网络与信息安全基础
一 网络安全
1)网络安全概念
网络安全:计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。
网络安全涉及的主要内容:运行系统的安全、信息系统的安全、信息传播的安全和信息内容的安全。
信息系统对安全的基本需求:
(1)保密性:保护资源免遭非授权用户“读出”,包括传输信息的加密、存储信息加密。 (2)完整性:保护资源免遭非授权用户“写入”,包括数据完整性、软件完整性、操作系统完整性、内存及磁盘的完整性、信息交换的真实性和有效性。
(3)可用性:保护资源免遭破坏或干扰,包括防止病毒入侵和系统瘫痪、防止信道拥塞及拒绝服务、防止系统资源被非法抢占。
(4)可控性:对非法入侵提供检测与跟踪,并能干扰其入侵行为。
(5)可核查性:可追查安全事故的责任人,对违反安全策略的事件提供审计手段,能记录和追踪他们的活动。
2)安全威胁和攻击类型
1.网络安全威胁和攻击类型
网络安全威胁是对网络安全缺陷的潜在利用。
这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。
2.按攻击方法
(1)恶意软件
病毒(Viruses):
传播方式:病毒通常依赖于宿主文件或程序来传播,一旦宿主文件被运行,病毒就会植入到系统中,并试图复制自己到其他文件、程序或系统中
破坏行为:病毒可以破坏、删除或篡改文件,也可以损坏系统功能或拒绝对特定资源的访问
蠕虫(Worms):
传播方式:蠕虫是自行传播的恶意软件,它们能够在网络上自主传播到其他系统,无需人为干预。蠕虫通常利用网络漏洞或弱密码来传播
破坏行为:蠕虫的主要目的是在感染的系统上执行恶意操作,可能包括破坏数据、占用系统资源、创建后门等
特洛伊木马/木马(Trojans):
传播方式:特洛伊木马通常伪装成有用的程序或文件,诱使用户安装并运行,一旦被激活,它们会在系统中执行恶意操作
破坏行为:特洛伊木马的功能范围很广,可能包括窃取个人信息、监视用户活动、创建后门等,其目的通常是为了盗取信息或获取对系统的控制权。
(2)网络钓鱼和社会工程学攻击
网络钓鱼(Phishing):骗取用户个人信息(如用户名、密码、信用卡信息)的欺诈手段,通常通过伪装成合法机构的电子邮件或网站来实施
社会工程学攻击(Social Engineering):利用人类心理漏洞进行攻击,通过欺骗、说服或诱导目标来获取敏感信息。
(3)DoS(拒绝服务)和 DDoS(分布式拒绝服务)攻击 :
DoS 攻击:攻击者通过向目标系统发送大量请求或恶意数据包,使其无法正常提供服务
DDoS 攻击:多个攻击者同时发起 DoS 攻击,通常通过控制大量感染的计算机(僵尸网络)来实现
常见的 DoS 和 DDoS 攻击手段有:*Flood,Slowloris,*Amplification
(4)网络扫描和端口扫描
网络扫描(Network Scanning):攻击者通过扫描目标网络,寻找潜在的漏洞或易受攻击的系统
端口扫描(Port Scanning):攻击者通过扫描目标系统上的开放端口,确定可以用于攻击的入口点。
(5)未经授权访问
黑客攻击(Hacking):未经授权访问系统或网络,以获取敏感信息、破坏数据或实施其他恶意活动
内部威胁(Insider Threats):组织内部员工、合作伙伴或承包商利用其权限访问系统或数据进行攻击。
(6)数据泄露和窃取
数据泄露(Data Breaches):组织内部或外部攻击者获取敏感数据的事件,可能导致信息泄露、身份盗用等问题
数据窃取(Data Theft):攻击者通过窃取存储在系统或网络中的敏感数据来获取经济利益或进行其他非法活动。
(7)零日漏洞利用
零日漏洞(Zero-day Vulnerabilities):尚未被厂商发现或修补的安全漏洞,攻击者利用这些漏洞来执行恶意代码或攻击系统。
(8)电子邮件利用
电子邮件攻击:主要表现为向目标邮箱发送电子邮件炸弹。
所谓邮件炸弹实质上就是发送地址不详且容量庞大的垃圾邮件。
3.按攻击方式
1.被动攻击: 被动攻击是对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息的内容。
它的目标是获得正在传送的信息,其特点是偷听或监视信息的传递。
主要预防手段是数据加密等。
2.主动攻击: 主动攻击是攻击信息来源的真实性、信息传输的完整性和系统服务的可用性,有意对信息进行修改、插入和删除。
