第8章内网安全管理.ppt

第8章内网安全管理 内网安全管理是指用户内部网络 如局域网内 的服务器 客户计算机的安全性 各部门 各应用系统之间的访问安全性 我们可以采用以下几种安全策略 1 服务器硬盘数据的保护 2 交换机端口MAC地址限制 3 网络二层 数据链路层 的虚拟网VLAN技术 4 网络三层 网络层 访问控制列表AccessControlList技术 5 漏洞扫描系统 6 计算机病毒的防治 7 防止木马和恶意软件的入侵 8 1服务器硬盘数据的保护 服务器硬盘上的数据是最重要的数据 为防止别人非法窃取 可采用加密存储 如Windows的EFS就可实现此功能 为了保护数据存放的安全 还可采用磁盘阵列和数据备份等技术 8 1 1磁盘阵列1 磁盘阵列概述磁盘阵列 DiskArray 是将一组物理磁盘按照一定要求进行有机的组合 构成逻辑上的一个磁盘 使多个物理磁盘的读写同步 减少错误 提高效率和可靠度的技术 磁盘阵列技术可增加存储容量 提高磁盘数据读写速度 还可免除单块硬盘故障所带来的数据丢失 提高数据的安全性 磁盘阵列有两种方式可以实现 那就是 软件阵列 与 硬件阵列 2 几种磁盘阵列技术磁盘阵列有时简称RAID RedundantArrayofInexpensiveDisks 廉价冗余磁盘阵列 RAID技术是一种工业标准 各厂商对RAID级别的定义也不尽相同 目前在业界应用较为广泛的有RAID0 RAID1和RAID5等几种 1 RAID0RAID0即条带 最少需要2个硬盘 它可把多个磁盘上的可用空间组合成一个逻辑卷 将数据分为同等大小的数据块并分别放到不同的磁盘上 它将一批数据 如 数据顺序为1 2 3 4 5 6 分别写到不同的磁盘上后 几个磁盘就可同时读写 因此 它的读写速度快 但不能容错 如图8 1所示 RAID0是无数据冗余的存储空间条带化 具有成本低 读写性能极高 存储空间利用率高等特点 适用于音 视频信号存储 临时文件的转储等对速度要求极其严格的特殊应用 但由于没有数据冗余 其安全性大大降低 构成阵列的任何一块硬盘的损坏都将带来灾难性的数据损失 这种方式没有冗余功能 没有安全保护 只是提高了磁盘读写性能和整个服务器的磁盘容量 2 RAID1RAID1只支持2个硬盘 是两块硬盘数据完全镜像 安全性好 技术简单 管理方便 读写性能均好 它可以容错 因为它是一一对应的 所以它无法单块硬盘扩展 要扩展 必须同时对镜像的双方进行同容量的扩展 这种冗余方式为了安全起见 实际上只利用了一半的磁盘容量 磁盘总空间的利用率只有50 数据空间浪费大 如图8 1所示 3 RAID5RAID5最少需要3个硬盘 是目前应用最广泛的RAID技术 它是将一批数据 如 数据顺序为1 2 3 4 5 6 分别写到不同的磁盘上 各块独立硬盘进行条带化分割 相同的条带区的数据进行奇偶校验 异或运算 校验数据平均分布在不同磁盘的不同位置处 如图8 1中的p 它可以容错 写入速度较慢 读出速度较快 无坏盘时 以n块硬盘构建的RAID5阵列可以有n 1块硬盘的容量 磁盘空间利用率为 n 1 n 存储空间利用率非常高 任何一块硬盘上的数据丢失 均可以通过校验数据推算出来 它和RAID3最大的区别在于校验数据是否平均分布到各块硬盘上 RAID5的不足之处是如果一块硬盘出现故障以后 整个系统的性能将大大降低 并且不允许两块硬盘同时坏 图8 1RAID0 1 5的工作原理 RAID1 RAID5阵列配合热插拔技术 可以实现数据的在线恢复 即当RAID阵列中的任何一块硬盘损坏时 不需要用户关机或停止应用服务 就可以更换故障硬盘 修复系统 恢复数据 对实现高可用系统具有重要的意义 例如 在服务器上配置4个硬盘 都连接在本机阵列卡的主通道上 其中3个硬盘配置成RAID5结构 另1个配制成在线空闲 Online Space 结构 当阵列中任意一个硬盘崩溃时 在线空闲硬盘将自动加入阵列 并且根据容错设置自动恢复文件 从而保证数据的安全可靠 8 1 2WindowsServer2003磁盘卷的配置1 WindowsServer2003的磁盘类型WindowsServer2003中将磁盘分为了两种类型 基本磁盘和动态磁盘 基本磁盘与老系统兼容 可进行多重引导 是WindowsServer2003中默认的磁盘类型 最多可创建4个分区 基本磁盘一个盘符对应一个分区 一个分区设好后是不能扩展其容量的 使用基本磁盘不能创建磁盘阵列 基本磁盘可以转换为动态磁盘 动态磁盘对应的是卷 非系统的NTFS卷容量可以扩展 如 添加硬盘时 卷的数量无限制 只有动态磁盘才可创建简单卷 跨区卷和RAID0 带区卷 RAID1 镜像卷 RAID5等类型的卷 1 简单卷 空间来自单个硬盘 类似于基本磁盘的一个主分区 但是可以利用同一个磁盘内的剩余空间将简单卷容量扩大 2 跨区卷 可把2 32个磁盘上的未分配空间组合成一个逻辑卷 每块64K 跨区卷是将分配到一个磁盘上的卷空间充满 然后再从下一个磁盘开始 因此 它并不改进磁盘的读写性能 也不容错 即如果某块磁盘出现故障 全卷的数据都将丢失 3 带区卷 RAID0 即上述的RAID0 WindowsServer2003可把2 32个磁盘上的可用空间组合成一个逻辑卷 每块64K 4 镜像卷 RAID1 即上述的RAID1 5 RAID 5卷 即上述的RAID5 