《網(wǎng)絡(luò)管理與維護(hù)》第7章 服務(wù)器管理

第7章服務(wù)器管理127.1服務(wù)器概述7.2服務(wù)器的安全與管理返回7.1服務(wù)器概述7.1.1服務(wù)器的外觀與性能服務(wù)器(見圖7一1)是網(wǎng)絡(luò)環(huán)境中的高性能計算機(jī)，它偵聽網(wǎng)絡(luò)上的其他計算機(jī)(客戶機(jī))提交的服務(wù)請求，并提供相應(yīng)的服務(wù)。為此，服務(wù)器必須具有承擔(dān)服務(wù)并且保障服務(wù)的能力。服務(wù)器作為網(wǎng)絡(luò)上一種為客戶端計算機(jī)提供各種服務(wù)的高性能計算機(jī)，它在網(wǎng)絡(luò)操作系統(tǒng)的控制下，將與其相連的硬盤、磁帶、打印機(jī)、Modem及各種專用通信設(shè)備提供給網(wǎng)絡(luò)上的客戶站點共享，也能為網(wǎng)絡(luò)用戶提供集中計算、信息發(fā)表及數(shù)據(jù)管理等服務(wù)。它的高性能主要體現(xiàn)在高速度的運算能力、長時間的可靠運行、強(qiáng)大的外部數(shù)據(jù)吞吐能力等方面。

下一頁返回7.1服務(wù)器概述服務(wù)器的構(gòu)成與微機(jī)基本相似，有處理器、硬盤、內(nèi)存、系統(tǒng)總線等，它們是針對具體的網(wǎng)絡(luò)應(yīng)用特別制定的，因而服務(wù)器與微機(jī)在處理能力、穩(wěn)定性、可靠性、安全性、可擴(kuò)展性、可管理性等方面存在很大差異。上一頁下一頁返回7.1服務(wù)器概述7.1.2服務(wù)器的分類按照不同的分類標(biāo)準(zhǔn)，服務(wù)器分為許多種。

1.按網(wǎng)絡(luò)規(guī)模劃分按網(wǎng)絡(luò)規(guī)模劃分，服務(wù)器分為工作組級服務(wù)器、部門級服務(wù)器、企業(yè)級服務(wù)器。工作組級服務(wù)器用于聯(lián)網(wǎng)計算機(jī)在幾十臺左右或者對處理速度和系統(tǒng)可靠性要求不高的小型網(wǎng)絡(luò)，其硬件配置相對比較低，可靠性不是很高。部門級服務(wù)器用于聯(lián)網(wǎng)計算機(jī)在百臺左右、對處理速度和系統(tǒng)可靠性中等的中型網(wǎng)絡(luò)，其硬件配置相對較高，其可靠性居于中等水平。企業(yè)級服務(wù)器用于聯(lián)網(wǎng)計算機(jī)在數(shù)百臺以上、對處理速度和數(shù)據(jù)安全要求最高的大型網(wǎng)絡(luò)，硬件配置最高，系統(tǒng)可靠性要求最高。上一頁下一頁返回需要注意的是，這三種服務(wù)器之間的界限并不是絕對的，而是比較模糊的，比如工作組級服務(wù)器和部門級服務(wù)器的區(qū)別就不是很明顯，有的干脆統(tǒng)稱為“工作組/部門級”服務(wù)器。2.按架構(gòu)劃分按照服務(wù)器的結(jié)構(gòu)，可以分為CISC架構(gòu)的服務(wù)器和RISC架構(gòu)的服務(wù)器。

CISC架構(gòu)的服務(wù)器主要指的是采用英特爾架構(gòu)技術(shù)的服務(wù)器，即我們常說的“PC服務(wù)器”;RISC架構(gòu)的服務(wù)器指采用非英特爾架構(gòu)技術(shù)的服務(wù)器，如采用PowerPC,Alpha,PA-RISC,Sparc等RISCCPU的服務(wù)器。上一頁下一頁返回7.1服務(wù)器概述7.1服務(wù)器概述RISC架構(gòu)服務(wù)器的性能和價格比CISC架構(gòu)的服務(wù)器高得多。近幾年來，隨著PC技術(shù)的迅速發(fā)展，IA架構(gòu)服務(wù)器與RISC架構(gòu)的服務(wù)器之間的技術(shù)差距已經(jīng)大大縮小，用戶基本上傾向于選擇IA架構(gòu)服務(wù)器，但RISC架構(gòu)服務(wù)器在大型、關(guān)鍵的應(yīng)用領(lǐng)域中仍然居于非常重要的地位。

3.按用途劃分按照使用的用途，服務(wù)器又可以分為通用型服務(wù)器和專用型(或稱“功能型”)服務(wù)器。通用型服務(wù)器是沒有為某種特殊服務(wù)專門設(shè)計的可以提供各種服務(wù)功能的服務(wù)器，當(dāng)前大多數(shù)服務(wù)器是通用型服務(wù)器。專用型(或稱“功能型”)服務(wù)器是專門為某一種或某幾種功能專門設(shè)計的服務(wù)器，在某些方面與通用型服務(wù)器有所不同。如光盤鏡像服務(wù)器是用來存放光盤鏡像的，那么需要配備大容量、高速的硬盤以及光盤鏡像軟件。上一頁下一頁返回

4.按外觀劃分服務(wù)器如果從外觀類型可以分成三種，分別是塔式服務(wù)器、機(jī)架式服務(wù)器和刀片式服務(wù)器。

(1)塔式服務(wù)器它的外形和立式PC機(jī)差不多，由于它的外形以及結(jié)構(gòu)對空間的要求不高，所以機(jī)器的可擴(kuò)展性就比較好。由于服務(wù)器的主板擴(kuò)展性較強(qiáng)、插槽也多出很多，所以體積比普通主板大一些，因此塔式服務(wù)器的主機(jī)機(jī)箱也比標(biāo)準(zhǔn)的新主板架構(gòu)機(jī)箱要大，一般都會預(yù)留足夠的內(nèi)部空間以便日后進(jìn)行硬盤和電源的冗余擴(kuò)展。塔式服務(wù)器的配置也可以很高，冗余擴(kuò)展性強(qiáng)，所以它的應(yīng)用范圍非常廣，應(yīng)該說日前使用率最高的一種服務(wù)器就是塔式服務(wù)器。平常所說的通用服務(wù)器一般都是塔式服務(wù)器，它可以集多種常見的服務(wù)應(yīng)用于一身，不管是速度應(yīng)用還是存儲應(yīng)用都可以使用塔式服務(wù)器來解決。上一頁下一頁返回7.1服務(wù)器概述7.1服務(wù)器概述

關(guān)于這種產(chǎn)品的型號區(qū)別，國內(nèi)一般的廠商都用“T”字母開頭，既有中文塔的開頭，又和英文“Tower”一樣，便于記憶。就使用對象或者使用級別來說，日前常見的入門級和工作組級服務(wù)器基本上都采用這一服務(wù)器結(jié)構(gòu)類型，但是在一些應(yīng)用需求較高的企業(yè)中，單機(jī)服務(wù)器就無法滿足要求了，需要多機(jī)協(xié)同工作，而塔式服務(wù)器體積大，獨立性較強(qiáng)，協(xié)同工作在空間占用和系統(tǒng)管理上都不方便，這也是塔式服務(wù)器的局限性。綜上，塔式服務(wù)器的優(yōu)點是擴(kuò)展相對容易，空間自由，所以維護(hù)起來很方便。這類服務(wù)器的功能、性能基本上能滿足大部分中小企業(yè)用戶的要求，其成本通常也比較低，因此這類服務(wù)器還是擁有非常廣泛的應(yīng)用支持。上一頁下一頁返回7.1服務(wù)器概述

