操作系统
1网络操作系统的发展(1)网络操作系统NOS (Network Operating System)除了实现了单机操作系统的全部功能外,还具备了管理网络中的共享资源,实现用户通信以及方便用户使用网络等功
1网络操作系统的发展(1)网络操作系统NOS (Network Operating System)除了实现了单机操作系统的全部功能外,还具备了管理网络中的共享资源,实现用户通信以及方便用户使用网络等功能。 1 网络操作系统的特性客户/服务器模式
{32位操作系统 、抢先式多任务 、支持多种文件系统 、Internet 支持 、并行性 、开放性 、可移植性 、高可靠性 、安全性 、容错性 、图形化界面(GUI) }
3网络操作系统的功能共享资源管理 、网络通信 、网络服务 、网络管理 、互操作能力
4 规划计算机网络 网络系统设计一般性原则 开放性原则 可扩充原则 可靠性原则 可管理性原则 5规划计算机网络(3)要求:可靠性 、安全性、 网络应用服务的支持、 易用性 6 规划计算机网络(4) Web服务、DNS 服务、E-mail 服务、FTP 服务、数据库服务、备份服务、代理服务等。
7是否使用多重引导 计算机可以被设置多重引导,即在一台计算机上安装多个操作系统。 8NTFS ——建议为 Windows 2000 Server 计算机的磁盘分区选择NTFS 文件系统。
它支持各种新功能: Active Directory 、域、 文件加密 、可以对单个文件设置权限 、稀疏文件 、 远程存储、 磁盘活动恢复记录 、磁盘配额 、可更好地支持大驱动器
基本磁盘是指包含主磁盘分区、扩展磁盘分区或逻辑驱动器的物理磁盘。
动态磁盘可以提供一些基本磁盘不具备的功能,例如创建可跨越多个磁盘的卷(跨区卷和带区卷)和创建具有容错能力的卷(镜像卷和 RAID-5卷)。所有动态磁盘上的卷都是动态卷。动态卷有五种类型:简单卷、跨区卷、带区卷、镜像卷和 RAID-5卷。不管动态磁盘使用“主启动记录(MBR )” 还是“GUID 分区表(GPT )”分区样式,都可以创建最多 2,000 个动态卷,推荐值是 32 个或更少。 分区: 分区是物理磁盘的一部分,它向物理上独立的磁盘那样工作。
9主磁盘分区:基于磁盘上的一种分区类型,对于基本主启动记录磁盘,最多可以创建4个主磁盘分区或者3个主磁盘和一个有多个逻辑驱动器的扩展磁盘分区。
10扩展磁盘分区 :基于磁盘上的一种分区类型,只能创建在基本主驱动记录磁盘上。如果想在基本主启动记录磁盘上创建四个以上的卷。需要使用扩展磁盘分区,扩展磁盘分区需要进一步创建一个或多个逻辑驱动器,分别对逻辑驱动器格式化并指派驱动器号。
11卷 :磁盘上的存储区域。操作系统使用一种文件系统格式化卷,并给卷指派一个驱动器号,一个硬盘可以有多个卷,动态卷可以跨越多个磁盘。 引导分区 :包含windows server 2003操作系统文件,这些文件位于Systemroot和SystemrootSystem32目录中 12 FAT 文件系统简介
FA T16是用户早期使用的DOS 、Windows 95使用的文件系统,现在常用的Windows 98/2000/XP等系统均支持FA T16文件系统。它最大可以管理2GB 的磁盘分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
13 FA T32是FA T16的增强版,随着大容量硬盘的出现,从Windows 98开始流行,它可以支持大到2TB (2048G )的磁盘分区。FA T32使用的簇比FA T16小,从而有效地节约了磁盘空间。FA T 文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统,它向后兼容,最大的优点就在它适用于所有的Windows 操作系统。另外,FA T 文件系统在容量较小的卷上使用比较好,因为FA T 启动只使用非常少的开销。FA T 在容量低于512MB 的卷上工作时最好,当卷容量超过1.024GB 时,效率就显得很低。而对于400MB —500MB 以下的卷,FA T 文件系统相对于NTFS 文件系统来说是一个比较好的选择。不过对于使用Windows Server 2003的用户来说,FA T 文件系统则不能满足系统的要求。
14 NTFS文件系统的优点1)更为安全的文件保障,提供文件加密,能够大大提高信息的安全性。 (2)更好的磁盘压缩功能; (3)支持最大达2TB 的大硬盘;
(4)可以赋予单个文件和文件夹权限;
(5)NTFS 文件系统中设计的恢复能力无需用户在NTFS 卷中运行磁盘修复程序;
(6)NTFS 文件夹的B-Tree 结构使得用户在访问较大文件夹中的文件时,速度甚至较访问卷中较小文件夹中的文件还快;(7)可以在NTFS 卷中压缩单个文件和文件夹;(8)支持活动目录和域; (9)支持稀疏文件;(10)支持磁盘配额。 15 NTFS的安全特性1)许可权2)审计3)拥有权4)可靠的文件清除5)上次访问时间标记6)自动缓写功能7)热修复功能8)磁盘镜像功能9)有校验的磁盘条带化 10)文件加密
16 NTFS 文件权限的类型1)读取 此权限允许用户读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。 (2)写入 此权限包括覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。
(3)读取及运行 除了具有“读取”的所有权限,还具有运行应用程序的权限 (4)修改 此权限除了拥有“写入”、“读取及运行”的所有的权限外,还能够更改文件内的数据、删除文件、改变文件名等。
(5)完全控制 拥有所有的NTFS 文件的权限,也就是拥有上面所提到的所有权限,此外,还拥有“修改权限”和“取得所有” 权限。 17 文件与文件夹的访问许可冲突
随着网络环境下的共享文件和文件夹的创建,可能会出现资源许可权冲突。当某个用户是多个组的成员时,其中的某些组可能允许访问某种资源,而其他组的成员被拒绝访问它。另外,有时也可能出现
重复的许可。例如,某用户对一文件夹应能进行读(Read )访问,但他又是Administrator 组的成员而同时又有完全控制(Full Contro1)权限。
18 Windows Server 2003按以下方式确定访问权。 (1)权限的累加性。用户对每个资源的有效权限是其所有权限的总和,即权限相加,把所有的权限加在一起为该用户的权限。 (2)对资源的拒绝权限会覆盖掉所有其他的权限。例如,当用户对某一个资源的权限被设为拒绝访问,则用户的最后权限是无法访问该资源,其他的权限不再起作用。
(3)文件权限会覆盖掉文件夹权限。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。例如,共享文件夹允许完全控制而文件允许只读,则该文件为只读。 19 分布式文件系统(Distributed File System,DFS )为整个企业网络上的文件系统资源提供了一个逻辑树结构。用户可以抛开文件的实际物理位置,仅通过一定的逻辑关系就可以查找和访问网络的共享资源。用户能够像访问本地文件一样访问分布在网络上多个服务器上的文件。
20设置DFS 复制策略 为DFS 链接添加目标后,可以为其创建副本(分区应是NTFS 分区)。指定添加的一个或者多个目标作为副本复制的目的地。当该链接共享文件夹所在服务器不能使用时(关机、出现故障),DFS 会自动转向副本所在服务器。这样,用户仍可访问原链接文件夹的内容。一台主机服务器里的共享目录可以被指定复制到其他多台服务器中。
