1、项目8 网络管理与安全,随着计算机网络应用的不断普及,网络资源和网络应用服务日益丰富,计算机网络管理和安全问题已经成为网络建设和发展中的热门话题。在实际网络运行中,提升网络管理水平,采取合理的安全措施和手段,是确保网络稳定、可靠和安全运行的重要方法。因此对于网络管理人员来说,掌握必要的网络管理和完全方面的技能非常重要。本项目的主要目标是了解基于SNMP的网络管理的实现;了解常见的网络安全技术措施;掌握Windows XP系统下的用户安全管理、文件备份还原以及内置防火墙的设置方法;掌握网络防病毒软件的安装和使用方法。,本项目主要内容,任务8.1 SNMP服务的安装与测试 任务8.2 网络扫描工具
2、的使用 任务8.3 Window XP的本地用户管理 任务8.4 Window XP下的文件备份与还原 任务8.5 认识和设置防火墙 任务8.6 防病毒软件的安装和使用 习题8,任务8.1 SNMP服务的安装与测试,【实训目的】 (1)了解网络管理的基本功能。 (2)了解网络管理的基本模型和组成。 (3)了解SNMP服务的安装和配置方法。 【实训条件】 (1)已经安装并能运行的局域网。 (2)安装Windows XP的计算机。 (3)Windows XP系统光盘及相关的MIB查询工具。,8.1.1 相关知识,最早的网络管理是局域网管理,主要保证局域网能够顺利传递和共享文件,早期的局域网管理系统
3、与网络操作系统密不可分。目前的网络管理打破了网络的地域限制,不再局限于保证文件的传输,而是保障网络的正常运转,维护各类网络应用和数据的有效和安全地使用、存储以及传递,同时监测网络的运行性能,优化网络的拓扑结构。,1. 网络管理的基本功能,(1)配置管理计算机网络由各种物理结构和逻辑结构组成,这些结构中有许多参数、状态等信息需要设置并协调。另外,网络运行在多变的环境中,系统本身也经常要随着用户的增、减或设备的维修而调整配置。网络管理系统必须具有足够的手段支持这些调整的变化,使网络更有效地工作。 (2)性能管理性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连接的通
4、信能力,并使网络资源的使用达到最优化的程度。网络的性能管理有监测和控制两大功能。,(3)故障管理故障管理是网络管理最基本的功能,指系统出现异常情况时的管理操作。网络管理系统必须具备快速和可靠故障临测、诊断和恢复功能。 (4)安全管理安全管理的目的是确保网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。 (5)计费管理在有偿使用的网络上,计费管理功能将统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息;另一方面,计费管理功能还可以统计不同线路和各类资源的利用情况。,2. 网络管理的基本模型,在网络管理中,网络管理人员通过网络管理系统对整个网络中的设备和设施(如交换机、路由器、服
5、务器等)进行管理,包括查阅网络中设备或设施的当前工作状态和工作参数,对设备或设施的工作状态进行控制,对工作参数进行修改等。网络管理系统通过特定的传输线路和控制协议对远程的网络设备或设施进行具体的操作。,(1)网络管理者网络管理者是实施网络管理的实体,驻留在管理工作站上,实际就是运行于管理工作站上的网络管理程序(进程)。管理进程负责对网络中的设备和设施进行全面的管理和控制,根据网络上各个管理对象的变化来决定对不同的管理对象所采取的操作。 (2)管理代理管理代理是一个软件模块,驻留在被管设备上,被管设备的种类繁多,包括交换机、路由器、防火墙、服务器以及网络打印机等。管理代理的功能是把来自网络管理者
6、的命令或信息转换为本设备特有的指令,完成网络管理者的指示或把所在设备的信息返回给网络管理者。,(3)网络管理协议网络管理协议给出了管理进程和管理代理之间通信的规则,并为它们定义了交换所需管理信息的方法,负责在管理进程和管理代理之间传递操作命令,负责解释管理操作命令或者说是提供解释管理操作命令的依据。目前在计算机网络管理中主要使用的网络管理协议是SNMP。 (4)管理信息库管理信息库中存放的是被管设备的所有信息,比方说被管设备的名称、运行时间、接口速度、接口进来/发出的报文等,当前的管理信息库版本为MIB-II。管理信息库是一个概念上的数据库,可以将其所存放的信息理解为网络管理中的被管资源。,3
