网络基础应用培训(VPN-防毒篇)

网络基础应用平台网络通讯室2009年04月24日学习目的：了解公司计算机网络基础架构；熟练掌握防病毒技术；熟练掌握VPN应用计算机网络定义是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统第一讲：网络基础架构第二讲：防病毒第三讲：VPN应用第一讲：网络基础架构网络拓朴图桌面基础架构服务器基础架构2007.01宁波钢铁园区网络拓扑结构综合办公大楼轧炼钢大楼焦化厂水处理大楼网管中心服务器及ERP群总降机房热轧卷库无线2007.01网络性能介绍可扩展性可用性灵活性可管理性安全性2007.01可扩展性、灵活性采取模块化设计可以根据网络的需求变化而变化。可在不影响现有网络运行的状况下，迅速扩展。在我们提供的园区网络方案中，整个园区网络设计中分为InternetLayer、CoreLayer、DistributionLayer、AccessLayer和AdministrationLayer。每个模块可以进行独立设计，可根据不同需求、规模、及业务发展状况进行改进、取舍。我们的园区网络解决方案中采用的设备均可灵活提供多种接口2007.01InternetLayerCoreLayerDestributeLayerAccessLayer2007.01可用性高可用性是园区网络成功的关键。针对园区网络方案，其可用性设计包括网络设备本身的冗余能力、网络的冗余。关键设备均采用电信级全冗余，可实现模板热拔插、冗余电源设计、风扇冗余。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术-在不同层次可提供增值冗余，分布层采用HSRP实现高效、负载均衡的双机备份。采用FEC(FastEthernetChannel)、GEC(GigabitEthernetChannel)实现网络连接点对点、及与服务器连接的高效、负载均衡的冗余功能。

2007.01HSRPRedundancyHSRPHSRP2007.01可管理性对于一个园区网络而言，运行管理的成功与否是园区网络是否成功的标志，而网络的可管理性是园区网络运行管理成功的基础。我们可提供多种优化的可管理信息。CiscoWorks2000可以做到对网络的拓扑管理（包括物理拓扑和vlan管理）、资产管理、用户管理、流量检测及路径检测。Works提供最直观的图形化界面，让网络管理员在最短的时间内定位问题发生点。2007.01安全性对物理空间的安全控制及网络的安全控制。Stateful的防火墙保障网络流量的安全。基于硬件处理可实现线速的安全控制。在关键应用处的入侵检测机制。IDS可以侦测到网络中潜在的攻击及病毒威胁，并提醒管理员。对用户接入处的严格的安全限定。如无线加密实现DHCP

Snooping防止恶意或意外地将非授权DHCP

Server连接到网络，造成网络IP冲突、瘫痪。应用实例如何查看IP地址内网FTP服务器怎么打开 内网、ERP如何打开

如何连接打印机桌面基础架构PC生命周期运行着大量在线数据的计算机产品的生命周期正在逐渐缩短，简而言之，能够满足企业需要的计算机淘汰速度正在增快，这势必为企业资源带来极大的浪费。所谓计算机生命周期，是用户在商务环境下开发并建设IT系统的不同阶段，其中包括计划（plan）、部署（deploy）、管理（manage）和退役重组（retire）。它们是IT系统建立和管理的基础，也是所有用户所必须经历的阶段

PC生命周期首先是Plan（规划）环节，该环节作为整个产品生命周期系统的开始，涉及到设计方案、市场需求分析以及采购策略等环节其次是Deploy（实施）环节。该部分主要包括软件安装、配置以及硬件的兼容性等等PC生命周期PC生命周期的Manage（管理）环节。它包括资产信息支持、管理支持、故障排除支持、控制优化以及产品升级换代等六个部分生命周期的最后一个环节是资源的Retire（退役重组）。其主要目的是确定产品的更新换代。它包括系统资源的重新识别、保留和管理三个部分标准镜像部署SUS（微软更新服务器）：针对部份微软应用软件的漏洞补丁镜像，如Office、SQLServer、Exchange和硬件驱动程序在内的Microsoft产品的升级更新的支持

WSUS：所有微软产品的漏洞补丁镜像SMS:所有微软产品的漏洞补丁镜像,操作系统远程安装和重启的控制桌面虚拟化一块硬盘可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上。常见的虚拟化软件VMM（VirtualMachineMonitor，虚拟机监视器），对硬件的依赖性比较强CPU的虚拟化技术，一种硬件虚拟方案，大大提高虚拟机性能

IT管理自动化如今，企业的业务绩效与IT管理间的联系越来越紧密，IT系统早已被看作企业的生产系统之一。但同时，客户的需求正变得更加个性化和易变，企业都在致力于为客户提供真正按需分配的IT服务，由此，对服务背后的IT基础设施的高可用性和灵活响应提出了更高要求

