Download presentation
Presentation is loading. Please wait.
Published by串 勾 Modified 7年之前
1
邮件:blcui@njut.edu.cn 电话:3587667 -8011
全省校园网网管培训 ——Windows 2000 Server 南京工业大学网络中心 崔北亮 电话:
2
内容提纲: 1、WIN2K特性介绍 2、建站基础 3、实现WWW服务 4、WWW服务的高级配置 5、实现FTP服务 6、实现DHCP服务
7、实现DNS服务 8、邮件服务器的使用 9、系统监视与性能优化 10、 IIS排错 11、代理服务器的使用 12、路由和远程访问 13、 AD的使用 14、网络安全防范及灾难恢复 15、日积月累( DOS上网、远程管理、小技巧等) 内容提纲
3
第一讲 WIN2K特性介绍 一、WIN2K简介 1、特性简介: 2、与linux系统的比较
2、与linux系统的比较 费用:必须考虑与管理网络服务器有关的全部费用,而不仅仅是采购软件 的费用, 学习难度:WIN2K胜出 安装的难度:平手 技术支持: WIN2K胜出 性能及安全性:目前linux胜出 如果你是想建立一个个人或者小型商业服务器,那么Linux比较合适。其初始投资比较少;不过你要记住你金钱上的节省也许会导致时间上的损失。如果你是一个大公司的网络管理员,我猜你会选择Windows 2000。因大公司往往无法接受一个免费的操作系统来承担其关键任务。
4
3、IP地址的配置 网上邻居点右键,点属性,在弹出的“网络和拨号连接”窗口中的本地连接图 标上点右键(左图),会弹出右图,选TCP/IP后,再点属性
5
弹出如左图所示窗口,埴入IP地址,子网掩码,网关,DNS等,如要进行多 IP地址的配置可点击“高级”,在弹出的窗口中进行配置(如图)
6
二、管理工具的使用 1、用户和组的管理: 管理工具——计算机管理——本地用户和组
组的管理:如多个用户有相似的权限,则用组管理来实现,建立相应的用户组,并对组授与相应的权限,然后将用户加入到组中来。 说明:用户自动继承所在组的权限,如属于多个组,则用户最终的权限是多个组权限的组合;有一种情况除外,拒绝访问具有最高的优先级,可以覆盖其它的任何权限 用户的管理:可以新建、删除、更改用户,默认的超户只能改名和改密码,不能删除;可以将用户加入用户组,则用户就继承该用户组的所有权限 前者:读取和写入
7
2、文件系统的管理: 两种不同文件系统的比较: 硬盘分区的比较:FAT32 NTFS: NT file system
更主要的一点是NTFS的管理可以到文件级,而且具有更好的安全性,比如:对于FAT32的系统,通过软盘引导也可以查看,而对于NTFS如进行加密,即使是其它的NT系统也无法查看。为了更好的发挥WIN2K的优势,应使用NTFS
8
NTFS权限的设置: 读取 完全控制 写入 拒绝访问 最终的权限? 最终的权限?
1.完全控制:具有对文件夹的全部操作能力。 2.修改:能够更改、添加、读取文件。 3.读取:能够读文件内容和查看文件目录。(包括6) 4.写入:只能写入,不能查看文件内容,也不能浏览目录,没有2的权限高。 5.读取及运行:同时包括3和运行。 6.列出文件夹目录:能够查看文件夹内容,但不能访问文件。 7.禁止访问:不具有如何权限。 前者最终的权限:读取,及写入 后都最终的权限:拒绝访问 读取 完全控制 写入 拒绝访问 最终的权限? 最终的权限?
9
本地权限 共享权限 读取 读取 写入 如用户从网上登录访问的最终权限?
注意:远程共享用户对文件夹的最终权限是共享权限和安全权限中最严格的一种 本地权限 共享权限 读取 读取 读取 写入 如用户从网上登录访问的最终权限?
