【文章內(nèi)容簡(jiǎn)介】 迎 ”選項(xiàng)卡，單擊 “還原向?qū)?”按鈕，打開(kāi) “歡迎使用還原向?qū)?”對(duì)話框，單擊 “下一步 ”按鈕，打開(kāi) “還原項(xiàng)目 ”對(duì)話框，在此對(duì)話框中選擇要還原的文件或文件夾。然后，按向?qū)崾疽徊讲讲僮鳌?交換機(jī)端口交換機(jī)端口 MAC地址限制地址限制　　在用戶的局域網(wǎng)中，如果有非法用戶使用自帶的筆記本電腦連入網(wǎng)絡(luò)，并使用合法賬號(hào)上網(wǎng)，那么他就能竊取服務(wù)器的資料，甚至破壞服務(wù)器。這類問(wèn)題該如何杜絕呢？　　在交換機(jī)的端口限制 MAC地址，可以有效地防止非法用戶的入侵?！　∥覀冎?，計(jì)算機(jī)是通過(guò)網(wǎng)卡來(lái)訪問(wèn)網(wǎng)絡(luò)的，而每一塊網(wǎng)卡具有全球惟一的 MAC地址，就像每個(gè)人具有惟一的身份證號(hào)碼一樣。交換機(jī) “端口 MAC地址限制 ”是指在交換機(jī)上指定（可以是自動(dòng)學(xué)習(xí)，也可以是手工指定）能訪問(wèn)該端口的 MAC地址，可以是一個(gè)或多個(gè)地址，而在指定的 MAC地址范圍之外的網(wǎng)卡就不能通過(guò)該端口上網(wǎng)?！　∶總€(gè)工作站上網(wǎng)時(shí)，交換機(jī)在自己的內(nèi)存中查找所有被允許的 MAC，如果能夠匹配，交換機(jī)就允許該工作站上網(wǎng)，否則交換機(jī)自動(dòng)禁用該端口，使非法工作站無(wú)法上網(wǎng)?！　≡诨?Cisco IOS的 Catalyst交換機(jī)的在全局配置模式下，使用下面的命令可給端口設(shè)置靜態(tài) MAC地址。macaddresstable static MAC地址 vlan VLAN號(hào) interface 模塊號(hào) /端口號(hào)表 　　說(shuō)明：該命令可分配一個(gè)靜態(tài)的 MAC地址給某些端口，即使重新啟動(dòng)交換機(jī)，這個(gè)地址也仍然會(huì)存在。　　交換機(jī)不會(huì)去更新靜態(tài) MAC地址表項(xiàng)。默認(rèn)情況下，交換機(jī)的 MAC地址表項(xiàng)都是動(dòng)態(tài)的，會(huì)定期得到更新?！　≡谀扯丝谏显O(shè)置了靜態(tài) MAC地址后，該端口將只允許這個(gè) MAC地址對(duì)應(yīng)的設(shè)備連接在該端口上進(jìn)行通信?！　±纾?macaddresstable static vlan 1 interface fa0/1，就是在端口 1上設(shè)置一個(gè)靜態(tài)的 MAC地址?！　≡谔貦?quán)模式下，利用 show macaddresstable命令可查看 MAC地址表。 VLAN的設(shè)置的設(shè)置　　 VLAN概述　　虛擬局域網(wǎng)（ VLAN或 Virtual LAN）在邏輯上等于 OSI七層模型上第二層的廣播域，它與具體的物理網(wǎng)及地理位置無(wú)關(guān)。在傳統(tǒng)的共享局域網(wǎng)或者交換局域網(wǎng)環(huán)境中，整個(gè)網(wǎng)絡(luò)處于同一個(gè)廣播域中（即所謂的同一個(gè) LAN），這樣當(dāng)大量用戶發(fā)送廣播信息時(shí)容易形成廣播風(fēng)暴，使得整個(gè)網(wǎng)絡(luò)癱瘓。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個(gè)獨(dú)立的廣播域（LAN），由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高?！　±锰摂M網(wǎng)技術(shù)的這些特點(diǎn)將不同的部門或不同的應(yīng)用系統(tǒng)分配于不同的 VLAN之中，實(shí)現(xiàn)不同部門或不同應(yīng)用系統(tǒng)的邏輯隔離?！　?VLAN的功能及其劃分都是在支持 VLAN的交換機(jī)上通過(guò)網(wǎng)管軟件實(shí)現(xiàn)的，因此，用戶不僅可以方便地劃分 VLAN，以后還可以隨時(shí)修改 VLAN的配置。這給用戶的管理帶來(lái)極大的靈活性?！　