《計算機網絡應用教程》課件第4章

第4章網絡安全及故障檢測4.1網絡安全概述4.2計算機病毒和木馬4.3防火墻4.4網絡故障檢測

4.1網絡安全概述4.1.1網絡安全的主要威脅計算機網絡面臨的攻擊和威脅因素很多，主要分為人為和非人為兩種。非人為的因素有自然災害造成的不安全威脅，如地震、水災、火災及戰(zhàn)爭等造成網絡中斷、系統(tǒng)破壞、數據丟失等。解決辦法通常有軟硬件系統(tǒng)的選擇、機房選址與設計、雙機熱備、數據備份等。人為的威脅因素，主要是威脅源(入侵者或入侵程序)利用系統(tǒng)資源中的脆弱環(huán)節(jié)入侵而產生的，一般分為以下幾種：

(1)中斷(Interruption)。威脅源使系統(tǒng)的資源受損不能使用，從而使數據的流動或服務的提供暫停，如網絡病毒。

(2)竊取(Interception)。威脅源未經許可就成功獲取了對某個資源的訪問，從中盜竊了有用的數據或服務。如利用銀行網絡系統(tǒng)竊取存款信息，盜竊存款等。

(3)更改(Modification)。威脅源未經許可就成功訪問并修改了某項資源，篡改了提供的數據服務。

(4)偽造(Fabrication)。威脅源未經許可就成功地在網絡系統(tǒng)中制造出假源，從而產生了虛假的數據服務。隨著Internet的發(fā)展，客戶機/服務器結構逐漸向瀏覽器/服務器(B/S)結構遷移，因此Web服務在很短時間內也成為Internet上的主要服務。Web文本發(fā)布具有簡潔、生動、形象等特點，因此，無論是單位和個人，都越來越傾向于用Web來發(fā)布自己的信息。Web服務給用戶發(fā)布信息帶來了方便的同時，也給用戶帶來了不安全因素。特別是在HTTP標準協(xié)議之上擴展的某些服務，在給用戶提供信息交互的同時，也使Web在已有的安全隱患之外，又增加了新的不安全因素。

Web服務所面臨的安全威脅大致可歸納為以下兩種：一種是機密信息所面臨的安全威脅；一種是WWW服務器和瀏覽器所面臨的安全威脅。前一種安全威脅是Internet上各種服務所共有的，后一種威脅則是由擴展Web服務的某些軟件所帶來的。這兩種安全隱患也不是截然分開的，而是共同存在并相互作用的，尤其是后一種安全威脅的存在，使得保護機密信息的安全更加困難。4.1.2基本網絡的防御措施為了確保Web服務的安全，通常采用下列技術措施：在現有的網絡上安裝防火墻，對需要保護的資源建立隔離區(qū)；對機密敏感的信息進行加密存儲和傳輸；在現有網絡協(xié)議的基礎上，為C/S通信雙方提供身份認證并通過加密手段建立秘密通道；對沒有安全保證的軟件實施數字簽名。提供審計、追蹤手段，保證一旦出現問題，可立即根據審計日志進行追查等。

(1)安裝防火墻。為自己的局域網或站點提供隔離保護，是目前普遍采用的一種安全有效的方法，這種方法不是只針對Web服務，對其他服務也同樣有效。防火墻是一個位于內部網絡與Internet之間的計算機或網絡設備中的一個功能模塊。是按照一定的安全策略建立起來的硬件和軟件的有機組成體，其目的是為內部網絡或主機提供安全保護，控制誰可以從外部訪問內部受保護的對象，誰可以從內部網絡訪問Internet，以及相互之間以哪種方式進行訪問。從其運行機制上可以分為包過濾和代理兩種。

包過濾主要是針對特定IP地址的主機所提供的服務，其基本原理是在網絡傳輸的IP層截獲往來的IP包，查找出IP包的源地址和目的地址、源端口號和目的端口號。以及IP包頭中其他一些信息，并根據一定的過濾原則，確定是否對此IP包進行轉發(fā)。簡單的包過濾在路由器上即可實現。通常放置在路由器的后面，同時在過濾的基礎上可以加上其他安全技術，如加密、認證等，從而實現較高的安全性。代理在應用層實現，其基本原理是對Web服務單獨構造一個代理程序，不允許客戶程序與服務器程序直接交互，必須通過代理程序雙方才能進行信息的交互；還可以在代理程序中實現其他的安全控制措施，如用戶認證和報文加密等，從而達到更高的安全性能。代理根據所代理的對象及所放的位置，又可分為客戶端代理和服務器端代理?？蛻舳舜碇饕潜Ｗo瀏覽器一方主機的安全，服務器端代理主要是保護服務器的安全。

(2)對機密信息實施加密保護。對機密信息進行加密存儲和傳輸是傳統(tǒng)而有效的方法，這種方法對保護機密信息的安全特別有效，能夠防止搭線竊聽和黑客入侵，在目前基于Web服務的一些網絡安全協(xié)議中得到了廣泛的應用。在Web服務中的傳輸加密一般在應用層實現。WWW服務器在發(fā)送機密信息時，首先根據接收方的口地址或其他標識，選取密鑰對，對信息進行加密運算；瀏覽器在接收到加密數據后，根據IP包中信息的源地址或其他標識對加密數據進行解密運算，從而得到所需的數據。在目前流行的WWW服務器和瀏覽器中，如微軟公司的IIS服務器和IE瀏覽器可以對信息進行加解密運算，同時也留有接口，用戶可以對這些加解密算法進行重載。構造自己的加解密模塊。此外，傳輸加解密也可以在IP層實現，對進出的所有信息進行加解密，以保證在網絡層的信息安全。

(3)為客戶機/服務器通信雙方提供身份認證，建立安全信道。目前已經出現了建立在現有網絡協(xié)議基礎上的一些網絡安全協(xié)議，如SSL和PCT。這兩種協(xié)議主要用于保護機密信息，同時也用于防止其他非法用戶侵入自己的主機，給自己帶來安全威脅。

(4)對軟件采用數字簽名。為了維護自己公司的良好聲譽，許多大公司紛紛對自己的軟件采用數字簽名技術，宣稱為自己的軟件，尤其是像Java小程序、ActiveX控件這樣給Web服務帶來隱患的軟件的安全性負責。一些證書機構也開始提供這方面的服務，并且已有了相應的工業(yè)標準，如微軟公司的Authenticode等。數字簽名是根據公鑰算法，用自己的私鑰對自己發(fā)布的軟件進行簽名，由用戶用其公鑰進行驗證。這里的公鑰是由證書機構發(fā)布的證書證實的。數字簽名能夠保護軟件的完整性，對軟件在傳輸過程中的非法更改比較敏感。軟件一般來說規(guī)模都比較大，目前的公鑰算法，如RSA，在實現上比較慢，因此在對軟件進行數字簽名時，可先用一個雜湊函數對軟件代碼進行處理，然后再用用戶的私鑰對雜湊結果進行簽名。當其他用戶驗證時，也是用同樣的雜湊函數算出雜湊值，再對簽名進行脫密，如果兩個結果一致，則說明軟件沒有被更改過，否則，就說明軟件在傳輸的過程中被非法更改了。