7、. SNMP网络管理定义的报文操作,SNMP网络管理定义了5种报文操作:GetRequest操作:用于管理进程从管理代理上面提取一个或者多个MIB参数值,这些参数都是在管理信息库中被定义的。GetNextRequest操作:从管理代理上面提取一个或多个参数的下一个参数值。SetRequest操作:设置管理代理的一个或多个MIB参数值。GetResponse操作:管理代理返回一个或多个MIB参数值,它是前面三种操作中的响应操作。Trap操作:这是管理代理主动向管理进程发出的报文,它标记出一个可能需要特殊注意的事件的发生,例如重新启动可能就会触发一个Trap陷阱。,4. SNMP团体,团体(Com
8、munity)也叫做共同体,利用SNMP团体可以将管理进程和管理代理分组,同一团体内的管理进程和管理代理才能互相通信,管理代理不接受团体之外的管理进程的请求。在Windows操作系统中,一般默认团体名为“public”,一个SNMP管理代理可以是多个团体的成员。,5. 管理信息库的结构,管理信息库是一个概念上的数据库,存放的是网络管理可以访问的信息, SNMP环境中的所有被管理对象都按层次性的结构或树型结构来排列。树型结构端结点对象就是实际的被管理对象,每一个对象都代表一些资源、活动或其他要管理的相关信息。,6. Windows系统中的SNMP服务,要对安装Windows操作系统的计算机进行S
9、NMP网络管理,则在该计算机上必须安装SNMP服务,Windows系统的SNMP的功能如下:工作在任何运行 Windows、TCP/IP、IPX/SPX的计算机上;用主机名和IP地址识别管理工作站(报告和接收);处理来自SNMP管理系统的状态信息请求;在发生陷阱的时候,将陷阱报告给一个或者多个管理工作站。,8.1.2 实训内容,1. 安装SNMP服务 2. 配置SNMP代理 3. 测试SNMP服务,任务8.2 网络扫描工具的使用,【实训目的】 (1)了解网络攻击的常用手段。 (2)了解常见的系统漏洞及其安全防范措施。 (3)掌握网络扫描工具SuperScan的使用方法。 【实训条件】 (1)已
10、经安装并能运行的局域网。 (2)安装Windows XP的计算机。 (3)网络扫描工具SuperScan,8.2.1 相关知识,1. 网络攻击网络攻击是指某人非法使用或破坏某一网络系统中的资源,以及非授权使得网络系统丧失部分或全部服务功能的行为,通常可以把这类攻击活动分为远程攻击和本地攻击。远程攻击一般是指攻击者通过Internet对目标主机发动的攻击,其主要利用网络协议或网络服务的漏洞达到攻击的目的。本地攻击主要是指本单位的内部人员或通过某种手段已经入侵到本地网络的外部人员对本地网络发动的攻击。,目前网络攻击通常采用以下手段: (1)扫描攻击扫描使网络攻击的第一步,主要是利用专门工具对目标系
11、统进行扫描,以获得操作系统种类或版本、IP地址、域名或主机名等有关信息,然后分析目标系统可能存在的漏洞,找到开放端口后进行入侵。 (2)安全漏洞攻击主要利用操作系统或应用软件自身具有的Bug进行攻击。例如可以利用目标操作系统收到了超过它所能接收到的信息量时产生的缓冲区溢出进行攻击,利用HTTP协议漏洞进行攻击等。 (3)口令入侵通常要攻击目标时,必须破译用户的口令,只要攻击者能猜测用户口令,就能获得机器访问权。,(4)木马程序木马是一个通过端口进行通信的网络客户机/服务器程序,可以通过某种方式使木马程序的客户端驻留在目标计算机里,可以随计算机启动而启动,从而实现对目标计算机远程操作。常见的木马
12、包括BO(BackOriffice)、冰河、灰鸽子等。 (5)DoS攻击DoS(Denial of Service,拒绝服务攻击)的主要目标是使目标主机耗尽系统资源(带宽、内存、队列、CPU等),从而阻止授权用户的正常访问(慢、不能连接、没有响应),最终导致目标主机死机。,2. 网络安全措施,为了保证网络安全,通常可采取以下措施: (1)访问控制对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。 (2)数据加密加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机