WindowsServer2003中RAID5卷最少需要3个硬盘 最多可支持32个硬盘 下面的操作将创建简单卷 跨区卷 带区卷 RAID0 镜像卷 RAID1 RAID5卷等各种卷 为此 在计算机上安装了3块硬盘 以适应磁盘阵列的要求 下面的操作都是在磁盘管理程序中进行的 因此 要先启动磁盘管理程序 在桌面上右击 我的电脑 选择 管理 打开 计算机管理 控制台 再选择 磁盘管理 启动磁盘管理程序 2 转换到动态磁盘在准备转换到动态磁盘前 请确认磁盘上只装有一个WindowsServer2003操作系统 而没有在一个磁盘上装有多个其他的操作系统 如 DOS Windows98等 并且已有的分区都是NTFS文件系统 否则 转换后有可能引起数据丢失 在磁盘管理程序中 在最左侧的 磁盘0 对应位置处右击鼠标 选择 转换到动态磁盘 命令 说明 只有当磁盘为空时 才能将动态磁盘还原到基本磁盘 3 简单卷 1 创建简单卷 在磁盘管理程序中 右击一块未指派的空间 选择 新建卷 菜单 在打开的新建卷向导的 欢迎使用新建卷向导 对话框中单击 下一步 按钮 打开 选择卷类型 对话框 在此 选择 简单 单选钮 2 扩展简单卷 在创建好的以NTFS文件系统格式化的简单卷上右击鼠标 选择 扩展卷 菜单 在打开的扩展卷向导的 欢迎使用扩展卷向导 对话框中单击 下一步 按钮 打开 磁盘类型 对话框 在此设置要扩展的容量及其所在的磁盘 如果选择了其他的磁盘 将简单卷扩展到了其他磁盘内 则它就变成了跨区卷 简单卷可以成为带区卷或镜像卷的成员之一 但在它变成跨区卷后 就不具备成为带区卷 镜像卷或RAID5卷成员的功能 单击 下一步 按钮 打开 完成扩展卷向导 对话框 单击 完成 按钮即可 说明 扩展简单卷的容量是基本磁盘类型做不到的 3 删除卷在建好的卷上右击鼠标 选择 删除卷 菜单命令 即可将卷删除 4 跨区卷在磁盘管理程序中 右击一块未指派的空间 选择 新建卷 菜单 在打开的新建卷向导的 欢迎使用新建卷向导 对话框中单击 下一步 按钮 打开 选择卷类型 对话框 在此 选择 跨区 单选钮 说明 跨区卷实现了一个盘符跨越多个物理硬盘 这一点也是基本磁盘类型做不到的 5 带区卷 RAID0 带区卷成员中 不可以包含系统卷和启动卷 在磁盘管理程序中 右击一块未指派的空间 选择 新建卷 菜单 在打开的新建卷向导的 欢迎使用新建卷向导 对话框中单击 下一步 按钮 打开 选择卷类型 对话框 在此 选择 带区 单选钮 6 镜像卷 RAID1 1 创建镜像卷在磁盘管理程序中 右击一块未指派的空间 选择 新建卷 菜单 在打开的新建卷向导的 欢迎使用新建卷向导 对话框中单击 下一步 按钮 打开 选择卷类型 对话框 在此 选择 镜像 单选钮 镜像卷的创建有一个重新同步的过程 时间稍长一点 2 添加镜像卷除了将两个未指派的空间来组合成镜像卷之外 还可以选择一个已经存在的简单卷与一个未指派的空间组合成镜像卷 这就是添加镜像卷 添加镜像卷的过程中 会将简单卷内的现有数据复制到另一个成员中 在一个简单卷上右击鼠标 选择 添加镜像 菜单命令 在打开的 添加镜像 对话框中选择参与镜像的另一个磁盘 单击 添加镜像 按钮 开始镜像同步过程 3 中断 删除镜像整个镜像卷被视为一体 如果要将其中任何一个成员独立出来使用 可通过中断镜像或删除镜像的方法实现 在镜像卷上右击鼠标 选择 中断镜像 菜单命令 将镜像关系中断 中断后 原来的两个成员都会被改为简单卷 并且其中的数据都会被保留着 在镜像卷上右击鼠标 选择 删除镜像 菜单命令 再选择将镜像卷中的一个成员删除 被删除成员中的数据将被删除 它所占用的磁盘空间会被改为未指派的空间 如果卷成员是系统卷或启动卷 建议采用删除镜像的方法取消镜像 7 RAID 5卷RAID 5卷成员中 不可以包含系统卷和启动卷 在磁盘管理程序中 右击一块未指派的空间 选择 新建卷 菜单 在打开的新建卷向导的 欢迎使用新建卷向导 对话框中单击 下一步 按钮 打开 选择卷类型 对话框 在此 选择 RAID 5 单选钮 说明 RAID 5卷内 从磁盘容量上看 n个磁盘中只有n 1个磁盘的容量用于存放用户数据 另一个磁盘容量用于存放校验数据 在WindowsServer2003中创建带区卷 RAID0 和RAID 5卷时 卷成员中不可以包含系统卷和启动卷 而且 在磁盘管理器中能看出有几块物理磁盘 如果用硬件阵列卡做RAID0或RAID5 则卷成员中磁盘的内容没有限制 而且用户看到只是一个大硬盘 几个磁盘的集合 性能也比软件阵列方式好 只是要多花费一块硬件阵列卡的资金 8 1 3数据备份1 数据备份的必要性对于与IT基础设施相关的业务中断来说 由于数据丢失所造成的后果是最具有破坏性的 数据丢失以后数据备份在数据恢复中就显得极为重要了 系统数据丢失会导致业务难以正常进行 这时 关键的问题在于如何尽快恢复计算机系统 使其能正常运行 如果每一台服务器或每一个局域网都配置了数据备份设备以及相应的备份软件 那么无论网络硬件还是软件出了问题 都能够很轻松地恢复 保证系统的正常运行 数据备份为当今的企业服务器网络提供了全天候快速数据保护 2 数据备份介质 1 磁带备份 2 磁盘备份 3 光盘备份 4 远程镜像备份远程镜像其思想是把数据副本存放于离公司设施足够远的磁盘阵列上 这样就不会在一次灾难中同时丢失原始数据和备份数据 