企業(yè)網絡管理與安全實訓

1、第二部分 企業(yè)網絡治理與安全實訓在企業(yè)組建網絡基礎設施后，還需要提供給用戶各種的網絡和信息服務，同時隨著互聯(lián)網各種應用的不斷進展，大量的網絡應用成為黑客/病毒制造者的攻擊目標，需要企業(yè)采取必要的技術、設備和措施來保證企業(yè)網絡的正常穩(wěn)定運行，還需要運用各種網絡治理工具、軟件、設備對企業(yè)網絡的交換設備、路由設備、服務器、防火墻等各種網絡設備進行進行配置治理、性能治理、故障治理、安全治理和計費治理，保障網絡的正常運行和性能優(yōu)化。項目 5 校園網數(shù)據中心系統(tǒng)實施5.1 項目內容 某學院校園網基礎設施已依照項目2組建完成，并通過兩條線路分不接入了電信互聯(lián)網和CERTNET教育網，現(xiàn)在需要提供校內外用戶提

2、供各種網絡服務和信息服務，分不提供校園網IP地址分配、內外網域名解析、學院網站、FTP資源下載等服務，請給出解決方法并進行實施。5.2 項目流程 SKIPIF 1 0 圖5-1 項目流程圖5.3 項目調查與需求分析5.3.1 項目 本項目針對學院需要提供各種基礎網絡服務，分不實現(xiàn)IP地址分配、內外網域名解析、學院網站、FTP資源下載等服務。5.3.1）具體需求經調查和與用戶溝通，具體的需求如下:需求1：為校園網各區(qū)域用戶提供IP地址等參數(shù)分配，需要兩臺服務器提供服務，一臺備用。需求2：為校園網各區(qū)域用戶提供校園網各服務器的域名解析和互聯(lián)網的域名解析，需要兩臺服務器提供服務，一臺備用，學院的域名

3、解析可依照校園網的兩條線路分不對不同來源IP地址解析出對應線路的服務器IP以提高用戶訪問效率。需求3:架設校園網的WWW服務器提供信息訪問、FTP服務器提供資源下載，WWW服務器需要為多個部門提供不同網站，并考慮服務器的安全和穩(wěn)定性。3）需求分析分析1：按照要求 需要一臺DHCP服務器為校園網用戶分配IP地址、一臺作為備用DHCP服務器。兩臺服務器分不位于不同的主機。分析2：需要為校園網用戶的各個服務器提供域名解析系統(tǒng)（DNS），同樣需要兩臺DNS服務器，一臺主DNS服務器，一臺輔助DNS服務器。分析3： 校園網WWW服務器，F(xiàn)TP服務器，WWW服務器能夠通過FTP服務器上傳或下載資料，治理員

4、能夠通過FTP服務器為WWW服務器更新信息。FTP服務器不同意匿名登錄。兩臺服務器能夠在同一臺主機上完成。5.4 項目實訓要求要求1（必做）：模擬本項目的網絡服務組建并完成項目的需求分析、規(guī)劃、實施文檔。要求2（必做）：安裝配置DHCP服務器、DNS服務器、WEB服務器、FTP服務器，分不在Windows Server和Linux環(huán)境下進行安裝配置提供相同功能。要求3（選做）在Linux下實現(xiàn)DNS服務器關于同一域名依照來源不同的IP解析出不同的地址。5.5 項目實施5.51可靠性提供網絡服務的服務器必須穩(wěn)定可靠，為校園網用戶和校外用戶提供可靠的網絡服務。2安全性各項服務應考慮和保證其安全性，

5、幸免出現(xiàn)網絡安全事故而阻礙校園網服務。3可擴充性 校園網需要提供的服務將隨著信息服務的需求和進展進行增加和擴充，規(guī)劃和實施的各項網絡服務應具有可擴充性。4有用性 校園網具有用戶數(shù)量多、應用環(huán)境復雜的特點，應能使用戶方便有用地訪問各種校園網服務。5.5.2 項目知識點DHCP服務器 DHCP（ Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議） 能夠減少治理的復雜性和負擔，DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。租用時刻是不定的，要緊取決于用戶在某地聯(lián)接 Internet 需要多久，這關于用戶頻繁改變的環(huán)境是專門有用的。通過較短的租期

6、， DHCP 能夠在一個計算機比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網絡。1）DHCP系統(tǒng)組成DHCP客戶：DHCP客戶通過DHCP來獲得網絡配置參數(shù) Internet主機，通常確實是一般用戶的工作站DHCP服務器：DHCP服務器提供網絡設置參數(shù)給DHCP客戶Internet主機DHCP中繼代理：在DHCP客戶和服務器之間轉發(fā) DHCP 消息的主機或路由器2）DHCP 服務器DHCP服務器操縱一段IP地址范圍，客戶機登錄服務器時就能夠自動獲得服務器分配的IP地址和子網掩碼。DHCP作用域是一個網絡中的所有可分配的 IP 地址的連續(xù)范圍。作用域要緊用來定義網絡中單一的物理子網的 IP 地址范

7、圍。作用域是服務器用來治理分配給網絡客戶的 IP 地址的要緊手段。 DHCP服務器能夠使用Windows Server、Linux等網絡操作系統(tǒng)擔當，也能夠使用具有DHCP功能的交換機、路由器等設備。DNS 服務器DNS（Domain Name System，域名系統(tǒng)）是因特網的一項核心服務,它作為能夠將域名和IP地址相互映射的一個分布式數(shù)據庫，能夠使人更方便的訪問互聯(lián)網，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS是一種包含 DNS 主機名到 IP 地址映射的分布式、分層式數(shù)據庫，DNS 是 Internet 名稱方案的基礎和企業(yè)名稱方案的基礎。InterNIC 負責全球域名空間的委派治