主要攻击形式有:假冒、重放、欺骗、消息篡改和拒绝服务等。
主要预防手段是防火墙、入侵检测技术等。
3.物理临近攻击: 未授权者可在物理上接近网络、系统或设备,其目的是修改、收集或拒绝访问信息。
4.内部人员攻击: 有的内部人员被授权在信息安全处理系统的物理范围内,或对信息安全处理系统具有直接访问权,他们可能会攻击网络。
5.分发攻击: 分发攻击是指在软件和硬件开发出来之后和安装之前这段时间,或者当它从一个地方传到另一个地方时,攻击者恶意修改软硬件。
3)安全策略和防御原则
防火墙和网络边界保护:通过配置防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等技术来监控和管理网络流量,以阻止未经授权的访问和攻击
访问控制:实施强大的身份验证和授权机制,确保只有经过授权的用户能够访问敏感信息和系统资源。这可以通过密码、双因素认证、访问控制列表(ACL)等手段实现
漏洞管理和补丁管理:定期对系统进行漏洞扫描和评估,及时应用安全补丁来修补已知的漏洞,以减少系统被攻击的风险
安全意识培训:对员工进行定期的网络安全培训,提高他们对网络安全风险的认识,并教育他们正确的安全实践和行为
监控和日志记录:部署监控系统来实时监视网络活动和安全事件,同时记录关键事件和日志,以便进行安全审计和调查
灾备和业务连续性计划:建立完善的灾备和业务连续性计划,以应对网络攻击、自然灾害等突发事件,确保业务能够在紧急情况下持续运行
供应链安全:审查和监管供应链中的安全实践,确保供应商和合作伙伴符合您的安全标准,并减少因供应链攻击而导致的风险
持续改进:定期评估和更新安全策略、控制措施和技术,以适应不断演变的威胁和安全环境,保持对网络安全的持续关注和改进。
4)加密知识
加密算法:加密算法是加密和解密数据的数学方法。常见的加密算法包括对称加密算法(如AES、DES)和非对称加密算法(如RSA、ECC)
对称加密:对称加密使用相同的密钥进行加密和解密,因此密钥的安全性非常重要
常见的对称加密算法包括AES(高级加密标准)和DES(数据加密标准)
【Advanced Encryption Standard】 【Data Encryption Standard】
非对称加密:非对称加密使用一对密钥进行加密和解密,公钥用于加密数据,私钥用于解密数据。
常见的非对称加密算法包括RSA(非对称加密算法)和椭圆曲线加密(ECC)
【Rivest–Shamir–Adleman】【Elliptic Curve Cryptography】
二 网络信息安全
1)信息安全概念
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络信息安全包括四个层面:
(1)硬件安全:信息系统安全的首要问题,包括硬件的稳定性、可靠性和可用性
(2)软件安全:比如保护信息系统不被非法侵入,系统软件和应用软件不被非法复制、篡改,不受恶意软件侵害等
(3)数据安全(传统的信息安全):采取措施确保数据免受未授权的泄露、篡改,不受恶意软件侵害等
(4)安全管理:运行时突发事件的安全处理等,包括建立安全管理制度,开展安全审计和风险分析等。
2)信息保护和隐私
信息保护:
主要是存储安全包括信息使用的安全(用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。
(1)用户的标识与验证:限制访问系统的人员
(2)用户存取权限限制:限制进入系统的用户所能做的操作
(3)系统安全监控:建立一套安全监控系统,全面监控系统的活动
(4)病毒防治:网络服务器必须加装网络病毒自动检测系统
(5)数据的加密:防止非法窃取或调用。
(6)计算机网络安全:通过采用安全防火墙系统、安全代理服务器、安全加密网关等实现网络信息安全的最外层防线
(7)涉密文件保护:秘密、机密、绝密
隐私保护:
保护个人和组织的隐私权,包括个人身份信息、财务信息、健康信息等敏感数据,防止未经授权的数据收集、使用、存储和传输。
(1)最小化信息收集:只收集必要信息
(2)安全存储:加密存储
(3)访问控制:授权人员访问。离线数据需通过流程访问
(4)安全传输:传输过程的安全,防止窃取和篡改
(5)脱敏:核心数据脱敏展示 (例如138****5678)
(6)审计:查阅数据需记录日志并定期审计。