(2)機(jī)架式服務(wù)器機(jī)架式服務(wù)器實際上是工業(yè)標(biāo)準(zhǔn)化下的產(chǎn)品，其外觀按照統(tǒng)一標(biāo)準(zhǔn)來設(shè)計，配合機(jī)柜統(tǒng)一使用。在空間上，主要用U來衡量其高度。而其服務(wù)器內(nèi)部就做廠多種結(jié)構(gòu)優(yōu)化，它的設(shè)計宗旨主要是為了盡可能減少服務(wù)器空間的占用，而減少空間的直接好處就是在機(jī)房托管的時候價格會便宜很多。這種設(shè)計不但使服務(wù)器的生產(chǎn)和外形有廠標(biāo)準(zhǔn)，也使它們與更多的IT設(shè)備(交換機(jī)和路由器等設(shè)備)一樣，可以放到機(jī)架上，統(tǒng)一起來管理會更加專業(yè)。這樣做的好處非常明顯:一方面可以使設(shè)備占用最小的空間，另一方面則便于與其他網(wǎng)絡(luò)設(shè)備的連接和管理，同時機(jī)房內(nèi)也會顯得整潔、美觀。上一頁下一頁返回7.1服務(wù)器概述

機(jī)架式服務(wù)器的寬度為19英寸，高度以U為單位(1U=1.75英寸=44.45毫米)，通常有1U,2U,3U,4U,SU,7U幾種標(biāo)準(zhǔn)的服務(wù)器。用戶可以根據(jù)自己服務(wù)器的標(biāo)高靈活調(diào)節(jié)高度，以存放服務(wù)器、集線器、磁盤陣列柜等網(wǎng)絡(luò)設(shè)備。服務(wù)器擺放好后，它的所有I/()線全部從機(jī)柜的后方引出(機(jī)架服務(wù)器的所有接口也在后方)，統(tǒng)一安置在機(jī)柜的線槽中，一般貼有標(biāo)號，便于管理?，F(xiàn)在很多互聯(lián)網(wǎng)的網(wǎng)站服務(wù)器其實都是由專業(yè)機(jī)構(gòu)統(tǒng)一托管的，網(wǎng)站的經(jīng)營者其實只是維護(hù)網(wǎng)站頁面，硬件和網(wǎng)絡(luò)連接則交給托管機(jī)構(gòu)負(fù)責(zé)，因此，托管機(jī)構(gòu)會根據(jù)受管服務(wù)器的高度來收取費用，1U的服務(wù)器在托管時收取的費用比2U的要便宜很多，這就是為什么這種結(jié)構(gòu)的服務(wù)器現(xiàn)在會廣泛應(yīng)用于互聯(lián)網(wǎng)事業(yè)。機(jī)架式服務(wù)器的一般型號用R來表示，是取Rack的第一個字母。上一頁下一頁返回7.1服務(wù)器概述

機(jī)架式服務(wù)器因為空間比塔式服務(wù)器大大縮小，所以這類服務(wù)器在擴(kuò)展性和散熱問題上受到一定的限制，所以單機(jī)性能就比較有限，應(yīng)用范圍也比較有限，只能專注于某一方面的應(yīng)用，如遠(yuǎn)程存儲和網(wǎng)絡(luò)服務(wù)的提供等，但由于很多配件不能采用塔式服務(wù)器的那種普通型號，而自身又有空間小的優(yōu)勢，所以機(jī)架式服務(wù)器一般會比同等配置的塔式服務(wù)器價格要貴20%-30%。

(3)刀片式服務(wù)器刀片式服務(wù)器在2001年才出現(xiàn)，由于它對空間更加節(jié)省，而且集成度更高，所以從技術(shù)發(fā)展來看是未來的大趨勢。刀片式服務(wù)器現(xiàn)在被更多的IT廠商和用戶所接受，已經(jīng)成為銀行、電信、金融以及各種數(shù)據(jù)中心所青睞的產(chǎn)品。上一頁下一頁返回7.1服務(wù)器概述

刀片式服務(wù)器是一種高可用、高密度的低成本服務(wù)器平臺，是專門為特殊應(yīng)用行業(yè)和高密度計算機(jī)環(huán)境設(shè)計的。其中每一塊“刀片”實際上就是一塊系統(tǒng)主板。它們可以通過本地硬盤啟動自己的操作系統(tǒng)，WindowsNT/2000,Linux,Solaris等，類似于一個個獨立的服務(wù)器。在這種模式下，每一個主板運行自己的系統(tǒng)，服務(wù)于指定的不同用戶群，相互之間沒有關(guān)聯(lián)。不過可以用系統(tǒng)軟件將這些主板集合成一個服務(wù)器集群。在集群模式下，所有的主板可以連接起來提供高速的網(wǎng)絡(luò)環(huán)境，可以共享資源，為相同的用戶群服務(wù)。在集群中插入新的“刀片”，就可以提高整體性能。而由于每塊“刀片”都是熱插拔的，所以，系統(tǒng)可以輕松地進(jìn)行替換，并且將維護(hù)時間減少到最小。值得一提的是，系統(tǒng)配置可以通過一套智能KVM和9個或10個帶硬盤的CPU板來實現(xiàn)。CPU可以配置成為不同的子系統(tǒng)。一個機(jī)架中的服務(wù)器可以通過新型的智能KVM轉(zhuǎn)換板共享一套光驅(qū)、軟驅(qū)、鍵盤、顯示器和鼠標(biāo)，以訪問多臺服務(wù)器，從而便于進(jìn)行升級、維護(hù)和訪問服務(wù)器上的文件。上一頁下一頁返回7.1服務(wù)器概述

刀片式服務(wù)器一般用B來表示，取BladeServe:的第一個字母。從它的特點來說，比較適合多操作系統(tǒng)用戶的使用，對大型的數(shù)據(jù)中心或者需要大規(guī)模計算的領(lǐng)域，可以采購，但是其對電力供應(yīng)和散熱處理都是很大的問題。上一頁下一頁返回7.1服務(wù)器概述7.1.3中小企業(yè)如何采購服務(wù)器對于采購服務(wù)器的人來說，人們總希望花最少的錢買到最超值的產(chǎn)品或服務(wù)。塔式服務(wù)器擴(kuò)展相對容易，對空間要求不高，管理靈活方便，比較適合中小企業(yè)和5臺以下服務(wù)器的用戶采購;而機(jī)架式服務(wù)器非常標(biāo)準(zhǔn)，主要安放在標(biāo)準(zhǔn)機(jī)架上，和其他IT設(shè)備一起管理，比較適合中型企業(yè)和大型企業(yè)用戶;刀片式服務(wù)器本身匯集廠很強(qiáng)的計算能力，又有很高的安全性和冗余設(shè)計，適合特殊行業(yè)用戶在做大型的計算和數(shù)據(jù)處理時應(yīng)用。上一頁下一頁返回7.1服務(wù)器概述中小企業(yè)采購服務(wù)器時需要考慮的因素有:1.穩(wěn)定性這是服務(wù)器最重要的因素之一，然而對許多人來說，“穩(wěn)定”似乎是個十分抽象的名詞，似乎每一家服務(wù)器廠商都在強(qiáng)調(diào)自己的產(chǎn)品十分穩(wěn)定。其實，“穩(wěn)定”并非完全沒有脈絡(luò)可尋，也并非貴的產(chǎn)品即是穩(wěn)定者，可從以下方面來考量服務(wù)器的穩(wěn)定性。

(1)整體組裝品質(zhì)通常較有規(guī)模的廠家所組裝的產(chǎn)品，有一定的品管及制造流程，因此，若打開機(jī)箱觀察，便不難發(fā)現(xiàn)若是布線凌亂、機(jī)箱用料單薄、組件吻合度不佳或CPU、內(nèi)存及硬盤無原廠保固貼紙等，就絕對不該將之列入考慮范圍。上一頁下一頁返回7.1服務(wù)器概述(2)良好的散熱設(shè)計服務(wù)器大多需要長時間運作，因此良好的散熱性能是十分重要的。散熱性能可以由廠商數(shù)據(jù)、散熱風(fēng)力強(qiáng)度或?qū)嶋H測試得知，散熱良好的服務(wù)器往往有著較佳的穩(wěn)定性能。比如華碩的機(jī)架式服務(wù)器AP1600R-SS采用無線材設(shè)計，散熱性能卓越。

