1、PAGE 遼 寧 工 業 大 學 實 訓 說 明 書（論 文）遼 寧 工 業 大 學 計算機網絡基礎 實訓報告題目： 學生寢室樓網絡規劃 院（系）: 專業班級： 學 號： 學生姓名： 指導教師： 教師職稱： 起止時間： 實訓任務及評語院（系）：軟件學院 教研室：網絡教研室學 號學生姓名專業班級實訓題目實訓任務實訓任務及要求：1、掌握基本網絡的組建方法2、掌握子網劃分的方法。3、了解WEB、FTP服務器的用途。實訓過程中，要嚴格遵守實訓的時間安排，聽從指導教師的指導。正確地完成上述內容，記錄實習日記，規范完整地撰寫出實訓報告。指導教師評語及成績成績： 指導教師簽字： 2009 年 7 月 8日遼

2、 寧 工 業 大 學 實 訓 說 明 書（論 文）PAGE 31目 錄第1章 實訓目的與要求11.1 實訓目的11.2 實訓環境11.3 實訓的預備知識11.4 實訓要求1第2章 實訓內容22.1網絡總體設計22.2網絡詳細設計42.3網絡管理軟件的應用8第3章 實訓日記18第4章 實訓總結19參考資料20第1章 實訓目的與要求1.1 實訓目的 本實訓要求學生能夠對網絡進行子網劃分，掌握WEB、FTP服務器的組建方法，了解WEB、FTP服務器的用途及測試方法。1.2 實訓環境 網絡環境下，多媒體計算機一臺（每人）。1.3 實訓的預備知識 該實訓安排在計算機網絡基礎課程結束后進行，學生已經掌握了

3、一定的網絡基礎知識。1.4 實訓要求實訓過程中，要嚴格遵守實訓的時間安排，聽從指導教師的指導。正確地完成上述內容，記錄實習日記，規范完整地撰寫出實訓報告。第2章 實訓內容2.1 網絡總體設計1、背景描述在大學校園中，自己出錢購買計算機的學生越來越多，一幢樓房或同一宿舍往往有很多臺計算機。隨著學生計算機技術水平的不斷提高，多臺計算機互連或共享上網成為宿舍網便應運而生，其主要特點有：使相鄰宿舍之間的多臺電腦連接成局域網，實現 HYPERLINK /incsearch/search.asp?key=%D7%CA%D4%B4 t _blank 資源共享。多臺電腦共享上網。各個宿舍或同學間進行信息交流，

4、提高學習效率?？梢詣摻ê凸芾鞡BS，電子郵件 HYPERLINK /incsearch/search.asp?key=%B7%FE%CE%F1%C6%F7 t _blank 服務器等。學習了電腦知識，豐富了網絡實踐經驗。通過這次寢室樓網絡的規劃，使學生能在寢室方便的使用個人計算機，通過學生寢室樓網絡的規劃，使同學們能夠在安全有序的環境中享受廣袤的網絡資源，這不但為學生的生活提供了很大的方便，也使他們在生活中增添了極大的樂趣。享受著信息時代提供的便利。也擴大了學生的視野，讓他們在學習和娛樂中懂得知識的無邊。帶著這種目的，我才開始進行了學生寢室樓網絡規劃的劃分，以達到2、網絡拓撲圖根據初步構思可以

5、畫出學生寢室樓網絡規劃拓撲圖，使其形成一個簡單的局域網，為同學的學習生活帶來方便。拓撲圖主要使用了防火墻、路由器、交換機、服務器等設備，使網絡有了一個大體的骨架，通過網線的連接則構成一個簡單實用的學生寢室網絡，從而為同學們帶來方便。如圖2.1所示：2.13、網絡拓撲說明由INTERNET進入校園網，由校園網進入寢室樓的網絡。校園網首先通過寢室樓網絡端口處的防火墻，以保證寢室樓內的網絡不受病毒和不安全因素干擾。通過路由器與服務器的鏈接，再與路由器，防火墻鏈接就可以形成一個簡單的學生寢室樓的網絡了。2.2網絡詳細設計1、ip分配1、ip分配網絡地址：4IP屬于C類: 2、因為網絡地址為4 子網掩碼

6、為，賓館要劃分出八個子區，因為8=8，所以劃分出8個子網就足夠滿足賓館的需求。新的子網掩碼為243、因此有效主機位為32，所以劃分出的8個子區為：1區IP為 452區IP為 673區IP為 8192.168.01094區IP為 10415區IP為 42732、設備選擇（1）交換機銳捷RG-S2724G特性， RG-S2724G是 HYPERLINK /Exchange/00717_1.html t _blank 銳捷網絡推出新一代高性價比全千兆網管 HYPERLINK /Exchange/00000_1.html t _blank 交換機，具有20 個10/100/1000 RJ45端口和4個