21域(Domain )是活动目录的分区,定义了安全边界,在没经过授权的情况下,不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,进行无限地域扩展。图中的双箭头表示域之间的信任关系,Server 2003中域的信任关系都是双向和可传递的。 22 DNS:是域名系统(Domain Name System)的缩写,指在Internet 中使用的分配名字和地址的机制。域名系统允许用户使用友好的名字而不是难以记忆的数字——IP 地址来访问Internet 上的主机。 域名解析:就是将用户提出的名字变换成网络地址的方法和过程,从概念上讲,域名解析是一个自上而下的过程。
23递归查询(Recursive Query):客户机送出查询请求后,DNS 服务器必须告诉客户机正确的数据(IP 地址)或通知客户机找不到其所需数据。如果DNS 服务器内没有所需要的数据,则DNS 服务器会代替客户机向其他的DNS 服务器查询。客户机只需接触一次DNS 服务器系统,就可得到所需的节点地址。
24 迭代查询(Iterative Query ):客户机送出查询请求后,若该DNS 服务器中不包含所需数据,它会告诉客户机另外一台DNS 服务器的IP 地址,使客户机自动转向另外一台DNS 服务器查询,依次类推,直到查到数据,否则由最后一台DNS 服务器通知客户机查询失败。
25 反向查询(Reverse Query ):客户机利用IP 地址查询其主机完整域名,即FQDN
26 Windows 2003的DNS 服务器支持以下三种区域类型:(1)主要区域 该区域存放此区域内所有主机数据的正本,其区域文件采用标准DNS 规格的一般文本文件。当在DNS 服务器内创建一个主要区域与区域文件后,这个DNS 服务器就是这个区域的主要名称服务器。 (2)辅助区域 该区域存放区域内所有主机数据的副本,这份数据从其“主要区域”利用区域传送的方式复制过来,区域文件采用标准DNS 规格的一般文本文件,只读不可以修改。创建辅助区域的DNS 服务器为辅助名称服务器。(3)存根区域 存根区域是一个区域副本,只包含标识该区域的权威域名系统(DNS )服务器所需的那些资源记录。存根区域用于使父区域的 DNS 服务器知道其子区域的权威 DNS 服务器,从而保持 DNS 名称解析效率。存根区域由起始授权机构(SOA )资源记录、名称服务器(NS )资源记录和粘附A 资源记录组成。 27 WINS的全称为Windows Internet Name Server。在混合网络环境中,当计算机A 使用计算机B 的名称与其进行通讯时,是通过计算机B 的名称来找出它的IP 地址,然后通过IP 地址与它沟通的,这种由计算机名称找出对应IP 地址的操作称为“名称解析”。
28 WINS 目前在Microsoft 网络上主要有两种名称,一种是DNS 域名称, 另一种就是NetBIOS 名称。 29 Windows Server 2003计算机可以使用DNS 域名称,也可以使用NetBIOS 名称与其他的计算机沟通。如果网络内只有Windows Server 2003的计算机,则可以不考虑NetBIOS 名称解析的问题。但是由于目前大多是混合网络环境,有时需要构建一台WINS 服务器,解决平台是Windows 95/98以及低版本Windows NT 计算机的NetBIOS 名称解析的问题。
30 将WINS 迁移到DNS 如果确信网络中不需要使用NetBIOS 名称服务,则可以从网络删除已安装的 WINS 服务器,这一过程叫做“退役”。重新设计网络或者准备让 WINS 最后退役时,必须首先完全实现将 DNS 作为网络上已安装的和活动的所有 Windows 计算机的主命名服务。
31 World Wide Web(也称Web 、WWW 或万维网)是Internet 上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统,整个系统由Web 服务器、浏览器 (Browser )及通信协议3部分组成。
32 WWW 中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言(HTML ,HyperText Markup Language)来编写,HTML 对Web 页的内容、格式及Web 页中的超链进行描述。Web 页间采用超级文本(HyperText )的格式互相链接。通过这些链接可从这一网页跳转到另一网页上,这也就是所谓的超链。
33 FTP (File Transfer Protocol)是文件传输协议,我们可以在服务器中存放大量的共享软件和免费资源,网络用户可以从服务器中下载文件,或者将客户机上的资源上传至服务器。FTP 就是用来在客户机和服务器之间实现文件传输的标准协议。它使用客户/服务器模式,客户程序把客户的请求告诉服务器,并将服务器发回的结果显示出来。而服务器端执行真正的工作,比如存储、发送文件等。 34分配IP 地址的方法有两种, 第一种静态分配IP 地址,即网络中的每一台计算机有一个固定的IP 地址,对于网络管理员来讲,管理这些IP 地址的工作是比较烦琐的。
第二种动态分配IP 地址,由DHCP 服务器将IP 地址数据库中的IP 地址动态的分配给局域网中的客户机,从而减轻网络管理员的负担。
35 DHCP(Dynamic Host Configuration Protocol)是动态主机配置协议的缩写,是一个简化主机IP 地址分配管理的TCP/IP标准协议。它能够动态地向网络中每台设备分配独一无二的IP 地址,并提供安全、可靠且简单的TCP/IP网络配置,确保不发生地址冲突,帮助维护IP 地址的使用。 要使用DHCP 方式动态分配IP 地址,整个网络必须至少有一台安装了DHCP 服务的服务器。其他使用DHCP 功能的客户端也必须支持自动向DHCP 服务器索取IP 地址的功能。当DHCP 客户机第一次启动时,它就会自动与DHCP 服务器通信,并由DHCP 服务器分配给DHCP 客户机一个IP 地址,直到租约到期(并非每次关机释放),这个地址就会由DHCP 服务器收回,并将其提供给其他的DHCP 客户机使用。 36 动态分配IP 地址的一个好处,就是可以解决IP 地址不够用的问题。因为IP 地址是动态分配的,而不是固定给某个客户机使用的,所以,只要有空闲的IP 地址可用,DHCP 客户机就可从DHCP 服务器取得IP 地址。当客户机不需要使用此地址时,就由DHCP 服务器收回,并提供给其他的DHCP 客户机使用。
动态分配IP 地址的另一个好处,用户不必自己设置IP 地址、DNS 服务器地址、网关地址等网络属性,甚至绑定IP 地址与MAC 地址,不存在盗用IP 地址问题,因此,可以减少管理员的维护工作量,用户也不必关心网络地址的概念和配置。 37 IP 作用域的维护主要是指修改、停用、协调、与删除IP 作用域,这些操作都在“DHCP ”控制台中完成。右键单击要处理的IP 作用域,选择弹出菜单中的“属性”、“停用”、“协调”、“删除”选项可完成修改IP 范围、停用、协调与删除DHCP 服务等操作。
38 可以保留特定的IP 地址给特定的客户端使用,以便该客户端每次申请IP 地址时都拥有相同的IP 地址。
