《网络管理与网络安全课件.ppt》由会员分享,可在线阅读,更多相关《网络管理与网络安全课件.ppt(49页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第七章第七章 网络管理与网络安全网络管理与网络安全第七章 网络管理与网络安全本章知识要点网络管理网络安全技术7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 打开“开始程序管理工具计算机管理”菜单,出现“计算机管理”窗口,如图所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 在左侧窗格单击“系统工具本地用户和组”,在右侧窗格的空白区域单击鼠标右键,从快捷菜单中选择“新用户”。打开“新用户”对话框,如图所示。在“新用户”对话框中,输入“用户名”、“密码”及“确认密码”,单击“创建”按钮。u“新用户”对话框下方有四个选项:“用户下次登陆时须更改密码”,选中此项该用户下次登
2、陆时,系统会提示用户更改密码;“用户不能更改密码”,选中此项用户一直使用初次设置的密码,不能更改密码;“密码永不过期”,选中此项,该帐号的密码永久有效;“账号已禁用”,选取此项,该帐号不能再登陆系统。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 对已存在的用户帐号,有时需修改该帐号属性。修改用户帐号属性,可打开“计算机管理”窗口,在左侧窗格单击“系统工具本地用户和组”。在右侧的窗格中选择要修改属性的帐号名称,单击鼠标右键,在出现的快捷菜单中选择“属性”命令,打开该帐号“属性”对话框,如图所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 u“常规”、“隶属于”、“配
3、置文件”、“拨入”是普通用户属性。“远程控制”、“终端配置文件”、“环境”、“会话”属性,只有安装了终端服务后才会出现,是终端服务的用户属性。在“常规”选项卡中,有个“帐号已锁定”选项。这一选项在用户被锁定时,可在此进行解除锁定。u在“隶属于”选项卡中,列出了当前用户所属的用户组。通常对用户组进行权限分配与设置,用户“隶属于”哪个用户组,就具有哪个用户组的权限。新创建帐户的默认用户组是“user”,可以通过“添加”按钮将用户添加到某一个或几个用户组中。要将某个帐号从某个用户组删除,可在选取了该用户之后单击“删除”按钮。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 u用户帐号管理的
4、另一个重要功能就是修改用户名和密码。打开“开始程序管理工具计算机管理”菜单,出现“计算机管理”窗口。在左侧窗格单击“系统工具本地用户和组”,在右侧窗格中选取要修改密码的用户名,单击鼠标右键,从快捷菜单中选取“设置密码”命令,出现“设置密码”提示信息,单击“继续”按钮,进入“设置密码”对话框,如图所示。在“新密码”、“确认密码”中输入该帐户的新密码,单击“确定”按钮。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 uWindows Server 2003内置了一些本地用户组,用来管理常用的工作。打开“计算机管理”窗口,在左侧窗格中选择“计算机管理系统工具本地用户和组组”,右侧窗格中将
5、显示系统中所有默认的本地用户组名称,如图所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 u合理使用系统默认的用户组可以解决用户管理中的一些基本问题,默认的用户组权限如表7-1所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 用户组名称 描 述Administrators该组成员具有对服务器的完全控制权限,具备系统管理员的权限,可以执行整台计算机的管理任务。内置的系统管理员帐号Administrator就是本地组的成员,而且无法将它从该组删除。如果这台计算机已加入域,域的Domain Admins会自动加入到该计算机的Administrators组内,域上的系统
