1、信息安全管理（三）第二章、信息安全管理基礎信息安全性質：信息技術以網絡化的方式應用于社會生活各方面時，對國家、社會、個人安全利益的侵害與保護信息安全關鍵點：安全利益：國家、社會、個人的生存和發展的利益信息技術：對信息、信息系統（網絡化）以及信息和信息系統關聯的主體（國家、社會、個人）的特定安全利益的侵害與保護信息安全核心問題：信息技術：特性和過程結果可侵害或保護國家、社會、個人的安全利益信息安全是指在信息傳遞的過程中，數據被破壞、偷竊或丟失的風險性。信息安全管理體系ISMS：是組織在整體或特定范圍內建立信息安全的方針和目標，以及完成這些目標所用的方法的體系。包括建立、實施、操作、監視、復查、維

2、護和改進信息安全等一系列的管理活動，并且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。ISO27001是建立和維護信息安全管理體系的標準，是信息安全管理領域的權威標準。信息安全管理的基本原則 主要領導負責 規范定級 一人為本 適度安全信息安全管理體系黨的十五屆五中全會和第九屆人大第六次會議決定建立國家信息安全保障體系性質：國家以國家意志和國家行為的方式，在信息技術方面所形成的用于保護其安全利益的資源和能力，這種資源和能力體現為特定形態和過程的技術結構、社會結構和人才結構內容技術資源管理資源人力資源信息安全管理的層次與內容宏觀管理（政府）方針政策法

3、規標準微觀管理（信息安全機構）規章制度策略措施信息安全管理的發展歷史發展階段管人管密碼 管密鑰管口令管配置管產品測評管產品采購管系統安全管等級劃分管理基礎安全產品分類編碼信息技術安全管理指南（ISO/IEC TR 13335）信息安全管理(ISO/IEC TR 17799)系統管理安全報警報告功能（GB 17143.7-1997 idt 10164.7-1992）安全審計跟蹤功能（GB 17143.8-1997 idt 10164.8-1993）訪問控制對象和屬性（GB 17143.9-1997 idt 10164.9-1993風險管理測評認證信息技術安全性評估準則（ISO/IEC 15408

4、:1999）（CC）計算機信息系統安全保護等級劃分準則(GB 17859：1999)通用測評方法(SC27 N2722|CEM)系統安全工程能力成熟模型(SSE-CMM)二、信息安全管理標準英國標準協會（BSI）于1995年制定BS7799信息安全管理體系標準，1999年修訂改版：77991 ： 信息安全管理操作規則77992 ： 信息安全管理系統規范77991已經在2000年末被采納為國際標準，即：ISO/TEC17799信息安全管理操作規則，香港、臺灣等都采用BS7799標準。信息安全管理基礎： BS7799ISO/IEC 17799（ BS7799-1 ）劃分為11個主要方面：1、安全策

5、略2、組織信息安全3、資產分級與控制4、人員安全5、物理和環境安全6、通信和運行管理7、訪問控制8、信息系統獲取、開發和維護9、信息安全事件管理10、業務連續性管理11、符合性BS 7799-2BS 7799-2第1版出版于1998年BS 7799-2第2版出版于2002年評估一個組織全面或部分信息安全管理體系的基礎，也可以作為一個正式認證方案的基礎。BS 7799-2建立信息管理體系的要求總則建立管理框架實施文檔化文檔控制記錄BS 7799-2控制細則安全策略安全組織資產分級和控制人員安全物理和環境安全通信和運行管理訪問控制系統開發和維護商業連續性管理符合性等10項要求通用準則（CC ）國際

6、標準化組織統一現有多種準則的努力結果；1993年開始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成為國際標準，1999年12月ISO出版發行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分；是目前最全面的評價準則CC的結構以及目標讀者安全管理指南：ISO/IEC TR 13335信息技術安全的概念和模型信息技術安全的管理和規劃信息技術安全的管理技術信息技術安全措施的安全網絡安全性的管理指導SSE-CMM項目1993年4月開始醞量，1996年10月出版了SSE-CMM模型的第一個版本，1997年4