3)信息传输安全
信息的传输加密是面向线路的加密措施,有以下3种:
(1)链路加密:只对两个节点之间(不含信息源和目的地两个端点本身)的通信信道线路上所传输的信息进行加密保护
(2)节点加密:加、解密都在节点中进行,即每个节点里装有加、解密的保护装置,用于完成一个密钥向另一个密钥的转换
(3)端——端加密:为系统网络提供从信息源到目的地传送的数据加密保护,可以是从主机到主机、从终端到终端、从终端到主机或到处理进程,或从数据的处理进程到处理进程,不管数据在传送过程中经过多少中间节点,数据均不被解密。不会影响别的用户和主机,比较适合分组交换网中使用。
4)数字签名和证书
数字签名:数字签名是对数据进行加密处理生成的一段数据,用于验证数据的完整性和来源的真实性。
原理:数字签名基于公钥加密技术,由发送方使用其私钥对数据进行加密生成数字签名,并将签名与原始数据一起发送给接收方。接收方使用发送方的公钥对签名进行解密,然后使用相同的加密算法对接收到的数据重新进行计算得到一个新的签名,如果两个签名相同,则说明数据完整性未被篡改。
作用: 数字签名用于验证数据的完整性、认证数据的发送方、防止数据篡改和伪造。
证书:证书是由可信任的第三方机构(CA,Certificate Authority)颁发的电子文件, 用于证明特定实体(如个人、组织或网站)的身份信息和公钥
原理:证书包含了实体的公钥、标识信息(如名称、电子邮件地址等)、证书的有效期以及颁发者的数字签名等内容。接收方可以使用证书中的公钥来验证数据的签名,并通过证书中的身份信息来验证数据的发送方身份的真实性
作用:证书用于建立安全通信和认证网络实体身份,如网站的 SSL 证书用于确保网站的安全性和身份认证。
三 新兴安全挑战
1)云安全
1.定义
云安全指的是在云计算环境下,保护云计算资源、数据和服务不受未经授权的访问、泄露、篡改或破坏的一系列措施和实践。
2.云安全的关键方面
数据安全:数据加密、访问控制、数据备份和灾难恢复等,防止数据泄露和数据丢失
身份和访问管理:确保只有授权用户能够访问云资源和服务,监控并审计用户活动
网络安全:保护云计算网络基础设施免受网络攻击、恶意软件和数据包嗅探等威胁,包括网络防火墙、入侵检测系统、虚拟专用网络(VPN)等技术
Paas 组件安全:确保 paas 组件不存在漏洞,构建态势感知系统实时全方位监控防护
【Platform as a Service,平台即服务】
2)物联网(IOT)安全
1.定义
物联网(Internet of Things,IOT)指的是连接到互联网的各种物理设备,这些设备通过嵌入式传感器、通信模块和软件系统,能够收集、交换和处理数据,实现设备之间的互联互通。
简单来说,物联网就是让日常生活中的各种设备、物品都能够互相连接、通信和交互,从而实现智能化、自动化或者远程控制等功能。
2.物联网安全的关键方面
设备安全漏洞:设备漏洞,包括默认密码、未修补的漏洞、弱身份验证等。黑客可以利用这些漏洞来入侵设备,控制或窃取敏感信息
隐私问题:物联网设备收集和传输用户的个人信息,如位置、健康数据等。这些数据被未经授权的人访问或泄露,将对用户的隐私造成严重影响
DDoS攻击:由于物联网设备通常以大量分布式节点的形式存在,黑客可以利用这些设备发动分布式拒绝服务(DDoS)攻击,使目标系统无法正常工作
网络安全:物联网设备通常通过无线网络或互联网连接到云端或其他设备,这使得它们容易受到网络攻击,如中间人攻击、数据篡改等
缺乏标准和协议:物联网设备的生态系统非常庞杂,缺乏统一的安全标准和协议,这使得保护设备和数据的安全性变得更加困难。
3)人工智能安全
1.定义
人工智能(Artificial Intelligence,AI)是一种模拟人类智能的计算机系统。它旨在使计算机能够执行类似于人类智能的任务,如学习、推理、规划、理解自然语言、感知环境、识别图像等。
2.人工智能安全的关键方面
数据安全:确保人工智能系统所使用的数据不被未经授权的访问、篡改或泄露。这包括对数据进行加密、访问控制、数据匿名化等措施
模型安全:保护人工智能模型不受到对抗性攻击、篡改或误导。对抗性攻击包括针对模型的输入数据进行修改,以产生误导性的输出
算法安全:确保人工智能算法的安全性和可靠性,防止算法被恶意篡改、操纵或滥用。这包括对算法进行评估、验证和审计,确保其满足安全和隐私要求