对于越来越复杂的IT基础架构，将纯粹的人工操作变为一定程度的自动化管理是一个重要发展趋势。IT管理自动化

目的：降低成本、加快响应速度、减低风险

伴随国际金融危机的影响逐步扩大，很多企业没有像以前那样有宽裕的IT预算了，如今的现实选择，更多的是考虑如何提高现有资源的利用率，从而降低成本。

总结：用最少的人干越来越多的事，提高效率，提高岗位价值桌面安全你的电脑安全吗？桌面安全针对日益严重的内部信息泄漏问题，FBI对484家公司调查显示：面对来自于公司内部的安全威胁，85%的安全损失是由企业内部原因造成的

内网安全的新趋势是网络防护与端点防护并重对于这些来自公司内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的

桌面安全建立桌面计算机安全管理系统的意义：１.通过批量设置计算机的安全保护措施提高桌面计算机的安全性，及时更新桌面计算机的安全补丁，减少被攻击的可能；２.实现动态安全评估，实时评估计算机的安全状态及其是否符合管理规定，例如：评估计算机的网络流量是否异常、是否做了非法操作(拨号上网、安装游戏软件等)、安全设置是否合理等；３.批量管理设置计算机，例如：进行批量的软件安装、批量的安全设置等；桌面安全4.防止外来电脑非法接入，避免网络安全遭受破坏或者信息泄密；5.确保本单位的计算机使用制度得到落实，例如：禁止私自更改IP地址，禁止使用外部邮箱，禁止访问非法网站，禁止将单位机密文件复制、发送到外部等；6.出现安全问题后，可以对有问题的IP/MAC/主机名等进行快速的定位；7.实现计算机的资产管理和控制服务器基础架构当谈到服务器的时候，我们应该怎么理解基础架构（infrastructure）的含义呢？作为企业IT支撑平台，在大多数情况下，服务器并不是以单机形态工作，管理员往往会以不同群组区分它们：不同类型、不同功能、可扩展性集群等，然后将它们有机组织起来提供支持，以便使它们更好地一起协同工作。所以，基础架构的含义不仅包括把服务器按照各种方式组织起来，而且包含所提供的支持它们正常运行的工具。也就是说，要使得服务器基础架构运行，管理员必须首先把服务器以正确的方法装配起来，然后监测它们的运行状况、管理它们的服务第二讲：防病毒病毒原理病毒传播途径病毒预防病毒原理引言：随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。每年世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。原理：所谓"计算机病毒"是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自80年代莫里斯编制的第一个"蠕虫"病毒程序至今，世界上已出现了多种不同类型的病毒，对网络安全威胁较大的主要有以下几种：

病毒类型普通病毒（computervirus）一种会“传染”其它程序的程序，“传染”是通过修改其它程序来把自身或其变种复制进去完成的。很多电子邮件病毒都属此类，如著名的“爱神”（love）病毒和“梅莉莎”病毒。计算机蠕虫（computerworm）一种通过网络的通信功能将自身从一个节点发送到另一个节点并启动之的程序。这种病毒虽然不会破坏你的计算机数据和硬件，但是它不断扩散，与正常程序展开计算机时间的争夺战，成千上万的计算机变得越来越慢，最后陷于瘫痪。

（例如：熊猫烧香、爱情后门、威金蠕虫、worm_downad

）病毒类型特洛伊木马（Trojanhorse）一种程序，能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。如一个编译程序除了编译任务以外，还把用户的源程序偷偷地拷贝下来，则这种编译程序就是一种特洛伊木马。如：TROJ_IFRAME.CP,TROJ_GEN.2Z1911S，GenericTrojan等逻辑炸弹（logicbomb）一种当运行环境满足某种特定条件时执行其它特殊功能的程序。如一个编辑程序，平时运行得很好，但当系统时间为13日又为星期五时，它删去系统中所有的文件，这种程序就是一种逻辑炸弹。由一个台湾学生制造的CIH病毒也属此类，因为它每月26日（尤其是3月26日）都会发作，恶毒地改写你的BIOS。问题：计算机管理员通常讲某台电脑中了“恶意软件、流氓软件“，他们属于病毒吗？病毒与恶意软件区别“流氓软件”[恶意软件]是介于病毒和正规软件之间的软件。同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件

流氓软件分类根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：1、广告软件（Adware）

定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。

危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。

例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。

流氓软件分类2、间谍软件(Spyware)

定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。

危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。

例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。手机间谍软件“X卧底”

流氓软件分类3、浏览器劫持

定义：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。

危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。

例如：一些不良站点会频繁弹出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术（此技术通常被病毒使用）来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。3448、4199、7939等流氓软件

流氓软件分类4、行为记录软件（TrackWare）

定义：行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。

危害：危及用户隐私，可能被黑客利用来进行网络诈骗。

例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。

微软、谷歌、雅虎和美国在线等公司旗下的电子邮箱遭黑客“网络钓鱼”

3万邮箱账户信息失窃

流氓软件分类5、恶意共享软件(maliciousshareware)