(3)承諾售后服務(wù)內(nèi)容對自己所出品的產(chǎn)品有信心的廠家，通常會提供較好的服務(wù)內(nèi)容，另有多種增值服務(wù)可供選擇。

(4)整體口碑通常服務(wù)器產(chǎn)品口碑十分重要，選擇有人推薦的品牌或市場上較老的品牌也是一種辦法。但是，有時也會有新的品牌或產(chǎn)品也十分優(yōu)良的，這些就要靠一些專家的推薦或試用測試。上一頁下一頁返回7.1服務(wù)器概述(5)權(quán)威性評比推薦一些權(quán)威性的雜志常常會有一些評比，也不失為一種參考依據(jù)，但最主要的還是要看一些實際運行性能測試，并多比較相關(guān)報道，才容易獲得客觀的意見。

(6)實際測試如果可能的話，最好先購買少量產(chǎn)品進(jìn)行測試，安裝欲使用的軟件，并且可以長時間運行看看。服務(wù)器應(yīng)該能夠長時間運行，最好去網(wǎng)站上下載一些測試軟件，實際運作以觀察其穩(wěn)定度如何。

上一頁下一頁返回2.升級維護(hù)成本許多品牌服務(wù)器可能在購買時總價并不高，但卻有著十分可觀的升級維護(hù)成本。比方說，有一些國外品牌的服務(wù)器，往往為了提高市場占有率，將利潤壓得很低，但一些用于升級的配件，如CPU、內(nèi)存、硬盤、磁盤陣列卡等卻十分昂貴，另外，在其原廠保固期到期后，其續(xù)約的維護(hù)成本亦十分昂貴。因此，升級維護(hù)成本也是一個需要考慮的因素。上一頁下一頁返回7.1服務(wù)器概述7.1服務(wù)器概述

3.廠家研發(fā)制造實力許多廠家都推出PC服務(wù)器產(chǎn)品，有些價格也十分便宜，但使用者真正該考慮的應(yīng)該是廠家本身的實力如何。一般來說，國際品牌的廠商往往較具有實力，研發(fā)經(jīng)驗也較豐富。但重要的是，廠商自己本身要有經(jīng)驗豐富的研發(fā)團(tuán)隊。然而，近年來由于競爭激烈，PC服務(wù)器價格下降不少，因此幾乎大多數(shù)的外商品牌之PC服務(wù)器都是由其他廠商代工，因此，考量這些品牌的服務(wù)器時，就應(yīng)該排除對品牌的迷信，了解其代工廠的實力及研發(fā)能力。

4.解決問題的能力雖然許多外商在研發(fā)技術(shù)方面不差，但往往因為研發(fā)部門大都在海外，當(dāng)客戶發(fā)生問題時，需由當(dāng)?shù)劁N售網(wǎng)點反映至國外總部，其反饋速度必然受到影響，而國內(nèi)廠商的研發(fā)機(jī)構(gòu)層次相對而言沒有如此復(fù)雜，是可以優(yōu)先考慮的對象。上一頁下一頁返回7.1服務(wù)器概述

綜合以上各點，選購一臺好的PC服務(wù)器，最重要的還是符合自己的需要，以及穩(wěn)定度和售后服務(wù)的保障，當(dāng)然，最有效的方式，無疑是架構(gòu)一個仿真的環(huán)境，實地加以測試運作，才是最保險的方式。采購者也應(yīng)該站在較為理智的立場，根據(jù)各項要點加以評估，千萬不要對品牌盲日迷信，而采購了一臺價格十分昂貴、品質(zhì)卻沒有比一般品牌高出多少的服務(wù)器。上一頁返回7.2服務(wù)器的安全與管理7.2.1提高服務(wù)器可靠性的方法服務(wù)器的可用性，其實就是要求服務(wù)器具有高可靠性和高穩(wěn)定性，不要時不時宕機(jī)、出故障，盡量少出現(xiàn)停機(jī)待修現(xiàn)象。絕大多數(shù)應(yīng)用情況下是要求服務(wù)器連續(xù)工作的，所以它的可靠性非常重要。提高可靠性的方法可分為系統(tǒng)級和單機(jī)。在系統(tǒng)級提高可靠性的做法一般來說有集群和雙機(jī)熱備份。這里我們只討論單臺服務(wù)器內(nèi)部采用的提高可靠性的技術(shù)和做法。

下一頁返回7.2服務(wù)器的安全與管理1.冗余配置提高可用性日前，提高可靠性的一個普遍做法，就是部件的冗余配置和內(nèi)存查、糾錯技術(shù)。如服務(wù)器一般選用具有查、糾錯能力的ECC內(nèi)存，RAID技術(shù)，熱插拔技術(shù)，冗余電源，冗余風(fēng)扇以及CPU故障彈性引導(dǎo)技術(shù)和故障內(nèi)存自動屏蔽等方法，使服務(wù)器具備容錯能力、安全保護(hù)能力和不停機(jī)維修更換故障部件的能力，從而大大提高服務(wù)器的可靠性。對可用性的要求，還包括可管理性和完備的售后服務(wù)體系?？晒芾硇约捶?wù)器具有實時監(jiān)控、故障報警、遠(yuǎn)程故障診斷和遠(yuǎn)程設(shè)備管理功能。這些都是為了進(jìn)一步減少因服務(wù)器本身故障的停機(jī)時間，提高服務(wù)器的可靠性，即可用性。

上一頁下一頁返回7.2服務(wù)器的安全與管理硬件設(shè)備冗余通常支持熱插拔功能，如冗余CPU,RAM,PCI擴(kuò)展設(shè)備、電源、風(fēng)扇等，可以在單個部件失效的情況下屏蔽故障部件，并自動切換到備用設(shè)備上，保證系統(tǒng)正常運行。此外，獨特的硬件管理總線(I2C)技術(shù)，利用專門的硬件管理機(jī)制，可在系統(tǒng)出現(xiàn)異常情況時(如機(jī)箱溫度超標(biāo)、內(nèi)存出錯、機(jī)箱被異常開啟等)，迅速發(fā)出警報并予以處理。從用戶的角度出發(fā)，一般在選擇服務(wù)器產(chǎn)品時，需注意服務(wù)器能否保證24x7x365不間斷工作，是否采用了冗余技術(shù)。運行在關(guān)鍵性任務(wù)環(huán)境下的服務(wù)器，一般要求選擇冗余電源、熱插拔硬盤、配置RAID卡，必要時需提供雙機(jī)熱備份方案。同時，可遠(yuǎn)程管理、遠(yuǎn)程故障診斷和廠家及時快速的售后服務(wù)，對減少服務(wù)器的故障停機(jī)時間也很重要。上一頁下一頁返回7.2服務(wù)器的安全與管理2.嚴(yán)控部件質(zhì)量是基礎(chǔ)在產(chǎn)品研發(fā)設(shè)計中，產(chǎn)品的可靠性即可用性，應(yīng)該是放在第一位的。組成服務(wù)器的各種部件，在采用前均應(yīng)進(jìn)行性能、兼容性、可靠性等方面的嚴(yán)格測試，只有通過測試的才能列入部件備選庫，由開發(fā)工程師根據(jù)產(chǎn)品開發(fā)要求進(jìn)行選擇使用。上一頁下一頁返回7.2服務(wù)器的安全與管理7.2.2服務(wù)器的安全使用日前服務(wù)器常用的操作系統(tǒng)有三類:Unix,Linux,WindowsNT/2000/2003Server，這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)，但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。

1.物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留巧天以上的攝像記錄。另外，機(jī)箱、鍵盤、電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全的地方。上一頁下一頁返回

2.停止Guest賬號在計算機(jī)管理的用戶里面把(illPSL賬號停用，任何時候都不允許(illPSL賬號登錄系統(tǒng)。為了安全起見，最好給UUPSL加一個復(fù)雜的密碼，包含特殊字符、數(shù)字、字母的長字符串，用它作為hUPSL賬號的密碼.并且修改hUPSL賬號的屬性，設(shè)置拒絕遠(yuǎn)程訪問。

