Download
1 / 31
310 likes | 425 Views
“ 全区系统安全服务 ” 推广培训. 顺德教育信息中心 http://www.sdedu.net. 孙家炜 电话: 0757-22333879 QQ : 226799785. 培训内容大纲. “ 教育城域网”的整体结构,与学校连接,网络安全控制; 如何更好地使用“教育城域网”; 常见网络问题检测简述; 如何获取可升级的 Windows 系统; 重点内容: WSUS 服务的安装、使用; 重点内容:集中式趋势防病毒软件的安装和使用; 相关知识和资源的获取;. 培训完后必须完成的任务.
E N D
“全区系统安全服务”推广培训 顺德教育信息中心 http://www.sdedu.net 孙家炜 电话:0757-22333879 QQ:226799785
培训内容大纲 • “教育城域网”的整体结构,与学校连接,网络安全控制; • 如何更好地使用“教育城域网”; • 常见网络问题检测简述; • 如何获取可升级的Windows系统; • 重点内容:WSUS服务的安装、使用; • 重点内容:集中式趋势防病毒软件的安装和使用; • 相关知识和资源的获取;
培训完后必须完成的任务 • 所有电脑必须完成WSUS服务的安装和完成操作系统补丁的升级。 • 除使用了正版且为网络版的杀毒软件的学校外,任何使用盗版杀毒软件、或者单机版杀毒软件、或者没有安装杀毒软件的电脑,必须安装趋势防病毒软件。 • 在指定截止日期前,填写和提交校园网所有电脑的MAC地址、IP地址和用户姓名对应表——《全区系统安全服务安装登记表》。 • 填写并提交《全区系统安全服务培训效果问卷》
“教育城域网”的整体结构介绍,如何和各学校连接“教育城域网”的整体结构介绍,如何和各学校连接 • “教育城域网”整体结构; • 1、“教育城域网”、“教育网”、“教育信息网”、“教育信息中心”在概念上的区别; • 2、270多所学校共享1000兆带宽与“教育城域网”相连; • 3、 “教育城域网”与佛山信息中心、顺德区政府均有光纤专线连接; • 4、 “教育城域网”提供1000兆网络互联网出口带宽;
“教育城域网”的整体结构介绍,如何和各学校连接“教育城域网”的整体结构介绍,如何和各学校连接
学校与“教育城域网”的连接方式:直连 或 代理 学校与“教育城域网”的连接方式:直连 或 代理 直连 优点:速度最快,减少中间环节;配置方法和连接方式简单,技术水平要求低;无须特定设备;信息中心可检测校内哪台电脑可能存在问题。 缺点:出口速度易受学校内部干扰而扩散到整个教育网(如网络广播风暴、病毒发作等等),适合300台电脑以下的学校。 代理(透明代理) 优点:出口速度一样容易遭受学校内部干扰,但关于广播或病毒引起的网络风暴,不会扩散到上层网络。控制权在学校。 缺点:多一层代理多一个环节,速度将变慢;配置方法和连接方式相对复杂;技术水平要求比较高;需要一个代理服务器或一个地址转换路由器;信息中心不能检测校内具体哪台电脑可能存在问题。适合300台电脑以上学校。
校间访问控制及网络安全控制策略简介 校间访问控制及网络安全控制策略简介 1、学校与学校之间通信,只对容易引发病毒扩散的个别端口作出限制,其它全部开放; 2、学校与信息中心服务器之间,只对必要的通信端口开放,其它端口全部关闭; 3、学校与互联网之间的通信,只开放必要的和常用的通信端口,其它大部分通信端口均关闭。 4、总体原则是开放教学相关的通信,关闭与教学无关的通信,同时只要学校老师提出合理理由,可针对具体通信端口进行开放。
如何更好地使用“教育城域网” • 为什么在“教育城域网”使用部分网外内容或功能出现问题? • 有可能端口被封了(可咨询教育信息中心,提出开放理由); • 为什么回家后访问“教育城域网”的资源和网站,感觉慢? • 1、使用联通、网通、电视宽带线路(线路经北京转换,肯定慢)? • 2、多电脑共享上网(家中多电脑共享、邻居共享、小区共享)? • 3、本身电脑系统不稳定(电脑中毒、浏览器中木马等)? • 4、ADSL电话线接触不良?潮湿天气下外线接口氧化?(可联系电信局检测) • 网络速度正常,可是网页功能不正常 • 1、选择合适的浏览器; • 2、调整浏览器安全属性技巧,增加受信任站点;
如何更好地使用“教育城域网” 教育信息中心主要网站的受信任站点清单: http://www.sdedu.net http://oamis.sdedu.net http://mail.sdedu.net http://meeting.sdedu.net http://vod.sdedu.net http://im.sdedu.net http://res.sdedu.net http://*.trend.sdedu.net
