文章编号：34952 / 分类：行业资讯 / 更新时间：2024-12-12 16:36:02 / 浏览：次

在当今不断变化的威胁环境中，保护服务器免受攻击至关重要。制定并实施有效的服务器li>

限制对服务器的远程访问。

使用多因素认证。

补丁管理

• 定期扫描服务器以查找漏洞。
• 及时应用安全补丁。
• 自动化补丁管理流程。

入侵检测和预防

• 部署入侵检测系统（IDS）或入侵预防系统（IPS）以监控可疑活动。
• 配置 IDS/IPS 以检测已知攻击模式。
• 定期审查 IDS/IPS 日志以查找可疑活动。

日志记录和监视

• 启用服务器日志记录。
• 记录所有访问、错误和事件。
• 使用日志分析工具来监控日志。

数据备份

• 定期备份服务器数据。
• 将备份存储在安全的位置。
• 测试备份以确保它们可以恢复数据。

灾难恢复计划

• 制定服务器故障或其他灾难事件的灾难恢复计划。
• 包括恢复服务器数据和服务的分步指南。
• 定期测试灾难恢复计划。

结论

实施有效的服务器安全策略对于保护服务器免受攻击至关重要。通过遵循本文中概述的原则，您可以制定并实施一个全面的策略，帮助确保您的服务器安全并防止数据丢失或损坏。

---

win2000服务器安全设置技巧

1.如何关闭Windows 2000下的445端口？修改注册表，添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System/Controlset/Services/NetBT/Parameters Name: SMBDeviceEnabled Type: REG_DWORD value: 0 修改完后重启机器，运行“netstat -an”，你将会发现你的445端口已经不再Listening了。 2.如何使用IPSec保护我的网络通信？IPSec 术语在执行以下指导步骤之前，确保您知道以下术语的含义：身份验证：确定计算机的身份是否合法的过程。 Windows 2000 IPSec 支持三种身份验证：Kerberos、证书和预共享密钥。 只有当两个终结点（计算机）都位于同一个 Windows 2000 域时，Kerberos 身份验证才有效。 这种类型的身份验证是首选方法。 如果计算机位于不同的域中，或者至少有一台计算机不在某个域中，则必须使用证书或预共享密钥。 只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时，证书才有效。 预共享密钥与密码有着相同的问题。 它们不会在很长的时间段内保持机密性。 如果终结点不在同一个域中，并且无法获得证书，则预共享密钥是唯一的身份验证选择。 加密：使准备在两个终结点之间传输的数据难以辨认的过程。 通过使用充分测试的算法，每个终结点都创建和交换密钥。 该过程确保只有这些终结点知道密钥，而且如果任何密钥交换序列被拦截，拦截者不会得到任何有价值的内容。 筛选器：对 Internet 协议 (IP) 地址和协议的描述，可触发 IPSec 安全关联的建立。 筛选器操作：安全要求，可在通信与筛选器列表中的筛选器相匹配时启用。 筛选器列表：筛选器的集合。 Internet 协议安全策略：规则集合，描述计算机之间的通讯是如何得到保护的。 规则：筛选器列表和筛选器操作之间的链接。 当通信与筛选器列表匹配时，可触发相应的筛选器操作。 IPSec 策略可包含多个规则。 安全关联：终结点为建立安全会话而协商的身份验证与加密方法的集合。 在 Microsoft 管理控制台中查找 IPSec通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。 Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。 若要查找 IPSec，请单击开始，指向程序，单击管理工具，然后单击本地安全策略。 在打开的 MMC 中的左窗格中，单击本地计算机上的 IP 安全策略。 MMC 将在右窗格中显示现有的默认策略。 更改 IP 地址、计算机名和用户名为了此示例的目的，假设 Alice 是一个计算机用户，该计算机名为Alicepc、IP 地址为 172.16.98.231，Bob 的计算机名为Bobslap，IP 地址为 172.31.67.244。 他们使用 Abczz 程序连接他们的计算机。 通过使用 Abczz 程序互相连接时，Alice 和 Bob 必须确保通信是被加密的。 当 Abczz 建立其连接时，启动程序使用其本身上的随机高端口并连接（出于本示例中的目的）到 6667/TCP 或 6668/TCP 端口上的目标（其中，TCP 是传输控制协议的缩写）。 通常，这些端口用作 Internet 多线交谈 (IRC)。 因为 Alice 或 Bob 均可发起连接，所以该策略必须存在于两端。 创建筛选器列表通过在 MMC 控制台中右键单击 IP 安全策略，可访问用于创建 IPSec 策略的菜单。 第一个菜单项是创建 IP 安全策略。 尽管此菜单似乎是要开始的位置，但却不应从此位置开始。 在可创建策略及其相关规则之前，您需要定义筛选器列表和筛选器操作，它们是任何 IPSec 策略的必需组件。 单击管理 IP 筛选器表和筛选器操作开始工作。 将显示带有两个选项卡的对话框：一个用于筛选器列表，另一个用于筛选器操作。 首先，打开管理 IP 筛选器列表选项卡。 已经有两个预先定义的筛选器列表，您不会使用它们。 相反，您可以创建一个特定的筛选器列表，使其与要连接到的其他计算机对应。 假设您在 Alice 的计算机上创建策略：单击添加创建新的筛选器列表。 