數字簽名還能夠確認軟件的發(fā)布者。軟件使用者導入證書機構(CA)發(fā)布給軟件發(fā)布者的證書，就可以用軟件發(fā)布者的公鑰認定發(fā)布軟件的有效性。簽過名的軟件并不能保證沒有安全問題，簽名的作用在于一旦出現問題，就可以根據證書對軟件發(fā)布者進行追查。4.2計算機病毒和木馬4.2.1計算機病毒的發(fā)展歷史計算機病毒是人為的產物，是一些人利用計算機軟件和硬件固有的脆弱性編制的具有特殊功能的程序。這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜索其他符合其傳染條件的程序或者存儲介質，確定感染目標后就將自身代碼插入其中，實現自我繁殖。其特性在很多方面與生物病毒有極其相似之處，因此借用生物學中的病毒一詞。

從1983年計算機病毒首次被確認以來，出現了數萬種病毒。伴隨著計算機技術的發(fā)展，新的計算機病毒技術也在不斷發(fā)展，促使新的反病毒技術產生。因此，計算機病毒發(fā)展呈現出如下規(guī)律：一種新的計算機技術出現后，新病毒迅速發(fā)展，接著反病毒技術的發(fā)展抑制病毒發(fā)展。如此周而復始，循環(huán)往復。所以，計算機病毒的發(fā)展史就是計算機技術的發(fā)展歷史。計算機病毒的傳播方式隨著計算機和網絡技術的發(fā)展不斷地發(fā)生著變化，例如DOS時代主要通過軟盤傳播，Windows和互聯網時代主要通過U盤和網絡傳播(如電子郵件、文件下載、系統(tǒng)漏洞等)，并且隨著網絡應用的普及，它越來越多的與木馬技術進行結合傳播。4.2.2計算機病毒的工作原理計算機病毒的危害是極大的，要做好反病毒技術的研究，首先要認清計算機病毒的結構特點和行為機理，為防范計算機病毒提供充實可靠的依據。下面將通過對計算機病毒的主要特征和基本結構的介紹來闡述計算機病毒的工作原理。

1．計算機病毒的主要特征

1)寄生性計算機病毒寄生在其他程序或指令中，當執(zhí)行這個程序或指令時，病毒會起破壞作用，而在未啟動這個程序或指令之前，它是不易被人發(fā)覺的。

2)傳染性計算機病毒不但本身具有破壞性，還具有傳染性，一旦病毒被復制或產生變種，其傳染速度之快令人難以預防。

3)隱蔽性計算機病毒具有很強的隱蔽性，有的可以通過殺毒軟件查出來，有的則查不出來，有的則時隱時現、變化無常，這類病毒處理起來通常很困難。

4)潛伏性病毒入侵后，一般不會立即發(fā)作，需要等待一段時間，只有在滿足其特定條件時病毒才啟動其表現模塊，顯示發(fā)作信息或對系統(tǒng)進行破壞。

5)破壞性計算機中毒后，凡是利用軟件手段能觸及計算機資源的地方均可能遭到計算機病毒的破壞。其表現為：占用CPU系統(tǒng)開銷，從而造成進程堵塞；對數據或文件進行破壞；打亂屏幕的顯示；無法正常啟動系統(tǒng)等。

2．計算機病毒的結構計算機病毒在結構上有著共同性，一般由引導部分、傳染部分、表現部分及其他部分組成。

(1)引導部分的作用在于實現病毒的初始化，它隨著宿主程序的執(zhí)行進入內存，為傳染創(chuàng)造了條件。

(2)傳染部分的作用是將病毒代碼復制到目標程序。一般病毒在對其目標進行傳染前，首先要判斷傳染條件、要感染目標的特征等。

(3)表現部分是病毒間差異最大的部分，引導部分和傳染部分都是為這部分服務的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設備上表現出特定的現象。大部分病毒都是在一定條件下才觸發(fā)其表現部分的。

3．計算機病毒的分類綜合病毒本身的技術特點、攻擊目標、傳播方式等各個方面，一般情況下，可將病毒大致分為：傳統(tǒng)病毒、宏病毒、惡意腳本、木馬、黑客、蠕蟲、破壞性程序。

1)傳統(tǒng)病毒傳統(tǒng)病毒是能夠感染的程序。通過改變文件或者其他設置進行傳播，通常包括感染可執(zhí)行文件的文件型病毒和感染引導扇區(qū)的引導型病毒，如CIH病毒。

2)宏病毒(Macro)宏病毒是利用Word和Excel等的宏腳本功能進行傳播的病毒，如著名的美麗莎(macro.Melissa)。

3)惡意腳本(Script)惡意腳本是進行破壞的腳本程序，包括HTML腳本、批處理腳本、VisualBasic和JavaScript腳本等，如歡樂時光(VBS.Happytime)。

4)木馬(Trojan)程序從廣義上講，所有的程序都可以是木馬，判定是否是木馬病毒的標準無法確定。通常的標準是：“在用戶不知情的情況下進行安裝并隱藏在后臺運行，執(zhí)行特定的功能或等待控制端的指令，執(zhí)行控制端的指令”，如盜號木馬就是以竊取用戶賬號和密碼為目的的程序。

