要使小型办公室或家庭办公室中的多个计算机能通过Internet进行通信,每个计算机都必须有自己的公用地址。IP地址是有限的资源,为网络中数以亿计的主机都分配公用的IP地址是不可能的。因此,NIC为公司专用网络提供了保留网络IP专用的方案。这些专用网络ID包括:
? ? ?
子网掩码为255.0.0.0的10.0.0.0(一个A类的地址) 子网掩码为255.240.0.0的172.160.0.0(一个B类的地址) 子网掩码为255.255.0.0的192.168.0.0(一个C类的地址)
这些范围内的所有地址都称为专用地址。局域网(LAN)可根据自己的计算机的多少和网络的拓扑结构进行选择。
(2)公用地址
Internet使用TCP/IP协议,所有连入Internet的计算机必须有一个惟一合法的IP地址,它由Internet网络信息中心(简称NIC)分配。NIC分配的IP地址,称为公用地址或合法的IP地址。一般的单位或家庭由Internet服务提供商(ISP)处申请获得公用合法的IP地址,ISP向Inter NIC申请得到某一序列号IP地址,然后再租借给用户。 2.把局域网连接到 Internet有几种方法?
将局域网接入Internet有很多种方法。 (1)通过路由器连接到Internet。 (2)Internet连接共享(ICS)。 (3)通过NAT。
(4)通过代理服务器连接到Internet。 3. 网络地址转换NAT的功能是什么?
网络地址转换器NAT(Network Address Translator)位于使用专用地址的Intranet和使用公用地址的Internet之间。从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。这样在内网中计算机使用未注册的专用IP地址,而在与外部网络通信时使用注册的公用IP地址,大大降低了连接成本。同时NAT也起到将内部网络隐藏起来,保护内部网络的作用,因为对外部用户来说只有使用公用IP地址的NAT是可见的。
4. 简述地址转换的原理,即NAT的工作过程。
NAT地址转换协议的工作过程主要有以下四步: (1) 客户机将数据包发给运行NAT的计算机。
(2) NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,以便向客户机发送回答信息。
(3)外部网络发送回答信息给NAT。
(4)NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。 5.下列不同技术有何异同?
(1)NAT与路由的比较 ?
NAT可将大量未注册的网络内部的专用地址转换为个别的公用地址,降低了网络
17
成本。 ? ?
NAT提供了路由所不支持的网络安全性。
因为要进行地址转换,所以NAT要比路由占用更多的网络资源,并且不是支持所有的协议。
(2)NAT与代理服务器 ? ? ? ?
二者都提供地址转换功能且提供网络的安全性。
代理服务器需配置端口,且提供对客户访问数据的缓存功能。 (3)NAT与 Internet共享
NAT与Internet共享功能相同,只是Internet共享的配置简单。
Internet共享只适用于小型的网络。需要固定的内部IP地址、只能使用一个公用IP地址,只允许单个内部网络接口。
第15章 系统监测与性能优化
一、填空题:
1.任务管理器、事件查看器、性能工具、网络监视器
二、简答题:
1.简述任务管理器结束进程的步骤。 (1)可以使用多种方法启动任务管理器:
? 在任务栏空白处点右键,并在弹出的快捷菜单中选择“任务管理器”;
? 按组合键“Ctrl+Alt+Del”,并在弹出的“Windows安全”对话框中单击“任务管理
器”按钮;
? 使用快捷键“Ctrl+Shift+Esc”。
(2)启动任务管理器后,单击“进程”选项卡。
(3)在某进程上单击右键,选择“结束进程”或“结束进程树”。
2.如何安装和使用网络监视器?
要安装网络监视器,可以使用如下步骤。
(1)在控制面板中,打开“添加或删除程序”; (2)选择“添加/删除Windows组件”,打开Windows组件向导; (3)在“Windows 组件”向导中,单击“管理和监视工具”,然后单击“详细信息”; (4)在“管理和监视工具的子组件”对话框中,选中“网络监视工具”复选框,然后单击“确定”;
(5)如果系统提示您提供其他文件,插入操作系统的安装光盘,或输入指向网络上文件位置的路径。
安装完成后,可以在开始菜单的“程序”→“管理工具”中找到网络监视器。就可以监视网络通信了。
3. 简述性能优化的一般步骤。 (1)分析性能数据。
(2)决定计数器的可接受值。 (3)调整系统资源以优化性能。
18
4.如何优化系统资源? (1)优化内存。 (2)优化处理器。
(3)优化磁盘子系统。 (4)优化网络。
第16章 Windows Server 2003安全管理
一、简答题:
1.什么是本地安全策略?