7、Combo (RJ45+SFP)千兆端口，極大的方便了用戶使用。RG-S2724G可以根據網絡的實際使用環境，實施靈活多樣的安全策略，有效防止和控制非法用戶接入和使用網絡，保證合法用戶合理化使用網絡資源，充分保障了網絡高效安全、網絡合理化使用和運營。RG-S2724G支持巨型幀，具有智能流分類，能提供完善的服務質量（QoS）保證，QoS策略能根據定義對每臺主機的數據流進行調度，提供整體化的服務等級設置，有效保證高優先級數據的轉發與帶寬。RG-S2724G以極高的性價比提供千兆到桌面及千兆到 HYPERLINK /Server/00000_1.html t _blank 服務器的接連，并且可以提

8、供端口聚合、VLAN、組播等應用，最大化滿足高速、高效、安全、智能的企業網新需求。如圖2.2（2）路由器RG-NBR1200是 HYPERLINK /Router/00717_1.html t _blank 銳捷網絡公司針對有多個出口的中型網吧推出的電信級寬帶 HYPERLINK /Router/00000_1.html t _blank 路由器。RG-NBR1200采用RISC架構高性能通訊專用網絡處理器。固化帶有2個百兆以太網WAN口，1個獨立的光模塊擴展插槽，插上模塊就提供了3個WAN口，4個百兆以太網LAN口，一個Console配置口。RG-NBR1200擁有先進的硬件

9、架構，出色的小包轉發能力。內置高性能 HYPERLINK /Firewall/00000_1.html t _blank 防火墻，具備防病毒、防攻擊能力。豐富的內網安全特性和智能的帶寬管理功能。人性化的WEB管理和監控界面。在網吧環境下，NBR1200的最大帶機數為250臺。1高速穩定的硬件架構采用PowerPC RISC高性能通訊專用網絡處理器，內嵌 HYPERLINK /Router/00717_1.html t _blank 銳捷網絡自主研發的RGNOS網絡操作平臺，提供電信級產品的高性能和高穩定性。支持硬件端口鏡像功能，不影響網絡性能，兼容常見信息監控過濾系統，并且監控口在提供監控功能

10、的同時，還可以繼續使用，不會影響任何功能。內置電信級寬頻開關 HYPERLINK /Power/00000_1.html t _blank 電源，具有防雷、防過壓、防浪涌設計，適應電壓不穩定場合。2靈活的內外網應用最多3個百兆WAN口，4個百兆LAN口，所有接口可自動識別網線和交叉線。支持VRRP熱備份協議和基于Ping/DNS的線路檢測，實現多臺設備、多條寬帶線路的負載均衡和線路備份。支持基于目的地址或源地址的負載均衡和強大精細化的策略路由。支持電信網通自動選路功能，實現“電信數據自動走電信線路，網通數據自動走網通線路”。支持南方、北方選路策略，實用效果更好。支持采用NAT或公網模式（路由模

11、式）上網。公網模式下，依然支持基本IP限速和彈性帶寬限速功能，依然具備防ARP欺騙和防DDoS攻擊等安全特性。支持端口映射和DMZ功能，輕松搭建內網 HYPERLINK /Server/00000_1.html t _blank 服務器。支持GRE的VPN功能；支持L2TP/PPTP的VPDN應用；在NAT應用下，支持L2TP/PPTP的穿透功能。3內置高性能 HYPERLINK /Firewall/00000_1.html t _blank 防火墻支持標準和擴展ACL（訪問控制列表），可根據指定的IP地址范圍、端口范圍進行數據包的檢測和過濾，可靈活調整 HYPERLINK /Firewall

12、/00000_1.html t _blank 防火墻規則順序。支持專家ACL和時間ACL。支持域名過濾，阻斷對非法、惡意網站的訪問。支持內外網防攻擊和防IP/端口掃描，可防御目前幾乎所有類型的攻擊，如：SYN flood，UDP flood，ICMP flood，Smurf/Fraggle攻擊，分片報文攻擊等。同時可記錄攻擊主機的地址信息，定位攻擊源；也可將內網攻擊主機列入黑名單，禁止其上網功能，硬件過濾攻擊報文，不占用 HYPERLINK /CPU/00000_1.html t _blank CPU資源。如圖2.32.3（3）網線普通網線即可，要根據實際需要，選擇不同質量的網線（4）個人計算

13、機也可以按照實際需要來配置所需的計算機3、設備調試（1）交換機配置命令模式用戶模式 Switch 特權模式 Switch# 全局模式 Switch(config) 端口模式 Switch(config-if)VLAN配置模式 Switch(config-vlan)GXJ-081407098配置交換機telnet過程：Switchenable 進入特權模式Switch#configure terminal 進入全局模式Switch (config)#interface vlan 1 進入交換機管理接口配置模式Switch (config-if)#no shutdown 開啟交換機管理端口Swit