将该列表命名为Abczz to Bobs PC。 单击添加添加新筛选器。 将启动一个向导。 单击我的 IP 地址作为源地址。 单击一个特定的 IP 地址作为目标地址，然后输入 Bob 的计算机的 IP 地址 (172.31.67.244)。 或者，如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册，则可选择特定的 DNS 名，然后输入 Bob 的计算机名，Bobslap。 Abczz 使用 TCP 进行通讯，因此单击 TCP 作为协议类型。 对于 IP 协议端口，单击从任意端口。 单击到此端口，键入：6667，然后单击完成完成该向导。 重复上述步骤，但这次键入：6668作为端口号，然后单击关闭。 您的筛选器列表中包含两个筛选器：一个在端口 6667 （属于 Bob）上用于从 Alice 到 Bob 的通讯，另一个在端口 6668 （属于 Bob）上。 （Bob 在自己的计算机上设置了 6667 和 6668 两个端口：一个端口用于传出的通讯，另一个用于传入的通讯。 ）这些筛选器是镜像的，每次创建 IPSec 筛选器时通常都需要如此。 对于已镜像的每个筛选器，该列表可包含（但不显示）与其正好相反的筛选器（即目标和源地址与其相反的筛选器）。 如果没有镜像筛选器，IPSec 通讯通常不成功。 创建筛选器操作您已经定义了必须受到保护的通信的种类。 现在，您必须指定安全机制。 单击管理筛选器操作选项卡。 列出三个默认操作。 不要使用要求安全操作，您必须创建一个更严格的新操作。 若要创建新操作，请：单击添加创建新筛选器操作。 启动一个向导。 将该操作命名为Encrypt Abczz。 对于常规选项，单击协商安全，然后单击不和不支持 IPsec 的计算机通讯。 单击 IP 通信安全性为高选项，然后单击完成以关闭该向导。 双击新的筛选器操作（前面命名的Encrypt Abczz）。 单击清除接受不安全的通讯，但总是用 IPSec 响应复选框。 这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。 单击会话密钥完全向前保密以确保不重新使用密钥资料，单击确定，然后单击关闭。 创建 IPSec 策略您已经获得了策略元素。 现在，您可以创建策略本身了。 右键单击 MMC 的右窗格，然后单击创建 IP 安全策略。 当向导启动时：将该策略命名为Alices IPSec。 单击清除激活默认响应规则复选框。 单击编辑属性（如果未选中的话），然后完成该向导。 该策略的属性对话框将打开。 为使 IPSec 策略有效，它必须至少包含一个将筛选器列表链接到筛选器操作的规则。 若要在属性对话框中指定规则，请：单击添加以创建新规则。 启动向导后，单击此规则不指定隧道。 单击局域网 (LAN) 作为网络类型。 如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中，单击 Windows 2000 默认值（Kerberos V5 协议）作为身份验证方法。 如果不在一个域中，则单击使用此字串来保护密钥交换(预共享密钥)，然后输入字符串（使用您可记住的长字符串，不要有任何键入错误）。 选择前面创建的筛选器列表。 在此示例中，该筛选器列表为Abczz to Bobs PC。 然后，选择前面创建的筛选器操作。 在此示例中，该筛选器操作为Encrypt Abczz。 完成该向导，然后单击关闭。 配置其他终结点在 Bob 的计算机上重复上述应用于 Alice 的计算机的所有步骤。 显然要进行一些必要的更改，例如，Abczz to Bobs PC必须更改为Abczz to Alices PC。 指派策略您已经在两个端点上定义了策略。 现在，必须指派它们：在本地安全设置 MMC 中，右键单击策略（在此示例中为 Abczz ）。 单击指派。 一次只能指派一个 IPSec 策略，但是一个策略可根据需要拥有多个规则。 例如，如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯，则您必须创建相应的筛选器列表和操作，并向 IPSec （属于 Alice）添加一个规则，以便将特定的筛选器列表和筛选器操作链接起来。 单击为此规则使用不同的共享密钥。 Alice 的策略现在有两个规则：一个用于与 Bob 进行 Abczz 通讯，另一个用于与 Eve 进行通讯。 因为 Bob 和 Eve 无需安全地互相通讯，所以 Bob 的策略中未添加任何规则，Eve 的策略中包含一个用于与 Alice 进行通讯的规则。 疑难解答使用 IPSecMon 测试策略Windows 2000 包括一个实用程序 ()，它可用于测试 IPSec 安全关联是否已成功建立。 若要启动 IPSecMon，请：单击开始，然后单击运行。 键入：ipsecmon，然后按 ENTER 键。 单击选项。 将刷新间隔更改为 1。 必须在不同终结点之间建立通讯。 可能会有一个延迟，这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。 可在 IPSecMon 中观察此行为。 当这两个终结点都建立了它们的安全关联，可在 IPSecMon 中观察到显示此行为的条目。 如果期望的安全协商没有建立，则返回并检查每个终结点上的筛选器列表。 在您方便地将源地址和目标地址或端口反向时，确保已经收到所使用协议的正确定义。 您可能要考虑创建一个指定所有通信的新筛选器列表。 同样，可向使用此筛选器列表的策略添加一个新规则，然后禁用现有的规则。 在两个终结点上执行这些步骤。 然后，可使用 ping 命令测试连接性。 