计算机网络维护.doc

为了抵挡 Internet 网络病毒的疯狂袭击，许多网络管理员想出了各种办法来加强网络安全控制；不过其中 的很多办法不是需要外力工具的帮忙，就是需要网络管理员熟悉服务器系统的各种安全设置，这对接触网 络管理工作不久的“菜鸟”级管理员来说，不但显得有点麻烦，而且也有点高深事实上，任何一台服务器 系统在默认状态下会自动启用日志功能，来将访问服务器系统的任何行为捕捉、记录下来，网络管理员只 要巧妙地学会使用日志，同样也能够实现加强网络安全控制的目的！一、实地分析，寻找安全隐患某单位的IIS服务器在深夜时分遭受到黑客的非法攻击，当天值班的网络管理员小王发现IIS服务器不 能正常工作后，立即联系了经验丰富的前辈级网络安全工程师老张早上上班后，老张火速赶到 IIS 服务器现场，没有多长时间，老张就将攻击IIS服务器的非法攻击着找了出来，并且一并发现了 IIS服务器 系统中的其他安全隐患事实上，老张之所以能这么快寻找到 IIS 服务器系统中的安全隐患，主要就是因 为他巧妙地利用了服务器系统自带的日志功能一般来说，非法攻击者企图攻击目标IIS服务器系统时，往往会花费一番心思来收集目标IIS服务器系 统的各种信息，通过一些专业级别的扫描工具，来扫描目标 IIS 服务器系统此时此刻是否存在安全漏洞； 而目标 IIS 服务器系统的日志功能在默认状态下，能够自动记忆下各种访问过本地系统的行为，并将这些 记忆下来的内容存储到指定的日志文件中，这个日志文件中包含的内容往往有被扫描的服务器端口号码、 访问用户名、客户端的IP地址等；仔细分析这些内容，我们往往就能大概判断出本地IIS服务器系统有没 有安全隐患存在。

在查看本地系统的日志文件时，我们可以先依次单击“开始”/“设置”/“控制面板”命令，然后用鼠标双击系统 控制面板窗口中的“管理工具”图标，在弹出的管理工具窗口中再双击“事件查看器”选项，进入本地系统的事 件查看器窗口（如下图所示）在上图界面的左侧子窗格中，我们会看到日志文件主要包含安全日志、系统日志、应用程序日志这几种类 型用鼠标点选某一种类型的日志文件，在对应该文件的右侧子窗格中，我们就能看到所有日志记录的列 表了，用鼠标双击某一个日志记录，在其后弹出的属性设置对话框中我们就能看到具体的记录内容了，根 据记录内容我们就能直观地了解到服务器系统在什么时间发生了什么事情对 IIS 服务器系统的各种日志文件进行分析，我们就能看到各种审核事件的记录，这些内容记录了所 有访问者在IIS服务器系统中的各种活动，通过对各种活动行为的分析，我们就能很轻易地找到本地IIS服 务器系统究竟存在哪些安全隐患了不过，一些黑客在攻击了目标IIS服务器系统之后，往往会千方百计地想办法清空IIS服务器系统中各 种类型的日志文件，以便将它们攻击 IIS 服务器系统时遗留下来的痕迹全部清除干净，那样一来网络管理 员就无法从系统的各个日志文件中，快速寻找到 IIS 服务器系统的各种安全隐患了。