8、理和域名注冊。DNS組件DNS 服務器：運行 DNS 服務的計算機，承載一個名稱空間或部分名稱空間（域）， 對名稱空間或域具有權威性，負責解析 DNS 客戶端（DNS 客戶端即解析器）提交的名稱解析請求。DNS 客戶端：運行 DNS 客戶端服務的計算機DNS 資源記錄：DNS 數(shù)據庫中將主機名映射到資源的項目因特網上的因特網上的 DNS 服務器DNS 服務器DNS 客戶端根 “.”.資源記錄資源記錄 圖5-1 DNS組件DNS域名空間DNS 命名格式中，域名空間的授權以及域名與地址的轉換采納的差不多上分層和分布式結構，一些授權的機構能夠各自轉換其權限以內的名字和 IP 地址。DNS 的命名是為

9、全球性的 HYPERLINK / t _blank 網絡設備分配名字，由分布式名字 HYPERLINK / t _blank 服務器組實施。區(qū)域是 DNS 名稱空間的一個治理單元，它能夠由單一的 DNS 域或者結合了部分或全部子域的域組成 ；DNS 服務器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。 SKIPIF 1 0 圖5-2 DNS域名空間結構DNS服務器的類型根域名服務器：根域名服務器是最重要的域名服務器。所有的根域名服務器都明白所有的頂級域名服務器的域名和 IP 地址。不管是哪一個本地域名服務器，若要對因特網上任何一個域名進行解析，只要自己無法解析，就首先求助于根域名服務器。

10、在因特網上共有13 個不同 IP 地址的根域名服務器，它們的名字是用一個英文字母命名，從a 一直到 m（前13 個字母）。頂級域名服務器：負責治理在該頂級域名服務器注冊的所有二級域名。當收到 DNS 查詢請求時，就給出相應的回答（可能是最后的結果，也可能是下一步應當找的域名服務器的 IP 地址）。權限域名服務器：負責一個區(qū)的域名服務器。當一個權限域名服務器還不能給出最后的查詢回答時，就會告訴發(fā)出查詢請求的 DNS 客戶，下一步應當找哪一個權限域名服務器。本地域名服務器：本地域名服務器對域名系統(tǒng)特不重要。當一個主機發(fā)出 DNS 查詢請求時，那個查詢請求報文就發(fā)送給本地域名服務器。每一個因特網服務

11、提供者都能夠擁有一個本地域名服務器，這種域名服務器有時也稱為默認域名服務器。4） DNS查詢 查詢是向 DNS 服務器發(fā)出的名稱解析請求。查詢有兩種類型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務器，DNS 客戶端需要 DNS 服務器提供一個完整的查詢應答。迭代查詢：迭代查詢是 DNS 客戶端向 DNS 服務器發(fā)出的查詢請求，DNS 服務器無需通過其他 DNS 服務器而給出查詢結果的查詢。迭代查詢通常發(fā)生在上級域指引到下級域。 SKIPIF 1 0 圖5-3 DNS查詢過程DNS服務器能夠使用Windows Server2003安裝和配置DNS服務作為DNS服務器，Li

12、nux服務器使用聞名的BIND（Berkeley Internet Name Domain）軟件實現(xiàn)，DNS客戶端可通過DHCP服務器分配DNS參數(shù)或手動指定。WEB服務器WEB服務器也稱為WWW(World Wide Web)服務器，要緊功能是提供網上信息掃瞄服務，是互聯(lián)網進展最快和目前用的最廣泛的服務。其應用層使用HTTP協(xié)議，使用HTML文檔格式傳輸信息資源，客戶機掃瞄器使用統(tǒng)一資源定位器(URL)來訪問WEB服務器資源。目前使用最多的 web server 服務器軟件有：微軟的信息服務器（IIS）和Apache：1）IISIIS是英文Internet Information Serve

13、r（Internet信息服務）的縮寫，它是微軟公司主推的WEB服務器， IIS與Window Server完全集成在一起，因而用戶能夠利用Windows Server和NTFS內置的安全特性，建立強大，靈活而安全的Internet站點。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過使用CGI和ISAPI，IIS能夠得到高度的擴展。IIS支持與語言無關的腳本編寫和組件，通過IIS，開發(fā)人員就能夠開發(fā)新一代動態(tài)的，富有魅力的Web站點。IIS不需要開發(fā)人員學習新

14、的腳本語言或者編譯應用程序，IIS完全支持VBscript，Jscript開發(fā)軟件以及Java，它也支持CGI和WinCGI，以及ISAPI擴展和過濾器。2）Apache HTTP ServerApache HTTP Server源于NCSAhttpd服務器，通過多次修改，成為世界上最流行的Web服務器軟件之一。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務器來使用。因為它是自由軟件，因此不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。Apache支持許多特性，大部分通過編譯的模塊實現(xiàn)。這些特性從服務器端的編程語言支持到身份認證方案。一些通用的語言接口支持Perl，Pytho

15、n， Tcl和 PHP。流行的認證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服務器 (proxy) 模塊，專門有用的URL重寫（由 mod_rewrite 實現(xiàn)），定制日志文件（mod_log_config），以及過濾支持（mod_include 和 mod_ext_filter）。Apache日志能夠通過網頁掃瞄器使用免費的腳本AWStats或Visitors來進行分析。FTP服務器文件傳輸協(xié)議 (FTP) 是一種常用的應用層協(xié)議。FTP 用于客戶端和服務器之間的文件傳輸。FTP 客戶端是一種