ping 命令在安全关联阶段可显示Negotiating IP security（正在协商 IP 安全），然后显示建立安全关联之后的正常结果。 NAT 与 IPSec 不兼容如果在两个终结点之间有任何网络地址转换 (NAT)，则 IPSec 不起作用。 IPSec 将终结点地址作为有效负载的一部分嵌入。 在将数据包发送到电缆上之前进行数据包校验和计算时，IPSec 也使用源地址。 NAT 可更改出站数据包的源地址，目标在计算自己的校验和时使用头中的地址。 如果数据包中携带的用初始来源计算的校验和与用目标计算的校验和不符，则目标可丢弃这些数据包。 不能将 IPSec 用于任何类型的 NAT 设备。 参考有关 Windows 2000 中 IPSec 的白皮书和详细的技术信息，请参阅以下 Microsoft Web 站点：3.如何更改Terminal Server的端口该修改需要在服务器端和客户端同时修改，如果不知道该服务器的端口号，客户端将无法连接服务器。 服务器端的修改： Key: HKLM/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp Name: PortNumber Type: DWORD Valus:任意值 Key: HKLME/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp Name: PortNumber Type: DWORD value:和上面值一致 注：需重启后生效。 然后我们修改客户端，打开Terminal Server Client的客户端管理器，导出连接文件（后缀名为cns），用记事本打开该cns文件，搜索Server Port，修改该值，与服务器保持一致即可（注意进制的转换）。 最后导入该cns文件至Terminal Server的客户端管理器。 4.如何禁止Guest访问事件日志？在默认安装的Windows NT和Windows 2000中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，建议修改注册表来禁止Guest访问事件日志。 应用日志： Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Application Name: RestrictGuestAccess Type: DWORD value: 1 系统日志： Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System Name: RestrictGuestAccess Type: DWORD value: 1 安全日志： Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/Security Name: RestrictGuestAccess Type: DWORD value: 1 5.如何删除管理共享(C$,D$...)？我们可以用Net Share命令来删除，但是机器重启后这个共享会自动出现，这时，我们可以修改注册表。 对于服务器而言： Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters Name: AutoShareServer Type: DWORD value: 0 对于工作站而言： Key: HKLM/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters Name: AutoShareWks Type: DWORD value: 0 修改注册表后需要重启Server服务或重新启动机器。 注：这些键值在默认情况下在主机上是不存在的，需要自己手动添加。 6.如何禁止恶意用户使用FileSystemObject？常见的有3种方法： 1、修改注册表，将FileSystemObject改成一个任意的名字，只有知道该名字的用户才可以创建该对象， [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{0D43FE01-F093-11CF-8940-00A0C}/ProgID]@= 2、运行Regsvr32 /u，所有用户无法创建FileSystemObject。 3、运行cacls %systemroot%/system32/ /d guests，匿名用户（包括IUSR_Machinename用户）无法使用FileSystemObject，我们可以对ASP文件或者脚本文件设置NTFS权限，通过验证的非Guests组用户可以使用FileSystemObject。 7.如何禁止显示上次登陆的用户名？我们可以通过修改注册表来实现： Key: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon Name: DontDisplayLastUserName Type: REG_DWORD value: 1 8.如何禁止匿名用户连接你的IPC$共享？我们可以通过修改注册表来实现 Key:HKLM/SYSTEM/CurrentControlSet/Control/Lsa Name: RestrictAnonymous Type: REG_DWORD value: 1 | 2 说明：把该值设为1时，匿名用户无法列举主机用户列表； 把该值设为2时，匿名用户无法连接你的IPS$共享，不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server...

