第12章-局域網(wǎng)性能與安全管理

計算機(jī)網(wǎng)絡(luò)技術(shù)與基礎(chǔ)實訓(xùn)第12章局域網(wǎng)性能與安全管理學(xué)習(xí)要點(diǎn)了解網(wǎng)絡(luò)安全的基本知識掌握用戶賬戶與口令的安全設(shè)置掌握性能監(jiān)視器的設(shè)置和使用掌握網(wǎng)絡(luò)防病毒軟件和網(wǎng)絡(luò)防火墻的安裝與設(shè)置了解計算機(jī)端口安全管理12.1設(shè)置本地安全策略在沒有活動目錄集中管理的情況下，本地管理員必須為計算機(jī)進(jìn)行本地安全設(shè)置，例如，限制用戶如何設(shè)置密碼、通過賬戶策略設(shè)置賬戶安全性、通過鎖定賬戶策略避免他人登錄計算機(jī)、指派用戶權(quán)限等。將這些安全設(shè)置分組管理，就組成了WindowsServer2003的本地安全策略。

WindowsServer2003在“管理工具”對話框中提供了“本地安全設(shè)置”控制臺，可以集中管理本地計算機(jī)的安全設(shè)置原則。使用管理員賬戶登錄到本地計算機(jī)，即可打開“本地安全設(shè)置”對話框

12.1設(shè)置本地安全策略1．密碼安全設(shè)置WindowsServer2003的密碼原則主要包括以下4項：密碼必須符合復(fù)雜性要求，密碼長度最小值，密碼使用期限,強(qiáng)制密碼歷史等。12.1設(shè)置本地安全策略2．賬戶鎖定策略密碼安全賬戶鎖定原則包括如下設(shè)置：賬戶鎖定閾值、賬戶鎖定時間和重設(shè)賬戶鎖定計算機(jī)的時間間隔。賬戶鎖定閾值默認(rèn)為“0次無效登錄”，可以設(shè)置為5次或更多的次數(shù)以確保系統(tǒng)安全。12.1設(shè)置本地安全策略3．用戶權(quán)限分配

WindowsServer2003將計算機(jī)管理各項任務(wù)設(shè)置為默認(rèn)的權(quán)限，例如，從本地登錄系統(tǒng)、更改系統(tǒng)時間、從網(wǎng)絡(luò)連接到該計算機(jī)、關(guān)閉系統(tǒng)等。系統(tǒng)管理員在新增了用戶賬戶和組賬戶后，如果需要指派這些賬戶管理計算機(jī)的某項任務(wù)，可以將這些賬戶加入到內(nèi)置組，但這種方式不夠靈活。系統(tǒng)管理員可以單獨(dú)為用戶或組指派權(quán)限，這種方式提供了更好的靈活性。用戶權(quán)限的分配在“本地安全設(shè)置”對話框的“本地策略”下設(shè)置。12.2使用性能工具12.2.1性能對象和計數(shù)器

WindowsServer2003系列操作系統(tǒng)從各個組件中獲得性能數(shù)據(jù)，該數(shù)據(jù)被描述為性能對象，通常以生成數(shù)據(jù)的組件命名。例如，處理器（Processor）對象是對系統(tǒng)上處理器性能數(shù)據(jù)的收集。性能對象內(nèi)置于操作系統(tǒng)中，通常對應(yīng)于主要的硬件、軟件組件，例如內(nèi)存、處理器以及DNS、終端服務(wù)等。12.2使用性能工具12.2.2使用系統(tǒng)監(jiān)視器監(jiān)視性能

執(zhí)行“開始”→“程序”→“管理工具”命令，在“管理工具”對話框中可以看到一個“性能”圖標(biāo)。雙擊“性能”圖標(biāo)。打開“性能”對話框。該性能工具提供了詳細(xì)的性能監(jiān)視功能，包括“系統(tǒng)監(jiān)視器”和“性能日志和警報”兩項。

12.2使用性能工具12.2.3性能日志和警報要監(jiān)視簡單服務(wù)器配置的性能，需要收集某個時間段內(nèi)的3種不同類型的性能數(shù)據(jù):

一般性能數(shù)據(jù)：此信息可幫助管理員發(fā)現(xiàn)短期趨勢，如內(nèi)存泄漏等。經(jīng)過一段時間的數(shù)據(jù)收集后，可以求出結(jié)果的平均值并用更緊湊的格式保存這些結(jié)果。這種存檔數(shù)據(jù)可幫助管理員在業(yè)務(wù)增長時作出容量規(guī)劃，并有助于管理員在日后評估上述規(guī)劃的效果。

基準(zhǔn)性能數(shù)據(jù)：此信息可幫助管理員發(fā)現(xiàn)隨著時間的推移而慢慢發(fā)生的更改。通過將系統(tǒng)的當(dāng)前狀態(tài)與歷史記錄數(shù)據(jù)相比較，可以排除系統(tǒng)問題并調(diào)整系統(tǒng)。