16、在計算機上運行的應用程序。通過運行 FTP 守護程序 (FTPd)，F(xiàn)TP 客戶端能夠從服務器中收發(fā)文件。為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶端和服務器之間建立兩條連接：一條是命令和回復連接，另一條是實際文件傳輸連接?？蛻舳嗽?TCP 的 21 號端口建立第一條連接。該連接由客戶端命令和服務器回復組成，用于治理傳輸流量；第二條連接建立在 TCP 的 20 號端口。每當有文件需要傳輸時建立該連接，用于實際文件傳輸。在兩個方向上，都能夠進行文件傳輸。即客戶端能夠從服務器中下載（取）文件，也能夠向服務器中上傳（放）文件。常用的組建FTP服務器方法有：Windows下使用IIS架設FTP站點、L

17、inux下的wu-ftpd、vsftpd、使用FTP服務器軟件（Serv-U、Gene6等）。5.5實訓設備與軟件設備類型設備型號數(shù)量（每組）備注交換機H3C3100 1臺服務器宏基P42臺計算機宏基P44臺服務器操作系統(tǒng)Windows Server20032可使用虛擬機環(huán)境服務器操作系統(tǒng)CentOS 5.22可使用虛擬機環(huán)境服務器命名規(guī)則服務器命名沒有絕對的標準，一般差不多上按工程慣例和治理規(guī)范來進行命名，應本著明確、簡潔、無二義性的原則。實訓項目中服務器命名規(guī)則建議如下：SrvDHCP-01序號服務器功能序號服務器功能 服務器功能中，Srv表示服務器、DHCP表示服務器功能。服務器序號中，

18、01代表第一臺，02代表第二臺，依此類推。服務器參數(shù)及分配的網絡參數(shù)規(guī)劃表服務器名稱 IP地址 SrvDHCP- 01 /18SrvDHCP- 02 /18主DNS /18輔助DNS /18WWW /18FTP /18DHCP地址分配范圍為 /18 大約可同時為兩萬名用戶提供上網需求。地址租期為1天 注：由于模擬環(huán)境不行操作，因此全部采納同一個網段的IP作為分配地址。分配區(qū)域IP地址分配范圍默認網關服務器 /18宿舍區(qū) /18教師辦公區(qū) /18教學區(qū) /18教師公寓 /18其它區(qū)域 /18實施步驟規(guī)劃1）規(guī)劃分配服務器參數(shù)2）安裝服務器操作系統(tǒng)3）安裝配置DHCP、DNS、WEB、FTP等網絡

19、服務4）配置計算機參數(shù)并依照需求驗證實現(xiàn)的功能5）完成項目文檔資料5.5.4 實施步驟（請將要緊實施步驟整理列出）一DHCP服務器的配置（1）依照實訓拓撲圖進行交換機、計算機的線纜連接，配置DHCPSERVER的IP地址。（2）在SERVER上安裝DHCP服務器在安裝DHCP服務器之前，請注意以下事項：只有服務器等級的計算機能夠安裝DHCP服務器，例如Windows Server 2003，而Windows XP等客戶端計算機無此功能。DHCP服務器本身的IP地址必須是靜態(tài)的，也確實是其IP地址、子網掩碼、默認網關等信息必須以手工的方式輸入。事先規(guī)劃好可出租給客戶端計算機的IP地址池（也確實是

20、IP作用域）。單擊“開始”“治理工具”“配置您的服務器向導”，選中“DHCP服務器”，然后單擊“下一步”按鈕，開始安裝DHCP服務器。如圖3-7，圖3-8所示：圖3-7圖3-8安裝完成之后將彈出“新建作用域向導”對話框，使用此向導創(chuàng)建作用域。1、填寫新建作用域的名稱和講明文字。此名稱和講明性文字并無特不要求，只是起一個區(qū)不于其他作用域的作用。此處，將作用域名稱填成“總經理”，講明性文字為“總經理辦公室”.如圖3-9所示：圖3-92、再點“下一步”，進入設置IP地址范圍和子網掩碼的對話框，在“起始IP地址”項中填寫該IP地址段的起始IP地址長就為18。填寫完后，如圖3-10所示： 圖3-103、

21、單擊“下一步”進入下一個對話框，設置想排除開不用于分配的IP地址范圍。如圖3-11所示圖3-114、填寫完成后點“下一步”進入IP租期設置對話框了。租期將設置客戶機分配到IP地址的使用期限。當客戶機使用分配到的IP地址時刻超過了此租期，服務器將強行收回分配給客戶機的IP地址。此處設置為1天。如圖3-12所示：圖3-125、單擊“下一步”進入配置DHCP選項的對話框。在此對話框中，將選擇是否需要對客戶機分配DNS、路由器、WINNS等服務器的IP地址。在大型網絡中，特不是與internet 互聯(lián)的網，這些服務差不多上專門重要的。在此選擇“是”。如圖3-13所示：圖3-136、單擊“下一步”進入設

22、置路由器（即網關）的設置。在“IP地址”項中填寫路由器的IP地址。此處填寫為：。填寫完成后點“添加”按鈕即。如圖3-14所示：圖3-147、單擊“下一步”進入域名和DNS服務器的設置對話框了。此處設置的域名和DNS服務器的地址將被分配給客戶機。在“父域”選項中填寫DNS的父域名（參考DNS服務器配置實訓）此處填寫成在“服務器名”選項中填寫DNS服務器的服務器名稱。此處我們填寫為dns。在“IP地址”項中填寫DNS服務器的 IP地址。此處填寫為.填寫完成后點“添加”按鈕即可。如圖3-15所示：圖3-158、點擊“下一步”，進入WINS服務器的設置對話框。能夠不設置9、點擊“下一步”進入激活作用域