10
3、磁盘管理和共享文件夹的管理: 磁盘管理:管理工具——计算机管理——磁盘管理 在此可以更改驱动器的盘符,找到未分区的硬盘空间 共享文件夹的管理:管理工具——计算机管理——共享文件夹 在此可查看已有的共享,以“$”结尾的共享为隐藏共享,查看当前来访的用户,查看被其他用户打开的文件 也可以停止共享、中断用户的会话、中断打开的文件
11
4、服务 管理工具——服务 以Message服务为例:message服务主要用于信使服务,可以通过启、停来控制信息的传递;可以将一些服务从“自动”变成“手动”来实现避免“开机自启动” 5、本地安全策略 管理工具——本地安全策略 使用简介:
12
第二讲 Windows 2000建站基础 一、Internet主机名与域名 www.microsoft.com
root 一、Internet主机名与域名 其它的顶级域 net com edu microsoft update www bbs 主机名称 组织名称 代表该网站所属的组织为商业机构
13
二、IP寻址与DNS DNS的作用:实现域名解析,也就是将域名对应到相应的IP地址 使用DNS名称服务器进行名称解析的基本过程如下:
客户机如何配置DNS:WIN9X及WIN2K IP地址与域名的对应关系
14
三、IIS规划与实现 (Internet Information Server)
安装时应注意的安全问题: (1)避免安装在主域控制器上 (2)避免安装在系统分区上 (3)缺省随WIN2K一起安装,建议安装时断开网络,安装完成后暂停IIS,到微软下载相应补丁,安装病毒防火墙,启动IIS; 如WIN2K已经安装,则先微软下载相应补丁,安装病毒防火墙后再添加IIS程序 IIS的添加:控制面板——添加删除程序——添加/删除windows组件——选中第一项即可安装
15
2、IIS的安全性 (1)、以Windows NT的安全机制为基础(第十二讲中有专门的阐述)
16
第三讲 实现WWW服务 一、 Web站点基础 : 1、测试默认的WEB站点:在其它计算机IE地址栏中输入http://ip地址
2、创建虚拟目录:通过指向一个新的文件夹,说明这个问题 3、创建WEB站点: (1)增加本机IP地址的数量,为新建的WEB站点分配新的IP地址(虚拟服务器) (2)改变WEB站点的TCP端口号,不同的WEB站点使用不同的TCP端口号,对于访问使用非默认端口的WEB站点时要注意,一定要在网址的后面加上端口号,如: 例:通过用frontpage2000新建一个个人网站说明这个问题
17
二、 管理Web站点: 1、配置Web站点属性 : 在对应的WEB站点在点击右键,点属性 网站 的说明信息 该站点对应的IP
该站点对应的端口号 规定时间内用户没有反应,则断开 限制同时连接的用户数 选中能加快网站对用户 的响应速度 记录访问的日志 设置记录的选项及日志 的格式 可以按F1键查看更详细的帮助
18
2、配置主目录和内容权限 指定本地主目录路径 指定远程主目录 其他网站或其之下的目录 允许用户查看脚本资源,如ASP等
其它选项可以不用了解,如想进一步了解,可以查看联机帮助
19
默认情况下,只有超级用户有权管理WEB站点,你可以添加其他的管理员 4、调整web站点性能
3、分配站点管理员: 默认情况下,只有超级用户有权管理WEB站点,你可以添加其他的管理员 4、调整web站点性能 达到这一限制时,多出部分的请求将被拒绝 CPU使用的参考值,只会适当降低 如强制降低可能影响系统的稳定性
20
5、添加缺省主页 所谓缺省主页,是指用户在请求站点(例如在浏览器地址栏中输入站点域名)之后,所收到的默认网页。通常我们也将网站的首页称为主页。 通常客户机首先尝试加载优先级最高的主页,一旦不能成功下载,将降低优先级继续尝试。文档在列表中的位置越靠上意味着其优先级越高。
21
6、添加ISAPI筛选器 比如,适当配置后,可以让 IIS执行PHP的程序
ISAPI筛选器 是一种服务器端应用程序的实现方式,ISAPI筛选器又名ISAPI应用程序,是指使用ISAPI技术开发的程序。ISAPI类似早期的CGI技术,能够实现简单的浏览器/服务器(Browser/Server构架)交互式应用。ISAPI占用服务器内存小,能够运行于独立的内存空间,具有极大的灵活性。故逐渐成为CGI的替代技术。 ISAPI应用程序以动态链接库,即.dll文件的形式实现,凡是连入网站的用户必须通过该.dll文件的处理,从而实现应用程序的运行,因此,这种类似过筛子的应用程序工作方式页被叫做ISAPI筛选器。 比如,适当配置后,可以让 IIS执行PHP的程序
22
7、自定义错误信息 HTTP协议提供了一系列标准的错误代码,分别指示出错原因以及错误对象、可能的处理方法等信息。例如404错误,代表客户机请求的文件不存在;401.2错误,代表客户没有相应权限访问指定资源。 对于一个追求个性或者更加体贴用户的网站而言,有必要重新编辑这些提示信息,使之变得对客户更加有用,而不是对这一大堆术语束手无策 除了更改错误号对应的文件外,我们还可以修改原文件,如401-3.htm 使用见
23
8、设置内容过期策略和HTTP头 网站中的某些信息是对时间敏感的,诸如专门报价或通知公告,过期之后它们将失去存在价值。而客户机的本地缓存往往倾向于尽量多的将已经下载的网页保存在本地硬盘,以便客户机再次请求时直接从本地加载。这里提到的过期策略就是针对这一矛盾而开发的。它为当前主页预先定义过期时限,浏览器在加载网页时将当前日期与失效日期进行比较,以便确定是显示高速缓存页还是从服务器请求更新的页。(如想了解更多信息,请参考书本)