13、网络病毒,安装网络防病毒系统。,(3)数字签名简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人伪造、篡改和否认。 (4)数据备份数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。 (5)部署防火墙防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。,(6)部署IDSIDS(Intrusion Detection
14、 Systems,入侵检测系统)是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。入侵检测系统根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。,8.2.2 实训内容,1. 对网络中的计算机进行扫描 2. 关于主机和服务器扫描设置 3. 扫描选项设置 4. 工具选项 5. Windows枚举选项,任务8.3 Window XP的本地用户管理,【实训目的】
15、 (1)掌握Window XP系统中用户帐户的安全设置技巧。 (2)掌握Window XP系统中用户帐户的设置方法。 (3)掌握Window XP系统中本地安全策略的设置方法。 【实训条件】 (1)已经安装并能运行的局域网。 (2)安装Windows XP的计算机。,8.3.1 相关知识,1. Window XP的本地用户账户本地用户账户只能使用户登录到账户所在计算机并获得对该机资源的访问。当创建本地用户账户后,Windows操作系统将在该机的本地安全性数据库中创建该账户,计算机使用其本地安全性数据库验证本地用户账户,以便让用户登录到该计算机。计算机上有两种类型的可用用户帐户:计算机管理员帐户
16、和受限制帐户。在计算机上没有帐户的用户可以使用来宾帐户。,(1)计算机管理员帐户(Administrator)在Window XP安装期间将自动创建名为 Administrator 的帐户,该帐户拥有计算机管理员特权,并使用在安装期间输入的管理员密码。计算机管理员帐户是专门为可以对计算机进行全系统更改、安装程序和访问计算机上所有文件的人而设置的。只有拥有计算机管理员帐户的人才拥有对计算机上其他用户帐户的完全访问权。,(2)受限制帐户在计算机的使用过程中需要禁止某些人更改大多数计算机设置和删除重要文件,受限制帐户就是为这些人设计的。使用受限制帐户的用户将:无法安装软件或硬件,但可以访问已经安装在
17、计算机上的程序。 可以更改其帐户图片,还可以创建、更改或删除其密码。 无法更改其帐户名或者帐户类型。,(3)来宾帐户(Guest)来宾帐户由在这台计算机上没有实际帐户的人使用。帐户被禁用(不是删除)的用户也可以使用来宾帐户。来宾帐户不需要密码,所以他们可以快速登录,以检查电子邮件或者浏览 Internet。来宾帐户默认是禁用的,但也可以启用。登录到来宾帐户的用户将:无法安装软件或硬件,但可以访问已经安装在计算机上的程序。 无法更改来宾帐户类型。 可以更改来宾帐户图片。,2. Window XP的本地组,组是用户账户的集合,如果一个用户属于某个组,用户就具有该组在计算机上执行各种任务的权利和能力
18、。在安装Windows XP 时,系统将自动创建内置组,主要有:Administrators(管理员组):管理员组的成员具有更改自己的权限的最大限度默认权限和能力。Backup Operators(备份操作员):该组成员可以备份和还原计算机上的文件,而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机,但不能更改安全性设置。,Power Users(超级用户):超级用户组的成员可以创建用户帐户,但只能修改和删除他们所创建的帐户。他们可以创建本地组和从他们已创建的本地组中删除用户。还可以从超级用户组、用户组和来宾组中删除用户。超级用户组的成员不能修改管理员组或备份操作员组,也不能拥有