7、月出版了評定方法的第一個版本。1999年4月出版了第二版。正在申報國際標準ISO/IEC 21827。NIST SP 800 (Special Publication 800-series)SP 800-12, 計算機安全手冊（Computer Security Handbook)SP 800-14, 公認【安全】原則與操作（Generally Accepted Security Principles & Practices）SP 800-18, 安全計劃開發指南（Guide for Developing Security Plans）SP 800-23,聯邦機構安全保障和采購指南/使用可信或

8、經評估的產品指南（Guide to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluated Products)SP 800-26,IT系統自我評估指南 (Self-Assessment Guide for IT Systems)我國信息安全標準工作2001年10月11日成立國家標準化委員會全國信息安全標準化技術委員會（簡稱信息安全標委會，TC260）于2002年4月15日在北京正式成立。信息安全標委會工作組設置 信息安全標準體系與協調工作組（WG1）內容安全分級及標識工作組（WG2

9、） PKI/PMI工作組（WG4） 信息安全評估工作組（WG5） 應急處理工作組（WG6） 信息安全管理（含工程與開發）工作組（WG7） 電子證據及處理工作組（WG8） 身份標識與鑒別協議工作組（WG9） 操作系統與數據庫安全工作組（WG10） 三、信息安全策略信息安全策略是一組經過高級管理員批準，正式發布和實施的綱領性文件，描述了一個企業、組織的高層安全目標。是為保證提供一定級別的安全保護所必須遵守的規則。有三個基本原則：確定性、完整性和有效性。信息安全涉及的主要問題 網絡攻擊與攻擊檢測、防范問題安全漏洞與安全對策問題信息安全保密問題系統內部安全防范問題防病毒問題數據備份與恢復問題、災難恢復

10、問題主要的信息安全策略物理安全網絡安全數據安全軟件安全系統管理災難恢復1、口令策略 所有系統都需要口令，以擁有易于實現的第一級別的訪問安全性。為確保網絡安全運行，保護所擁有的權益不受侵害，可以制定如下管理策略： 網絡服務器口令的管理： （1）服務器的口令，由部門負責人和系統管理員商議確定，必須兩人同時在場設定。 （2）服務器的口令需部門負責人在場時，由系統管理員記錄封存。 （3）口令要定期更換（視網絡具體情況），更換后系統管理員要銷毀原記錄，將新口令記錄封存。 （4）如發現口令有泄密跡象，系統管理員要立刻報告部門負責人，有關部門負責人報告安全部門，同時，要盡量保護好現場并記錄，須接到上一級主管

11、部門批示后再更換口令。 用戶口令的管理： （1）對于要求設定口令的用戶，由用戶方指定負責人與系統管理員商定口令，由系統管理員登記并請用戶負責人確認（簽字或電話通知）之后系統管理員設定口令，并保存用戶檔案。 （2）在用戶由于責任人更換或忘記口令時要求查詢口令或要求更換口令的情況下，需向網絡服務管理部門提交申請單，由部門負責人或系統管理員核實后，對用戶檔案做更新記載。 （3）如果網絡提供用戶自我更新口令的功能，用戶應自己定期更換口令，并設專人負責保密和維護工作。2、計算機病毒和惡意代碼防治策略 計算機病毒是一種能夠通過改變其他程序而使它們“感染”的程序。 病毒防護策略必須具備下列準則： （1）拒絕

12、訪問能力：來歷不明的入侵軟件（尤其是通過網絡傳過來的）不得進入系統。 （2）病毒檢測能力：病毒總是有可能進入系統的，系統中應設置檢測病毒的機制。除了檢測已知類病毒外，能否檢測未知病毒是一個重要的指標。 （3）控制病毒傳播的能力：沒有一種方法能檢測出所有的病毒，一旦病毒進入了系統，應不讓病毒在系統中到處傳播。系統一定要有控制病毒傳播的能力。 （4）清除能力：如果病毒突破了系統的防護，即使它的傳播受到了控制，也要有相應的措施將它清除掉。對于已知類病毒，可以使用專用殺毒軟件；對于未知類病毒，在發現后使用軟件工具對它進行分析，盡快編寫出消毒軟件。當然，如果有后備文件，也可使用它直接覆蓋受感染文件，但一