常见网络问题检测简述 —— Ping命令 • 当发现学校使用“教育城域网”出现问题时,可首先使用简单的测试方法缩小问题的范围,这些方法也适用于其它网络环境 • 打开DOS方式的“命令提示符”窗口(简称“DOS窗口”) • 1、使用“开始->运行”菜单,输入“cmd”命令从而打开“命令提示符”窗口。 • 2、或者选择“开始->程序->附件->命令提示符”菜单。 • 如何测试网络连通性——ping命令 • 1、某些网络环境限制了ping,此时ping不通不代表网络不通。 • 2、在教育城域网内,允许了IP=10.0.1.17地址作为ping的测试。 • 3、在DOS窗口中输入以下命令可以测试连通性: • 格式:ping <对方ip> -t (-t参数是连续ping,可CTRL+C中断) • 例子:ping 10.0.1.17 –t
常见网络问题检测简述—— Ping命令 网络通的情况下ping返回结果: Pinging 10.0.1.17 with 32 bytes of data: Reply from 10.0.1.17: bytes=32 time<1ms TTL=128 Reply from 10.0.1.17: bytes=32 time<1ms TTL=128 Reply from 10.0.1.17: bytes=32 time<1ms TTL=128 Reply from 10.0.1.17: bytes=32 time<1ms TTL=128 Reply from 10.0.1.17: bytes=32 time<1ms TTL=128 Reply from 10.0.1.17: bytes=32 time<1ms TTL=128 网络不通的情况下ping返回结果: Pinging 10.0.1.17 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Request timed out. Request timed out.
常见网络问题检测简述—— Ping命令 • 如何更进一步测试网络流畅度?——加大ping的数据包 • 不指定数据包大小的ping命令默认只发出32个字节数据包,可通过-l参数,加大每次发出的数据包大小,才能判断线路通畅程度 • 格式:ping <对方ip> -l <数据包大小> -t • 例子:ping 10.0.1.17 -l 30000 –t 100M教育网光纤专线在网络使用高峰期的ping结果(time应小于40~60): Pinging 10.0.1.17 with 32 bytes of data: Reply from 10.0.1.17: bytes=30000 time<31ms TTL=128 Reply from 10.0.1.17: bytes=30000 time<36ms TTL=128 Reply from 10.0.1.17: bytes=30000 time<40ms TTL=128 Reply from 10.0.1.17: bytes=30000 time<43ms TTL=128 Reply from 10.0.1.17: bytes=30000 time<52ms TTL=128 Reply from 10.0.1.17: bytes=30000 time<38ms TTL=128 10M教育网光纤专线在网络使用高峰期的ping结果(time应小于100): Pinging 10.0.1.17 with 32 bytes of data: Reply from 10.0.1.17: bytes=30000 time<71ms TTL=128 Reply from 10.0.1.17: bytes=30000 time<66msTTL=128 Reply from 10.0.1.17: bytes=30000 time<80msTTL=128 Reply from 10.0.1.17: bytes=30000 time<73msTTL=128 Reply from 10.0.1.17: bytes=30000 time<72msTTL=128 Reply from 10.0.1.17: bytes=30000 time<68msTTL=128