隐私保护:保护用户个人信息和隐私不受未经授权的访问、收集和使用。这包括对数据进行匿名化、脱敏、数据最小化等隐私保护措施
公平性和透明性:确保人工智能系统的决策过程是公平、透明和可信的,不偏袒任何特定群体
安全训练和部署:确保人工智能模型在训练和部署过程中的安全性,防止恶意攻击和数据泄露
恶意行为检测:检测并防止人工智能系统中的恶意行为,如欺诈、恶意软件、恶意用户等。
4)区块链安全
1.定义
区块链是一种分布式数据库技术,可以用于记录和存储交易数据和信息。它由一个个被称为区块的数据块组成,每个区块包含了一定数量的交易记录,同时也包含了前一个区块的哈希值。这样形成的链式结构使得区块链具有不可篡改、去中心化、安全可信等特性。
2.区块链安全的关键方面
共识算法的安全性:共识算法是区块链网络中确保一致性和安全性的关键机制。保证共识算法的安全性意味着确保网络中诚实节点的多数能够达成一致,同时防止恶意节点或攻击者对网络造成破坏
网络层安全:确保区块链网络的通信过程是安全的,防止网络中的数据篡改、中间人攻击、拒绝服务攻击等。加密通信、身份认证、防火墙等技术可用于保护网络层安全
智能合约安全:智能合约是区块链上的自动化合约执行程序,需要确保其代码的安全性和正确性,防止恶意合约或漏洞导致的损失。
审计、代码审查、漏洞修复等措施可以提高智能合约的安全性
身份验证和访问控制:确保只有授权用户能够参与到区块链网络中,同时控制用户对网络资源和功能的访问权限,以防止未经授权的访问和攻击
数据隐私保护:保护区块链上的交易和数据隐私,防止敏感信息泄露或被未经授权的访问。加密技术、隐私保护方案等可用于保护数据隐私
防止51%攻击:51%攻击是指攻击者控制了区块链网络中超过50%的算力,从而能够控制网络的共识过程。
需要采取措施防止这种攻击,如提高网络的算力分布性、采用抗51%攻击的共识机制等。
四 防火墙技术
1)防火墙技术
1.防火墙(Firewall)
防火墙是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络是不安全和不可信赖的。
防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全。
2.防火墙的分类
1.包过滤型防火墙: 包过滤型防火墙工作在OSI模型的网络层和传输层。通过访问控制表,检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等因素,来确定是否允许该数据包通过。
在网络层,对数据包的源及目的IP具有识别和控制作用;
在传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。
2.代理服务器型防火墙: 代理服务器型防火墙又称应用级防火墙,工作在OSI模型的应用层,是设置在Internet防火墙网关上的应用,是网管员允许或拒绝的特定的应用程序或者服务,同时还可应用于实施较强的数据流监控、过滤、记录和报告等功能。
应用级防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
3.监测型防火墙: 新一代的产品,能够对多层的数据进行主动地、实时地监测,并在对这些数据进行分析的基础上,能够有效地判断出各层中的非法入侵。 结合了代理服务器防火墙的安全性和包过滤防火墙高速度等优点,在不损失安全性的基础上,将代理服务器防火墙的性能提高了10倍。
3.典型防火墙的体系结构
一个防火墙系统通常是由过滤路由器和代理服务器组成。
典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等
4.防火墙的工作模式
1.透明模式: 只需在网络中像放置网桥一样插入防火墙设备即可,无需修改任何已有的配置
2.NAT模式: 与网络层的交换机(路由器)相似,将绑定到往往区段的IP封包包头中的两个组件进行转换:其源地址和源端口号。
防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。
另外,它用另一个防火墙生成的任意端口号替换源端口号
3.路由模式: 在不同区段转发信息流时不执行NAT,即当信息穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。
5.防火墙的安全策略
(1)禁止外部网络 ping 内部网络
