到計算機上，在該計算機上安裝本地打印機的驅(qū)動程序、打印服務(wù)程序或打印共享程序，使之成為打印服務(wù)器；網(wǎng)絡(luò)中的其他計算機通過添加“網(wǎng)絡(luò)打印機”實現(xiàn)對共享打印機的訪問。8.2.2專用打印服務(wù)器專用打印服務(wù)器方式可以彌補共享打印機方式的不足，其與共享打印機不同之處在于使用了專用的打印服務(wù)器硬件裝置，該裝置固化了網(wǎng)絡(luò)打印軟件，并包括RJ-45以太網(wǎng)接口，以及LPT或USB打印機接口。專用打印服務(wù)器方式的連接方法是將專用打印服務(wù)器接入網(wǎng)絡(luò)，并將打印機通過LPT或USB等接口連接到專用服務(wù)器上。在每臺計算機上通過添加“網(wǎng)絡(luò)打印機”實現(xiàn)對共享打印機的訪問。8.2.3網(wǎng)絡(luò)打印機就硬件角度而言，網(wǎng)絡(luò)打印機是指具有網(wǎng)卡的打印機。網(wǎng)絡(luò)打印機方式的連接方法是將網(wǎng)絡(luò)打印機用雙絞線直接接入網(wǎng)絡(luò)，并通過網(wǎng)絡(luò)打印服務(wù)器對網(wǎng)絡(luò)中的各臺網(wǎng)絡(luò)打印機進行管理。在每臺打印客戶機上通過添加“網(wǎng)絡(luò)打印機”實現(xiàn)對共享打印機的訪問?！救蝿?wù)實施】

實訓(xùn)1打印機的物理連接實訓(xùn)2安裝和共享本地打印機實訓(xùn)3設(shè)置客戶端任務(wù)8.3配置DHCP服務(wù)器【任務(wù)目的】（1）理解DHCP服務(wù)器的作用和基本工作過程；（2）掌握DHCP服務(wù)器的安裝和基本配置方法；（3）掌握DHCP客戶機的配置方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝WindowsServer2012R2操作系統(tǒng)的計算機；（2）安裝Windows8或其他Windows操作系統(tǒng)的計算機；（3）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）?！鞠嚓P(guān)知識】與靜態(tài)分配IP地址相比，使用DHCP自動分配IP地址主要有以下優(yōu)點：可以減輕網(wǎng)絡(luò)管理的工作，避免IP地址沖突帶來的麻煩。

TCP/IP的設(shè)置可以在服務(wù)器集中設(shè)置更改，不需要修改客戶機?？蛻魴C有較大的調(diào)整空間，用戶更換網(wǎng)絡(luò)時不需重新設(shè)置TCP/IP?！鞠嚓P(guān)知識】1.客戶機從DHCP服務(wù)器獲取IP地址

DHCP客戶機設(shè)置為“自動獲得IP地址”，開機啟動后試圖從DHCP服務(wù)器租借一個IP地址，向網(wǎng)絡(luò)上發(fā)出一個源地址為“”的DHCP探索消息。

DHCP服務(wù)器收到該消息后確定是否有權(quán)為該客戶機分配IP地址。若有權(quán)，則向網(wǎng)絡(luò)廣播一個DHCP提供消息，該消息包含了未租借的IP地址及相關(guān)配置參數(shù)。

DHCP客戶機收到DHCP提供消息后對其進行評價和選擇，如果接受租約條件即向服務(wù)器發(fā)出請求信息。

DHCP服務(wù)器對客戶機的請求信息進行確認，提供IP地址及相關(guān)配置信息。客戶機綁定IP地址，可以開始利用該地址與網(wǎng)絡(luò)中其他計算機進行通信了?！鞠嚓P(guān)知識】2.更新IP地址的租約如果DHCP客戶機想要延長其IP地址使用期限，則DHCP客戶機必須更新其IP地址租約。更新租約時，DHCP客戶機會向DHCP服務(wù)器發(fā)出DHCP請求信息，如果DHCP客戶機能夠成功的更新租約，DHCP服務(wù)器將會對客戶機的請求信息進行確認，客戶機就可以繼續(xù)使用原來的IP地址，并重新得到一個新的租約。如果DHCP客戶機已無法繼續(xù)使用該IP地址，DHCP服務(wù)器也會給客戶機發(fā)出相應(yīng)的信息?！救蝿?wù)實施】

