网络安全管理实用经验

目录•制度管理•技术管理制度管理-认可度•要想实现制度管理，我认为，全校教职工对网络管理员的认可度至少重要，只有有了较强的认可度，推进信息化改革才能事半功倍。•我们经常听到这样的字眼：•1、我们是电工,啥子事都干，犯是带“电”的都归我们管；•2、干活的时候就想到我们，吃饭的时候就把我们忘了；…..•3、他们就是人，我们就不是人•……..制度管理-认可度•网络管理员如何提升自己在学校内的认可度？•1、作好常规•网络系统、音响系统、广播系统等常规管理费用•2、适时创新•办公系统、科创活动、无线投影模式、无线网络满覆盖无线投影•无线网络满覆盖•3、有效宣传•充分利用教工会、升旗仪式技术管理•教育专网管理教育专网管理对校级管理员而是较为简单的•1、管什么•管IP分配、管IP绑定•2、看什么•看性能、看流量•在此之前，要充分理解两个概念•1、NAT•2、ROUTE•NAT的概念：•NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。•NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）•ROUTE的概念：•ROUTE翻译为“路由”：是指通过相互连接的网络把信息从源地点移动到目标地点的活动。•两者最大的区别是，前者是伪装，后者是通道•所以，家用的ADSL等，使用都是NAT技术•整个教育专网使用的技术是：路由•针对校级管理员，如果有效的管理本校HILSTONE路由器和几种常见的方法，主要是：•1、看效能：•路由，即通道，原理上讲不需要伪装处理，对路由器的性能要求是非常低的。•2、管IP绑定•演示山石路由器部分功能•常用网络命令：•1、ipconfig•参数：all、flushdns、release、renew•2、ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具，是网络测试最常用的命令。ping向目标主机(地址)发送一个回送请求数据包，要求目标主机收到请求后给予答复，从而判断网络的响应时间和本机是否与目标主机(地址)联通。•命令格式:•pingip地址或主机名[-t][-a][-ncount][-lsize]•参数含义:•-t不停地向目标主机发送数据;•-a以ip地址格式来显示目标主机的网络地址;•-ncount指定要ping多少次，具体次数由count来指定;•-lsize指定发送到目标主机的数据包的大小。•3、tracert•tracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。命令功能同ping类似，但它所获得的信息要比ping命令详细得多，它把数据包所走的全部路径、节点的ip以及花费的时间都显示出来。该命令比较适用于大型网络。•命令格式:•tracertip地址或主机名[-d][-hmaximumhops][-jhost_list][-wtimeout]•参数含义:•-d不解析目标主机的名字;•-hmaximum_hops指定搜索到目标地址的最大跳跃数;•-jhost_list按照主机列表中的地址释放源路由;•-wtimeout指定超时时间间隔，程序默认的时间单位是毫秒。•4、netstat•netstat命令可以帮助网络管理员了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，例如显示网络连接、路由表和网络接口信息，可以统计目前总共有哪些网络连接正在运行。•利用命令参数，命令可以显示所有协议的使用状态，这些协议包括tcp协议、udp协议以及ip协议等，另外还可以选择特定的协议并查看其具体信息，还能显示所有主机的端口号以及当前主机的详细路由信息。•命令格式:•netstat[-r][-s][-n][-a]•参数含义:•-r显示本机路由表的内容;•-s显示每个协议的使用状态(包括tcp协议、udp协议、ip协议);•-n以数字表格形式显示地址和端口;•-a显示所有主机的端口号。•合理设置校园内无线路由器•1、教育专网里，是将无线路由器当作无线AP使用，所以需注意接线方式，不能接WAN口，同时，需关闭DHCP服务。