这在实际中很有用处,例如你管理单位的网络,采用DHCP 服务一方面可以避免用户随意更改IP 地址,用户也无需设置自己的IP 地址、网关地址、DNS 服务器等信息;另一方面可以通过此功能逐一为用户设置固定的IP 地址,即所谓“IP-MAC ”绑定,这会减少不少维护工作量。 39 RAS 远程访问服务器配置与管理 为了实现移动办公,即无论出差在外还是下班回家,职工希望随时登录到公司的网络中查看、下载资料,或者为客户提供登录网络查询业务数据服务。这就要求公司的网络允许用户通过拨号的方式登录访问。即提供远程访问服务RAS (Remote Access Service)。 40 Windows Server 2003“路由和远程访问”服务组件提供构建软路由的功能,在小型网络中可以安装一台Windows Server 2003服务器并设置成路由器,来代替昂贵的硬件路由器。而且基于Windows Server 2003构建的路由器具有图形化管理界面,管理方便、易用。
41 确定路由功能包括以下几个方面:
1)IP 地址空间,是否使用私有IP 地址,是否需要启动NA T 地址转换功能;2) 是否与 Internet 之类的其他网络连接,还只是本地局域网的互联; 支持协议: IP 协议、IPX 协议,或同时支持两个协议。3) 是否支持请求拨号连接。
42 静态路由是在路由器中设置固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,所以静态路由最适合小型、单路径、静态 IP 网络。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准,静态路由器要求手工构造和更新路由表。
43 配置NA T 网络地址转换NA T (Network address translation),就是将在内部专用网络中使用的内部地址(不可路由),在路由器处替换成合法地址(可路由),从而使内网可以访问外部公共网上资源。
44 OSPF 与RIP 的区别 OSPF 与RIP 最大的区别就是 OSPF 是链路状态 RIP 是距离矢量路由选择协议
OSPF 是根据SPF(最短路径优先) 最短路径生成树而确定最短路径的 RIP 是根据别路由器来确定哪些网络可以到达 换句话说 就是OSPF 中的每台路由器拥有区域内的每台路由器的地址 而RIP 只有相连的 因此 RIP 也叫做传言路由协议 OSPF 是根据自己的SPF 算法来确定路由表 RIP 是根据跳数 最多15跳 16跳则视为不可达 OSPF 有三个表 拓扑表 邻居表还有路由表 RIP 只有路由表 RIP 相当于是个路标, 别人说我可以到那里他就相信,OSPF 就像地图, 自己算出路径. 但是区域间还是距离矢量
45 用户远程访问网络的安全性 用户远程访问网络的安全性主要包括两个方面:
一是不允许非授权用户访问内部网络,如通过用户身份识别ID 和密码验证用户,或采用RADIUS(远端验证拨入用户服务) 等安全协议验证用户等; 二是保证授权用户安全连接、访问内部网络,即远程用户连接内部网络,访问内部网络资源的信道是安全的,防止别有用心的人的窃听、对信息的截获
和篡改等操作。
46 采用VPN 所带来的好处有: (1)降低费用。(2)增强的安全性。 (3)网络协议支持。 (4)IP地址安全。
47 VPN 使用的两种隧道协议是: (1)点到点隧道协议(PPTP )。 (2) 第二层隧道协议(L2TP )。
48 公钥数字证书(又称为公钥证书、数字证书、certificates )简称证书,是用于身份验证的经过(权威机构)数字签名的声明(以文件的形式存在)。证书将公钥与保存对应私钥的实体绑定在一起,证书一般由可信的权威第三方CA 中心(权威授权机构)颁发, CA 对其颁发证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。CA 可以为用户、计算机或服务等各类实体颁发证书。 49 网络管理简介1.配置管理
配置管理是网络管理最基本的功能,负责监测和控制网络的配置状态。主要提供资源清单管理、资源提供、业务提供及其网络拓扑结构服务等功能。配置管理完成建立和维护配置MIB (管理信息库) 2.性能管理
性能管理保证网络有效运行和提供约定的服务质量,在保证各种业务的服务质量的同时,尽量提高网络资源利用率。性能管理包括性能检测、性能分析和性能管理控制等内容。性能管理在进行性能指标监测、分析和控制时要访问MIB 。当发现网络性能严重恶化时,性能管理便与故障管理互通。 3.故障管理
故障管理是迅速发现、定位和排除网络故障,动态维护网络的有效性。故障管理的主要功能有告警检测、故障定位、测试、业务恢复以及维修等,同时还要维护故障目标。 4.安全管理
安全管理提供信息的保密、认证和完整性保护机制,使网络中的服务数据和系统免受侵扰和破坏。安全管理主要包括风险分析、安全服务、告警、日志和报告功能以及网络管理系统保护功能。 5.记账管理
记账管理是正确的计算和接收用户使用网络服务的费用,进行网络资源使用的统计和网络成本效益的计算。
50 影响网络性能的因素
影响网络响应速度的因素很多,主要是网络带宽利用率与网络中服务器的响应速度。 51 提高网络性能的措施
用户可采用几种方式来提高网络性能。其中主要包括:减少信息流量,增加子网数目和提高网络速度三种方式。 52 任务管理器
任务管理器提供正在运行的程序和进程的相关信息。使用任务管理器可以监视计算机性能的关键指示器,可以查看正在运行的程序的状态,并终止已停止响应的程序。可以使用多达 15 个参数评估正在运行的进程的活动,查看反映 CPU 和内存使用情况的图形和数据。此外,如果与网络连接,还可以查看网络状态,了解网络的运行情况。如果有多个用户连接到用户的计算机,用户可以看到谁在连接、他们在做什么,还可以给他们发送消息。 53 多处理器
多处理技术把处理负载均分在多个处理器上,Windows Server 2003支持对称多处理器技术。对称多处理器是一种在多个处理器间均衡分配总处理负荷量的技术。
54 Windows Server 2003自动优化功能 优先线程与进程
在多任务操作系统中,如果每个进程的每个线程都获得相同的处理机时间而不分先后,那么计算机响应用户的请求将很慢。例如移动光标、更新屏幕这类系统进程往往比其他的系统进程发生频繁。Windows Server 2003根据线程对系统响应能力的重要性来优先处理每个线程,Windows Server 2003虽然缺省地执行许多设置线程的工作,但是它不可能精确地预计用户将如何使用计算机,所以用户有调整优先权的权力。 55 net 命令
在Windows Server 2003中,用户可以使用NET 命令获取特定信息。表15-3列出了基本的NET 命令及它们的作用。如果用户想查阅映射到一台计算机上的所有当前驱动器的列表,可以简单输入NET VIEW Computername。为了得到NET 命令的各级帮助,只要在命令后面输入/?即可。 56 ping 命令
ping 是个使用频率极高的实用程序,主要用于确定网络的连通性。这对确定网络是否正确连接,以及网络连接的状况十分有用。简单的说,ping 就是一个测试程序,如果ping 运行正确,大体上就可以排除网络访问层、网卡、MODEM 的输入输出线路、电缆和路由器等存在的故障,从而缩小问题的范围。 57 netstat
运行这个命令可以检测计算机与网络之间详细的连接情况,可以得到以太网的统计信息并显示所有协议的使用状态。这些协议包括TCP 协议、UDP 协议以及IP 协议等。另外还可以选择特定的协议并查看其具体使用信息,包括显示所有主机的端口号以及当前主机的详细路由信息。 58 ipconfig 命令
