购买

¥ 20.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 2016年-2017年网络安全与管理

2016年-2017年网络安全与管理.ppt

2016年-2017年网络安全与管理

nuvem云
2019-03-07 0人阅读 举报 0 0 暂无简介

简介:本文档为《2016年-2017年网络安全与管理ppt》,可适用于高等教育领域

mdash学年第一学期《网络安全与管理》考试大纲网络基础知识普及性质的网络知识回顾。考试题目少主要看平时计算机网络基础知识的掌握。考察网络层协议以及网络设备互连的知识。网络层协议概述应用层传输层网络层IGMPIPARPRARPICMP网络接入层*IP(InternetProtocol)协议:和路由协议协同工作寻找能够将数据包传送到目的端的最优路径。ARP协议(AddressResolutionProtocol,地址解析协议):把已知的IP地址解析为MAC地址。RARP协议(ReverseARP,反向地址解析协议):用于数据链路层地址已知时解析IP地址。ICMP协议(InternetControlMessageProtocol,网际控制消息协议):定义了网络层控制和传递消息的功能。IGMP协议(InternetGroupManagementProtocol,网际组管理协议):一种组播应用协议。例题已知目标计算机的IP地址却不知道其MAC地址时应该通过哪个协议来解决?()AIPBARPCRARPDBOOTP例题局域网常用的拓扑结构是()?A.星形和环形B.星形和总线形C.星形D星形、环形和总线形例题下列哪一项是使用RARP的目的。()A.MAC地址到IP地址的解析B.IP地址到MAC地址的解析C.主机名到MAC地址的解析D.IP地址到主机名的解析例题以下哪些设备可以实现路由功能?()。A网桥B局域网交换机CWindowsServer计算机D集线器下面关于ICMP协议的描述中正确的是。()A.ICMP协议根据MAC地址查找对应的IP地址B.ICMP协议把公网的IP地址转换为私网的IP地址C.ICMP协议用于控制数据报传送中的差错情况D.ICMP协议集中管理网络中的IP地址分配第一章网络的管理与基础网络管理的基本概念在现代化网络中网络管理员必须使用专门用于网络管理的软件对网络实行自动监测、控制和管理。网络管理的实施者应该包括网络管理平台和网络管理员两个主体。定义:网络管理就是为了完成网络管理的目标而对网络系统实施的一系列方法和措施。网络管理网络管理的目的和整体功能网络管理的目的:使网络中的各种资源得到有效的利用保证网络正常安全运行。网络管理系统的内容和整体功能:()网络服务提供:是指向用户提供新的网络服务类型、增加网络设备和提高网络性能等。()网络维护:是指网络性能的监控、故障报警、故障诊断、故障隔离和故障恢复等。()网络处理:是指网络线路和设备利用率的采集与分析以及为提高网络利用率所采取的各种控制。网络互连的设备与层次网络互连中的重要概念网络的互连(interconnection):网络的ldquo互连接rdquo简称ldquo互连rdquo是指在物理网络之间必须存在一条以上的物理连接线路。该线路是网络之间进行数据交换的物质基础。网络的互连接只能满足网络中数据交换的基本条件只有在同时满足其它条件下互连的网络之间才能进行正常的交换数据。例如:当互连网络使用的介质访问控制协议不兼容时即使有了网络的互连也不一定能正常交换数据这是因为网络所使用的ldquo语言rdquo不一致。网络互连的设备与层次网络互连中的重要概念网络的互通(intercommunication):网络的ldquo互通信rdquo简称为ldquo互通rdquo是指在网络互连接的基础上网络之间可以进行数据交换的手段。例如:在Internet中各个主机都使用了通用的TCPIP协议才屏蔽了各种不同物理网络之间的差异性实现了各种不同网络上计算机节点之间的数据交换。又如一个使用TCPIP协议的计算机和一个使用AppleTalk协议的计算机在网络互连之后仍不能互通这是因为它们的ldquo语言rdquo不同。网络互连的设备与层次网络互连中的重要概念网络的互操作(interoperability):网络的互操作是指网络中计算机系统之间具有透明地访问对方资源的能力而这种能力是建立在互连和互通的基础之上通过高层软件实现的。例如:在两个已经互连的网络中有一台是微软网络中的Windows或而另一台是UNIX工作站。它们之间在网络互连和互通的基础上可以通过已经安装的TCPIP协议进行通信但是在未解决两个操作系统之间的差异之前就无法透明地互相访问对方的资源要实现这点就要选择后面要介绍的网关。例题下列选项中哪一项不属于网络管理系统的内容和整体功能。()A.网络服务提供B.网络维护C.网络处理D.网络的物理设计例题名词解释:网络的互通:网络的ldquo互通信rdquo简称为ldquo互通rdquo是指在网络互连接的基础上网络之间可以进行数据交换的手段。网络的互操作:网络的互操作是指网络中计算机系统之间具有透明地访问对方资源的能力。例题简答题:什么是网络管理?网络管理的目的是什么?答:网络管理就是为了完成网络管理的目标而对网络系统实施的一系列方法和措施。网络管理的目的就是使网络中的各种资源得到有效的利用保证网络正常安全运行。例题简答题:网络管理的主要功能有哪些?这些功能是如何实现的?答:网络管理系统的主要功能有:()网络服务提供:是指向用户提供新的网络服务类型、增加网络设备和提高网络性能等。()网络维护:是指网络性能的监控、故障报警、故障诊断、故障隔离和故障恢复等。