網(wǎng)絡(luò)安全協(xié)議分析與案例實(shí)踐0.0

1、網(wǎng)絡(luò)安全協(xié)議分析與案例實(shí)踐,授課：蔣浪QQ：846516087電話：15985298529,本書簡要概述以及學(xué)習(xí)目的,1.本書總共分為七大章節(jié)，分別說明了網(wǎng)絡(luò)當(dāng)中相關(guān)的網(wǎng)絡(luò)協(xié)議所對應(yīng)的層次關(guān)系。2.學(xué)習(xí)內(nèi)容大多屬于理論和一些思科模擬器實(shí)驗(yàn)拓?fù)涞拿钚胁僮鳌?為什么要學(xué)習(xí)網(wǎng)絡(luò)安全？,主要目的：保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，使之不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)

2、不中斷。之所以提出網(wǎng)絡(luò)安全，緣于網(wǎng)絡(luò)攻擊的普遍就比如上有政策下有對策，現(xiàn)在的互聯(lián)網(wǎng)存在很多安全威脅。網(wǎng)絡(luò)安全攻擊會在它們的復(fù)雜性和威脅水平上具有不同程度的改變，這也是網(wǎng)絡(luò)安全的復(fù)雜性之根本。一些常見的攻擊：,,應(yīng)用層攻擊：這些攻擊通常瞄準(zhǔn)運(yùn)行在服務(wù)器上的軟件漏洞，而這些漏洞都是很熟知的。各種目標(biāo)包括FTP，發(fā)送郵件，HTTP。Autorooters：惡意者使用某種叫做rootkit的東西探測，掃描并從目標(biāo)主機(jī)上捕獲數(shù)據(jù)，使得用戶數(shù)

3、據(jù)變得透明，它可以監(jiān)視著整個(gè)系統(tǒng)。后門程序：通往一個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)的簡潔的路徑。經(jīng)過簡單入侵或是精心設(shè)計(jì)的木馬，惡意者可使用植入攻擊進(jìn)入一臺指定的主機(jī)或是一個(gè)網(wǎng)絡(luò)。DoS和DDoS攻擊：最常見的網(wǎng)絡(luò)攻擊，卻形式多樣，而且非常讓人厭煩。IP欺騙：黑客以你的內(nèi)部網(wǎng)絡(luò)可信地址范圍中的IP地址呈現(xiàn)或者使用一個(gè)核準(zhǔn)的，可信的外部IP地址，來偽裝成一臺可信的主機(jī)。中間人攻擊：簡單說就是使用工具攔截你要發(fā)送的數(shù)據(jù)。網(wǎng)絡(luò)偵查：針對待攻擊的網(wǎng)絡(luò)收

4、集相關(guān)的信息，做更深入的了解，便于實(shí)施攻擊。包嗅探：他通過網(wǎng)絡(luò)適配卡開始工作與混雜模式，它發(fā)送的所有包都可以被一個(gè)特殊的應(yīng)用程序從網(wǎng)絡(luò)物理層獲取，并進(jìn)行查看積分類。口令攻擊：通過多種方式發(fā)現(xiàn)用戶口令，偽裝成合法用戶，訪問用戶的特許操作及資源。強(qiáng)暴攻擊：是一種面向軟件的攻擊。端口重定向攻擊：這種方法要求黑客已經(jīng)侵入主機(jī)，并經(jīng)由防火墻得到被改變的流量。病毒攻擊：常見，難防。時(shí)效性。信任利用攻擊：這種攻擊發(fā)生在內(nèi)網(wǎng)之中，有某些人利

5、用內(nèi)網(wǎng)中的可信關(guān)系來實(shí)施。綜上所述，簡單來說，正是由于各種網(wǎng)絡(luò)威脅的盛行，才使得網(wǎng)絡(luò)安全與維護(hù)顯得尤為重要。,,,第1章：基礎(chǔ)知識與物理安全,內(nèi)容提要,2016年全球十大網(wǎng)絡(luò)安全事故信息安全三要素OSI模型以及TCP/IP概要講解常用基本概念物理安全建議簡要提及維護(hù)網(wǎng)絡(luò)安全的方法,,No.1：俄羅斯央行遭黑客攻擊 3100萬美元不翼而飛12月，俄羅斯中央銀行官員瑟喬夫證實(shí)，該行電腦系統(tǒng)遭到了黑客入侵，犯罪分子從銀行的代理賬

6、戶中竊走了20億盧布(約合3100萬美元)的資金。瑟喬夫透露，黑客是通過偽造一名用戶的證書進(jìn)入的這些賬戶。緊接著，俄羅斯第二大銀行VTB再遭黑客攻擊，幸運(yùn)的是，銀行方面的防御體系成功擊退了指向其業(yè)務(wù)系統(tǒng)的DDoS攻擊，未造成資金損失。No.2：德國90萬家庭斷網(wǎng) 遭黑客蓄意入侵11月，德國電信遭遇一次大范圍的網(wǎng)絡(luò)故障。2000萬固定網(wǎng)絡(luò)用戶中的大約90萬路由器發(fā)生故障(約4.5%)，并由此導(dǎo)致大面積網(wǎng)絡(luò)訪問受限。德國電信進(jìn)一步確認(rèn)了

7、問題是由于路由設(shè)備的維護(hù)界面被暴露在互聯(lián)網(wǎng)上、并且互聯(lián)網(wǎng)上正在發(fā)生針對性的攻擊而導(dǎo)致。No.3：舊金山地鐵被勒索軟件攻擊 乘客免費(fèi)乘坐地鐵11月，舊金山的Municipal地的電腦票價(jià)系統(tǒng)遭到黑客攻擊，黑客索要100比特幣作為贖金。盡管舊金山地鐵沒有公布案件調(diào)查進(jìn)展信息，但我們能從中看出這是一次惡意的黑客勒索軟件攻擊事件，若要恢復(fù)地鐵票價(jià)系統(tǒng)就需要進(jìn)行比特幣贖金交易。盡管黑客已經(jīng)開設(shè)好比特幣錢包等待舊金山地鐵的支付，但舊金山地鐵并未

8、向黑客支付任何費(fèi)用，在所有地鐵購票機(jī)器工作失常后，舊金山地鐵干脆開放地鐵，允許乘客免費(fèi)乘坐。,,No.4：美國遭史上最大規(guī)模DDoS攻擊、東海岸網(wǎng)站集體癱瘓 10月，惡意軟件Mirai控制的僵尸網(wǎng)絡(luò)對美國域名服務(wù)器管理服務(wù)供應(yīng)商Dyn發(fā)起DDoS攻擊，從而導(dǎo)致許多網(wǎng)站在美國東海岸地區(qū)宕機(jī)，如GitHub、Twitter、PayPal等，用戶無法通過域名訪問這些站點(diǎn)。事件發(fā)生后，360與全球安全社區(qū)一起參與了這次事件的追蹤、分析、溯源