13、定要查清楚病毒的來源。 （5）恢復能力：有可能在清除病毒以前，病毒就破壞了系統中的數據，系統應提供一種高效的方法來恢復這些數據。 （6）替代操作：可能會遇到這種情況，問題發生時，手頭沒有可用的技術，任務又必須執行下去。系統應該提供一種替代操作方案。在恢復系統時可用替代系統工作，等問題解決以后再換回來。這一準則對于戰時的軍事系統是必須的。3、安全教育與培訓策略 在安全教育策略具體實施過程中應該有一定的層次性： （1）主管信息安全工作的高級負責人或各級管理人員：重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。 （2）負責信息安全運行管理及維護

14、的技術人員：重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。 （3）用戶：重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。4、可接受使用策略AUP 在完成了大部分策略的編制工作后，需要對其進行總結和提煉，產生的成果文檔被稱為可接受使用策略AUP，該文檔是整體安全策略的總結，其中，概括了用戶對于信息安全的責任，AUP以終端用戶作為閱讀對象，具有簡短而突出重點的特點。 AUP通常包含以下主要內容： （1）概述：描述什么是AUP，企業、組織發布AUP的目的，制定AUP的原則以及一些必要的法律聲明等。 （2）安全策略說明

15、：說明制定AUP所依據的信息安全策略，提示用戶信息安全策略的更改會影響到AUP的修訂，并且告訴用戶從哪里可以獲得詳細的信息安全策略文檔。 （3）術語說明：將AUP中涉及的術語名詞，以及AUP簽署生效的有效時間進行說明。 （4）用戶責任：對信息安全策略中所有涉及到用戶的信息安全責任內容，應當進行總結和提煉，以簡單明了的語言進行闡述，使得用戶充分了解自己對于企業、組織信息安全所承擔的責任和義務。 介紹cisco公司信息安全管理實例訂單系統 - 95% 的訂單通過 - 平均$33,441.78/分鐘客戶支持系統 - 80%的技術支持通過電話系統 Cisco AVVID架構知識產權解決的問題利用安全域

16、設置，構建自防御數據中心應用安全管理策略（DMZ、Email等）入侵檢測IDS抵抗蠕蟲企業信息安全策略的制定四、信息網絡的物理安全物理安全就是保護信息網絡免受各種自然災害和人為操作錯誤等因素的破壞，使信息網絡可以維持正常運行的狀態。物理安全分為：環境安全、設備安全和媒體安全三類；環境安全是指保障信息網絡所處環境安全的技術；設備安全是指保障構成信息網絡的各種設備、網絡線路、供電連接、各種媒體數據本身以及存儲介質等安全的技術。媒體安全是指包括媒體數據的安全及媒體本身的安全。物理環境涉及到的標準：計算站場地安全要求（GB9361-88）計算站場地技術要求（GB2887-2000）計算機信息系統防雷保

17、安器（GA173-98）計算機機房用活動地板技術條件（GB6650-86）軍用通信設備及系統安全要求（GJZB663）環境安全的保障要求計算機場地通用規范（GB/T 2887：2000）計算機場地安全要求（GB 9361：1988）計算機機房用活動地板技術條件(GB6650-1986)電子計算機機房設計規范(GB50174-1993)計算機信息系統防雷保安器(GA173-98)電磁泄露發射電磁兼容低壓電氣及電子設備發出的諧波電流限值（設備每相輸入電流16A）(GB 17625.1-1998)電磁兼容-限值-對額定電流不大于16A的設備在低壓供電系統中產生的電壓波動和閃爍的限制(GB17625.