远程镜像可以为用户提供很高的系统可靠性 3 数据备份与磁盘阵列的区别数据备份是为了在系统遭受破坏或其他特定情况下 对数据重新加以利用 目的是数据的恢复 磁盘阵列最初的研制目的是为了组合小的廉价磁盘来代替大的昂贵磁盘 以降低大批量数据存储的费用 同时也希望采用冗余信息的方式 使得磁盘失效时不会使对数据的访问受损失 从而开发出一定水平的数据保护技术 数据备份与磁盘阵列都用于保护数据 数据备份使把数据备份到其他的地方 当灾难发生后可以恢复数据 它对数据的保护是长期的 而磁盘阵列对数据的保护是短时间的 而且一旦设备出现错误将不能恢复数据 因此数据备份与磁盘阵列的做法和效果都是不同的 它们不能互相取代 4 数据备份与存档的区别 1 存档数据的存档在许多组织中变得越来越重要 这些组织需要确保将数据的一致副本作为业务或应用程序状态的长期记录来进行维护 与关键应用程序恢复相对 存档通常用于审计 分析和检索不经常访问的数据 存档的一个理由是对数据的长期保存 具有一定的使用价值或历史价值要进行长期保存 在急需的时候可以对它们进行恢复 其经济意义和历史意义是不容置疑的 2 数据备份与存档的区别数据备份与存档有很多共性 但同样也有着很多的不同 存档的目的不是为了保障数据安全 而只是为了实现数据存储 数据备份是为了保障数据安全 使数据丢失时候能够很快恢复 数据存档是数据存储解决方案 它是指数据在不同存储介质之间移动 与数据备份完全不同 这些数据不修改 不删除 长期保存 类似于单位的档案 5 数据备份方式 1 在线备份方式在线备份 On lineBackup 有时也叫做热备份 是指对正在运行的数据库或应用进行备份 通常对打开的数据库和应用是禁止备份操作的 然而现在有的计算机应用系统要求24小时运转 例如银行的ATM业务 因此 要求数据存储管理软件能够对在线的数据库和应用进行备份 在线备份常采用磁盘作为存储介质 在线备份的优点 可在表空间或数据文件级备份 备份时间短 备份时数据库仍可使用 可达到秒级恢复 恢复到某一时间点上 可对几乎所有数据库实体作恢复 恢复是快速的 在大多数情况下在数据库仍工作时恢复 在线备份的不足 不能出错 否则后果严重 若热备份不成功 所得结果不可用于时间点的恢复 维护因难 所以要特别仔细小心 不允许失败 2 近线备份方式企业数据量是日益增加的 而备份时间却要求不断缩小 解决该问题的方法之一就是将数据分段备份到近线存储 以进行更快的备份和恢复 这就是近线备份 NearOnlineBackup 所谓的近线备份 就是指所保存的数据并不是经常用到的 或者说数据的交易量并不大 而高使用率的数据将会被存放在在线存储设备上 对这些的设备要求是寻址迅速 传输率高 因此 近线备份对性能要求相对来说并不高 但由于不常用的数据要占总数据量的大多数 这也就意味着近线备份设备首先要保证的是容量 近线备份成本较低 可在各种应用程序间共享 具有多功能 灵活的特点 可将磁盘作为存储介质做在线备份 再将磁盘上的不常用数据备份到磁带上作为近线备份 3 离线备份方式离线备份 OffLineBackup 是指在数据库关闭或应用关闭后对数据进行备份 离线备份通常采用全备份 离线备份的优势 是非常快速的备份方法 只需拷贝文件 容易归档 简单拷贝即可 容易恢复到某个时间点上 只需将文件再拷贝回去 能与归档方法相结合 作数据库 最新状态 的恢复 低度维护 高度安全 离线备份的问题 单独使用时 只能提供到 某一时间点上 的恢复 在实施备份的全过程中 数据库必须要作备份而不能作其他工作 也就是说 在离线备份过程中 数据库必须是关闭状态 若磁盘空间有限 只能拷贝到磁带等其他外部存储设备上 速度会很慢 不能按表或按用户恢复 离线备份常采用将数据直接备份到磁带上的方式 4 三种备份方式的结合在线备份特点是 备份时间短 恢复速度快 所得结果不可用于时间点的恢复 维护困难 近线备份特点是 备份容量大 经常与其他方式一起使用 离线备份特点是 备份速度快 低度维护 高度安全 备份过程中数据库必须关闭 适用于所有模式的数据库 一般而言 企业只要有 在线 与 离线 的备份系统即够使用 6 备份类型备份有五种类型 1 正常备份正常备份复制所有选中的文件 并且备份后标记每个文件 即清除文件的 存档 属性 使用正常备份 用户只需用最近备份的文件或磁带的副本来还原所有文件 第一次创建备份集时 通常都使用正常备份 2 副本备份副本备份复制所有选中的文件 但不将这些文件标记为已经备份 即不清除文件的 存档 属性 如果 用户想在正常和增量备份之间备份文件 该复制是很有用的 因为该复制不影响其他备份操作 说明 正常备份与副本备份非常类似 它们之间的差别只是对备份过的文件作不做标记 3 增量备份增量备份只备份上一次正常或增量备份后 创建或改变的文件 备份后标记文件 即清除文件的 存档 属性 如果使用正常备份和增量备份的组合 用户需要有上一次的正常备份和所有的增量备份集 以便还原数据 4 差异备份差异备份只备份上一次正常或增量备份后 创建或改变的文件 备份后不标记为已备份文件 即不清除文件的 存档 属性 如果使用正常备份和差异备份的组合 还原数据时需要有上一次的正常备份和差异备份 说明 增量备份与差异备份非常类似 它们之间的差别只是对备份过的文件作不做标记 5 每日备份每日备份复制当天修改的所有选中的文件 已备份的文件在备份后不做标记 即不清除文件的 