實訓(xùn)1安裝DHCP服務(wù)器實訓(xùn)2新建DHCP作用域?qū)嵱?xùn)3設(shè)置DHCP客戶機任務(wù)8.4配置DNS服務(wù)器【任務(wù)目的】（1）理解DNS服務(wù)器的作用；（2）理解DNS查詢過程；（3）掌握DNS服務(wù)器的基本配置方法；（4）掌握DNS客戶機的基本配置方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝WindowsServer2012R2操作系統(tǒng)的計算機；（2）安裝Windows8或其他Windows操作系統(tǒng)的計算機；（3）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）。8.4.1域名稱空間整個DNS的結(jié)構(gòu)是一個分層式樹型結(jié)構(gòu)，這個樹狀結(jié)構(gòu)稱為“DNS域名空間”。圖中位于樹型結(jié)構(gòu)最頂層的是DNS域名空間的根（root），一般是用句點（.）來表示。root內(nèi)有多臺DNS服務(wù)器。root由多個機構(gòu)進行管理，其中最著名的是Internet網(wǎng)絡(luò)信息中心，負責整個域名空間和域名登錄的授權(quán)管理。8.4.1域名稱空間

root之下為“頂級域”，每一個“頂級域”內(nèi)都有數(shù)臺DNS服務(wù)器。頂級域用來將組織分類，常見的頂級域名如表8-4所示。8.4.2域命名規(guī)則限制域的級別數(shù)：通常DNS主機項應(yīng)位于DNS層次結(jié)構(gòu)中的3級或4級，不應(yīng)多于5級。使用惟一的名稱：父域中的每個子域必須具有惟一的名稱，以保證在DNS域名稱空間中該名稱是惟一的。使用簡單的名稱：簡單而準確的域名對于用戶來說更容易記憶，并且使用戶可以直觀地搜索并訪問。避免很長的域名：域名最多為63個字符，包括結(jié)束點。一個FQDN的總長度不能超過255個字符。使用標準的DNS字符：Windows支持的DNS字符包括字母、數(shù)字以及連字符“-”，DNS名稱不區(qū)分大小寫。8.4.3

DNS服務(wù)器

DNS服務(wù)器內(nèi)存儲著域名稱空間內(nèi)部分區(qū)域的信息，也就是說DNS服務(wù)器的管轄范圍可以涵蓋域名稱空間內(nèi)的一個或多個區(qū)域，此時就稱此DNS服務(wù)器為這些區(qū)域的“授權(quán)服務(wù)器。授權(quán)服務(wù)器負責提供DNS客戶機所要查找的記錄。區(qū)域（zone）是指域名空間樹型結(jié)構(gòu)的一部分，它能夠?qū)⒂蛎臻g分割為較小的區(qū)段，以方便管理。一個區(qū)域內(nèi)的主機信息，將存放在DNS服務(wù)器內(nèi)的區(qū)域文件或是活動目錄數(shù)據(jù)庫內(nèi)。一臺DNS服務(wù)器內(nèi)可以存儲一個或多個區(qū)域的信息，同時一個區(qū)域的信息也可以被存儲到多臺DNS服務(wù)器內(nèi)。區(qū)域文件內(nèi)的每一項信息被稱為是一項資源記錄（resourcerecord，RR）。8.4.4域名解析過程

DNS服務(wù)器可以執(zhí)行正向查找和反向查找。正向查找可將域名解析為IP地址，而反向查找則將IP地址解析為域名。8.4.4域名解析過程若DNS服務(wù)器內(nèi)沒有客戶機所需的記錄，則DNS服務(wù)器會代替客戶機向其他DNS服務(wù)器進行查找?！救蝿?wù)實施】

實訓(xùn)1安裝DNS服務(wù)器實訓(xùn)2創(chuàng)建DNS區(qū)域?qū)嵱?xùn)3創(chuàng)建資源記錄實訓(xùn)4設(shè)置DNS客戶機任務(wù)8.5配置Web服務(wù)器【任務(wù)目的】（1）理解WWW的工作過程和URL；（2）掌握Web服務(wù)器的基本配置方法；（3）了解虛擬目錄的作用和基本配置方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝WindowsServer2012R2操作系統(tǒng)的計算機；（2）安裝Windows8或其他Windows操作系統(tǒng)的計算機；（3）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）。8.5.1

WWW的工作過程客戶機啟動瀏覽器；在瀏覽器鍵入以URL形式表示的、待查詢的Web頁面地址。在URL中將包含Web服務(wù)器的IP地址或域名，如果是域名的話，需要將該域名傳送給DNS服務(wù)器解析其對應(yīng)的IP地址。客戶機瀏覽器與該地址的Web服務(wù)器連通，發(fā)送一個HTTP請求，告知其需要瀏覽的Web頁面。