18、2-1999)電磁干擾信息技術設備的無線電騷擾極限值和測量方法(GB 9254-1998)信息技術設備抗擾度限值和測量方法(GB 17618-1998) 計算站場地是計算機系統的安置地點，計算機供電、空調以及該系統的維修人員和工作人員的工作場所。計算機機房安全等級劃分A類，有完善的計算機機房安全措施B類，有較完善的計算機機房安全措施C類，有基本的計算機機房安全措施環境安全計算機機房場地選址時應符合電子計算機機房設計規范、計算站場地安全要求主要應考慮的問題：1、場地防火，包括防火報警系統,滅火系統等2、場地防水、防潮，控制濕度40%65%3、場地供電，設置電源保護裝置，如浪涌濾波器、零地電壓調整

19、變壓器、UPS緊急供電等4、防靜電，采用防靜電地板；5、防雷擊，機房應設在建筑物中間位置，做好接地與等電位連接；6、電磁防護，采用電磁屏蔽。設備安全1、設備防盜、防毀，采用門禁防盜系統2、設備防靜電3、設備防電磁干擾廣義定義: 能夠引起計算機故障,破壞計算數據的程序統稱為計算機病毒。標準定義： 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 計算機病毒防護病毒歷史及發展趨勢的演變病毒年表年代病毒情況198311月，第一例病毒被專家們在試驗中證實 1986出現攻擊MS-DOS的Brain病毒1987 引導型病毒開

20、始在世界上傳播 ，并受到重視1989 我國首次發現病毒1989可執行文件型病毒出現1992出現直接修改系統關鍵中斷的內核的EWDIR2病毒1992伴隨型病毒出現,它們利用DOS加載文件的優先順序進行工作。年代病毒情況1994變形病毒出現1996我國發現“病毒生成機軟件”1996感染Lotus AmiPro 的文件的宏病毒 (APM/GreenStripe) 出現 1997 采用JAVA、ACTIVE技術的惡意程序出現 19982月，臺灣省的陳盈豪編寫出了CIH-1.2版19992月，“美麗殺”病毒爆發2000I-WORM/Love Letter“愛蟲”網絡蠕蟲病毒2003沖擊波病毒病毒發展演變

21、趨勢圖 典型的計算機病毒一般由三個功能模塊組成，即：引導模塊，傳染模塊，破壞模塊。 但是，不是所有的病毒均由此結構組成，如有的SQL甚至沒有病毒體（即病毒文件），只駐留于內存。 典型病毒的結構引導模塊：將病毒主體導入內存并為傳染模塊提供運行環境。傳染模塊：將病毒代碼傳到其它的載體上去.一般情況下傳染模塊分為兩部分，前部是一個條件判別程序，后部才是傳染程序主體。破壞模塊：同傳染模塊一樣，破壞模塊也帶有條件判別部分，因病毒均有潛伏期，破壞模塊只在符合條件時才進行活動。 計算機病毒的分類按照通常習慣分為一下幾種：A）引導型B）文件型C）腳本病毒D）宏病毒E）蠕蟲病毒F）木馬病毒G）邏輯炸彈引導型病毒

22、1感染目標：通過文件感染硬盤的引導區部分；2傳播途徑：通過軟盤,光盤等介質進行傳播；3典型病毒：Stone文件型病毒1感染目標：通過可執行的文件感染目標系統文件；2傳播途徑：各種存儲介質，網絡共享，電子郵件；3. 典型病毒：幽靈王腳本語言: 腳本語言是介于HTML和Java、C+和Visual Basic之間的語言。它的語法和規則沒有可編譯的編程程序那樣嚴謹和復雜。 腳本病毒就是指在腳本語言中加入病毒代碼，利用網頁的等腳本載體傳播的病毒。 腳本型病毒宏病毒 MicrosoftWord中對宏定義為：“宏就是能組織到一起作為一獨立的命令使用的一系列Word命令，它能使日常工作變得更容易。”感染目標