23、的對話框。在此對話框中將選擇“是，我想現(xiàn)在就激活此作用域”。如圖3-17所示：圖3-1710、單擊“下一步”再點“完成”即完成該作用域的建立了。如圖3-18所示：二DNS 服務器的設置在主機上安裝DNS配置軟件，然后創(chuàng)建區(qū)域圖3-11單擊“下一步”進入區(qū)域名稱設置對話框。此對話框指定正向區(qū)域名稱（區(qū)域名稱應與其治理的域相對應）。此處填寫為“”。如圖3-12所示：圖3-12單擊“下一步”進入動態(tài)更新的設置。在此對話框中指定創(chuàng)建的區(qū)域是否支持動態(tài)更新，此處選擇“不同意動態(tài)更新”如圖3-14所示：圖3-14單擊“下一步”選擇是否創(chuàng)建反向查找區(qū)域。在此處，選擇“是”如圖3-10所示：圖3-15單擊“下

24、一步”進入區(qū)域類型對話框，此處選擇“要緊區(qū)域”。如圖3-16所示：圖3-16單擊“下一步”進入“反向查找區(qū)域名稱”對話框。在此對話框中指定反向區(qū)域的名稱（能夠輸入IP地址的網絡ID，由系統(tǒng)自動指定反向區(qū)域名稱；也能夠自行輸入反向區(qū)域名稱），此處填寫“192.168.1”圖3-17單擊“下一步”區(qū)域文件對話框。在此對話框中，將選擇創(chuàng)建新的反向區(qū)域文件（名稱可自行指定）或使用現(xiàn)存的反向區(qū)域文件，在此填寫“1.168.192.dns”。如圖3-18所示：圖3-18單擊“下一步”配置轉發(fā)查詢，此處選擇“否，不向前轉發(fā)查詢”。如圖3-19所示：圖3-19單擊“下一步”完成DNS向導配置。如圖3-19所示

25、：圖3-19（3）在Server1上創(chuàng)建資源記錄：打開DNS治理操縱臺，在左側操縱臺樹中選擇要創(chuàng)建資源記錄的正向要緊區(qū)域，然后在右側操縱臺窗口的空白處右擊，在彈出菜單中選擇相應功能項即可創(chuàng)建資源記錄。如圖選擇“新建主機（A）”，打開“新建主機”對話框，通過此對話框創(chuàng)建“host”記錄，如圖選擇“新建不名（CHANE）”，打開“新建資源記錄”對話框， 在左側操縱臺樹中選擇要創(chuàng)建資源記錄的反向要緊區(qū)域（4）在Server1上指定輔助DNS服務器：在正向要緊區(qū)域上右擊，在彈出的菜單中選擇“屬性”命令，如圖在打開的區(qū)域屬性對話框中單擊“名稱服務器”，將打開“名稱服務器”選項卡；在該選項卡中單擊“添加”

26、，在此添加輔助DNS服務器。如圖單擊“確定”，完成配置，然后采納同樣的方法在反向要緊區(qū)域上指定輔助DNS服務器，如圖（5）在Server2上安裝輔助DNS服務器：參考步驟1，安裝DNS服務。打開“區(qū)域類型”對話框；在此對話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱”對話框中，輸入區(qū)域名稱，該名稱應與該DNS區(qū)域的主DNS區(qū)域的主DSN服務器上的要緊區(qū)域名稱完全相同， 如圖單擊“下一步”“主DNS服務器”對話框。在此對話框中指定DNS服務器的IP地址，如圖單擊“下一步”完成輔助DNS配置，返回DNS治理操縱臺，現(xiàn)在能夠看到從主DNS服務器復制而來的區(qū)域數(shù)據。如圖采納同樣的方法，創(chuàng)建反向輔

27、助區(qū)域。三FTP 服務器的創(chuàng)建1）依照實訓拓撲圖進行交換機、計算機的線纜連接，配置PC1、PC2、WebServer的IP地址。（2）WebServer上安裝IIS服務。單擊“開始”“治理工具”“配置您的服務器向導”，選中“DHCP服務器”，然后單擊“下一步”按鈕，開始安裝DHCP服務器。如圖3-7，圖3-8所示：（3）WebServer上創(chuàng)建總公司網站。單擊“開始”“治理工具”“Internet信息服務（IIS）治理器”，打開“Internet信息服務（IIS）治理器”操縱臺。右擊“網站”，在彈出的菜單中選擇“新建”“網站”，將打開“網站創(chuàng)建向導”對話框。單擊“下一步”按鈕，將出現(xiàn)“IP地址

28、和端口設置”對話框，在此對話框中設置網站IP地址“”，TCP端口號“80”，主機頭、“”（主機頭即網站的FQDN，參考5.2.3單擊“下一步”按鈕，將出現(xiàn)“網站主目錄”對話框，在此對話框設置網站主目錄“E:practrain-web”和是否同意以匿名方式訪問此網站。如圖單擊“下一步”按鈕，將出現(xiàn)“網站權限訪問”對話框，在此對話框中能夠設置網站的訪問權限，如圖單擊“下一步”按鈕，完成網站的創(chuàng)建。（6）WebServer上安裝FTP服務。( 7 ) 雙擊“Internet信息服務器（IIS）”，將打開“Internet信息服務器（IIS）”對話框。選中“文件傳輸協(xié)議（FTP）服務”復選框，如圖點擊

29、“確定”按鈕，返回“Windows組件”對話框；單擊“下一步”按鈕，開始安裝FTP服務。WebServer上創(chuàng)建FTP治理員站點并添加治理員用戶（禁止匿名訪問）。單擊“開始”“治理工具”“Internet信息服務（IIS）治理器”，打開“Internet信息服務（IIS）治理器”操縱臺。右擊“FTP站點”，在彈出菜單中選擇“新建”“FTP站點”，打開“FTP站點創(chuàng)建向導”如圖單擊“下一步”按鈕，將出現(xiàn)“IP地址設置和端口設置”對話框，在此對話框中設置FTP站點所使用的IP地址“”及端口號“21”單擊“下一步”按鈕，將出現(xiàn)“FTP用戶隔離”對話框，此對話框能夠使設置FTP用戶隔離的選項，如圖單擊