网站服务器安全维护措施有哪些内容

随着互联网的普及，美国网站服务器成为企业与个人搭建网站或应用的首选，然而服务器安全问题不容忽视，包括DDoS攻击、SQL注入、XSS攻击等威胁。 为确保服务器稳定运行与安全，需实施一系列维护措施。 本文将全面介绍美国网站服务器的安全维护策略，并提供相关问题解答，以助您更好地理解与应对服务器安全问题。

首先，定期更新系统与软件是基础。 操作系统与服务器运行的各类软件需保持最新状态，以修复安全漏洞，提高系统稳定性。 建议每3个月进行一次更新操作，以确保系统的安全防护水平。

其次，加强防火墙设置至关重要。 开启防火墙，实现IP过滤功能，仅允许合法IP访问服务器，并配置安全规则，限制特定端口访问权限，以增强防护力度。

身份认证与访问控制亦是安全维护的核心。 要求用户设置复杂且定期更换的强密码，并采用多因素身份认证机制，确保账户安全性。 合理分配用户权限，对于敏感数据与操作实行严格控制，确保只有授权用户能访问。

数据备份策略需定期执行。 根据业务需求与数据重要性，制定合适的备份计划，每周至少执行一次全量备份，并保留近7天的备份数据，确保数据安全与可用性。

防范社会工程学攻击同样重要。 增强员工安全意识，识别并防范钓鱼邮件、虚假电话等手段。 限制员工通过邮件、即时通讯等方式共享敏感信息，强化对合作伙伴的审核与管理。

定期进行安全审计与监控是必要步骤。 通过安全审计工具进行全面扫描，发现潜在漏洞与风险，及时修复并调整安全策略。 实时监控服务器状态，借助日志分析工具发现异常行为与潜在攻击，快速响应并处理问题。

相关问题与解答：

Q1: 如何防止DDoS攻击？

A1: 防御DDoS攻击涉及多方面策略：

1. 构建多层防护架构：在不同层面部署防护设备，如DNS负载均衡器、应用层防火墙等，形成立体防护。

2. 限制单个IP连接数：对关键端口设置连接限制，避免大量连接导致服务器过载。

3. 使用CDN服务：分散静态资源至多个地理位置的服务器，减轻单点压力。

4. 实时流量监控：使用流量监控工具实时监测流量，迅速识别异常流量。

5. 建立应急响应机制：与IDC机房与安全厂商紧密合作，快速启动应急流程，降低损失。

全国计算机等级考试三级网络技术知识点

全国计算机等级考试三级网络技术知识点

Internet的应用范围由最早的军事、国防，扩展到美国国内的学术机构，进而迅速覆盖了全球的各个领域，运营性质也由科研、教育为主逐渐转向商业化。以下是我整理的全国计算机等级考试三级网络技术知识点，希望大家认真阅读!

第一章：网络系统统结构与设计的基本原则

计算机网络按地理范围划分为局域网，城域网，广域网;

局域网提高数据传输速率 10mbps-10gbps，低误码率的高质量传输环境

局域网按介质访问控制方法角度分为共享介质式局域网和交换式局域网

局域网按传输介质类型角度分为有线介质局域网和无线介质

局域网早期的计算机网络主要是广域网，分为主计算机与终端(负责数据处理)和通信处理设备与通信电路(负责数据通信处理)

计算机网络从逻辑功能上分为资源子网和通信子网

资源子网(计算机系统，终端，外网设备以及软件信息资源): 负责全网数据处理业务，提供网络资源与服务

通信子网(通信处理控制机—即网络节点，通信线路及其他通信设备)：负责网络数据传输，转发等通信处理任务 网络接入(局域网，无线局域网，无线城域网，电话交换网，有线电视网)

广域网投资大管理困难，由电信运营商组建维护，广域网技术主要研究的是远距离，高服务质量的宽带核心交换技术，用户接入技术由城域网承担。

广域网典型网络类型和技术：(公共电话交换网PSTN，综合业务数字网ISDN，数字数据网DDN，x.25 分组交换网，帧中继网，异步传输网，GE千兆以太网和10GE光以太网)

交换局域网的核心设备是局域网交换机

城域网概念：网络运营商在城市范围内提供各种信息服务，以宽带光传输网络为开放平台，以 TCPIP 协议为基础 密集波分复用技术的推广导致广域网主干线路带宽扩展

城域网分为核心交换层(高速数据交换)，边缘汇聚层(路由与流量汇聚)，用户接入层(用户接入和本地流量控制)

层次结构优点：层次定位清楚，接口开放，标准规范，便于组建管理

核心层基本功能：(设计重点：可靠性，可扩展性，开放性) 连接汇聚层，为其提供高速分组转发，提供高速安全 QoS 保障的传输环境; 实现主干网络互联，提供城市的宽带 IP 数据出口;提供用户访问 INTERNET 需要的路由服务;

汇聚层基本功能： 汇聚接入层用户流量，数据分组传输的汇聚，转发与交换;本地路由过滤流量均衡，QoS 优先管理，安全控制，IP 地址转换，流量整形; 把流量转发到核心层或本地路由处理;