24
9、目录安全性
25
用户的限制
26
IP地址的限制(我校VOD站点如何实现对校外校内进行限制)
27
第四讲 WWW服务的高级配置 一、多Web站点配置 在一台计算机上实现多个Web站点的方式称为虚拟服务器。尤其对于多个小型
站点,虚拟服务器可以极大的节省硬件成本,如图 同一台主机配置多WEB站点的方式有三种,1、多IP;2、更改端口方式(存在着一定的不足,要求用户在IP地址或域名的后面加上端口号)
28
3、主机标头方式:一个IP,一个80端口实现多个域名(即虚拟主机)
配置:右键单击“站点名称”,在弹出菜单中选择属性”; 在“Web 站 点”选项卡中单击“高级”,然后双击第一栏中有IP地址的第 一行,添加IP地址,添加端口号,在主机标识名(Host Header Name)中 键入: 确 定”。 不足:实现如上所建立的虚拟服务器需要支持HTTP1.1的浏览器,IE3.0以上, Netscape 3.0以上都支持HTTP1.1。IIS4的虚拟服务器功能只支持Web服 务,不支持FTP服务。 如IP数量允许的情况下,我推荐使用第一种
29
二、Web站点安全性设置 1、NTFS权限设置 (对不同用户设置不同的权限) 2、目录和访应用程序问权限设置 (IIS中配置)
3、匿名和授权访问控制 ( IIS中配置) 4、IP地址和域名访问控制 ( IIS中配置) 5、使用权限向导 6、综合安全访问控制 服务器接受请求 IP地址限制 拒绝 允许 用户认证 拒绝 允许 WEB权限 拒绝 允许 NTFS权限 拒绝 允许 允许访问站点 拒绝访问站点
30
三、远程管理Web站点 端口号 在IE地址栏中输入本机“IP地址:端口号”后就可以WEB方式管理IIS,但是在其
它机器上输入后却是错误的提示,原因何在呢?
31
选中管理WEB站点——属性——目录安全性——IP地址及域名限制
现在明白了吧,具体的操作按书本的指示进行吧 当然除此之外,你还可以安装其它的远程控制软件直接操作服务器(见最后一 讲),WIN2K自带的服务器组件“远程终端”就能很好的实现这一功能
32
第五讲 实现FTP服务 一、FTP站点基础 二、创建FTP站点
FTP(File transport protocols),Internet上专用的文件传输协议,在文件 传输上比HTTP具有更快的速度和更好的性能。在IE地址栏中输入FTP://服务器 IP地址后即可访问FTP服务器,记住FTP不能省略,如:ftp://jp.njut.edu.cn 默认进入匿名用户的连接方式,当然你也可以用特定的用户名登录进入。客户 端的使用见最后一讲 二、创建FTP站点 1、规划FTP站点 计算机的选择:硬盘空间较大 摆放位置:位于主干上 TCP端口的配置:21为默认端口 2、创建FTP站点 3、创建虚拟目录 技巧:当我们在IE中打开站点时,在IE窗口中却并未看见新建的虚拟目录 ,解决的 办法是“我们可以在主目录下创建一个与虚拟目录同名的假文件夹 ”
33
三、管理FTP站点 1、FTP站点:打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择【属性】
配置基本与WWW的相同,多了一个“当前会话”按钮,点击后弹出右边的画面,可 以在此中断当前用户的连接
34
2、安全账号:使用同WEB站点 3、消息:欢迎词、用户数已满、退出 4、主目录:使用同WEB站点 5、目录安全性:使用同WEB站点
35
四、FTP站点的安全性 IP地址限制——用户认证——FTP权限——NTFS权限——允许上传或下载 IP地址限制 拒绝 允许 用户认证 拒绝
服务器接受请求 IP地址限制 拒绝 允许 用户认证 拒绝 允许 FTP权限 拒绝 允许 NTFS权限 拒绝 允许 允许上传或下载 拒绝访问站点
36
五、实用FTP服务器端软件Serv-U Serv-U是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、下载的线程数、登录主目录及空间大小等,功能非常完备。 Serv-U的下载、安装、汉化、详细使用见教材和演示
37
第六讲 DHCP服务器的配置 一、DHCP的基本概念 1、DHCP:动态主机分配协议,是一个简化主机IP地址分配管理的TCP/IP 标准协议
2、使用 DHCP的好处 :DHCP 避免了因手工设置IP地址及子网掩码所产生的错误,同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间
38
二、DHCP的运行方式 三、DHCP的中继 不具有HCP/bootp中继功能的路由器 具有DHCP/bootp中继功能的路由器
39
四、DHCP服务器的安装与配置 五、DHCP客户机的设置 六、DHCP的人为干预 1、安装
2、添加DHCP服务器(DHCP服务器要有固定的IP地址) 3、为DHCP服务器添加作用域(地址池必须与DHCP服务器的IP地址 在同一个子网) 4、对DHCP服务器进行授权(属于域的DHCP服务器必须要有AD的授 权) 5、保留特定的IP地址 6、配置作用域选项 五、DHCP客户机的设置 详细请参考书本 六、DHCP的人为干预 Ipconfig /all 查IP地址 Ipconfig /release 释放获取的IP地址 Ipconfig /renew 重新获取新的IP地址
40
第七讲 DNS服务器的配置 一、DNS服务概述 1、DNS服务器的工作原理
41