6、管理员在这台计算机上也具备系统管理员的权限。由于该组可以完全控制服务器,所以向该组添加用户时须谨慎。Backup OPerators在该组内的成员,不论它们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始程序附件系统工具备份”的途径,备份与还原这些文件夹与文件。Guests该组提供没有用户帐号,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。Network Configuration Operators该组内的用户可以在客户端执行一般的网络设置任务,例如更改地址,但是不可以安装/删除驱动程序与服务,也不可以执行
7、与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。Power Users该组内的用户具备比Users组多的权利,但是比Administrators组拥有的权利少一些,例如可以创建、删除、更改本地用户帐号,创建、删除、管理本地计算机内的共享文件夹与共享打印机;自定义系统设置,例如更改计算机时间、关闭计算机等。该组的成员不可以更改Administrators与Backup Operators、无法取得文件的所有权、无法备份与还原文件、无法安装与删除设备驱动程序、无法管理安全与审核日志。Remote Desktop Users 该组的成员可以通过远程计算机登录,例如,利用终端服务器
8、从远程计算机登录。Users该组只拥有一些基本的权利,例如运行应用程序,但是不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。所有添加的本地用户帐号自动属于该组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。Everyone任何一个用户都属于这个组。注意,如果Guest帐号被启用时,则给Everyone这个组指派权限时必须小心,因为当一个没有帐号的用户连接计算机时,他被允许自动利用Guest帐号连接,但是因为Guest也是属于Everyone组,所以也具备Everyone所拥有的权限。Authenticated Use
9、rs任何一个利用有效的用户帐号连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而不要针对Everyone进行设置。Interactive 任何在本地登录的用户都属于这个组。Network 任何通过网络连接该计算机的用户都属于这个组。Creator Owner文件夹、文件或打印文件等资源的创建者,就是该资源的Creator Owner(创建所有者)。如果创建者是属于Administrators组内的成员,则其Creator Owner为Administrators组。Anonymous Logon任何未利用有效的Windows Server 2
10、003帐号连接的用户,都属于这个组。注意在windows 2003内,Everyone 组内并不包含“Anonymous Logon”组。u向组中添加用户,是将一个或多个用户添加到某个已设置好的用户组中,可以通过以下步骤来向组中添加用户(以向Administrators用户组添加用户为例)。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 打开“计算机管理”窗口,在左侧窗格中选择“计算机管理系统工具本地用户和组组”,在右侧窗格中选择系统默认的Administrators用户组,单击鼠标右键,在弹出的快捷菜单中选择“属性”命令,打开“Administrators属性”对话框,如图所示。
11、7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 单击“添加”按钮,进入“选择用户”对话框。单击“高级”按钮,打开“选择用户”高级功能设置对话框,单击“立即查找”按钮。在下方的窗格中,显示本地计算机上所有的用户,如图所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 从下方窗格“搜索结果”中选择要添加到Administrators用户组的用户,单击“确定”按钮,返回到“选择用户”对话框。单击“确定”按钮,返回到“Administrators属性”对话框,设置结果如图所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 从下方窗格“搜索结果”中选择要添加到Ad