5)蠕蟲(Worm)程序蠕蟲病毒是一種可以利用操作系統(tǒng)的漏洞、電子郵件和P2P軟件等自動傳播自身的病毒，如沖擊波。

4.2.3病毒的一般防護手段病毒的防護主要從以下幾方面進行：

(1)建立良好的安全習慣，不登錄不明網站，不在非官方站點下載軟件，不打開來歷不明的電子郵件附件。

(2)停用系統(tǒng)中不需要的服務，關閉不用的端口、共享。

(3)經常升級安全補丁、反病毒軟件的病毒庫。

(4)使用復雜的密碼。

(5)開啟個人防火墻，設置最小范圍，必要時修改默認端口號。

(6)定期進行查毒掃描。4.2.4木馬

1．木馬入侵原理木馬的概念來源于古希臘的一個故事，在古希臘詩人荷馬的偉大史詩《伊利亞特》里記述這樣一個故事：特洛伊王子帕里斯來到希臘斯巴達王麥尼勞斯宮里，受到了麥尼勞斯的盛情款待。但是，帕里斯卻拐走了麥尼勞斯美貌的妻子海倫。因此，麥尼勞斯和他的兄弟邁西尼國王加米農派兵討伐特洛伊。由于特洛伊城池牢固，易守難攻，因此攻戰(zhàn)10年，未能如愿。最后，英雄奧德賽獻上妙計，讓邁西尼士兵全部登上戰(zhàn)船，制造撤兵的假相，并故意在城前留下一匹巨大的木馬。特洛伊人高興地把木馬當作戰(zhàn)利品抬進城去。當晚，正當特洛伊人沉湎于美酒和歌舞的時候，藏在木馬內的邁西尼士兵悄悄溜出，打開城門，放進早已埋伏在城外的軍隊，里應外合攻下了特洛伊城。計算機界中將特洛伊木馬(TrojanHorse)程序簡稱木馬，是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，它的名稱形象地表述了這種代碼的工作原理，即它是由計算機的使用者帶到計算機上的并有一定功能的代碼。它不是病毒，因為它不具備病毒的可傳染性、自我復制能力等特性，但它是一種具備破壞、刪除文件、發(fā)送密碼、記錄鍵盤及其他特殊功能的后門程序。RFC1244中描述特洛伊木馬為一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下復制文件或竊取你的密碼。隨著互聯網的迅速發(fā)展，木馬的攻擊、危害性越來越大，目前已經超越病毒而成為互聯網中威脅上網用戶安全的主要力量。木馬實質上是一個程序，必須運行后才能工作，所以會在進程表、注冊表中留下一定的痕跡。一般的木馬程序采用C/S模式工作，它包括服務端和客戶端兩個程序，缺少其中任何一個環(huán)節(jié)都很難發(fā)生攻擊，因為木馬不具有傳染性，所以服務器端程序是以其他方式進入被入侵的計算機，當服務器端被木馬入侵后，會在一定情況下開始運行(如用戶主動運行或重新啟動電腦，因為很多木馬程序會自動加入到啟動信息中)，這時它就在被攻擊的計算機上打開一個后門端口，并一直監(jiān)聽這個端口，等待客戶機端連接。木馬的客戶端一般運行在攻擊的計算機上，當客戶端向被攻擊計算機上的這一端口提出連接請求時，被攻擊計算機上的服務端程序就會自動運行，來應答攻客戶機的請求，如果服務端在該端口收到數據，就對這些數據進行分析，然后按識別后的命令在被攻擊的計算機上執(zhí)行相應的操作，如竊取用戶名和口令、復制或刪除文件、重新啟動或關閉計算機等。木馬程序危害系統(tǒng)的安全，可能造成對方資料和信息的泄漏、破壞，甚至使整個系統(tǒng)崩潰。

木馬的傳播方式現在已經逐步采用病毒的傳播技術，過去的木馬基本上是一個受控端程序，用戶必須自己將它引入計算機中，進入用戶的計算機后，它進行一些自動執(zhí)行、自保護等工作，現在的木馬則在傳播方式中采取了較多的手段，如利用計算機的漏洞侵入，或利用弱密碼、共享漏洞和網頁插件等傳播，有些木馬則由病毒幫助下載，進入被攻擊的計算機。在執(zhí)行方面，過去木馬基本是一個標準程序，只是沒有界面而已，通過任務管理器等工具軟件，很容易被發(fā)現并清除，現在木馬則大多數通過服務方式、IE的插件等形式出現，為手工發(fā)現和清除木馬造成了許多障礙。

2．木馬特性

1)隱蔽性木馬程序和遠程控制軟件的最大區(qū)別就在于它的隱蔽性，木馬類軟件的服務器端在運行時應用各種手段隱藏自己。例如修改注冊表和啟動文件以便機器在下一次啟動后仍能載入木馬程序，它不是自己生成一個啟動程序，而是依附在其他程序之中。它的服務端在運行時采用各種手段隱藏自己，例如修改系統(tǒng)啟動列表或注冊表，以便計算機在下次啟動后仍然能成功運行。有些木馬把服務器端和正常程序綁定成一個程序的軟件，當綁定程序使用時，同時運行木馬程序。它的隱蔽性主要體現在不產生圖標和在任務欄窗口。

2)自動運行性木馬為了控制服務端，必須在系統(tǒng)啟動時一起啟動，當然就必須潛入啟動配置文件中，如win.ini、system.ini以及啟動組等文件或注冊表的啟動運行項中。

3)功能的特殊性有些木馬不僅可以對文件進行增刪修改等操作，而且還具有一般遠程控制軟件所沒有的搜索緩存中的密碼、設置密碼、掃描目標機器的IP地址、進行鍵盤記錄、遠程注冊表操作以及鎖定鼠標等功能。

4)自動恢復功能目前很多木馬程序中的功能模塊也不再由單一的文件組成，而是具有多重備份，可以進行相互恢復。當用戶刪除了其中一個程序后，其他程序又會對它進行恢復，使人防不勝防。

5)能自動打開特別的端口木馬程序潛入目標系統(tǒng)的目的大多數情況下主要是為了獲取系統(tǒng)中有用的信息，而不是為了破壞對方系統(tǒng)，當用戶上網與遠端客戶進行通信時，木馬程序就會用C/S的通信模式把信息告訴黑客，以便黑客控制本機，或實施進一步的入侵企圖。

3．木馬種類

1)破壞型木馬唯一的功能就是破壞并且刪除文件，可以自動地刪除電腦上的EXE、DLL、INI文件或用戶文件，造成部分軟件不能正常使用或使系統(tǒng)崩潰，這類木馬一旦進入系統(tǒng)會嚴重威脅數據的安全。

2)密碼發(fā)送型木馬這種木馬的目的是查找計算機中隱藏密碼并且在被攻擊者不知道的情況下把它們發(fā)送到指定的信箱或通過在線方式傳送給遠程的控制者。有人為了方便，喜歡把自己的各種密碼以文件的形式存放在計算機中，還有人為了減少輸入口令的麻煩而使用Windows提供的密碼記憶功能。但是許多黑客軟件可以尋找到這些文件，并把它們送到黑客手中。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。

3)遠程訪問型木馬這是目前最廣泛的木馬，只需有人運行服務端程序，如果客戶知道了服務端的IP地址，就可以實現遠程控制。它可以訪問被攻擊者的硬盤，甚至可以完成和本機一樣的任何事情，如著名的國產木馬軟件“冰河”就可以通過遠程訪問方式進行擊鍵記錄、鼠標和屏幕控制等。遠程訪問型木馬會在目標計算機上打開一個端口。一些木馬還可以改變端口的選擇以及設置連接口令，只讓攻擊者本人來控制。

4)鍵盤記錄木馬這種木馬非常簡單。它們只做一件事情，就是記錄被攻擊者的鍵盤敲擊并且在日志文件里查找密碼，這種木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，即分別記錄用戶在線和離線狀態(tài)下敲擊鍵盤時的按鍵情況，被攻擊者按過什么按鍵，木馬都有記錄。當然顯示為“*”的口令按鍵也不例外，在線狀態(tài)下通過網絡立即傳送過去，離線方式下就保存在被攻擊者的磁盤上等待被傳輸或等待用戶聯網時通過電子郵件方式傳送。