9、和響應(yīng)處置，利用360公司的惡意掃描源數(shù)據(jù)，率先發(fā)現(xiàn)并持續(xù)追蹤溯源了這個(gè)由攝像頭等智能設(shè)備組成的僵尸網(wǎng)站。360也是唯一參與全球協(xié)同處置該事件的中國機(jī)構(gòu)No.5：希拉里郵件門事件 2015年年初，郵件門事件首次被曝光，希拉里在2009年至2013年擔(dān)任美國國務(wù)卿期間，違規(guī)使用私人電子郵箱和位于家中的私人服務(wù)器收發(fā)大量涉密的郵件. 涉嫌違反美國《聯(lián)邦檔案法》，面臨調(diào)查時(shí)又匆匆刪除。2016年夏季，美國民主黨全國委員會、籌款委員會、競

10、選團(tuán)隊(duì)被黑客組織入侵，近2萬封郵件被維基解密披露。郵件顯示，希拉里涉嫌抹黑競爭對手，以及可能涉嫌洗錢等財(cái)務(wù)問題。10月28日，大胖子黑客Kim Dotcom翻出了被希拉里刪除的郵件，導(dǎo)致FBI重新開始調(diào)查希拉里郵件門事件，這對于大選前夕的希拉里來說，頻發(fā)傳出的負(fù)面消息導(dǎo)致曾人氣領(lǐng)先的希拉里惜敗。No.6：雅虎曝史上最大規(guī)模信息泄露 5億用戶資料被竊 9月，雅虎突然宣稱其至少5億條用戶信息被黑客盜取，其中包括用戶姓名、電子郵箱、電話

11、號碼、出生日期和部分登錄密碼。并建議所有雅虎用戶及時(shí)更改密碼。此次雅虎信息泄漏事件被稱為史上最大規(guī)?；ヂ?lián)網(wǎng)信息泄露事件，也讓正在出售核心業(yè)務(wù)的雅虎再受重創(chuàng)。11月，在提交給SEC(美國證券交易委員會)的文件顯示，雅虎提醒投資者注意，Verizon可能會因?yàn)榇笠?guī)模電子郵件被黑事件而放棄48億美元收購雅虎的交易。,,No.7：美國國家安全局陷入斯諾登之后最大泄密風(fēng)波繼斯諾登泄密風(fēng)波之后，美國國家安全局(NSA)再次敲響內(nèi)部威脅警鐘。NSA

12、承包商哈羅德?馬丁于8月27日因竊取國安局?jǐn)?shù)據(jù)被捕，馬丁與曾揭露美國政府大規(guī)模監(jiān)聽行動的斯諾登受雇于同一家公司，馬丁還被懷疑掌握了NSA的“源代碼”，這些源代碼通常被用來入侵俄羅斯、中國、伊朗等國的網(wǎng)絡(luò)系統(tǒng)。調(diào)查人員在馬丁家中和車內(nèi)搜出美國政府高度機(jī)密文件的復(fù)印文本和數(shù)字文檔，其中數(shù)字文檔至少有幾TB，還包括6份“敏感情報(bào)”。美國司法部檢察官說，如果在未經(jīng)授權(quán)的情況下泄露這些高度機(jī)密文件，美國國家安全將遭受“極為嚴(yán)重”的損害。No.8

13、：全球銀行業(yè)使用的恐怖嫌疑人數(shù)據(jù)庫被泄露6月，一個(gè)包含約220萬條恐怖分子與“高風(fēng)險(xiǎn)個(gè)人及實(shí)體”記錄的數(shù)據(jù)庫被泄露在互聯(lián)網(wǎng)上。研究人員 Chris Vickery 在 Reddit 上稱他成功獲取到了一份2014版的 World-Check 的機(jī)密數(shù)據(jù)庫，銀行、政府及情報(bào)機(jī)構(gòu)使用該數(shù)據(jù)庫進(jìn)行全球范圍的風(fēng)險(xiǎn)掃描，數(shù)據(jù)庫信息包括了恐怖分子嫌疑人。據(jù) World-Check 的經(jīng)營者 Thomson Reuters稱，他為約4500所機(jī)構(gòu)提

14、供服務(wù)，其中包括世界50大銀行中的49家，以及超過300個(gè)政府、情報(bào)機(jī)構(gòu)以及律師事務(wù)所。雖然歐洲隱私法所強(qiáng)烈限制了訪問 World-Check 的數(shù)據(jù)庫的行為，但是 Reuters 稱有未知第三方在網(wǎng)上曝光了該數(shù)據(jù)庫的老版本數(shù)據(jù)。No.9：德國核電站檢測出惡意程序被迫關(guān)閉4月，德國Gundremmingen核電站的計(jì)算機(jī)系統(tǒng)，在常規(guī)安全檢測中發(fā)現(xiàn)了惡意程序。核電站的操作員RWE為防不測，關(guān)閉了發(fā)電廠，雖然仍然對外表示，并沒有發(fā)生什么

15、嚴(yán)重的問題。Gundremmingen核電站官方發(fā)布的新聞稿稱，此惡意程序是在核電站負(fù)責(zé)燃料裝卸系統(tǒng)的Block B IT網(wǎng)絡(luò)中發(fā)現(xiàn)的。據(jù)說該惡意程序僅感染了計(jì)算機(jī)的IT系統(tǒng)，而沒有涉及到與核燃料交互的ICS/SCADA設(shè)備。核電站表示，此設(shè)施的角色是裝載和卸下核電站Block B的核燃料，隨后將舊燃料轉(zhuǎn)至存儲池,,No.10：SWIFT黑客事件爆發(fā) 多家銀行損失巨款2月，孟加拉國中央銀行在美國紐約聯(lián)邦儲備銀行開設(shè)的賬戶2月初遭黑客攻

16、擊，失竊8100萬美元。據(jù)相關(guān)執(zhí)法部門調(diào)查，贓款幾經(jīng)分批中轉(zhuǎn)，最終流入菲律賓兩家賭場和一名賭團(tuán)中介商的賬戶，隨后很可能變成一堆籌碼，就此消失無蹤。而孟加拉央行并非個(gè)案，2015年1月，黑客攻擊了厄瓜多爾南方銀行，利用SWIFT系統(tǒng)轉(zhuǎn)移了1200萬美元;2015年底越南先鋒商業(yè)股份銀行也被曝出黑客攻擊未遂案件。,,,要求信息網(wǎng)絡(luò)具有：可用性、完整性、私密性；私密性：保障通信私密性的常見方法為數(shù)據(jù)加密.完整性：信息傳輸過程中沒有遭到篡改

17、.可用性：讓合法的用戶可以訪問到相應(yīng)的資源.,,,,,,Internet,實(shí)體安全,信息安全,運(yùn)行安全,OSI模型簡述圖,OSI模型詳解：1.OSI七層模型背景：1983年 由ISO提出并標(biāo)準(zhǔn)化2.各層作用：~1.應(yīng)用層 a功能：提供用戶接入的借口。 b軟件：QQ/微信/瀏覽器/迅雷/阿里巴巴等 C協(xié)議：http、https、OICQ、Telnet/SSH ~