23、：通過可執行的文件感染目標系統文件；傳播途徑：各種存儲介質，網絡共享，電子郵件；蠕蟲病毒 蠕蟲是指具有通過網絡進行自我繁殖功能的程序，傳染機理是利用網絡和電子郵件進行復制和傳播。這一病毒利用了微軟視窗操作系統或者其他軟件系統的漏洞，計算機感染這一病毒后，會不斷自動上網，并利用文件中的地址信息或者網絡共享進行傳播和網絡攻擊。 木馬病毒 特洛伊木馬病毒，也叫黑客程序或后門病毒，病毒通過一套隱藏在合法程序中的命令，指示計算機進行不合法的運作。換句話說就是指采用正常用戶無法察覺的方法潛入到對方內部實施某種破壞（盜竊）行為。木馬程序的本質就是一個遠程控制軟件：遠程控制軟件是在遠方機器知道，允許的情況下，

24、對遠方機器進行遠程控制的軟件。 邏輯炸彈 指被設置在合法程序中，通過事件或條件引發后，會破壞程序和數據的子程序段。 新出現的病毒JAVA等網頁病毒；利用P2P軟件傳播的病毒；PDA等掌上電腦病毒；手機病毒等。 造成數據毀壞、丟失； 破壞系統如硬盤、主板等硬件；影響網絡正常功能，甚至網絡癱瘓；破壞系統軟件；為系統留“后門”，為黑客竊取數據提供途徑； 降低計算機系統性能。計算機病毒的危害年份病毒名稱感染數量損失金額（美元）2000愛蟲88億2001尼姆達8百萬臺60億2001紅色代碼1百萬臺26億2002求職信6百萬臺90億2003SQL Slammer20萬臺約9.512億2003沖擊波140萬

25、臺損失還在繼續近年病毒爆發的情況及損失傳染性： 正常的計算機程序一般是不會將自身的代碼強行連接到其它程序上，而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。 隱蔽性： 病毒通常附在正常程序中或磁盤隱蔽處，與正常程序通常是難以區分的。 計算機病毒的特性潛伏性：大部分的病毒感染系統之后一般不會馬上發作，它可長期隱藏在系統中，只有在滿足其特定條件時才啟動其表現（破壞）模塊。 破壞性：任何病毒只要侵入系統，都會對系統及應用程序產生程度不同的影響。 不可預見性：從對病毒的檢測方面來看，病毒還有不可預見性。 計算機病毒的特性1.密碼破解技術 應用此技術的病毒可對win2000以上

26、的操作系統的密碼進行破解。此類病毒一般會帶有約幾百單詞數量（有時會更大的）的字典庫 ，可對“弱口令”進行破解，因此需要至少六位的數字字母混合的系統口令。例：愛情后門病毒目前病毒新技術和新特點2. 漏洞技術 利用操作系統和軟件系統（主要是微軟的軟件系統）漏洞進行攻擊;即發送不正常的數據包，使獲得的系統出現錯誤，從而使病毒奪取對方電腦的控制權。 例：沖擊波利用rpc漏洞，震蕩波利用LSASS漏洞 3.端口監聽技術（原多見于木馬程序）Moodown.y病毒利用自身的SMTP發信引擎來發送病毒郵件，監聽82端口，等待攻擊者連接，可自動下載并執行新的病毒。振蕩波病毒的最新變種監聽1023端口（支持USE

27、R、PASS、PORT、RETR和QUIT命令），并實現一個tftp服務器，并進行攻擊。4.多線程掃描技術 現在常見病毒多采用此技術，此技術可加速網絡病毒的傳播速度。 如I-Worm.Sasser.e（振蕩波.e）開辟128個線程掃描網絡 ，傳播病毒。主動通過網絡和郵件系統傳播傳播速度極快 擴散面廣 變種多、快網絡時代病毒的新特性：使用傳統手段難于根治、容易引起多次疫情 具有病毒、蠕蟲和后門（黑客）程序的多種特性病毒向能對抗反病毒軟件和有特定目的的方向發展目前存在病毒的傳播途徑網絡病毒攻擊圖工作站工作站網站服務器網站服務器郵件中惡意附件攻破多個網站服務器以前攻破的網站服務器瀏覽器進攻文件共享I