3.限制用戶數(shù)量去掉所有的測試賬戶、共享賬號和普通部門賬號等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的賬戶，刪除已經(jīng)不使用的賬戶。賬戶多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的賬戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。對于WindowsNT/2000主機(jī)，如果系統(tǒng)賬戶超過10個，一般能找出一兩個弱口令賬戶，所以賬戶數(shù)量不要大于10個。上一頁下一頁返回7.2服務(wù)器的安全與管理7.2服務(wù)器的安全與管理

4.多個管理員賬號這點看上去雖然和前面有些矛盾，但事實上是服從前面規(guī)則的。創(chuàng)建一個一般用戶權(quán)限賬號用來處理電子郵件以及處理一些日常事物，另一個擁有Adtninis-lr

alo:權(quán)限的賬戶只在需要的時候使用。因為只要登錄系統(tǒng)以后，密碼就存儲在WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計算機(jī)的時候就可以得到登錄用戶的密碼，盡量減少Adtninislralo:登錄的次數(shù)和時間。

5.管理員賬號改名

Windows2000中的Adtninislralor賬號是不能被停用的，這意味著別人可以一遍又一邊地嘗試這個賬戶的密碼，把Adtninislralor賬戶改名可以有效地防止這一點。不要使用Adtnin之類的名字，改廠等于沒改，盡量把它偽裝成普通用戶，比如改成:gueslone。上一頁下一頁返回7.2服務(wù)器的安全與管理6.陷阱賬號所謂的陷阱賬號就是創(chuàng)建一個名為“Adtninislralor”的本地賬戶，把它的權(quán)限設(shè)置成最低，什么事也干不了，并且加上一個超過10位的復(fù)雜密碼，這樣可以讓那些企圖入侵者忙上一段時間，并且可以借此發(fā)現(xiàn)它們的入侵企圖。

7.更改默認(rèn)權(quán)限共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”。"Everyone”在Windows2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享。上一頁下一頁返回7.2服務(wù)器的安全與管理8.安全密碼一些網(wǎng)絡(luò)管理員創(chuàng)建賬號的時候往往用公司名、計算機(jī)名，或者一些別的簡單的字符做用戶名，然后又把這些賬戶的密碼設(shè)置得比較簡單，這樣的賬戶應(yīng)該要求用戶首次登錄的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。這里給好密碼下了個定義:安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必改密碼。上一頁下一頁返回7.2服務(wù)器的安全與管理

9.屏幕保護(hù)密碼設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個屏障，所有系統(tǒng)用戶所使用的機(jī)器最好也加上屏幕保護(hù)密碼。將屏幕保護(hù)的選項“密碼保護(hù)”選中就可以了，并將等待時間設(shè)置為最短時間“1秒”。

10.NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。

11.防毒軟件

Windov-s2000/NT服務(wù)器一般都沒有安裝防毒軟件，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，注意要經(jīng)常升級病毒庫。上一頁下一頁返回7.2服務(wù)器的安全與管理

12.備份盤的安全一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤放在安全的地方，把資料備份放在多臺服務(wù)器上。

7.2.3企業(yè)服務(wù)器安全防護(hù)的要點

1.確立強(qiáng)有力的網(wǎng)絡(luò)安全體系不能將企業(yè)的服務(wù)器孤立開來，一個個體的加以“保護(hù)”，作為網(wǎng)絡(luò)中的核心部件，應(yīng)當(dāng)將它與周圍的其他設(shè)備合為一個整體，統(tǒng)籌規(guī)劃安排，才能全面解決安全問題，以便更好地確保服務(wù)器安全。因此，必須建立一個整體的、完善的、強(qiáng)有力的計算機(jī)網(wǎng)絡(luò)安全體系。只有對整個網(wǎng)絡(luò)制定并實施統(tǒng)一的安全體系，才能有效地保護(hù)網(wǎng)絡(luò)中涉及的服務(wù)器等各部件。同時要求企業(yè)中的每個員工都清楚并熟知這個安全體系，并知道它是強(qiáng)行執(zhí)行的。上一頁下一頁返回7.2服務(wù)器的安全與管理

一個完整的安全體系包括兩部分:安全管理和安全技術(shù)。安全管理是從管理角度出發(fā)，利用規(guī)章、制度等書面形式規(guī)范、約束各種計算機(jī)網(wǎng)絡(luò)行為，如各種網(wǎng)絡(luò)設(shè)備的操作規(guī)范;安全技術(shù)顧名思義是從技術(shù)角度出發(fā)，利用各種軟件(比如殺毒軟件、防火墻軟件等)和硬件(如硬件防火墻)、各種技巧和方法來管理整個計算機(jī)網(wǎng)絡(luò)。具體到服務(wù)器，一方面需要嚴(yán)格規(guī)范對服務(wù)器的操作，禁止一切可能有害于服務(wù)器及其數(shù)據(jù)的行為，特別是針對“寫”“刪除”這類行為;加強(qiáng)中心機(jī)房的管理，禁止除網(wǎng)絡(luò)管理人員以外人士隨便操作服務(wù)器。另一面，要盡可能地利用現(xiàn)有的各種安全技術(shù)來保障服務(wù)器的安全。例如，可利用}%indows2000/2003Seve:提供的“用戶權(quán)限”功能根據(jù)每個工作人員的業(yè)務(wù)特點單獨地為其制定訪問服務(wù)器的特殊使用權(quán)限，從而避免因使用統(tǒng)一的訪問服務(wù)器權(quán)限而帶來的安全隱患。上一頁下一頁返回7.2服務(wù)器的安全與管理

2.建立必要的防護(hù)基礎(chǔ)因為漏洞的存在，導(dǎo)致了相應(yīng)的安全問題。對于每次對網(wǎng)絡(luò)的攻擊都是從安全方面的漏洞開始的。因此為了服務(wù)器的安全，必須建立必要的防護(hù)基礎(chǔ)，盡可能地采用現(xiàn)有的安全技術(shù)(如系統(tǒng)文件格式、操作系統(tǒng)等方面)來構(gòu)建服務(wù)器，直至整個計算機(jī)網(wǎng)絡(luò)。這樣從根本上確保服務(wù)器的安全。比如對于非法入侵者(包括黑客在內(nèi)的所有未經(jīng)許可的非法訪問者)而言，存儲在FAT格式下磁盤數(shù)據(jù)要比在NTFS格式下更加容易訪問及破壞。所以，對于服務(wù)器而言，要將它的磁盤分區(qū)設(shè)定為FAT格式是不安全的做法。要從基礎(chǔ)做起，盡可能地將服務(wù)器上所有的磁盤分區(qū)都轉(zhuǎn)換為NTFS格式，特別是那些有敏感特性的數(shù)據(jù)所在的磁盤分區(qū)。上一頁下一頁返回7.2服務(wù)器的安全與管理

作為一個企業(yè)，購買一款正宗的網(wǎng)絡(luò)監(jiān)測軟件對整個網(wǎng)絡(luò)運行全天候地不間斷監(jiān)視應(yīng)當(dāng)不成問題，特別是對“非法入侵”和“對服務(wù)器的操作”兩個方面的實時監(jiān)控報告，能及時地通知網(wǎng)絡(luò)維護(hù)人員快速響應(yīng)，將損失減少到最低限度。同時，針對當(dāng)前日益增長的術(shù)馬、病毒數(shù)量，企業(yè)花錢買款網(wǎng)絡(luò)版的殺毒軟件也是首要的，必須的。

3.定期做好備份數(shù)據(jù)工作前面的工作做好了，也有可能出現(xiàn)或多或少的損失，但為了盡量地避免它，還要利用現(xiàn)有技術(shù)定期備份數(shù)據(jù)(比如企業(yè)ERP數(shù)據(jù)等記錄公司日常業(yè)務(wù)的數(shù)據(jù))并妥善地保存好，是網(wǎng)絡(luò)管理人員日常管理中必須完成的，也是優(yōu)秀網(wǎng)絡(luò)管理員必須養(yǎng)成的良好的工作習(xí)慣。上一頁下一頁返回7.2服務(wù)器的安全與管理

