网络基础应用培训(VPN-防毒篇)

网络基础应用平台网络通讯室2009年04月24日学习目的：了解公司计算机网络基础架构；熟练掌握防病毒技术；熟练掌握VPN应用计算机网络定义是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统第一讲：网络基础架构第二讲：防病毒第三讲：VPN应用第一讲：网络基础架构网络拓朴图桌面基础架构服务器基础架构2007.01宁波钢铁园区网络拓扑结构4506450635503550450645063550WorksIDSEventView3560综合办公大楼轧炼钢大楼焦化厂水处理大楼3745DMZPIX53565096509网管中心服务器及ERP群总降机房3560热轧卷库无线１２＃行车１３＃行车１５＃行车１４＃行车１６＃行车１７＃行车　基站AA　基站BB　基站CC3550炼钢机房2007.01网络性能介绍可扩展性可用性灵活性可管理性安全性2007.01可扩展性、灵活性采取模块化设计可以根据网络的需求变化而变化。可在不影响现有网络运行的状况下，迅速扩展。在我们提供的园区网络方案中，整个园区网络设计中分为InternetLayer、CoreLayer、DistributionLayer、AccessLayer和AdministrationLayer。每个模块可以进行独立设计，可根据不同需求、规模、及业务发展状况进行改进、取舍。我们的园区网络解决方案中采用的设备均可灵活提供多种接口2007.01InternetLayer3745DMZPIX53565096509CoreLayer450645063550DestributeLayerAccessLayer2007.01可用性高可用性是园区网络成功的关键。针对园区网络方案，其可用性设计包括网络设备本身的冗余能力、网络的冗余。关键设备均采用电信级全冗余，可实现模板热拔插、冗余电源设计、风扇冗余。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术-在不同层次可提供增值冗余，分布层采用HSRP实现高效、负载均衡的双机备份。采用FEC(FastEthernetChannel)、GEC(GigabitEthernetChannel)实现网络连接点对点、及与服务器连接的高效、负载均衡的冗余功能。2007.0135504506450635503550450645063550WorksIDSEventView35603745DMZPIX53565096509HSRPRedundancyHSRPHSRP2007.01可管理性对于一个园区网络而言，运行管理的成功与否是园区网络是否成功的标志，而网络的可管理性是园区网络运行管理成功的基础。我们可提供多种优化的可管理信息。CiscoWorks2000可以做到对网络的拓扑管理（包括物理拓扑和vlan管理）、资产管理、用户管理、流量检测及路径检测。Works提供最直观的图形化界面，让网络管理员在最短的时间内定位问题发生点。2007.01安全性对物理空间的安全控制及网络的安全控制。Stateful的防火墙保障网络流量的安全。基于硬件处理可实现线速的安全控制。在关键应用处的入侵检测机制。IDS可以侦测到网络中潜在的攻击及病毒威胁，并提醒管理员。对用户接入处的严格的安全限定。如无线加密实现DHCPSnooping防止恶意或意外地将非授权DHCPServer连接到网络，造成网络IP冲突、瘫痪。应用实例如何查看IP地址内网FTP服务器怎么打开内网、ERP如何打开如何连接打印机桌面基础架构PC生命周期运行着大量在线数据的计算机产品的生命周期正在逐渐缩短，简而言之，能够满足企业需要的计算机淘汰速度正在增快，这势必为企业资源带来极大的浪费。所谓计算机生命周期，是用户在商务环境下开发并建设IT系统的不同阶段，其中包括计划（plan）、部署（deploy）、管理（manage）和退役重组（retire）。它们是IT系统建立和管理的基础，也是所有用户所必须经历的阶段PC生命周期首先是Plan（规划）环节，该环节作为整个产品生命周期系统的开始，涉及到设计方案、市场需求分析以及采购策略等环节其次是Deploy（实施）环节。该部分主要包括软件安装、配置以及硬件的兼容性等等PC生命周期PC生命周期的Manage（管理）环节。它包括资产信息支持、管理支持、故障排除支持、控制优化以及产品升级换代等六个部分生命周期的最后一个环节是资源的Retire（退役重组）。其主要目的是确定产品的更新换代。它包括系统资源的重新识别、保留和管理三个部分标准镜像部署SUS（微软更新服务器）：针对部份微软应用软件的漏洞补丁镜像，如Office、SQLServer、Exchange和硬件驱动程序在内的Microsoft产品的升级更新的支持WSUS：所有微软产品的漏洞补丁镜像SMS:所有微软产品的漏洞补丁镜像,操作系统远程安装和重启的控制桌面虚拟化一块硬盘可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上。常见的虚拟化软件VMM（VirtualMachineMonitor，虚拟机监视器），对硬件的依赖性比较强CPU的虚拟化技术，一种硬件虚拟方案，大大提高虚拟机性能IT管理自动化如今，企业的业务绩效与IT管理间的联系越来越紧密，IT系统早已被看作企业的生产系统之一。