2、本节实验中要用到DNS拓扑 Edu.cn Erzhong.edu.cn yizhong tea stu
42
二、DNS属性的配置 1、连接到计算机:
43
2、启用转发器:选中计算机,右键点击属性,点击转发器标签, 在IP地址栏中填入你上一级DNS的IP地址
44
三、创建搜索区域 四、添加资源记录 1、正向搜索区域:域名到IP地址的解析(必不可少) a.标准主要区域 b.标准辅助区域
1、新加主机:student1 2、新建别名:s1使其等价于student1 3、新建域:当前域的子域,由本DNS管理 4、新建委派: 当前域的子域 ,由另一主机管理 ,比如在 cbl.njut.edu.cn中新建委派dell,将产生子的新DNS域 . dell.cbl.njut.edu.cn,并由新的DNS主机来管理
45
第八讲 实现邮件服务 一、客户端邮件的配置(outlook express) 见实验讲义 1、账户的添加:演示一遍
第八讲 实现邮件服务 一、客户端邮件的配置(outlook express) 1、账户的添加:演示一遍 2、当一个账户想在多处同时使用时,只要按上所述重复配置即可,如一封来信想在多处都能收到时,则需如下配置:工具——账号——对应的邮件帐号——属性——高级——选中在服务器上保留备份 3、工具中选项的使用 二、Post office 邮件系统的使用 见实验讲义
46
第九讲 系统监视与性能优化 一、事件查看器 单击【开始】、【程序】、【管理工具】、【事件查看器】打开事件查看器
1、应用程序日志:包含由应用程序或系统程序记录的事件。 2、系统日志:包含Windows 2000的系统组件记录的事件。 3、安全日志:记录安全事件,如有效的和无效的登录尝试,以及与创建、打开或删除文件等资源使用相关联的事件。 比如增加对登录失败和成功的审核: 【开始】、【程序】、【管理工具】、【本地安全策略】、 【本地策略】、 【审核策略】、 【审核登录事件】。 当然还可以审核目录的访问,操作同上。比如你要审核特定用户对D盘的访问,如下操作:右键点击D盘——属性——安全——高级——审核——添加,以后对D盘的操作将被记录。
47
处理日志 1、查看详细日志:双击即可 2、保存日志 3、打开日志 4、清除日志 5、常规设置 6、筛选日志
48
二、任务管理器 右击任务栏空白处,选择【任务管理器】 查看当前正在运行的程序,是不是有没有响应的应用程序,可以在此强行结束
查看当前正在运行的进程,每个进程对内存、CPU等的占用,可以结束一些非系统进程
49
CPU使用和内存使用两个主要的实时图形窗口,以曲线的形式显示当前的CPU使用率和内存占用数量
50
三、系统性能监视 1、性能监视器:单击【开始】、【程序】、【管理工具】、【性能】,在【性能】工具的控制树中选择【系统监视器】 添加计数器
查看选中计数器的详细说明 详细的性能指标请参考教材
51
2、性能日志和警报 A、计数器日志:产生日志文件,便于分析。比如,产生当前服务器匿名访问的用户数日志文件,并通过ASP程序让它显示在网页上。
52
以上程序原文件是FTP://jsna.njut.edu.cn中的 Welcome.asp
Function counter Dim file,countfile,f,num,i countfile=server.mappath("当前匿名用户数_ tsv") '指定文件名 Set fs = CreateObject ("Scripting.FileSystemObject") Set f = fs.OpenTextFile(countfile) do while not f.atendofline i=i+1 num=f.readline ‘读入一行 loop f.close set countfile=nothing counter=num '返回num End Function %> <%=counter%>;<%=i%>人在线<br> 以上程序原文件是FTP://jsna.njut.edu.cn中的 Welcome.asp
53
b、跟踪日志 c、建立性能警报:具体使用参考教材
54
四、网络监视器 网络监视器能提供网络利用率和数据流量方面的一般性数据,还能够从网络中捕获数据帧,并能够筛选、解释、分析这些数据的来源、内容等信息。 单击【开始】、【程序】、【管理工具】、【网络监视器】,打开如图所示的为了监视器窗口。单击【捕获】菜单,选择【开始】,启动网络监视器捕获功能。
55
第十讲 IIS排错 一、IIS服务器排错 二、备份/还原IIS 三、网络故障的排除(由专门的章节介绍) 1、查看事件日志,找原因所在
默认情况下,备份文件将保存在 \Winnt\system32\inetsrv\MetaBack 目录中 2、还原IIS :普通的还原很简单 重装IIS后的还原步骤如下:见教材 三、网络故障的排除(由专门的章节介绍)
56
第十一讲 代理服务器的使用 一、代理服务器的工作机制 B C A 二、代理服务器存在的理由
第十一讲 代理服务器的使用 一、代理服务器的工作机制 B C A 二、代理服务器存在的理由 1、局域局内没有与外网相连的机器通过内网的代理服务器连接到 外网 2、为了获得更大的速度,通过频宽较大的proxy与目标主机连接 3、同一地区未互联的不同网络通过代理建立连接 4、可以免费访问因特网
57
三、谁架设了代理服务器 四、 WinRoute共享代理上网详解 ㈠主要功能 1、是大型机关、企业事业、教育机构 2、ISP
1、DNS缓存和转发DNS域名查询信息 2、可以端口映射实现反向代理功能,让外部访问受NAT保护的内部 网络所提供的一些功能