30、“下一步”按鈕，將出現(xiàn)“FTP站點主目錄”對話框，此對話框設置FTP站點的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點訪問權限”對話框，此對話框設置FTP站點的訪問權限，如圖單擊“下一步”按鈕，完成FTP站點創(chuàng)建，如圖右擊“FTP站點”下“practrain”站點，在彈出菜單中選擇“屬性”，在彈出的屬性對話框中選擇“安全賬戶”，將同意匿名連接去掉，點擊確定完成FTP站點配置，如圖單擊“開始”“治理工具”“計算機治理”，打開“計算機治理”操縱臺。選擇“本地用戶和用戶組”“用戶”，右擊新建“admin”用戶，如圖選中E盤下“web”文件夾右擊選擇“屬性”，彈出“web屬性”對話框中

31、選擇“安全”，點擊添加按鈕，如圖選擇“admin”用戶，點擊確定，如圖添加“admin”用戶的“修改”和“寫入”權限，如圖點擊確定，完成設置。單擊“下一步”按鈕，將出現(xiàn)“FTP站點內容目錄”對話框，在“路徑”文本框中輸入虛擬目錄映射的物理位置.如圖單擊“下一步”按鈕，將出現(xiàn)“虛擬目錄訪問權限”對話框，在此處選擇“讀取”和“寫入”復選框，如圖任務驗收配置驗收 （1）查看DHCP配置信息打開“治理工具”中“DHCP”對話框，查看兩個作用域中的各種配置選項，如圖 圖3-205.6 項目驗收DHCP功能在PC1、上將本地網絡連接設置為“自動獲得IP地址”和“自動獲得DNS服務器地址”， 圖3-21在命

32、令提示符界面中鍵入“ipconfig /all”敲Enter鍵將可查看到客戶機獲得IP地址等參數(shù)情況，如圖3-22所示：圖3-22DNS 驗證：查看Internet信息服務（IIS）治理器配置 功能驗收網站訪問FTP功能驗收“admin”用戶登錄，擁有該目錄下面所有文件及文件夾的修改刪除權限治理員登錄，擁有該目錄下面所有文件及文件夾的修改刪除權限刪除文件夾5.7 項目總結實驗過程沒有劃分為不同網段，如需劃分網段需要添加DHCP服務器的網卡，并在其他主機上面配置DHCP中繼代理，為了使不同網段能夠通信，還要設置路由。 WEB跟FTP服務器的配置相對簡單，F(xiàn)TP服務器的權限是要注意的重點。用戶的訪

33、問是FTP服務器權限與文件夾權限的疊加。針對某集團公司辦公區(qū)網站建設任務內容和目標，通過需求分析進行了實訓的規(guī)劃和實施，通過本任務進行了DNS ,DHCP、WEB、FTP基礎配置等方面的實訓。項目 6 集團公司網絡集中治理6.1 項目內容 某集團公司一家在全國各地區(qū)有多個分公司的物流大型企業(yè)，在完成項目3內容的組建基礎上，現(xiàn)需要對公司網絡進行統(tǒng)一治理，總部和各地分公司都能使用統(tǒng)一賬號訪問公司資源，為了保證網絡信息安全，需要提供公司各服務器和計算機微軟操作系統(tǒng)的補丁自動更新，請進行規(guī)劃和模擬實施。6.2 項目流程 SKIPIF 1 0 圖6-1 項目流程圖6.3 項目調查與需求分析6.3.1 項

34、目本項目針對集團軍公司的網絡進行治理，實現(xiàn)使用統(tǒng)一賬號訪問公司資源，并提供操作系統(tǒng)的補丁更新。6.3.21)具體調查經具體調查和與用戶的溝通，該集團公司分為總部和三個分公司網絡，分公司通過專線與總部連接，總部約有400臺計算機和多臺服務器，各分公司分不有50-100臺計算機，各分公司也各有1臺服務器提供網絡服務。2）具體需求需求1：采納先進的網絡技術和合理的結構完成企業(yè)網的網絡集中治理，以實現(xiàn)企業(yè)信息化的基礎。需求2：在總部和各地分公司均使用統(tǒng)一賬號高效穩(wěn)定地登錄和訪問公司資源，簡單有效。需求3：在總公司架設一臺服務器以提供公司各服務器和計算機操作系統(tǒng)的補丁自動更新。3）需求分析分析1：需要建

35、立一個域，并把公司計算機加入域中分析2：創(chuàng)建一個帳號，使全公司成員都能登錄進域中分析3：需要用WSUS來進行全公司的系統(tǒng)更新6.4 項目實訓要求要求1（必做）：模擬本項目的網絡服務組建并完成項目的需求分析、規(guī)劃、實施文檔。要求2（必做）：模擬本項目的網絡組建并完成項目實施的文檔，模擬實現(xiàn)企業(yè)網總部及1個分公司區(qū)域的網絡，實現(xiàn)統(tǒng)一治理和站點登錄。要求3（選做）：在以上基礎上實現(xiàn)公司微軟操作系統(tǒng)補丁服務器的架設和配置。6.5 項目實施6.51可靠性提供網絡服務的服務器必須穩(wěn)定可靠，為企業(yè)網用戶提供可靠的網絡服務。2安全性各項服務應考慮和保證其安全性，幸免出現(xiàn)網絡安全事故而阻礙企業(yè)網服務。3可擴充性

36、 企業(yè)網需要提供的服務將隨著信息服務的需求和進展進行增加和擴充，規(guī)劃和實施的各項網絡服務應具有可擴充性。4有用性 應能使用戶方便有用地訪問各種企業(yè)網服務并同意治理。6.5.2 項目活動目錄（Active Dirctory）活動目錄（Active Directory）是Windows 2003完全實現(xiàn)的目錄服務，也是Windows 2000網絡體系的差不多結構模型，是Windows 2003網絡操作系統(tǒng)的核心支柱，也是中心治理機構。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Dat