19、文件的所有权、备份或还原目录、加载或卸载设备驱动程序或管理安全日志和审核日志。Users(用户):用户组的成员可以执行大部分常见任务,如运行应用程序、使用本地和网络打印机以及关闭和锁定工作站。用户可以创建本地组,但只能修改自己创建的本地组。用户不能共享目录或创建本地打印机。Guest(来宾):来宾组允许偶尔或临时用户登录工作站的内置来宾帐户,并授予有限的能力。来宾组的成员也可以关闭工作站上的系统。,3. Window XP的本地安全策略,安全策略是影响计算机上安全性的安全设置的组合。可以利用Window XP 的“本地安全策略”编辑本地计算机上的帐户策略和本地策略。通过“本地安全策略”可以控制
20、:访问计算机的用户。 授权用户使用计算机上的什么资源。 是否在事件日志中记录用户或组的操作。,4. 用户帐户安全设置技巧,为了保障系统安全,可以采用以下设置技巧:一般应禁用Guest账户,为了保险起见,最好给Guest加一个复杂的密码。限制不必要的用户,设置相应权限,经常检查系统的用户,删除已经不再使用的用户。一般应创建两个用户帐户,一个为一般权限用户用来处理日常事物,另一个拥有Administrator权限的用户只在需要的时候使用。把系统Administrator账户改名,尽量把它伪装成普通用户。创建一个名为“Administrator”的本地用户,把它的权限设置成最低,并且加上一个超过10
21、位的超级复杂密码。,8.3.2 实训内容,1. 本地用户账户的查看 2. 用户账户的创建 3. 帐户的启用与禁止 4. 账户权限的分配 5. 强制用户使用复杂密码登录 6. 限制用户登录尝试失败的次数 7. 拒绝用户从网络登录计算机 8. 利用运行方式打开程序,任务8.4 Window XP下的文件备份与还原,【实训目的】 (1)理解文件备份与还原在网络管理中的重要性。 (2)掌握文件备份的基本方法。 (3)掌握Window XP系统中文件备份与还原的操作方法。 【实训条件】 (1)已经安装并能运行的局域网。 (2)安装Windows XP的计算机。,8.4.1 相关知识,1. 网络文件备份与
22、还原的重要性在实际的网络运行环境中,数据备份与还原功能是非常重要的。硬件与系统软件都可以用钱买来,而数据是多年积累的结果,可能价值连城,是一家公司、企业的“生命”,它是用钱买不来的。因此,数据一旦丢失,可能会给用户造成不可挽回的损失。在国内外都已经出现过在某个公司网络系统遭到破坏时,由于网络系统没有足够的备份数据,无法恢复系统,造成公司破产的实例。因此,一个实用的局域网应用系统设计中必须有网络数据备份、还原手段和灾难恢复计划。,对于网络管理员来说,备份数据除了可以防备任何对网络系统的破坏之外,还可以解决以下问题:一个用户删除了网络中某个目录下的所有文件,但他又发现这些文件仍然需要,希望能恢复这
23、些文件。一个用户无意用一份新的报告覆盖了上一份报告,而后来又希望恢复已经被覆盖的报告。由于个别用户不熟悉系统的使用,无意中删除了几个有用的文件,导致系统已无法正常工作。,2. 网络文件备份的基本方法,对于网络管理员来说,如果需要恢复丢失或被修改了的文件,那么他必须有最近网络文件副本。备份网络文件就是将所需要的文件拷贝到光盘、磁带或磁盘等存储介质上,并将它们保存在远离服务器的安全的地方。要完成日常网络备份工作,需要解决以下四个问题:选择备份设备;选择备份程序;建立备份制度;确定备份工作执行者。,备份程序可以由网络操作系统提供,也可以使用第三方开发的软件。在选择第三方开发的软件时应注意以下几个问题
24、:支持哪种网络操作系统?支持何种备份设备?备份设备是安装在服务器上,还是安装在工作站上?如果网络中有多个文件服务器,能否从单个文件服务器的备份设备上完成多个服务器的备份?,3. Windows备份工具,使用Windows备份工具可以进行以下操作: 在硬盘上存档选择的文件和文件夹。 将存档文件和文件夹还原到硬盘或其他任何可以访问的磁盘上。 使用“自动系统恢复”可保存和还原从完全系统故障中恢复所需的所有系统文件和配置设置。 复制所有远程存储数据和所有存储在已装入驱动器中的数据。 备份计算机的系统状态副本,它包含系统文件、注册表、组件服务、Active Directory 数据库,和“证书服务”数据