但同时，客户的需求正变得更加个性化和易变，企业都在致力于为客户提供真正按需分配的IT服务，由此，对服务背后的IT基础设施的高可用性和灵活响应提出了更高要求对于越来越复杂的IT基础架构，将纯粹的人工操作变为一定程度的自动化管理是一个重要发展趋势。IT管理自动化目的：降低成本、加快响应速度、减低风险伴随国际金融危机的影响逐步扩大，很多企业没有像以前那样有宽裕的IT预算了，如今的现实选择，更多的是考虑如何提高现有资源的利用率，从而降低成本。总结：用最少的人干越来越多的事，提高效率，提高岗位价值桌面安全你的电脑安全吗？桌面安全针对日益严重的内部信息泄漏问题，FBI对484家公司调查显示：面对来自于公司内部的安全威胁，85%的安全损失是由企业内部原因造成的内网安全的新趋势是网络防护与端点防护并重对于这些来自公司内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的桌面安全建立桌面计算机安全管理系统的意义：１.通过批量设置计算机的安全保护措施提高桌面计算机的安全性，及时更新桌面计算机的安全补丁，减少被攻击的可能；２.实现动态安全评估，实时评估计算机的安全状态及其是否符合管理规定，例如：评估计算机的网络流量是否异常、是否做了非法操作(拨号上网、安装游戏软件等)、安全设置是否合理等；３.批量管理设置计算机，例如：进行批量的软件安装、批量的安全设置等；桌面安全4.防止外来电脑非法接入，避免网络安全遭受破坏或者信息泄密；5.确保本单位的计算机使用制度得到落实，例如：禁止私自更改IP地址，禁止使用外部邮箱，禁止访问非法网站，禁止将单位机密文件复制、发送到外部等；6.出现安全问题后，可以对有问题的IP/MAC/主机名等进行快速的定位；7.实现计算机的资产管理和控制服务器基础架构当谈到服务器的时候，我们应该怎么理解基础架构（infrastructure）的含义呢？作为企业IT支撑平台，在大多数情况下，服务器并不是以单机形态工作，管理员往往会以不同群组区分它们：不同类型、不同功能、可扩展性集群等，然后将它们有机组织起来提供支持，以便使它们更好地一起协同工作。所以，基础架构的含义不仅包括把服务器按照各种方式组织起来，而且包含所提供的支持它们正常运行的工具。也就是说，要使得服务器基础架构运行，管理员必须首先把服务器以正确的方法装配起来，然后监测它们的运行状况、管理它们的服务第二讲：防病毒病毒原理病毒传播途径病毒预防病毒原理引言：随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。每年世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。原理：所谓计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自80年代莫里斯编制的第一个蠕虫病毒程序至今，世界上已出现了多种不同类型的病毒，对网络安全威胁较大的主要有以下几种：病毒类型普通病毒（computervirus）一种会“传染”其它程序的程序，“传染”是通过修改其它程序来把自身或其变种复制进去完成的。很多电子邮件病毒都属此类，如著名的“爱神”（love）病毒和“梅莉莎”病毒。计算机蠕虫（computerworm）一种通过网络的通信功能将自身从一个节点发送到另一个节点并启动之的程序。这种病毒虽然不会破坏你的计算机数据和硬件，但是它不断扩散，与正常程序展开计算机时间的争夺战，成千上万的计算机变得越来越慢，最后陷于瘫痪。（例如：熊猫烧香、爱情后门、威金蠕虫、worm_downad）病毒类型特洛伊木马（Trojanhorse）一种程序，能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。如一个编译程序除了编译任务以外，还把用户的源程序偷偷地拷贝下来，则这种编译程序就是一种特洛伊木马。如：TROJ_IFRAME.CP,TROJ_GEN.2Z1911S，GenericTrojan等逻辑炸弹（logicbomb）一种当运行环境满足某种特定条件时执行其它特殊功能的程序。如一个编辑程序，平时运行得很好，但当系统时间为13日又为星期五时，它删去系统中所有的文件，这种程序就是一种逻辑炸弹。由一个台湾学生制造的CIH病毒也属此类，因为它每月26日（尤其是3月26日）都会发作，恶毒地改写你的BIOS。问题：计算机管理员通常讲某台电脑中了“恶意软件、流氓软件“，他们属于病毒吗？病毒与恶意软件区别“流氓软件”[恶意软件]是介于病毒和正规软件之间的软件。同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件流氓软件分类根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：1、广告软件（Adware）定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。流氓软件分类2、间谍软件(Spyware)定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