一旦接WAN，使用模式则变为NAT工作模式，严重影响其效能•2、有交叉区域，最好不要试图通过SSID相同来实现自动漫游功能，想法是丰满的，效果是骨感的。命名规则可以为门牌号。如：cdgxsyzx-2503•3、注意区分胖AP与廋AP的设置•4、信道的设置保证两邻的无线设备不一样，无线路由器有13个信道，但完全不重复的信息有且只有3个。即1，6，11•5、带机量•5、模式•最新的路由器有5种工作模式，•其中默认是11bgnmixed。这种•模式的最大好处是传输速度快，•但最大缺点却是兼容性差•如：苹果一体机•6、无线网桥(WDS)•wds即无线分布式桥接功能为:无线路由器之间通过无线桥接延伸网络覆盖•实用对象：•1.多房间家庭，主路由器在A房间或客厅，B房间信号可以，C房间穿墙太多无线连接不上，可以在B房间放置一副路由与主路由桥接。•2.小区不同楼，相距300米以内（好的无线路由器500米）的不同楼，只要是无阻挡直线可视，即可用无线路由器的WDS功能，将两户的网络共享！•设置方法•主路由器A副路由器B•B的设置：•1、IP地址设置为：192.168.6.1.2•2、信道与A路由器保持一致,如：6•3、关闭DHCP•A路由器设置•1、启用DHCP•2、信道设置与B一样，如：6•3、开启WDS，并输入B路由器的相关连接信息•ARP终结者之PPPOE•PPPoE：以太网上的PPP（PPPoE：pointtopointprotocoloverEthernet）•在以太网上承载PPP协议（点到点连接协议），由于不使用TCP/IP协议，故可以从根本上解决ARP病毒之苦。•电信ADSL即为该方式•构建PPPOE如今也变得非常简单，常见的有ROUTEROS、海蜘蛛、SMOOTHWALL•PPPOE是帮忙检测内部网络故障的利器•演示使用ROS构建PPPOE•流量控制•1、必要性•2、基于每IP的控制•优点：简单，直观。缺点：事倍功半•3、基于协议和优先级的流量控制•优点：合理、性价比高缺点：协议分析较难•演示panabit•部署方式（网桥）•数据备份•1、举实例引入•2、必要性•3、程序开发常发思路及数据备份常规方案•4、优秀备份工具rsync介绍•何为rsync:•rsync是Unix/Linux系统中一款优秀高效的镜像同步和远程数据备份工具，它可以把本地文件拷贝到远程主机，或从远程主机拷贝文件到本地，也可以在本地的两个目录之间进行拷贝•rsync的命令格式可以为•1.rsync[OPTION]...SRC[SRC]...[USER@]HOST:DEST•2.rsync[OPTION]...[USER@]HOST:SRCDEST•3.rsync[OPTION]...SRC[SRC]...DEST•4.rsync[OPTION]...[USER@]HOST::SRC[DEST]•5.rsync[OPTION]...SRC[SRC]...[USER@]HOST::DEST•6.rsync[OPTION]...rsync://[USER@]HOST[:PORT]/SRC[DEST]•rsync有六种不同的工作模式：•1.拷贝本地文件；当SRC和DES路径信息都不包含有单个冒号“:”分隔符时就启动这种工作模式。•2.使用一个远程shell程序（如rsh、ssh）来实现将本地机器的内容拷贝到远程机器。当DST路径地址包含单个冒号“:”分隔符时启动该模式。•3.使用一个远程shell程序（如rsh、ssh）来实现将远程机器的内容拷贝到本地机器。当SRC地址路径包含单个冒号“:”分隔符时启动该模式。•4.从远程rsync服务器中拷贝文件到本地机。当SRC路径信息包含“::”分隔符时启动该模式。•5.从本地机器拷贝文件到远程rsync服务器中。当DST路径信息包含“::”分隔符时启动该模式。•6.列远程机的文件列表。这类似于rsync传输，不过只要在命令中省略掉本地机信息即可。•实例演示服务器端的配置与客户端的引用•客户端引用•Windows本机数据库备份脚本•Linux数据库备份脚本•时间允许情况下•1、虚拟云服务器•2、上网行为监控•谢谢，请多批评指正