存档 属性 组合使用正常备份和增量备份来备份数据时 需要最少的存储空间 也是最快的备份方法 然而 恢复文件是耗时和困难的 因为备份集可能存储在几个磁盘或磁带上 例如 在星期一进行完全备份 在星期二至星期五进行增量备份 如果在星期五数据被破坏了 则你需要还原星期一正常的备份和从星期二至星期五的所有增量备份 这种策略备份数据时间较少 但还原数据时耗时较多 组合使用正常备份和差异备份来备份数据时 耗时较多 尤其当数据经常更改时 但它更容易还原数据 因为 备份集通常只存储在少量磁盘或磁带上 例如 在星期一进行完全备份 在星期二至星期五进行差异备份 如果在星期五数据被破坏了 则你只需要还原星期一完全的备份和星期四的差异备份 这种策略备份数据需要较多的时间 但还原数据使用较少的时间 8 1 4WindowsServer2003中的数据备份1 WindowsServer2003备份概述使用WindowsServer2003中的备份 可以实现如下目的 1 在硬盘上备份选择的文件和文件夹 2 将备份文件和文件夹还原到硬盘或其他任何可以访问的磁盘上 3 创建自动系统恢复 ASR 文件及磁盘 如果系统文件损坏或意外被删除 该文件及磁盘可以帮助用户修复它们 备份的系统状态数据包括注册表 系统启动文件 类注册数据库 域控制器上的活动目录数据库及SYSVOL共用文件夹 证书服务器上的证书服务数据库 4 备份任何远程存储数据和存储在已装入驱动器的任何数据 5 计划定期备份以保持备份数据是最新的 可以备份和还原FAT或NTFS文件系统卷上的数据 说明 从哪种文件系统卷上备份的数据 还原时应还原到原文件系统卷中 以避免数据和一些系统特性的丢失 备份可将数据备份到文件或磁带上 将数据备份到文件时 必须指定文件保存的名称和位置 备份文件的扩展名通常为 bkf 但是 用户可以将该扩展名更改为喜欢的扩展名 备份文件可以保存到硬盘 软盘或任何其他可以保存文件的可移动或不可移动的媒体介质 将数据备份到磁带时 计算机必须接有磁带设备 磁带可由 计算机管理 工具中 存储 下的 可移动存储 项来管理 尽管备份与可移动存储可以一同工作 但可能要使用 可移动存储 项来执行某些维护任务 例如 准备和弹出磁带 2 WindowsServer2003备份操作步骤一个简单的备份操作有如下4个步骤 1 选择备份的文件 文件夹和驱动器 2 为备份数据选择存储媒体或文件位置 3 设置备份选项 4 开始备份 下面介绍WindowsServer2003中备份与还原的操作步骤 3 创建备份作业 1 通过 开始 所有程序 附件 系统工具 备份 菜单命令打开 备份或还原向导 对话框 2 可以单击 下一步 按钮 按照向导的提示继续操作下去 在此我们不这么做 我们在 高级模式 处单击鼠标 打开 备份工具 控制台 3 在 备份工具 控制台中选择 欢迎 选项卡 单击 备份向导 按钮 打开 欢迎使用备份向导 对话框 单击 下一步 按钮 打开 要备份的内容 对话框 选择 备份选定的文件 驱动器或网络数据 单选钮 然后 按向导提示一步步操作 4 在 完成备份向导 对话框 可单击 完成 按钮 开始备份 也可以单击 高级 按钮 对备份选项进行设置 5 单击 高级 按钮 打开 备份类型 对话框 在 选择要备份的类型 下拉列表框中可选择备份类型 然后 按向导提示一步步操作 说明 对某文件或文件夹如果是进行第1次备份 一般选择 正常 类型 如果是进行第2次备份以后的多次备份 可选择 增量 或 差异 类型 以降低对存储设备空间的占用 4 制定备份计划在 备份 控制台中使用 欢迎 选项卡中 备份向导 开始进行备份 或使用 计划作业 选项卡中 添加作业 按钮调出 备份向导 开始进行备份 当进行到 完成备份向导 对话框时选择 高级 按钮 对备份的有关选项进行设置 当进行到 备份时间 对话框时 选择 以后 单选钮 在 作业名 栏中输入一个作业名 再单击 设定备份计划 按钮 打开 计划作业 对话框 在此可设定以后备份的计划 说明 制定备份计划时 一般备份时间最好选择在非工作时间 5 还原数据文件或文件夹的还原操作一般有如下4个步骤 1 选择要还原的文件 文件夹 2 为备份文件和文件夹还原的位置 3 设置还原选项 4 开始还原 如果域中有多个域控制器 可用两种方法还原 通过复制另一个域控制器来还原活动目录 或者从备份媒体中还原活动目录 如果域中只有一个域控制器 则只能从备份媒体中还原活动目录 如果可能 可使用自动系统恢复 ASR 文件修复系统 如果使用ASR仍不能修复系统 或计算机出现硬件故障而必须重装整个计算机 重装WindowsServer2003 并且保证磁盘卷的数量和容量与以前的系统相同或者更大 可从备份媒体中还原活动目录 使用备份来还原系统状态 将还原活动目录 文件复制服务 包含SYSVOL 和凭证服务 如果安装了的话 如果重装WindowsServer2003时换了计算机或网卡 就需要手工配置网络设置 为了在域控制器还原系统状态数据 必须在WindowsServer2003启动时按下F8功能键 以目录服务还原模式启动计算机 使用这种模式 可以还原活动目录和系统卷 SYSVOL文件夹 如果以安全模式启动计算机 应当按照使用安全和其他启动选项中的指令进行 并单击 目录服务还原模式 如果还原系统状态数据而没有为被还原的数据指定还原的备用位置 