ipconfig 实用程序可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。而且,如果计算机和所在的局域网使用了动态主机配置协议DHCP ,使用ipconfig 命令可以了解到你的计算机是否成功地租用到了一个IP 地址,如果已经租用到,则可以了解它目前得到的是什么地址,包括IP 地址、子网掩码和缺省网关等网络配置信息。 59 arp 命令(地址转换协议)
ARP 是TCP/IP协议族中的一个重要协议,用于确定对应IP 地址的网卡物理地址。使用arp 命令,能够查看本地计算机或另一台计算机的ARP 高速
,缓存中的当前内容。此外,使用arp 命令可以人工方式设置静态的网卡物理地址/IP地址对,使用这种方式可以为缺省网关和本地服务器等常用主机进行本地静态配置,这有助于减少网络上的信息量。
60 tracert
这个应用程序主要用来显示数据包到达目的主机所经过的路径。通过执行一个tracert 到对方主机的命令之后,结果返回数据包到达目的主机前所经历的路径详细信息,并显示到达每个路径所消耗的时间。这个命令同ping 命令类似,但它所看到的信息要比ping 命令详细得多,它能反馈显示送出的到某一站点的请求数据包所走的全部路径,以及通过该路由的IP 地址,通过的时间是多少。 《网络安全策略主要包括两大部分,即访问控制策略和信息加密策略。访问控制策略是网络安全防范和保护的主要策略,也是维护网络系统安全、保护网络资源的重要手段,用以保证网络资源不被非法使用和访问。信息加密策略保证数据传输中的安全,即保证数据完整性和机密性。各种安全策略相互配合才能实现对系统的全面保护。
61 Windows Server 2003安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为,通过这些约束避免对网络安全性的有意或无意的伤害。
安全策略是一个事先定义好的一系列应用计算机的行为准则,应用这些安全策略保证用户有一致的工作方式,防止用户破坏计算机上的各种重要的配置,保护网络上的敏感数据。
在Windows Server 2003中安全策略分为“本地安全设置”和“组策略”两种。本地安全设置实现基于单个计算机的安全性,对于较小的企业或组织,或者是在网络中没有应用活动目录的网络,通常使用本地安全设置;而组策略可以在站点、OU (组织单元)或域的范围内实现,通常应用于较大规模并且实施活动目录的网络中。
62 管理安全性模板 Windows Server 2003中包含了许多安全模板,分别适用于不同的安全需求。利用这些模板,用户可以简化策略的设定和实施操作。它们通常包含了大多数的安全设定,用户也可以按照需要继续配置,以适应一个具体网络的需要。Windows Server 2003提供了四种安全级别的模板:基本、兼容、安全和高度安全 63 基本(Basic )
该级别的模板为Windows Server 2003定义的默认安全级别,可以用作基础配置。 64 兼容(Compatible )
提供比基本模板更高的安全级别,但仍然努力兼容标准的商用应用程序的所有功能,使之仍然可以有效的运行。
65 安全(Secure )
当安全性被视为重要的考虑因素时应选用此类模板。这种模板提供多种安全性,可能会影响一些商用应用程序某些功能的运行。 66 高度安全(high )
提供预定义下的最高安全性,安全性被视为首要考虑的因素时选用此类模板。该级别模板不会考虑应用程序是否会受到这些设定的影响,因此要慎重。 67 Windows Server 2003安全性措施 1.版本的选择
Windows Server 2003有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,如果语言不成为障碍的情况下,可以考虑选择英文版。因为微软Windows Server 2003中文版的Bug 远远多于英文版,而补丁程序一般还会推迟至少半个月。 2.组件的定制
Windows Server 2003在默认情况下会安装一些常用的组件,但这种默认安装可能带来安全隐患。对于管理员应该明确到底需要哪些服务,只安装确实需要的服务,根据安全原则,最少的服务 最小的权限=最大的安全。典型的WEB 服务器需要的最小组件选择是:只安装IIS 的Com Files ,IIS Snap-In ,WWW Server组件。而应该谨慎安装IIS 中的其他组件,例如Indexing Service, FrontPage server 2003 Extensions , Internet Service Manager (HTML)等。
3.正确安装Windows Server 2003 (1)分区和逻辑盘的分配
(2)安装顺序的选择与系统补丁 4.安全配置Windows Server 2003
(1)端口(2)IIS 服务(3)应用程序配置 (4)删除不需要的服务 (1)端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,比较安全的做法是,只打开你需要使用的端口。很多黑客攻击程序是针对特定服务和特定服务端口的,因此,为了降低遭受黑客攻击的危险,应该关闭那些不必要的服务和服务端口。
(2)IIS 服务
IIS 是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,所以我们应该细致配置IIS 。例如,信息服务发布目录Inetpub 安装在非系统分区上,如D 盘,更改名字不用系统默认目录名。在IIS 管理器中将主目录指向你自己设定的路径即可。又如,删除IIS 安装时默认的scripts 等虚拟目录,谨慎建立所需目录,同时需要什么权限开什么权限。特别注意写权限和执行程序的权限,没有绝对需要不要给目录分配这些权限。 (3)应用程序配置
删除IIS 管理器中不必要的映射。例如,在IIS 管理器中鼠标单击主机,选择“网站”,鼠标右键点击选择“属性”菜单,选择“主目录”配置页,选择“配置”,打开“应用程序配置”对话框,在“映射”选项页中根据需要可以删除不必要的应用程序类型。选择“调试”选项页,将脚本错误消息改为发送文本,否则ASP 出错的时候用户将知道你的程序、网络、数据库结构。错误文本可自己定制,设置好后点按“确定”退出。
(4)删除不需要的服务
Windows Server 2003的许多服务器允许用户远程访问本机,如用户通过Telnet 方式登录等,并可在控制台上执行一系列操作,如装载和卸载模块,安装和删除软件。这虽然带来了一些方便,但也给非法用户访问和控制服务器带来了可乘之机。 68 终端服务概述 终端服务通过“瘦客户端”软件(该软件允许客户端计算机作为终端模拟器),授权远程访问 Windows 桌面。终端服务仅把程序的用户界面传输到客户端。然后客户端会返回键盘和鼠标单击动作,以便由服务器处理。每个用户登录后只能看到其个人会话,该会话由服务器的操作系统透明地进行管理,而且独立于任何其他客户端会话。客户软件可以运行在多种客户端硬件设备上,包括个人计算机和基于 Windows 的终端。其他设备,如 Macintosh 计算机或基于 UNIX 的工作站,也可以使用其他第三方的软件连接到运行终端服务器的服务器。
69.1 远程管理模式(管理远程桌面)