在Windows Server 2003中,为了确保计算机的安全,允许管理员对本地安全进行设置,从而达到提高系统安全性的目的。Windows Server 2003对登录到本地计算机的用户都定义了一些安全设置。所谓本地计算机是指用户登录执行Windows Server 2003的计算机,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登录计算机、指派用户权限等。将这些安全设置分组管理,就组成了Windows Server 2003的本地安全策略。
2.如何设置本地安全策略?
Windows Server 2003在“管理工具”菜单提供了“本地安全设置”控制台,可以集中管理本地计算机的安全设置原则,使用管理员账户登录到本地计算机,即可打开“本地安全设置”控制台。
要控制台中,可以对“本地安全策略”中的“密码安全设置”、“账户锁定策略密码安全”、“用户权限分配”进行设置。 3.简述组策略的概念?
(1)组策略通常是系统管理员为加强整个域或网络共同的策略而设置并进行管理的。组策略会影响到用户账户、组、计算机和组织单位,它是存储在Active Directory中的配置,一个对象可能有多个组策略来创建动态环境。通过使用组策略,就可以利用其广泛特性,包括从安全锁定桌面到应用程序分发,从脚本处理到文件和文件夹复制。这个特性集能够用于帮助对其桌面需要最小控制的用户,还可以帮助登录到网络进行系统管理的系统管理员。
(2)组策略是配置的集合,可以把它应用到Active Directory中的一个或多个对象上,这些设置包含在组策略对象GPO(Group Policy Object)内。
(3)Windows Server 2003组策略(GP)应用程序层次通常首先是站点,其次是域,再次是OU。
4.试着创建一组策略对象,并将此组策略对象应用到Active Directory域中。
(自己做一下)
5.Windows Server 2003的审核策略包含哪几种?
Windows Servet 2003允许设置的审核策略,包括如下几项。
(1)审核策略更改:跟踪用户权限或审核策略的改变。
(2)审核登录事件:跟踪用户登录、注销任务或本地系统账户的远程登录服务。 (3)审核对象访问:跟踪对象何时被访问以及访问的类型。例如,跟踪对文件夹、文件、打印机等的使用。用对象的属性(如文件夹或文件的“安全”选项卡)可配置对指定事件的审核。
19
(4)审核过程跟踪:跟踪诸如程序启动、复制、进程退出等事件。
(5)审核目录服务访问:跟踪对Active Directory对象的访问。
(6)审核特权使用:跟踪用户何时使用了不应有的权限(超越了与登录或退出有关的权限)。
(7)审核系统事件:跟踪重新启动、启动或关机等的系统事件,或影响系统安全或安全日志的事件。
(8)审核账户登录事件:跟踪用户账户登录和退出。
(9)审核账户管理:跟踪某个用户账户或组是何时建立、修改和删除的,它是何时改名、启用或禁止的,其密码是何时设置或修改的。
6.试着更改几项审核策略,并在安全日志中查看相应的记录。
(自己做一下)
7.通过对默认安全模板(setup security.inf)的安全设置进行适当修改,创建为一个新的安全模板(newsecurity.inf),并将其策略导入到域的组策略对象中。
(自己做一下)
8.提高Windows Server 2003的安全可以从哪些方面着手?
(1)启用密码复杂性要求。提高密码的破解难度主要是通过采用提高密码复杂性、增加密码长度、提高更换频率等措施来实现,密码长度不宜太短。最好是字母、数字及特殊字符的组合,并且注意及时更换新密码。
(2)启用账户锁定策略。为了方便用户,Windows Server 2003系统在默认情况下并未启用密码锁定策略。此时,很容易遭受黑客通过自动登录工具和密码猜解字典进行的攻击,甚至可以进行暴力模式的攻击。账户锁定策略就是指定该账户无效登录的最大次数。例如,设置锁定登录最大次数为5次,这样只允许5次登录尝试。如果5次登录全部失败,就会锁定该账户。
(3)删除共享。通过共享来入侵一个系统是最为方便的一种方法。如果防范不严,最简单的方法就是利用系统隐含的管理共享。因此,只要黑客能够扫描到IP和用户密码,就可连接到共享上。因此,为了安全最好关掉所有的共享,包括默认的管理共享。下面给出如何关闭系统的默认共享的操作。
20