14、ch (config-if)#ip address 配置交換機管理接口IP地址。Switch (config-if)#endSwitch(config)#enable secret level 1 0 star ！配置遠程登陸密碼 Switch (config)#enable secret level 15 0 star ！配置進入特權模式密碼在PC機上TELNET管理交換機：如圖2.4（2）Routerenable 進入特權模式Router# configure terminal ！進入全局配置模式Router(config)# interface fastethernet 1/0 ！進入路

15、由器接口配置模式Router(config-if)# ip address ！配置路由器管理接口IP地址Router(config-if)# no shutdown ！開啟路由器f 1/0接口Router(config)#show ip interface fastethernet 1/0 ！驗證接口fastethernet 1/0的IP地址已經配置和開啟Router(config)# line vty 0 4 ！進入路由器線路配置模式Router(config-line)# login ！配置遠程登錄Router(config-line)# password star ！設置路由器遠程登錄密

16、碼為 “star” Router(config-line)#endRouter(config)# enable secret star ！設置路由器特權模式密碼為 “star” 或者 Router(config)# enable password star查看配置文件show version ！查看版本及引導信息show running-config ！查看運行配置show startup-config ！查看用戶保存在NVRAM中的配置文件保存配置文件Router#copy running-config startup-config TELNET管理路由器如圖2.5在主機DOS命令行下輸入：

17、 telnet ，如圖2.6輸入telnet密碼和特權密碼即可進入到路由器的配置界面。4、網絡安全安全，而且還包含政治和道德安全，或者說網絡環網絡安全的概念和內涵不僅包含病毒侵入、邏輯炸彈、黑客攻擊、信息泄漏等信息境健康。以實際行動把互聯網站建設成為傳播先進文化的陣地、虛擬社區的和諧家園。當前網絡保護要有足夠的安全設置，打上最新的操作系統補丁，啟用防火墻，安裝殺毒軟件，不要訪問任何釣魚網站等等，確保個人電腦不被黑客入侵。如果發現有被入侵的異常情況，應該在第一時間內斷開網線，然后再進行檢測和修復。2.3網絡管理軟件應用學生寢室樓網絡規劃管理學生寢室樓網絡規劃管理包括對硬件、軟件和人力的使用、綜合

18、與協調，以便對網絡資源進行監視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網絡的一些需求，如實時運行性能、服務質量等。學生寢室樓網絡規劃管理常簡稱為網管。學生寢室樓網絡規劃管理，是指學生寢室樓網絡規劃管理員通過學生寢室樓網絡規劃管理程序對網絡上的資源進行集中化管理的操作，包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等。一臺設備所支持的管理程度反映了該設備的可管理性及可操作性。而交換機的管理功能是指交換機如何控制用戶訪問交換機，以及用戶對交換機的可視程度如何。通常，交換機廠商都提供管理軟件或滿足第三方管理軟件遠程管理交換機。一般的交換機滿足SNMP MIB I / MI

19、B II統計管理功能。而復雜一些的交換機會增加通過內置RMON組（mini-RMON）來支持RMON主動監視功能。有的交換機還允許外接RMON探監視可選端口的網絡狀況。常見的學生寢室樓網絡規劃管理方式有以下幾種：（1）SNMP管理技術（2）RMON管理技術（3）基于WEB的學生寢室樓網絡規劃管理SNMP是英文“Simple Network Management Protocol”的縮寫，中文意思是“簡單學生寢室樓網絡規劃管理協議”。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由

20、器管理問題而提出的。SNMP是目前最常用的環境管理協議。SNMP被設計成與協議無關，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的傳輸協議上被使用。SNMP是一系列協議組和規范（見下表），它們提供了一種從網絡上的設備中收集學生寢室樓網絡規劃管理信息的方法。SNMP也為設備向學生寢室樓網絡規劃管理工作站報告問題和錯誤提供了一種方法。目前，幾乎所有的網絡設備生產廠家都實現了對SNMP的支持。領導潮流的SNMP是一個從網絡上的設備收集管理信息的公用通信協議。設備的管理者收集這些信息并記錄在管理信息庫（MIB）中。這些信息報告設備的特性、數據吞吐量、通信超載和錯誤等。MIB有公共的

21、格式，所以來自多個廠商的SNMP管理工具可以收集MIB信息，在管理控制臺上呈現給系統管理員。通過將SNMP嵌入數據通信設備，如交換機或集線器中，就可以從一個中心站管理這些設備，并以圖形方式查看信息。目前可獲取的很多管理應用程序通?？稍诖蠖鄶诞斍笆褂玫牟僮飨到y下運行，如Windows3.11、Windows95 、Windows NT和不同版本UNIX的等。一個被管理的設備有一個管理代理，它負責向管理站請求信息和動作，代理還可以借助于陷阱為管理站提供站動提供的信息，因此，一些關鍵的網絡設備（如集線器、路由器、交換機等）提供這一管理代理，又稱SNMP代理，以便通過SNMP管理站進行管理。學生寢室樓