12、ministrators用户组的用户,单击“确定”按钮,返回到“选择用户”对话框。单击“确定”按钮,返回到“Administrators属性”对话框,设置结果如图所示。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 一般情况下,系统默认的用户组已经能够满足用户管理的需要,但在一些特定情况下,为了加强对用户的管理,还需要创建特定的用户组。创建用户组的步骤如下:打开“计算机管理”窗口,在左侧窗格中选择“计算机管理系统工具本地用户和组组”,在右侧窗格中的空白处单击鼠标右键,弹出的快捷菜单中选择“新建组”命令,打开“新建组”对话框,如图所示。7.1 网络管理1网络用户管理(1)本地用户和用
13、户组的管理 分别在“组名”和“描述”文本框中输入要创建组的信息,单击“创建”按钮,完成新用户组的创建。向新创建的用户组添加用户的方法,和向Administrators用户组添加用户的方法一样。7.1 网络管理1网络用户管理(1)本地用户和用户组的管理 将计算机升级到域控制器服务器之后,域控制器以“Active Directory用户和计算机”来管理该域上的用户帐号和用户组。Active Directory的用户可以在该域所属的整个网络或与该域建立了信任关系的网络中使用其帐号。7.1 网络管理1网络用户管理(2)域用户账号和用户组的管理Windows Server 2003支持连接到远程计算机,
14、对其进行磁盘管理。要管理远程计算机上的磁盘,用户必须是远程计算机上的管理员或服务器操作组的成员,同时,用户账号和服务器计算机必须是相同域或信任域的成员。7.1 网络管理2网络磁盘管理(1)远程磁盘管理 选择“开始运行”菜单,在“运行”对话框中键入“mmc”命令,然后单击“确定”按钮,如图1所示。打开“控制台”窗口,单击“文件添加/删除管理单元”菜单,如图2所示。7.1 网络管理2网络磁盘管理(1)远程磁盘管理 图1图2打开“添加/删除管理单元”对话框后,选择“独立”选项卡,如图1所示,然后单击“添加”按钮,打开“添加独立管理单元”对话框,如图2所示。选择“计算机管理”,单击“添加”按钮。7.1
15、 网络管理2网络磁盘管理(1)远程磁盘管理 图1图2 打开“计算机管理”对话框,选择“另一台计算机”单选按钮,输入远程计算机的IP地址,单击“完成”按钮,如图1所示。在“控制台”窗口中,依次选择“计算机管理存储磁盘管理”,如图2所示。用户可在“控制台”界面对远程计算机进行磁盘管理,操作同本地计算机磁盘管理一样。7.1 网络管理2网络磁盘管理(1)远程磁盘管理 图1图2 在计算机中添加新硬盘,把新硬盘转换为动态磁盘。动态磁盘支持多种特殊的卷,有的可以提高系统访问效率,有的可提供容错功能,有的可以扩大磁盘的使用空间。动态磁盘一般包括简单卷、跨区卷、镜像卷和RAID5卷等。7.1 网络管理2网络磁盘
16、管理(2)镜像卷管理 选择“开始程序管理工具计算机管理”菜单,打开“计算机管理”窗口。在左侧的窗格中选择“计算机管理(本地)存储磁盘管理”,再依次选择“磁盘管理”右键“查看顶端”,选中“磁盘列表”,出现如图1所示界面。可以在“磁盘管理”界面右上角的窗口中,看到新添加的硬盘“磁盘1”,选取“磁盘1”,单击鼠标右键,在出现的快捷菜单中选择“转换到动态磁盘”命令,如图2所示。7.1 网络管理2网络磁盘管理(2)镜像卷管理 图1图2打开“转换为动态磁盘”对话框,选择要转换的基本磁盘“磁盘1”(磁盘0一般是系统盘,不要转换为动态磁盘,否则操作系统将被损坏,单击“确定”按钮。在“磁盘管理”窗口,可以看到该
17、磁盘状态显示“未指派”,如图所示。7.1 网络管理2网络磁盘管理(2)镜像卷管理 可以将两个动态磁盘中的未指派可用空间组合成一个镜像卷,分配一个驱动器号。对组成镜像卷的两个磁盘,每个磁盘中存储有完全相同的数据。当一个磁盘出现故障时,系统仍可以在另一个磁盘中读取数据,这就是镜像卷的容错功能。镜像卷有以下特征:7.1 网络管理2网络磁盘管理(2)镜像卷管理u制作镜像卷需要两块动态磁盘。u镜像卷使用的是RAID1技术。u组成镜像卷的两个卷空间大小是相同的。选择“开始程序管理工具计算机管理”,在“计算机管理”窗口的左侧窗格单击“计算机管理(本地)存储磁盘管理”。在右下窗格中,选择其中未指派的空间,然后