58
3、它具有路由器的寻径功能,让局域网里的多台计算机使用同一 个IP地址访问因特网,还能自动保护内部网络不受到外部的攻击
4、该软件支持基于IP地址的过滤和限制,提供限制可访问的URL 的安全功能 5、利用该软件提供的DHCP服务器功能,可以动态分配局域网上 的计算机的TCP/IP地址。 6、为保证安全,用户可以通过该软件定义一个过滤规则,对经 过代理服务器的数据信息进行过滤 7、它能提供代理服务器功能,并且可以设置缓存这样就可以大 幅度提高游览的速度。(这个功能是非常有用的) 8、它还可以作为电子邮件服务器来使用,利用它来接受和发送 电子邮件。(基本不用)
59
㈡winroute的安装 1、安装前:在安装WinRoute4.1代理服务器软件之前,必须要求所在的机器应既能连接到因特网又能被局域网内的机器访问 2、安装:到站点下载后,双击“wrp41en.exe”进行安装,安装完后不要重新启动
60
3、汉化:双击“HBC-WinRoutePro4127-Ronnier
3、汉化:双击“HBC-WinRoutePro4127-Ronnier.exe”弹出如下窗 口,选择winroute的安装路径,汉化成中文,重新启动即可使用 4、初始化设置:右键点击任务栏上的winroute图标,选启动参数 设置,弹出如下如图所示的窗口,点选所需的选项
61
㈢参数设置 1、登录:右键点击 任务栏上的winroute图标,选winroute管理,弹 出如左图所示的界面,新安装的winroute4。1的admin用户密码是 没有你可以直接按确定就可以了。 2、改变管理员密码:单击“设置”——账号,在右图所示的窗口中 点击“编辑”按钮,改变Admin的密码
62
3、拨号设置:因现在基本是宽带,用时可参考教材
4、双网卡设置:在网络属性中对两块网卡的Tcp/ip属性进行设置 网卡1: ip地址 掩码: 网关: Dns: 网卡1直接与internet相连 网卡2: ip地址 网关: 空 网卡2与内部局域网相连
63
5、接口表设置:设置——接口表,如左图所示,为了启用地址 转换功能,需打开连接外网网卡的NAT功能。选中下面的网卡, 点属性,弹出右图,选中上面的复选框。
是否对本机进行特殊处理
64
6、代理服务器设置:设置——代理服务器 本机的代理端口 本机上一级代理的IP地址和 端口
65
在访问界面中可设置使用代理的情况下,限制用户对外网的访问 比如:所有用户都可访问*.*.edu.cn
只有imacbl和yyyhan可以访问*.*网址
66
7、DHCP服务器设置:设置——DHCP服务器,弹出左图所示窗口,查看已有的租用,可点击“新建范围”弹出右图所示窗口,添加新的租用范围:
比如:添加IP: 掩码 : DNS : 网关 : (连接局域网网卡的IP地址)
67
在上页左图中点击“添加租用”,可弹出下图,可以为一些机器保留固定的IP地址
在上页左图中点击“编辑”,可对已有的一此设置进行修改
68
8、DNS服务器 设置——DNS服务器,启用DNS转发
69
㈣winroute的高级设置 1、数据包过滤器:如图所示打开数据包过滤器
70
数据包过滤器配置举例,如下的配置将强制除192.168.1.1之外 的所有局域网计算机必须通过代理对外界的WEB服务器进行访问
选择对内的网卡进行配置 可直接对外进行 访问 可直接对外 进行访问 所有的计算机不允许对外界的80端口(即WEB)进行访问
71
对代理机器FTP的访问转向 内网中 2、端口映射: 对249.16的web访问转向 内网中 对249.17的web访问转向 内网中 类似上述描述: 3389端口为WIN2K的终端服务 4899端口为下节课要讲的远程控制软件所用 44333为WINROUTE的远程管理所用端口
72
3、远程管理: A、设置——高级——远程管理,如图1 B、设置——高级——端口映射,如图2 C、将WrAdmin.exe文件拷贝到远程要管理的计算机上,执行后,再图3的winroute主机处输入被管理的Winroute主机IP地址 选中 这一条必须加上
73
禁止所有的用户在周一至周五的早晨8点——下午5点对internet的访问
不允许用户OICQ,协议类型UDP,端口:4000 封联众游戏
74
Winroute的强大功能远不止于此,更
详细的使用请参考中文的帮助文件: 到实验目录中去下载
75
第十二讲 路由和远程访问 Microsoft Windows 2000 Server 路由提供多协议 LAN 到 LAN、LAN 到 WAN、虚拟专用网络 (VPN) 和网络地址转换 (NAT) 路由服务。Windows 2000 Server 路由供已经熟悉路由协议和服务以及可路由协议(例如 TCP/IP、IPX 和 AppleTalk)的系统管理员使用。
76
一、路由的启用 管理工具——路由和远程访问,打开如图所示的窗口,右键点击机器名, 启用路由和远程访问功能
77
二、NAT地址转换 实现的功能是:通过一个IP地址,一条线路让内部的所有计算机同时上网 要求做为服务器的计算机配置两块网卡,图示如下:
78
要启用NAT请选择该选项,点击下一步
79
做为一个服务器来使用 我们应该选择第二个选 项(地址转换)
80
选择对内的网卡 选择对外的网卡 点下一步,再点完成即可
81
三、手动配置路由 选择手动配置路由,以缺省的路由配置启动,用户再自由的添加相应的路由 选择协议
82
四、路由选择协议 1、静态路由: A、为什么需要静态路由?