定义：恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。

危害：使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。

例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。

又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失的数据。流氓软件表现形式采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；强行弹出广告，或者其他干扰用户占用系统资源行为有侵害用户信息和财产安全的潜在因素或者隐患；未经用户许可，或者利用用户疏忽,或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私病毒传播途径软盘光盘硬盘U盘电子布告栏（BBS）网络（数据共享、电子邮件、网络文件下载、潜在语言病毒（html、java））预防病毒1、及时为WINDOWS打补丁，方法：打开IE——/工具(T)/——/

Windows

Update(U)

/

——并按步骤更新

原因：为WINDOWS打补丁是很很重要的，因为许多病毒都是根据WINDOWS的漏洞写出来的。

2、浏览不安全的网站，把“INTERNET

安全性

属性”的安全级别调高级。方法：双击IE右下方的小地球，按一下默认级别，向上移动滑块，然后确定。

原因：禁止网页使用的控件，它就不能在你背后搞小动作了。

说明：有些网页是要使用正常的控件的，比如听歌的看电影的网页等等，这时你得把‘INTERNET

安全性属性’调回中级。

3、下载后和安装软件前一定要杀毒，不明白什么东西不要打开他。

原因：或许你下载的网站不会放病毒的软件，但不排除它可能被人入侵，然后被放置带病毒的软件，总之安全第一。

说明：下载后安装前杀是个好习惯。

预防病毒4、经常更新毒库杀毒。

原因：病毒的发展是会不停止的，更新毒库才能杀新的病毒。5、不要安装太多的IE的辅佐工具。

原因：IE的辅佐工具之间可能有冲突，而且会占用一定的内存。

说明：所谓请神容易送神难，在按‘确定’前一定要想清楚。

6、不需要安装太多的杀毒软件。

原因：杀毒软件之间也可能有冲突，而且会占用较多的内存。

说明：一般来说要‘求精不求多’，通常安装三样功能：防病毒、防火墙、防木马。

预防病毒7、定期对电脑的进行手动捡查。

方法：系统盘中的Autoexec.bat

，windows中的Msconfig.exe

和注册表中Run启动项

说明：如果发现新的加载项目那你就得小心点了。

8、重要文档不要放在系统盘中，而且要备份好。

9、刚做完的新系统给系统盘做一个映象文件。如果碰到新的病毒，连杀毒软件也没能为力，只得还原映象了。

总结：及时打补丁，经常升毒库杀毒，不要打开不明的连接，上不安全的网站要调高级别，时常查看启动项，不要打开或安装来历不明的文件，做好备份，建个系统盘映象。

防治病毒

任重道远事物在发展，病毒在变种。一切都在变化不定。因此，即使你拥有较好的杀毒软件和防火墙，却没有良好的上网习惯，也一样会中招。

养成良好的上网习惯，不要去访问乱七八糟的网站，尽可能地访问正规网站。不要随意运行邮件中的附件，从网上下载的软件先用杀毒软件检查一遍再使用，对于QQ上发过来的未知链接地址，不要轻易去访问。因为你的朋友或许不知道他已经中毒了。不要去访问带有诱惑性的链接。电脑病毒天天与我们打交道，为引起全社会对电脑病毒和其他恶意软件的重视，提倡大家养成良好的上网习惯、增强安全防范意识、远离病毒的困扰。只要我们随时对电脑系统进行合理的维护，就可使电脑永远以最佳的状态运行基础应用之

VPN应用篇基础应用-VPNVPN（虚拟专用网络）：虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网

概述由于VPN（虚拟专网）比租用专线更加便宜、安全、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，一般通过加密协议，在发端加密数据、在收端解密数据，以保证数据的私密性。InternetProtocolSecutity(IPSec)和SecureSocketsLayer(SSL)是企业部署VPN所采用的两种主要技术，它们都用来作企业远程接入的加密和认证机制，以下我们简要介绍一下两种VPN组网方法，并尽可能的对两种技术作技术和应用的对比，使企业能够对两种技术的优劣进行对比，选取更加适合本企业的VPN技术。IPSEC-VPN设置打开控制面板中的网络连接，选择创建一个新连接，点击下一步，如图IPSEC-VPN设置选择连接到我的工作场所的网络VPN，点击下一步，见图

IPSEC-VPN设置选择虚拟专用网络连接VPN，点击下一步，见图

IPSEC-VPN设置输入此连接的名称，可任意填写，点击下一步，见图

IPSEC-VPN设置输入VPN服务器主机名或IP地址：，点击下一步，见图

IPSEC-VPN设置选择在桌面上创建一个快捷方式，点击完成。，见图

IPSEC-VPN设置弹出快捷方式VPN连接，选择属性，见图

IPSEC-VPN设置在属性窗口点击安全项，选择红框标示选项，见图

IPSEC-VPN设置在IPSEC设置窗口选择使用密钥，密钥为：12345，确定退出此窗口，见图

IPSEC-VPN设置在属性窗口点击网络项，