22、網絡規劃管理是計算機網絡的關鍵技術之一，尤其在大型計算機網絡中更是如此。學生寢室樓網絡規劃管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行，并在計算機網絡運行出現異常時能及時響應和排除故障。 關于學生寢室樓網絡規劃管理的定義目前很多，但都不夠權威。一般來說，學生寢室樓網絡規劃管理就是通過某種方式對網絡進行管理，使網絡能正常高效地運行。其目的很明確，就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行，當網絡出現故障時能及時報告和處理，并協調、保持網絡系統的高效運行等。國際標準化組織（ISO）在ISO/IEC7498-4中定義

23、并描述了開放系統互連（OSI）管理的術語和概念，提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為，開放系統互連管理是指這樣一些功能，它們控制、協調、監視OSI環境下的一些資源，這些資源保證OSI環境下的通信。通常對一個學生寢室樓網絡規劃管理系統需要定義以下內容： 1 系統的功能。即一個學生寢室樓網絡規劃管理系統應具有哪些功能。 2 網絡資源的表示。學生寢室樓網絡規劃管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個學生寢室樓網絡規劃管理系統必須在系統中將它們表示出來，才能對其進行管理。 3學生寢室樓網絡規劃管理信息的表示。學生寢室樓

24、網絡規劃管理系統對網絡的管理主要靠系統中學生寢室樓網絡規劃管理信息的傳遞來實現。學生寢室樓網絡規劃管理信息應如何表示、怎樣傳遞、傳送的協議是什么?這都是一個學生寢室樓網絡規劃管理系統必須考慮的問題。即學生寢室樓網絡規劃管理系統的結構是怎樣的。 4 系統的結構（1）WEB防火墻網絡架構和部署：雙臂代理模式理模式是Web應用防火墻部署種的最佳模式。這個模式也是拓撲過程中推薦的模式，能夠提供最佳的安全性能。 在此模式中，所有的數據端口都將被開啟；端口eth1是對外的，直接面向因特網的端口；端口eth2將會和內部的設備（交換機等）進行連接，是面向內部的。管理端口可以被分配到另一個網段，我們推薦將管理數

25、據和實際的流量分離，避免因為實際流量和管理數據的沖突。 工作特點：基于應用層的檢測，同時又擁有基于狀態的網絡防火墻的優勢 對應用數據錄入完整檢查、HTTP包頭重寫、強制HTTP協議合規化，杜絕各種利用協議漏洞的攻擊和權限提升。預期數據的完整知識(Complete Knowledge of expected values)，防止各種形式的SQL/命令注入，跨站式腳本攻擊。實時策略生成及執行，根據您的應用程序定義相應的保護策略，而不是千篇一律的廠家預定義防攻擊策略，無縫的砌合您的應用程序，不會造成任何應用失真。入侵檢測軟件應用。入侵的檢測主要還是根據應用來進行，提供了相應的服務就應該有相應的檢測分

26、析系統來進行保護，對于一般的主機來說，主要應該注意以下幾個方面: 1.基于80端口入侵的檢測 WWW服務大概是最常見的服務之一了，而且由于這個服務面對廣大用戶，服務的流量和復雜度都很高，所以針對這個服務的漏洞和入侵技巧也最多。對于NT來說，IIS一直是系統管理員比較頭疼的一部分，不過好在IIS自帶的日志功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日志文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。 我們假設一臺WEB服務器，開放了WWW服務，你是這臺服務器的系統管理員，已經小心地配置了IIS，使用W3C擴展的日

27、志格式，并至少記錄了時間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query)，協議狀態(Protocol Status)，我們用最近比較流行的Unicode漏洞來進行分析:打開IE的窗口，在地址欄輸入:/scripts/.%c1% 1c./winnt/system32/cmd.exe?/c+dir默認的情況下你可以看到目錄列表，讓我們來看看IIS的日志都記錄了些什么，打開Ex010318.log(Ex代表W3C擴展格式，后面的一串數字代表日志的記錄日期):07:42:58 GET /scripts/./winnt

28、/system32cmd.exe /c+dir 200上面這行日志表示在格林威治時間07:42:58(就是北京時間23:42:58)，有一個家伙(入侵者)從的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為“”，實際的情況會因為Windows版本的不同而有略微的差別)運行了cmd.exe，參數是/c dir，運行結果成功(HTTP 200代表正確返回)。 大多數情況下，IIS的日志會忠實地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊，這個我們以后再討論)。但是，IIS的日志動輒數十兆、流量大的網站甚至數十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日志分析軟件，用任何語言

29、編寫一個日志分析軟件(其實就是文本過濾器)都非常簡單。 告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的命令:find “Global.asa” ex010318.log /i。這個命令使用的是NT自帶的find.exe工具，可以輕松的從文本文件中找到你想過濾的字符串，“Global.asa”是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關于這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。 無論是基于日