37、acenter Server的目錄服務。Active Directory存儲了有關網絡對象的信息，同時讓治理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結構化的數(shù)據存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動目錄是一個全面的目錄服務治理方案，也是一個企業(yè)級的目錄服務，具有專門好的可伸縮性?；顒幽夸洸杉{了Internet的標準協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒幽夸洸粌H能夠治理差不多的網絡資源，比如計算機對象、用戶賬戶、打印機等，它也充分考慮了現(xiàn)代應用的業(yè)務需求，為這些應用提供了差不多的治

38、理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用能夠直接利用系統(tǒng)提供的目錄服務結構，而且活動目錄也具有專門好的擴充能力，同意應用程序定制目錄中對象的屬性或者添加新的對象類型?；顒幽夸浻脩襞c組Windows Server 2003所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲在域操縱器的Active Directory數(shù)據庫內。用戶能夠利用域用戶賬戶登錄域，并利用它訪問網絡上的資源， 本地用戶賬戶：本地用戶賬戶是創(chuàng)建在非域操縱器的“本地安全賬戶數(shù)據庫”內，而不是域操縱器的Active Directory數(shù)據庫內。Windows

39、Server 2003將位于域中的組分為以下兩種類型：安全組：安全組能夠被用來設置權限，例如，能夠設置讓安全組對文件具備“讀取”的權限。安全組也能夠用在與安全無關的任務上，例如，能夠通過電子郵件軟件將電子郵件發(fā)送給安全組。分布式組：分布式組是用在與安全（權限的設置等）無關的任務上，例如，能夠通過電子郵件軟件將電子郵件發(fā)送給分布式組。用戶無法設置分布式組的權限?；顒幽夸浾军c與復制活動目錄“站點”是由一個或多個IP子網所組成，這些子網絡之間是通過高速連接所串接起來的，而那個地點所謂的“高速”是指這些子網之間的連接速度要夠快才能夠，否則應該將它們分不規(guī)劃為不同的站點。 域是邏輯的分組，站點是物理的分

40、組。每個站點可能包含多個域，一個域內的計算機可能同時分不屬于不同的站點。同一個站點內的同一個域操縱器會自動設置執(zhí)行復制，其默認的復制頻率比不同站點之間快。除了特不小的網絡之外，目錄數(shù)據必須駐留在網絡上的多個位置，以便于所有用戶均等地使用。通過復制，Active Directory目錄服務在多個域操縱器上保留目錄數(shù)據的副本，從而確保所有用戶的目錄可用性和性能。Active Directory 使用一種多主機復制模型，同意在任何域操縱器上（而不只是委派的主域操縱器上）更改目錄。Active Directory 依靠站點概念來保持復制的效率，并依靠知識一致性檢查器 (KCC) 來自動確定網絡的最佳復

41、制拓撲。組策略組策略是治理員為用戶和計算機定義并操縱程序、網絡資源及操作系統(tǒng)行為的要緊工具。通過使用組策略能夠設置各種軟件、計算機和用戶策略，能夠完成用戶所需軟件的自動安裝、自動定制用戶環(huán)境、自動將用戶的文件夾重定向等一系列高級功能。例如，可使用“組策略”關心用戶自動安裝軟件、從桌面刪除圖標、自定義“開始”菜單并簡化“操縱面板”。此外,還可添加在計算機上（在計算機啟動或停止時，以及用戶登錄或注銷時）運行的腳本，甚至可配置Internet Explorer等多種功能。要實現(xiàn)用“組策略”治理網絡中的計算機和用戶，需要網絡中有Active Directory服務器，工作站須是Windows 2000

42、、Windows XP或Windows Server2003等操作系統(tǒng)，同時加入到Active Directory域中，還需創(chuàng)建與配置“組織單位”的組策略。Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設計用來大量精簡IT系統(tǒng)在執(zhí)行重大更新時的程序。通過使用 Windows Server 更新服務 (WSUS)，治理員能夠快速而可靠地將 Windows 2000 操作系統(tǒng)和更高版本、Office XP 和更高版本、Exchange Server 20

43、03 以及 SQL Server 2000 的最新關鍵更新和安全更新部署到 Windows 2000 和更高版本的操作系統(tǒng)。Windows 自動更新是Windows 的一項功能，當適用于您的計算機的重要更新公布時，它會及時提醒用戶下載和安裝。使用自動更新能夠在第一時刻更新操作系統(tǒng)，修復系統(tǒng)漏洞，愛護計算機安全。在小規(guī)模的網絡當中，客戶端能夠通過windows系統(tǒng)自帶的自動更新來從微軟下載補丁。但在大中型的網絡當中，假如每臺計算機都單獨去微軟更新補丁，那么則會極大的阻礙企業(yè)的外部網絡帶寬。WSUS的思路是先用一臺計算機（wsus）去微軟檢測并選擇要下載補丁，然后網絡內其他的計算機從WSUS服務器

44、來下載補丁，它也可直接下發(fā)補丁。如此也既可不能白費外部網絡帶寬，也能讓所有的計算機得到更新。6.5.3 實訓設備與軟件設備類型設備型號數(shù)量（每組）備注交換機H3C3100 1臺服務器宏基P43臺計算機宏基P43臺服務器操作系統(tǒng)Windows Server20033可使用虛擬機環(huán)境服務器參數(shù)及分配的網絡參數(shù)規(guī)劃表服務器名角色IP地址SrvAD-01域操縱器0SrvAD-02域成員3實施步驟規(guī)劃1）規(guī)劃分配服務器參數(shù)2）安裝配置Windows Server 2003活動目錄（用戶治理、計算機加入域、站點與復制）3）安裝配置WSUS服務器（WSUS、組策略）4）配置計算機參數(shù)并依照需求驗證實現(xiàn)的功能