用于服務(wù)級別報告的數(shù)據(jù)：此信息可幫助管理員確保系統(tǒng)達(dá)到特定的服務(wù)或性能級別，收集和維護(hù)該數(shù)據(jù)的頻率取決于特定的業(yè)務(wù)需要。

12.3網(wǎng)絡(luò)監(jiān)視器12.3.1安裝網(wǎng)絡(luò)監(jiān)視器WindowsServer2003操作系統(tǒng)提供的“網(wǎng)絡(luò)監(jiān)視器”組件可以捕獲所在計算機(jī)收到或發(fā)出的幀。要安裝網(wǎng)絡(luò)監(jiān)視器，可以使用如下步驟:①在“控制面板”對話框中，雙擊“添加或刪除程序”圖標(biāo)。②單擊“添加/刪除Windows組件”按鈕，打開Windows組件向?qū)υ捒?。③在“Windows組件向?qū)А睂υ捒蛑校x擇“管理和監(jiān)視工具”選項，然后單擊“詳細(xì)信息”按鈕。④在“管理和監(jiān)視工具的子組件”對話框中，選擇“網(wǎng)絡(luò)監(jiān)視工具”復(fù)選框，然后單擊“確定”按鈕。⑤如果系統(tǒng)提示您提供其他文件，插入操作系統(tǒng)的安裝光盤，或輸入指向網(wǎng)絡(luò)上文件位置的路徑。安裝完成后，可以在“開始”→“程序”→“管理工具”中找到網(wǎng)絡(luò)監(jiān)視器。12.3網(wǎng)絡(luò)監(jiān)視器12.3.2監(jiān)視網(wǎng)絡(luò)通信首次啟動網(wǎng)絡(luò)監(jiān)視器時，提示用戶選擇一個網(wǎng)絡(luò)連接以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)捕獲。打開后的網(wǎng)絡(luò)監(jiān)視器，該窗口包括4個窗格:

圖表窗格：以圖形顯示當(dāng)前捕獲數(shù)據(jù)的總體捕獲統(tǒng)計信息。 會話統(tǒng)計窗格：以每個會話為單位顯示統(tǒng)計信息。 機(jī)器統(tǒng)計窗格：說明工作站的網(wǎng)絡(luò)活動狀態(tài)。 統(tǒng)計總數(shù)窗格：可以從整體上查看本地計算機(jī)發(fā)出和收到的網(wǎng)絡(luò)通信。

12.4防火墻軟件防火墻是近年發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的訪問控制技術(shù)。它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上，通過建立起網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋通過外部網(wǎng)絡(luò)的入侵。

12.4防火墻軟件12.4.1防火墻概述1．防火墻的概念（1）防火墻的基本功能。防火墻應(yīng)具有如下基本功能：過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。（2）防火墻存在的缺陷。防火墻可能存在如下一些缺陷：防火墻不能防范不經(jīng)由防火墻的攻擊；防火墻不能防止感染了病毒的軟件或文件的傳輸；防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。12.4防火墻軟件2．防火墻的類型按照防火墻保護(hù)網(wǎng)絡(luò)使用方法的不同，可將其分為3種類型：網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻鏈路層防火墻12.4防火墻軟件12.4.2安裝天網(wǎng)防火墻軟件

天網(wǎng)防火墻是由中國人自行設(shè)計的防攻擊軟件，通過直觀、易用的界面來實現(xiàn)強(qiáng)大系統(tǒng)管理功能。該軟件內(nèi)置了一些不同安全級別和IP規(guī)則，非常適合普通用戶使用。天網(wǎng)防火墻還可以對所有來自外部計算機(jī)的訪問進(jìn)行過濾，發(fā)現(xiàn)未授權(quán)的訪問請求后立即拒絕，隨時保護(hù)用戶系統(tǒng)的信息安全。另外，對熟悉網(wǎng)絡(luò)協(xié)議的用戶，可以根據(jù)自己實際情況，添加、刪除、修改安全規(guī)則，保護(hù)本機(jī)安全。即使用戶對網(wǎng)絡(luò)不熟悉，使用天網(wǎng)提供的默認(rèn)設(shè)置，也同樣可以保護(hù)用戶系統(tǒng)的安全。訪問記錄可以詳細(xì)地記錄是否有入侵者訪問用戶系統(tǒng)，當(dāng)出現(xiàn)異常情況時，報警系統(tǒng)可以隨時提醒用戶。12.5端口安全管理端口是計算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全，一般來說，只打開需要使用的端口會比較安全。在網(wǎng)絡(luò)技術(shù)中，端口大致有兩種含義：一是物理意義上的端口，比如ADSLModem集線器、交換機(jī)、路由器，用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等；二是邏輯意義上的端口，一般是指TCP/IP協(xié)議中的端口，端口號的范圍為0～65535，比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的2l端口等。12.5端口安全管理12.5.1端口分類按端口號分布動態(tài)端口知名端口按協(xié)議類型UDPTCPICMP等IP12.5端口安全管理12.5.2端口查看在