30、志分析軟件或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞(比如“+.htr”)以及未來將要出現的漏洞可能會調用的資源(比如Global.asa或者cmd.exe)，通過過濾這張不斷更新的字符串表，一定可以盡早了解入侵者的行動。需要提醒的是，使用任何日志分析軟件都會占用一定的系統資源，因此，對于IIS日志分析這樣低優先級的任務，放在夜里空閑時自動執行會比較合適，如果再寫一段腳本把過濾后的可疑文本發送給系統管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略復雜，我建議還是用C寫一個專用程序會比較合算。 2.基于安全日志的檢測 通過基于IIS日志的入侵監測，我們能

31、提前知道窺伺者的行蹤(如果你處理失當，窺伺者隨時會變成入侵者)，但是IIS日志不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據我對IIS日志系統的分析，IIS只有在一個請求完成后才會寫入日志，換言之，如果一個請求中途失敗，日志文件中是不會有它的蹤影的(這里的中途失敗并不是指發生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數據時異常中斷)，對于入侵者來說，就有可能繞過日志系統完成大量的活動。 而且，對于非80 Only的主機，入侵者也可以從其它的服務進入服務器，因此，建立一套完整的安全監測系統是非常必要的。 Win2000自帶了相當強大的安

32、全日志系統，從用戶登錄到特權的使用都有非常詳細的記錄，可惜的是，默認安裝下安全審核是關閉的，以至于一些主機被黑后根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核并沒有完全解決問題，如果沒有很好的配置安全日志的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上

33、述情況的出現。 除了安全日志，系統日志和應用程序日志也是非常好的輔助監測工具，一般來說，入侵者除了在安全日志中留下痕跡(如果他拿到了Admin權限，那么他一定會去清除痕跡的)，在系統和應用程序日志中也會留下蛛絲馬跡，作為系統管理員，要有不放過任何異常的態度，這樣入侵者就很難隱藏他們的行蹤。 3.文件訪問日志與關鍵文件保護 除了系統默認的安全審核外，對于關鍵的文件，我們還要加設文件訪問日志，記錄對它們的訪問。 文件訪問有很多的選項:訪問、修改、執行、新建、屬性更改一般來說，關注訪問和修改就能起到很大的監視作用。例如，如果我們監視了系統目錄的修改、創建，甚至部分重要文件的訪問(例如cmd.exe，

34、net.exe，system32目錄)，那么，入侵者就很難在不引起我們注意的情況下安放后門。要注意的是，監視的關鍵文件和項目不能太多，否則不僅增加系統負擔，還會擾亂日常的日志監測工作。關鍵文件不僅僅指的是系統文件，還包括有可能對系統管理員和其他用戶構成危害的任何文件，例如系統管理員的配置、桌面文件等等，這些都是有可能被用來竊取系統管理員資料和密碼的。 4.進程監控 進程監控技術是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的。作為系統管理員，了解服務器上運行的每個進程是職責之一(否則不要說安全，連系統優化都沒有辦法做)。做一份每臺服務器運行進程的列表非常必要，能幫助管

35、理員一眼就發現入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程。除了進程外，dll也是危險的東西，例如把原本是exe類型的木馬改寫為dll后，使用rundll32運行就比較具有迷惑性。 5.注冊表校驗 一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發現入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值(比如Run、Runonce等等)，查找起來是相對容易的，但是對于可以自己編寫或改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工查找就沒有可能了。應對的方法是監控注冊表的任何改動，這樣改寫注冊表的木馬

36、就沒有辦法遁形了。監控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監控軟件加上定期對注冊表進行備份，萬一注冊表被非授權修改，系統管理員也能在最短的時間內恢復。 6.端口監控 雖然說不使用端口的木馬已經出現，但是大部分的后門和木馬還是使用TCP連接的，監控端口的狀況對于由于種種原因不能封鎖端口的主機來說就是非常重要的了。對于系統管理員來說，了解自己服務器上開放的端口甚至比對進程的監控更加重要，常常使用netstat查看服務器的端口狀況是一個良好的習慣，但是并不能24小時這樣做，而且NT的安全日志有一個缺陷，喜歡記錄機器名而不是IP，如果你既沒有防火墻又沒有入侵檢測軟件，倒是可以用

37、腳本來進行IP日志記錄的，看著這個命令：netstat -n -p tcp 10Netstat.log，這個命令每10秒鐘自動查看一次TCP的連接狀況，基于這個命令我們做一個Netlog.bat文件：time /tNetstat.log Netstat -n -p tcp 10Netstat.log。這個腳本將會自動記錄時間和TCP連接狀態，需要注意的是：如果網站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日志文件將越來越大，所以請慎之又慎。7.終端服務的日志監控 單獨將終端服務(Terminal Service)的日志監控分列出來是有原因的，微軟Win2000服務器版中自帶的終