25、库。 备份计算机在此计算机或网络发生故障时启动系统所需的系统分区、启动分区和文件。 计划并定期备份以保持存档数据是最新的。,在使用Windows备份工具时,需注意以下问题:将数据备份到文件时,必须指定文件要保存的名称和位置。备份文件的扩展名通常为 .bkf,可以将该扩展名更改为任意扩展名。只有管理员或备份操作员才可以备份所有文件和文件夹。如果是Power Users 或 Users 组的成员,则必须是要备份文件和文件夹的所有者,或者对要执行备份的文件和文件夹具有下列一个或多个权限:读取、读取和执行、修改,或者完全控制。,注册表、目录服务以及其他关键的系统组件均包含在系统状态数据中。要备份这些组
26、件,必须备份“系统状态”数据。 只能备份本地计算机中的“系统状态”数据。不能备份远程计算机中的“系统状态”数据。可以计划备份,以便在特定的时间或以特定的频率在无人参与的情况下运行。如果使用“可移动存储” 或使用远程存储来存储数据,则应定期备份“SystemrootSystem32Ntmsdata”和“SystemrootSystem32Remotestorage”中的文件。,8.4.2 实训内容,1. 备份文件或文件夹 2. 备份系统状态数据 3. 还原文件 4. 计划备份 5. 使用Windows XP系统还原,任务8.5 认识和设置防火墙,【实训目的】 (1)了解防火墙的功能和类型。 (2
27、)理解防火墙组网的常见形式。 (3)掌握Windows XP内置防火墙的启动和设置方法。 【实训条件】 (1)已经安装并能运行的局域网。 (2)安装Windows XP的计算机。,8.5.1 相关知识,防火墙作为一种网络安全技术,最初被定义为一个实施某些安全策略保护一个安全区域(局域网),用以防止来自一个风险区域(Internet或有一定风险的网络)的攻击的装置。随着网络技术的发展,人们逐渐意识到网络风险不仅来自与网络外部还有可能来自于网络内部,并且在技术上也有可能实施更多的解决方案,所以现在通常将防火墙定义为“在两个网络之间实施安全策略要求的访问控制系统”。从技术上看,防火墙已经成为包过滤技
28、术、代理服务技术、可信信息系统技术、计算机病毒检测防护技术和密码技术的综合体。,1. 防火墙的功能,防火墙能防止非法用户进入内部网络,禁止安全性低的服务进出网络,并抗击来自各方面的攻击。能够利用NAT(网络地址变换)技术,既实现了私有地址与共有地址的转换,又隐藏了内部网络的各种细节,提高了内部网络的安全性。能够通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略,实现计划的确认和授权。所有经过防火墙的流量都可以被记录下来,可以方便的监视网络的安全性,并产生日志和报警。由于内部和外部网络的所有通信都必须通过防火墙,所以防火墙是审计和记录Internet使用费用的一个最佳地点,也是网络中的
29、安全检查点。防火墙允许Internet访问WWW和FTP等提供公共服务的服务器,禁止外部对内部网络的其他系统或服务的访问。,虽然防火墙能够在很大程度上阻止非法入侵,但它也有一些防范不到的地方,如:防火墙不能防范不经过防火墙的攻击。目前,防火墙还不能有效的防止感染了病毒的软件和文件的传输,有效的防止病毒的办法仍然是在每台主机上安装杀毒软件。防火墙不能防御数据驱动式攻击,当有些表面无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击。,2. 防火墙的类型,(1)包过滤型防火墙数据包过滤技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表。通过检