备份将删除当前系统状态数据 且用正在还原的系统状态数据代替 如果还原系统状态数据指定了还原的备用位置 则只有注册表文件 系统卷 目录文件和系统启动文件被还原到指定的还原备用位置 活动目录数据库 凭证服务数据库和组件服务数据库都不会被还原 下面介绍文件或文件夹的还原操作步骤 在 备份 控制台中选择 欢迎 选项卡 单击 还原向导 按钮 打开 欢迎使用还原向导 对话框 单击 下一步 按钮 打开 还原项目 对话框 在此对话框中选择要还原的文件或文件夹 然后 按向导提示一步步操作 8 2交换机端口MAC地址限制 在用户的局域网中 如果有非法用户使用自带的笔记本电脑连入网络 并使用合法账号上网 那么他就能窃取服务器的资料 甚至破坏服务器 这类问题该如何杜绝呢 在交换机的端口限制MAC地址 可以有效地防止非法用户的入侵 我们知道 计算机是通过网卡来访问网络的 而每一块网卡具有全球惟一的MAC地址 就像每个人具有惟一的身份证号码一样 交换机 端口MAC地址限制 是指在交换机上指定 可以是自动学习 也可以是手工指定 能访问该端口的MAC地址 可以是一个或多个地址 而在指定的MAC地址范围之外的网卡就不能通过该端口上网 每个工作站上网时 交换机在自己的内存中查找所有被允许的MAC 如果能够匹配 交换机就允许该工作站上网 否则交换机自动禁用该端口 使非法工作站无法上网 在基于CiscoIOS的Catalyst交换机的在全局配置模式下 使用下面的命令可给端口设置静态MAC地址 mac address tablestaticvlaninterface说明 该命令可分配一个静态的MAC地址给某些端口 即使重新启动交换机 这个地址也仍然会存在 交换机不会去更新静态MAC地址表项 默认情况下 交换机的MAC地址表项都是动态的 会定期得到更新 在某端口上设置了静态MAC地址后 该端口将只允许这个MAC地址对应的设备连接在该端口上进行通信 例如 命令mac address tablestatic5254 AB12 3A5Cvlan1interfacefa0 1 就是在端口1上设置一个静态的MAC地址5254 AB12 3A5C 在特权模式下 利用showmac address table命令可查看MAC地址表 8 3VLAN的设置 8 3 1VLAN概述虚拟局域网 VLAN或VirtualLAN 在逻辑上等于OSI七层模型上第二层的广播域 它与具体的物理网及地理位置无关 在传统的共享局域网或者交换局域网环境中 整个网络处于同一个广播域中 即所谓的同一个LAN 这样当大量用户发送广播信息时容易形成广播风暴 使得整个网络瘫痪 虚拟网技术把传统的广播域按需要分割成各个独立的广播域 LAN 由于广播域的缩小 网络中广播包消耗带宽所占的比例大大降低 网络的性能得到显著的提高 利用虚拟网技术的这些特点将不同的部门或不同的应用系统分配于不同的VLAN之中 实现不同部门或不同应用系统的逻辑隔离 VLAN的功能及其划分都是在支持VLAN的交换机上通过网管软件实现的 因此 用户不仅可以方便地划分VLAN 以后还可以随时修改VLAN的配置 这给用户的管理带来极大的灵活性 虚拟网的划分可以基于如下规则 policy 交换机端口 IP地址和子网 网卡 MAC 地址或者上述三种规则的组合 在一个交换的VLAN环境下 数据包只在相同的广播域中的端口之间才进行交换 VLAN在第2层执行网络分区和通信量分离 所以 如果没有像路由器这样的第3层设备 VLAN之间就不能通信 因为是网络层 第3层 设备负责在多个广播域之间通信 而路由器的包过滤或防火墙的功能可被用来对不同虚拟网间用户的通信做逐项检查 通信可以按照网络管理人员的要求被允许或禁止 从而实现不同部门或不同应用系统间的访问控制 提高了网络的安全性 8 3 2VLAN的设置步骤以Cisco的Catalyst交换机为例 在每台交换机上都要做以下类似的设置 1 设置VTP域名和模式在特权模式下键入vlandatabase 开始有关的设置 vlandatabase vlan vtpdomain vlan vtp server client transparent vlan vtppruning 说明 1 这一步只在VLAN要跨交换机时使用 2 VTP意为VLANTrunkingProtocol 即VLAN主干协议 主要用于在交换机间传递VLAN信息 3 VTP域只有在server和transparent模式下才可创建VLAN 常用的为server模式 这也是Catalyst交换机的默认域模式 2 将交换机之间的级连口trunk打开在级连口的端口配置模式下使用switchportmodetrunk命令 将级连口trunk打开 说明 1 这一步只在VLAN要跨交换机时使用 2 在不同交换机上设置同一个VLAN时 他们的VTP域名和必须相同 3 trunk端口属于所有的VLAN 3 添加 创建 VLAN在特权模式下键入如下命令 vlandatabase vlan vlan name 4 添加端口到VLAN中在端口配置模式下键入如下命令 config if switchportmodeaccess config if switchportaccessvlan 5 VLAN之间的路由设置在第3层交换机中 由于VLAN和路由模块同处于一台交换机中 VLAN相当于路由器的直连网段 