備份好數(shù)據(jù)就萬無一失了嗎?還存在偷竊地行為。所以，在備份數(shù)據(jù)時應(yīng)當(dāng)考慮通過采取鎖進(jìn)保險柜，進(jìn)行“密碼保護(hù)”等方式進(jìn)行第二次、第三次保護(hù)備份介質(zhì)(如磁盤、磁帶)。最好在做備份時同步地對企業(yè)數(shù)據(jù)進(jìn)行加密處理，這樣的話，可最大限度保證數(shù)據(jù)即使被偷竊也不會解密。

4.加強(qiáng)客戶端的管理在網(wǎng)絡(luò)中除了服務(wù)器外，客戶端就是使用頻繁地網(wǎng)絡(luò)設(shè)備了，也是通向服務(wù)器的一個個端口。所以盡量將其更換為穩(wěn)定的操作系統(tǒng)Windows2000/XP，甚至是Windows2003等其他更安全的系統(tǒng)。這樣就可以用“權(quán)限管理”功能來鎖定客戶端，使得那些沒有安全訪問權(quán)限的人很難甚至不可能獲得網(wǎng)絡(luò)配置信息。上一頁下一頁返回7.2服務(wù)器的安全與管理

當(dāng)然也可以采用另一種方式，將客戶端的功能限定為一個“靈活而單純”的終端，即讓程序和數(shù)據(jù)統(tǒng)一駐留在網(wǎng)絡(luò)中的服務(wù)器上，卻在客戶端上運行，所有安裝在客戶端上的是一份操作系統(tǒng)的拷貝及指向駐留在服務(wù)器上的應(yīng)用程序的快捷鍵圖標(biāo)。當(dāng)雙擊快捷鍵圖標(biāo)運行程序時，這個程序?qū)⑹褂每蛻舳吮镜氐馁Y源來運行，而不是直接消耗服務(wù)器資源。這種方法能夠減輕客戶端被破壞帶來地對服務(wù)器的損傷，但出現(xiàn)廠故障排查起來會增加點難度。

5.對遠(yuǎn)程訪問的管理計算機(jī)網(wǎng)絡(luò)的一個優(yōu)點是借助必要工具，利用網(wǎng)絡(luò)實現(xiàn)對計算機(jī)網(wǎng)絡(luò)的遠(yuǎn)程訪問(RAS)。Window*操作系統(tǒng)從NT開始就內(nèi)置廠這種功能。但也同時打開廠安全隱患的大門，他們只需要知道能夠進(jìn)行RAS的電話號碼就可以輕松實現(xiàn)入侵。因此，如果存在遠(yuǎn)程訪問的需求，就必須對上一頁下一頁返回7.2服務(wù)器的安全與管理遠(yuǎn)程用戶進(jìn)行強(qiáng)化管理，監(jiān)管遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或不經(jīng)常變動的地方遠(yuǎn)程訪問，就建議使用其中的“回叫”功能。這個功能允許在遠(yuǎn)程用戶從遠(yuǎn)程登錄計算機(jī)網(wǎng)絡(luò)后立即切斷連接，然后由RAS服務(wù)器撥打一個預(yù)先設(shè)定的電話號碼來再次接通該用戶，此后再由該用戶進(jìn)行RAS。如此設(shè)置就切斷廠非法入侵者的入侵，因為非法入侵者一般沒有機(jī)會知曉RAS服務(wù)器回叫的號碼，也就無法實現(xiàn)非法入侵。另外還可用其他方法，就是利用“防火區(qū)”的原理將所有的遠(yuǎn)程訪問都限定在一臺單一的服務(wù)器上，這臺服務(wù)器與整個計算機(jī)網(wǎng)絡(luò)的聯(lián)系是通過人工手動完成的。這樣即使非法入侵者闖人，也會被隔離在一臺單一的機(jī)器上，對服務(wù)器的攻擊也就限定在一臺機(jī)器上。另外，還可用一些非常用的協(xié)議技術(shù)和方法(如蜜罐)來迷惑非法入侵者。這樣也就增加廠技術(shù)成本，技術(shù)程度要求較高。

上一頁下一頁返回7.2服務(wù)器的安全與管理6.及時升級補丁軟件不可能都是完美的，隨著運行會逐漸發(fā)現(xiàn)它的漏洞，這是很正常的。而且其隱含的漏洞與軟件規(guī)模是呈比例的。發(fā)現(xiàn)漏洞就必須彌補，否則漏洞就會變成一扇非法入侵者敞開的大門，任其出人。軟件開發(fā)商們都自己組件或雇傭了專門的人員來檢測已經(jīng)推廣應(yīng)用的軟件隱含的漏洞隱患，一旦發(fā)現(xiàn)漏洞，會以服務(wù)包的形式發(fā)布相應(yīng)的補丁程序。所以定期查看下載、安裝最新公布的補丁是非常必要的。但需要按照相應(yīng)的邏輯順序使用這些補丁包，避免導(dǎo)致一些文件運行的錯誤。另外，也要對網(wǎng)絡(luò)中安裝的防毒軟件定期升級，有效地防止新病對網(wǎng)絡(luò)的破壞。上一頁下一頁返回

7.實時檢查安全設(shè)備及端口企業(yè)與外部網(wǎng)絡(luò)進(jìn)行通信，安裝防火墻等安全設(shè)備是必須的。防火墻等安全設(shè)備既能將公司的計算機(jī)與來自外部網(wǎng)絡(luò)的非法入侵者隔離開來，實現(xiàn)物理隔離，又能保證與外部通訊的通暢。為了保護(hù)企業(yè)內(nèi)網(wǎng)的安全，應(yīng)當(dāng)確定防火墻等安全設(shè)備不會向外界開放任何IP地址，特別是服務(wù)器及客戶端的IP地址必須隱藏起來。IP地址開放得越多，網(wǎng)絡(luò)受到攻擊的可能性就越大，服務(wù)器就會越危險。當(dāng)然，至少要有一個IP地址對外進(jìn)行通訊，如果有WPh服務(wù)器或郵件服務(wù)器，它們的IP也是要公開的。一個IP地址與外界的通訊是通過端口來實現(xiàn)的，而端口有很多，因此通過軟件來查看端口，排查不必要開放的端口，將其屏蔽掉，盡可能地減少由于操作系統(tǒng)或其他軟件漏洞而帶來的危機(jī)。上一頁下一頁返回7.2服務(wù)器的安全與管理7.2服務(wù)器的安全與管理7.2.4服務(wù)器的管理

1.服務(wù)器系統(tǒng)管理總體來說，服務(wù)器系統(tǒng)的管理是整個網(wǎng)絡(luò)管理工作中的重中之重，特別是在小型單位網(wǎng)絡(luò)中，單位的網(wǎng)絡(luò)規(guī)模比較小，網(wǎng)絡(luò)設(shè)備比較簡單，基本上是屬于傻瓜式的。這里的服務(wù)器系統(tǒng)包括網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器系統(tǒng)兩個方面。服務(wù)器系統(tǒng)的管理是整個網(wǎng)絡(luò)管理工作中最重要的部分，因為它是整個網(wǎng)絡(luò)的核心所在，無論是網(wǎng)絡(luò)操作系統(tǒng)本身，還是各種網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器。

上一頁下一頁返回具體來說，服務(wù)器系統(tǒng)管理主要是安裝、配置和管理網(wǎng)絡(luò)操作系統(tǒng)、文件服務(wù)器、DNS,WINS,DHCP等網(wǎng)絡(luò)服務(wù)器，以及像Web,FTP,E-snail,RAS,NAT等應(yīng)用服務(wù)器。服務(wù)器系統(tǒng)管理的最終日標(biāo)，就是要確保服務(wù)器各種協(xié)議和服務(wù)工作正常，確保服務(wù)器的各項性能指標(biāo)正常發(fā)揮。另外，還需要及時地更新服務(wù)器系統(tǒng)的版本或補丁程序，這不僅關(guān)系到服務(wù)器的性能發(fā)揮，而且還關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)的安全性，因為現(xiàn)在的操作系統(tǒng)不斷有新的安全漏洞被發(fā)現(xiàn)，及時安裝補丁可以有效地阻止、填補這些安全漏洞。上一頁下一頁返回7.2服務(wù)器的安全與管理7.2服務(wù)器的安全與管理