()网络处理:是指网络线路和设备利用率的采集与分析以及为提高网络利用率所采取的各种控制。第二章微软网络的组织与实现网络计算模式与网络的组织方式在组建微软网络之前应当先确定其网络的计算模式。确定之后才能根据每台计算机在网络中的地位选择和安装合适的操作系统。目前微软网络的运营的计算机的组织模式有:对等网和CS其对应的组织方式是ldquo工作组rdquo和ldquo域rdquo两种。作为网络管理员应该十分清楚这两种组织方式的特点与区别。网络计算模式在组建微软网络时计算机之间通常按照以下两种计算模式组织:)对等网模式对等网模式又称PeertoPeer模式。在小型局域网中常使用WindowsXP专业版组成小型的对等模式的网络。在这种网络中各个计算机节点的地位平等采用分布式的管理方式。由各台计算机上的管理员分别管理各自得资源和用户账户因此其管理方式为基于本机的分散式的管理。)客户机服务器模式客户机服务器模式又称CS(ClientServer客户服务器)模式。这种网络的规模一般较对等网大。在这种网络中个计算机节点的地位是不平等的因此又被称为ldquo主从式rdquo管理。在这种网络中通常采用服务器和网络管理员的集中式管理方式因此这种模式常常用在大中型网络中。在服务器端使用WindowsServer版本而在客户端可以使用Windows桌面操作系统的任何一个版本如:Windows或WindowsXP。微软网络的组织模型有以下两种结构)工作组结构的网络在微软网络中ldquo工作组rdquo网络使用ldquo对等网rdquo模式进行工作。工作组网络的特点是地位平等、规模较小、资源和账户管理分散其成员的数目一般不超过台计算机。)域结构的网络在微软网络中ldquo域rdquo网络使用ldquoCSrdquo模式进行工作。在域网络中由管理员统一管理全域的用户账户、服务、各种对象和安全数据这种域组织方式的网络采用了基于全域目录数据库的统一、集中管理方式。工作组模式和域模式工作组模式没有一个集中的网络维护者工作组模式不使用AD工作组模式中的每台计算机都拥有一个自己的本地安全账号管理数据库用于维护访问本地计算机的用户账号信息以及维护本地计算机的安全性处于域模式中的用户账号都是属于AD的对象统一由域的DC维护账号和安全性的管理是集中化的用户在域模式中只需要一个惟一的用户账号就可以访问整个域中的资源。WindowsServer系统介绍WindowsServer是一个多任务操作系统其服务器角色包括:文件和打印服务器Web服务器和Web应用程序服务器邮件服务器终端服务器远程访问虚拟专用网络(VPN)服务器目录服务器、域名系统(DNS)、动态主机配置协议(DHCP)服务器、WindowsInternet命名服务(WINS)流媒体服务器。规划许可证方式客户访问许可证(ClientAccessLicenseCAL)是为需要访问WindowsServer的用户所购买的授权。有两种授权模式:每服务器和每客户(即每设备或每用户)。每服务器:该授权模式是为每一台服务器购买许可证许可证的数量由ldquo同时rdquo连接到服务器的用户最大数量来决定。每服务器模式通常用在只有一台WindowsServer服务器的小公司使用。每客户:该授权模式是为网络中每一个客户端购买一个许可证这样网络中的客户端就可以合法地访问网络中的任何一台服务器而不需要考虑ldquo同时rdquo有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器并且客户端ldquo同时rdquo访问服务器的情况较多时采用。例题下面各种网络类型中()不要求专门的服务器每台客户机都可以与其他客户机对话共享彼此的信息资源和硬件资源组网的计算机一般类型相同。A.对等网B.客户机服务器网络C.总线型网络D.令牌环网例题名词解释客户访问许可证:客户访问许可证(ClientAccessLicenseCAL)是为需要访问WindowsServer的用户所购买的授权。有两种授权模式:每服务器和每客户(即每设备或每用户)例题简答什么是工作组模式?什么是域模式?两者之间的区别是什么?答:在微软网络中ldquo工作组rdquo网络使用ldquo对等网rdquo模式进行工作。工作组网络的特点是地位平等、规模较小、资源和账户管理分散。而ldquo域rdquo网络使用ldquoCSrdquo模式进行工作。在域网络中由管理员统一管理全域的用户账户、服务、各种对象和安全数据这种域组织方式的网络采用了基于全域目录数据库的统一、集中管理方式。两者比较工作组模式没有一个集中的网络维护者且不使用AD在工作组模式中的每台计算机都拥有一个自己的本地安全账号管理数据库用于维护访问本地计算机的用户账号信息以及维护本地计算机的安全性。而处于域模式中的用户账号都是属于AD的对象统一由域的DC维护账号和安全性的管理是集中化的用户在域模式中只需要一个惟一的用户账号就可以访问整个域中的资源。例题简答WindowsServer系列产品共有几种?分别适用于构建何种网络?答:WindowsServer共有个不同的版本:分别为标准版(StandardEdition)、企业版(EnterpriseEdition)、数据中心版(DatacenterEdition)、Web版(WebEdition)。其中WindowsServer标准版是为小型企业单位和部门使用而设计的WindowsServer企业版是针对大中型企业设计的。WindowsServer数据中心版针对要求最高级别的可伸缩性、可用性和可靠性的企业而设计的。