28、nternethub路由器有防護的辦公網絡中的病毒傳播病毒傳入途徑：終端漏洞導致病毒傳播；郵件接收導致病毒傳播；外部帶有病毒的介質直接接入網絡導致病毒傳播；內部用戶繞過邊界防護措施，直接接入因特網導致病毒被引入；網頁中的惡意代碼傳入； 大型內部網絡，一般均有防火墻等邊界防護措施，但是還經常會出現病毒，病毒是如何傳入的呢？系統漏洞傳播；系統郵件傳播；儲存介質傳播；共享目錄傳播；病毒在此類網絡內的傳播途徑目前網絡防病毒可能需要面臨的問題：難以確定網絡內設備的用戶聯網狀況;無法快速準確定位病毒源;了解病毒源后，無法方便的對病毒源進行阻斷。難以監控系統安全補丁安裝情況;缺乏有效的技術手段保證管理制度的

29、貫徹。防病毒管理機構組成圖建立有效的病毒防范管理機制防病毒需求分析：只有明了自己的安全需求才能有針對性地構建適合于自己的安全體系結構，正確的安全分析需求是保證網絡系統的安全的根源。 防病毒風險管理：風險管理是對需求分析結果中存在的威脅和業務需求進行風險評估，以可以接受的投資，進行最大限度的病毒防范工作。 防病毒管理機制的制定和完善制定防病毒策略:根據組織和部門的防病毒需求和風險評估的結論，制定切實可行的計算機網絡防病毒策略。 定期防病毒審核:安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。因為網絡防病毒是一個動態的過程，防病毒的需求可能會發生變化；為了在防病毒需求發生變化時，策

30、略和控制措施能夠及時反映這種變化，必須進行定期安全審核。 病毒特征碼識別技術自動解壓技術實時監視技術啟發式查毒技術帶毒殺毒技術病毒隊列技術 目前主要的防病毒技術概述防病毒軟件的結構掃描應用掃描引擎病毒定義庫防病毒軟件的3個組成部分防病毒軟件 掃描應用用戶接口日志文件報警功能 掃描引擎搜索病毒的邏輯算法CPU仿真器精密編程邏輯病毒定義庫：內有病毒的特征碼防病毒網關 由于目前的防火墻并不能防止目前所有的病毒進入內網，所以在某些情況下，需要在網絡的數據出入口處和網絡中重要設備前配置防病毒網關，以防止病毒進入內部網絡。防病毒網關按照功能上分有兩種:保護網絡入口的防病毒網關保護郵件器的防病毒網關防病毒網

31、關按照部署形式分為：透明網關代理網關透明網關代理網關郵件服務器的防病毒保護對郵件服務器系統自身加固郵件防病毒網關郵件防病毒 由于目前的病毒大部分均是通過郵件傳播的，所以對于郵件服務器的保護是十分重要的。客戶端防病毒引導安全系統安裝安全系統日常加固日常使用安全服務器防病毒 服務器防病毒時，除了注意主機還應注意防病毒應該注意的問題外，還應該注意到服務器的可用性和穩定性，也需要注意對重要數據經常備份等問題。 補丁加固是今年來網絡面臨的新問題，對于大型機關和企業網絡，靠有限的人力人工去進行終端的安全加固是不現實的。為此，微軟提出了兩個解決方案：SMS：Microsoft System Manageme

32、nt SUS：Software Update Services 補丁加固 SMS技術是基于主域控制技術，通過域控制器對管轄的計算機的安全補丁進行統一的升級和管理。此方法存在的問題是國內一般不使用主域控制形式進行網絡管理,另外，對于終端使用多操作系統的網絡使用此技術升級所需的工作量也比較大。SMS技術SUS技術 此技術應用了當前微軟Windows Update的技術，即客戶端可通過內網建立的SUS Server自動下載升級補丁。采用此方法的優點是簡單方便，但是此系統也有不易實施的缺點。 病毒預警技術一般是采用分布式的結構，進行集中管理報警，分散控制。 病毒預警的具體可采用“數據流分析”、“病毒誘