Web服務(wù)器將對應(yīng)的HTML（HyperTextMark-upLanguage，超文本標記語言）文本、圖片和構(gòu)成該網(wǎng)頁的一切其他文件逐一發(fā)送回用戶。瀏覽器把接收到的文件，加上圖像、鏈接和其他必須的資源，顯示給用戶，這些就構(gòu)成了用戶所看到的網(wǎng)頁。8.5.2

URL

URL（UniformResoureLocator，統(tǒng)一資源定位符）也稱為網(wǎng)頁地址，是用于完整描述Internet上Web頁面和其他資源地址的一種標識方法。在實際應(yīng)用中，URL可以是本地磁盤，也可以是局域網(wǎng)的計算機，當然更多的是Internet中的Web站點。URL的一般格式為（帶方括號[]的為可選項）：8.5.3

IIS常見的網(wǎng)絡(luò)操作系統(tǒng)都提供了實現(xiàn)Internet信息服務(wù)的功能，在Linux操作系統(tǒng)中主要使用Apache，而在Windows操作系統(tǒng)中，實現(xiàn)Internet信息服務(wù)的是IIS（InternetInformationServices，Internet信息服務(wù)）。IIS是一個易于管理的平臺，在該平臺上可以方便可靠地開發(fā)和托管Web應(yīng)用程序和服務(wù)，其主要功能包括常見HTTP功能、應(yīng)用程序開發(fā)功能、運行狀況和診斷功能、安全功能、性能功能、管理工具和文件傳輸協(xié)議（FileTransferProtocol，F(xiàn)TP）服務(wù)器功能等。8.5.4主目錄與虛擬目錄1.主目錄主目錄是網(wǎng)站發(fā)布樹的頂點，是網(wǎng)站訪問的起點，因此它不僅包括網(wǎng)站的首頁及其指向其他網(wǎng)頁的鏈接，還應(yīng)包括該網(wǎng)站的所有目錄和文件。每個網(wǎng)站必須擁有一個主目錄，對該網(wǎng)站的訪問，實際上就是對網(wǎng)站主目錄的訪問。網(wǎng)站的主目錄會被映射為Web服務(wù)器的IP地址或域名，因此訪問者可以使用Web服務(wù)器的IP地址或域名直接訪問。8.5.4主目錄與虛擬目錄2.虛擬目錄在網(wǎng)站的管理中，如果用戶需要發(fā)布主目錄以外目錄中的信息文件，那就應(yīng)當在網(wǎng)站的主目錄下，創(chuàng)建虛擬目錄。虛擬目錄是網(wǎng)站管理員為本地計算機的真實目錄或網(wǎng)絡(luò)中其他計算機的共享目錄創(chuàng)建的一個別名，在客戶機瀏覽器中，虛擬目錄可以像主目錄的真實子目錄一樣被訪問，但它的實際物理位置并不處于所在網(wǎng)站的主目錄中。利用虛擬目錄可以將網(wǎng)站發(fā)布的信息文件分散保存到不同的卷或不同的計算機上，這一方面便于分別開發(fā)與維護，另一方面當信息文件移動到其他物理位置時，也不會影響站點原有的邏輯結(jié)構(gòu)?！救蝿?wù)實施】

實訓(xùn)1安裝Web服務(wù)器實訓(xùn)2利用默認網(wǎng)站發(fā)布信息文件實訓(xùn)3設(shè)置物理目錄和虛擬目錄任務(wù)8.6配置FTP服務(wù)器【任務(wù)目的】（1）理解FTP的作用和訪問過程；（2）掌握利用FTP站點發(fā)布信息文件的方法；（3）掌握FTP站點的基本設(shè)置方法；（4）掌握在客戶機訪問FTP服務(wù)器的方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝WindowsServer2012R2操作系統(tǒng)的計算機；（2）安裝Windows8或其他Windows操作系統(tǒng)的計算機；（3）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）。【相關(guān)知識】

FTP服務(wù)分為服務(wù)器端和客戶機端，常用的構(gòu)建FTP服務(wù)器的軟件有IIS自帶的FTP服務(wù)組件、Serv-U以及Linux下的vsFTP、wu-FTP等。【相關(guān)知識】

FTP協(xié)議使用的傳輸層協(xié)議為TCP，客戶機和服務(wù)器必須打開相應(yīng)的TCP端口，以建立連接。FTP服務(wù)器默認設(shè)置兩個TCP端口21和20。端口21用于監(jiān)聽FTP客戶機的連接請求，在整個會話期間，該端口將始終打開。端口20用于傳輸文件，只在數(shù)據(jù)傳輸過程中打開，傳輸完畢后將關(guān)閉。FTP客戶機將隨機使用1024~65535之間的動態(tài)端口，與FTP服務(wù)器建立會話連接及傳輸數(shù)據(jù)。【任務(wù)實施】