18、单击鼠标右键,在快捷菜单中选择“新建卷”命令,如图1所示。选择“新建卷”命令后,出现“欢迎使用新建卷向导”,点击“下一步”按钮,出现图2所示“选择卷类型”窗口,选择“镜像”。7.1 网络管理2网络磁盘管理(2)镜像卷管理 图1图2 单击“下一步”按钮,打开如图所示的“选择磁盘”对话框。单击“可用”窗格中的“磁盘2”,单击“添加”按钮。在“选择空间量”对话框中,做适当调整,以保证“已选”窗格中的“磁盘1”、“磁盘2”空间大小一致。7.1 网络管理2网络磁盘管理(2)镜像卷管理单击“下一步”按钮,打开“指派驱动器号和路径”对话框,如图1所示,指派一个驱动器号,或默认。单击“下一步”按钮,打开“卷区
19、格式化”对话框,如图2所示。选择是否要对改卷进行格式化,如果选择格式化,还要选择格式化的系统类型(NTFS、FAT32或FAT),输入“卷标”。7.1 网络管理2网络磁盘管理(2)镜像卷管理图1图2单击“下一步”按钮,打开设置信息确认窗口,如图1所示,单击“完成”按钮,结束“新建卷向导”。镜像卷创建完成,E就是所创建的镜像卷,如图2所示。7.1 网络管理2网络磁盘管理(2)镜像卷管理图1图2 RAID5是计算机网络应用比较广泛的一种磁盘管理技术。不管是服务器的磁盘还是网络存储系统,多使用RAID5来加强磁盘系统的安全性。RAID5卷将三个以上的位于不同磁盘上未指派的空间组成一个逻辑卷,然后分配
20、一个驱动器号。RAID5卷具有较强的容错能力,较RAID1卷(镜像卷)磁盘利用率要高。RAID5卷具有以下特点:7.1 网络管理2网络磁盘管理(3)RAID5卷管理 uRAID5卷最少需要3块动态磁盘,最多为32个。u创建RAID5卷时,位于不同动态磁盘上的空间必须是未指派空间。uRAID5卷中使用的磁盘,一般是同一厂家的相同型号、相同容量的磁盘。u组成RAID5卷的未指派空间,大小必须是相同的。选择“开始程序管理工具计算机管理”,在“计算机管理”窗口的左侧窗格单击“计算机管理(本地)存储磁盘管理”。在右下窗格中,选择其中未指派的空间,然后单击鼠标右键,在快捷菜单中选择“新建卷”命令,如图1所
21、示。选择“新建卷”命令后,出现“欢迎使用新建卷向导”,点击“下一步”按钮,出现图2所示“选择卷类型”窗口,选择“RAID5”。7.1 网络管理2网络磁盘管理 图1图2(3)RAID5卷管理 单击“下一步”按钮,打开如图所示的“选择磁盘”对话框,单击“可用”窗格中的“磁盘2”,单击“添加”按钮。继续以同样的方式添加“磁盘3”在“选择空间量”对话框中,做适当调整,以保证“已选”窗格中的“磁盘1”、“磁盘2”、“磁盘3”空间大小一致。单击“下一步”按钮,打开“指派驱动器号和路径”对话框,指派一个驱动器号,或默认。7.1 网络管理2网络磁盘管理(3)RAID5卷管理 单击“下一步”按钮,打开“卷区格式
22、化”对话框,选择是否要对该卷进行格式化,如果选择格式化,还要选择格式化的系统类型(NTFS、FAT32或FAT),输入“卷标”。单击“下一步”按钮,打开设置信息确认窗口,单击“完成”按钮,结束“新建卷向导”,RAID5卷创建完成,E就是所创建的RAID5卷,如图所示。7.1 网络管理2网络磁盘管理(3)RAID5卷管理 u网络故障管理 u网络配置管理u网络性能管理 u网络计费管理u网络安全管理7.1 网络管理3网络管理(1)网络管理功能u易于实现u开放的免费产品u详细的文档资料u可用于控制各种设备u是一种无连接协议7.1 网络管理3网络管理(2)网络管理协议7.1 网络管理3网络管理(3)网络
23、管理的体系结构管理者代理者网络管理协议代理者 代理者网络管理系统被管设备管理信息库管理信息库 管理信息库 管理信息库7.1 网络管理3网络管理(4)网络管理系统软件简介uOpenViewuCiscoWorksuQuidViewuStarView7.1 网络管理3网络管理(5)聚生网管软件的使用聚生网管系统是聚生科技自主研发、基于Windows操作系统的优秀网络管理软件。聚生网管可以实时控制局域网内任意主机上、下行流速(带宽)和总流量,可以实现对网址进行精确控制,通过对任意行业类别的网站进行屏蔽,控制整个行业的所有网站;可以直接在网络应用层对P2P数据报文进行封堵,控制P2P下载。聚生网管系统试