(2)禁止外部网络非法用户访问内部网络和 DMZ 区(安全子网区域)应用服务器
(3)禁止外部网络用户对内部网络 HTTP、FTP、Telnet 等端口访问
(4)禁止 DMZ 区的应用服务器访问内部网络
(5)允许外部网络用户使用 DMZ 区的应用服务:HTTP、HTTPS、POP3
(6)允许 DMZ 区的工作站与应用服务器访问 Internet
(7)允许内部企业网用户访问 DMZ 区的应用服务:DNS、POP3、SMTP、HTTP、HTTPS、FTP 等
(8)允许内部企业网络访问或通过代理访问外部网络。
2)SQL注入攻击
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。由于部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。
但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
SQL注入攻击思路:
(1)发现SQL注入位置
(2)判断后台数据库类型
(3)确定XP_CMDSHELL可执行情况
(4)发现WEB虚拟目录
(5)上传ASP木马 (利用Active Server Pages脚本语言编写的恶意程序)
(6)得到管理员权限
SQL注入攻击会导致的数据库安全风险包括:刷库(批量篡改数据库数据)、拖库(完整窃取数据库数据)、撞库(利用窃取数据批量验证登录)。
SQL的防护:
依托数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
五 构建网络服务器
1)网络服务器配置
网络服务器配置与管理,是指根据企业的实际需求,对安装有服务器操作系统的设备,进行软件或者硬件的相应设置、操作与管理,从而实现企业的业务活动需求。
软件配置:现在服务器所搭载的操作系统大多是Windows Server 2003/2008、Linux操作系统,涉及到相应的软件比如DNS,DHCP,FTP等服务器的配置。
硬件配置:主要是服务器自身的硬件以及周边的一些组建配置,包括服务器自身的硬盘、内存、RAID卡、网络连接方式及硬件连接等配置。
2)构建网络服务器
1.安装前的准备
在进行操作系统维护之前需要将必要的数据备份出来。
备份的方法可以使用额外的硬盘,也可以将数据用刻录机备份出来。另外,在重新安装系统之前,需要检查硬件是否工作正常,从网上下载最新的硬件驱动程序安装盘(光盘或软盘),否则系统很可能将无法安装成功。
2.操作系统的安装
(1)选择操作系统:Windows网站服务器的主要组成部分是Windows+IIS+ASP(.NET),因此如果网站程序开发语言是ASP,那么应该选择Windows服务器,因为Linux不支持ASP系列的语言;
如果是PHP语言建设的网站,建议选择Linux主机,因为在Linux平台中,inux+Apche+Mysql架构运行PHP网页可以更高效,更稳定。
(2)安装操作系统
(3)安装显卡、网卡、SCSI卡、主板等设备的驱动程序,使操作系统正常运行。另外,一定要下载并安装最新的操作系统的补丁,这样能够保证服务器的安全漏洞是最少的。
【补充】(Small Computer System Interface Card,小型计算机系统接口卡)是一种用于连接计算机与外部存储设备(如硬盘、光驱、磁带机)或外设的扩展卡,核心作用是通过 SCSI 协议实现设备间的高速数据传输。
3.网络服务的设置和启动
仅仅安装完操作系统是不行的,此时的服务器还没有提供各种网络服务,因此需要对服务器进行一系列的设置。下面介绍几种特别重要的网络服务:
(1)DNS服务: DNS(域名解析系统)是基于TCP/IP的网络中最重要的网络服务之一,最主要的作用是提供主机名到IP地址的解析服务
(2)域控制器: 在Windows操作系统中有“域”的概念。带有“域”的网络能够实现“单一账号单录,普遍资源访问”,也就是说只要在域控制器上有一个合法账号,就可以访问域中其他的服务器的资源。如果没有域控制器,只能构成一个对等网。对等网在权限控制、资源管理上是很麻烦的
(3)DHCP服务: DHCP(动态主机配置协议)是服务器向其他客户机提供IP地址以及其他网络服务的IP地址(比如DNS、默认网关的IP地址等)的网络服务。数量在几十台以上的计算机网络中,使用DHCP会带来很大的方便,客户机的IP地址、DNS的IP地址、默认网关的IP地址等都可以实现自动分配,这会大大降低网络的管理难度。除非只有几台计算机,否则都应该采用DHCP