18、2.表示層 a功能：提供數(shù)據(jù)顯示。主要包括三點(diǎn)數(shù)據(jù)的格式、壓縮、加密。其中數(shù)據(jù)的格式又包括*1圖片格式：jpg、png、gif。*2視頻格式：flv、rmvb、mkv、avi、wmv。*3文件格式：doc、ppt、kls等。~3.會話層功能：提供會話管理，主要包含三點(diǎn)。

19、建立會話、保持會話、刪除會話~4.傳輸層a功能:提供了可靠的端到端連接。 b協(xié)議：TCP和UDP協(xié)議，如何區(qū)分TCP和UDP協(xié)議可以用簡單的兩個(gè)例子：UDP協(xié)議例子*飛鴿傳書：協(xié)議不可靠；不可控、不可重傳、無反饋信息。TCP協(xié)議例子*網(wǎng)購/電子商務(wù)：協(xié)議可靠；可追蹤、可數(shù)據(jù)重發(fā)、可調(diào)控。,,~5.網(wǎng)絡(luò)層a功能：提供了三層尋址、三層數(shù)據(jù)轉(zhuǎn)發(fā)功能b協(xié)議：IP協(xié)議c設(shè)備：路由器~6.鏈路層a功能：提供了二層尋址、二層數(shù)據(jù)轉(zhuǎn)

20、發(fā)功能b協(xié)議：Ethernet / Token Ring（令牌網(wǎng)）~7.物理層a功能：提供物理規(guī)范。主要包括：1線纜設(shè)備；同軸電纜、光纖、無線2接口標(biāo)準(zhǔn)：RJ45用雙絞線，RJ11用于電話線——目前屬于淘汰的接口OSI功能總結(jié)1.分層分工2.標(biāo)準(zhǔn)化（流程化）3.物理框架（易于問題分析、排錯(cuò)）,,TCP/IP協(xié)議：Transmission Control Protocol/Internet Protocol的簡寫，

21、中譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又名網(wǎng)絡(luò)通訊協(xié)議，是Internet最基本的協(xié)議、Internet國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成。TCP/IP 定義了電子設(shè)備如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。協(xié)議采用了4層的層級結(jié)構(gòu)，每一層都呼叫它的下一層所提供的協(xié)議來完成自己的需求。通俗而言：TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯栴}，一有問題就發(fā)出信號，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給

22、因特網(wǎng)的每一臺聯(lián)網(wǎng)設(shè)備規(guī)定一個(gè)地址。IP： IP層接收由更低層（網(wǎng)絡(luò)接口層例如以太網(wǎng)設(shè)備驅(qū)動程序）發(fā)來的數(shù)據(jù)包，并把該數(shù)據(jù)包發(fā)送到更高層---TCP或UDP層；相反，IP層也把從TCP或UDP層接收來的數(shù)據(jù)包傳送到更低層。IP數(shù)據(jù)包是不可靠的，因?yàn)镮P并沒有做任何事情來確認(rèn)數(shù)據(jù)包是否按順序發(fā)送的或者有沒有被破壞，IP數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址（源地址）和接收它的主機(jī)的地址（目的地址）,,高層的TCP和UDP服務(wù)在接收數(shù)據(jù)包時(shí)，

23、通常假設(shè)包中的源地址是有效的。也可以這樣說，IP地址形成了許多服務(wù)的認(rèn)證基礎(chǔ)，這些服務(wù)相信數(shù)據(jù)包是從一個(gè)有效的主機(jī)發(fā)送來的。IP確認(rèn)包含一個(gè)選項(xiàng)，叫作IP source routing，可以用來指定一條源地址和目的地址之間的直接路徑。對于一些TCP和UDP的服務(wù)來說，使用了該選項(xiàng)的IP包好像是從路徑上的最后一個(gè)系統(tǒng)傳遞過來的，而不是來自于它的真實(shí)地點(diǎn)。這個(gè)選項(xiàng)是為了測試而存在的，說明了它可以被用來欺騙系統(tǒng)來進(jìn)行平常是被禁止的連接。那么，

24、許多依靠IP源地址做確認(rèn)的服務(wù)將產(chǎn)生問題并且會被非法入侵。TCP： TCP是面向連接的通信協(xié)議，通過三次握手建立連接，通訊完成時(shí)要拆除連接，由于TCP是面向連接的所以只能用于端到端的通訊。TCP提供的是一種可靠的數(shù)據(jù)流服務(wù)，采用“帶重傳的肯定確認(rèn)”技術(shù)來實(shí)現(xiàn)傳輸?shù)目煽啃?。TCP還采用一種稱為“滑動窗口”的方式進(jìn)行流量控制，所謂窗口實(shí)際表示接收能力，用以限制發(fā)送方的發(fā)送速度。如果IP數(shù)據(jù)包中有已經(jīng)封好的TCP數(shù)據(jù)包，那么IP將把它們

25、向‘上’傳送到TCP層。TCP將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。TCP數(shù)據(jù)包中包括序號和確認(rèn)，所以未按照順序收到的包可以被排序，而損壞的包可以被重傳。,,TCP將它的信息送到更高層的應(yīng)用程序，例如Telnet的服務(wù)程序和客戶程序。應(yīng)用程序輪流將信息送回TCP層，TCP層便將它們向下傳送到IP層，設(shè)備驅(qū)動程序和物理介質(zhì)，最后到接收方。面向連接的服務(wù)（例如Telnet、FTP、rlogin、X Windows和SMTP）需要高

26、度的可靠性，所以它們使用了TCP。DNS在某些情況下使用TCP（發(fā)送和接收域名數(shù)據(jù)庫），但使用UDP傳送有關(guān)單個(gè)主機(jī)的信息。UDP：UDP是面向無連接的通訊協(xié)議，UDP數(shù)據(jù)包括目的端口號和源端口號信息，由于通訊不需要連接，所以可以實(shí)現(xiàn)廣播發(fā)送。UDP通訊時(shí)不需要接收方確認(rèn)，屬于不可靠的傳輸，可能會出現(xiàn)丟包現(xiàn)象，實(shí)際應(yīng)用中要求程序員編程驗(yàn)證。UDP與TCP位于同一層，但它不管數(shù)據(jù)包的順序、錯(cuò)誤或重發(fā)。因此，UDP不被應(yīng)用于那些使用

27、虛電路的面向連接的服務(wù)，UDP主要用于那些面向查詢---應(yīng)答的服務(wù)，例如NFS。相對于FTP或Telnet，這些服務(wù)需要交換的信息量較小。使用UDP的服務(wù)包括NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）和DNS（DNS也使用TCP）。欺騙UDP包比欺騙TCP包更容易，因?yàn)閁DP沒有建立初始化連接（也可以稱為握手）（因?yàn)樵趦蓚€(gè)系統(tǒng)間沒有虛電路），也就是說，與UDP相關(guān)的服務(wù)面臨著更大的危險(xiǎn)。,,通訊端口：TCP和UDP服務(wù)通常有一個(gè)客戶/服務(wù)器的關(guān)系，例如