其路由信息会被直接收集到路由表中 所以VLAN之间的路由无须人工配制 只要使用如下命令为每个要进行数据路由的VLAN对应的VLAN接口分配一个惟一的IP地址 再将相应VLAN中的各计算机的默认网关设置为该VLAN接口的IP地址 即可实现VLAN之间的第三层通信 config interfacevlan config if ipaddress config if noshutdown 8 4访问控制列表 路由器 或第三层交换机 上的访问控制列表 AccessControlList ACL 功能可实现包过滤的功能 ACL选择路由器的端口作为控制点 检查每一个进出的数据包 ACL是基于网络层协议的 支持IP IPX等多种协议 对于IP ACL可检查IP包的源地址 目的地址 TCP和UDP TCP和UDP上的端口号等深层信息 提供了良好的控制能力 通过交换机上VLAN功能和路由器的ACL功能的有机结合 可分离用户中不同部门的不同应用 保证用户网的内部访问安全性 包过滤功能可以控制控制数据包在网络中的传输 通过包过滤可以限制网络流量以及增加网络安全性 包过滤功能对路由器本身产生的数据包不起作用 当数据包进入某个端口时 路由器首先检查该数据包是否可以通过路由或桥接方式送出去 如果不能 则路由器将丢掉该数据包 如果该数据包可以传送出去 则路由器将检查该数据包是否满足该端口中定义的包过滤规则 如果包过滤规则不允许该数据包通过 则路由器将丢掉该数据包 Cisco路由交换设备中有两种方式的包过滤规则 1 标准包过滤 该种包过滤只对数据包中的源地址进行检查 在要求控制级别较低的情况下使用 2 扩展包过滤 该种包过滤对数据包中的源地址 目的地址 协议及端口号都进行检查 常用在更加复杂的控制数据包的传输 它可以满足到端口级的要求 配置包过滤分为两个步骤 先定义包 标准或扩展 过滤规则 然后再引用包过滤规则 1 定义标准包过滤规则在全局配置状态下输入如下格式的命令 access list2 定义扩展包过滤规则在全局配置状态下输入如下格式的命令 access list Cisco路由交换设备中access list规定的标识号码如下 IP标准包过滤标识号码范围为1 99 IP扩展包过滤标识号码范围为100 199 可以在指定范围内任意选择一个标识号码定义相应的包过滤规则 deny参数表示禁止 permit表示允许 通配符也为32位二进制数字 并与相应的地址一一对应 路由器将检查与通配符中的 0 2进制 位置一样的地址位 对于通配符中 1 2进制 位置一致的地址位 将忽略不检查 如果要检查的是一台主机 通配符可写为0 0 0 0 通配符在书写上也可看成是子网掩码的反码 在命令中地址和通配符的组合可使用any代表匹配所有地址 使用host代表一台主机 等同于0 0 0 0 一个包过滤规则可以包含一系列检查条件 即可以用同一标识号码定义一系列access list语句 路由器将从最先定义的条件开始依次检查 如数据包满足某个条件 路由器将不再执行下面的包过滤条件 如果数据包不满足规则中的所有条件 Cisco路由交换设备默认最后一句为ACL中加入了denyanyany 也就是丢弃所有不符合条件的数据包 3 引用包过滤规则在需要包过滤功能的端口 输入如下格式的命令 ipaccess group其中in表示对进入该端口的数据包进行检查 out表示对要从该端口送出的数据包进行检查 如果不进行步骤3的配置 则所定义的包过滤规则根本不会执行 例 标准包过滤配置在全局配置模式下 定义标准包过滤规则access list10denyhost192 168 1 1 或access list10deny192 168 1 1 上面这条命令是将所有来自192 168 1 1地址的数据包丢弃 access list10deny192 168 2 00 0 0 255上面这条命令是将来自192 168 2 0 24网段的所有计算机数据包进行过滤丢弃 access list10permitany上面这条命令是允许其他任何地址的计算机进行通信 引用包过滤规则intvlan1ipaccess group10out在VLAN1中引用10号包过滤规则 对从该端口送出的数据包进行检查 例 扩展包过滤配置在全局配置模式下 定义扩展包过滤规则access list101denytcp10 0 0 10 0 0 0172 16 0 1000 0 0 0eq23上面这条命令是不允许主机10 0 0 1访问主机172 16 0 100上的telnet应用 access list101permitipanyany上面这条命令是允许其他任何地址的计算机进行通信 引用包过滤规则ints0 0ipaccess group101in在s0 0端口中引用101号包过滤规则 对进入该端口的数据包进行检查 8 5漏洞扫描系统 漏洞是存在于系统中的一个弱点或者缺点 广义的漏洞是指非法用户未经授权获得访问或提高其访问层次的硬件或软件特征 实际上 漏洞可以是任何东西 许多用户非常熟悉的特殊的硬件和软件存在漏洞 如PC机的CMOS口令在CMOS的电池供电不足 不能供电或被移走情况下会丢失CMOS信息也是漏洞 操作系统 浏览器 TCP IP 免费电子邮箱等都存在漏洞 微软对漏洞的明确定义 漏洞是可以在攻击过程中利用的弱点 可以是软件 硬件 程序缺点 