日前在服務(wù)器系統(tǒng)管理方面的重點與難點當(dāng)然是各種網(wǎng)絡(luò)操作系統(tǒng)的管理了。在這其中又包括各種不同版本的主流}X%indows,Linux和UNIX網(wǎng)絡(luò)操作系統(tǒng)的管理了。而每個系統(tǒng)中所包括的具體管理工作又非常多，非常復(fù)雜，但這些又是網(wǎng)絡(luò)管理員所必須掌握的。至少，在大多數(shù)中小型企業(yè)中，網(wǎng)絡(luò)管理員應(yīng)該掌握主流的Windows和Linux網(wǎng)絡(luò)操作系統(tǒng)的管理了。在一些較大企業(yè)，或者一些特殊行業(yè)(如金融、證券和保險等)中，UNIX,Linux系統(tǒng)又是最普遍采用的，所以UNIX和Linux系統(tǒng)管理對于專業(yè)網(wǎng)絡(luò)管理員來說，又是必須要掌握的。當(dāng)然，像其他應(yīng)用服務(wù)器的管理也是非常重要，而且必須掌握。上一頁下一頁返回7.2服務(wù)器的安全與管理

2.關(guān)鍵設(shè)備的維護(hù)與管理這也是整個網(wǎng)絡(luò)管理中的重點之一，同時也是非常重要的工作，特別是在網(wǎng)絡(luò)規(guī)模比較大、網(wǎng)絡(luò)設(shè)備比較高檔的單位網(wǎng)絡(luò)中。因為單位網(wǎng)絡(luò)系統(tǒng)更依賴這些關(guān)鍵設(shè)備的正常工作。計算機(jī)網(wǎng)絡(luò)的關(guān)鍵設(shè)備一般包括網(wǎng)絡(luò)的核心交換機(jī)、核心路由器和服務(wù)器，它們是網(wǎng)絡(luò)中的“節(jié)點”。對這些節(jié)點的維護(hù)和管理，除了需要經(jīng)驗積累外，還可以通過一些專門的網(wǎng)絡(luò)管理系統(tǒng)來監(jiān)視其工作狀態(tài)，以便及時發(fā)現(xiàn)問題，及時進(jìn)行維護(hù)和故障排除。

上一頁下一頁返回7.2服務(wù)器的安全與管理另外，為了提高網(wǎng)絡(luò)的可用性，對一些關(guān)鍵設(shè)備進(jìn)行冗余配置也是必不可少的。冗余包括兩層含義，一是從端口角度進(jìn)行，如對關(guān)鍵設(shè)備(如服務(wù)器、核心交換機(jī))采取冗余鏈路連接，這樣當(dāng)其中一個端口出現(xiàn)故障時，另一個冗余鏈路就可以接替故障鏈路繼續(xù)保持正常工作狀態(tài);另一層含義是對配置雙份的設(shè)備或部件，如服務(wù)器中的電源、風(fēng)扇、網(wǎng)卡，甚至內(nèi)存等，核心交換機(jī)和路由器也可以配置兩個。在正常工作時，這些冗余設(shè)備或部件起到負(fù)載均衡的作用，而在某部分出現(xiàn)故障時，則又起備份的作用。上一頁下一頁返回7.2服務(wù)器的安全與管理

在關(guān)鍵設(shè)備維護(hù)與管理中，服務(wù)器和網(wǎng)絡(luò)總體性能的監(jiān)控與管理是個技術(shù)重點和難點。要用到各種監(jiān)控和管理工具，如流量監(jiān)控工具M(jìn)RT(}、網(wǎng)絡(luò)性能和通信監(jiān)控的Sniffe:類工具，帶寬性能監(jiān)控的Qcheck和IxChariot工具等。服務(wù)器性能方面的監(jiān)控與管理還可利用操作系統(tǒng)自帶的性能和監(jiān)控管理工具進(jìn)行。當(dāng)然，網(wǎng)絡(luò)設(shè)備的配置與管理是整個關(guān)鍵設(shè)備維護(hù)與管理的重點與難點，這一點幾乎是所有從事網(wǎng)絡(luò)管理，甚至網(wǎng)絡(luò)工程技術(shù)人員的共識。日前在關(guān)鍵設(shè)備方面，主要是以Cisco、華為3COM等品牌為，掌握這兩個主要品牌設(shè)備的配與管理方法是網(wǎng)絡(luò)管理員所必需的。上一頁下一頁返回7.2服務(wù)器的安全與管理

3.用戶管理用戶管理是網(wǎng)絡(luò)管理中的一個重點和難點，所涉及的方面非常多，如用戶賬戶、密碼、文件和網(wǎng)絡(luò)訪問權(quán)限、用戶權(quán)利、用戶配置文件及用戶安全策略等。既要保證各用戶的正常工作不受影響，同時又要避免分配過高權(quán)限而給網(wǎng)絡(luò)安全和管理帶來不必要的安全隱患。在網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)管理員要求在保證網(wǎng)絡(luò)安全可靠運行的前提條件下，根據(jù)單位人員的工作職權(quán)和人員變動情況，為每個用戶設(shè)置賬戶、密碼和分配不同的網(wǎng)絡(luò)訪問權(quán)限;設(shè)置Web服務(wù)器、VPN等遠(yuǎn)程訪問服務(wù)器中用戶的訪問權(quán)限等;限制Web服務(wù)器可登錄的賬號數(shù)量，及時注銷過期用戶和已掛斷的撥號用戶，關(guān)閉不用的網(wǎng)絡(luò)服務(wù)等。上一頁下一頁返回7.2服務(wù)器的安全與管理但要注意的是，在Linux和UNIX系統(tǒng)中，用戶管理不是集中的，因為它們所組建的網(wǎng)絡(luò)是基于P2P(對等)模式的，除非用其他工具來實現(xiàn)模擬的域管理;而Window，系統(tǒng)的域模式中，可以組建基于C/S(客戶機(jī)/服務(wù)器)模式的域網(wǎng)絡(luò)，可以進(jìn)行集中用戶管理，這就是Window，域網(wǎng)絡(luò)的一個重要優(yōu)勢。而且在UNIX和Linux系統(tǒng)中，用戶管理(其他管理也基本上一樣)基本上是基于命令符的終端模式進(jìn)行的，初學(xué)者難以掌握，而Window，系統(tǒng)中的管理基本上是以圖形界面模式進(jìn)行的，比較容易掌握。上一頁下一頁返回7.2服務(wù)器的安全與管理