远程管理为系统管理员远程管理任何TCP/IP连接上的Windows Server 2003服务器提供了一种强有力的方法。它以远程桌面协议(RDP )5.1特性集为基础,允许管理员从网络上的另一台计算机上管理服务器的文件、打印共享和编辑注册表,如同在本地执行操作。终端服务最多允许两个并发的远程管理连接,那些连接不要求额外的许可协议,也不需要一个许可协议服务器(License Server)模式。在安装Windows Server 2003时,管理远程桌面模式为默认安装,即启用该模式无需安装其他组件,但只允许最多2个终端同时连接。 69.2应用程序服务器(终端服务器) 在应用程序服务器模式下,可以在一个中心位置部署和管理应用程序,这样大大地减少了管理员开发、部署、安装以及升级和维护软件系统所需的时间和工作量。一个应用程序在终端服务中部署之后,允许网络上的多个客户连接终端服务器,运行管理服务器上应用程序和数据。 70 什么是注册表
注册表是一个树状分层的数据库,包含计算机中每个用户的配置文件、有关系统硬件的信息、安装的程序及属性设置等各种计算机软、硬件配置数据。注册表中存放着各种参数,直接控制着Windows 的启动、硬件驱动程序的装载以及一些Windows 应用程序的运行,在整个Windows 系统中起着核心作用。用户可以通过注册表调整软件的运行性能、检测和恢复系统错误、定制桌面等。系统管理员还可以通过注册表来完成系统远程管理等。概括起来,注册表包括如下一些主要内容:
(1)软、硬件的有关配置和状态信息。注册表中保存有应用程序的初始条件、首选项等信息。 (2)整个计算机系统的设置和各种许可,文件扩展名与应用程序的关联关系,硬件部件的描述、状态和属性等。
(3)性能记录和其它底层的系统状态信息。 71 注册表在Windows Server 2003中起到中介的作用,负责系统同软件、硬件、用户之间的沟通。在Windows Server 2003中运行一个应用程序的时候,系统会从注册表取得相关信息,如数据文件的类型、保存文件的位置、菜单的样式、工具栏的内容、相应软件的安装日期、用户名、版本号、序列号等。用户可以定制应用软件的菜单、工具栏和外观,相关信息即存储在注册表中。利用注册表的这些特性,许多软件的试用版都可限制用户的使用次数或时间。
72 Windows 有两个注册表子目录树:HKEY_LOCAL_MACHINE和HKEY_USERS。为了使注册表中的信息更容易查找,注册表编辑器显示出五个子目录树,它们分别是:
(1)HKEY_LOCAL_MACHINE:包含本地计算机的系统信息,用于任何用户。包括硬件和应用程序信息。如总线类型、系统内存、设备驱动程序和计算机专用的各类软件设置信息。
(2)HKEY_USERS:包含所有登录用户的信息。这些信息告诉系统当前用户使用的图标、激活的程序组、开始菜单的内容以及颜色、字体等。远程访问服务器的用户在服务器中注册表的该项下没有配置文件,他们的配置文件加载到他们自己计算机的注册表中。
(3)HKEY_CLASSES_ROOT:包含启动应用程序所需的全部信息。包括扩展名、应用程序与文档之间的关系、驱动程序名、OLE 信息、应用程序与文档的图标等。该子目录树是从HKEY_LOCAL_MACHINE中映射出来的。
(4)HKEY_CURRENT_USER:包含当前登录用户的配置信息,包括环境变量、个人程序、桌面设置等。HKEY_CURRENT_USER 是 HKEY_USERS 的子项。任何对HKEY_CURRENT_USER根键中的信息的修改都会导致HKEY_USERS.DEFAULT子键信息的修改。
(5)HKEY_CURRENT_CONFIG:包含有关本地计算机在系统启动时使用的硬件配置文件的信息。例如要加载的设备驱动程序或显示时使用的分辨率。
73 每个注册表项或子项都可以包含称为值项的数据。有些值项存储每个用户的特殊信息,而有些值项则存储应用于该计算机中所有用户的信息。值项包括三部分:值的名称、值的数据类型和值本身。
1网络操作系统的发展(1)网络操作系统NOS (Network Operating System)除了实现了单机操作系统的全部功能外,还具备了管理网络中的共享资源,实现用户通信以及方便用户使用网络等功能。 1 网络操作系统的特性客户/服务器模式
{32位操作系统 、抢先式多任务 、支持多种文件系统 、Internet 支持 、并行性 、开放性 、可移植性 、高可靠性 、安全性 、容错性 、图形化界面(GUI) }
3网络操作系统的功能共享资源管理 、网络通信 、网络服务 、网络管理 、互操作能力
4 规划计算机网络 网络系统设计一般性原则 开放性原则 可扩充原则 可靠性原则 可管理性原则 5规划计算机网络(3)要求:可靠性 、安全性、 网络应用服务的支持、 易用性 6 规划计算机网络(4) Web服务、DNS 服务、E-mail 服务、FTP 服务、数据库服务、备份服务、代理服务等。
7是否使用多重引导 计算机可以被设置多重引导,即在一台计算机上安装多个操作系统。 8NTFS ——建议为 Windows 2000 Server 计算机的磁盘分区选择NTFS 文件系统。
它支持各种新功能: Active Directory 、域、 文件加密 、可以对单个文件设置权限 、稀疏文件 、 远程存储、 磁盘活动恢复记录 、磁盘配额 、可更好地支持大驱动器
基本磁盘是指包含主磁盘分区、扩展磁盘分区或逻辑驱动器的物理磁盘。
动态磁盘可以提供一些基本磁盘不具备的功能,例如创建可跨越多个磁盘的卷(跨区卷和带区卷)和创建具有容错能力的卷(镜像卷和 RAID-5卷)。所有动态磁盘上的卷都是动态卷。动态卷有五种类型:简单卷、跨区卷、带区卷、镜像卷和 RAID-5卷。不管动态磁盘使用“主启动记录(MBR )” 还是“GUID 分区表(GPT )”分区样式,都可以创建最多 2,000 个动态卷,推荐值是 32 个或更少。 分区: 分区是物理磁盘的一部分,它向物理上独立的磁盘那样工作。
9主磁盘分区:基于磁盘上的一种分区类型,对于基本主启动记录磁盘,最多可以创建4个主磁盘分区或者3个主磁盘和一个有多个逻辑驱动器的扩展磁盘分区。
10扩展磁盘分区 :基于磁盘上的一种分区类型,只能创建在基本主驱动记录磁盘上。如果想在基本主启动记录磁盘上创建四个以上的卷。需要使用扩展磁盘分区,扩展磁盘分区需要进一步创建一个或多个逻辑驱动器,分别对逻辑驱动器格式化并指派驱动器号。
11卷 :磁盘上的存储区域。操作系统使用一种文件系统格式化卷,并给卷指派一个驱动器号,一个硬盘可以有多个卷,动态卷可以跨越多个磁盘。 引导分区 :包含windows server 2003操作系统文件,这些文件位于Systemroot和SystemrootSystem32目录中 12 FAT 文件系统简介
FA T16是用户早期使用的DOS 、Windows 95使用的文件系统,现在常用的Windows 98/2000/XP等系统均支持FA T16文件系统。它最大可以管理2GB 的磁盘分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
13 FA T32是FA T16的增强版,随着大容量硬盘的出现,从Windows 98开始流行,它可以支持大到2TB (2048G )的磁盘分区。FA T32使用的簇比FA T16小,从而有效地节约了磁盘空间。FA T 文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统,它向后兼容,最大的优点就在它适用于所有的Windows 操作系统。另外,FA T 文件系统在容量较小的卷上使用比较好,因为FA T 启动只使用非常少的开销。FA T 在容量低于512MB 的卷上工作时最好,当卷容量超过1.024GB 时,效率就显得很低。而对于400MB —500MB 以下的卷,FA T 文件系统相对于NTFS 文件系统来说是一个比较好的选择。不过对于使用Windows Server 2003的用户来说,FA T 文件系统则不能满足系统的要求。