5)代理木馬黑客在入侵的同時掩蓋自己的足跡，防止別人發(fā)現自己的身份，會給被控制的計算機放置代理木馬，讓其變成黑客發(fā)動攻擊的跳板。

6)?FTP木馬這類木馬是最簡單和古老的木馬了，它的唯一功能就是打開21端口，等待用戶連接并具有完全的上傳和下載權限。現在新FTP木馬還加上了密碼功能，這樣，只有黑客本人才知道正確的密碼，進入對方的計算機。

4.3防火墻4.3.1防火墻的基本概念為了保障安全，當用戶與互聯網連接時，可以在中間加入一個或多個中介系統(tǒng)，防止非法入侵者通過網絡進行攻擊，并提供數據可靠性、完整性方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)。它通過監(jiān)測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況，以此來實現內部網絡的安全保護。“防火墻”是一種形象的說法，其實它是一種由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內部網絡和Internet之間的訪問控制。防火墻在被保護網絡和外部網絡之間形成一道屏障，使互聯網與內部網之間建立起一個安全網關(SecurityGateway)，如圖4-1所示，從而防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻已成為實現網絡安全策略最有效的工具之一，并被廣泛地應用到Internet上。圖4-1防火墻示意圖4.3.2防火墻的功能和組成

1．防火墻的功能通常，防火墻具有以下幾種功能：

(1)忠實執(zhí)行安全策略，限制他人進入內部網絡，過濾掉不安全服務和非法用戶。

(2)限定內網用戶訪問特殊站點，接納外網對本地公共信息的訪問。

(3)具有記錄和審計功能，為監(jiān)視互聯網安全提供方便。

2．防火墻分類防火墻的主要技術類型包括數據包過濾、應用代理服務器和狀態(tài)檢測防火墻。

(1)包過濾防火墻。數據包過濾(PacketFiltering)是指在網絡層對數據包進行分析、選擇。選擇的依據是系統(tǒng)內設置的過濾邏輯，稱為訪問控制表(AccessControlTable，ACL)。通過檢查數據流中每一個數據包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數據包通過。數據包過濾防火墻的優(yōu)點是速度快、邏輯簡單、成本低、易于安裝和使用，網絡性能和透明度好，被許多網絡公司所使用，其缺點是配置困難，容易出現漏洞，而且為特定服務開放的端口也存在著潛在危險。

(2)應用代理服務器。應用代理防火墻是第二代產品，應用代理服務技術能夠將所有跨越防火墻的網絡通信鏈路分為兩段，使得網絡內部的客戶不直接與外部的服務器通信。防火墻內外計算機系統(tǒng)間應用層的連接由兩個代理服務器之間的連接來實現。外部計算機的網絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統(tǒng)的作用。不過它的缺點也很明顯：執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。應用代理防火墻需要在一定范圍內定制用戶的系統(tǒng)，這取決于所使用的應用程序，而一些應用程序可能根本不支持代理連接。

(3)狀態(tài)檢測防火墻。狀態(tài)檢測防火墻又稱動態(tài)包過濾防火墻。狀態(tài)檢測防火墻在網絡層由一個檢查引擎截獲數據包并抽取出與應用層狀態(tài)有關的信息，并以此決定對該數據包是接受還是拒絕。檢查引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數據包進行檢查。一旦發(fā)現任何連接的參數有意外變化，該連接就被中止。狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，能夠根據協(xié)議、端口及源地址、目的地址的具體情況決定數據包是否可以通過。對每個安全策略允許的請求，狀態(tài)檢測防火墻啟動相應的進程，可以快速地確認符合授權流通標準的數據包，這使得其本身的運行很快。狀態(tài)檢測防火墻已經在國內外得到廣泛應用，這種防火墻唯一的缺點是狀態(tài)檢測可能造成網絡連接的某種遲滯，不過硬件運行速度越快，這個問題就越不易察覺。

3．防火墻的組成防火墻的組成可以表示為：防火墻?=?過濾器?+?安全策略(?+?網關)。

(1)數據包過濾器。數據包過濾器通常由路由器承擔。數據包過濾器在收到報文后，先掃描報文頭，檢查報文頭中的報文類型(TCP、UDP等)、源IP地址、目的IP地址和目的TCP/UDP端口等，然后將規(guī)則庫中的規(guī)則應用到該數據包頭上，以決定是將此數據包轉發(fā)出去還是丟棄。許多過濾器還允許管理員分別定義基于路由器上的數據包的出去界面和進來界面的規(guī)則，這樣能增強過濾器的靈活性。比如，可以拒絕所有從外部網進來并自稱是內部主機的數據包，防止來自外部網并使用偽造內部源地址的攻擊。過濾規(guī)則通常以表格的形式表示，其中包括以某種次序排列的條件和動作序列。當收到一個數據包時，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應的動作(轉發(fā)或丟棄)。有些數據包在實現過濾時，“動作”這一項還詢問，若數據包被丟棄是否要通知發(fā)送者(通過發(fā)ICMP消息)，并能以管理員指定的順序進行條件比較，直至找到滿足的條件。

(2)堡壘主機。一個應用層網關常常被稱作“堡壘主機”。它是一個專門的系統(tǒng)，有特殊的裝備，并能抵御攻擊。堡壘主機提供安全性的特點是：堡壘主機的硬件執(zhí)行一個安全版本的操作系統(tǒng)。例如，如果堡壘主機是一個Unix平臺，那么它執(zhí)行Unix操作系統(tǒng)的安全版本，其經過特殊的設計，避免了操作系統(tǒng)的脆弱點，保證防火墻的完整性。堡壘主機負責提供代理服務。

4.3.3代理服務(ProxyServer)防火墻簡介應用層網關使用代理服務(ProxyService)將通過防火墻的通信鏈路分為兩段：防火墻內外的計算機系統(tǒng)間的應用層鏈路由兩個終止于ProxyServer的“鏈路”來實現；外部計算機的網絡鏈路只能到達ProxyServer，從而實現企業(yè)內外計算機系統(tǒng)間的隔離區(qū)。代理服務防火墻如圖4-2所示。圖4-2代理服務防火墻示意圖所謂代理服務器，是指運行代理服務程序的機器。代理服務程序由兩部分構成：服務器端程序和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點代理服務器連接，代理服務器再與要訪問的真實服務器實際連接。與數據包過濾型防火墻不同，內部網與外部網之間不存在直接的連接，同時提供日志(Log)及審計(Audit)服務。代理服務強調，對外部客戶訪問內部網絡提供的服務時，必須通過代理。在堡壘主機上一般安裝有限的代理服務，如Telnet、DNS、FTP、SMTP以及用戶認證等。用戶在訪問代理服務之前堡壘主機可能要求附加認證。代理服務在安全性方面比數據包過濾器強，能防止防火墻遭到破壞，但在性能與透明性方面較差。每個代理都是一個簡短的程序，專門為網絡安全目的而設計。在堡壘主機上每個代理都與所有其他代理無關。如果任何代理的工作產生問題，或在將來發(fā)現脆弱性，只需簡單地將其刪除，不會影響其他代理的工作。代理服務器可采用雙宿主機(DualHomeGateway)、屏蔽主機(screenedHostGateway)、屏蔽子網(ScreenedSubnetGateway)三種體系結構。