83
B、静态路由的配置 选择对内的网卡 将子网 的数据包发往三层 交换机
84
C、路由表的检验 执行显示路由选择表,在弹出的窗口中查看路由表中现有的路由,当然静态路 由的添加也可在DOS命令提示符下通过Route add命令实现,有关Route命令的 使用请查看在线帮助.
85
2、DHCP中继代理的配置 加入接收DHCP客户请求的端口 在右边弹出的窗口中输入DHCP Server 服务器的IP地址
86
3、Internet组管理的协议:多播路由,即传播多播侦听信息
;多播转发,路由器将多播通信转发到节点侦听的网络或以节点侦听的方向转发。
87
4、网络地址转换(NAT) A、启用地址转换 对外的网卡选中此选项
是否选中此选项要根据具 体的可用IP数和需要IP 数确定,一般都选中此选项
88
B、添加可用IP的地址(比如电信分配的)
输入分配给你的IP地址 在上面的地址中除去一个IP地址 给内网中的特定计算机(比如服务器)
89
C、特殊的端口映射 对本机每一个公用IP的访问 上南的配置意义如下:外界对 的WWW访问转向内部 主机
90
5、Rip和Ospf协议的使用 Rip Ospf Rip协议中加入左 边的那块网卡 有关rip和ospf的更多知识 在路由和交换中会涉及到
91
四、拨号的设置 1、修改用户属性,允许远程拨入
92
2、超级终端连接到Modem口,进行设置ats0=1,把Modem设置成自动应答
Ats0=1&d0&w(实达modem的自动应答并保存) 3、启动远程访问服务器 4、设置远程访问策略如下 选中
93
第十三讲 活动目录的使用 一、活动目录简介 目录服务就是将网络系统中的各种网络设备、网络服务、网络账户 等资源信息集中起来进行管理,为使用者提供一个统一的清单。 二、活动目录的安装 运行中输入dcpromo进行AD的添加和删除 1、域中第一台域控制器的安装
94
域中的每一台AD要选中此选项 如果域在的机器数量过多,为减轻服务器的负担;或者出于安全的考虑,需安装一个附加域控制器
95
Njna.edu Njut.njna.edu
96
Njna.edu Jsna.edu Njna.edu Njut.Jsna.edu
97
DNS域名,比如njna.edu 主机名,比如master,经此操作后 该主机的名字将变成: master.njna.edu
99
Win2k中AD与DNS集成 在一起,选此选项,AD 将与DNS在一台服务器 运行
100
如果域中有非win2K的服务器选此项 并非管理员密码,只是用于目录恢复
101
2、现有域的额外域控制器的安装 DNS配置成现有AD中的DNS,一般就是 AD服务器的IP地址
103
主域控制器的管理员用户 名和密码 主域控制器的域名
104
3、将主机加入域中 DNS配置成现有AD中的DNS,一般就是 AD服务器的IP地址
106
4、现有域的子域控制器的安装(略) 5、组策略和使用简介 6、是否安装AD 7、集群服务简介
在活动目录安装之后,不但服务器的开机和关机时间变长,而且系统的执 行速度也会变慢。所以,如果管理员对某个服务器没有特别要求或者不想把它作为 域控制器来使用,可将该服务器上的活动目录删除,使其将为成员服务器或独立服 务器。 AD给访问带来方便的同时也对安全提出了挑战,如不能很好的管理将给用 户带来灾难。 我的个人风解是,AD不适合中国当前的国情和人情。 7、集群服务简介
107
“ INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接 ”
第十四讲 网络安全防范与备份 网络安全防范 “ INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接 ”
108
提纲 网络攻击的基本原理 网络攻击的防御措施 几点建议 资源推荐 安全解决方案 备份的使用
Emphasis the complexity of security, and this presentation don’t cover all aspects
109
网络攻击的基本原理 一、攻击的目标 漏洞 系统漏洞和人为因素 后门 系统服务 社会工程
110
二、常见的网络攻击 拒绝服务 口令攻击 网络嗅探:arpsniffer 口令密文解密:专用软件 暴力破解:破解WIN98的共享密码 电子欺骗
邮件炸弹 系统缺陷:如针对WIN9X的igmp攻击 口令攻击 网络嗅探:arpsniffer 口令密文解密:专用软件 暴力破解:破解WIN98的共享密码 电子欺骗 假的DNS 假的服务器
111
扫描程序:流光扫描等 病毒攻击 “红色代码”病毒 尼母达 Nimada 特洛伊木马 求职信
112
“红色代码”病毒的工作原理 病毒利用IIS的 .ida 漏洞进入系统并获得 SYSTEM 权限
(微软在2001年6月份已发布修复程序 MS01-033) 病毒产生 100 个新的线程 99 个线程用于感染其它的服务器 第100个线程用于检查本机, 并修改当前首页 在 7/20/01 时所有被感染的机器回参与对白宫网站
113
尼母达 Nimada的工作原理 4 种不同的传播方式 IE浏览器: 利用IE的一个安全漏洞