14 NTFS文件系统的优点1)更为安全的文件保障,提供文件加密,能够大大提高信息的安全性。 (2)更好的磁盘压缩功能; (3)支持最大达2TB 的大硬盘;
(4)可以赋予单个文件和文件夹权限;
(5)NTFS 文件系统中设计的恢复能力无需用户在NTFS 卷中运行磁盘修复程序;
(6)NTFS 文件夹的B-Tree 结构使得用户在访问较大文件夹中的文件时,速度甚至较访问卷中较小文件夹中的文件还快;(7)可以在NTFS 卷中压缩单个文件和文件夹;(8)支持活动目录和域; (9)支持稀疏文件;(10)支持磁盘配额。 15 NTFS的安全特性1)许可权2)审计3)拥有权4)可靠的文件清除5)上次访问时间标记6)自动缓写功能7)热修复功能8)磁盘镜像功能9)有校验的磁盘条带化 10)文件加密
16 NTFS 文件权限的类型1)读取 此权限允许用户读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。 (2)写入 此权限包括覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。
(3)读取及运行 除了具有“读取”的所有权限,还具有运行应用程序的权限 (4)修改 此权限除了拥有“写入”、“读取及运行”的所有的权限外,还能够更改文件内的数据、删除文件、改变文件名等。
(5)完全控制 拥有所有的NTFS 文件的权限,也就是拥有上面所提到的所有权限,此外,还拥有“修改权限”和“取得所有” 权限。 17 文件与文件夹的访问许可冲突
随着网络环境下的共享文件和文件夹的创建,可能会出现资源许可权冲突。当某个用户是多个组的成员时,其中的某些组可能允许访问某种资源,而其他组的成员被拒绝访问它。另外,有时也可能出现
重复的许可。例如,某用户对一文件夹应能进行读(Read )访问,但他又是Administrator 组的成员而同时又有完全控制(Full Contro1)权限。
18 Windows Server 2003按以下方式确定访问权。 (1)权限的累加性。用户对每个资源的有效权限是其所有权限的总和,即权限相加,把所有的权限加在一起为该用户的权限。 (2)对资源的拒绝权限会覆盖掉所有其他的权限。例如,当用户对某一个资源的权限被设为拒绝访问,则用户的最后权限是无法访问该资源,其他的权限不再起作用。
(3)文件权限会覆盖掉文件夹权限。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。例如,共享文件夹允许完全控制而文件允许只读,则该文件为只读。 19 分布式文件系统(Distributed File System,DFS )为整个企业网络上的文件系统资源提供了一个逻辑树结构。用户可以抛开文件的实际物理位置,仅通过一定的逻辑关系就可以查找和访问网络的共享资源。用户能够像访问本地文件一样访问分布在网络上多个服务器上的文件。
20设置DFS 复制策略 为DFS 链接添加目标后,可以为其创建副本(分区应是NTFS 分区)。指定添加的一个或者多个目标作为副本复制的目的地。当该链接共享文件夹所在服务器不能使用时(关机、出现故障),DFS 会自动转向副本所在服务器。这样,用户仍可访问原链接文件夹的内容。一台主机服务器里的共享目录可以被指定复制到其他多台服务器中。
21域(Domain )是活动目录的分区,定义了安全边界,在没经过授权的情况下,不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,进行无限地域扩展。图中的双箭头表示域之间的信任关系,Server 2003中域的信任关系都是双向和可传递的。 22 DNS:是域名系统(Domain Name System)的缩写,指在Internet 中使用的分配名字和地址的机制。域名系统允许用户使用友好的名字而不是难以记忆的数字——IP 地址来访问Internet 上的主机。 域名解析:就是将用户提出的名字变换成网络地址的方法和过程,从概念上讲,域名解析是一个自上而下的过程。
23递归查询(Recursive Query):客户机送出查询请求后,DNS 服务器必须告诉客户机正确的数据(IP 地址)或通知客户机找不到其所需数据。如果DNS 服务器内没有所需要的数据,则DNS 服务器会代替客户机向其他的DNS 服务器查询。客户机只需接触一次DNS 服务器系统,就可得到所需的节点地址。
24 迭代查询(Iterative Query ):客户机送出查询请求后,若该DNS 服务器中不包含所需数据,它会告诉客户机另外一台DNS 服务器的IP 地址,使客户机自动转向另外一台DNS 服务器查询,依次类推,直到查到数据,否则由最后一台DNS 服务器通知客户机查询失败。
25 反向查询(Reverse Query ):客户机利用IP 地址查询其主机完整域名,即FQDN
26 Windows 2003的DNS 服务器支持以下三种区域类型:(1)主要区域 该区域存放此区域内所有主机数据的正本,其区域文件采用标准DNS 规格的一般文本文件。当在DNS 服务器内创建一个主要区域与区域文件后,这个DNS 服务器就是这个区域的主要名称服务器。 (2)辅助区域 该区域存放区域内所有主机数据的副本,这份数据从其“主要区域”利用区域传送的方式复制过来,区域文件采用标准DNS 规格的一般文本文件,只读不可以修改。创建辅助区域的DNS 服务器为辅助名称服务器。(3)存根区域 存根区域是一个区域副本,只包含标识该区域的权威域名系统(DNS )服务器所需的那些资源记录。存根区域用于使父区域的 DNS 服务器知道其子区域的权威 DNS 服务器,从而保持 DNS 名称解析效率。存根区域由起始授权机构(SOA )资源记录、名称服务器(NS )资源记录和粘附A 资源记录组成。 27 WINS的全称为Windows Internet Name Server。在混合网络环境中,当计算机A 使用计算机B 的名称与其进行通讯时,是通过计算机B 的名称来找出它的IP 地址,然后通过IP 地址与它沟通的,这种由计算机名称找出对应IP 地址的操作称为“名称解析”。
28 WINS 目前在Microsoft 网络上主要有两种名称,一种是DNS 域名称, 另一种就是NetBIOS 名称。 29 Windows Server 2003计算机可以使用DNS 域名称,也可以使用NetBIOS 名称与其他的计算机沟通。如果网络内只有Windows Server 2003的计算机,则可以不考虑NetBIOS 名称解析的问题。但是由于目前大多是混合网络环境,有时需要构建一台WINS 服务器,解决平台是Windows 95/98以及低版本Windows NT 计算机的NetBIOS 名称解析的问题。
30 将WINS 迁移到DNS 如果确信网络中不需要使用NetBIOS 名称服务,则可以从网络删除已安装的 WINS 服务器,这一过程叫做“退役”。重新设计网络或者准备让 WINS 最后退役时,必须首先完全实现将 DNS 作为网络上已安装的和活动的所有 Windows 计算机的主命名服务。
31 World Wide Web(也称Web 、WWW 或万维网)是Internet 上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统,整个系统由Web 服务器、浏览器 (Browser )及通信协议3部分组成。
