網(wǎng)絡(luò)安全管理實(shí)用經(jīng)驗(yàn)

1、目錄 制度管理 技術(shù)管理 制度管理-認(rèn)可度 要想實(shí)現(xiàn)制度管理，我認(rèn)為，全校教職工對(duì)網(wǎng)絡(luò)管理員的認(rèn)可度至少 重要，只有有了較強(qiáng)的認(rèn)可度，推進(jìn)信息化改革才能事半功倍。 我們經(jīng)常聽到這樣的字眼： 1、我們是電工,啥子事都干，犯是帶“電”的都?xì)w我們管； 2、干活的時(shí)候就想到我們，吃飯的時(shí)候就把我們忘了；. 3、他們就是人，我們就不是人 . 制度管理-認(rèn)可度 網(wǎng)絡(luò)管理員如何提升自己在學(xué)校內(nèi)的認(rèn)可度？ 1、作好常規(guī) 網(wǎng)絡(luò)系統(tǒng)、音響系統(tǒng)、廣播系統(tǒng)等常規(guī)管理費(fèi)用 2、適時(shí)創(chuàng)新 辦公系統(tǒng)、科創(chuàng)活動(dòng)、無(wú)線投影模式、無(wú)線網(wǎng)絡(luò)滿覆蓋 無(wú)線投影 無(wú)線網(wǎng)絡(luò)滿覆蓋 3、有效宣傳 充分利用教工會(huì)、升旗儀式 技術(shù)管理 教育專網(wǎng)

2、管理 教育專網(wǎng)管理對(duì)校級(jí)管理員而是較為簡(jiǎn)單的 1、管什么 管IP分配、管IP綁定 2、看什么 看性能、看流量 在此之前，要充分理解兩個(gè)概念 1、NAT 2、ROUTE NAT的概念： NAT英文全稱是“Network Address Translation”，中文意思是 “網(wǎng)絡(luò)地址轉(zhuǎn)換”，它允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有 網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。 NAT分為三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT） 和端口NAT（PAT） ROUTE的概念：

3、 ROUTE翻譯為“路由”：是指通過(guò)相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)移 動(dòng)到目標(biāo)地點(diǎn)的活動(dòng)。 兩者最大的區(qū)別是，前者是偽裝，后者是通道 所以，家用的ADSL等，使用都是NAT技術(shù) 整個(gè)教育專網(wǎng)使用的技術(shù)是：路由 針對(duì)校級(jí)管理員，如果有效的管理本校HILSTONE路由器和幾種常見(jiàn) 的方法，主要是： 1、看效能： 路由，即通道，原理上講不需要偽裝處理，對(duì)路由器的性能要求是 非常低的。 2、管IP綁定 演示山石路由器部分功能 常用網(wǎng)絡(luò)命令： 1、ipconfig 參數(shù)：all、flushdns、release、renew 2、ping是測(cè)試網(wǎng)絡(luò)聯(lián)接狀況以及信息包發(fā)送和接收狀況非常有用的工具， 是網(wǎng)絡(luò)測(cè)試

4、最常用的命令。ping向目標(biāo)主機(jī)(地址)發(fā)送一個(gè)回送請(qǐng)求數(shù)據(jù) 包，要求目標(biāo)主機(jī)收到請(qǐng)求后給予答復(fù)，從而判斷網(wǎng)絡(luò)的響應(yīng)時(shí)間和本 機(jī)是否與目標(biāo)主機(jī)(地址)聯(lián)通。 命令格式: ping ip地址或主機(jī)名 -t -a -n count -l size 參數(shù)含義: -t不停地向目標(biāo)主機(jī)發(fā)送數(shù)據(jù); -a 以ip地址格式來(lái)顯示目標(biāo)主機(jī)的網(wǎng)絡(luò)地址 ; -n count 指定要ping多少次，具體次數(shù)由count來(lái)指定 ; -l size 指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小。 3、tracert tracert命令用來(lái)顯示數(shù)據(jù)包到達(dá)目標(biāo)主機(jī)所經(jīng)過(guò)的路徑，并顯示 到達(dá)每個(gè)節(jié)點(diǎn)的時(shí)間。命令功能同ping類似，但它所獲