45、5）完成項目文檔資料6.5.4 實施步驟（請將要緊實施步驟整理列出）1.在SrvAD-01上安裝域操縱器2.在SrvAD-02上安裝子域操縱器3.建立賬號，用來集中治理4.設置組策略6.6 項目驗收兩臺服務器的域操縱器站點驗證統(tǒng)一治理用戶驗證安全策略驗證6.7 項目總結通過這次實訓，讓我了解到在企業(yè)里面應用域來治理計算機能大大的節(jié)約人力和時刻，并能夠增強安全。在本次實訓項目中，讓我們收獲了專門多往常沒有了解的知識面。才明白往常我們上課掌握的知識確實是太少了 ，在這之前我關于一些服務器安裝和配置都有一些陌生，在建立域之前，應收集實際環(huán)境的信息，按照實際來設計和配置每個服務器和個人電腦的角色。從而

46、強化我們的動手能力和應對能力。在實際的環(huán)境中也能揮曬自如。項目 7 校園網網絡安全系統(tǒng)7.1 項目內容 某高等職業(yè)學院差不多在項目2的基礎上組建了校園園區(qū)網，校園各區(qū)域均已連通，校園網打算有兩條出口線路分不與CHINANET和CERNET連接，需實現(xiàn)校園網所有用戶對外訪問，同時校園網的WEB、FTP等服務器需要提供校外用戶訪問，還可提供學校用戶在家訪問學校的一些內部網絡應用，同時為了保障校園網絡安全，需要對校園網的服務器操作系統(tǒng)進行安全防護，同時打算部署全網的防病毒系統(tǒng)，請進行校園網的安全進行規(guī)劃和模擬實施。7.2 項目流程 SKIPIF 1 0 圖7-1 項目流程圖7.3 項目調查與需求分析

47、7. 3. 本項目針對校園園區(qū)網的網絡安全進行建設和治理，提供內外網轉換和外部安全訪問校園網內部，并進行防病毒系統(tǒng)的部署。7. 3. 21) 具體調查經具體調查和與用戶的溝通，校園網有近6000用戶、約30臺服務器提供服務，校園網通過租用1條100M電信線路和1條10M教育網線路分不連接互聯(lián)網和CERNET。其中互聯(lián)網線路分配的其中部分IP地址范圍為：30/27 37/27。2）具體需求需求1：采納先進的網絡通信技術和合理的網絡結構進行校園網出口部分的建設，實現(xiàn)內部用戶快捷安全訪問互聯(lián)網和教育網。需求2：一些校園網服務器需提供外部的公共訪問服務（WWW、FTP等服務），使互聯(lián)網用戶能安全方便地

48、訪問學校的公共資源和信息。需求3：一些校園網內部的資源（例如辦公系統(tǒng)、電子圖書等）需要提供學校的教職職員在外安全訪問。需求4：保障和加強服務器安全性，對校園網的服務器操作系統(tǒng)進行安全防護，為校園網系統(tǒng)提供穩(wěn)定的網絡服務。需求5：為保障校園網全網安全，加強各用戶計算機的安全防護，安裝使用防病毒軟件。3）需求分析分析1：使用合理規(guī)劃的地址和路由協(xié)議使校園網用戶能夠連接到,并通過專線連接到教育網分析2：為了使互聯(lián)網用戶能夠訪問到校園網資源，必須在校園網內安裝WEB 與FTP 服務器為用戶提供訪問。分析3：配置虛擬專用網（VPN）為校外出差人員提供遠程訪問。分析4：在校園網出口位置配置NAT防火墻。提

49、供私有地址與公共IP地址轉換。分析5：安裝必要的殺毒軟件7.4 項目實訓要求要求1（必做）：模擬本項目的網絡安全系統(tǒng)組建并完成項目實施的文檔，模擬實現(xiàn)校園網絡的安全防護。要求2（必做）：使用防火墻或軟件進行校園網出口互聯(lián)網部分的內外網轉換（NAT），服務器的對外公布訪問和安全（SAT）。要求3（必做）：進行服務器操作系統(tǒng)的安全配置和防護。（主機安全）要求3（選做）：使用防火墻或軟件進行校園網的外部安全訪問內部網絡（VPN）。要求4（選做）：進行校園網的網絡防病毒系統(tǒng)配置和實施。7.5 項目實施7.51可靠性提供網絡服務的服務器必須穩(wěn)定可靠，為校園網用戶和校外用戶提供可靠的網絡服務。2安全性各項

50、服務應考慮和保證其安全性，幸免出現(xiàn)網絡安全事故而阻礙校園網服務。3可擴充性 校園網需要提供的服務將隨著信息服務的需求和進展進行增加和擴充，規(guī)劃和實施的各項網絡服務應具有可擴充性。4有用性 校園網具有用戶數(shù)量多、應用環(huán)境復雜的特點，應能使用戶方便有用地訪問各種校園網服務。7.5.2 項目防火墻傳統(tǒng)意義的防火墻被設計用來防止火從大廈的一部份。在網絡上防火墻簡單的能夠只用路由器實現(xiàn)，復雜的能夠用主機甚至一個子網來實現(xiàn)。設置防火墻目的差不多上為了在內部網與外部網之間設立唯一的通道，簡化網絡的安全治理。防火墻是一種高級訪問操縱設備，置于不同安全域之間，是不同安全域之間的唯一通道，能依照企業(yè)有關的安全政策

51、執(zhí)行同意，拒絕，監(jiān)視，記錄進出網絡的行為。防火墻是一個或一組系統(tǒng)，用于治理兩個網絡直接的訪問操縱及策略，所有從內部訪問外部的數(shù)據流和外部訪問內部的數(shù)據流均必須通過防火墻；只有在被定義的數(shù)據流才能夠通過防火墻(假如通過其他方式帶出信息，則無法防備），防火墻本身必須有專門強的免疫力。防火墻技術防火墻通常使用的安全操縱手段要緊有包過濾、狀態(tài)檢測、代理服務。包過濾技術是一種簡單、有效的安全操縱技術，它通過在網絡間相互連接的設備上加載同意、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數(shù)據包進行檢查，限制數(shù)據包進出內部網絡。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全操縱層