32 WWW 中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言(HTML ,HyperText Markup Language)来编写,HTML 对Web 页的内容、格式及Web 页中的超链进行描述。Web 页间采用超级文本(HyperText )的格式互相链接。通过这些链接可从这一网页跳转
,到另一网页上,这也就是所谓的超链。 33 FTP (File Transfer Protocol)是文件传输协议,我们可以在服务器中存放大量的共享软件和免费资源,网络用户可以从服务器中下载文件,或者将客户机上的资源上传至服务器。FTP 就是用来在客户机和服务器之间实现文件传输的标准协议。它使用客户/服务器模式,客户程序把客户的请求告诉服务器,并将服务器发回的结果显示出来。而服务器端执行真正的工作,比如存储、发送文件等。 34分配IP 地址的方法有两种, 第一种静态分配IP 地址,即网络中的每一台计算机有一个固定的IP 地址,对于网络管理员来讲,管理这些IP 地址的工作是比较烦琐的。
第二种动态分配IP 地址,由DHCP 服务器将IP 地址数据库中的IP 地址动态的分配给局域网中的客户机,从而减轻网络管理员的负担。
35 DHCP(Dynamic Host Configuration Protocol)是动态主机配置协议的缩写,是一个简化主机IP 地址分配管理的TCP/IP标准协议。它能够动态地向网络中每台设备分配独一无二的IP 地址,并提供安全、可靠且简单的TCP/IP网络配置,确保不发生地址冲突,帮助维护IP 地址的使用。 要使用DHCP 方式动态分配IP 地址,整个网络必须至少有一台安装了DHCP 服务的服务器。其他使用DHCP 功能的客户端也必须支持自动向DHCP 服务器索取IP 地址的功能。当DHCP 客户机第一次启动时,它就会自动与DHCP 服务器通信,并由DHCP 服务器分配给DHCP 客户机一个IP 地址,直到租约到期(并非每次关机释放),这个地址就会由DHCP 服务器收回,并将其提供给其他的DHCP 客户机使用。 36 动态分配IP 地址的一个好处,就是可以解决IP 地址不够用的问题。因为IP 地址是动态分配的,而不是固定给某个客户机使用的,所以,只要有空闲的IP 地址可用,DHCP 客户机就可从DHCP 服务器取得IP 地址。当客户机不需要使用此地址时,就由DHCP 服务器收回,并提供给其他的DHCP 客户机使用。
动态分配IP 地址的另一个好处,用户不必自己设置IP 地址、DNS 服务器地址、网关地址等网络属性,甚至绑定IP 地址与MAC 地址,不存在盗用IP 地址问题,因此,可以减少管理员的维护工作量,用户也不必关心网络地址的概念和配置。 37 IP 作用域的维护主要是指修改、停用、协调、与删除IP 作用域,这些操作都在“DHCP ”控制台中完成。右键单击要处理的IP 作用域,选择弹出菜单中的“属性”、“停用”、“协调”、“删除”选项可完成修改IP 范围、停用、协调与删除DHCP 服务等操作。
38 可以保留特定的IP 地址给特定的客户端使用,以便该客户端每次申请IP 地址时都拥有相同的IP 地址。
这在实际中很有用处,例如你管理单位的网络,采用DHCP 服务一方面可以避免用户随意更改IP 地址,用户也无需设置自己的IP 地址、网关地址、DNS 服务器等信息;另一方面可以通过此功能逐一为用户设置固定的IP 地址,即所谓“IP-MAC ”绑定,这会减少不少维护工作量。 39 RAS 远程访问服务器配置与管理 为了实现移动办公,即无论出差在外还是下班回家,职工希望随时登录到公司的网络中查看、下载资料,或者为客户提供登录网络查询业务数据服务。这就要求公司的网络允许用户通过拨号的方式登录访问。即提供远程访问服务RAS (Remote Access Service)。 40 Windows Server 2003“路由和远程访问”服务组件提供构建软路由的功能,在小型网络中可以安装一台Windows Server 2003服务器并设置成路由器,来代替昂贵的硬件路由器。而且基于Windows Server 2003构建的路由器具有图形化管理界面,管理方便、易用。
41 确定路由功能包括以下几个方面:
1)IP 地址空间,是否使用私有IP 地址,是否需要启动NA T 地址转换功能;2) 是否与 Internet 之类的其他网络连接,还只是本地局域网的互联; 支持协议: IP 协议、IPX 协议,或同时支持两个协议。3) 是否支持请求拨号连接。
42 静态路由是在路由器中设置固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,所以静态路由最适合小型、单路径、静态 IP 网络。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准,静态路由器要求手工构造和更新路由表。
43 配置NA T 网络地址转换NA T (Network address translation),就是将在内部专用网络中使用的内部地址(不可路由),在路由器处替换成合法地址(可路由),从而使内网可以访问外部公共网上资源。
44 OSPF 与RIP 的区别 OSPF 与RIP 最大的区别就是 OSPF 是链路状态 RIP 是距离矢量路由选择协议
OSPF 是根据SPF(最短路径优先) 最短路径生成树而确定最短路径的 RIP 是根据别路由器来确定哪些网络可以到达 换句话说 就是OSPF 中的每台路由器拥有区域内的每台路由器的地址 而RIP 只有相连的 因此 RIP 也叫做传言路由协议 OSPF 是根据自己的SPF 算法来确定路由表 RIP 是根据跳数 最多15跳 16跳则视为不可达 OSPF 有三个表 拓扑表 邻居表还有路由表 RIP 只有路由表 RIP 相当于是个路标, 别人说我可以到那里他就相信,OSPF 就像地图, 自己算出路径. 但是区域间还是距离矢量
45 用户远程访问网络的安全性 用户远程访问网络的安全性主要包括两个方面:
一是不允许非授权用户访问内部网络,如通过用户身份识别ID 和密码验证用户,或采用RADIUS(远端验证拨入用户服务) 等安全协议验证用户等; 二是保证授权用户安全连接、访问内部网络,即远程用户连接内部网络,访问内部网络资源的信道是安全的,防止别有用心的人的窃听、对信息的截获
和篡改等操作。
46 采用VPN 所带来的好处有: (1)降低费用。(2)增强的安全性。 (3)网络协议支持。 (4)IP地址安全。
47 VPN 使用的两种隧道协议是: (2)点到点隧道协议(PPTP )。 (2) 第二层隧道协议(L2TP )。
48 公钥数字证书(又称为公钥证书、数字证书、certificates )简称证书,是用于身份验证的经过(权威机构)数字签名的声明(以文件的形式存在)。证书将公钥与保存对应私钥的实体绑定在一起,证书一般由可信的权威第三方CA 中心(权威授权机构)颁发, CA 对其颁发证书进行数字签名,以保证所颁发证书的完整性和可鉴别性。CA 可以为用户、计算机或服务等各类实体颁发证书。 49 网络管理简介1.配置管理
配置管理是网络管理最基本的功能,负责监测和控制网络的配置状态。主要提供资源清单管理、资源提供、业务提供及其网络拓扑结构服务等功能。配置管理完成建立和维护配置MIB (管理信息库) 2.性能管理
性能管理保证网络有效运行和提供约定的服务质量,在保证各种业务的服务质量的同时,尽量提高网络资源利用率。性能管理包括性能检测、性能分析和性能管理控制等内容。性能管理在进行性能指标监测、分析和控制时要访问MIB 。当发现网络性能严重恶化时,性能管理便与故障管理互通。 3.故障管理