28、，一個(gè)Telnet服務(wù)進(jìn)程開始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。用戶使用Telnet客戶程序與服務(wù)進(jìn)程建立一個(gè)連接?？蛻舫绦蛳蚍?wù)進(jìn)程寫入信息，服務(wù)進(jìn)程讀出信息并發(fā)出響應(yīng)，客戶程序讀出響應(yīng)并向用戶報(bào)告。因而，這個(gè)連接是雙工的，可以用來進(jìn)行讀寫。兩個(gè)系統(tǒng)間的多重Telnet連接是如何相互確認(rèn)并協(xié)調(diào)一致呢？TCP或UDP連接唯一地使用每個(gè)信息中的如下四項(xiàng)進(jìn)行確認(rèn)：源IP地址 發(fā)送包的IP地址。目的IP地址 接收包的IP地址。源端口

29、源系統(tǒng)上的連接的端口。目的端口 目的系統(tǒng)上的連接的端口。端口是一個(gè)軟件結(jié)構(gòu)，被客戶程序或服務(wù)進(jìn)程用來發(fā)送和接收信息。一個(gè)端口對應(yīng)一個(gè)16比特的數(shù)。服務(wù)進(jìn)程通常使用一個(gè)固定的端口，例如，SMTP使用25、Xwindows使用6000。這些端口號是‘廣為人知’的，因?yàn)樵诮⑴c特定的主機(jī)或服務(wù)的連接時(shí)，需要這些地址和目的地址進(jìn)行通訊。,,數(shù)據(jù)格式：數(shù)據(jù)幀：幀頭+IP數(shù)據(jù)包+幀尾 （幀頭包括源和目標(biāo)主機(jī)MAC初步地址及類型，幀尾是校驗(yàn)字）

30、IP數(shù)據(jù)包：IP頭部+TCP數(shù)據(jù)信息（IP頭包括源和目標(biāo)主機(jī)IP地址、類型、生存期等）TCP數(shù)據(jù)信息：TCP頭部+實(shí)際數(shù)據(jù) (TCP頭包括源和目標(biāo)主機(jī)端口號、順序號、確認(rèn)號、校驗(yàn)字等）IP地址：在Internet上連接的所有計(jì)算機(jī)，從大型機(jī)到微型計(jì)算機(jī)都是以獨(dú)立的身份出現(xiàn)，我們稱它為主機(jī)。為了實(shí)現(xiàn)各主機(jī)間的通信，每臺主機(jī)都必須有一個(gè)唯一的網(wǎng)絡(luò)地址。就好像每一個(gè)住宅都有唯一的門牌一樣，才不至于在傳輸資料時(shí)出現(xiàn)混亂。Interne

31、t的網(wǎng)絡(luò)地址是指連入Internet網(wǎng)絡(luò)的計(jì)算機(jī)的地址編號。所以，在Internet網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址唯一地標(biāo)識一臺計(jì)算機(jī)。IP地址是一個(gè)32位的二進(jìn)制地址，為了便于記憶，將它們分為4組，每組8位，由小數(shù)點(diǎn)分開，用四個(gè)字節(jié)來表示，而且，用點(diǎn)分開的每個(gè)字節(jié)的數(shù)值范圍是0~255,,IPV4:IPv4，是互聯(lián)網(wǎng)協(xié)議（Internet Protocol，IP）的第四版，也是第一個(gè)被廣泛使用，構(gòu)成現(xiàn)今互聯(lián)網(wǎng)技術(shù)的基石的協(xié)議。1981年Jon P

32、ostel 在RFC791中定義了IP，Ipv4可以運(yùn)行在各種各樣的底層網(wǎng)絡(luò)上，比如端對端的串行數(shù)據(jù)鏈路（PPP協(xié)議和SLIP協(xié)議) ，衛(wèi)星鏈路等等。局域網(wǎng)中最常用的是以太網(wǎng)。傳統(tǒng)的TCP/IP協(xié)議基于IPV4屬于第二代互聯(lián)網(wǎng)技術(shù)，核心技術(shù)屬于美國。它的最大問題是網(wǎng)絡(luò)地址資源有限，從理論上講，編址1600萬個(gè)網(wǎng)絡(luò)、40億臺主機(jī)。但采用A、B、C三類編址方式后，可用的網(wǎng)絡(luò)地址和主機(jī)地址的數(shù)目大打折扣，以至IP地址已經(jīng)枯竭。其中北美占有3

33、/4，約30億個(gè)，而人口最多的亞洲只有不到4億個(gè)，中國截止2010年6月IPv4地址數(shù)量達(dá)到2.5億，落后于4.2億網(wǎng)民的需求。雖然用動態(tài)IP及Nat地址轉(zhuǎn)換等技術(shù)實(shí)現(xiàn)了一些緩沖，但I(xiàn)PV4地址枯竭已經(jīng)成為不爭的事實(shí)。在此，專家提出IPV6的互聯(lián)網(wǎng)技術(shù)，也正在推行，但I(xiàn)PV4的使用過過渡到IPV6需要很長的一段過渡期。中國主要用的就是ip4，在win7中已經(jīng)有了ipv6的協(xié)議不過對于中國的用戶們來說可能很久以后才會用到吧。傳統(tǒng)的TCP/

34、IP協(xié)議基于電話寬帶以及以太網(wǎng)的電器特性而制定的，其分包原則與檢驗(yàn)占用了數(shù)據(jù)包很大的一部分比例造成了傳輸效率低，網(wǎng)絡(luò)正向著全光纖網(wǎng)絡(luò)高速以太網(wǎng)方向發(fā)展，TCP/IP協(xié)議不能滿足其發(fā)展需要。,,IPv6:IPv6是Internet Protocol Version 6的縮寫，其中Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。IPv6是IETF（互聯(lián)網(wǎng)工程任務(wù)組，Internet Engineering Task Force）設(shè)計(jì)

35、的用于替代現(xiàn)版本IP協(xié)議（IPv4）的下一代IP協(xié)議。與IPV4相比，IPV6具有以下幾個(gè)優(yōu)勢：一、IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32，即有2^32-1（符號^表示升冪，下同）個(gè)地址；而IPv6中IP地址的長度為128，即有2^128-1個(gè)地址二、IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類（Aggregation）的原則，這使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大

36、減小了路由器中路由表的長度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。三、IPv6增加了增強(qiáng)的組播（Multicast）支持以及對流的控制（Flow Control），這使得網(wǎng)絡(luò)上的多媒體應(yīng)用有了長足發(fā)展的機(jī)會，為服務(wù)質(zhì)量（QoS，Quality of Service）控制提供了良好的網(wǎng)絡(luò)平臺四、IPv6加入了對自動配置（Auto Configuration）的支持。這是對DHCP協(xié)議的改進(jìn)和擴(kuò)展，使得網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷。