WindowsServerWeb版为需要以经济的方式建立及配置Web页、Web站点及Web服务的机构设计。第三章配置与管理WindowsServer工作组网络WindowsServer工作组网络概述工作组的定义工作组是一组由网络连接而成的计算机群组并由本机管理员分散管理账户和资源的小型网络。在工作组网络中每台计算机上都有一个由本地管理员管理的本地用户的安全数据库每台计算机都可以通过共享的方式将自己的本地资源提供给他人。工作组中的成员数目一般不超过台计算机。本地安全数据库本地安全数据库用来存储在本地计算机中创建的用户账户、组账户和其他安全信息。工作组的工作模式当其他计算机上的用户需要访问某台计算机的资源时必须在该计算机上为这个用户建立账户存放在本地安全数据库中。当该用户访问这台计算机的资源时由资源主机的本地安全数据库进行身份和权限的验证以实现资源的安全共享。管理硬件配置文件硬件配置文件是Windows用来记录系统中所安装的各种硬件设备、驱动程序和配置参数等信息的文件。利用硬件配置文件可以让使用者选择加载不同的硬件设备来启动计算机。例题名词解释工作组:工作组是一组由网络连接而成的计算机群组并由本机管理员分散管理账户和资源的小型网络。硬件配置文件:硬件配置文件是Windows用来记录系统中所安装的各种硬件设备、驱动程序和配置参数等信息的文件。例题简答题什么是工作组网络模式?这种方式的主要特点是什么?适用的场合有哪些?答:工作组是一组由网络连接而成的计算机群组并由本机管理员分散管理账户和资源的小型网络。在工作组网络中每台计算机上都有一个由本地管理员管理的本地用户的安全数据库每台计算机都可以通过共享的方式将自己的本地资源提供给他人。工作组中的成员数目一般不超过台计算机。第四章配置与管理WindowsServer域模式网络WindowsServer域模式网络概述域是计算机和用户的逻辑组合是相对独立的管理单元。在WindowsServer域模式网络中网络中的计算机的地位是不平等的在每一个WindowsServer域中都至少有一台(或多台)域控制器(DomainControllerDC)充当网络的管理者维护属于本域的ActiveDirectory对象管理网络中的资源和进行用户登录的身份验证。在典型WindowsServer域模式网络中有下列类型的计算机:运行WindowsServer的域控制器:每个域控制器都存诸和维护一个目录的副本。运行WindowsServer的成员服务器:成员服务器是没有配置成域控制器的服务器。成员服务器不存储目录信息并且不能验证用户的身份。成员服务器提供诸如共享文件夹或打印机的共享资源。运行WindowsServer或其他操作系统的客户机:客户机运行用户桌面环境并且允许用户访问域中的资源。ActiveDirectory的概念目录服务是由两部分组成的:目录和服务。目录服务就是一种帮助人们查找目录的服务它可以使得我们节约大量的用于查找目录的时间并且可以进行更加有效和准确的查询。计算机网络中的目录条目是各种各样的资源(如用户、计算机、文件、文件夹等)当用户或应用程序需要访问某种资源的时候目录服务便提供查询服务。WindowsServer的目录服务mdashmdashActiveDirectory(活动目录)中可以包含数以百万计的对象并且对其进行有效的查询这足以满足任何规模网络的需求。目录服务的规划在AD中所有的对象被组织在一个树状的层叠结构当中这个树状结构包括有组织单元(OUOrganizationUnit)、域(Domain)、域树(DomainTree)和域森林(DomainForest)。对象对象是代表网络资源的明确命名的一组属性的集合。对象属性(Attribute)是目录中对象的特征。*组织单元组织单元是在域内进行层次化划分的最小单位。WindowsServer中域和组织单元域域是计算机和用户的逻辑组合是相对独立的管理单元。每一个域中都至少有一台(或多台)域控制器(DCDomainController)充当域的管理者维护属于本域的AD对象。域构成了AD树状结构的主干是域中最基本也是最重要的部分AD可以看作是由一个或多个域组成的集合体。域树域树是由多个域组成的,域之间是通过信任关系以层次化的方式组织起来。域森林当需要将多个域树组织在一起形成AD时就需要域森林。域森林是通过信任关系将多个域树的根结合在一起而形成的集合体。信任关系树中的域通过双向的Kerberos传递信任关系以透明的方式连接在一起信任关系是至少两个域间的一个链接信任域承认受信域的登录身份验证。在受信域中定义的用户账户和组能在信任域中授予权力和资源权限即使那些账户在信任域的目录数据库中不存在。启用或禁用全局编录服务器全局编录服务器全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能。全局编录服务器存储了它所在域的所有目录对象的完整副本以及森林中其它域中所有目录对象的部分副本全局编录实现了两个关键的功能:通过给域控制器提供通用的组隶属关系信息来提供对任意域的网络登录。提供搜索目录信息的能力不管目录林中哪个域包含数据。创建用户配置文件用户配置文件定义了用户使用WindowsServer的工作环境。用户配置文件的类型本地用户配置文件:如果某个用户配置文件仅限于本机使用则称为本地用户配置文件。漫游用户配置文件:漫游用户配置文件是保存在网络服务器上的用户配置文件。强制用户配置文件:强制用户配置文件也属于漫游用户配置文件不过它具有只读属性其内容由系统管理员事先设置用户无法更改每次登录时都要使用固定的工作配置。使用本地配置文件在运行WindowsServer的计算机上使用本地用户配置文件对于普通用户是完全不可见的。