38、端服務Terminal Service是一個基于遠程桌面協議(RDP)的工具，它的速度非?？?，也很穩定，可以成為一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠像本機一樣操作遠程服務器。雖然很多人都在使用終端服務來進行遠程管理，但是，并不是人人都知道如何對終端服務進行審核。大多數的終端服務器上并沒有打開終端登錄的日志。其實打開日志審核是很容易的，在管理工具中打開遠程控制服務配置(Terminal Service Configration)，點擊“連接”，右擊你想配置的RDP服務(比如RDP-TCP Microsoft R

39、DP 5.0)，選中書簽“權限”，點擊左下角的“高級”，看見上面那個“審核”了么?我們來加入一個Everyone組，這代表所有的用戶，然后審核它的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗就足夠了。審核太多了反而不好，這個審核是記錄在安全日志中的，可以從“管理工具”“日志查看器”中查看。建立一個bat文件，叫做TSLog.bat。這個文件用來記錄登錄者的IP，內容如下：time /t TSLog.log netstat -n -p tcp find “:3389”TSLog.logstart Explorer。我來解釋一下這個文件的含義：第一行是記錄用戶登錄的時間，time /t

40、的意思是直接返回系統時間(如果不加/t，系統會等待你輸入新的時間)，然后我們用追加符號“”把這個時間記入TSLog.log作為日志的時間字段；第二行是記錄用戶的IP地址，netstat是用來顯示當前網絡連接狀況的命令，-n表示顯示IP和端口而不是域名、協議，-ptcp是只顯示tcp協議，然后我們用管道符號“”把這個命令的結果輸出給find命令，從輸出結果中查找包含“3389”的行(這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數值也要作相應的更改)。最后我們同樣把這個結果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，記錄格式如下：22:40 TCP

41、8:3389 23:4903ESTABLISHED 22:54 TCP8:338 9:1039ESTABLISHED 也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢?我們知道，終端服務允許我們為用戶自定義起始的程序，在終端服務配置中，我們覆蓋用戶的登錄腳本設置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執行這個腳本，因為默認的腳本(相當于shell環境)是Explorer(資源管理器)，所以我在TSLog.bat的最后一行加上了啟動Explorer的命令start Explorer。如果不

42、加這一行命令，用戶是沒有辦法進入桌面的!當然，如果你只需要給用戶特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統管理員，你完全可以自由發揮你的想象力、自由利用自己的資源，例如，寫一個腳本把每個登錄用戶的IP發送到自己的信箱，對于重要的服務器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務設置的權限，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了。不過，需要注意的是這只是一個簡單的終端服務日志策略，并沒有太多的

43、安全保障措施和權限機制。如果服務器有更高的安全要求，那還是需要通過編程或購買入侵監測軟件來完成的。 入侵監測的初步介紹就到這里，在實際運用中，系統管理員對基礎知識掌握的情況直接關系到他的安全敏感度，只有身經百戰知識豐富，仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子，未雨綢繆，阻止入侵的行動。360安全衛士軟件安裝一、 在保存下載軟件的路徑中找到你所下載的軟件，雙擊圖標進行安裝。注意：若下載的軟件是.EXE的安裝文件,則可以直接進行安裝；若下載文件是RAR的壓縮文件，先進行解壓縮后，再進行安裝。解壓縮的方法是（如下圖）：右鍵點擊文件后，選擇解壓文件。如果您還沒有安裝解壓縮文件而無

44、發解壓文件，請先 HYPERLINK /soft/23.html t _blank 下載解壓縮文件安裝。如圖2.12. 1二、 選擇“我同意該許可協議條款”后，進行下一步安裝。如圖2.2 2. 2三、 選擇軟件安裝的盤符，通常選擇D盤最為我們軟件的安裝盤符。選擇“下一步”安裝。 如圖2.32.3四、 軟件安裝過程，此過程會需要1-2分鐘的時間。如圖2.4 2.4五、 安裝完成，確認后退出安裝程序。如圖2.5 2. 5(2)計費管理(accounting management) 計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用戶使用網

45、絡資源可能需要的費用和代價,以及已經使用的資源。學生寢室樓網絡規劃管理員還可規定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。 (3)配置管理(configuration management) 配置管理同樣相當重要。它初始化網絡、并配置網絡,以使其提供網絡服務。配置管理 是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是為了 實現某個特定功能或使網絡性能達到最優。這包括: a)設置開放系統中有關路由操作的參數 b)被管對象和被管對象組名字的

46、管理 c)初始化或關閉被管對象 d)根據要求收集系統當前狀態的有關信息 e)獲取系統重要變化的信息 f)更改系統的配置 (4) HYPERLINK /view/642701.htm t _blank 性能管理(performance management) 性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息,并維持和分析性能日志。一些典型的功能包括: a)收集統計信息 b)維護并檢查系統狀態日志 c)確定自然和人工狀況下系