37、五、IPv6具有更高的安全性。在使用IPv6網(wǎng)絡(luò)中用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對IP報(bào)文進(jìn)行校驗(yàn)，極大的增強(qiáng)了網(wǎng)絡(luò)的安全性。,TCP/IP協(xié)議層次,從協(xié)議分層模型方面來講，TCP/IP由四個(gè)層次組成：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。TCP/IP協(xié)議并不完全符合OSI的七層參考模型，OSI（Open System Interconnect）是傳統(tǒng)的開放式系統(tǒng)互連參考模型，是一種通信協(xié)議的7層抽象的參考模型，其中每一層執(zhí)行某一特

38、定任務(wù)。該模型的目的是使各種硬件在相同的層次上相互通信。這7層是：物理層、數(shù)據(jù)鏈路層（網(wǎng)絡(luò)接口層）、網(wǎng)絡(luò)層（網(wǎng)絡(luò)層）、傳輸層（傳輸層）、會話層、表示層和應(yīng)用層（應(yīng)用層）。而TCP/IP通訊協(xié)議采用了4層的層級結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來完成自己的需求。由于ARPANET的設(shè)計(jì)者注重的是網(wǎng)絡(luò)互聯(lián)，允許通信子網(wǎng)（網(wǎng)絡(luò)接口層）采用已有的或是將來有的各種協(xié)議，所以這個(gè)層次中沒有提供專門的協(xié)議。實(shí)際上，TCP/IP協(xié)議可以通過網(wǎng)絡(luò)接

39、口層連接到任何網(wǎng)絡(luò)上，例如X.25交換網(wǎng)或IEEE802局域網(wǎng)。注意TCP本身不具有數(shù)據(jù)傳輸中噪音導(dǎo)致的錯(cuò)誤檢測功能,但是有實(shí)現(xiàn)超時(shí)的錯(cuò)誤重傳功能;,,網(wǎng)絡(luò)接口層物理層是定義物理介質(zhì)的各種特性：1、機(jī)械特性；2、電子特性；3、功能特性；4、規(guī)程特性。數(shù)據(jù)鏈路層是負(fù)責(zé)接收IP數(shù)據(jù)包并通過網(wǎng)絡(luò)發(fā)送，或者從網(wǎng)絡(luò)上接收物理幀，抽出IP數(shù)據(jù)包，交給IP層。ARP是正向地址解析協(xié)議，通過已知的IP，尋找對應(yīng)主機(jī)的MAC地址。RAR

40、P是反向地址解析協(xié)議，通過MAC地址確定IP地址。比如無盤工作站還有DHCP服務(wù)。常見的接口層協(xié)議有：Ethernet 802.3、Token Ring 802.5、X.25、Frame relay、HDLC、PPP ATM等。,,網(wǎng)絡(luò)層負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信。其功能包括三方面。1.處理來自傳輸層的分組發(fā)送請求，收到請求后，將分組裝入IP數(shù)據(jù)報(bào)，填充報(bào)頭，選擇去往信宿機(jī)的路徑，然后將數(shù)據(jù)報(bào)發(fā)往適當(dāng)?shù)木W(wǎng)絡(luò)接口。2.處理輸入數(shù)據(jù)

41、報(bào)：首先檢查其合法性，然后進(jìn)行尋徑--假如該數(shù)據(jù)報(bào)已到達(dá)信宿機(jī)，則去掉報(bào)頭，將剩下部分交給適當(dāng)?shù)膫鬏攨f(xié)議；假如該數(shù)據(jù)報(bào)尚未到達(dá)信宿，則轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)。3.處理路徑、流控、擁塞等問題。網(wǎng)絡(luò)層包括：IP(Internet Protocol）協(xié)議、ICMP(Internet Control Message Protocol)控制報(bào)文協(xié)議、ARP(Address Resolution Protocol）地址轉(zhuǎn)換協(xié)議、RARP(Reverse

42、 ARP)反向地址轉(zhuǎn)換協(xié)議。IP是網(wǎng)絡(luò)層的核心，通過路由選擇將下一條IP封裝后交給接口層。IP數(shù)據(jù)報(bào)是無連接服務(wù)。ICMP是網(wǎng)絡(luò)層的補(bǔ)充，可以回送報(bào)文。用來檢測網(wǎng)絡(luò)是否通暢。Ping命令就是發(fā)送ICMP的echo包，通過回送的echo relay進(jìn)行網(wǎng)絡(luò)測試,,傳輸層提供應(yīng)用程序間的通信。其功能包括：一、格式化信息流；二、提供可靠傳輸。為實(shí)現(xiàn)后者，傳輸層協(xié)議規(guī)定接收端必須發(fā)回確認(rèn)，并且假如分組丟失，必須重新發(fā)送，即耳熟能詳?shù)?/p>

43、“三次握手”過程，從而提供可靠的數(shù)據(jù)傳輸。傳輸層協(xié)議主要是：傳輸控制協(xié)議TCP(Transmission Control Protocol）和用戶數(shù)據(jù)報(bào)協(xié)議UDP(User Datagram protocol）。,,應(yīng)用層向用戶提供一組常用的應(yīng)用程序，比如電子郵件、文件傳輸訪問、遠(yuǎn)程登錄等。遠(yuǎn)程登錄TELNET使用TELNET協(xié)議提供在網(wǎng)絡(luò)其它主機(jī)上注冊的接口。TELNET會話提供了基于字符的虛擬終端。文件傳輸訪問FTP使用FTP協(xié)

44、議來提供網(wǎng)絡(luò)內(nèi)機(jī)器間的文件拷貝功能。應(yīng)用層協(xié)議主要包括如下幾個(gè)：FTP、TELNET、DNS、SMTP、NFS、HTTP。FTP(File Transfer Protocol）是文件傳輸協(xié)議，一般上傳下載用FTP服務(wù)，數(shù)據(jù)端口是20H，控制端口是21H。Telnet服務(wù)是用戶遠(yuǎn)程登錄服務(wù)，使用23H端口，使用明碼傳送，保密性差、簡單方便。DNS(Domain Name Service）是域名解析服務(wù)，提供域名到IP地址之間的轉(zhuǎn)換

45、，使用端口53。SMTP(Simple Mail Transfer Protocol）是簡單郵件傳輸協(xié)議，用來控制信件的發(fā)送、中轉(zhuǎn)，使用端口25。NFS（Network File System）是網(wǎng)絡(luò)文件系統(tǒng)，用于網(wǎng)絡(luò)中不同主機(jī)間的文件共享。HTTP(Hypertext Transfer Protocol）是超文本傳輸協(xié)議，用于實(shí)現(xiàn)互聯(lián)網(wǎng)中的WWW服務(wù)，使用端口80。,,TCP/IP協(xié)議的優(yōu)缺點(diǎn)：主要優(yōu)點(diǎn)（1）TCP/IP協(xié)議