功能设计或者配置不当等 每个系统都有漏洞 不论在系统安全性上投入多少财力 攻击者仍然可以发现一些可利用的特征和配置缺陷 现在 安全漏洞所引发的安全事件愈演愈烈 通过系统漏洞传播的病毒 针对漏洞进行的攻击给我们造成了巨大的破坏 而广大用户往往在病毒爆发之后或者安全事件出现之后才想到进行漏洞的弥补 而此时损失已经无法弥补 漏洞扫描是一种自动检测计算机安全脆弱点的技术 扫描程序集中了已知的常用攻击方法 针对系统可能存在的各种脆弱点进行扫描 输出扫描结果 以便审查人员分析并发现系统存在的漏洞 扫描程序还可以通过TCP IP端口查询 记录目标响应的情况 收集相关的有用信息 以发现网络系统的安全漏洞 利用漏洞扫描技术可以快速地在大范围内发现已知的系统安全漏洞 漏洞扫描系统是在安全事件出现之前就对可能出现问题的漏洞进行侦测 弥补和评估 它指出了哪些攻击是可能的 因此成为安全方案的一个重要组成部分 目前 漏洞扫描产品可以分为基于网络的扫描和基于主机的扫描这两种类型 基于网络的漏洞扫描器 就是通过网络来扫描远程计算机中的漏洞 一般来说 基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具 它根据不同漏洞的特性 构造网络数据包 发给网络中的一个或多个目标服务器 以判断某个特定的漏洞是否存在 基于主机的漏洞扫描器 扫描目标系统的漏洞的原理 与基于网络的漏洞扫描器的原理类似 但是 两者的体系结构不一样 基于主机的漏洞扫描器通常在目标系统上安装了一个代理 Agent 或者是服务 Services 以便能够访问所有的文件与进程 这也使得基于主机的漏洞扫描器能够扫描更多的漏洞 8 6计算机病毒的防治 8 6 1计算机病毒概述1 计算机病毒的定义计算机病毒 Virus 在 中华人民共和国计算机信息系统安全保护条例 中被明确定义 病毒 指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 2 计算机病毒的产生现在流行的病毒是由人为故意编写的 多数病毒可以找到作者和产地信息 从大量的统计分析来看 病毒作者主要情况和目的是 一些天才的程序员为了表现自己和证明自己的能力 处于对上司的不满 为了好奇 为了报复 为了祝贺和求爱 为了得到控制口令 为了软件拿不到报酬预留的陷阱等 当然也有因政治 军事 宗教 民族 专利等方面的需求而专门编写的 其中也包括一些病毒研究机构和黑客的测试病毒 3 计算机病毒的特点 1 寄生性 2 传染性 3 潜伏性 4 隐蔽性 5 破坏性 6 可触发性 4 计算机病毒分类计算机病毒可以根据多种属性进行分类 1 按照计算机病毒存在的媒体进行分类根据病毒存在的媒体 病毒可以划分为网络病毒 文件病毒 引导型病毒 还有这三种情况的混合型 例如 多型病毒 文件和引导型 感染文件和引导扇区两种目标 这样的病毒通常都具有复杂的算法 它们使用非常规的办法侵入系统 同时使用了加密和变形算法 2 按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒 3 根据病毒破坏的能力进行分类 无害型 无危险型 危险型 非常危险型 4 根据病毒特有的算法进行分类 伴随型病毒这类病毒并不改变文件本身 它们根据算法产生EXE文件的伴随体 具有同样的名字和不同的扩展名 COM 蠕虫型病毒这类病毒通过计算机网络传播 不改变文件和资料信息 利用网络从一台机器的内存传播到其他机器的内存 有时它们在系统存在 一般除了内存不占用其他资源 寄生型病毒除了伴随和蠕虫型 其他病毒均可称为寄生型病毒 它们依附在系统的引导扇区或文件中 通过系统的功能进行传播 5 计算机病毒的发展在病毒的发展史上 病毒的出现是有规律的 一般情况下一种新的病毒技术出现后 病毒迅速发展 接着反病毒技术的发展会抑制其流传 操作系统升级后 病毒也会调整为新的方式 产生新的病毒技术 计算机病毒的发展可划分为以下几个阶段 1 DOS引导阶段 2 DOS可执行阶段 3 伴随 批次型阶段 4 幽灵 多形阶段 5 生成器 变体机阶段 6 网络 蠕虫阶段 7 Windows阶段 8 宏病毒阶段 9 互联网阶段 10 Java 邮件炸弹阶段 6 计算机病毒的破坏行为计算机病毒的破坏行为体现了病毒的杀伤能力 病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量 数以万计不断发展扩张的病毒 其破坏行为千奇百怪 不可能穷举其破坏行为 而且难以做全面的描述 根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下 1 攻击系统数据区攻击部位包括 硬盘主引导扇区 Boot扇区 FAT表 文件目录等 一般来说 攻击系统数据区的病毒是恶性病毒 受损的数据不易恢复 2 攻击文件病毒对文件的攻击方式很多 可列举如下 删除 改名 替换内容 丢失部分程序代码 内容颠倒 写入时间空白 变碎片 假冒文件 丢失文件簇 丢失数据文件等 3 攻击内存内存是计算机的重要资源 也是病毒攻击的主要目标之一 病毒额外地占用和消耗系统的内存资源 可以导致一些较的大程序难以运行 病毒攻击内存的方式如下 占用大量内存 改变内存总量 禁止分配内存 蚕食内存等 4 干扰系统运行此类型病毒会干扰系统的正常运行 以此作为自己的破坏行为 