组建运营宽带城域网原则：可运营性，可管理性，可盈利性，可扩展性

管理和运营宽带城域网关键技术：带宽管理，服务质量 QoS，网络管理，用户管理，多业务接入，统计与计费，IP 地址分配与地址转换，网络安全

宽带城域网在组建方案中一定要按照电信级运营要求(考虑设备冗余，线路冗余以及系统故障的快速诊断与自我恢复)

服务质量 QoS 技术：资源预留，区分服务，多协议标记转换

管理带宽城域网 3 种基本方案：带内网络管理，带外网络管理，同时使用带内带外网络管理 带内：利用传统电信网络进行网络管理，利用数据通信网或公共交换电话网拨号，对网络设备进行数据配置。

带外：利用 IP 网络及协议进行网络管理，利用网络管理协议建立网络管理系统。对汇聚层及其以上设备采用带外管理，汇聚层一下采用带内管理

宽带城域网要求的管理能力表现在电信级的接入管理，业务管理，网络安全

网络安全技术方面需要解决物理安全，网络安全和信息安全。

宽带城域网基本技术与方案(SDH 城域网方案;10GE 城域网方案，基于 ATM 城域网方案)

光以太网由多种实现形式，最重要的有 10GE 技术和弹性分组环技术

弹性分组环(RPR)：直接在光纤上高效传输 IP 分组的传输技术 标准：IEEE802.17

目前城域网主要拓扑结构：环形结构;核心层有 3—10 个结点的城域网使用环形结构可以简化光纤配置功能：简化光纤配置;解决网络保护机制与带宽共享问题;提供点到多点业务

弹性分组环采用双环结构;RPR 结点最大长度 100km，顺时针为外环，逆时针为内环

RPR 技术特点：(带宽利用率高;公平性好;快速保护和恢复能力强;保证服务 质量)

用户接入网主要有三类：计算机网络，电信通信网，广播电视网

接入网接入方式主要为五类：地面有线通信系统，无线通信和移动通信网，卫星通信网，有线电视网和地面广播电视网

三网融合：计算机网络，电信通信网，电视通信网

用户接入角度：接入技术(有线和无线)，接入方式(家庭接入，校园接入，机关与企业人)

目前宽带接入技术： 数字用户线 XDSL 技术

光纤同轴电缆混合网 HFC 技术

光纤接入技术，

无线接入技术，

局域网技术

无线接入分为无线局域网接入，无线城域网接入，无线 Ad hoc 接入

局域网标准：802.3 无线局域网接入：802.11无线城域网：802.16

数字用户线 XDSL 又叫 数字用户环路 ，基于电话铜双绞线高速传输技术 技术分类：

ADSL 非对称数字用户线速率不对称1.5mbps/64kbps-5.5km

RADSL 速率自适应数字用户线 速率不对称1.5mbps/64kbps-5.5km

HDSL 高比特率数字用户线速率对称 1.544mbps(没有距离影响)

VDSL 甚高比特率数字用户线 速率不对 51mbps/64kbps(没有影响)

光纤同轴混合网 HFC 是新一代有线电视网

电话拨号上网速度 33.6kbps—56.6kbps

有线电视接入宽带，数据传输速率 10mbps—36mbps

电缆调制解调器 Cable modem 专门为利用有线电视网进行数据传输而设计

上行信道：200kbps-10mbps下行信道： 36mbps 类型：

传输方式(双向对称传输和非对称式传输)

数据传输方向(单向，双向) 同步方式(同步和异步交换)

接入角度(个人 modem 和宽带多用户 modem)

接口角度(外置式，内置式和交互式机顶盒)

无源光网络技术(APON)优点 系统稳定可靠 可以适应不同带宽，传输质量的要求

与 CATV 相比，每个用户可占用独立带宽不会发生拥塞 接入距离可达 20km—30km

802.11b 定义直序扩频技术，速率为 1mbps 2mbps 5.5mbps 11mbps 802.11a 提高到 54mbps

第二章 ：网络系统总体规划与设计方法

网络运行环境主要包括机房和电源

机房是放置核心路由器，交换机，服务器等核心设备 UPS 系统供电：稳压，备用电源，供电电压智能管理

网络操作系统：NT,2000,NETWARE,UNIX,LINUX

网络应用软件开发与运行环境：网络数据库管理系统与网络软件开发工具

网络数据库管理系统：Oracle，Sybase，SOL，DB2

网络应用系统：电子商务系统，电子政务系统，远程教育系统，企业管理系统， 校园信息服务系统，部门财务管理系统

网络需求调研和系统设计基本原则：共 5 点

制定项目建设任务书后，确定网络信息系统建设任务后，项目承担单位首要任务是网络用户调查和网络工程需求分析 需求分析是设计建设与运行网络系统的关键

网络结点地理位置分布情况：(用户数量及分布的位置;建筑物内部结构情况调查;建筑物群情况调查)

网络需求详细分析：(网络总体需求设计;结构化布线需求设计;网络可用性与 可靠性分析;网络安全性需求分析;网络工程造价分析)