46、不依賴于任何特定的計(jì)算機(jī)硬件或操作系統(tǒng)，提供開放的協(xié)議標(biāo)準(zhǔn)，即使不考慮Internet，TCP/IP協(xié)議也獲得了廣泛的支持。所以TCP/IP協(xié)議成為一種聯(lián)合各種硬件和軟件的實(shí)用系統(tǒng)。（2）TCP/IP協(xié)議并不依賴于特定的網(wǎng)絡(luò)傳輸硬件，所以TCP/IP協(xié)議能夠集成各種各樣的網(wǎng)絡(luò)。用戶能夠使用以太網(wǎng)（Ethernet）、令牌環(huán)網(wǎng)（Token Ring Network）、撥號線路（Dial-up line）、X.25網(wǎng)以及所有的網(wǎng)絡(luò)傳輸硬件

47、。（3）統(tǒng)一的網(wǎng)絡(luò)地址分配方案，使得整個(gè)TCP/IP設(shè)備在網(wǎng)中都具有惟一的地址（4）標(biāo)準(zhǔn)化的高層協(xié)議，可以提供多種可靠的用戶服務(wù)。主要缺點(diǎn)第一，它在服務(wù)、接口與協(xié)議的區(qū)別上就不是很清楚。一個(gè)好的軟件工程應(yīng)該將功能與實(shí)現(xiàn)方法區(qū)分開來，TCP/IP恰恰沒有很好地做到這點(diǎn)，就使得TCP/IP參考模型對于使用新的技術(shù)的指導(dǎo)意義是不夠的。TCP/IP參考模型不適合于其他非TCP/IP協(xié)議簇。第二，主機(jī)-網(wǎng)絡(luò)層本身并不是實(shí)際的一層，它定義

48、了網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層的接口。物理層與數(shù)據(jù)鏈路層的劃分是必要和合理的，一個(gè)好的參考模型應(yīng)該將它們區(qū)分開，而TCP/IP參考模型卻沒有做到這點(diǎn)。,,Telnet、SMTP、HTTP、FTP、DNS等TCP、UDP、IP 、ARP、ICMPEthernet,應(yīng)用層 傳輸層 網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層,,,,,1.2.2 網(wǎng)絡(luò)拓?fù)渑c物理連接,在實(shí)施和維護(hù)網(wǎng)絡(luò)時(shí)，必須使用相應(yīng)網(wǎng)絡(luò)的拓?fù)鋪碚归_工作如本書圖1-6.使用的就是星

49、型網(wǎng)絡(luò)拓?fù)?。此外還有多種相應(yīng)的拓?fù)浣Y(jié)構(gòu)如下圖所示。,話雖如此，我們最常見的基本網(wǎng)絡(luò)就好比家用寬帶，一臺臺式機(jī)或者筆記本，通過貓調(diào)試，配置路由，來達(dá)到訪問Internet中的游戲、QQ、HTTP的一大堆數(shù)據(jù)。,1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) ：網(wǎng)絡(luò)拓?fù)涫侵妇W(wǎng)絡(luò)形狀，或者是它在物理上的連通性。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要有：星型拓?fù)?、總線拓?fù)?、環(huán)型拓?fù)洹湫屯負(fù)?、混合拓?fù)浼熬W(wǎng)型拓?fù)洹?2.傳輸媒體 ： 傳輸媒體是通信網(wǎng)絡(luò)中發(fā)送方和接收

50、方之間的物理通路，計(jì)算機(jī)網(wǎng)絡(luò)中采用的傳輸媒體分有線和無線兩大類。（1）有線傳輸媒體：同軸電纜→有線電視、視頻線,,,電信→辦理光纖寬帶賬號→工作人員施工→光纖盒（分光器）→安裝人員布線，拉線到終端設(shè)備（路由器，光貓）→聯(lián)網(wǎng),常用分光器示意圖,串口：可以接打印機(jī)、掃描儀、游戲手柄、通過專業(yè)串口線還可以訪問專用設(shè)備如交換機(jī)路由器。,CONSOLE線,CONSOLE接口是用來配置交換機(jī)的，所以只有網(wǎng)管型

51、交換機(jī)才有。而且還要注意，并不是所有網(wǎng)管型交換機(jī)都有，那是因?yàn)榻粨Q機(jī)的配置方法有多種，如通過Telnet命令行方式、Web方式、TFTP方式等。,注：無論交換機(jī)采用DB-9或DB-25串行接口，還是采用RJ-45接口，都需要通過專門的Console線連接至配置方計(jì)算機(jī)的串行口。,串行線串行線，即兩端均為串行接口(兩端均為母頭)，兩端可以分別插入至計(jì)算機(jī)的串口和交換機(jī)的Console端口;RJ-45兩端均為RJ-45接頭(RJ-45

52、 to RJ-45)的扁平線。由于扁平線兩端均為RJ-45接口，無法直接與計(jì)算機(jī)串口進(jìn)行連接。因此，還必須同時(shí)使用一個(gè)RJ-45 to DB-9(或RJ-45 to DB-25)的適配器。通常情況下，在交換機(jī)的包裝箱中都會隨機(jī)贈送這么一條Console線和相應(yīng)的DB-9或DB-25適配器。,超級終端就必須要用到CONSlOE線，它的配置圖如下,一般采用CSMD/CD(帶沖突檢測的載波監(jiān)聽多路訪問技術(shù))來防止沖突域,,,（2）無線傳輸媒

53、體：（a）微波通信：載波頻率為2GHZ~40GHZ,頻率高，可同時(shí)傳送大量信息；由于微波是沿直線傳播的，故在地面的傳播距離有限。（b）衛(wèi)星通信：是利用地球同步衛(wèi)星作為中繼來轉(zhuǎn)發(fā)微波信號的一種特殊微波通信形式。衛(wèi)星通信可以克服地面微波通信距離的限制，三個(gè)同步衛(wèi)星可以覆蓋地球上全部通信區(qū)域。,（c）紅外通信和激光通信： 和微波通信一樣，有很強(qiáng)的方向性，都是沿直線傳播的。但紅外通信和激光通信要把傳輸?shù)男盘柗謩e轉(zhuǎn)換為紅外光信號和激光信

54、號后才能直接在空間沿直線傳播。3 網(wǎng)絡(luò)管理協(xié)議： 目前較為流行的兩種網(wǎng)絡(luò)管理協(xié)議為：SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）和CMIP（通用管理協(xié)議）。SNMP由一整套簡單的網(wǎng)絡(luò)通訊規(guī)范組成，可以完成所有基本的網(wǎng)絡(luò)管理任務(wù)，對網(wǎng)絡(luò)資源的需求量少；CMIP是一種設(shè)計(jì)非常全面的網(wǎng)絡(luò)管理系統(tǒng)，改進(jìn)了SNMP存在的諸多不足。但是，正是因?yàn)镃MIP修正了SNMP的錯(cuò)誤，使得自身變得大而全，對網(wǎng)絡(luò)基礎(chǔ)性能提出了相當(dāng)嚴(yán)格的要求。,4 交換機(jī)和集線器