(4)Web服务: Web服务是服务器提供的基本功能。Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。通常Windows + IIS,Linux + Apache
【补充】
IIS(Internet Information Services,互联网信息服务)
Apache(Apache HTTP Server)开源免费的 Web 服务器软件
4.应用系统的安装
基本网络服务安装、设置完成之后,需要安装各种服务器应用系统。下面介绍几种必需的应用系统:
(1)E-mail服务: E-mail是网络中使用频率最高的网络服务之一。邮件服务器软件有许多,在Windows中,用的最多的当然是Exchange Server了;在Linux中,最常用的邮件服务器软件是Sendmail
(2)数据库服务: 数据库服务也是服务器中经常提供的服务,许多应用系统都在数据库服务器的基础上进行。在Windows中,最常用的数据库服务系统是MS SQL Server;在Linux中,最常用的数据库服务系统是MySQL。也可以使用Oracle等大型数据库系统
(3)代理服务: 目前,许多企业使用代理服务器联入互联网,这样可以节省大量的互联网接入费用。常见的代理服务器软件有SyGate、WinGate、MS Proxy等。有的软件不仅需要在服务器端安装,也需要在客户端安装,因此在安装的时候,要保证客户端与服务器端的一致
【补充】
SyGate:一款简单易用且功能强大的互联网共享软件,它基于 NAT(网络地址转换)技术,可利用一条电话线、一个调制解调器和一个互联网账号,将局域网内的多台个人电脑连接到互联网上,尤其适合中小型企业、机构以及家庭用户。
WinGate:一款用于 Windows 平台下的综合网关管理软件,集成代理服务器功能,同时提供防火墙服务、NAT 服务以及电子邮件服务(SMTP、POP3 和 IMAP)
MS Proxy:是由微软公司生产的网络代理服务器,用于在网络环境中实现请求转发和响应接收的功能,广泛应用于企业、学校、组织等机构中,为用户提供网络访问控制和管理的服务。
(4)其他应用系统: 安装了以上这些服务是远远不够的,因为企业服务器上还要运行其他应用系统。比如,办公自动化系统、财务管理系统等。
六 Windows系统管理
1)Windows系统管理
1.用户和组
1.用户管理: Windows server 2003支持两种用户账户:域账户和本地账户。
域账户可以登录到域上,并获得访问该网络的权限;本地账户则只能登录到一台特定的计算机上,并访问该计算机上的资源。
Windows server 2003还提供内置用户账户:
Administrator:可对该计算机或域配置进行管理,比如创建修改用户账户和组、管理安全策略、创建打印机、分配允许用户访问资源的权限等
Guest:临时用户登录并访问资源,通常是禁用的。
2.组账户的管理: 组账户是计算机的基本安全组件,是用户账户的集合。
比如Administrators/Guests/Users/Power Users。组账户不能用于登录计算机,但可以用于组织用户账户,让用户继承组的权限。
通过使用组,管理员可以同时向一组用户分配权限,故可以简化对用户账户的管理。
同一个用户账户可以同时为多个组的成员,可以拥有多个组的权限。
2.域
域(Domain)是Windows server 2003活动目录的核心单元,是共享同一活动目录的一组计算机集合。域是安全边界,一个域的管理员只能管理自己的域,要管理其他的域需要专门的授权。
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,比如共享上网等。不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远 不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。 Windows server 2003 构建活动目录时,必须同时安装配置 DNS 服务。因为活动目录客户使用 DNS 定位域控制器。