47、統的性能 d)改變系統操作模式以進行系統性能管理的操作 (5) HYPERLINK /view/297227.htm t _blank 安全管理(security management) 安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),授權(authentication)(防止侵入者在網絡上發送錯誤信息),訪問控制(控制訪問控制(控制對網絡資源的訪問)。相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。包括: a)創建

48、、刪除、控制安全服務和機制 b)與安全相關信息的分布 c)與安全相關事件的報告學生寢室樓網絡規劃管理中的關鍵 網絡迅速發展，導致網絡結構更為復雜；網絡應用的日新月異，讓學生寢室樓網絡規劃管理員每天都要面對新的問題。很多企事業單位，在遇到網絡問題不知道應該如何去解決，看流量，拔網線等手段，排查周期長，也很難真正找出問題。 網絡發展到一定階段，必然要考慮到網絡性能、網絡故障與網絡安全性問題。只有通過運用網絡分析技術對網絡流通數據的清晰認識，才能為故障的排查，性能的提升，以及網絡安全的解決提供可靠的數據.第3章 實訓日記時間任務第1單元分組及公布實訓題目，布置任務第2-3單元通過網絡或圖書獲得所采用

49、技術的功能第4-6單元通過網絡或圖書獲得所采用技術的詳細步驟及相關代碼第7-8單元實驗室調試所采用的技術并抓圖第9-10單元根據總體設計劃出拓撲圖（可上網查詢）第10-12單元根據拓撲圖對所用設備，材料的選擇并預算，并生成表格（需上網查詢）第13-14單元查詢與實訓相關資料，準備論文內容第15-16單元生成實訓說明書（論文）第4章 實訓總結在大學校園中，自己出錢購買計算機的學生越來越多，一幢樓房或同一宿舍往往有很多臺計算機。隨著學生計算機技術水平的不斷提高，多臺計算機互連或共享上網成為一種時尚，隨著學生上網的需求越來越大，所以我才著手這個學生宿舍寢室樓網絡規劃。首先我通過上網、去圖書館查閱了大

50、量的資料，通過請教老師和同學積累了不少關于計算機網絡的知識。通過一段時間的準備工作后，才開始著手學生寢室樓的網絡劃分。我先是按照實際情況和實際條件畫出了網絡規劃的大致草圖，然后才開始著手進行實際的工作之中。在進行劃分的時候遇到了不少的問題，就這樣在我做做停停的情況下，經歷了好長時間才完成了這個學生寢室樓網絡規劃。在畫出拓撲圖以后，我開始劃分IP、選購設備沒，并且根據實際情況，運用了防火墻、交換機、服務器、路由器等大型的設備，使其構成一個簡單的網絡。整個網絡通過交換機、路由器、服務器的使用，使其具備了普通網絡所擁有的功能和作用。在網絡規劃中，我不但應用了大型硬件設施，還有各種安全軟件，使自己的計

51、算機網絡有一個比較安全，穩定的環境。讓其在這種安全穩定的環境之中發揮了最大的效益。也是它構成一個簡單的局域網絡。在此次網絡劃分中，我還運用了集中網絡管理辦法，使網絡管理員更簡單、方便的管理整個寢室樓內的網絡通過這次寢室樓網絡的規劃，使學生能在寢室方便的使用個人計算機，通過學生寢室樓網絡的規劃，使同學們能夠在安全有序的環境中享受廣袤的網絡資源，這不但為學生的生活提供了很大的方便，也使他們在生活中增添了極大的樂趣。享受著信息時代提供的便利。也擴大了學生的視野，讓他們在學習和娛樂中懂得知識的無邊?？傊?，這次的實訓給予了我不同的學習方法和體驗，讓我深切的認識到實踐的重要性。此次課設使我對計算機網絡劃分

52、有了更深刻理解和認識，也充分的證明了自己對這一學科知識的掌握還不夠熟練，因此在以后的學習過程中，我會更加注重自己的操作能力和應變能力，多與這個社會進行接觸，讓自己更早適應這個陌生的環境. 參考資料1 駱耀祖. 計算機網絡實用教程. 機械工業出版社,2005年1月2 張金菊, 孫學康. 現代通信技術. 人民郵電出版社，2005年3月3 姚幼敏. 組網技術實訓教程. 華南理工大學出版社，2005年9月4 張金菊 孫學康. 現代通信技術. 人民郵電出版社. 2005年3月5 吳功宜.計算機網絡教程.電子工業出版社,2003年7月6 李勁. Windows 2000 Server網絡管理手冊. 中國青