33、捕”等技術。新一代病毒預警技術 提供網絡數據流量的偵測模塊，通過網絡數據分析工具及時捕獲網絡設備數據流信息，對于數據流量異常的機器進行報警，以辨別是否為網絡病毒、木馬、黑客等程序所外發數據包。 數據流分析系統 第一時間提供病毒入侵消息，并自動上報至病毒集中監控中心。 病毒誘捕機具體操作：360安全衛士補丁加固McAfee城域網殺毒軟件的分布部署McAfee郵件防病毒網關的部署邊界安全防護設計硬件防火墻 QOS帶寬管理系統 MCAFEE城域網防護系統及反垃圾/病毒郵件網關 MRTG流量監控24小時監控所有學校及網絡骨干接口的流量 IP偵測24小時記錄出口數據包的包頭信息 交換機（Switch）是

34、集線器的升級換代產品，從外觀上來看的話，它與集線器類似都是帶有多個端口的長方形盒狀體。但是交換機擁有一條很高帶寬的背部總線和內部交換矩陣。它的所有的端口都掛接在這條背部總線上。控制電路收到數據包以后，處理端口會查找內存中的MAC地址對照表以確定目的MAC的網卡掛接在哪個端口上，通過內部交換矩陣直接將數據迅速包傳送到目的節點，而不是所有節點，目的MAC若不存在才廣播到所有的端口。 二層交換機，實現OSI二層交換幀不作任何修改，僅僅查一下交換表，進行轉發。 三層交換機是指將交換機的快速交換能力和路由器的路由尋址能力結合起來，所以也稱路由交換機，它工作在網絡層。通過IP地址來確定是哪個子網的結點，幀

35、可能會發生變化，經路由后變成新的幀。 三層交換機充分利用路由器的三層功能，既保留了二層交換機靈活的虛擬局域網（VLAN）劃分和高交換速度的優點，又解決了二層網絡無法處理的“廣播風暴”問題，三層交換與路由的最大區別在于：路由要對每一個數據包進行路由轉發，而三層交換只對每次通訊的握手連接進行路由查找，對真正的用戶數據只進行二層轉發，速度快了很多。三層交換機能夠支持常用的路由協議。交換機設置switch: ；ROM狀態， 路由器是rommonSetup模式，以對話方式配置hostname ；用戶命令模式hostname# ；特權命令模式hostname(config)# ；全局配置模式hostnam

36、e(config-if)# ；子配置模式接口狀態 1、六種工作模式：？ 查詢命令Tab 補全按鍵用戶命令模式：Enable 進入特權模式 特權命令模式：Config terminal 進入全局配置模式 Copy 復制命令Reload 重啟設備Show 顯示命令 show running 顯示運行配置文件內容 show version 顯示版本信息Exit 返回命令 2、常用CLI命令全局配置模式：Hostname 設置交換機的主機名Enable password * 設置特權非密口令 Enable secret 0 * 設置特權加密口令ip address ip-address netmask

37、 設置交換機IP地址ip default-gateway ip-address 設置交換機網關Interface ethernet module/number 進入接口模式子配置模式接口模式No shudown 激活端口 duplex auto|full|half 設置接口鏈路模式speed10|100|auto 設置端口速度 VLAN（Virtual LAN），翻譯成中文是“虛擬局域網”。LAN可以是由少數幾臺家用計算機構成的網絡，也可以是數以百計的計算機構成的企業網絡。VLAN所指的LAN特指使用路由器分割的網絡也就是廣播域。 廣播域，指的是廣播幀所能傳遞到的范圍，亦即能夠直接通信的范圍。