實訓(xùn)1安裝FTP服務(wù)器實訓(xùn)2新建FTP站點實訓(xùn)3訪問FTP站點實訓(xùn)4

FTP站點基本設(shè)置工作單元9網(wǎng)絡(luò)安全與管理隨著網(wǎng)絡(luò)應(yīng)用的不斷普及，網(wǎng)絡(luò)資源和網(wǎng)絡(luò)應(yīng)用服務(wù)日益豐富，網(wǎng)絡(luò)安全和管理問題已經(jīng)成為網(wǎng)絡(luò)建設(shè)和發(fā)展中的熱門話題。在實際網(wǎng)絡(luò)運行中，采取合理的安全措施和手段，提升網(wǎng)絡(luò)管理水平，是確保網(wǎng)絡(luò)穩(wěn)定、可靠和安全運行的基本方法。本單元的主要目標是了解常用的網(wǎng)絡(luò)安全技術(shù)；理解防火墻和防病毒軟件的作用并熟悉其基本使用方法；能夠利用Windows系統(tǒng)工具監(jiān)視網(wǎng)絡(luò)運行狀況與性能；了解網(wǎng)絡(luò)管理的基本組成和SNMP服務(wù)的安裝和配置方法。本單元主要內(nèi)容任務(wù)9.1了解常用網(wǎng)絡(luò)安全技術(shù)任務(wù)9.2認識和設(shè)置防火墻任務(wù)9.3安裝和使用防病毒軟件任務(wù)9.4監(jiān)視系統(tǒng)運行狀況與性能任務(wù)9.5安裝與測試SNMP服務(wù)任務(wù)9.1了解常用網(wǎng)絡(luò)安全技術(shù)【任務(wù)目的】（1）了解計算機網(wǎng)絡(luò)面臨的安全風(fēng)險；（2）了解常見的網(wǎng)絡(luò)攻擊手段；（3）理解計算機網(wǎng)絡(luò)采用的主要安全措施?！竟ぷ鳝h(huán)境與條件】