(微软在2001年3月份已发布修复程序 MS01-020) IIS服务器: 和红色代码病毒相同, 或直接利用它留下的木马程序. (微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案) 电子邮件附件: (已被使用过无数次的攻击方式) 文件共享: 针对所有未做安全限制的共享 MS has released the bug, but people don’t take enough regard Nimada and codered are not simply virus or worm, its combination Talk about the network security present, Yahoo, Hotmail, Microsoft, …. We depend deeply on network today, compare the PC early days virus influence
114
特洛伊木马 现在互联网上有许多特洛伊木马程序,像著名的 BO、Backdoor、Netbus及国内的Netspy等等。
严格地说,它们属于(Client/Sever)程序,因 为它们往往带有一个用于驻留在用户机器上的服 务器程序,以及一个用于访问用户机器的客户端 程序。所以不要运行来历不明的程序。
115
网络攻击的防御措施 一、网络拓扑 交换机取代HUB(集线器) 个人防火墙:“天网个人防火墙”
116
个人防火墙 Internet Firewall
117
二、微软的应对 发布对应的清除工具和清除方法 http://www.mcirsoft.com/security 发布新的安全工具
中下载相应的补丁程序,为避免流量花费,可在“北大天网”搜索国内的FTP下载,如没有出国帐号可上网查免费出国代理地址,速度可能会慢点。
118
三、病毒监控 网上传播的大量文件都携带有病毒。 上网同时最好实时运行病毒检测程序。 下载的软件在运行之前要先杀一次毒。
新病毒不断出现,病毒库要经常更新。 不要打开来历不明带附件的电子邮件。
119
几点建议 1.只装一个TCP/IP协议。IPX/SPX和NetBEUI协议能不装就不装。
几点建议 1.只装一个TCP/IP协议。IPX/SPX和NetBEUI协议能不装就不装。 2.硬盘共享不要设成完全访问。针对WIN9X的机密最好不要共享,或共享完后立即停止。 3.收发 时尽量采用文本形式,避免.doc, .exe附件。 4.不要从ftp站点下载运行不明用途的软件。 5.及时清空浏览器的缓存和历史纪录。 6.不运行端口扫描程序,端口扫描会严重影响其它网络用户的使用
120
IP地址盗用 盗用同一网段其它合法IP地址上网。 IP 211.80.xxx.xxx与地址xx:xx:xx:xx:xx:xx冲突
记下红色MAC地址,及时向网络中心报告。 根本解决办法,将你个人的网卡MAC地址及IP地址在交换机上进行绑定
121
资源推荐 ftp://jsna.njut.edu.cn 下有 金山毒霸(正版杀病毒软件)下载 天网防火墙(防火墙软件)下载
上有很多好文章 北大天网FTP搜索网址: 更有好多东东等你查找
122
安全解决方案 一、系统的安装(仅WIN2K)
1、硬盘的分区 :至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区,再就是所有的分区应最好都是NTFS格式 2、系统版本的选择:如果是在单位网络中用Win2000,最好还是选用原英文版的,这样选择的好处还在于将来升级、加补丁也远比其它语言版本快许多! 3、正确的网络接入时间 :安装Win2000系统时要注意,我们最好在系统未全部安装完全之前不要连入网络,特别是Internet 二、 系统及应用软件安全设置(仅WIN2K) (一)、用户账号的安全设置 1、改注册表 2、设置安全策略 3、文件和文件夹权限的设置 (二)、设置好IIS 1、要删除系统盘下的Inetpub目录,在另一分区中新建一个Inetpub,并使IIS 管理器中将主目录指向它
123
五、 打补丁:www.microsoft.com网站中下载最新补丁
2、记住一个原则,那就是:最小的权限+最少的服务=最大的安全。所以必需把IIS安装时默认的scripts等虚拟目录也一概删除,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。 3、在IIS管理器中把无用映射都统统删除 ;接着再在应用程序调试书签内,将“脚本错误消息”改为“发送文本” 4、为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。 三、 安装防火墙软件 四、 安装防病毒软件,打开实时监控 五、 打补丁: 六、关闭不必要的端口: A、扫描本地打开的所有端口(专用软件) B、在TCP/IP属性中关闭不使用的端口
124
备份 一、人工备份:如右图所示,进行备份操作,系统管理员最重要的工作就是做好备份
125
二、自动备份:对重要的数据要定期备份,比如WEBMAIL上对E盘网站的数据每星期备份一次
126