故障管理是迅速发现、定位和排除网络故障,动态维护网络的有效性。故障管理的主要功能有告警检测、故障定位、测试、业务恢复以及维修等,同时还要维护故障目标。 4.安全管理
安全管理提供信息的保密、认证和完整性保护机制,使网络中的服务数据和系统免受侵扰和破坏。安全管理主要包括风险分析、安全服务、告警、日志和报告功能以及网络管理系统保护功能。 5.记账管理
记账管理是正确的计算和接收用户使用网络服务的费用,进行网络资源使用的统计和网络成本效益的计算。
50 影响网络性能的因素
影响网络响应速度的因素很多,主要是网络带宽利用率与网络中服务器的响应速度。 51 提高网络性能的措施
用户可采用几种方式来提高网络性能。其中主要包括:减少信息流量,增加子网数目和提高网络速度三种方式。 52 任务管理器
任务管理器提供正在运行的程序和进程的相关信息。使用任务管理器可以监视计算机性能的关键指示器,可以查看正在运行的程序的状态,并终止已停止响应的程序。可以使用多达 15 个参数评估正在运行的进程的活动,查看反映 CPU 和内存使用情况的图形和数据。此外,如果与网络连接,还可以查看网络状态,了解网络的运行情况。如果有多个用户连接到用户的计算机,用户可以看到谁在连接、他们在做什么,还可以给他们发送消息。 53 多处理器
多处理技术把处理负载均分在多个处理器上,Windows Server 2003支持对称多处理器技术。对称多处理器是一种在多个处理器间均衡分配总处理负荷量的技术。
54 Windows Server 2003自动优化功能 优先线程与进程
在多任务操作系统中,如果每个进程的每个线程都获得相同的处理机时间而不分先后,那么计算机响应用户的请求将很慢。例如移动光标、更新屏幕这类系统进程往往比其他的系统进程发生频繁。Windows Server 2003根据线程对系统响应能力的重要性来优先处理每个线程,Windows Server 2003虽然缺省地执行许多设置线程的工作,但是它不可能精确地预计用户将如何使用计算机,所以用户有调整优先权的权力。 55 net 命令
在Windows Server 2003中,用户可以使用NET 命令获取特定信息。表15-3列出了基本的NET 命令及它们的作用。如果用户想查阅映射到一台计算机上的所有当前驱动器的列表,可以简单输入NET VIEW Computername。为了得到NET 命令的各级帮助,只要在命令后面输入/?即可。 56 ping 命令
ping 是个使用频率极高的实用程序,主要用于确定网络的连通性。这对确定网络是否正确连接,以及网络连接的状况十分有用。简单的说,ping 就是一个测试程序,如果ping 运行正确,大体上就可以排除网络访问层、网卡、MODEM 的输入输出线路、电缆和路由器等存在的故障,从而缩小问题的范围。 57 netstat
运行这个命令可以检测计算机与网络之间详细的连接情况,可以得到以太网的统计信息并显示所有协议的使用状态。这些协议包括TCP 协议、UDP 协议以及IP 协议等。另外还可以选择特定的协议并查看其具体使用信息,包括显示所有主机的端口号以及当前主机的详细路由信息。 58 ipconfig 命令
ipconfig 实用程序可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。而且,如果计算机和所在的局域网使用了动态主机配置协议DHCP ,使用ipconfig 命令可以了解到你的计算机是否成功地租用到了一个IP 地址,如果已经租用到,则可以了解它目前得到的是什么地址,包括IP 地址、子网掩码和缺省网关等网络配置信息。 59 arp 命令(地址转换协议)
ARP 是TCP/IP协议族中的一个重要协议,用于确定对应IP 地址的网卡物理地址。使用arp 命令,能够查看本地计算机或另一台计算机的ARP 高速缓存中的当前内容。此外,使用arp 命令可以人工方式设置静态的网卡物理地址/IP地址对,使用这种方式可以为缺省网关和本地服务器等常用主机进行本地静态配置,这有助于减少网络上的信息量。
60 tracert
这个应用程序主要用来显示数据包到达目的主机所经过的路径。通过执行一个tracert 到对方主机的命令之后,结果返回数据包到达目的主机前所经历的路径详细信息,并显示到达每个路径所消耗的时间。这个命令同ping 命令类似,但它所看到的信息要比ping 命令详细得多,它能反馈显示送出的到某一站点的请求数据包所走的全部路径,以及通过该路由的IP 地址,通过的时间是多少。 《网络安全策略主要包括两大部分,即访问控制策略和信息加密策略。访问控制策略是网络安全防范和保护的主要策略,也是维护网络系统安全、保护网络资源的重要手段,用以保证网络资源不被非法使用和访问。信息加密策略保证数据传输中的安全,即保证数据完整性和机密性。各种安全策略相互配合才能实现对系统的全面保护。
61 Windows Server 2003安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为,通过这些约束避免对网络安全性的有意或无意的伤害。
安全策略是一个事先定义好的一系列应用计算机的行为准则,应用这些安全策略保证用户有一致的工作方式,防止用户破坏计算机上的各种重要的配置,保护网络上的敏感数据。
在Windows Server 2003中安全策略分为“本地安全设置”和“组策略”两种。本地安全设置实现基于单个计算机的安全性,对于较小的企业或组织,或者是在网络中没有应用活动目录的网络,通常使用本地安全设置;而组策略可以在站点、OU (组织单元)或域的范围内实现,通常应用于较大规模并且实施活动目录的网络中。
62 管理安全性模板 Windows Server 2003中包含了许多安全模板,分别适用于不同的安全需求。利用这些模板,用户可以简化策略的设定和实施操作。它们通常包含了大多数的安全设定,用户也可以按照需要继续配置,以适应一个具体网络的需要。Windows Server 2003提供了四种安全级别的模板:基本、兼容、安全和高度安全 63 基本(Basic )
该级别的模板为Windows Server 2003定义的默认安全级别,可以用作基础配置。 64 兼容(Compatible )
提供比基本模板更高的安全级别,但仍然努力兼容标准的商用应用程序的所有功能,使之仍然可以有效的运行。
65 安全(Secure )
当安全性被视为重要的考虑因素时应选用此类模板。这种模板提供多种安全性,可能会影响一些商用应用程序某些功能的运行。 66 高度安全(high )
提供预定义下的最高安全性,安全性被视为首要考虑的因素时选用此类模板。该级别模板不会考虑应用程序是否会受到这些设定的影响,因此要慎重。 67 Windows Server 2003安全性措施 1.版本的选择
Windows Server 2003有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,如果语言不成为障碍的情况下,可以考虑选择英文版。因为微软Windows Server 2003中文版的Bug 远远多于英文版,而补丁程序一般还会推迟至少半个月。 2.组件的定制
Windows Server 2003在默认情况下会安装一些常用的组件,但这种默认安装可能带来安全隐患。对于管理员应该明确到底需要哪些服务,只安装确实需要的服务,根据安全原则,最少的服务 最小的权限=最大的安全。典型的WEB 服务器需要的最小组件选择是:只安装IIS 的Com Files ,IIS Snap-In ,WWW Server组件。