30、查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。如果检查数据包所有的条件都符合规则,则允许进行路由;如果检查到数据包的条件不符合规则,则阻止通过并将其丢弃。,数据包检查是对IP层的首部和传输层的首部进行过滤,一般要检查下面几项: 源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口;协议类型(TCP包、UDP包、ICMP包);TCP报头中的ACK位;ICMP消息类型。,(2)应用层代理防火墙应用层代理防火墙技术是在网络的应用层实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时
31、,对数据包进行必要的分析、记录和统计,形成报告。这种防火墙能很容易运用适当的策略区分一些应用程序命令,像HTTP中的“put”和“get”等。应用层代理防火墙打破了传统的客户机/服务器模式,每个客户机/服务器的通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。这样就将内部和外部系统隔离开来,从系统外部对防火墙内部系统进行探测将变得非常困难。图8-50给出了应用层代理防火墙的工作机制。,(3)状态检测防火墙状态检测防火墙和包过滤型防火墙一样是在IP层实现的,它是基于操作系统内核中的状态表的内容转发或拒绝数据包的传送,比静态的包过滤型防火墙有着更好的网络性能和安全性。静态包过滤型
32、防火墙使用的过滤规则集是静态的,而采用状态检测技术的防火墙在运行过程中一直维护着一张动态状态表,这张表记录着TCP连接的建立到终止的整个过程中进行安全决策所需的状态相关信息,这些信息将作为评价后续连接安全性的依据。 (4)自适应代理防火墙自适应代理防火墙的基本安全检测在安全应用层进行,但一旦通过安全检测,后续包则将直接通过网络层,因此自适应代理防火墙比应用层代理防火墙具有更高的效率。,3. 防火墙组网,(1)屏蔽路由器系统屏蔽路由器实际上是一个包过滤防火墙,可以由厂家专门生产的路由器实现,也可以用主机来实现,采用这种技术的防火墙的优点是速度快、实现方便,但该技术的安全性能差,一旦被攻陷后很难发
33、现,而且不能识别不同的用户。 (2)双宿主机(堡垒主机)网关系统双宿主机网关属于应用层代理防火墙,双宿主机又称堡垒主机,一般装有两块网卡,分别与内外网相连。双宿主机内外的网络都可以和双宿主机通信,但内外网络之间不可直接通信。,(3)三宿主机(堡垒主机)网关系统三宿主机一般装有三块网卡,分别与内外网及DMZ区相连,DMZ(Demilitarized Zone)称作隔离区或非军事化区,是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,(4)被屏蔽子网网关系统这种方法是在网络中包含两个屏蔽路由器和壁垒主机,形成内部防火墙和外部防火墙,在两个防火
34、墙之间建立一个被隔离的子网,子网内构成一个DMZ区。,4. Windows防火墙,Windows防火墙将限制从其他计算机发送到本地计算机的信息,使用户可以更好地控制计算机上的数据,并针对那些未经邀请而尝试连接到本地计算机的用户或程序(包括病毒和蠕虫)提供了一条防御线。,8.5.2 实训内容,1. Windows防火墙的启用 2. 设置Window防火墙允许ping命令运行 3. 设置Window防火墙允许QQ程序运行 4. 认识网络防火墙,任务8.6 防病毒软件的安装和使用,【实训目的】 (1)了解计算机病毒的特征和传播方式。 (2)了解计算机病毒的防御方法。 (3)掌握防病毒软件的安装方法。
35、 (4)掌握防病毒软件的配置方法。 【实训条件】 (1)正常运行并接入Internet的局域网。 (2)安装Windows XP的计算机。 (3)防病毒软件及其相关文件。,8.6.1 相关知识,计算机病毒的防御对网络管理员来说是一个望而生畏的任务,目前各种各样的病毒不时的对计算机和网络的安全构成严重威胁,因此了解和控制病毒威胁显得格外重要,任何有关网络数据完整性和安全的讨论都应考虑到病毒。计算机网络的主要功能是资源共享,一旦共享资源感染病毒,病毒将迅速传播到整个网络,对于金融等系统的敏感数据,一旦遭到破坏,后果将不堪设想,因此计算机网络环境下的病毒防治显得尤为重要。,1. 计算机病毒及其特征,