4.文件系統(tǒng)管理網(wǎng)絡(luò)中的文件系統(tǒng)管理是整個網(wǎng)絡(luò)管理中最重要的部分之一，它不僅涉及各用戶的正常工作和網(wǎng)絡(luò)應(yīng)用，同時還關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)的安全性能。對于網(wǎng)絡(luò)管理員來說，在文件系統(tǒng)管理中所做的工作主要有以下幾個方面。首先，要根據(jù)企業(yè)網(wǎng)絡(luò)應(yīng)用的需要選擇適當(dāng)?shù)木W(wǎng)絡(luò)操作系統(tǒng)，部署相應(yīng)的文件服務(wù)器系統(tǒng)、DFS(DistributedFileSyslctn，分布式文件系統(tǒng))或者NFS(Net-workFile即slctn，網(wǎng)絡(luò)文件系統(tǒng))。通過這些文件服務(wù)器系統(tǒng)的配置，就可以實現(xiàn)許多高級的文件系統(tǒng)管理和應(yīng)用，如通過文件服務(wù)器系統(tǒng)的安裝與配置就可時刻監(jiān)視文件服務(wù)器或網(wǎng)絡(luò)中其他主機(jī)上的文件共享與會話連接;通過DFS的部署就可以在全網(wǎng)絡(luò)中部署統(tǒng)一的共享資源訪問點，方便共享資源的使用與管理;通過NFS的部署，就可以實現(xiàn)與其他系統(tǒng)類型網(wǎng)絡(luò)(如Linux和UNIX系統(tǒng))的文件相互訪問機(jī)制。這些都是與文件系統(tǒng)管理有關(guān)的服務(wù)器系統(tǒng)，必須熟練掌握。上一頁下一頁返回其次，要為各用戶設(shè)置必要的文件夾共享權(quán)限，以及文件和文件夾的安全訪問權(quán)限。當(dāng)然不同類型文件格式的文件和文件夾所能配置的權(quán)限不一樣。在文件格式上，WindowsNT平臺有FAT(FileAllocationTable，文件分配表)和NTFS(NcwTechnologyFileSyslctn，新技術(shù)文件系統(tǒng))文件系統(tǒng)。NTFS是WindowsNT平臺所提供的高性能、高可靠性和高安全性的網(wǎng)絡(luò)文件系統(tǒng)，在新操作系統(tǒng)中盡量采用。而在Linux系統(tǒng)中日前主要有cxl2和cxl3文件類型，建議采用最新版本的cxl3格式。最后，需要定期檢查服務(wù)器文件系統(tǒng)的安全性，最好在組策略中設(shè)置文件權(quán)限更改方面的審核策略，以便及時發(fā)現(xiàn)文件系統(tǒng)權(quán)限的非法更改，并予以糾正。上一頁下一頁返回7.2服務(wù)器的安全與管理7.2服務(wù)器的安全與管理5.磁盤和數(shù)據(jù)管理磁盤與數(shù)據(jù)管理同樣是整個網(wǎng)絡(luò)管理工作中非常重要的方面，特別是在大型、外資企業(yè)中。在磁盤管理方面主要包括磁盤系統(tǒng)的基本操作與管理，如磁盤格式化，磁盤的分區(qū)、盤符的分配與調(diào)整，文件系統(tǒng)轉(zhuǎn)換，基本/動態(tài)磁盤類型的轉(zhuǎn)換，RAID(RedundantArrayofInexpensiveDisks，獨立磁盤冗余陣列)的配置，以及用戶磁盤配額的配置與管理等。數(shù)據(jù)管理目前在整個網(wǎng)絡(luò)管理的重要性更加突出了，因為現(xiàn)代企業(yè)網(wǎng)絡(luò)中保存了大量的企業(yè)數(shù)據(jù)，包括日常的辦公文檔、電子表格、產(chǎn)品資料、產(chǎn)品數(shù)據(jù)庫、財務(wù)數(shù)據(jù)庫和營銷數(shù)據(jù)庫等。這些數(shù)據(jù)在一定程度上可能關(guān)系到企業(yè)的生存與發(fā)展。上一頁下一頁返回7.2服務(wù)器的安全與管理

為了確保企業(yè)數(shù)據(jù)的安全，除了必須配備強(qiáng)大而又安全的殺病毒軟件系統(tǒng)外，RAID是非常必要的，一方面它可以起到加速磁盤讀寫速率，提高磁盤讀寫效率的作用，更重要的是它可以起到保護(hù)數(shù)據(jù)安全的作用，因為有些RAID類型具有鏡像，或者奇偶校驗功能，通過它們就可以對故障磁盤上的數(shù)據(jù)進(jìn)行恢復(fù)。另外，在企業(yè)網(wǎng)絡(luò)中，還要防止因電源故障而出現(xiàn)的文件丟失，這時就要用到UPS(UninlerrupliblePowerSupply，不間斷電源供應(yīng))，還可能需要為關(guān)鍵的服務(wù)器配備冗余電源、電源風(fēng)扇部件。確保數(shù)據(jù)安全的最后一道防線就是制定一套行之有效的容災(zāi)方案。在預(yù)防災(zāi)難的計劃中，網(wǎng)絡(luò)管理員不應(yīng)將自己的思維局限在普通的問題上，應(yīng)該考慮得更廣泛一些。設(shè)想發(fā)生了自然災(zāi)害，如地震、火災(zāi)等將整個網(wǎng)絡(luò)全部摧毀，網(wǎng)絡(luò)管理員該如何恢復(fù)，花費多少時間，采取何種上一頁下一頁返回7.2服務(wù)器的安全與管理步驟進(jìn)行恢復(fù)。在容災(zāi)方案中一定要詳細(xì)，并通過模擬實驗對方案的可行性和有效性進(jìn)行驗證。在容災(zāi)方案中，其中一個重要方面就是數(shù)據(jù)備份計劃，它是關(guān)鍵中的關(guān)鍵。備份計劃應(yīng)該包括如下信息:備份什么、在哪備份、何時備份、多長時間備份一次、誰負(fù)責(zé)備份、備份載體應(yīng)放在哪、多長時間檢查一次備份，以及一旦數(shù)據(jù)丟失應(yīng)采取哪些措施。進(jìn)行可靠的數(shù)據(jù)備份是網(wǎng)絡(luò)管理員最重要的工作之一，做好備份計劃后就應(yīng)該認(rèn)真執(zhí)行。作為網(wǎng)絡(luò)管理員事先要進(jìn)行災(zāi)難恢復(fù)計劃，事中要每天堅持?jǐn)?shù)據(jù)備份，事后要及時恢復(fù)系統(tǒng)，盡可能地避免數(shù)據(jù)丟失。如果是大型企業(yè)，或者有分支機(jī)構(gòu)的企業(yè)，對于一些關(guān)鍵數(shù)據(jù)(如企業(yè)數(shù)據(jù)庫、E-mail和財務(wù)等)，為了確保網(wǎng)絡(luò)系統(tǒng)中文件和文件夾的有效性和安全性，還采用了異地遠(yuǎn)程數(shù)據(jù)備份和遠(yuǎn)程數(shù)據(jù)鏡像存儲措施，實施異地容災(zāi)，這樣企業(yè)所能承受災(zāi)難的能力就遠(yuǎn)比只在當(dāng)?shù)剡M(jìn)行數(shù)據(jù)備份強(qiáng)了。上一頁下一頁返回7.2服務(wù)器的安全與管理6.IP地址的管理

IP地址管理是計算機(jī)網(wǎng)絡(luò)能夠保持高效運行的關(guān)鍵。如果IP地址管理不當(dāng)，網(wǎng)絡(luò)很容易出現(xiàn)IP地址的沖突，導(dǎo)致合法的IP地址用戶不能正常享用網(wǎng)絡(luò)資源，影響網(wǎng)絡(luò)正常業(yè)務(wù)的開展。日前IP地址有兩個主要版本，是IPv4和IPv6?，F(xiàn)在普遍使用的仍是IPv4,但I(xiàn)Pv6協(xié)議也正在開始普及，新的操作系統(tǒng)，如WindowVista,WindowsServer2008,RedHatEnterpriseLinuxAS4.0和RedHatEnterpriseLinux5.0等都已開始支持IPv6協(xié)議了。在小型計算機(jī)網(wǎng)絡(luò)中日前都是直接采用IPv4C類地址中的/16專用網(wǎng)絡(luò)地址段，每個IP子網(wǎng)可以擁有256臺計算機(jī)或網(wǎng)絡(luò)設(shè)備。而在大中型企業(yè)中，通常是采用A類(/8專用網(wǎng)絡(luò)地址段)或B類(/12專用網(wǎng)絡(luò)地址段)IP地址。這些地址均無須申請，可直接使用。當(dāng)然在單位網(wǎng)絡(luò)中，IP地址的分配通常不是嚴(yán)格按照IPv4協(xié)議中規(guī)定的類別來進(jìn)行的，而通常是采用地址前綴方式重新劃分。上一頁下一頁返回7.2服務(wù)器的安全與管理

在IPv4協(xié)議中，IP地址的分配一般有兩種方式。靜態(tài)IP地址分配法:對于服務(wù)器(包括域控制器及其他所有成員服務(wù)器)、經(jīng)常上網(wǎng)的計算機(jī)和網(wǎng)絡(luò)設(shè)備一般給予一個固定的IP地址。