5、得的信息要比 ping命令詳細(xì)得多，它把數(shù)據(jù)包所走的全部路徑、節(jié)點(diǎn)的ip以及花費(fèi) 的時(shí)間都顯示出來(lái)。該命令比較適用于大型網(wǎng)絡(luò)。 命令格式: tracert ip地址或主機(jī)名 -d-h maximumhops-j host_list - w timeout 參數(shù)含義: -d 不解析目標(biāo)主機(jī)的名字; -h maximum_hops 指定搜索到目標(biāo)地址的最大跳躍數(shù); -j host_list 按照主機(jī)列表中的地址釋放源路由; -w timeout 指定超時(shí)時(shí)間間隔，程序默認(rèn)的時(shí)間單位是毫秒。 4、netstat netstat命令可以幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)的整體使用情況。它可以 顯示當(dāng)前正在活動(dòng)的網(wǎng)

6、絡(luò)連接的詳細(xì)信息，例如顯示網(wǎng)絡(luò)連接、路由表 和網(wǎng)絡(luò)接口信息，可以統(tǒng)計(jì)目前總共有哪些網(wǎng)絡(luò)連接正在運(yùn)行。 利用命令參數(shù)，命令可以顯示所有協(xié)議的使用狀態(tài)，這些協(xié)議包括 tcp協(xié)議、udp協(xié)議以及ip協(xié)議等，另外還可以選擇特定的協(xié)議并查看其 具體信息，還能顯示所有主機(jī)的端口號(hào)以及當(dāng)前主機(jī)的詳細(xì)路由信息。 命令格式: netstat -r -s -n -a 參數(shù)含義: -r 顯示本機(jī)路由表的內(nèi)容; -s 顯示每個(gè)協(xié)議的使用狀態(tài)(包括tcp協(xié)議、udp協(xié)議、ip協(xié)議); -n 以數(shù)字表格形式顯示地址和端口; -a 顯示所有主機(jī)的端口號(hào)。 合理設(shè)置校園內(nèi)無(wú)線路由器 1、教育專網(wǎng)里，是將無(wú)線路由器當(dāng)作無(wú)線AP

7、使用，所以需注意接線 方式，不能接WAN口，同時(shí)，需關(guān)閉DHCP服務(wù)。 一旦接WAN，使用模式則變?yōu)镹AT工作模式，嚴(yán)重影響其效能 2、有交叉區(qū)域，最好不要試圖通過(guò)SSID相同來(lái)實(shí)現(xiàn)自動(dòng)漫游功能， 想法是豐滿的，效果是骨感的。命名規(guī)則可以為門牌號(hào)。如： cdgxsyzx-2503 3、注意區(qū)分胖AP與廋AP的設(shè)置 4、信道的設(shè)置保證兩鄰的無(wú)線設(shè)備不一樣，無(wú)線路由器有13個(gè)信道， 但完全不重復(fù)的信息有且只有3個(gè)。即1，6，11 5、帶機(jī)量 5、模式 最新的路由器有5種工作模式， 其中默認(rèn)是11bgn mixed。這種 模式的最大好處是傳輸速度快， 但最大缺點(diǎn)卻是兼容性差 如：蘋果一體機(jī) 6、無(wú)線