1．雙宿主機網關如圖4-3所示，雙宿主機網關是在堡壘主機中插裝兩塊網絡接口卡，并在其上運行代理服務器軟件，受保護網絡與Internet之間不能直接進行通信，必須經過堡壘主機。因此，不必顯式地列出受保護網與外部網之間的路由，從而達到受保護網除了看到堡壘主機之外，不能看到其他任何系統(tǒng)的效果。同時堡壘主機不轉發(fā)TCP/IP通信報文，網絡中的所有服務都必須由此主機的相應代理程序來支持。圖4-3雙宿主機網關示意圖

2．屏蔽主機網關如圖4-4所示，屏蔽主機網關防火墻在配置時需要一個帶數據包過濾功能的路由器和一臺堡壘主機。常將堡壘主機設置在被保護網絡中，路由器設置在堡壘主機和Internet之間，這樣堡壘主機就是被保護網絡唯一可到達Internet的系統(tǒng)。

圖4-4屏蔽主機網關防火墻示意圖屏蔽主機網關防火墻系統(tǒng)提供的安全等級較高，因為它實現了網絡層安全(數據包過濾)和應用層安全(代理服務)，所以入侵者在破壞內部網絡的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。這種防火墻系統(tǒng)的優(yōu)點之一是提供公開的信息服務的服務器，如Web、FTP等，可以放置在由數據包過濾路由器和堡壘主機共享的網段上。如果要求有特別高的安全特性，可以讓堡壘主機運行代理服務，使得內部和外部用戶在與信息服務器通信之前，必須先訪問堡壘主機。如果較低的安全等級已經足夠，則將路由器配置成讓外部用戶直接去訪問公共的信息服務器。

3．屏蔽子網網關如圖4-5所示，屏蔽子網防火墻采用兩個包過濾路由器和一個堡壘主機，在受保護網與Internet之間有一個小型的獨立網絡，對這個屏蔽子網的訪問受到路由器過濾規(guī)則的保護。常將堡壘主機、信息服務器、Modem組以及其他公用服務器放在子網中。屏蔽子網中的主機是內部網和Internet都能訪問到的唯一系統(tǒng)，它支持網絡層和應用層安全功能。

圖4-5屏蔽子網網關防火墻示意圖外部路由器用于防范通常的外部攻擊(如源地址欺騙和源路由攻擊)，并管理Internet到屏蔽子網的訪問。它只允許外部系統(tǒng)訪問堡壘主機。內部路由器提供第二層防御，只接受源于堡壘主機的數據包，負責管理屏蔽子網到內部網絡的訪問。內部路由器管理內部網絡到屏蔽子網的訪問。內部系統(tǒng)只能訪問堡壘主機(還可能有信息服務器)，外面的路由器上的過濾規(guī)則要求使用代理服務，只接受來自堡壘主機的去往Internet的數據包。屏蔽子網網關防火墻系統(tǒng)的優(yōu)點如下：

(1)入侵者必須突破3個不同的設備(外部路由器、堡壘主機、內部路由器)才能侵襲內部網絡。

(2)由于外部路由器只能向Internet通告屏蔽子網的存在，Internet上的系統(tǒng)沒有路由器與內部網絡相對，保證內部網絡是“不可見”的。只有在屏蔽子網上選定的系統(tǒng)才對Internet開放(通過路由表和DNS信息交換)。

(3)由于內部路由器只向內部網絡通告屏蔽子網的存在，內部網絡上的系統(tǒng)不能直接通往Internet，這樣就保證了內部網絡上的用戶必須通過常駐在堡壘主機上的代理服務才能訪問Internet。4.3.4Windows系統(tǒng)防火墻

前面介紹的防火墻是一個網絡的防火墻系統(tǒng)，一般有條件的網絡環(huán)境都會安裝，除了使用這類防火墻外，個人計算機或服務器也可以根據防護需要安裝個人防火墻，這類防火墻一般是針對特定的使用進行防護的，因而可以更加有效。個人防火墻產品較多，基本上是以軟件形式實現的，WindowsXP和WindowsServer2003及以后的版本都默認安裝了防火墻，這些防火墻主要用于防護安裝有Windows系統(tǒng)的個人計算機或服務器計算機，保護單機的安全運行。內置于Windows操作系統(tǒng)的防火墻簡稱ICF(InternetConnectionFirewall)，也就是因特網連接防火墻。ICF是建立在個人計算機與因特網之間，它可以設置讓許可的數據通過、阻礙不允許訪問的數據，所以它在一定的程度上可以保護我們的個人計算機的安全。

ICF是狀態(tài)防火墻，主要監(jiān)視外部對本機的網絡資源的訪問，通過檢查外來的網絡請求與防火墻的設置規(guī)則，決定是否允許外部數據的進入，理論上它也可以設置內部程序訪問外部網絡的規(guī)則，即哪些程序可以與外部網絡通信，但在實際使用中，對外部程序的防護設置效果更好些。

1．Windows防火墻的啟用單擊“開始”主菜單，選擇“控制面板”命令，打開“Windows防火墻”，如圖4-6所示。默認情況下，防火墻是關閉的，選擇“啟用”，可以啟用防火墻。點擊“例外”標簽，如圖4-7所示，顯示在開啟防火墻后，哪些網絡訪問可以通過。默認只有“遠程協(xié)助”是開放的，“文件和打印機共享”在默認狀態(tài)是關閉的，所以要實現文件及打印機共享需要在防火墻中開放“文件和打印機共享”。

圖4-6啟用防火墻對話框

圖4-7例外選項對話框

2．修改訪問規(guī)則允許訪問范圍以修改允許訪問遠程桌面計算機范圍為例，勾選“遠程桌面”，并按“編輯”按鈕，如圖4-8所示，按“更改范圍”，如圖4-9所示。圖4-8“編輯服務”對話框圖4-9“更改范圍”對話框默認情況為“僅我的網絡(子網)”，也就是只有和當前計算機同網段(IP和子網掩碼按位進行“與”操作后結果相同)的計算機可以訪問?！叭魏斡嬎銠C(包括Internet上的計算機)”：任何能連通的計算機都可以訪問；“僅我的網絡(子網)”：和當前計算機同網段(IP和子網掩碼按位與后相同)的計算機可以訪問；“自定義列表”：可以指定一臺或多臺計算機訪問，通過掩碼可以一次指定多臺計算機，單臺計算機可以通過指定掩碼為55實現，計算機列表之間用逗號分割。如0/55，/55，表示IP為0的計算機和～55范圍內的計算機都可以訪問。

3．添加訪問服務以開放SQLServer2000為例，如果要開放其他計算機對SQLServer2000的訪問，選擇“添加端口”，如圖4-10所示，在名稱處輸入要添加端口的名稱(實際是注釋說明)，在端口號處輸入要添加的端口號，如要使SQLServer2000可以被其他計算機訪問，可用前面介紹的方法。圖4-10“添加端口”對話框