（1）安裝Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）；（3）MBSA工具軟件；（4）典型網(wǎng)絡(luò)工程案例及相關(guān)文檔。9.1.1網(wǎng)絡(luò)安全的基本要素計算機網(wǎng)絡(luò)的安全性問題實際上包括兩方面的內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息安全。由于計算機網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計算機網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性和可用性9.1.1網(wǎng)絡(luò)安全的基本要素1.可用性2.完整性3.可控性4.保密性5.可審查性9.1.2網(wǎng)絡(luò)面臨的安全威脅1.網(wǎng)絡(luò)結(jié)構(gòu)缺陷在現(xiàn)實應(yīng)用中，大多數(shù)網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計和實現(xiàn)都存在著安全問題，即使是看似完美的安全體系結(jié)構(gòu)，也可能會因為一個小小的缺陷或技術(shù)的升級而遭到攻擊。另外網(wǎng)絡(luò)結(jié)構(gòu)體系中的各個部件如果缺乏密切的合作，也容易導(dǎo)致整個系統(tǒng)被各個擊破。2.網(wǎng)絡(luò)軟件和操作系統(tǒng)漏洞網(wǎng)絡(luò)軟件不可能不存在缺陷和漏洞，這些缺陷和漏洞恰恰成為網(wǎng)絡(luò)攻擊的首選目標。網(wǎng)絡(luò)軟件通常需要用戶進行配置，用戶配置的不完整和不正確都會造成安全隱患。操作系統(tǒng)是網(wǎng)絡(luò)軟件的核心，其安全性直接影響到整個網(wǎng)絡(luò)的安全。然而無論哪一種操作系統(tǒng)，除存在漏洞外，其體系結(jié)構(gòu)本身就是一種不安全因素。9.1.2網(wǎng)絡(luò)面臨的安全威脅3.網(wǎng)絡(luò)協(xié)議缺陷網(wǎng)絡(luò)通信是需要協(xié)議支持的，目前普遍使用的協(xié)議是TCP/IP協(xié)議，而該協(xié)議在最初設(shè)計時并沒有考慮安全問題，不能保證通信的安全。例如IP協(xié)議是一個不可靠無連接的協(xié)議，其數(shù)據(jù)包不需要認證，也沒有建立對IP數(shù)據(jù)包中源地址的真實性進行鑒別和保密的機制，因此網(wǎng)絡(luò)攻擊者就容易采用IP欺騙的方式進行攻擊，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的真實性也就無法得到保證。4.物理威脅物理威脅是不可忽視的影響網(wǎng)絡(luò)安全的因素，它可能來源于外界有意或無意的破壞，如地震、火災(zāi)、雷擊等自然災(zāi)害，以及電磁干擾、停電、偷盜等事故。9.1.2網(wǎng)絡(luò)面臨的安全威脅5.人為的疏忽不管什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的使用和管理。如果網(wǎng)絡(luò)管理人員和用戶的安全意識淡薄，缺少高素質(zhì)的網(wǎng)絡(luò)管理人員，網(wǎng)絡(luò)安全配置不當，沒有網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范，不進行安全監(jiān)控和定期的安全檢查，都會對網(wǎng)絡(luò)安全構(gòu)成威脅。6.人為的惡意攻擊這是計算機網(wǎng)絡(luò)面臨的最大安全威脅，主要包括非法使用或破壞某一網(wǎng)絡(luò)系統(tǒng)中的資源，以及非授權(quán)使得網(wǎng)絡(luò)系統(tǒng)喪失部分或全部服務(wù)功能的行為。9.1.3常見網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)攻擊是指某人非法使用或破壞某一網(wǎng)絡(luò)系統(tǒng)中的資源，以及非授權(quán)使得網(wǎng)絡(luò)系統(tǒng)喪失部分或全部服務(wù)功能的行為，通?？梢园堰@類攻擊活動分為遠程攻擊和本地攻擊。遠程攻擊一般是指攻擊者通過Internet對目標主機發(fā)動的攻擊，其主要利用網(wǎng)絡(luò)協(xié)議或網(wǎng)絡(luò)服務(wù)的漏洞達到攻擊的目的。本地攻擊主要是指本單位的內(nèi)部人員或通過某種手段已經(jīng)入侵到本地網(wǎng)絡(luò)的外部人員對本地網(wǎng)絡(luò)發(fā)動的攻擊。9.1.3常見網(wǎng)絡(luò)攻擊手段1.掃描攻擊掃描使網(wǎng)絡(luò)攻擊的第一步，主要是利用專門工具對目標系統(tǒng)進行掃描，以獲得操作系統(tǒng)種類或版本、IP地址、域名或主機名等有關(guān)信息，然后分析目標系統(tǒng)可能存在的漏洞，找到開放端口后進行入侵。掃描包括主機掃描和端口掃描，常用的掃描方法有手工掃描和工具掃描。2.安全漏洞攻擊主要利用操作系統(tǒng)或應(yīng)用軟件自身具有的Bug進行攻擊。例如可以利用目標操作系統(tǒng)收到了超過它所能接收到的信息量時產(chǎn)生的緩沖區(qū)溢出進行攻擊等。9.1.3常見網(wǎng)絡(luò)攻擊手段3.口令入侵要破解用戶的口令通?？梢圆捎靡韵路绞剑和ㄟ^網(wǎng)絡(luò)監(jiān)聽，使用Sniffer工具捕獲主機間的通信來獲取口令。暴力破解，利用JohntheRipper、L0phtCrack5等工具破解用戶口令。利用管理員的失誤。4.木馬程序木馬是一個通過端口進行通信的網(wǎng)絡(luò)客戶機/服務(wù)器程序，可以通過某種方式使木馬程序的客戶端駐留在目標計算機里，可以隨計算機啟動而啟動，從而實現(xiàn)對目標計算機遠程操作。9.1.3常見網(wǎng)絡(luò)攻擊手段5.DoS攻擊

DoS（DenialofService，拒絕服務(wù)攻擊）的主要目標是使目標主機耗盡系統(tǒng)資源（帶寬、內(nèi)存、隊列、CPU等），從而阻止授權(quán)用戶的正常訪問（慢、不能連接、沒有響應(yīng)），最終導(dǎo)致目標主機死機。9.1.4常用網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全涉及各個方面，在技術(shù)方面包括計算機技術(shù)、通信技術(shù)和安全技術(shù)；在安全基礎(chǔ)理論方面包括數(shù)學(xué)、密碼學(xué)等多個學(xué)科；除了技術(shù)之外，還包括管理和法律等方面。解決網(wǎng)絡(luò)安全問題必須進行全面的考慮，包括：采取安全的技術(shù)、加強安全檢測與評估、構(gòu)筑安全體系結(jié)構(gòu)、加強安全管理、制定網(wǎng)絡(luò)安全方面的法律和法規(guī)等。9.1.4常用網(wǎng)絡(luò)安全措施（1）訪問控制（2）數(shù)據(jù)加密（3）數(shù)字簽名（4）數(shù)據(jù)備份（5）病毒防御（6）系統(tǒng)漏洞檢測與安全評估（7）部署防火墻（8）部署IDS（9）部署IPS（10）部署VPN（11）部署UTM【任務(wù)實施】