38、二層交換機只能構建單一的廣播域，不過使用VLAN功能后，它能夠將網絡分割成多個廣播域。 通過增加子網數目可以構建更多的通路，減輕信息流量擁塞。將網絡拆分成多個由交換機、路由器所連接的子網，這樣可以劃分沖突域和廣播數據包，進而提高網絡性能。 交換機操作練習：(一)、1、設置Switch的主機名 2、設置一個加密密碼 3、啟用VLAN1,設置IP地址為154 4、設置默認網關為1 (二)、新建一個PC，設置IP 地址為2在PC上 屏Switch，如果能屏通則說明設置成功 接入交換機安全設置生成樹防環路：spanning-treeinterface range fastEthernet 0/2-47

39、spanning-tree bpduguard enabled 防DoS攻擊：ip deny landip deny invalid-l4port路由黑洞ip route Null 0ip route Null 0ACL訪問列表ip access-list extended 1001 deny icmp any any deny tcp any any eq 135 deny tcp any any eq 139 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 1433 deny tcp any any e

40、q 4444 deny tcp any any eq 5554 deny tcp any any eq 9996 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss permit ip any anyip access-group 1001 in網絡管理：snmp-server community public ro鏡像端口monitor session 1 destination interface fastEthernet 0/48monitor sess

41、ion 1 source interface fastEthernet 0/1 both網絡故障排查一、故障分層排查法 1、了解故障現象，收集信息，判斷是用戶的使用問題還是網絡連接問題2、根據現象給故障分層，到底屬于網絡層還是應用層問題，3、根據分層查找故障原因，可以使用對應的命令或網管工具來檢測。4、制定執行排障計劃，對較大的排障過程一定要作記錄，以便作故障分析和對可能產生的新故障的原因分析故障案例分析1、網卡指示燈亮，但托盤區顯示網絡電纜沒有插好網卡燈亮說明網卡硬件安裝正常，但托盤區顯示網絡電纜沒有插好，基本上可以判斷是線路連接問題，首先重插網線兩端水晶頭，如果網卡另一指示燈閃爍，說明鏈路

42、已連通，托盤區提示會自動消失。如果重插后另一指示燈仍舊不亮，可換一根網線或換一個上聯接口。另外如果在檢查中發現網卡兩個指示燈始終長亮，沒有閃爍，則可以判斷為網卡故障。2、網絡連接正常，仍然無法上網首先使用ipconfig命令查看本機網絡配置是否正確，如果ipconfig命令無效，則可能是本機TCP/IP協議出錯或系統故障其次在本機ping同網段主機和網關地址，如果能拼通同網段主機，說明本機網絡正常，如果能拼通網關，說明網段正常最后拼網絡域名，如果能解析出域名對應IP，說明網絡完全正常，不能上網是IE瀏覽器故障或網管控制造成的。如果無法解析出IP，則說明是DNS服務故障。可通過IP地址打開網頁，

43、如。3、交換機指示燈觀察普通交換機每個端口有3個指示燈第一個燈亮顯示鏈路連通第二個燈亮表示百兆狀態第三個燈閃爍表示數據在傳輸路由交換機端口只有一個指示燈，亮表示連通，閃爍表示數據傳輸如果開機后所有指示燈始終長亮，說明交換機自檢未通過，判斷為硬件或電源故障如自檢通過，但所有指示燈無規律快速閃動，網絡無法連通，判斷為網絡中有回路或蠕蟲病毒發作引起。數據包分析一、網絡嗅探器SnifferPro Sniffer Pro是美國Network Associates公司出品的一種網絡分析軟件，可用于網絡故障檢修與性能管理，在網絡應用界應用非常廣泛，現已占到網絡分析軟件市場的76% 。其網絡分析器的強大功能和特征，能解決各種網絡問題。Sniffer支持的協議豐富，可以運行在各種Windows平臺上。由于軟件比較大，運行時需要的計算機內存比較大，否則運行比較慢，這是它的一個缺點。1、安裝并運行程序2、軟件介紹Sniffer主菜單分為監控、捕獲、顯示、工具、數據庫、窗口等多個功能菜單在工具欄中則有儀表盤、主機表單、矩陣、應用程序響應時間、歷史、協議分布、整體網絡使用和警報等功能按鈕