4．高級選項當計算機有多個可用的連接時，在高級選項中可以指定防火墻作用的連接，直接在可用的連接上勾選即可。如圖4-11所示，顯示的是“常規(guī)”和“例外”中的設置是為“本地連接”設置的。通過選項中的“設置”，還可以設置常用的服務項目，如圖4-12、圖4-13所示。圖4-11“高級選項”對話框圖4-12“高級服務設置”對話框圖4-13“高級ICMP設置”對話框如果要記錄被丟棄的包，則選中“記錄被丟棄的包(D)”復選按鈕。如果要記錄成功的連接，則選中“記錄成功的連接(C)”復選按鈕。如果要指定日志文件，則可在圖4-14所示“日志文件選項”下的“名稱(N)”輸入文件名，而且還可以限制文件可以使用的最大空間(通過設置“大小限制(S)”來實現)。

ICMP項：單擊“ICMP”選項卡，如圖4-15所示。通過選中某項限制，啟用該限制，清除該限制設置，停止使用該限制。建議禁止所有的ICMP響應。

圖4-14“日志設置”對話框

圖4-15“防火墻的ICMP設置”對話框

5．停止使用防火墻防火墻的停止使用非常簡單，只要在防火墻的常規(guī)項中(圖4-6)選擇“關閉(不推薦)”項即可，單擊“確定”完成設置。另外Windows防火墻的配置和狀態(tài)信息還可以通過命令行工具Netsh.exe獲得，可以在命令提示符窗口下輸入“netshfirewall”命令來獲取防火墻信息和修改防火墻設定。

4.4網絡故障檢測4.4.1網絡故障分類網絡故障是我們進行網絡操作的最常見的問題，任何一個網絡在其維護過程中總會遇到各種各樣的問題。掌握網絡故障的分類，各類故障常見的現象，解決的基本方法，以及如何發(fā)現故障的工作流程對我們迅速解決網絡中的故障是很有幫助的。按網絡故障的性質、網絡故障的對象或者網絡故障出現的區(qū)域等來劃分，網絡故障有不同的分類。

1．按照故障性質的不同分類按照故障的性質，網絡故障可分為物理故障與邏輯故障兩種。

1)物理故障物理故障也稱為硬故障，是指由硬件設備引起的網絡故障。硬件設備或線路損壞、不匹配、錯接、接觸不良、插頭松動、污染、線路受到嚴重電磁干擾等情況均會引起物理故障。物理故障一般可以通過觀察硬設備的運行指示燈或借助于儀器排除。除設備的錯誤連接等人為因素外，物理故障發(fā)生的概率相對要小一些。

2)邏輯故障邏輯故障也稱為軟故障，是指由軟配置或軟件錯誤等引起的網絡故障。接口中斷號、內存地址、DMA號配置錯誤和服務器故障、設備配置錯誤等情況均會引起邏輯故障。如路由器端口參數設定錯誤，或因路由器路由配置錯誤引起路由循環(huán)或找不到遠端地址，或路由掩碼設置錯誤等原因引發(fā)的故障即為邏輯故障。邏輯故障絕大部分表現為網絡不通，或者同一個鏈路中有的網絡服務通，有的網絡服務不通。邏輯故障的另一類就是一些重要進程或端口關閉，以及系統(tǒng)的負載過高。例如線路中斷，沒有流量，用Ping命令發(fā)現線路端口不通，檢查發(fā)現路由器該端口處于Down狀態(tài)，這就說明該端口已經關閉，因此導致故障。這時只需重新啟動該端口，就可以恢復線路的連通。還有一種常見情況是鏈路中某個路由器的負載過高，表現為路由器CPU的溫度太高、CPU利用率太高，以及內存剩余太少等。如果因此影響網絡服務的質量，那么最直接也是最好的辦法就是更換路由器。

2．按照故障出現的對象分類網絡故障可分為主機故障、路由故障和線路故障等幾類。

1)主機故障主機故障常見的原因就是主機配置不當。像主機IP地址與其他主機沖突、IP地址根本就不在子網范圍內、子網掩碼錯誤，或者驅動程序錯誤、服務程序錯誤等導致主機無法連通。主機的另一故障就是安全故障，主機因為安全防護的問題，也可能造成主機故障的表現。主機故障通常的后果是該主機與網絡不通或本主機提供的服務不能正常訪問。但是找出主機故障具體細節(jié)一般比較困難，特別是他人惡意的攻擊。一般可以通過監(jiān)視主機的流量，或掃描主機端口和服務來防止可能產生的漏洞。另外，還可以通過安裝防火墻等來減少主機的故障。

2)路由故障路由故障主要是由于路由器設置錯誤，路由算法自身的問題、路由器超負荷等問題導致網絡不通或時通時不通的故障。事實上，線路故障中很多情況都涉及路由器，因此，也可以把一些線路故障歸結為路由故障。

3)線路故障線路故障主要是由于線路老化、損壞、接觸不良和中繼設備故障等問題所致。線路故障最常見的情況就是不通，診斷這種情況首先應檢查該線路上流量是否存在?？梢杂^察線路兩端設備的指示燈狀態(tài)或者借助于專業(yè)設備，然后用Ping命令檢查線路遠端的路由器端口能否響應，用tracert命令檢查路由器配置是否正確，找出問題逐個解決。

4.4.2網絡故障檢測與排除的基本方法當網絡發(fā)生故障時，應能做到：

(1)必須盡可能快地找出故障發(fā)生的確切位置；

(2)將網絡其他部分與故障部分隔離，以確保網絡其他部分不受干擾繼續(xù)運行；

(3)重新配置或重組網絡，盡可能降低由于隔離故障后對網絡帶來的影響；

(4)修復或替換故障部分，將網絡恢復為初始狀態(tài)。網絡故障檢測是一門綜合性技術，涉及網絡技術的方方面面。網絡故障檢測應該實現三方面的目的：

(1)確定網絡的故障點，恢復網絡的正常運行；

(2)發(fā)現網絡規(guī)劃和配置中的欠佳之處，改善和優(yōu)化網絡的性能；

(3)觀察網絡的運行狀況，及時預測網絡通信質量。

1．故障檢測網絡故障檢測以網絡原理、網絡配置和網絡運行的知識為基礎，從故障現象出發(fā)。借助于網絡診斷工具確定網絡故障點；查找問題的根源，排除故障，恢復網絡正常運行。根據ISO定義的網絡7層標準(OSI)，網絡故障通常有以下幾種可能。

(1)物理層故障：主要由物理設備相互連接失敗或者硬件及線路本身的問題所致。

(2)數據鏈路層故障：主要由網橋(交換機)等接口配置問題所致。

(3)網絡層故障：主要由網絡協(xié)議配置或操作錯誤引起。

(4)傳輸層故障：主要由傳輸層設備性能或通信擁塞控制等問題引起。

(5)應用層故障：主要由應用層協(xié)議的不完善性、網絡應用軟件自身的缺陷等問題引起。故障檢測一般從底層向上層推進，首先檢查物理層，然后檢查數據鏈路層，以此類推，最終確定通信失敗的故障點。