52、次在網絡層、傳輸層，安全操縱的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全操縱，關于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全操縱方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，同意符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據包，只要符合狀態(tài)表，就能夠通過。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數(shù)據包，不關懷數(shù)據包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網絡的數(shù)據當成一個個的事件來處理。應用網關防火墻檢查所有應用層的信息包，并將檢查的內

53、容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火墻是通過打破客戶機服務器模式實現(xiàn)的。每個客戶機服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。因此，應用網關防火墻具有可伸縮性差的缺點。防火墻工作模式防火墻一般位于企業(yè)內部網絡出口與互聯(lián)網直接相連是企業(yè)網絡的第一道屏障。依照防火墻和內外網絡的結構,防火墻具有三種工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墻就仿佛是一臺網橋，不改動其原有的網絡拓撲結構。網絡設備和所

54、有計算機的設置（包括IP地址和網關）無須改變，同時解析所有通過它的數(shù)據包，既增加了網絡的安全性，又降低了用戶治理的復雜程度。透明模式的防火墻結構如下圖所示。 2.路由模式傳統(tǒng)防火墻一般工作于路由模式，防火墻能夠讓處于不同網段的計算機通過路由轉發(fā)的方式互相通信并可將內部私有IP地址轉換為互聯(lián)網地址。路由模式的防火墻結構如下圖所示:3.混合模式在企業(yè)復雜的網絡環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y構如下圖所示:防火墻產品簡介1阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內核，即：防火墻沒有操作系統(tǒng)，因此可不能存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時，因為操作系統(tǒng)需要不斷

55、地去維護、升級，無操作系統(tǒng)就不存在此類問題，這也排除了因為系統(tǒng)升級、打補丁破壞防火墻功能、性能的問題。阿姆瑞特防火墻內核啟動后，可直接治理防火墻的所有硬件（CPU、網卡、總線等），它能夠在底層從硬件設備中接管進出防火墻數(shù)據并進行處理，利用了所有可能的硬件性能，同時減少了操作系統(tǒng)的開銷，因此能夠最快的處理數(shù)據，使其成為市場上現(xiàn)有的最快的防火墻之一。2ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級不的路由軟件防火墻，它能夠讓企業(yè)內部網絡安全、快速的連接到Internet，性能能夠和硬件防火墻媲美，同時深層次的應

56、用層識不功能是目前專門多基于包過濾的硬件防火墻都不具備的，能夠在網絡的任何地點，如兩個或多個網絡的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個主機上配置ISA Server 來對網絡或主機進行防護。ISA Server的要緊特性：（1）多層防火墻安全防火墻能夠通過各種方法增強安全性，包括數(shù)據包篩選、電路層篩選和應用程序篩選。高級的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網絡層提供愛護，為企業(yè)提供最低的投入的基礎上最高的回報。(2）狀態(tài)檢測狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據以及連接的狀態(tài)。在數(shù)據包層，

57、ISA Server 檢查在 IP 消息頭中指明的通信來源和目標，以及在標識所采納的網絡服務或應用程序的 TCP 或 UDP 消息頭中的端口。動態(tài)數(shù)據包篩選器能夠使窗口的打開只響應用戶的請求，同時打開端口的持續(xù)時刻恰好滿足該請求的需要，從而減少與打開端口相關的攻擊。ISA Server 能夠動態(tài)地確定，哪些數(shù)據包能夠傳送到內部網絡的電路層和應用程序層服務。治理員能夠配置訪問策略規(guī)則，以便只在同意的情況下自動打開端口，然后當通信結束時關閉端口。這一過程稱為動態(tài)數(shù)據包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網絡提供更高的安全性，使問題較少發(fā)生。(3）集成的入侵檢測ISA Server利用一

58、家名為 Internet Security Systems 的公司所提供的技術，提供關心治理員識不諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網絡攻擊的這種服務。同時ISA能夠自動對其作出響應。這項技術給 ISA Server 提供了能識不此類攻擊的集成入侵檢測機制。當識不出這種攻擊時，警報還能同時指出 ISA Server 應采取什么行動，這些行動可包括向系統(tǒng)治理員發(fā)送電子郵件或尋呼，停止 Firewall 服務，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。(4）高性能 Web 緩存ISA Server 對 Web 緩存進行了完全的重新設計，使它能夠將緩存放入 RA

59、M 中我明白現(xiàn)在專門多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強的后端可伸縮性，并提供了更快的 Web 客戶機總體響應時刻。這關于企業(yè)內部來講尤其重要，因為職員需要快速訪問 Web 內容，而企業(yè)也需要適當?shù)墓?jié)約網絡帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。因此您能夠通過多臺 ISA Server 計算機組成的陣列來提供無縫縮放和更高的效率。(6)活動緩存通過一個叫做活動緩存的功能，可配置 ISA S

60、erver 使其自動更新緩存中的對象。使用這種功能，ISA Server 可通過主動刷新內容來優(yōu)化帶寬的使用。通過活動緩存，經常被訪問的對象在它們到期之前，在低網絡流量時段自動更新。(7)統(tǒng)一治理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務、VPN 和 Microsoft 治理操縱臺(MMC，Microsoft Management Console)。所有這些功能，特不是 MMC，會使得治理更容易，因為操作人員熟悉它，并可從一個操縱臺同時治理防火墻和 Web 緩存。(8)企業(yè)策略和訪問操縱ISA Server 還支持創(chuàng)建企業(yè)級和