结点 2-250可不设计接入层和汇聚层

结点 100-500 可不设计接入层

结点 250-5000 一般需要 3 层结构设计

核心层网络一般承担整个网络流量的 40%-60%

标准 GE 10GE 层次之间上联带宽：下联带宽一般控制在 1：20

10 个交换机，每个有 24 个接口，接口标准是 10/100mbps：那么上联带宽是24*100*10/20 大概是 2gbps

高端路由器(背板大于 40gbps)高端核心路由器：支持 mpls 中端路由器(背板小于 40gbps)

企业级路由器支持 IPX,VINES，

QoS VPN 低端路由器(背板小于 40gbps)支持 ADSL PPP

路由器关键技术指标：

1：吞吐量(包转发能力)

2：背板能力(决定吞吐量)背板：router 输入端和输出端的物理通道 传统路由采用共享背板结构，高性能路由采用交换式结构

3：丢包率(衡量 router 超负荷工作性能)

4：延时与延时抖动(第一个比特进入路由到该帧最后一个离开路由的时间) 高速路由要求 1518B 的 IP 包，延时小于 1ms

5：突发处理能力

6：路由表容量(INTERNET 要求执行 BGP 协议的路由要存储十万路由表项，高 速路由应至少支持 25 万)

7：服务质量 8：网管能力

9：可靠性与可用性

路由器冗余：接口冗余，电源冗余，系统板冗余，时钟板冗余，整机设备冗余

热拨插是为了保证路由器的可用性

高端路由可靠性：

(1) 无故障连续工作时间大于 10 万小时

(2) 系统故障恢复时间小于 30 分钟

(3) 主备切换时间小于 50 毫秒

(4) SDH 和 ATM 接口自动保护切换时间小于 50 毫秒

(5) 部件有热拔插备份，线路备份，远程测试诊断

(6) 路由系统内不存在单故障点

交换机分类：从技术类型(10mbps Ethernet 交换机;fast Ethernet 交换机;1gbps 的 GE 交换机)从内部结构(固定端口交换机;模块化交换机—又叫机架式交换 机)

500 个结点以上选取企业级交换机

300 个结点以下选取部门级交换机

100 个结点以下选取工作组级交换机

交换机技术指标：

(1) 背板带宽(输入端和输出端得物理通道)(2) 全双工端口带宽(计算：端口数*端口速率*2)

(3) 帧转发速率(4) 机箱式交换机的扩张能力

(5) 支持 VLAN 能力(基于 MAC 地址，端口，IP 划分) 缓冲区协调不同端口之间的速率匹配

网络服务器类型(文件服务器;数据库服务器;Internet 通用服务器;应用服务 器)

虚拟盘体分为(专用盘体，公用盘体与共享盘体)

共享硬盘服务系统缺点：dos 命令建立目录;自己维护;不方便系统效率低，安 全性差

客户/服务器 工作模式采用两层结构：第一层在客户结点计算机 第二层在数据 库服务器上

Internet 通用服务器包括(DNS 服务器，E-mail 服务器，FTP 服务器，WWW 服 务器，远程通信服务器，代理服务器)

基于复杂指令集 CISC 处理器的 Intel 结构的服务器： 优点：通用性好，配置简单，性能价格比高，第三方软件支持丰富，系统维护方 便 缺点：CPU 处理能力与系统 I/O 能力较差(不适合作为高并发应用和大型服 务器)

基于精简指令集 RISC 结构处理器的服务器与相应 PC 机比：CPU 处理能力提高

50%-75%(大型，中型计算机和超级服务器都采用 RISC 结构处理器，操作系统 采用 UNIX)

因此采用 RISC 结构处理器的服务器称 UNIX 服务器

按网络应用规模划分网络服务器

(1) 基础级服务器 1 个 CPU(2) 工作组服务器 1-2 个 CPU(3) 部门级服务器 2-4 个 CPU

(4) 企业级服务器 4-8 个 CPU

服务器采用相关技术

(1) 对称多处理技术 SMP (多 CPU 服务器的负荷均衡)

(2) 集群 Cluster(把一组计算机组成共享数据存储空间)

(3) 非一致内存访问(NUMA)(结合 SMP Cluster 用于多达 64 个或更多 CPU的服务器)

(4) 高性能存储与智能 I/O 技术(取决存取 I/O 速度和磁盘容量)

(5) 服务处理器与 INTEL 服务器控制技术

(6) 应急管理端口

(7) 热拨插技术 网络服务器性能

(1) 运算处理能力

CPU 内核：执行指令和处理数据

一级缓存：为 CPU 直接提供计算机所需要的指令与数据 二级缓存：用于存储控制器，存储器，缓存检索表数据 后端总线：连接 CPU 内核和二级缓存

前端总线：互联 CPU 与主机芯片组

CPU50%定律：cpu1 比 cpu2 服务器性能提高(M2-M1)/M1*50% M 为主频

(2) 磁盘存储能力(磁盘性能参数：主轴转速;内部传输率，单碟容量，平均 巡道时间;缓存)