A、选择不同的备份向导按照屏幕的提示进行操作即可
B、还原向导 C、紧急修复磁盘 举例对E盘的一个文件夹进行备份和恢复 如担心磁盘受损,对重要的数据可采用磁盘镜像,见演示
128
Copy.bat的内容如一: net use \\192.168.1.23\ipc$ wlzx /user:administrator
net use z: \\ \e$ xcopy e:\hack\*.* z:\ /s/y Net use z: /delete net use \\ \ipc$ /delete 三、重装系统时: Serv_u的备份:要备份serv_u 的用户数据:拷贝ServUDaemon.ini文件,然 后覆盖新系统的对应文件即可。 IIS的备份:重新设定【IWAM_computername】 用户的密码,备份IIS,重装 系统只要更改【IWAM_computername】 的密码,然后再还原即可 四、磁盘镜像演示
129
也许你认为经过上述配置的主机就是安全的,其实这里有个误区,我们只能说一台主机在一定的情况下一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现、管理员和用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
130
第十五讲 日积月累 一、Win9X与Winnt的互访
第十五讲 日积月累 一、Win9X与Winnt的互访 Winnt只要找到Win9X计算机输入相应的密码即可,但Win9X访问Winnt只输入密码则无法访问,因NT需要用户名和密码双重验证机制,Win9X只能根据密码提供访问权限,而NT把用户名和密码结合起来,解决的办法是WIN9X注销当前用户,以NT中的用户重新登录即可 WINNT访问 WIN9X时的界面 WIN9X访问WINNT时的界面
131
二、网上邻居的使用 在网上邻居中查找共享文件夹,共享打印机往往要花费很长的时间,尤其是在局域很大的情况下,等待的简直让人无法忍受,其实只要在资源管理中直接输入 例: \\pc_name \\pc_name\共享文件夹名 \\pc_name\打印机共享名 如不再一个局域网内还可以用IP代替pc_name 例: \\ip 地址
132
三、远程管理类(可用来进行远程调试和答疑)
1、针对win2k可以使用远程终端: A、在服务器端添加远程终端服务(添加组件) B、在客户端安装客户端软件(拷贝到客户端安装即可) 说明:不影响前台用户的操作,对前台用户而言,不可见
133
2、针对目前微软的大部分产品都可以使用: Remote Administrator viewer(远程控制软件)
A、下载 ftp://jsna.njut.edu.cn B、安装 C、远程控制 输入正确密码后就如同操作本机 一样操作远程主机 说明:该远程控制软件是对对方主机的前台操作,如对方安装了防火墙,往往会影响使用
134
D、文件传输
135
E、Telnet
136
四、 Neetmeeting软件 五、几个有用的DOS命令 可实现 :网上电话、视频会议、共享程序、聊天等 使用见演示
Ipconfig /all 查本机IP,MAC,DHCP,DNS等配置 Nbtstat –a Ip地址,查远程计算机的netbios名及网卡MAC地址 Tracert Ip地址/域名,可查出到目的的路由,及网络问题所在 Arp –a ,可查出与本机有通讯的同一网段的网卡MAC地址 Netstat –a ,可查出本机当前正在打开的端口及所处状态
137
六、DOS上网软盘的制作,系统恢复的方法
详见文章
138
六、零碎技巧 七、课件下载中的说明 WIN98更改配置后如何避免重起(比如改IP,安装软件),Win98登录界面的意义,QQ用于文件传输。
网络不通有时是因网卡的速度设定 七、课件下载中的说明 Cuteftp :FTP下载软件 EasyRecovery:恢复已删除文件的软件 Guest:客户留言ASP代码 Hack:黑客软件 post office:邮件服务器软件 Pws:WIN98中的个人WEB服务器 Remote Administrator:远程控制软件 serv-u :FTP服务端软件 Vmware:虚拟机软件 WIN2K远程服务客户端:WIN2K终端服务的客户端 WinRoute4.1.27Cr:代理软件 安全:有关安全的文章 课件:讲课中的PPT文件 Copy:远程自动备份批处理文件的编写
139
FireBird3.0W(七月版)安装程序:WIN2K下的Telnet方式的BBS
flashget1.3简体中文版:网际快车,用于各种协议的下载,如http,ftp等 Foxmail :很好的邮件客户端软件 Reg:注册表的文章 Welcome.asp:统计服务器联接人数的程序 Windows优化大师:系统性能的调整 winrarc3.0 简体中文正式版:解压缩软件 WinZip 8.1 Build 4331 简体中文企业版:解压缩软件 删除广告及查对方IP:Oicq软件可删除广告并能显示在线好友IP地址 天网防火墙 2.48 正式版 注册表编辑手册:注册表的文章
Similar presentations