常见网络问题检测简述——交叉线独立测试 最直接的排查“教育城域网”不通原因的方法:直接通过“交叉线”把单独的电脑接在“光纤收发器”上,然后使用ping命令。 • “交叉线”和“直通线”分别是网线的一种,制作方法、标准和使用差别可参阅 http://bbs.sdedu.net 上的“顺德教育虚拟社区 → 信息技术 → 信息安全与网络管理 → 直通网线和交叉网线的制作方法”帖子(如要下载文档,须先在论坛上注册帐号并登录) • 先确保“交叉线”没问题!测试“交叉线”的方法:直接把两台电脑通过交叉线对接起来,配置好IP地址后,使用ping命令,互相能ping通则可确定“交叉线”没问题(注意要先关闭XP自带的或其它限制了ping的防火墙)。 • 用一台电脑,使用经过测试通过的“交叉线”,单独接“教育城域网”的“光纤收发器”,然后配置好教育信息中心分配给本学校的IP地址、网关、DNS等信息,使用ping命令检测网络连通性和通畅程度。
常见网络问题检测简述——交叉线独立测试 • 如果使用“交叉线”配合ping命令进行独立连通性测试通过,ping命令在加大数据包的情况下也能正确返回有效范围的数据,不存在丢包现象,则说明学校所连接的“教育城域网”光纤线路不存在问题,从而可判断导致上网出现问题的原因发生在学校内部。 • 此时应从学校机房的核心交换机开始,根据内部网络结构,一层层往下排查是否为楼层交换机故障或病毒影响等原因。 • 如果使用“交叉线”配合ping命令进行独立连通性测试不通过,或者ping命令在加大数据包的情况下丢包严重,则说明学校所连接的“教育城域网”光纤线路存在问题。 • 此时可联系教育信息中心:22333879 孙老师 ,以解决问题。
常见网络问题检测简述——交叉线独立测试 导致网络出现问题的因素很多且很复杂,网管老师应保持清晰的思路和耐性,先将问题分类,进一步缩小范围,再逐一排查。 后面将安排各类更具体的网络使用、网络配置和优化等的远程培训活动,希望广大网管老师能积极参加,共同努力建立稳定的网络环境。
如何获取可升级的Windows系统 不建议随意使用网上下载的精简版、直接刻隆版等Windows操作系统,因为它可能带来以下问题: 1、功能不全,某些系统服务被关闭,或者某些参数设置不当,导致使用中的问题,这些问题往往难以跟踪和解决。 2、可能隐藏制作者有意或无意留下的木马、病毒。 3、不能升级,不能安装系统安全补丁,或者能安装但安装后出现某些异常。 4、委托电脑公司维护电脑的学校,绝大多数电脑公司均使用已安装了应用软件的直接刻隆版了事! 5、已安装了应用软件的“直接刻隆版”,需要关注另一个问题:所安装的应用软件,功能是否齐全(很多应用软件都有“默认安装”、“完全安装”和“自定义安装”等不同安装类型供用户选择)。
如何获取可升级的Windows系统 http://www.sdedu.net 打开后的右面,可见“全区系统安全服务” 进入“全区系统安全服务”页面后,可参看“主题一”的“选择合适自己使用的Windows操作系统”内容。
安装操作系统第一个值得探讨的问题——硬件要求安装操作系统第一个值得探讨的问题——硬件要求 • 各种Windows系统对电脑配置达到“运行流畅”的硬件要求 注意:其中Windows98、Windows2000系列已经淘汰不用!
安装操作系统第二个值得探讨的问题——规划 • 安装前的规划 • 1、根据CPU和内存情况选择合适的操作系统,不要贪大贪新; • 2、C盘只安装操作系统,经验值是:办公电脑15G以内,服务器18G以内; • 3、D盘安装应用软件。所有的应用软件,在安装时应选择“自定义”安装方式,去掉无需用到的组件,并把安装路径设置到D盘中。经验值是:15-20G以内。 • 4、E盘:作为当前工作内容的数据区,根据实际定义。 • 5、F盘:作为备份数据区,存放历史工作的备份、下载的软件等等,根据实际定义。 • 以上规划的好处 • 1、把操作系统和应用软件分开安装在C盘和D盘,因电脑启动时只需要用到C盘中的操作系统文件,检索文件数量减少,启动速度更快; • 2、除病毒攻击C盘和D盘会导致数据丢失外,由于磁头经常刮C盘和D盘, C盘和D盘出现坏道导致数据丢失的情况也经常发生,因此应把数据存放在E和F。 • 3、同理,经常性使用的数据最容易因产生磁盘坏道而丢失,因此应养成良好习惯,定期从E盘整理工作数据到F盘作为历史保存。