【补充】活动目录:(Active Directory,简称 AD)是微软为 Windows 服务器设计的目录服务,核心作用是集中管理企业网络中的用户账号、计算机、服务器、软件等资源,实现 “统一身份认证 + 资源访问控制”,让管理员能高效管理复杂网络环境,同时简化用户的访问流程。
2)文件系统管理
1.NTFS文件系统
NTFS提供了FAT和FAT32文件系统所没有的全面的性能,可靠性和兼容性。
它支持大存储媒体、长文件名、数据保护和恢复。NTFS支持大硬盘和在多个硬盘上存储文件(称为卷)。
例如,一个大公司的数据库可能大得必须跨越不同的硬盘。 NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。而Windows2000中的FAT32支持分区的大小最大为32GB。
【补充】FAT文件系统
所有 FAT 版本均基于 “文件分配表 + 根目录区 + 数据区” 的结构工作
1.文件分配表(FAT 区):记录磁盘 “簇”(最小存储单元)的使用状态(空闲、已占用、坏簇),是文件系统的 “索引表”,文件存储时通过 FAT 找到连续或分散的簇。
2.根目录区:存储根目录下的文件 / 文件夹信息(如文件名、大小、创建时间、起始簇位置),早期 FAT 版本(FAT12/FAT16)根目录区大小固定,FAT32 则支持动态扩展。
3.数据区:实际存储文件数据的区域,按 “簇” 划分,簇大小随 FAT 版本和磁盘容量变化(容量越大,簇通常越大)
2.NTFS权限
利用NTFS权限,可以控制用户账户和组对文件夹和文件的访问。NTFS权限是适用于NTFS磁盘分区,主要有以下几类:
读取:查看文件或文件夹的内容、属性
写入:创建文件或文件夹,写入文件内容
修改:修改、删除文件或文件夹
读取和运行:运行应用程序或“列出文件夹内容”
列出文件夹目录:查看文件或文件夹名称
完全控制:拥有NTFS文件或文件夹的所有权限
特殊权限:其他不常用权限。
七 Linux系统管理
1)Linux系统使用常识
1.Linux简介
Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。
Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。 Linux存在着许多不同的Linux版本,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中。比如,手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机。
2.Linux文件结构
Linux系统使用树形目录结构,所有文件都在根目录(/)下
其他主要的文件目录有:
/bin:用来存放linux常用的命令
/boot:存放Linux的内核及引导系统程序所需要的文件目录
/dev:包含了所有linux系统中使用的外部设备(端口)
/etc:存放系统管理时要用到的各种配置文件和子目录
/home:用户主目录
/lib:用来存放系统动态连接共享库
/root:Linux超级权限用户root的目录
/sbin:这个目录是用来存放系统管理员的系统管理程序
2)Linux常用命令
1.与文件相关的命令
cat:显示文件内容
cd:改变目录路径
cp:复制文件
find:查找文件
grep:搜索、过滤信息
ls:列出目录信息
more:分页显示
rm:删除文件或目录
vi:调用vi文本编辑器
who:显示登录用户信息
2.网络参数配置命令
ifconfig:查询、配置网卡与IP网域等相关参数
ifup,ifdown:这两个文件是script,透过更简单的方式来启动网络接口
route:查询、配置路由表(route table)
ip:复合式的命令,可以直接修改上述提到的功能
3.网络防火墙命令
Linux自身的防火墙名为“iptables”
打开防火墙:chkconfig iptables on (是否启用,打开后重启自动启用)
关闭防火墙:chkconfig iptables off
开启了防火墙:service iptables start (立刻打开防火墙)
关闭防火墙:service iptables stop
前者控制 “防火墙是否随系统开机自动启动”(开机启动策略),后者控制 “当前系统中防火墙是否立即运行”(即时运行状态),二者需配合使用才能实现防火墙的完整管理。