√摂M網(wǎng)的劃分可以基于如下規(guī)則（ policy）：交換機(jī)端口、 IP地址和子網(wǎng)、網(wǎng)卡（ MAC）地址或者上述三種規(guī)則的組合?！　≡谝粋€(gè)交換的 VLAN環(huán)境下，數(shù)據(jù)包只在相同的廣播域中的端口之間才進(jìn)行交換。 VLAN在第 2層執(zhí)行網(wǎng)絡(luò)分區(qū)和通信量分離，所以，如果沒(méi)有像路由器這樣的第 3層設(shè)備， VLAN之間就不能通信，因?yàn)槭蔷W(wǎng)絡(luò)層（第 3層）設(shè)備負(fù)責(zé)在多個(gè)廣播域之間通信?！　《酚善鞯陌^(guò)濾或防火墻的功能可被用來(lái)對(duì)不同虛擬網(wǎng)間用戶的通信做逐項(xiàng)檢查，通信可以按照網(wǎng)絡(luò)管理人員的要求被允許或禁止，從而實(shí)現(xiàn)不同部門或不同應(yīng)用系統(tǒng)間的訪問(wèn)控制，提高了網(wǎng)絡(luò)的安全性。 VLAN的設(shè)置步驟　　以 Cisco的 Catalyst交換機(jī)為例，在每臺(tái)交換機(jī)上都要做以下類似的設(shè)置。　　 1．設(shè)置 VTP域名和模式　　在特權(quán)模式下鍵入 vlan database，開(kāi)始有關(guān)的設(shè)置?！　? vlan database　　 (vlan) vtp domain 域名 　　 (vlan) vtp {server | client | transparent}　　 (vlan) vtp pruning　　說(shuō)明：　　（ 1）這一步只在 VLAN要跨交換機(jī)時(shí)使用?！　。?2） VTP意為 VLAN Trunking Protocol，即VLAN主干協(xié)議，主要用于在交換機(jī)間傳遞 VLAN信息?！　。?3） VTP域只有在 server和 transparent模式下才可創(chuàng)建 VLAN，常用的為 server模式，這也是Catalyst交換機(jī)的默認(rèn)域模式?！　?2．將交換機(jī)之間的級(jí)連口 trunk打開(kāi)　　在級(jí)連口的端口配置模式下使用 switchport mode trunk命令，將級(jí)連口 trunk打開(kāi)?！　≌f(shuō)明：　　（ 1）這一步只在 VLAN要跨交換機(jī)時(shí)使用?！　。?2）在不同交換機(jī)上設(shè)置同一個(gè) VLAN時(shí)，他們的 VTP域名和 vlan號(hào) 必須相同?！　。?3） trunk端口屬于所有的 VLAN?！　?3．添加（創(chuàng)建） VLAN　　在特權(quán)模式下鍵入如下命令?！　? vlan database　　 (vlan) vlan vlan號(hào) [name vlan名 ]　　 4．添加端口到 VLAN中　　在端口配置模式下鍵入如下命令。(configif) switchport mode access(configif) switchport access vlan vlan號(hào) 　　 5． VLAN之間的路由設(shè)置　　在第 3層交換機(jī)中，由于 VLAN和路由模塊同處于一臺(tái)交換機(jī)中， VLAN相當(dāng)于路由器的直連網(wǎng)段，其路由信息會(huì)被直接收集到路由表中，所以 VLAN之間的路由無(wú)須人工配制，只要使用如下命令為每個(gè)要進(jìn)行數(shù)據(jù)路由的 VLAN對(duì)應(yīng)的 VLAN接口分配一個(gè)惟一的 IP地址，再將相應(yīng) VLAN中的各計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置為該 VLAN接口的 IP地址，即可實(shí)現(xiàn) VLAN之間的第三層通信?！　?(config) interface vlan vlan號(hào) 　　 (configif) ip address IP地址 子網(wǎng)掩碼 　　 (configif) no shutdown 訪問(wèn)控制列表訪問(wèn)控制列表　　路由器（或第三層交換機(jī)）上的訪問(wèn)控制列表（ Access Control List， ACL）功能可實(shí)現(xiàn)包過(guò)濾的功能。 