24、用版可从下载。7.2 网络安全技术1网络安全概述 u网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统的正常运行、网络服务不中断。u网络安全性风险主要有四种基本的安全威胁:信息泄露、完整性破坏、拒绝服务、非法使用。目前,计算机互联网络面临的安全性威胁表现形式主要有以下几个方面。l非法访问和破坏(“黑客”攻击)l计算机病毒l蠕虫l隐蔽通道l拒绝服务攻击l特洛伊木马l陷门7.2 网络安全技术2病毒防范u平时运行正常的计算机突然无缘无故地死机或重启u操作系统无法正常启动u运行速度明显变慢u以前能正常运行的应用程序经常发生死机或者非法错误u系统文件的时
25、间、日期、大小发生变化u磁盘空间迅速减少u硬盘灯不断闪烁。uWindows桌面图标发生变化u自动发送电子邮件7.2 网络安全技术2病毒防范u对比较重要的文件提供备份进行保护。一旦感染病毒可以用备份进行恢复。u不运行来历不明的软件。u网上下载的文件,经查毒后方可打开。u不打开来历不明的Email,更不要打开它的附件。u尽量不要访问不明网站,不要点击网上的不明链接。u网上即时聊天时,不要打开陌生人发来的链接,不要接收陌生人传送的文件。u及时检测操作系统漏洞,及时打上补丁。u安装反病毒软件,并定期升级。u安装单机版防火墙,并根据网络安全新动向封堵某些特定端口。预防计算机病毒的入侵主要从管理入手,在以
26、下几个方面加以注意:7.2 网络安全技术3黑客防范u(1)端口扫描u(2)口令破解u(3)特洛伊木马u(4)缓冲区溢出攻击u(5)拒绝服务攻击 u(6)网络监听黑客网络攻击方法主要有以下几种方式 7.2 网络安全技术4防火墙u防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。(1)防火墙的概念7.2 网络安全技术4防火墙u防火墙不能防范来自内部的攻击u防火墙不
27、能防范不经由防火墙的攻击u防火墙不能防范新的网络安全威胁u防火墙不能防范病毒(2)防火墙的局限性7.2 网络安全技术4防火墙u包过滤防火墙u应用级网关u电路级网关u规则检查防火墙(3)防火墙的种类7.2 网络安全技术4入侵检测系统概述u入侵检测(Intrusion Detection)是对入侵行为的检测,它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。u一般来说,入侵检测系统可分为基于网络型网络入侵监测系统和基于主机型入侵监测系统。9、要学生做的事,教职员躬亲共做;要学生学的知识,
28、教职员躬亲共学;要学生守的规则,教职员躬亲共守。2023/6/4 2023/6/4 Sunday,June 4,202310、阅读一切好书如同和过去最杰出的人谈话。2023/6/4 2023/6/4 2023/6/4 6/4/2023 4:02:11 PM11、一个好的教师,是一个懂得心理学和教育学的人。2023/6/4 2023/6/4 2023/6/4 Jun-23 04-Jun-2312、要记住,你不仅是教课的教师,也是学生的教育者,生活的导师和道德的引路人。2023/6/4 2023/6/4 2023/6/4 Sunday,June 4,202313、He who seize the
29、right moment,is the right man.谁把握机遇,谁就心想事成。2023/6/4 2023/6/4 2023/6/4 2023/6/4 6/4/202314、谁要是自己还没有发展培养和教育好,他就不能发展培养和教育别人。04 六月 20232023/6/4 2023/6/4 2023/6/415、一年之计,莫如树谷;十年之计,莫如树木;终身之计,莫如树人。六月 232023/6/4 2023/6/4 2023/6/4 6/4/202316、提出一个问题往往比解决一个更重要。因为解决问题也许仅是一个数学上或实验上的技能而已,而提出新的问题,却需要有创造性的想像力,而且标志着科学的真正进步。2023/6/4 2023/6/4 04 June 202317、儿童是中心,教育的措施便围绕他们而组织起来。2023/6/4 2023/6/4 2023/6/4 2023/6/4 谢谢观赏 You made my day!我们,还在路上
限制150内