(3) 系统高可用性99.9%---------------每年停机时间小于等于 8.8 小时

99.99%-------------每年停机时间小于等于 53 分钟

99.999%---------- 每年停机时间小于等于5 分钟

服务器选型的基本原则

(1) 根据不同的应用特点选择服务器

(2) 根据不同的行业特点选择服务器

(3) 根据不同的需求选择服务器的配置

网路攻击两种类型：服务攻击和非服务攻击

从黑客攻击手段上看分为 8 类：系统入侵类攻击;缓冲区溢出攻击，欺骗类 攻击，拒绝服务类攻击，防火墙攻击，病毒类攻击，木马程序攻击，后门攻击 非服务攻击针对网络层等低层协议进行

网络防攻击研究主要解决的问题：

(1) 网络可能遭到哪些人的攻击

(2) 攻击类型与手段可能有哪些

(3) 如何及时检测并报告网络被攻击

(4) 如何采取相应的网络安全策略与网络安全防护体系 网络协议的漏洞是当今 Internet 面临的一个严重的安全问题

信息传输安全过程的安全威胁(截取信息;窃qie听信息;篡改信息;伪造信息)

解决来自网络内部的不安全因素必须从技术和管理两个方面入手

病毒基本类型划分为 6 种：引导型病毒;可执行文件病毒;宏病毒;混合病毒， 特洛伊木马病毒;Iternet 语言病毒

网络系统安全必须包括 3 个机制：安全防护机制，安全检测机制，安全恢复机制

网络系统安全设计原则：

(1) 全局考虑原则(2) 整体设计的原则(3) 有效性与实用性的原则(4) 等级性原则

(5)自主性与可控性原则(6)安全有价原则

第三章： IP 地址规划设计技术

无类域间路由技术需要在提高 IP 地址利用率和减少主干路由器负荷两个方面取得平衡

网络地址转换 NAT 最主要的应用是专用网，虚拟专用网，以及 ISP 为拨号用户 提供的服务

NAT 更用应用于 ISP，以节约 IP 地址

A 类地址：1.0.0.0-127.255.255.255 可用地址 125 个 网络号 7 位

B 类地址：128.0.0.0-191.255.255.255 网络号 14 位

C 类地址：192.0.0.0-223.255.255.255 网络号 21 位允许分配主机号 254 个

D 类地址：224.0.0.0-239.255.255.255 组播地址

E 类地址：240.0.0.0-247.255.255.255 保留

直接广播地址：

受限广播地址：255.255.255.255

网络上特定主机地址：

回送地址：专用地址

全局 IP 地址是需要申请的，专用 IP 地址是不需申请的

专用地址：10; 172.16- 172.31 ;192.168.0-192.168.255

NAT 方法的局限性

(1) 违反 IP 地址结构模型的设计原则

(2) 使得 IP 协议从面向无连接变成了面向连接

(3) 违反了基本的网络分层结构模型的设计原则

(4) 有些应用将 IP 插入正文内容

(5) Nat 同时存在对高层协议和安全性的影响问题

IP 地址规划基本步骤

(1) 判断用户对网络与主机数的需求

(2) 计算满足用户需求的基本网络地址结构

(3) 计算地址掩码

(4) 计算网络地址

(5) 计算网络广播地址

(6) 计算机网络的主机地址

CIDR 地址的一个重要的特点：地址聚合和路由聚合能力 规划内部网络地址系统的基本原则

(1) 简洁(2) 便于系统的扩展与管理(3) 有效的路由

IPv6 地址分为 单播地址;组播地址;多播地址;特殊地址

128 位每 16 位一段;000f 可简写为 f 后面的 0 不能省;：：只能出现一次

Ipv6 不支持子网掩码，它只支持前缀长度表示法

第四章：网络路由设计

默认路由成为第一跳路由或缺省路由 发送主机的默认路由器又叫做源路由器;

目的主机所连接的路由叫做目的路由

路由选择算法参数

跳数 ;带宽(指链路的传输速率);延时(源结点到目的结点所花费时间); 负载(单位时间通过线路或路由的通信量);可靠性(传输过程的误码率);开销(传输耗费)与链路带宽有关

路由选择的核心：路由选择算法 算法特点：

(1) 算法必须是正确，稳定和公平的

(2) 算法应该尽量简单

(3) 算法必须能够适应网络拓扑和通信量的变化

(4) 算法应该是最佳的

路由选择算法分类: 静态路由选择算法(非适应路由选择算法)

特点：简单开销小，但不能及时适应 网络状态的变化

动态路由选择算法(自适应路由选择算法)

特点：较好适应网络状态的变化，但 实现复杂，开销大

一个自治系统最重要的特点就是它有权决定在本系统内应采取何种路由选择协议

路由选择协议：

内部网关协议 IGP(包括路由信息协议 RIP，开放最短路径优先 协议 OSPF);