ACL選擇路由器的端口作為控制點(diǎn)，檢查每一個(gè)進(jìn)出的數(shù)據(jù)包。 ACL是基于網(wǎng)絡(luò)層協(xié)議的，支持 IP、 IPX等多種協(xié)議。對(duì)于 IP， ACL可檢查 IP包的源地址、目的地址、 TCP和 UDP、 TCP和 UDP上的端口號(hào)等深層信息，提供了良好的控制能力?！　⊥ㄟ^(guò)交換機(jī)上 VLAN功能和路由器的 ACL功能的有機(jī)結(jié)合，可分離用戶中不同部門的不同應(yīng)用，保證用戶網(wǎng)的內(nèi)部訪問(wèn)安全性?！　“^(guò)濾功能可以控制控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸，通過(guò)包過(guò)濾可以限制網(wǎng)絡(luò)流量以及增加網(wǎng)絡(luò)安全性。包過(guò)濾功能對(duì)路由器本身產(chǎn)生的數(shù)據(jù)包不起作用。當(dāng)數(shù)據(jù)包進(jìn)入某個(gè)端口時(shí)，路由器首先檢查該數(shù)據(jù)包是否可以通過(guò)路由或橋接方式送出去，如果不能，則路由器將丟掉該數(shù)據(jù)包，如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過(guò)濾規(guī)則，如果包過(guò)濾規(guī)則不允許該數(shù)據(jù)包通過(guò)，則路由器將丟掉該數(shù)據(jù)包?！　?Cisco路由交換設(shè)備中有兩種方式的包過(guò)濾規(guī)則：　?。?1）標(biāo)準(zhǔn)包過(guò)濾。該種包過(guò)濾只對(duì)數(shù)據(jù)包中的源地址進(jìn)行檢查，在要求控制級(jí)別較低的情況下使用。　?。?2）擴(kuò)展包過(guò)濾。該種包過(guò)濾對(duì)數(shù)據(jù)包中的源地址、目的地址、協(xié)議及端口號(hào)都進(jìn)行檢查，常用在更加復(fù)雜的控制數(shù)據(jù)包的傳輸，它可以滿足到端口級(jí)的要求?！　∨渲冒^(guò)濾分為兩個(gè)步驟，先定義包（標(biāo)準(zhǔn)或擴(kuò)展）過(guò)濾規(guī)則，然后再引用包過(guò)濾規(guī)則。　　 1．定義標(biāo)準(zhǔn)包過(guò)濾規(guī)則　　在全局配置狀態(tài)下輸入如下格式的命令。　　 accesslist 標(biāo)識(shí)號(hào)碼 deny︱ permit 源地址 通配符 　　 2．定義擴(kuò)展包過(guò)濾規(guī)則　　在全局配置狀態(tài)下輸入如下格式的命令?！　?accesslist 標(biāo)識(shí)號(hào)碼 deny︱ permit 協(xié)議標(biāo)識(shí) 源地址 通配符 目地地址 通配符　　 Cisco路由交換設(shè)備中 accesslist規(guī)定的標(biāo)識(shí)號(hào)碼如下：　　 IP標(biāo)準(zhǔn)包過(guò)濾標(biāo)識(shí)號(hào)碼范圍為 1～ 99；　　 IP擴(kuò)展包過(guò)濾標(biāo)識(shí)號(hào)碼范圍為 100～ 199；　　可以在指定范圍內(nèi)任意選擇一個(gè)標(biāo)識(shí)號(hào)碼定義相應(yīng)的包過(guò)濾規(guī)則， deny參數(shù)表示禁止， permit表示允許?！　⊥ㄅ浞矠?32位二進(jìn)制數(shù)字，并與相應(yīng)的地址一一對(duì)應(yīng)。路由器將檢查與通配符中的 “0”（ 2進(jìn)制）位置一樣的地址位，對(duì)于通配符中 “1”（ 2進(jìn)制）位置一致的地址位，將忽略不檢查?！　∪绻獧z查的是一臺(tái)主機(jī)，通配符可寫為。通配符在書寫上也可看成是子網(wǎng)掩碼的反碼。在命令中地址和通配符的組合可使用 any代表匹配所有地址，使用 host ip地址 代表一臺(tái)主機(jī)，等同于 ip地址 。　　一個(gè)包過(guò)濾規(guī)則可以包含一系列檢查條件，即可以用同一標(biāo)識(shí)號(hào)碼定義一系列 accesslist語(yǔ)句，路由器將從最先定義的條件開(kāi)始依次檢查，如數(shù)據(jù)包滿足某個(gè)條件，路由器將不再執(zhí)行下面的包過(guò)濾條件，如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由交換設(shè)備默認(rèn)最后一句為 ACL中加入了deny any any，也就是丟棄所有不符合條件的數(shù)據(jù)包。　　 