53、年出版社, 2001年7 王相林.網技術與配置. 北京:清華大學出版社，2003年8 石碩. 計算機組網技術. 北京:機械工業出版社，2003年9 蔣先華等. 校園網絡組建與應用. 北京:科學出版社, 2003年10 宋利軍. RedHat Linux9.0實用教程. 北京:科學出版社, 2003年11 東方人華, 倪文志，杭志等. 局域網組建、配置與管理入門與提高. 北京:清華大學出版社,2003年12 劉敏涵, 王存祥. 計算機網絡技術. 西安:西安電子科技大學出版社,2003年13 楊云江. 計算機與網絡安全實用技術. 清華大學出版社， 2007 年14 吳企淵等.計算機網絡. 清華大學

54、出版社， 2004 年 1 月15 閆宏生. 計算機網絡安全與防護. 電子工業出版社， 2007 年 8 月附錄資料：從 XML 生成可與 Ajax 共同使用的 JSON時下，非常流行使用 JavaScript 代碼為數據驅動的 Web 應用程序添加互動性。若能將數據編碼成 JavaScript Object Notation（JSON）的格式，您就可以更輕松地通過 JavaScript 語言使用它。通過本文，發掘使用 XSLT V2 從 XML 數據生成 JSON 的幾種不同方法。幾年前，許多開發人員很看好 XML、XSLT、Extensible HTML （XHTML）和其他一些基于標記的

55、語言?，F在，Asynchronous JavaScript and XML（AJAX）成了新的熱點，人們又將目光轉向了使用 JavaScript 代碼的數據驅動的富 Internet 應用程序。但是開發人員是否已經消除了 XML 和這一新技術之間的鴻溝呢？當然，您可以在 Web 客戶機中使用 XML 解析器來讀取數據，但這種做法會帶來兩個問題。第一，出于安全方面的原因，XML 數據只能從與此頁面相同的那個域中讀取。這雖然不是什么大的限制因素，但它的確會引起部署方面的問題，還會阻礙 DHTML 小部件的創建。第二，讀取和解析 XML 會非常慢。另一種做法是讓服務器執行 XML 的解析工作，方法是

56、設置服務器，使之向瀏覽器發送以 JavaScript 代碼或時下流行的 JavaScript Object Notation（JSON）編碼的數據。本文將展示如下三種使用 XSLT V2 語言和 Saxon XSLT V2 處理器從 XML 數據生成 JSON 的技巧： 簡單編碼 通過函數調用加載數據 編碼對象 JSON 簡介要學習如何將數據編碼成 JSON（它只是 JavaScript 的一個子集），最好的方法是從數據開始。清單 1 顯示了書籍列表的一個示例 XML 數據集。清單 1. 基本的圖形化圖書館 Code Generation in Action JackHerrington Ma

57、nning PHP Hacks JackHerrington OReilly Podcasting Hacks JackHerrington OReilly 這個數據集很簡單，只包含三本書，每本書都具有惟一的 ID、書名、作者姓名及出版商的名字。（沒錯，我只選擇了我自己的書作為數據集，但能怨我嗎？這些書實在是不可多得的節日和生日禮物。）清單 2 顯示了這些數據在 JSON 中的效果。清單 2. JSON 中的示例數據集 id: 1, title: Code Generation in Action, first: Jack, last: Herrington, publisher: Manni

58、ng , . 方括號 () 表明這是一個數組。大括號 () 則表明這是一個散列表，該散列表由一組名稱和值對組成。在本例中，我創建了一個散列表的數組 用來存儲這類結構式數據的一種常見方法。另外一點值得注意的是字符串是通過單引號或雙引號被編碼的。所以，如果我想用單引號編碼 OReilly，我就必須使用反斜杠對它進行轉義：OReilly。 這讓我編寫的這個 XSLT 樣式表更為有趣了一些。我并未在本例中放上任何日期，但您也可以通過如下兩種方法來編碼日期。第一種方法是將日期作為字符串，該字符串必須在后面被解析。第二種方法是將日期作為一個對象，比如：publishdate: new Date( 2006

59、, 6, 16, 17, 45, 0 )這段代碼將 publishdate 的值設置為6/16/2006 5:45:00 p.m.。簡單編碼接下來我將陸續介紹 JSON 編碼的幾種技巧。第一種也是其中最簡單的一種，此樣式表如 清單 3 所示。清單 3. simple.xsl 樣式表 var g_books = 1, id: ,name: ,first: ,last: ,publisher: ;要理解此樣式表，不妨先來看一下 清單 4 所示的輸出。清單 4. simple.xsl 的輸出var g_books = id: 1,name: Code Generation in Action,fir

60、st: Jack,last: Herrington,publisher: Manning, id: 2,name: PHP Hacks,first: Jack,last: Herrington,publisher: OReilly, id: 3,name: Podcasting Hacks,first: Jack,last: Herrington,publisher: OReilly;這里，我將名為 g_books 的變量設置為一個包含三個散列表的數組，每個散列表包含關于該書的信息。再回過頭來看看 清單 3，您會發現第一個模板匹配 / 路徑，它也是首先應用到輸入數據集的模板，該模板使用 for