55、集線器（HUB）可以看成是一種多端口的中繼器，是共享帶寬式的，其帶寬由它的端口平均分配，如總帶寬為10Mb/s的集線器，連接4臺工作站同時(shí)上網(wǎng)時(shí)，每臺工作站平均帶寬僅為10/4=2.5Mb/s。交換機(jī)又叫交換式集線器，每一端口都有其專用的帶寬，如10Mb/s的交換式集線器，每個(gè)端口都有10Mb/s的帶寬。交換機(jī)和集線器都遵循IEEE802.3或IEEE802.3u，其介質(zhì)訪問方式均為CSMA/CD。它們之間的區(qū)別為： 集線器為共

56、享方式，即同一網(wǎng)段的機(jī)器共享固有的帶寬，傳輸通過碰撞檢測進(jìn)行，同一網(wǎng)段計(jì)算機(jī)越多，傳輸碰撞也越多，傳輸速率會變慢；交換機(jī)每個(gè)端口為固定帶寬，有獨(dú)特的傳輸方式，傳輸速率不受計(jì)算機(jī)增加影響，其獨(dú)特的NWAY、全雙工功能增加了交換機(jī)的使用范圍和傳輸速度。簡單的來說，四臺電腦連接集線器，如果有100M的帶寬，每臺電腦就只能分到100/4M的帶寬也就是25M的帶寬。而交換機(jī)就可以達(dá)到每人100M的帶寬，一個(gè)是均分一個(gè)是同用。 5 路由器

57、 路由器是網(wǎng)絡(luò)中進(jìn)行網(wǎng)間連接的關(guān)鍵設(shè)備。作為不同網(wǎng)絡(luò)之間互相連接的樞紐，路由器系統(tǒng)構(gòu)成了基于TCP/IP的國際互連網(wǎng)絡(luò)Internet 的主體脈絡(luò)。它的處理速度是網(wǎng)絡(luò)通信的主要瓶頸之一，它的可靠性則直接影響著網(wǎng)絡(luò)互連的質(zhì)量。因此，在園區(qū)網(wǎng)、地區(qū)網(wǎng)、乃至,,整個(gè)Internet 研究領(lǐng)域中，路由器技術(shù)始終處于核心地位。路由器之所以在互連網(wǎng)絡(luò)中處于關(guān)鍵地位，是因?yàn)樗幱诰W(wǎng)絡(luò)層，一方面能夠跨越不同的物理網(wǎng)絡(luò)類型（DDN、F

58、DDI、以太網(wǎng)等等），另一方面在邏輯上將整個(gè)互連網(wǎng)絡(luò)分割成邏輯上獨(dú)立的網(wǎng)絡(luò)單位，使網(wǎng)絡(luò)具有一定的邏輯結(jié)構(gòu)。路由器的基本功能是把數(shù)據(jù)（IP包）傳送到正確的網(wǎng)絡(luò)，具體包括：IP數(shù)據(jù)包的轉(zhuǎn)發(fā)，包括數(shù)據(jù)包的尋徑和傳送；子網(wǎng)隔離，抑制廣播風(fēng)暴；維護(hù)路由表，并與其它路由器交換路由信息，這是IP包轉(zhuǎn)發(fā)的基礎(chǔ)；IP數(shù)據(jù)包的差錯(cuò)處理及簡單的擁塞控制實(shí)現(xiàn)對IP數(shù)據(jù)包的過濾和記憶等功能。,1.2.3 設(shè)備的管理方式,遠(yuǎn)程管理：遠(yuǎn)程管理是指通過遠(yuǎn)程管理協(xié)議對設(shè)

59、備發(fā)起管理訪問，最常用的協(xié)議是Telnet協(xié)議。由于Telnet的安全性沒有SSH高，我們通常都用SSH來實(shí)現(xiàn)，后期會說。本地管理：管理員能直接的在物理上接觸到網(wǎng)絡(luò)設(shè)備如手動使用Consloe線連接筆記本電腦或者臺式電腦到交換機(jī)上來進(jìn)行管理。注：如今大多數(shù)用戶都已是光纖接入用戶，越來越多的用戶都開始使用智能路由器，本地管理寬帶要比以前管理簡單便捷的多，在網(wǎng)上多學(xué)習(xí)路由的管理還能避免自己家里寬帶連接的問題，從而節(jié)省了等待其他電信通信

60、維護(hù)員的上門維修等待時(shí)間。,,一、基礎(chǔ)知識與物理安全,1.3 物理安全建議,家用網(wǎng)絡(luò)的安全建議：無論是非屏蔽雙絞線或者是屏蔽雙絞線和光纖線都應(yīng)該保護(hù)好，不能讓其他人誰隨便的盜竊或者破壞，路由或者分光器等設(shè)備也不能讓人強(qiáng)行的破壞拆散。機(jī)房網(wǎng)絡(luò)的安全建議：應(yīng)對設(shè)備所在的機(jī)房安裝指紋認(rèn)證系統(tǒng)，如果不具備安裝指紋系統(tǒng)的條件至少選擇安裝門禁卡，還需加強(qiáng)對管理員的安全意識的培養(yǎng)。,*簡要提及如何維護(hù)網(wǎng)絡(luò)安全,1 基礎(chǔ)設(shè)施管理（1）確保網(wǎng)絡(luò)通

61、信傳輸暢通；（2）掌控主干設(shè)備的配置情況及配置參數(shù)變更情況，備份各個(gè)設(shè)備的配置文檔；（3）對運(yùn)行關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)的主干設(shè)備配備相應(yīng)的備份設(shè)備，并配置為熱后備設(shè)備；（4）負(fù)責(zé)網(wǎng)絡(luò)布線配線架的管理，確保配線的合理有序；（5）掌控用戶端設(shè)備接入網(wǎng)絡(luò)的情況，以便發(fā)現(xiàn)問題時(shí)可迅速定位；（6）采取技術(shù)措施，對網(wǎng)絡(luò)內(nèi)經(jīng)常出現(xiàn)的用戶需要變更位置和部門的情況進(jìn)行管；（7）掌控和外部網(wǎng)絡(luò)的連接配置，監(jiān)督網(wǎng)絡(luò)通信狀況，發(fā)現(xiàn)問題后和有關(guān)機(jī)構(gòu)及時(shí)聯(lián)系；