操作系统自动为首次登录的每位用户创建用户配置文件。当该用户再次登录时WindowsServer从正确的配置文件中加载设置。用户只需更改桌面设置就可更改他们的本地用户配置文件。WindowsServer会在用户下一次注销时将更改合并入存储在计算机上的用户配置文件。因此用户登录到运行WindowsServer的计算机上时将始终接收到与他们前一次会话结束时相同的桌面设置。当多个用户共享一台计算机时每个用户都将维护和接收到一个单独的配置文件。使用漫游配置文件案例:为域用户zhangwei创建一个漫游用户配置文件使该用户在域中任何一台计算机登录时都可以使用相同的工作环境。()在需要存储配置文件的服务器上创建一个文件夹并共享它给用户提供他们所需的读写权限。如在下图中创建的共享文件夹为profiles。()在配置文件选项卡中输入配置文件放置的路径使用强制性漫游用户配置文件为了将漫游用户文件改成强制性的只须在保存漫游用户配置文件的共享文件夹下将ntuserdat文件更名为ntuserman即可。Ntuserdat文件包括应用于个人用户账号的windowsserver系统注册表设置和用户环境设置(桌面显示)。用man扩展名命名后该文件成为只读文件这样可以防止WindowsServer在用户注销时将更改写入配置文件。例题名词解释ActiveDirectory:WindowsServer中所使用的目录服务其中可以包含数以百万计的对象并且对其进行有效的查询。对象:对象是代表网络资源的明确命名的一组属性的集合。例题名词解释域森林:域森林是通过信任关系将多个域树的根结合在一起而形成的集合体。信任关系:信任关系是至少两个域间的一个链接信任域承认受信域的登录身份验证。全局编录:全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能。例题简答用户配置文件有哪几种?如何使用漫游配置文件?如何使用强制漫游配置文件?答:用户配置文件有本地用户配置文件漫游用户配置文件和强制用户配置文件三种。想要使用漫游配置文件首先在在需要存储配置文件的服务器上创建一个文件夹并共享它给用户提供他们所需的读写权限。在用户属性对话框中的在配置文件选项卡中输入配置文件放置的路径。想要将漫游用户文件改成强制性的只须在保存漫游用户配置文件的共享文件夹下将ntuserdat文件更名为ntuserman即可。例题简答什么是全局编录?全局编录承担的目录角色有哪些?答:全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能。全局编录服务器存储了它所在域的所有目录对象的完整副本以及森林中其它域中所有目录对象的部分副本。全局编录所担当的目录角色有:查找对象、提供了根据用户主名的身份验证以及在多域环境下提供通用组的成员身份信息。第五章安装和配置DNS服务第一节DNS服务简介DNS是域名系统(DomainNameSystem)的缩写是一种组织成域层次结构的计算机和网络服务命名系统。DNS命名用于TCPIP网络如Internet用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS名称时DNS服务可以将些名称解析成与此名称相关的其它信息如IP地址。域名系统(DNS)中的几个基本概念:域名空间:指Internet上所有主机的惟一的和比较友好的主机名所组成的空间DNS服务器:运行DNS服务器程序的计算机其上有关于DNS域树结构的DNS数据库信息。DNS客户端:也称为解析程序是使用DNS查询从服务器查询信息的程序。资源记录:DNS数据库中的信息集可用于处理客户机的查询。区域:服务器是其授权的DNS名字空间的连续部分。区域文件:包含区域资源记录的文件一、Internet域名空间二、DNS域名解析的方法DNS域名解析的方法主要有:递归查询法、叠代查询法和反向查询法。递归查询法如果DNS服务器无法解析出DNS客户机所要求查询的域名所对应的IP地址时DNS服务器代表DNS客户机来查询或联系其它DNS服务器以完全解析该名称并将应答返回给客户机这个过程称为递归查询法。递归查询的DNS服务器的工作量大担负解析的任务重。迭代查询法采用迭代查询法解析时DNS服务器如果没有解析出DNS客户机的域名就将可以查询的其它DNS服务器的IP地址告诉DNS客户机DNS客户机再向其它DNS服务器发出域名解析请求直到有明确的解析结果。如果最后一台DNS服务器也无法解析则返回失败信息。迭代查询中DNS客户机也承担域名解析的部分任务DNS服务器只负责本地解析和转发其它DNS服务器的IP地址因此又称为转寄查询。反向查询递归查询和叠代查询都是正向域名解析即从域名查找IP地址。DNS服务器还提供反向查询功能即通过IP地址查询域名。三、DNS域名解析的过程DNS域名采用客户机服务器模式进行解析。客户机由网络应用软件和DNS客户机软件构成。DNS服务器上有两部分资料:域名数据库:存储的是由本机解析的域名域名缓存:存储的是从其它DNS服务器解析的历史记录。DNS域名解析的过程例如在Intranet内部使用DHCP服务器动态的为客户机分配IP地址。对同一台客户机DHCP服务器每次分配的IP地址可能都不一样这样在区域中可能出现以下的资源记录:clientpoethenaueduclientpoethenaueduclientpoethenauedu前面两条记录就是过时的、无意义的资源记录即老化记录。为所有区域设置老化清理新建资源记录一、资源记录的类型常见的资源记录类型有:主机(A)主机记录是将DNS域名映射到一个单一的位的IP地址。