3．引用包過(guò)濾規(guī)則　　在需要包過(guò)濾功能的端口，輸入如下格式的命令。ip accessgroup 包過(guò)濾規(guī)則標(biāo)識(shí)號(hào) in︱ out　　其中 in表示對(duì)進(jìn)入該端口的數(shù)據(jù)包進(jìn)行檢查，out表示對(duì)要從該端口送出的數(shù)據(jù)包進(jìn)行檢查。如果不進(jìn)行步驟 3的配置，則所定義的包過(guò)濾規(guī)則根本不會(huì)執(zhí)行?！　±簶?biāo)準(zhǔn)包過(guò)濾配置　　在全局配置模式下，定義標(biāo)準(zhǔn)包過(guò)濾規(guī)則accesslist 10 deny host （或 accesslist 10 deny ）　　上面這條命令是將所有來(lái)自 數(shù)據(jù)包丟棄。accesslist 10 deny 　　上面這條命令是將來(lái)自 所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過(guò)濾丟棄。accesslist 10 permit any　　上面這條命令是允許其他任何地址的計(jì)算機(jī)進(jìn)行通信?！　∫冒^(guò)濾規(guī)則int vlan 1ip accessgroup 10 out　　在 VLAN 1中引用 10號(hào)包過(guò)濾規(guī)則，對(duì)從該端口送出的數(shù)據(jù)包進(jìn)行檢查?！　±簲U(kuò)展包過(guò)濾配置　　在全局配置模式下，定義擴(kuò)展包過(guò)濾規(guī)則accesslist 101 deny tcp eq 23　　上面這條命令是不允許主機(jī) tel應(yīng)用。accesslist 101 permit ip any any　　上面這條命令是允許其他任何地址的計(jì)算機(jī)進(jìn)行通信?！　∫冒^(guò)濾規(guī)則int s0/0ip accessgroup 101 in　　在 s0/0端口中引用 101號(hào)包過(guò)濾規(guī)則，對(duì)進(jìn)入該端口的數(shù)據(jù)包進(jìn)行檢查。 漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)　　漏洞是存在于系統(tǒng)中的一個(gè)弱點(diǎn)或者缺點(diǎn)。廣義的漏洞是指非法用戶未經(jīng)授權(quán)獲得訪問(wèn)或提高其訪問(wèn)層次的硬件或軟件特征?！　?shí)際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如 PC機(jī)的CMOS口令在 CMOS的電池供電不足、不能供電或被移走情況下會(huì)丟失 CMOS信息也是漏洞；操作系統(tǒng)、瀏覽器、 TCP/IP、免費(fèi)電子郵箱等都存在漏洞?！　∥④泴?duì)漏洞的明確定義： “漏洞是可以在攻擊過(guò)程中利用的弱點(diǎn)，可以是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或者配置不當(dāng)?shù)取?”　　每個(gè)系統(tǒng)都有漏洞，不論在系統(tǒng)安全性上投入多少財(cái)力，攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷?，F(xiàn)在，安全漏洞所引發(fā)的安全事件愈演愈烈，通過(guò)系統(tǒng)漏洞傳播的病毒、針對(duì)漏洞進(jìn)行的攻擊給我們?cè)斐闪司薮蟮钠茐模鴱V大用戶往往在病毒爆發(fā)之后或者安全事件出現(xiàn)之后才想到進(jìn)行漏洞的彌補(bǔ)，而此時(shí)損失已經(jīng)無(wú)法彌補(bǔ)?！　÷┒磼呙枋且环N自動(dòng)檢測(cè)計(jì)算機(jī)安全脆弱點(diǎn)的技術(shù)。掃描程序集中了已知的常用攻擊方法，針對(duì)系統(tǒng)可能存在的各種脆弱點(diǎn)進(jìn)行掃描，輸出掃描結(jié)果