實訓(xùn)1掃描Windows系統(tǒng)的安全風(fēng)險目前有很多專用軟件可以對系統(tǒng)中的安全風(fēng)險進行檢查，MBSA是一款簡單易用的工具，可以幫助中小型企業(yè)根據(jù)Microsoft公司的安全建議確定其安全狀態(tài)，并根據(jù)狀態(tài)提供具體的修正指導(dǎo)。請利用MBSA對一臺計算機或一組計算機進行系統(tǒng)安全風(fēng)險檢測。實訓(xùn)2分析網(wǎng)絡(luò)采用的安全措施請根據(jù)實際條件，考察典型網(wǎng)絡(luò)工程案例，查閱該網(wǎng)絡(luò)的相關(guān)技術(shù)文檔，根據(jù)所學(xué)的知識，分析該網(wǎng)絡(luò)可能出現(xiàn)的安全隱患，了解該網(wǎng)絡(luò)所采用的主要安全措施，了解該網(wǎng)絡(luò)所采用的主要網(wǎng)絡(luò)安全防御系統(tǒng)的基本功能、特點以及部署和使用情況。任務(wù)9.2認識和設(shè)置防火墻【任務(wù)目的】（1）了解防火墻的功能和類型；（2）理解防火墻組網(wǎng)的常見形式；（3）熟悉Windows系統(tǒng)內(nèi)置防火墻的啟動和設(shè)置方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機軟件）；（3）典型網(wǎng)絡(luò)工程案例及相關(guān)文檔。9.2.1防火墻的功能防火墻能防止非法用戶進入內(nèi)部網(wǎng)絡(luò)，禁止安全性低的服務(wù)進出網(wǎng)絡(luò)，并抗擊來自各方面的攻擊。能夠利用NAT（網(wǎng)絡(luò)地址變換）技術(shù)，既實現(xiàn)了私有地址與共有地址的轉(zhuǎn)換，又隱藏了內(nèi)部網(wǎng)絡(luò)的各種細節(jié)，提高了內(nèi)部網(wǎng)絡(luò)的安全性。能夠通過僅允許“認可的”和符合規(guī)則的請求通過的方式來強化安全策略，實現(xiàn)計劃的確認和授權(quán)。所有經(jīng)過防火墻的流量都可以被記錄下來，可以方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生日志和報警。防火墻是審計和記錄Internet使用費用的一個最佳地點，也是網(wǎng)絡(luò)中的安全檢查點。防火墻可以允許用戶通過Internet訪問WWW和FTP等提供公共服務(wù)的服務(wù)器，而禁止外部對內(nèi)部網(wǎng)絡(luò)上的其他系統(tǒng)或服務(wù)的訪問。9.2.2防火墻的實現(xiàn)技術(shù)1.包過濾型防火墻數(shù)據(jù)包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。9.2.2防火墻的實現(xiàn)技術(shù)2.應(yīng)用層代理防火墻應(yīng)用層代理防火墻技術(shù)是在網(wǎng)絡(luò)的應(yīng)用層實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、記錄和統(tǒng)計，形成報告。應(yīng)用層代理防火墻能夠理解應(yīng)用層上的協(xié)議，進行復(fù)雜一些的訪問控制，但其最大的缺點是每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，當用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，應(yīng)用層代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。9.2.3防火墻的組網(wǎng)方式1.邊緣防火墻結(jié)構(gòu)邊緣防火墻結(jié)構(gòu)是以防火墻為網(wǎng)絡(luò)邊緣，分別連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（Internet）的網(wǎng)絡(luò)結(jié)構(gòu)，9.2.3防火墻的組網(wǎng)方式2.三向外圍網(wǎng)絡(luò)結(jié)構(gòu)在三向外圍網(wǎng)絡(luò)結(jié)構(gòu)中，防火墻有三個網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)（也稱DMZ區(qū)、網(wǎng)絡(luò)隔離區(qū)或被篩選的子網(wǎng)）9.2.3防火墻的組網(wǎng)方式3.前端防火墻和后端防火墻結(jié)構(gòu)在這種結(jié)構(gòu)中，前端防火墻負責連接外圍網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，后端防火墻負責連接外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)9.2.4