别名(CNAME)利用新建别名可以为同一个主机创建不同的DNS域名。邮件交换器(MX)邮件交换器记录用于将DNS域名映射为交换或转发邮件的计算机的名称。指针(PTR)用来指向域名称空间的另一个部分如在一个反向查找区域中指针记录包含IP地址到DNS域名的映射。服务位置(SRV)用来标识哪个服务器容纳有一个特定的服务。案例:在已经创建的DNS服务器上的正向区域poetfjnuedu中IP地址为的计算机同时还提供Web服务为其创建一个wwwpoetfjnuedu的主机资源记录名这样客户机就可以通过域名访问该Web站点。二、新建主机ldquoDNS控制台rdquo窗口右击区域名称选择ldquo新建主机rdquo三、新建别名如果给某一计算机建立一个名为wwwpoetfjnuedu的主机资源记录。该机同时提供FTP服务则应该以不同的域名体现其FTP服务用户可以用别名资源记录来进行标识。在两种情况下会使用新建别名:一是物理上的同一台计算机提供多种网络服务二是因为种种需要使用不同的DNS域名。步骤:在ldquoDNS控制台rdquo窗口创建的区域名称上单击右键选择ldquo新建别名rdquo新建资源记录mdashmdash别名四、新建邮件交换器邮件交换器资源记录用于将邮件客户端发送的电子邮件转发到相应的邮件服务器上进行处理。例如:在网络中创建了电子邮件服务器并设置smtp服务器域名为smtppoetfjnueduPOP服务器的域名为poppoetfjnu。在邮件客户机上设置了电子邮件信箱名为edukevinmailpoetfjnuedu和电子邮件服务器的域名。当邮件客户机发出对该账户的收发邮件请求时DNS客户机将把邮件域名的解析请求发送到DNS服务器。在DNS服务器上建立了邮件交换器记录指明了对mailpoetfjnuedu的邮件域名进行处理的邮件服务器为smtppoetfjnuedu主机。在DNS服务器上已经建立了一条主机记录指明smtppoetfjnuedu主机的IP地址为。因此以mailpoetfjnuedu为邮件域名的电子邮件最后都被送到IP地址为的计算机上进行处理。在IP地址为的计算机上安装有电子邮件服务器软件。在ldquoDNS控制台rdquo窗口创建的区域名称上右击选择ldquo新建邮件交换器rdquo你是一WindowsServer网络网管在单域中有三台WindowsServer域控制器。主DNS服务器安装在域控制器dcdemocom上从DNS服务器安装在成员服务器srvdemocom和srvdemocom上。你希望提高DNS的容错性能并优化复制和区域传递的管理。你要做的工作是?()A升级从DNS所在成员控制器为域控制器B将成员控制器加入主DNS服务器通知名单中C将DNS从成员控制器删除在域控制器上安装DNS将当前的区域转换为AD集成区域D设置在SOA记录中的TTL为最小值.DHCP服务器分配IP地址的最大租期是多长时间?()一个客户机向网络中一个采用递归查询方式的DNS服务器发出查询请求此时该DNS中不存在该客户机的查询记录那么它应:()A向网络中发广播该查询请求B向上一级权威DNS服务器发出查询请求C返回上级DNS服务器的地址给客户机D返回其辅助DNS服务器的地址给客户机名词解释域名空间:指Internet上所有主机的惟一的和比较友好的主机名所组成的空间。老化数据:如果DNS服务器允许客户机启用动态更新技术则每当客户机信息发生变化时在DNS服务器的区域中就会增加一条该用户的资源记录随着时间的推移这些资源记录会不断的在区域中累积从而产生一些没有意义的资源记录数据被称为老化数据。邮件交换器:邮件交换器记录用于将DNS域名映射为交换或转发邮件的计算机的名称。简答DNS域名解析的方法有哪些是如何实现域名解析的?简答DNS域名解析的方法有哪些是如何实现域名解析的?答:DNS域名解析的方法主要有:递归查询法、叠代查询法和反向查询法。如果DNS服务器无法解析出DNS客户机所要求查询的域名所对应的IP地址时DNS服务器代表DNS客户机来查询或联系其它DNS服务器并将应答返回给客户机这个过程称为递归查询法。采用迭代查询法解析时DNS服务器如果没有解析出DNS客户机的域名就将可以查询的其它DNS服务器的IP地址告诉DNS客户机DNS客户机再向其它DNS服务器发出域名解析请求直到有明确的解析结果。如果最后一台DNS服务器也无法解析则返回失败信息。递归查询和叠代查询都是正向域名解析即从域名查找IP地址。DNS服务器还提供反向查询功能即通过IP地址查询域名。网络实践题案例:在一台已经创建的WindowsServerDNS服务器上的正向区域poethenauedu中IP地址为的计算机在提供WWW服务的同时也提供FTP服务如果想以不同的域名区别这两种不同的服务时应该如何设置?答案ldquoDNS控制台rdquo窗口右击区域名称poethenauedu选择ldquo新建主机rdquo。因为主机首先要提供WWW服务因此此主机已经建立一个名为wwwpoethenauedu的主机资源记录。该机同时还提供FTP服务则应该以不同的域名体现其FTP服务在ldquoDNS控制台rdquo窗口创建的区域名称poethenauedu上单击右键选择ldquo新建别名rdquo命令新建资源记录对话框中别名文本框中输入FTP单击确定。网络实践题案例:假设网络中已经创建了电子邮件服务器其域名为smtppoethenauedu在邮件客户机上设置了电子邮件信箱名为studymailpoethenauedu和电子邮件服务器的域名当电子邮件客户机发出收发邮件请求时该如何配置DNS服务才能使电子邮件服务器能够为其服务?