DHCP動態(tài)IP地址分配法:對于那些不經(jīng)常上網(wǎng)或是移動性較強(qiáng)的計算機(jī)，可以采用動態(tài)主機(jī)配置協(xié)議(DHCP)來動態(tài)配置IP地址，以節(jié)約IP地址資源。這里關(guān)鍵是要設(shè)置好地址范圍。對于小型企業(yè)網(wǎng)絡(luò)(50個用戶以內(nèi))，建議采用DHCP動態(tài)IP分配方式(需要采取靜態(tài)IP地址的終端在DHCP服務(wù)器中排除即可)，因為這類網(wǎng)絡(luò)終端用戶比較少，完全可以通過其他方式對網(wǎng)絡(luò)中的各終端進(jìn)行管理。而對于較大的企業(yè)網(wǎng)絡(luò)，則建議采取靜態(tài)IP地址分配方式，因為如果這類網(wǎng)絡(luò)采取動態(tài)分配方式，則當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時，就很難查找故障的發(fā)生點。而對于大的企業(yè)網(wǎng)絡(luò)，上一頁下一頁返回7.2服務(wù)器的安全與管理如果用一個C類IP地址不夠用，而且有些部門長期只有少數(shù)用戶需要上網(wǎng)(主要是營銷部門)，此時建議采取劃分子網(wǎng)的方法，對一些基本有固定上網(wǎng)用戶的部門采取靜態(tài)IP地址分配，而對那些長期只有少數(shù)用戶上網(wǎng)的部門采取動態(tài)IP分配方式，可以節(jié)省大量的IP地址。

7.安全管理在網(wǎng)絡(luò)安全管理上，現(xiàn)在的企業(yè)比幾年前要求高了許多。不僅要求網(wǎng)絡(luò)管理員能部署防火墻、殺毒軟件系統(tǒng)，而且還能對整個網(wǎng)絡(luò)部署一套有效的安全策略，全面保證網(wǎng)絡(luò)的安全。安全管理員根據(jù)實際經(jīng)驗得出，最重要的部分在于用戶權(quán)利的配置、文件和文件夾共享權(quán)限和安全訪問權(quán)限的配置。可使用的管理方法有系統(tǒng)管理報警選項設(shè)置、事件日志分析和安全策略審核等。上一頁下一頁返回7.2服務(wù)器的安全與管理

良好的安全策略對于企業(yè)的數(shù)據(jù)、軟件和硬件是絕對重要的。在網(wǎng)絡(luò)安全行業(yè)內(nèi)流行著這樣一條80/20法則，也就是80%的安全威脅來自網(wǎng)絡(luò)內(nèi)部(內(nèi)部危害分為三類:操作失誤、存心搗亂及用戶無知)。要想保證網(wǎng)絡(luò)的安全，在做好邊界防護(hù)的同時，也要做好內(nèi)部網(wǎng)絡(luò)的管理。網(wǎng)絡(luò)管理的職責(zé)之一就是定義、實施、管理和加強(qiáng)網(wǎng)絡(luò)的安全性。如果許多無關(guān)的人也可以登錄服務(wù)器，非授權(quán)的人也可以竊取或破壞信息，那么即使最好的硬件、軟件和培訓(xùn)也都變得毫無價值。軟件安全策略的日標(biāo)是:保證只有授權(quán)的用戶才可以使用一定受限的網(wǎng)絡(luò)資源，預(yù)防給予過高的權(quán)限，定時檢查用戶權(quán)限和用戶組賬戶有無變更。減小數(shù)據(jù)、服務(wù)器和網(wǎng)絡(luò)設(shè)備等由于受到疏忽的操作或惡意的破壞而造成的損失。對于服務(wù)器而言，錯誤操作是最大隱患。這要求網(wǎng)絡(luò)管理員自身要加強(qiáng)這方面的學(xué)習(xí)，對于用戶，網(wǎng)絡(luò)管理員要加強(qiáng)這方面的意識和操作培訓(xùn)。上一頁下一頁返回7.2服務(wù)器的安全與管理

防止網(wǎng)絡(luò)中非授權(quán)的外部訪問。例如，通過Internet訪問。這是個易被忽視的內(nèi)容，但對于網(wǎng)絡(luò)管理員這是無法原諒的粗心。要限制用戶的非法外網(wǎng)訪問，一方面可以通過用戶授權(quán)，另一方面還可以通過一些專用網(wǎng)絡(luò)管理軟件或硬件來實現(xiàn)，如一些代理服務(wù)器和寬帶路由器就有訪問控制的功能，要好好利用。此外還需要注意的是對用戶的管理。當(dāng)單位來了新的員工時，網(wǎng)絡(luò)管理員需要為他(她)創(chuàng)建新的用戶賬號;當(dāng)有職工調(diào)動工作崗位時，網(wǎng)絡(luò)管理員該為其重新分配用戶權(quán)限;當(dāng)有職工離職時，網(wǎng)絡(luò)管理員應(yīng)該立刻刪除這個賬號與密碼。另外，在安全管理方面，還要注意安全管理中的“木桶理論”，整個網(wǎng)絡(luò)的安全管理都是相互關(guān)聯(lián)和影響的，整個網(wǎng)絡(luò)的安全性最終取決于安全性能最差的部分，而不是那些安全管理做得最好的方面。上一頁下一頁返回7.2服務(wù)器的安全與管理

8.軟件管理軟件管理包括添加新的軟件、升級現(xiàn)有的軟件和刪除過時的軟件。如果在服務(wù)器上安裝，最好在安裝之前做好服務(wù)器備份。如果在工作站上安裝，應(yīng)該先做一個安裝測試，然后保證每臺工作站的一致性，并記錄下每個步驟。測試安裝在典型的工作站上是否會出現(xiàn)問題。如果認(rèn)為滿意，就在每一個用戶的計算機(jī)上都重復(fù)安裝過程，保證一致性。如果在每臺工作站上都使用相同的硬件和操作系統(tǒng)，一致性的安裝應(yīng)用程序非常簡單。如果網(wǎng)絡(luò)上用戶過多，可以考慮用某些特殊的工具來生成軟件自動安裝過程。如Windows系統(tǒng)的“無人值守安裝”和“遠(yuǎn)程安裝”功能就可大大減輕網(wǎng)絡(luò)管理員軟件安裝的負(fù)擔(dān)。上一頁下一頁返回7.2服務(wù)器的安全與管理

軟件永遠(yuǎn)不可能完美，總會有這樣或那樣的問題，所以無論是操作系統(tǒng)還是設(shè)備的馭動程序，都應(yīng)該至少每個季度檢查一次有無升級的提示，在服務(wù)器和工作站上都要進(jìn)行這一項工作。有時，補丁程序本身比要解決的問題更可怕，操作系統(tǒng)的補丁導(dǎo)致的嚴(yán)重事故比比皆是。如2003年1月25日爆發(fā)的Slatntne:病毒就是利用廠SQLSeTVeT2000的一個漏洞進(jìn)行攻擊的蠕蟲病毒。其實早在2012年7月，微軟就針對SQLSeTVeT2000中1434端口的漏洞，公布廠安全補丁程序，對于微軟服務(wù)器軟件的用戶來說，只要下載廠補丁程序，就可以避免這次災(zāi)難。但遺憾的是，大多用戶忽視廠微軟的建議。從上面的例子不難看出，安全意識的樹立，在某種意義上比安全技術(shù)本身更重要。上一頁下一頁返回7.2服務(wù)器的安全與管理

另外，在軟件管理方面還應(yīng)對服務(wù)器中專門存放源程序文件夾的訪問權(quán)限進(jìn)行嚴(yán)格限制，通常只允許系統(tǒng)管理員有權(quán)限訪問和使用，否則一些不自覺的用戶會在他們的計算機(jī)上安裝一些本來他們不需要的軟件。

9.硬件資源的維護(hù)與管理在企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員通常需要負(fù)擔(dān)起管理