2．常見故障檢測與排除的步驟排除網絡故障的過程類似于一個金字塔，在面積最大的底部是故障的癥狀，接下來是大量的故障原因和相關因素，在上部是排除該故障的特定手段。排除網絡故障基本上是個過濾信息和匹配癥狀的過程。常見故障檢測與排除步驟如圖4-16所示。圖4-16故障檢測與排除的步驟第1步，詳細記錄和分析網絡故障現象。在網絡運行期間，應始終詳細記錄網絡運行狀況，一旦出現故障，就應詳細分析故障的癥狀和潛在的原因。為此，要確定故障的具體現象，然后確定造成這種故障現象原因的類型。例如，主機不響應客戶請求服務，可能的故障原因是主機配置錯誤、接口卡故障或路由器配置命令丟失等。第2步，收集網絡故障發(fā)生前后的必要信息。故障發(fā)生前后用戶、網絡管理員、其他關鍵人物的操作和現象描述等對故障的定位起著關鍵的作用。下面列出應該收集的內容：故障現象出現期間，計算機正在運行什么進程(計算機正在進行什么操作)；這個進程以前是否運行過；以前這個進程的運行是否成功(以前運行過的話)；這個進程最后一次成功運行是什么時候；從這個進程最后一次成功運行至今，計算機發(fā)生了哪些變化。除了這些信息外，還應該廣泛地從網絡管理系統(tǒng)、協(xié)議分析跟蹤、路由器診斷命令的輸出報告或軟件說明書中收集有用的信息。

第3步，對故障可能出現的地方做出合理的全面的推測，根據相關情況排除故障不可能出現的原因，將故障原因縮至最小范圍。例如，根據Ping命令的結果可以排除硬件故障，那么就應該把注意力放在軟件原因上。應該考慮所有的細節(jié)，千萬不可匆忙下結論。第4步，根據最后確定的可能故障點，拿出一套完整的故障排除方案。比如：可以先從最容易引起此類故障的地方入手，看故障是否能排除。觀察設備指示燈來確定故障可能比別的方法都快，如觀察網卡、Hub、Modem、路由器面板上的LED指示燈。通常情況下，綠燈表示連接正常、紅燈表示連接故障，不亮表示無連接或線路不通。根據數據流量的大小，設備指示燈會時快時慢地閃爍。第5步，根據所列出的可能原因制定故障排查計劃，分析最有可能的原因，確定一次只對一個變量進行操作，這種方法使你能夠重現某一故障的解決辦法。如果有多個變量同時被改變，即使問題得以解決，那么如何判斷哪個變量導致了故障發(fā)生呢?如果故障無法排除，應盡量恢復到故障的原始狀態(tài)。第6步，詳細記錄故障排除過程。當最終排除了網絡故障后，流程的最后一步就是對所做的工作進行文字記錄，為以后故障定位和排除打好基礎。文檔化過程絕不是一個可有可無的工作，因為文檔是排錯的總結，是經驗判斷和理論分析這一過程中最重要的參考資料；同時文檔記錄了這次排錯中網絡參數所做的修改，也是下一次網絡故障應收集的相關信息。文檔記錄主要包括以下幾個方面：故障現象描述及收集的相關信息、網絡拓撲圖繪制、網絡中使用的設備清單和介質清單、網絡中使用的協(xié)議清單和應用清單、故障發(fā)生的可能原因，對每一可能原因制定的方案和實施結果，本次排錯的心得體會等。4.4.3網絡故障檢測的基本命令計算機網絡操作系統(tǒng)一般都會提供若干網絡程序用以協(xié)助網絡管理，這些程序以各種各樣的形式體現，其功能和使用方法也繁簡不一，通過這些程序，可以協(xié)助我們找到網絡故障，分析網絡的運行狀況。本節(jié)將敘述常用的故障檢測程序(命令)及用法。

1．ping命令

ping命令在檢查網絡故障中使用廣泛。它是一個連通性測試命令，可以測試端到端的連通性。使用格式是在命令行提示符下鍵入：

ping被測主機IP地址或被測主機名如果本機與被測主機連通，則返回應答信息(Replyfrom…)，否則，返回超時(Timeout)信息或其他故障信息(故障可能是網線不通、網絡適配器配置不正確、網絡連接被禁用或IP地址配置不正確等)。

1)?ping命令的用法格式：ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][-jhost-list]|[-khost-list][-wtimeout]目的IP地址常用參數說明如下：-t參數：不限制包的個數，即不停地發(fā)送請求包，直到用戶通過按“CTRL+C”組合鍵中斷。-a參數：將目標的機器名(網址)轉換為口地址，即地址解析功能。-ncount參數：要求ping命令連續(xù)發(fā)送數據包，直到發(fā)出并接收到count個請求。-lsize參數：發(fā)送緩沖區(qū)的大小，即發(fā)送包的字節(jié)個數，默認為32字節(jié)。-rcount參數：記錄包經過的路由器信息，count取1～9。注意：操作系統(tǒng)不同，提供的參數會有些不同。以上主要以Windows為準，如果是Linux，可查閱其相應的幫助文檔。

2)通過ping命令檢測網絡故障的典型次序正常情況下，當使用ping命令來查找問題所在或檢驗網絡運行情況時，需要使用許多ping命令，為此可以使用參數?-t。如果所有的都運行正確，就可以確定基本的連通性和配置參數沒有問題；如果某些ping命令出現運行故障，它也可以指明到何處去查找問題?，F假設某主機的IP地址為0，網關、DNS皆為54，此時發(fā)現出現了網絡連接故障，下面給出一個典型的檢測次序及對應的可能故障。

(1)先診斷是否是本機TCP/IP協(xié)議故障。在命令提示符下輸入ping，如果有應答，則說明本機TCP/IP協(xié)議安裝和運行正常。

(2)如果顯示Requesttimedout，則表示本機TCP/IP的安裝或配置存在某些故障。

(3)驗證網卡工作是否正常。在命令提示符下輸入ping0，如果有應答(Replyfrom…)，則說明網卡工作正常，如果顯示Requesttimedout，則表示本機IP配置或安裝存在問題。當然，如果同一網內另一臺計算機有相同的IP地址也會出現這種情況，可以斷開網絡電纜，然后重新發(fā)送該命令。如果網線斷開后本命令正確，則表示另一臺計算機配置了相同的IP地址。

(4)檢查網線是否連通。在網絡協(xié)議和網卡配置正確的情況下，檢測網線是否連通。在命令提示符下輸入ping局域網相鄰計算機IP，如ping0，如果有應答，則表明本機網線連通正常，如果顯示超時則表示網線故障，注意，這個測試是在局域網的配置正確的情況下，如果本機子網掩碼不正確、或被測主機網絡配置錯誤或其他問題，都可能造成測試超時。