所以，有效地保护好 IIS服务器系统的日志文件，对追查系统的安全隐患以及寻找非法攻击者具有很大的帮助如果遇到服务器系统日志文件被删除的情况时，我们可以使用专业的数据恢复工具来尝试还原数据信 息和日志文件；因为删除日志文件往往是非法攻击者在 IIS 服务器系统中进行的最后一项操作，一般来说 他们在删除完日志文件后不会在服务器系统中进行其他的操作了，所以在遇到日志文件被非法删除的现象 时，我们千万不能向服务器系统执行任何添加删除操作，以便确保专业工具能够成功地将已经删除了的日 志文件恢复成功另外，要是IIS服务器系统工作的时间比较长，目标网站站点的访问流量比较大时，那么服务器自动 生成的日志文件可能就比较大，此时再按照上面的方法来分析系统的各种日志文件时，就显得十分麻烦， 而且也不容易分析准确为此，在这种情况下，我们需要借助专业的日志分析工具来帮忙，当然也可以使 用Windows系统自带的“fii功能命令来帮忙当然有的时候，单纯依靠IIS服务器系统日志文件，我们并不能明确找到某些安全隐患，这个时候还 可以尝试借用其他软件的一些日志记录，来进行进一步安全筛查操作例如，在IIS服务器系统的日志文 件中一旦发现有可疑的事件或对象时，我们应该将它们发生的具体时间记录下来，并且在所有日志种类中 筛选出指定时间内记录下来的所有记录，然后综合分析一下防火墙程序的日志文件或Serv-U程序的日志文 件，如此一来我们就能轻易找到具体的安全隐患了。

二、远程追踪，揪出非法黑客笔者下午上班后，象往常一样检查了一下单位文件服务器的运行状态，在检查过程中笔者发现文件服 务器中的一些重要数据被非法黑客窃取了；为了防止非法黑客继续攻击单位的文件服务器，笔者立即联系 了远在外地学习的网络管理员小王，请求他想办法解决这一安全麻烦网络管理员小王建议先仔细查看一下文件服务器的日志，无奈笔者并不能从日志文件中看出什么名堂； 经过一番协商，网络管理员小王准备尝试使用远程管理的方法来查看文件服务器的日志文件，经过他的远 程追踪，终于将非法黑客揪了出来现在，本文就将网络管理员小王远程查看日志文件的具体过程还原出 来，供各位朋友们参考！要想通过远程管理方法来远程查看服务器系统中的日志文件，我们需要先在服务器系统中安装启用好 远程管理功能组件，该功能组件在默认状态下并没有被安装在安装远程管理功能组件时，我们可以按照 如下步骤来操作：首先以系统管理员权限登录进入服务器系统，在该系统桌面中依次单击“开始”/“设置”/“控制面板”命令， 在弹出的系统控制面板窗口中，双击“添加或删除程序”图标，在其后出现的窗口中单击“添加/删除 Windows 组件”标签，打开Windows组件向导对话框（如下图所示）；其次选中该向导对话框中的“应用程序服务器”选项，同时单击该选项下面的“详细信息”按钮，在其后弹出的 设置对话框中，看看“Internet信息服务（IIS） ”项目有没有被选中，如果发现该选项还没有被选中时，我们 应该及时将它重新选中（如下图所示），然后再单击“详细信息”按钮，同时将其后界面中的“万维网服务选项” 选中；紧接着再单击“万维网服务选项”项目下面的“详细信息”按钮，打开万维网服务列表窗口，选中其中的“远程 管理（HTML） ”功能组件选中，再单击“确定”按钮，之后根据屏幕提示完成剩余的操作就能安装好服务器 系统的远程管理功能组件了。

下面我们就能通过远程管理功能组件来远程查看服务器系统的日志文件了在进行远程查看服务器系 统的日志文件时，我们可以先在异地计算机中启动运行 IE 浏览器程序，在对应窗口的地址栏中输入 https://xxx.xxx.xxx.xxx:8098 （其中为目标服务器系统所在的主机IP地址），而“8098"为服 务器系统默认开启的远程管理端口号码；单击回车键后，屏幕上将会出现远程登录对话框，在其中正确输入目标服务器系统的登录账号与密码， 再单击对应窗口的“确定”按钮，我们就能进入目标服务器系统的Web访问接口管理页面；单击该管理页面 中的“维护”超级链接，进入到系统维护页面，继续单击该页面中的“日志”超级链接，打开目标服务器系统的 日志管理页面，在该页面中我们就能远程查看各种日志信息了，同时还能远程删除或远程下载日志文件在远程查看具体的日志内容时，也是非常的简单，我们只要在日志管理页面中单击“Web管理日志”超 级链接，在对应的超级链接页面中选中待查看的目标日志文件，然后单击“查看日志”按钮，具体的日志内 容就能显示在IE浏览器窗口中了。