答案在网络中创建了电子邮件服务器并设置smtp服务器域名为smtppoethenauedu。当邮件客户机发出对该账户的收发邮件请求时DNS客户机将把邮件域名的解析请求发送到DNS服务器。在DNS服务器上建立了邮件交换器记录指明了对mailpoethenauedu的邮件域名进行处理的邮件服务器为smtppoethenauedu主机。在DNS服务器上已经建立一条主机记录指明smtppoetfjnuedu主机的IP地址。因此以mailpoetfjnuedu为邮件域名的电子邮件最后都被送到smtppoetfjnuedu主机的IP地址的计算机上进行处理。第六章安装和配置DHCP服务第一节DHCP概述DHCP协议是一种简化主机IP配置管理的TCPIP标准用于减少网络客户机IP地址配置的复杂度和管理开销。DHCP服务允许网络中一台计算机作为DHCP服务器并配置用户网络中启用DHCP的客户计算机。DHCP在服务器上运行能够自动集中管理网络上的IP地址和用户网络中客户计算机所配置的其他TCPIP设置。DHCP使用客户机服务器模式在网络中管理员可建立一个或多个维护TCPIP配置信息并将其提供给客户机的DHCP服务器。服务器数据库包含以下信息:网络上所有客户机的有效配置参数。在指派到客户机的地址池中维护的有效IP地址以及用于手工指派的保留地址。服务器提供的租约持续时间。一、DHCP术语DHCP客户机:任何启用DHCP设置的计算机。作用域:一个网络完整连续的可能IP地址范围。DHCP服务可以提供给作用域典型地定义网络上的一个单一物理子网。超级作用域:是可用于管理的分组用于支持同一物理网络上的多个逻辑IP子网。排除范围:作用域内从DHCP服务中排除的有限IP的序列。排除范围保证范围中列出的任何IP地址不是由DHCP服务器提供给DHCP客户机的。、地址池:作用域中应用排除范围之后剩下的可用IP就可以组成地址池。租约:由DHCP服务器指定的、客户计算机可以使用动态分配的IP地址的时间。保留:创建从DHCP服务器到客户机的永久地址租约指定。选项类型:DHCP服务器向客户机提供IP地址租约时可以指定的其他客户机配置参数。选项类别:DHCP服务用于进一步管理提供给客户机的选项类型的方法。二、DHCP服务的原理DHCP网络主要由DHCP客户机、DHCP服务器和DHCP数据库种角色组成。DHCP客户机是安装并启用DHCP客户机软件的计算机。在Windows系统中都内置了DHCP客户机软件。DHCP服务器是安装了DHCP服务器软件的计算机可以向DHCP客户机分配IP地址。IP地址的分配有两种方式:自动分配:DHCP客户机从服务器租借到IP地址后该地址就永久地归该客户机使用即永久租用适合IP地址资源丰富的网络。动态分配:DHCP客户机从服务器租借到IP地址后在租约有效期内归该客户机使用。一旦租约到期IP地址将回收DHCP数据库DHCP服务器上的数据存储了DHCP服务配置的各种信息。主要包括:网络上所有DHCP客户机的配置参数为DHCP客户机定义的IP地址和保留的IP地址租约设置信息。DHCP服务的运行原理()DHCP客户机发送IP租用请求()DHCP服务器提供IP地址()DHCP客户机进行IP租用选择()DHCP服务器IP租用认可三、DHCP中继代理DHCP中继代理实际上是一种软件技术安装了DHCP中继代理的计算机称为DHCP中继代理服务器它承担不同的子网间的DHCP客户机和服务器的通信。创建多播作用域在网络中计算机之间的通信方式有三种:单播、广播和多播。单播是指通信的计算机都有自己的IP地址数据包从源主机发送到目的主机。广播是指通信的源主机有IP地址数据包从源主机发送到网络上的所有节点而且广播不通过路由转发。多播是使用D类的IP地址是专门用于IP多播的保留地址。只要每个计算机都分配一个多播的IP地址就将接收到多播数据包。新建多播作用域输入多播作用域的名称设置IP地址范围ldquo添加排除rdquo对话框:用于设置多播地址范围内保留的地址范围ldquo租约期限rdquo对话框:用于设置多播地址的租约期限默认为天。ldquo激活多播作用域rdquo对话框:选中ldquo是rdquo。至此完成创建多播作用域的过程。在DOS命令窗口中执行ldquoipconfigallrdquo例题选择设置IP地址的方式有静态IP方式和动态IP方式。对于一台具有双网卡的计算机可以采用哪种设置方式?()A两块网卡只能全部静态设置B两块网卡只能全部动态设置C只能一块网卡静态设置另一块网卡动态设置D两块网卡均可采用静态设置或动态设置.如果客户机同时得到多台DHCP服务器的IP地址它将:()A随机选择B选择最先得到的C选择网络号较小的D选择网络号较大的现用户admin欲对一台DHCP服务器进行授权那么他需要:()A.加入DomainAdmins组B.加入ServerOpterators组C.加入DHCPAdministrators组D.加入EnterpriseAdmins组DHCP服务器分配IP地址的最大租期是多长时间?()A天B天C天D无限为了查看客户计算机所使用的DHCP服务器的IP地址信息可以在客户计算机的命令行中输入哪个命令?()AipconfigallBipconfigreleaseCipconfigrenewDipconfig以下有关DHCP授权正确的是:()A没有授权DHCP无法正常工作B只有存在AD的情况下才要求授权C只有域管理员可以授权D授权只是一个法律问题与技术无关DHCP的作用是什么?()A它将NetBIOS名称解析成IP地址。B它将专用IP地址转换成公共地址。C它将IP地址解析成MAC地址。