安装操作系统第三个值得探讨的问题——安装过程的安全安装操作系统第三个值得探讨的问题——安装过程的安全 校园网内部、教育网内部都充满病毒、恶意攻击,“一边装系统,就一边中毒,没装完就中满毒,怎么办?!” 1、制作操作系统安装光盘,以及ServicePack(SP)光盘,不要使用U盘; ftp://ftp2.sdedu.net/download/Software/System/ 里,各类操作系统目录中都已经提供了对应的ServicePack。 2、按以下流程进行安装,注意什么时候不能接网线,什么时候才能接网线: 安装流程:a.拔掉网线;b.格式化后安装操作系统;c.操作系统安装好后,马上利用SP光盘把XP的SP2、或2003的SP2安装好;d.启动操作系统自带的防火墙;e.连接网线及配置网络;f.安装WSUS及趋势杀毒软件,让电脑自动完成所有操作系统补丁安装升级,并在线升级杀毒软件到最新版本;g.切记整个过程禁止访问任何无关的网站、禁止安装任何其它软件。 3、只有当操作系统所有补丁已经安装,漏洞已被修复,并具备最新的防毒能力后,才安装其它应用软件。
WSUS服务的安装、使用 Windows自动更新服务(简称“WSUS”服务),是信息中心提供的免费系统安全服务: 1、所有操作系统补丁均来源于微软,而不是来源于某些杀毒软件网站。补丁内容最齐全。覆盖WindowsXP、Windows2000、Windows2003系列操作系统。 2、所有“教育城域网”内终端电脑和服务器均可使用Windows自动更新服务。全自动运行,无须学校管理员及用户过多选择或干预。 3、升级服务器存放在教育信息中心内部,您只需要2分钟的人工设置,即可在30分钟内通过快速的“教育城域网”,自动完成所有补丁的下载和安装,无须花费长时间等待从国外更新服务器上的响应。 4、及时地为自己的电脑安装和更新系统补丁,是有效防止病毒和黑客程序攻击、避免病毒通过网络扩散、以及保护自身数据安全的重要途径。
WSUS服务的安装、使用 http://www.sdedu.net 打开后的右面,可见“全区系统安全服务” 进入“全区系统安全服务”页面后,可参看“主题二”的“如何使用信息中心提供的Windows自动更新服务”内容。 内容包括: 1、WUA的安装、注册表的导入; 2、重新启动; 3、留意补丁更新和状态;
集中式趋势防病毒软件的安装和使用 集中式趋势防病毒服务,也是信息中心提供的另一项免费系统安全服务: 1、对学校的安装及管理技术要求降到最低; 2、适用于网络及机房条件较差的学校、以及适用于对服务器及网络缺乏技术管理能力和缺乏管理时间的学校。 3、由信息中心的两台专用防病毒服务器提供服务,学校无须配备任何服务器。 4、由信息中心提供日常管理和技术支持,学校只需在各终端电脑上安装客户端软件后,所有病毒码更新全自动执行。
集中式趋势防病毒软件的安装和使用 http://www.sdedu.net 打开后的右面,可见“全区系统安全服务” 进入“全区系统安全服务”页面后,可参看“主题三”的“如何使用“集中式防病毒服务””内容。 内容包括: 1、集中式趋势服务的安装; 2、掌握客户端的基本使用;
集中式趋势防病毒软件的安装和使用 安装时的注意事项: 1、同一台电脑,不能同时安装两个或两个杀毒软件,因此应先卸载原杀毒软件。 2、必须使用IE6.0浏览器以上才能正确安装。 3、添加受信任站点:http://*.trend.sdedu.net,注意“*”号是必须的,不能缺漏。
系统还原软件 还原软件可以减轻网管员工作量,但是,还原软件可以防止电脑中毒吗?还原软件可以减少病毒冲击网络的机会吗? 试想象某堂40分钟的电脑课程开始时,一台电脑在开机后还原至历史初始状态,然后: 1、在5分钟内电脑即可通过网络暴露所有的原始漏洞; 2、再过5分钟,网络某处病毒即发现此电脑,并利用 所暴露的漏洞进入系统,感染该电脑,使该电脑处于中毒状态; 3、再过5分钟,该电脑病毒开始影响整个网络; 4、此时离下课时间,还有长达25分钟; 结论 1、还原软件不能防病毒,也不能减少病毒冲击网络的机会;还原软件只负责开机时还原,至于还原后系统发生什么事情,影响有多严重,天知道! 2、网管员还是要老老实实地安装系统升级服务和杀毒软件;并定期取消还原软件,然后执行系统和杀毒软件更新,再重新启动还原软件。
委托电脑公司维护 把电脑甚至整个校园网所有设备委托电脑公司维护的学校,应时刻记住每次当电脑公司维护完您的电脑后,应检查WSUS服务和趋势杀毒软件是否受影响或被删除,最稳妥的方法是重新安装WSUS服务(反正安装也不需要5分钟)。
相关知识和资源的获取 • 显示计算机中各网卡信息(包括网卡MAC地址)的命令: • ipconfig /all • 检测对方服务器某个TCP端口是否打开的命令: • telnet <对方ip地址> <端口> • 文章及问题回答 • http://bbs.sdedu.net • (可自由注册,教育城域网内才能访问) • VNC远程控制工具(含服务端和客户端) • 下载地址:ftp://ftp2.sdedu.net/download/Software/网络工具/VNC/vnc-4_1_2-x86_win32.exe
培训完毕 感谢大家!!