Windows防火墻

Windows系統(tǒng)內(nèi)置了Windows防火墻，它可以為計算機提供保護。在Windows系統(tǒng)中，不同的網(wǎng)絡(luò)位置可以有不同的Windows防火墻設(shè)置，因此為了增加計算機在網(wǎng)絡(luò)內(nèi)的安全，管理員應(yīng)將計算機設(shè)置在適當?shù)木W(wǎng)絡(luò)位置。可以選擇的網(wǎng)絡(luò)位置主要包括：1.專用網(wǎng)專用網(wǎng)包含家庭網(wǎng)絡(luò)和工作網(wǎng)絡(luò)。在該網(wǎng)絡(luò)位置中，系統(tǒng)會啟用網(wǎng)絡(luò)搜索功能使用戶在本地計算機上可以找到該網(wǎng)絡(luò)上的其他計算機；同時也會通過設(shè)置Windows防火墻（開放傳入的網(wǎng)絡(luò)搜索流量）使網(wǎng)絡(luò)內(nèi)其他用戶能夠瀏覽到本地計算機。9.2.4

Windows防火墻2.公用網(wǎng)絡(luò)公用網(wǎng)絡(luò)主要指外部的不安全的網(wǎng)絡(luò)（如機場、咖啡店的網(wǎng)絡(luò)）。在該網(wǎng)絡(luò)位置中，系統(tǒng)會通過Windows防火墻的保護，使其他用戶無法在網(wǎng)絡(luò)上瀏覽到本地計算機，并可以阻止來自Internet的攻擊行為；同時也會禁用網(wǎng)絡(luò)搜索功能，使用戶在本地計算機上也無法找到網(wǎng)絡(luò)上其他計算機?！救蝿?wù)實施】

實訓(xùn)1設(shè)置Windows防火墻實訓(xùn)2認識企業(yè)級網(wǎng)絡(luò)防火墻

Windows防火墻并不是網(wǎng)絡(luò)防火墻。企業(yè)級網(wǎng)絡(luò)防火墻可以分為硬件防火墻和軟件防火墻。一般說來，軟件防火墻具有比硬件防火墻更靈活的性能，但是需要相應(yīng)硬件平臺和操作系統(tǒng)的支持；而硬件防火墻經(jīng)過廠商的預(yù)先包裝，啟動及運作要比軟件防火墻快得多。請根據(jù)實際條件，考察典型網(wǎng)絡(luò)工程案例，了解該網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)防火墻產(chǎn)品，了解該網(wǎng)絡(luò)防火墻的特點以及在實際網(wǎng)絡(luò)中的部署情況，體會網(wǎng)絡(luò)防火墻的功能和組網(wǎng)方法。任務(wù)9.3安裝和使用防病毒軟件【任務(wù)目的】（1）了解計算機病毒的傳播方式和防御方法；（2）理解局域網(wǎng)中常用的防病毒方案；（3）熟悉典型防病毒軟件的安裝和使用方法?！竟ぷ鳝h(huán)境與條件】

（1）安裝Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMware等虛擬機軟件）；（3）典型網(wǎng)絡(luò)工程案例及相關(guān)文檔。9.3.1計算機病毒的傳播方式計算機病毒的傳播主要有以下幾種方式：通過不可移動的計算機硬件設(shè)備進行傳播，即利用專用的ASIC芯片和硬盤進行傳播。這種病毒雖然很少，但破壞力極強，沒有很好的檢測手段。通過移動存儲設(shè)備進行傳播，即利用U盤、移動硬盤等進行傳播。通過計算機網(wǎng)絡(luò)進行傳播。隨著Internet的發(fā)展，計算機病毒也走上了高速傳播之路，通過網(wǎng)絡(luò)傳播已經(jīng)成為計算機病毒傳播的第一途徑。計算機病毒通過網(wǎng)絡(luò)傳播的方式主要有通過共享資源傳播、通過網(wǎng)頁惡意腳本傳播、通過電子郵件傳播等。通過點對點通信系統(tǒng)和無線通道傳播。9.3.2計算機病毒的防御1.防御計算機病毒的原則 建立正確的防毒觀念，學(xué)習(xí)有關(guān)病毒與防病毒知識。不要隨便下載網(wǎng)絡(luò)上的軟件，尤其是不要下載那些來自無名網(wǎng)站的免費軟件，因為這些軟件無法保證沒有被病毒感染。使用防病毒軟件，及時升級防病毒軟件的病毒庫，開啟病毒實時監(jiān)控。不使用盜版軟件。不隨便使用他人的U盤或光盤，盡量做到專機專盤專用。不隨便訪問不安全的網(wǎng)絡(luò)站點。