D它自动将IP地址分配给客户计算机。管理员发现DHCP服务器在注册表数据库中记录某个IP地址已经租给了某台计算机但是DHCP数据库内却没有这条记录应该如何解决该问题:()A从该地址池中排除该地址并重新向地址池中添加该地址B协调所有的作用域C将DHCP数据库导出并重新导入D重新启动计算机名词解释租约:由DHCP服务器指定的、客户计算机可以使用动态分配的IP地址的时间。地址池:作用域中应用排除范围之后剩下的可用IP就可以组成地址池。保留:创建从DHCP服务器到客户机的永久地址租约指定。简答题DHCP网络由哪些角色组成?各自的作用是什么?答:DHCP网络主要由DHCP客户机、DHCP服务器和DHCP数据库种角色组成。DHCP客户机是安装并启用DHCP客户机软件的计算机。DHCP服务器是安装了DHCP服务器软件的计算机可以向DHCP客户机分配IP地址。DHCP服务器上的数据存储了DHCP服务配置的各种信息。简答题什么是DHCP中继代理?DHCP中继代理的原理是什么?答:DHCP中继代理实际上是一种软件技术安装了DHCP中继代理的计算机称为DHCP中继代理服务器它承担不同的子网间的DHCP客户机和服务器的通信。中继代理是在不同子网上的客户端和服务器之间中转DHCP消息的小程序。其工作原理为中继代理将它连接的其中一个物理接口(如网卡)上广播的DHCP消息中转到其他物理接口连至的其他远程子网。第七章防火墙的原理与应用掌握一般防火墙技术掌握HC路由器的访问控制列表防火墙概述防火墙技术背景  目前各公司、企业、学校都通过互联网络与客户、合作伙伴进行信息交流但是一些敏感数据可能泄露给第三方特别是连上因特网的网络将面临黑客的攻击和入侵。为应对网络威胁各个机构将自己的网络与公共的不可信任的网络进行隔离其方法是根据网络的安全程度和需要保护的对象划分为若干安全区域有:  *公共外部网络如Internet。  *内联网(Intranet)如某公司或学校的专用网络网络访问限制在组织内部。  *外联网(Extranet)是内联网的扩展延伸常用作与合作伙伴之间进行通信。  *军事缓冲区域(DeMilitarizedZoneDMZ)是介于内部网络和外部网络之间的网络常放置公共服务设备向外提供信息服务。  在安全区域划分的基础上通过一种网络安全设备控制安全区域间的通信就能实现隔离有害通信的作用进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙俗称为ldquo防火墙rdquo一般安装在不同的安全区域边界处用于控制网络通信由专用硬件和软件系统组成。防火墙工作原理  防火墙是由一些软、硬件组合而成的网络访问控制器根据一定的安全规则来控制流过防火墙的数据包如禁止或转发能够屏蔽受保护网络的信息、拓扑结构和运行状况起到安全屏障的作用。防火墙一般用来将内部网络与外部网络互相隔离限制网络互访保护内部网络如图所示。HTTPHTTPHTTPICMPICMP  防火墙根据数据包的信息控制网络访问:如果数据包符合访问控制规则允许通过防火墙否则不允许如图所示。防火墙的安全策略有两种类型即:  ()允许符合规则的数据包通过其他数据包禁止  ()禁止符合规则的数据包通过其他数据包允许。防火墙主要技术包过滤  包过滤在网络层和传输层实现。根据事先设定的过滤规则检查IP报文的源地址、目的地址、源端口、目的端口、协议类型及传递方向等确定是否允许通过。  包过滤是防火墙的基本技术之一。多数路由器都支持包过滤功能。包过滤的控制依据是规则集典型的过滤规则格式由规则号、匹配条件、操作方式三部分组成。一般用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向来描述匹配条件。操作方式有禁止、转发、审计三种。表过滤规则表应用代理服务  应用代理或代理服务器是代理内部网络用户与外部网络服务器进行信息交换的程序扮演着受保护网络的主机和外部网络主机的ldquo中间人rdquo的角色它将内部用户的请求确认后送达外部服务器同时将外部服务器的响应再回送给用户。图代理服务器工作示意图  代理服务技术能够提供在应用级的网络安全访问控制。代理服务器按照所代理的服务可以分为FTP代理、telnet代理、HTTP代理、邮件代理等。代理服务器通常由一组按应用分类的代理服务程序构成。每个代理服务程序应用到一个指定的网络端口代理客户程序通过该端口获得相应的代理服务。例如IE浏览器支持多种代理配置包括HTTP、FTP等如图所示。图IE浏览器配置示意图  代理服务技术也是常用的防火墙技术安全管理员为了对内部网络用户进行应用级上的访问控制常安装代理服务器如图所示。  受保护内部主机对外部网络访问时首先需要通过代理服务器的认证才能向外提出请求而外网的用户只能看到代理服务器从而隐藏了受保护网的内部结构及用户的计算机信息。因而代理服务器可以提高网络系统的安全性。图代理服务器工作示意图网络地址转换  NAT是ldquoNetworkAddressTranslationrdquo中文意思是ldquo网络地址转换rdquo。NAT技术用在网络安全方面能透明地对所有内部地址作转换使外部网络无法了解内部网络的内部结构从而提高内部网络的安全性。 网络地址转换的方式有:静态NAT、NAT和端口NAT三种。静态NAT最简单此时内部网络中的每个主机都被永久映射成外部网络中的某个合法地址。动态NAT则是在外部网络中定义了一系列合法地址采用动态分配的方法映射到内部网络。端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。NAT目前已被许多路由器支持。