36、计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。由此可知,计算机病毒与生物病毒一样具有传染性和破坏性;但是计算机病毒不是天然存在的,而是一段比较精巧严谨的代码,按照严格的秩序组织起来,与所在的系统或网络环境相适应并与之配合,是人为特制的具有一定长度的程序。,计算机病毒主要有以下特征: (1)隐蔽性 (2)传染性 (3)潜伏性 (4)破坏性 (5)衍生性,2. 计算机病毒的传播方式,计算机病毒的传播主要有以下几种方式:通过不可移动的计算机硬件设备进行传播,即利用专用的ASIC芯片和硬盘进行传播。这种病毒虽然很少,但
37、破坏力极强,目前还没有很好的检测手段。通过移动存储设备进行传播,即利用U盘、移动硬盘、软盘等进行传播。通过计算机网络进行传播。随着Internet的发展,计算机病毒也走上了高速传播之路,通过网络传播已经成为计算机病毒传播的第一途径。计算机病毒通过网络传播的方式主要有通过共享资源传播、通过网页恶意脚本传播、通过电子邮件传播等。通过点对点通信系统和无线通道传播。,3. 计算机病毒的分类,不同的计算机病毒有不同的特征,计算机病毒可以根据下面的属性进行分类。 (1)按照程序运行平台分类计算机病毒的本质是程序,因此和其他应用软件一样,计算机病毒也需要相应的运行平台。病毒按程序运行平台可分为DOS病毒、W
38、indows病毒、Windows NT病毒等。 (2)按照病毒存在的媒体分类根据病毒存在的媒体,病毒可以划分为网络病毒,文件型病毒,引导型病毒。 (3)按照病毒的传染方式分类根据病毒传染的方式,病毒可分为驻留型病毒和非驻留型病毒。,(4)按链接方式分类根据病毒的链接方式,病毒可分为源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。 (5)特殊病毒 宏病毒 蠕虫程序 黑客软件,4. 用户计算机中毒的症状,通常当用户计算机出现以下症状时,应检查该计算机是否已中毒。计算机系统运行速度减慢。计算机系统经常无故出现错误或发生死机。计算机系统中的文件长度发生变化。计算机存储的容量异常减少。系统引导速度减
39、慢。丢失文件或文件损坏。计算机屏幕上出现异常显示。计算机系统的蜂鸣器出现异常声响。磁盘卷标发生变化。系统不识别硬盘。,对存储系统异常访问。 键盘输入异常。 文件的日期、时间、属性等发生变化。 文件无法正确读取、复制或打开。 命令执行出现错误。 虚假报警。 时钟倒转,有些病毒会命名系统时间倒转,逆向计时。 系统异常重新启动。 一些外部设备工作异常。 异常要求用户输入密码。 Word或Excel提示执行“宏”。 不应驻留内存的程序驻留内存。,5. 计算机病毒的防御,(1)防御计算机病毒的原则建立正确的防毒观念,学习有关病毒与防病毒知识。不随便下载网络上的软件,尤其是不下载那些来自无名网站的免费软件
40、,因为这些软件无法保证没有被病毒感染。使用防病毒软件。及时升级防病毒软件的病毒库,开启病毒实时监控。不要使用盗版软件。不随便使用他人的U盘或光盘。尽量做到专机专盘专用。不要随便访问不安全的网络站点。,使用新设备和新软件之前要检查病毒,未经检查的外来文件不能复制到硬盘,更不能使用。养成备份重要文件的习惯,有计划的备份重要数据和系统文件,用户数据不应存储到系统盘上。按反病毒软件的要求制作应急盘/急救盘/恢复盘,以便恢复系统急用。在应急盘/急救盘/恢复盘上存储有关系统的重要信息数据,如硬盘主引导区信息、引导区信息、CMOS的设备信息等。随时注意计算机的各种异常现象,一旦发现应立即使用防病毒软件进行检查。,(2)病毒的解决办法不同类型的病毒有不同的解决办法。对于普通用户来说,一旦发现计算机中毒,应主要依靠防病毒软件对病毒进行查杀。在查杀病毒之前,应备份重要的数据文件。启动防病毒软件,对系统内存及磁盘系统等进行扫描。发现病毒后,一般应使用防病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将该文件删除,然后重新安装相应的应用程序。某些病毒在Windows系统正常模式下可能无法完全清除,此时可能需要通过重新启动计算机、进入安全模式或使用急救盘等方式运行防病毒软件进行清除。,8.6.2 实训内容,1. 选择局域网防病毒方案 2. 安装防病毒软件 3. 防病毒软件的设置和使用,