8、網(wǎng)橋 (WDS) wds即無(wú)線分布式橋接功能為:無(wú)線路由器之間通過(guò)無(wú)線橋接延伸網(wǎng)絡(luò) 覆蓋 實(shí)用對(duì)象： 1.多房間家庭，主路由器在A房間或客廳，B房間信號(hào)可以，C房間穿 墻太多無(wú)線連接不上，可以在B房間放置一副路由與主路由橋接。 2.小區(qū)不同樓，相距300米以內(nèi)（好的無(wú)線路由器500米）的不同樓， 只要是無(wú)阻擋直線可視，即可用無(wú)線路由器的WDS功能，將兩戶的 網(wǎng)絡(luò)共享！ 設(shè)置方法 主路由器A副路由器B B的設(shè)置： 1、IP地址設(shè)置為：192.168.6.1.2 2、信道與A路由器保持一致,如：6 3、關(guān)閉DHCP A路由器設(shè)置 1、啟用DHCP 2、信道設(shè)置與B一樣，如：6 3、開啟WDS，并輸

9、入B路由器的相關(guān)連接信息 ARP終結(jié)者之PPPOE PPPoE：以太網(wǎng)上的 PPP （PPPoE：point to point protocol over Ethernet） 在 以太網(wǎng)上承載PPP協(xié)議（點(diǎn)到點(diǎn)連接協(xié)議），由于不使用TCP/IP協(xié) 議，故可以從根本上解決ARP病毒之苦。 電信ADSL即為該方式 構(gòu)建PPPOE如今也變得非常簡(jiǎn)單，常見(jiàn)的有ROUTEROS、海蜘蛛、 SMOOTHWALL PPPOE是幫忙檢測(cè)內(nèi)部網(wǎng)絡(luò)故障的利器 演示使用ROS構(gòu)建PPPOE 流量控制 1、必要性 2、基于每IP的控制 優(yōu)點(diǎn)：簡(jiǎn)單，直觀。缺點(diǎn)：事倍功半 3、基于協(xié)議和優(yōu)先級(jí)的流量控制 優(yōu)點(diǎn)：合理、性價(jià)

10、比高 缺點(diǎn)：協(xié)議分析較難 演示panabit 部署方式（網(wǎng)橋） 數(shù)據(jù)備份 1、舉實(shí)例引入 2、必要性 3、程序開發(fā)常發(fā)思路及數(shù)據(jù)備份常規(guī)方案 4、優(yōu)秀備份工具rsync介紹 何為rsync: rsync是Unix/Linux系統(tǒng)中一款優(yōu)秀高效的鏡像同步和遠(yuǎn)程數(shù)據(jù)備份 工具，它可以把本地文件拷貝到遠(yuǎn)程主機(jī)，或從遠(yuǎn)程主機(jī)拷貝文件到 本地，也可以在本地的兩個(gè)目錄之間進(jìn)行拷貝 rsync的命令格式可以為 1. rsync OPTION. SRC SRC. USERHOST:DEST 2. rsync OPTION. USERHOST:SRC DEST 3. rsync OPTION. SRC SRC.

11、 DEST 4. rsync OPTION. USERHOST:SRC DEST 5. rsync OPTION. SRC SRC. USERHOST:DEST 6. rsync OPTION. rsync:/USERHOST:PORT/SRC DEST rsync有六種不同的工作模式： 1. 拷貝本地文件；當(dāng)SRC和DES路徑信息都不包含有單個(gè)冒號(hào)“:”分隔符時(shí)就啟動(dòng)這種工作模式。 2.使用一個(gè)遠(yuǎn)程shell程序（如rsh、ssh）來(lái)實(shí)現(xiàn)將本地機(jī)器的內(nèi)容拷貝到遠(yuǎn)程機(jī)器。當(dāng)DST路徑 地址包含單個(gè)冒號(hào)“:”分隔符時(shí)啟動(dòng)該模式。 3.使用一個(gè)遠(yuǎn)程shell程序（如rsh、ssh）來(lái)實(shí)現(xiàn)將遠(yuǎn)程機(jī)器的內(nèi)容拷貝到本地機(jī)器。當(dāng)SRC地址 路徑包含單個(gè)冒號(hào)“:”分隔符時(shí)啟動(dòng)該模式。 4. 從遠(yuǎn)程rsync服務(wù)器中拷貝文件到本地機(jī)。當(dāng)SRC路徑信息包含“:”分隔符時(shí)啟動(dòng)該模式。 5. 從本地