防火墙体系结构双宿主主机结构  在这种结构有一台至少有两个网络接口的主机通常将一个内部网络和外部网络分别连接在不同的接口上使内外网络不能直接通信。从一个接口进来的IP包经过安全检查后如果是合法的则转发到另一接口上以实现网络的正常通信如果不合法则阻止通信。这样内外网络直接的IP数据流完全在双宿主主机的控制之中如图所示。图双宿主主机防火墙结构基于代理型结构  代理型结构中由一台主机同外部网连接该主机代理内部网和外部网的通信。同时代理型结构中还包括过滤路由器即代理服务器和路由器共同构建了一个网络安全边界防御架构如图所示。图代理型防火墙结构  在这种结构中代理主机位于内部网络。过滤路由器按如下规则配置:  *允许内部主机为某些类型的服务与外部网络建立直接连接。  *任何外部网的主机只能与内部网络的代理主机建立连接。  *任何外部系统对内部网络的操作都必须经过代理主机。同时代理主机本身要求要有较全面的安全保护。  一般来说代理型结构比双宿主主机结构提供更好的安全保护同时操作也更加简便。代理型结构的缺点是只要攻击者设法攻破了堡垒主机(代理主机)那么对于攻击者来说整个内部网络与代理主机之间就没有任何障碍了攻击者变成了内部合法用户完全可以侦听到内部网络上的所有信息。基于屏蔽子网的结构  如图所示屏蔽子网结构是在代理型结构中增加了一层周边网络使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机也不能侦听到内部网络的信息不能对内部网络直接操作。基于屏蔽子网的防火墙的特点是:  *应用代理位于屏蔽子网中内部网络向外公开的服务器也放在屏蔽子网中外部网络只能访问屏蔽子网不能直接进入内部网络。图屏蔽子网防火墙结构  *两个包过滤路由器的功能和配置是不同的包过滤路由器A的作用是过滤外部网络对屏蔽子网的访问。包过滤路由器B的作用是过滤屏蔽子网对内部网络的访问。所有外部网络经由屏蔽子网对内部网络的访问都必须经过代理服务器的检查和认证。  *优点:安全级别最高。  *缺点:成本高配置复杂。HC路由器的防火墙功能IP报文转发机制IP报文IP报文网络层数据链路层规则查找机制入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制出报文规则库由规则决定动作:允许或拒绝由规则决定动作:允许或拒绝*此页标题禁止有多级标题更不要出现所在章节的名称。此页标题要简练能直接表达出本页的内容。内容页可以除标题外的任何版式如图、表等。对于只授课用的胶片文字字体可以调整但必须统一:一级文字为号二级文字为号三级文字为号四级文字为号。该页在授课和胶片+注释中都要使用。访问控制列表ACL的作用访问控制列表可以用于防火墙访问控制列表可用于QoS(QualityofService)对数据流量进行控制在DCC中访问控制列表还可用来规定触发拨号的条件访问控制列表还可以用于地址转换在配置路由策略时可以利用访问控制列表来作路由信息的过滤。*ACL的机理一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):*访问控制列表的分类按照访问控制列表的用途可以分为四类:基本的访问控制列表(basicacl)高级的访问控制列表(advancedacl)基于接口的访问控制列表(interfacebasedacl)基于MAC的访问控制列表(macbasedacl)*基本访问控制列表基本访问控制列表只使用源IP地址描述数据流表明是允许还是拒绝。*高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据流表明是允许还是拒绝。*访问控制列表的标识利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表~基本的访问控制列表~高级的访问控制列表~基于MAC地址访问控制列表~*基本访问控制列表的配置配置基本访问列表的命令格式如下:aclnumberaclnumbermatchorder{config|auto}ruleruleid{permit|deny}sourceipaddrwildcard|any怎样利用IP地址和反掩码wildcardmask来表示一个网段*反掩码的使用反掩码和子网掩码相似但写法不同:表示需要比较表示忽略比较反掩码和IP地址结合使用可以描述一个地址范围。只比较前位只比较前位只比较前位*基本访问控制列表配置案例QuidwayaclQuidwayaclrulepermitsourceQuidwayaclruledenysourceany高级访问控制列表的配置高级访问控制列表规则的配置命令:aclnumberaclnumbermatchorder{config|auto}ruleruleid{permit|deny}protocolsourceipaddrwildcard|anydestinationipaddrwildcard|anysoucreportoperatorportportdestinationportoperatorportporticmptype{icmpmessage|icmptypeicmpcode}*当protoco

VIP尊享8折文档

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/227

2016年-2017年网络安全与管理

¥20.0

会员价¥16.0

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利