外部网关协议 EGP(主要是 BGP)

RIP 是内部网关协议使用得最广泛的一种协议;

特点：协议简单，适合小的自治 系统，跳数小于 15

OSPF 特点:

1. OSPF 使用分布式链路状态协议(RIP 使用距离向量协议)

2. OSPF 要求路由发送本路由与哪些路由相邻和链路状态度量的信息(RIP 和 OSPF都采用最短路径优先的指导思想，只是算法不同)

3. OSPF 要求当链路状态发生变化时用洪泛法向所有路由发送此信息(RIP 仅向相 邻路由发送信息)

4. OSPF 使得所有路由建立链路数据库即全网拓扑结构(RIP 不知道全网拓扑) OSPF 将一个自治系统划分若干个小的区域，为拉适用大网络，收敛更快。每个 区域路由不超过 200 个

区域好处：洪泛法局限在区域，区域内部路由只知道内部全网拓扑，却不知道其他区域拓扑 主干区域内部的路由器叫主干路由器(包括区域边界路由和自治系统边界路由)

BGP 路由选择协议的四种分组 打开分组;更新分组(是核心);保活分组;通知分组;

第五章：局域网技术

交换机采用采用两种转发方式技术：快捷交换方式和存储转发交换方式

虚拟局域网 VLAN 组网定义方法：(交换机端口号定义;MAC 地址定义;网络层地址定义;基于 IP 广播组)

综合布线特点：(兼容性;开放性;灵活性;可靠性;先进性;经济性)

综合布线系统组成：(工作区子系统;水平子系统;干线子系统;设备间子系统;管理子系统;建筑物群子系统)

综合布线系统标准：

(1) ANSI/TIA/EIA 568-A

(2) TIA/EIA-568-B.1 TIA/EIA-568-B.2TIA/EIA-568-B.3

(3) ISO/IEC

(4) GB/T -2000GB/T-2000

IEEE802.3 10-BASE-5 表示以太网 10mbps 基带传输使用粗同轴电缆，最大长度=500m

IEEE802.3 10-BASE-2200m

IEEE802.3 10-BASE-T使用双绞线

快速以太网 提高到 100mbps

IEEE802.3U 100-BASE-TX最大长度=100M

IEEE802.3U 100-BASE-T4针对建筑物以及按结构化布线

IEEE802.3U 100-BASE-FX使用 2 条光纤 最大长度=425M

支持全双工模式的快速以太网的拓扑构型一定是星形

自动协商功能是为链路两端的设备选择 10/100mbps 与半双工/全双工模式中共有的高性能工作模式，并在链路本地设备与远端设备之间激活链路;自动协商功能只能用于使用双绞线的以太网，并且规定过程需要 500ms 内完成

中继器工作在物理层，不涉及帧结构，中继器不属于网络互联设备

10-BASE-5 协议中，规定最多可以使用 4 个中继器，连接 3 个缆段，网络中两个 结点的最大距离为 2800m

集线器特点：

(1) 以太网是典型的总线型结构

(2) 工作在物理层 执行 CSMA/CD 介质访问控制方法

(3) 多端口 网桥在数据链路层完成数据帧接受，转发与地址过滤功能，实现多个局域网的数据交换

透明网桥 IEEE 802.1D 特点：

(1) 每个网桥自己进行路由选择，局域网各结点不负责路由选择，网桥对互联 局域网各结点是透明

(2) 一般用于两个 MAC 层协议相同的网段之间的互联

透明网桥使用了生成树算法 评价网桥性能参数主要是：帧过滤速率，帧转发速率

按照国际标准，综合布线采用的主要连接部件分为建筑物群配线架(CD); 大楼主配线架(BD);楼层配线架(FD)，转接点(TP)和通信引出端(TO)，TO 到 FD 之间的水平线缆最大长度不应超过 90m;

设备间室温应保持在 10 度到 27 度 相对湿度保持在 30%-80%

1.2017年全国计算机等级考试三级网络技术知识点积累

2.2017年全国计算机三级网络技术真题附带答案

3.2017年全国计算机三级网络技术真题及答案

4.全国计算机三级网络技术真题及答案2017

5.2017年全国计算机等级考试知识点

6.全国计算机等级考试一级b知识点

7.2017全国计算机考试三级网络技术考试大纲

8.2017年全国计算机三级网络技术考试试题

9.2017全国计算机三级网络技术考试试题及答案

10.2017年全国计算机三级网络技术考试选择题

;
相关标签： 在当今威胁环境中保持安全、 服务器安全策略配置、 服务器安全策略、

本文地址：http://www.hyyidc.com/article/34952.html

上一篇：IDS深度剖析掌握网络威胁检测的艺术深度iso...
下一篇：入侵检测系统IDS网络安全的秘密武器入侵检...