9.3.2計算機病毒的防御使用新設(shè)備和新軟件之前要檢查病毒，未經(jīng)檢查的外來文件不能復(fù)制到硬盤，更不能使用。養(yǎng)成備份重要文件的習(xí)慣，有計劃的備份重要數(shù)據(jù)和系統(tǒng)文件，用戶數(shù)據(jù)不應(yīng)存儲到系統(tǒng)盤上。按照防病毒軟件的要求制作應(yīng)急盤/急救盤/恢復(fù)盤，以便恢復(fù)系統(tǒng)急用。在應(yīng)急盤/急救盤/恢復(fù)盤上存儲有關(guān)系統(tǒng)的重要信息數(shù)據(jù)，如硬盤主引導(dǎo)區(qū)信息、引導(dǎo)區(qū)信息、CMOS的設(shè)備信息等。隨時注意計算機的各種異?，F(xiàn)象，一旦發(fā)現(xiàn)應(yīng)立即使用防病毒軟件進行檢查。9.3.2計算機病毒的防御2.計算機病毒的解決方法不同類型的計算機病毒有不同的解決方法。對于普通用戶來說，一旦發(fā)現(xiàn)計算機中毒，應(yīng)主要依靠防病毒軟件對病毒進行查殺。查殺時應(yīng)注意以下問題：在查殺病毒之前，應(yīng)備份重要的數(shù)據(jù)文件。啟動防病毒軟件后，應(yīng)對系統(tǒng)內(nèi)存及磁盤系統(tǒng)等進行掃描。發(fā)現(xiàn)病毒后，一般應(yīng)使用防病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將該文件刪除，然后重新安裝相應(yīng)的應(yīng)用程序。某些病毒在Windows系統(tǒng)正常模式下可能無法完全清除，此時可能需要通過重新啟動計算機、進入安全模式或使用急救盤等方式運行防病毒軟件進行清除。9.3.3局域網(wǎng)防病毒方案1.分布式防病毒方案在這種方案中，局域網(wǎng)的服務(wù)器和客戶機分別安裝單機版的防病毒軟件，這些防病毒軟件之間沒有任何聯(lián)系，可以是不同廠商的產(chǎn)品。9.3.3局域網(wǎng)防病毒方案2.集中式防病毒方案集中式防病毒方案通常由防病毒軟件的服務(wù)器端和工作站端組成，通?？梢岳镁W(wǎng)絡(luò)中的任意一臺主機構(gòu)建防病毒服務(wù)器，其他計算機安裝防病毒軟件的工作站端并接受防病毒服務(wù)器的管理。【任務(wù)實施】

實訓(xùn)1安裝和使用防病毒軟件在對等網(wǎng)中主要采用分布式防病毒方案，也就是在網(wǎng)絡(luò)中的計算機上分別安裝單機版的防病毒軟件。目前常用的防病毒軟件很多，請根據(jù)實際條件完成單機版的防病毒軟件的安裝和使用。實訓(xùn)2分析網(wǎng)絡(luò)防病毒方案請根據(jù)實際條件，考察典型網(wǎng)絡(luò)工程案例，了解該網(wǎng)絡(luò)所使用的防病毒方案和相關(guān)產(chǎn)品，了解其在實際網(wǎng)絡(luò)中的部署情況。任務(wù)9.4監(jiān)視系統(tǒng)運行狀況與性能【任務(wù)目的】（1）熟悉Windows事件查看器的使用方法；（2）熟悉Windows性能監(jiān)視器的使用方法；（3）熟悉遠程桌面的使用方法；（4）能夠使用Windows系統(tǒng)常用命令監(jiān)視系統(tǒng)運行狀況?！竟ぷ鳝h(huán)境與條件】

（1）安裝Windows操作系統(tǒng)的計算機；（2）能夠正常運行的網(wǎng)絡(luò)環(huán)境（也可使用VMwareWorkstation等虛擬機軟件）。9.4.1

Windows事件日志文件當Windows操作系統(tǒng)出現(xiàn)運行錯誤、用戶登錄/注銷的行為或者應(yīng)用程序發(fā)出錯誤信息等情況時，會將這些事件記錄到“事件日志文件”中。管理員可以利用“事件查看器”檢查這些日志，查看到底發(fā)生了什么情況，以便做進一步的處理。9.4.1

Windows事件日志文件在Windows操作系統(tǒng)中主要包括以下事件日志文件：系統(tǒng)日志：Windows操作系統(tǒng)會主動將系統(tǒng)所產(chǎn)生的錯誤（例如網(wǎng)卡故障）、警告（例如硬盤快沒有可用空間了）與系統(tǒng)信息（例如某個系統(tǒng)服務(wù)已啟動）等信息記錄到系統(tǒng)日志內(nèi)。安全日志：該日志會記錄利用“審核策略”所設(shè)置的事件，例如，某個用戶是否曾經(jīng)