(5)驗證DNS配置是否正確，連接在網絡中的計算機工作時，先通過DNS服務器將域名轉換成IP地址。如果看不到對應的IP地址，則表示DNS服務器的IP地址配置不正確或DNS服務器有故障。在命令行下輸入ping域名，如果有應答，則表明DNS設置正確，如果沒有應答，則可能的原因是DNS設置錯誤、DNS主機關機、域名不存在、域名主機沒有開機等，這時可以先通過ping命令測試DNS主機是否開機，再通過其他計算機與相同域名測試排除其他原因。

2．ipconfig命令

ipconfig命令可以顯示IP協(xié)議的具體配置信息，比如顯示網卡的物理地址、主機的IP地址、子網掩碼以及默認網關等，還可以查看主機名、DNS服務器、節(jié)點類型等相關信息。

1)?ipconfig命令的用法格式：

ipconfig參數參數：/???：顯示所有可用參數信息。/all：顯示所有的有關IP地址的配置信息。/batch[file]：將命令結果寫入指定文件。/releaseall：釋放網絡適配器參數。/renewall：重新設置網絡適配器參數。

2)?ipconfig命令的應用

ipconfig命令在查看動態(tài)TCP/IP參數及多網卡參數中作用較大，比如自動獲得IP、ADSL或VPN連接中動態(tài)建立的網絡連接參數等。同時，網絡IP地址沖突時IP地址的檢測也可以使用此命令，通過ipconfig提供的信息，還可以確定存在于TCP/IP屬性中的一些配置上的問題。例如使用“ipconfig/all”就可以獲取主機的詳細的配置信息，其中包括口地址、子網掩碼和默認網關、DNS服務器等信息。例如在命令提示符下輸入：ipconfig/all，這時會顯示如下信息：WindowsIPConfigurationHostName.............. :PC-00112PrimaryDnsSuffix....... :NodeType.............. :UnknownIPRoutingEnabled........ :NoWINSProxyEnabled...... :NoEthernetadapter本地連接:Connection-specificDNSSuffix.:Description........... :RealtekRTL8139FamilyPCIFastEthernetNICPhysicalAddress....... :00-26-55-39-CB-A8DhcpEnabled......... :NoIPAddress........... :62SubnetMask......... :DefaultGateway...... :DNSServers......... :00?02它表明了該主機的IP地址為62，MAC地址為00-26-55-39-CB-A8。子網掩碼為，缺省網關為，DNS服務器為00，同時它也能反映出計算機的名稱(HostName)為PC-00112。通過所獲知的信息，可以迅速判斷出網絡的故障所在。例如子網掩碼為時，則表示局域網中的IP地址可能有重復的現象存在；如果返回的本地IP地址顯示為169.254.X.X，子網掩碼為，則表示該IP地址是由WindowsXP自動分配的。這意味著TCP/IP未能找到DHCP服務器，或是沒有找到用于網絡接口的默認網關。如果返回的本地IP地址顯示為，則既可能是DHCP初始化失敗導致IP地址無法分配，也可能是因為網卡檢測到缺少網絡連接或TCP/IP檢測到IP地址有沖突而導致的。

3．netstat命令

netstat命令用于顯示與IP、TCP、UDP和ICMP協(xié)議(均是TCP/IP協(xié)議簇中的協(xié)議)相關的統(tǒng)計數據，一般用于檢驗本機各端口的網絡連接情況。例如顯示網絡連接、路由表和網絡接口信息，得知目前總共有哪些網絡連接正在運行。

netstat命令格式如下：

netstat[-a][-e][-n][-s][-pproto][-r][interval]

netstat命令主要用于網絡統(tǒng)計與診斷，現以主機名為PC-00120的主機為例來解釋常用參數如下：

-s參數：顯示每個協(xié)議的統(tǒng)計信息。默認情況下，顯示TCP、UDP、ICMP和IP的統(tǒng)計信息?？梢院蛥?p配合指定某個特定協(xié)議，也可以和參數-e配合顯示IP、ICMP、TCP和UDP協(xié)議的統(tǒng)計數據。如果網絡運行速度比較慢，或者不能顯示Web頁的數據，可以用參數-s來查看一下所顯示的信息。仔細分析故障的原因，找到出錯的關鍵，進而確定問題所在。帶-s參數的命令執(zhí)行后，將TCP、UDP、ICMP和IP協(xié)議的基本信息都顯示出來了，如接收了多少數據包，多少字節(jié)，有多少出錯，有多少TCP端口打開，有多少UDP端口打開等信息。

-a參數：以名字形式顯示所有連接和偵聽端口。

-n參數：以IP地址形式顯示地址和端口號(注意和-a的區(qū)別)。

-r參數：顯示路由表的信息。詳細顯示目的網絡經過哪個網關、接口等路由信息。

-e參數：顯示Ethernet接口統(tǒng)計數據。該參數可以與-s選項結合使用用于顯示關于以太網的統(tǒng)計數據。它列出的項目包括傳送的數據報的總字節(jié)數、錯誤數、刪除數、數據報的數量和廣播的數量。這些統(tǒng)計數據既有發(fā)送的數據報數量，也有接收的數據報數量。這個選項可以用來統(tǒng)計一些基本的網絡流量。

-proto參數：顯示由proto指定的協(xié)議的統(tǒng)計數據。proto可以是TCP或UDP，如果與-s選項一同使用可顯示每個協(xié)議的統(tǒng)計，proto可以是TCP、UDP、ICMP或IP。

interval參數：interval是以秒為單位的時間數。此參數使netstat命令以interval給定的時間間隔執(zhí)行，按“CTRL+C”組合鍵停止。例如每過30?s檢查一次計算機當前TCP連接的狀態(tài)，使用netstat30–ptcp，這樣netstat就會每30?s報告一次TCP端口的信息。

若接收錯和發(fā)送錯接近為零或全為零。網絡的接口無問題。但當這兩個字段有100個以上的出錯分組時就可以認為是高出錯率。高的發(fā)送出錯率表示本地網絡飽和或在主機與網絡之間有不良的物理連接：高的接收出錯率表示整體網絡飽和、本地主機過載或物理連接有問題，可以用ping命令統(tǒng)計誤碼率，進一步確定故障的程度。

4．nbtstat命令

nbtstat命令和netstat命令相近，只是它使用NBT(TCP/IP上的NetBIOS)顯示協(xié)議統(tǒng)計和當前TCP/IP連接。其命令格式如下：

nbtstat[-aRemoteName][-AIPaddress][-c][-n][-r][-R][-RR][-s][-S][interval]常用參數如下：

-aRemoteName參數：使用遠程計算機的名稱列出其名稱表。此參數可以通過遠程計算機的NetBIOS名來查看當前狀態(tài)。

-AIPAddress參數：使用遠程計算機的IP地址并列出名稱表。和參數-a不同的是-A使用IP，其實，-a就包括了-A的功能。

-c