62、（8）實(shí)時(shí)監(jiān)控整個(gè)局域網(wǎng)的運(yùn)轉(zhuǎn)和網(wǎng)絡(luò)通信流量情況；（9）定制、發(fā)布網(wǎng)絡(luò)基礎(chǔ)設(shè)施使用管理辦法并監(jiān)督執(zhí)行情況。2 操作系統(tǒng)管理（1）在網(wǎng)絡(luò)操作系統(tǒng)配置完成并投入正常運(yùn)行后，為了確保網(wǎng)絡(luò)操作系統(tǒng)工作正常，網(wǎng)絡(luò)管理員首先應(yīng)該能夠熟練的利用系統(tǒng)提供的各種管理工具軟件，實(shí)時(shí)監(jiān)督系統(tǒng)的運(yùn)轉(zhuǎn)情況，及時(shí)發(fā)現(xiàn)故障征兆并進(jìn)行處理。（2）在網(wǎng)絡(luò)運(yùn)行過程中，網(wǎng)絡(luò)管理員應(yīng)隨時(shí)掌控網(wǎng)絡(luò)系統(tǒng)配置情況及配置參數(shù)變更情況，對配置參數(shù)進(jìn)行備份。網(wǎng)絡(luò)管理員還應(yīng)該做到隨

63、著系統(tǒng)環(huán)境的變化、業(yè)務(wù)發(fā)展需要和用戶需求，動態(tài)調(diào)整系統(tǒng)配置參數(shù)，優(yōu)化系統(tǒng)性能。（3）網(wǎng)絡(luò)管理員應(yīng)為關(guān)鍵的網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器建立熱備份系統(tǒng)，做好防災(zāi)準(zhǔn)備。,,3 應(yīng)用系統(tǒng)管理（1） 確保各種網(wǎng)絡(luò)應(yīng)用服務(wù)運(yùn)行的不間斷性和工作性能的良好性，出現(xiàn)故障時(shí)應(yīng)將故障造成的損失和影響控制在最小范圍內(nèi)。（2） 對于需要不可中斷的關(guān)鍵型網(wǎng)絡(luò)應(yīng)用系統(tǒng)，除了在軟件手段上要掌控、備份系統(tǒng)參數(shù)和定期備份系統(tǒng)業(yè)務(wù)數(shù)據(jù)外，必要時(shí)在硬件手段上還要建立和配置系統(tǒng)的熱

64、備份。（3） 對于用戶訪問頻率高、系統(tǒng)負(fù)荷的網(wǎng)絡(luò)應(yīng)用服務(wù)，必要時(shí)網(wǎng)絡(luò)管理員還應(yīng)該采取分擔(dān)的技術(shù)措施。,,4 用戶服務(wù)和管理（1） 用戶的開戶和撤銷；（2） 用戶組的配置和管理；（3） 用戶可用服務(wù)和資源的的權(quán)限管理和配額管理；（4） 用戶計(jì)費(fèi)管理；（5） 包括用戶桌面連網(wǎng)電腦的技術(shù)支持服務(wù)和用戶技術(shù)培訓(xùn)服務(wù)的用戶端支持服務(wù)。5 安全保密管理（1） 安全和保密是個(gè)問題的兩個(gè)方面，安全主要指防止外部對網(wǎng)絡(luò)的攻擊和入侵，保密主

65、要指防止網(wǎng)絡(luò)內(nèi)部信息的泄漏。（2） 對于普通級別的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員的任務(wù)主要是配置管理好系統(tǒng)防火墻。為了能夠及時(shí)發(fā)現(xiàn)和阻止網(wǎng)絡(luò)黑客的攻擊，能夠加配入侵檢測系統(tǒng)對關(guān)鍵服務(wù)提供安全保護(hù)。（3） 對于安全保密級別需要高的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員除了應(yīng)該采取上述措施外，還應(yīng)該配備網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)，并對關(guān)鍵的網(wǎng)絡(luò)服務(wù)器采取容災(zāi)的技術(shù)手段。（4） 更嚴(yán)格的涉密電腦網(wǎng)絡(luò)，還需要在物理上和外部公共電腦網(wǎng)絡(luò)絕對隔離，對安置涉密網(wǎng)絡(luò)電腦和網(wǎng)絡(luò)主干設(shè)備的房

66、間要采取安全措施，管理和控制人員的進(jìn)出，對涉密網(wǎng)絡(luò)用戶的工作情況要進(jìn)行全面的管理和監(jiān)控。,,6 信息存儲備份管理（1） 采取一切可能的技術(shù)手段和管理措施，保護(hù)網(wǎng)絡(luò)中的信息安全。（2） 對于實(shí)時(shí)工作級別需要不高的系統(tǒng)和數(shù)據(jù)，最低限度網(wǎng)絡(luò)管理員也應(yīng)該進(jìn)行定期手工操作備份。（3） 對于關(guān)鍵業(yè)務(wù)服務(wù)系統(tǒng)和實(shí)時(shí)性需要高的數(shù)據(jù)和信息，網(wǎng)絡(luò)管理員應(yīng)該建立存儲備份系統(tǒng)，進(jìn)行集中式的備份管理。（4） 最后將備份數(shù)據(jù)隨時(shí)保存在安全地點(diǎn)更是很重要。

67、7 機(jī)房管理（1） 掌控機(jī)房數(shù)據(jù)通信電纜布線情況，在增減設(shè)備時(shí)確保布線合理，管理維護(hù)方便；（2） 掌管機(jī)房設(shè)備供電線路安排，在增減設(shè)備時(shí)注意負(fù)載的合理配置；（3） 管理網(wǎng)絡(luò)機(jī)房的溫度、濕度和通風(fēng)狀況，提供適合的工作環(huán)境；（4） 確保網(wǎng)絡(luò)機(jī)房內(nèi)各種設(shè)備的正常運(yùn)轉(zhuǎn)；（5） 確保網(wǎng)絡(luò)機(jī)房符合防火安全需要，火警監(jiān)測系統(tǒng)工作正常，滅火措施有效；（6） 采取措施，在外部供電意外中斷和恢復(fù)時(shí)，實(shí)現(xiàn)在無人值守情況下確保網(wǎng)絡(luò)設(shè)備安全運(yùn)行；（

68、7） 保持機(jī)房整潔有序，按時(shí)記錄網(wǎng)絡(luò)機(jī)房運(yùn)行日志，定制網(wǎng)絡(luò)機(jī)房管理制度并監(jiān)督執(zhí)行。,,企業(yè)：1、外網(wǎng)要有必要的防護(hù)設(shè)備（防火墻、網(wǎng)絡(luò)版殺毒軟件、入侵防御系統(tǒng)、vpn等）2、內(nèi)網(wǎng)要及時(shí)安裝 安全更新補(bǔ)丁3、對重要服務(wù)器或終端進(jìn)行必要的優(yōu)化（關(guān)閉無用的端口和服務(wù)）4、補(bǔ)丁是對內(nèi)、外網(wǎng)進(jìn)行安全掃描。個(gè)人：1、最關(guān)鍵的是及時(shí)安裝更新補(bǔ)丁，2、應(yīng)用可及時(shí)升級的殺毒軟件（含防火墻和web監(jiān)控），3、對系統(tǒng)進(jìn)行必要的優(yōu)化。,附：IP編