此类行为也是花样繁多 可以列举下述诸方式 不执行命令 干扰内部命令的执行 虚假报警 使文件打不开 使内部栈溢出 占用特殊数据区 时钟倒转 重启动 死机 强制游戏 扰乱串行口 并行口等 5 使系统速度下降病毒激活时 其内部的时间延迟程序启动 在时钟中纳入了时间的循环计数 迫使计算机空转 计算机速度明显下降 攻击磁盘 攻击磁盘数据 不写盘 写操作变读操作 写盘时丢字节等 6 干扰屏幕 键盘或喇叭病毒扰乱屏幕显示的方式很多 可列举如下 字符跌落 环绕 倒置 显示前一屏 光标下跌 滚屏 抖动 乱写 吃字符等 键盘病毒 干扰键盘操作 已发现有下述方式 响铃 封锁键盘 换字 抹掉缓存区字符 重复 输入紊乱等 喇叭病毒 许多病毒运行时 会使计算机的喇叭发出响声 有的病毒作者通过喇叭发出种种声音 有的病毒作者让病毒演奏旋律优美的世界名曲 在高雅的曲调中去杀戮人们的信息财富 已发现的喇叭发声有以下方式 演奏曲子 警笛声 炸弹噪声 鸣叫 咔咔声 嘀嗒声等 7 攻击CMOS在机器的CMOS区中 保存着系统的重要数据 例如系统时钟 磁盘类型 内存容量等 并具有校验和 有的病毒激活时 能够对CMOS区进行写入动作 破坏系统CMOS中的数据 8 干扰打印机典型现象为 假报警 间断性打印 更换字符等 9 网络病毒破坏网络系统网络病毒会非法使用网络资源 破坏电子邮件 发送垃圾信息 占用网络带宽等等 7 网络病毒的特点计算机网络的主要特点是资源共享 一旦共享资源感染上病毒 网络各节点间信息的频繁传输将把病毒传染到共享的所有机器上 从而形成多种共享资源的交叉感染 病毒的迅速传播 再生 发作将造成比单机病毒更大的危害 在网络环境中 计算机病毒具有如下一些新的特点 1 传染方式多病毒入侵网络的主要途径是通过客户机传播到服务器硬盘 再由服务器的共享目录传播到其他工作站 2 传染速度快在单机上 病毒只可能通过软盘 光盘从一台计算机传染到另一台计算机 而在网络中病毒则可通过网络通信机制 借助高速电缆 光缆进行迅速扩散 3 清除难度大在单机上 再顽固的病毒也可通过删除带毒文件 低级格式化硬盘等措施将病毒清除 而网络中只要有一台客户机未消毒干净就可使整个网络全部被病毒程序所传染 甚至刚刚完成消毒工作的一台客户机也有可能被网络中另一台客户机的带毒程序所传染 因此 仅对客户机进行杀毒处理并不能彻底解决网络病毒问题 4 破坏性强网络上的病毒将直接影响网络的工作 轻则降低速度 影响工作效率 重则造成网络系统的瘫痪 破坏服务器系统资源 5 可激发性网络病毒激发的条件多样化 可以是内部时钟 系统的日期和用户名 也可以是网络的一次通信等 一个病毒程序可以按照设计者的要求 在某个客户机上激活并发出攻击 6 潜在性网络一旦感染了病毒 即使病毒已被消除 其潜在的危险仍然巨大 根据DATAQUEST公司的研究发现 病毒在网络上被消除后 85 的网络在30天内会再次被感染 8 6 2计算机病毒的防治计算机病毒的防治首先要在思想上重视 加强管理 防止病毒的入侵 对外来文件应该先进行查毒 要意识到预防与消除病毒是一项长期的工作任务 不是一劳永逸的 应坚持不懈 为此 要建立 健全法律和管理制度 加强教育和宣传 采取更有效的技术措施 1 计算机病毒的检测计算机工作出现下列异常现象 则有可能感染了病毒 1 屏幕出现异常图形或画面 这些画面可能是一些鬼怪 也可能是一些下落的雨点 字符 树叶等 并且系统很难退出或恢复 2 扬声器发出与正常操作无关的声音 如演奏乐曲或是随意组合的 杂乱的声音 3 磁盘可用空间减少 出现大量坏簇 且坏簇数目不断增多 直到无法继续工作 4 硬盘不能引导系统 5 磁盘上的文件或程序丢失 6 磁盘读 写文件明显变慢 访问的时间加长 7 系统引导变慢或出现问题 有时出现 写保护错 提示 8 系统经常死机或出现异常的重启动现象 9 原来运行的程序突然不能运行 总是出现出错提示 10 打印机不能正常工作 2 预防计算机病毒的注意事项 1 备好启动盘 2 备份重要资料 3 尽量避免在无防毒软件的机器上使用可移动储存介质 4 使用新软件时 先用扫毒程序检查 可减少中毒机会 5 准备一份具有杀毒及保护功能的软件 将有助于杜绝病毒 6 数据遭受破坏时重建硬盘 7 不要在互联网上随意下载软件 8 不要轻易打开电子邮件的附件 3 防范计算机网络病毒的一些措施 1 在网络中 尽量不用或少用有软驱的客户机 2 在网络中 要保证系统管理员有最高的访问权限 避免过多地出现超级用户 3 对非共享软件 将其执行文件和覆盖文件如 COM EXE OVL等备份到文件服务器上 定期从服务器上拷贝到本地硬盘上进行重写操作 4 接收远程文件输入时 一定不要将文件直接写入本地硬盘 而应将远程输入文件写到软盘上 然后对其进行查毒 确认无毒后再拷贝到本地硬盘上 5 正确设置文件属性 合理规范用户的访问权限 6 建立健全的网络系统安全管理制度 严格操作规程和规章制度 定期作文件备份和病毒检测 7 目前预防病毒最好的办法就是在计算机中安装防病毒软件 这和人体注射疫苗是同样的道理 采用优秀的网络防病毒软件 8 为解决网络防病毒的要求 已出现了病毒防火墙 防病毒网关 部署在局域网与Internet之间 以防止Internet上的病毒传入 在网络中 特别是局域网中对计算机病毒防治的重点应从单机转向网络 为此 应采用网络版的反病毒软件 4 反病毒软件产品国内常用的