第4章服务器系统安全配置

1、阿拉丁计算机国际认证培训中心 http:/第四章 服务器系统安全配置阿拉丁计算机国际认证培训中心 http:/Windows Windows 服务器安全配置服务器安全配置 DNS serverDNS server配置以及管理配置以及管理Web serverWeb server配置以及管理配置以及管理ftp serverftp server配置以及管理配置以及管理E-mail serverE-mail server配置以及管理配置以及管理阿拉丁计算机国际认证培训中心 http:/域名空间结构域名空间结构根域根域顶级域顶级域n组织域组织域n国家或地区域国家或地区域n反向域反向域二级域二级域主机名主

2、机名FQDN:(Fully Qualified FQDN:(Fully Qualified Domain Name)Domain Name)完全合格域名完全合格域名顶级域顶级域 说明说明 govgov 政府部门政府部门 comcom 商业部门商业部门 eduedu教育部门教育部门 orgorg民间团体组织民间团体组织 netnet网络服务机构网络服务机构 milmil军事部门军事部门 顶级域顶级域国别国别/ /地区地区cncn中国中国jpjp日本日本ukuk英国英国auau澳大利亚澳大利亚hkhk中国香港中国香港将将IPIP地址映射到名称地址映射到名称 “”二级域下可以

3、扩展主机和子域二级域下可以扩展主机和子域主机名主机名.DNS.DNS后缀后缀=FQDN=FQDN阿拉丁计算机国际认证培训中心 http:/DNSDNS服务的作用服务的作用将域名解析为将域名解析为IP地址地址n客户机向客户机向DNSDNS服务器发送域名查服务器发送域名查询请求询请求nDNSDNS服务器告知客户机服务器告知客户机WebWeb服务器服务器的的IPIP地址地址n客户机与客户机与WebWeb服务器通信服务器通信阿拉丁计算机国际认证培训中心 http:/DNSDNS查询过程查询过程阿拉丁计算机国际认证培训中心 http:/DNSDNS查询类型查询类型从查询方式上分从查询方式上分n递归查询递

4、归查询q要么做出查询成功响应，要么作出查询失败的响应要么做出查询成功响应，要么作出查询失败的响应 n迭代查询迭代查询q以最佳结果作答以最佳结果作答 从查询内容上分从查询内容上分 n正向查询由域名查找正向查询由域名查找IPIP地址地址 n反向查询由反向查询由IPIP地址查找域名地址查找域名阿拉丁计算机国际认证培训中心 http:/配置配置DNSDNS服务器服务器需求条件需求条件安装安装DNS服务服务创建区域创建区域n创建正向查找区域创建正向查找区域n创建反向查找区域创建反向查找区域主要资源记录主要资源记录使用转发器使用转发器阿拉丁计算机国际认证培训中心 http:/DNSDNS必要条件必要条件有

5、固定的有固定的IPIP地址地址安装并启动安装并启动DNSDNS服务服务下列条件之一下列条件之一n有区域文件有区域文件n配置转发器配置转发器n配置根提示配置根提示阿拉丁计算机国际认证培训中心 http:/安装安装DNSDNS服务器服务器阿拉丁计算机国际认证培训中心 http:/DNSDNS服务器的类型（角色）服务器的类型（角色）主要区域主要区域n特定特定DNSDNS区域的官方服务器，具有唯一性区域的官方服务器，具有唯一性n负责维护该区域内所有域名负责维护该区域内所有域名-IP-IP地址的映射记录地址的映射记录辅助区域辅助区域n存放区域内所有主机的数据副本存放区域内所有主机的数据副本n其维护的其维

6、护的 域名域名-IP-IP地址记录地址记录 来源于主域名服务器来源于主域名服务器存根区域存根区域n区域副本，只包含权威系统所需的资源记录区域副本，只包含权威系统所需的资源记录n起始授权机构（起始授权机构（SOASOA）, ,名称服务器（名称服务器（NSNS）, ,粘连粘连A A记录组成记录组成阿拉丁计算机国际认证培训中心 http:/新建正向查找区域新建正向查找区域 阿拉丁计算机国际认证培训中心 http:/主要资源记录主要资源记录 资源记录资源记录说明说明SOA(SOA(起始授权机构起始授权机构) ) 定义了该区域中的哪个名称服务器是权威名称服务器定义了该区域中的哪个名称服务器是权威名称服务

7、器 NS(NS(名称服务器名称服务器) ) 表示该区域的权威服务器和表示该区域的权威服务器和SOASOA中指定的该区域的主服务中指定的该区域的主服务器和辅助服务器器和辅助服务器 A(A(主机主机) ) 列出了区域中列出了区域中FQDNFQDN到到IPIP地址的映射地址的映射 PTR(PTR(指针指针) ) PTRPTR记录把记录把IPIP地址映射到地址映射到FQDN FQDN MXMX邮件交换器记录，向指定邮件交换主机提供消息路由（邮件交换器记录，向指定邮件交换主机提供消息路由（在后续课程使用）在后续课程使用） SRV(SRV(服务位置服务位置) ) 列出了哪些服务器正在提供特定的服务列出了哪

8、些服务器正在提供特定的服务 区域文件中包含资源记录区域文件中包含资源记录阿拉丁计算机国际认证培训中心 http:/新建资源记录新建资源记录 新建主机记录新建主机记录新建别名新建别名n如果如果还有另外一个名字如还有另外一个名字如n可以在区域可以在区域中新建别名记录中新建别名记录阿拉丁计算机国际认证培训中心 http:/转发器转发器 将本地将本地DNSDNS服务器无法解析的查询转发给网络上的其他服务器无法解析的查询转发给网络上的其他DNS DNS 服务器，该服务器，该 DNS DNS 服务器即被指定为转发器服务器即被指定为转发器 转发给转发器的查询为递归查询转发给转发器的查询为递归查询 配置转发器

9、配置转发器n假设本地假设本地DNSDNS服务器的服务器的IPIP地址为地址为n转发器的转发器的IPIP地址为地址为11n则在本地则在本地DNSDNS服务器上配置服务器上配置 阿拉丁计算机国际认证培训中心 http:/配置静态配置静态DNS服务器地址服务器地址阿拉丁计算机国际认证培训中心 http:/动态获得动态获得DNS服务器地址服务器地址在在DHCPDHCP服务器上，配置作用域选项服务器上，配置作用域选项阿拉丁计算机国际认证培训中心 http:/域名解析顺序域名解析顺序 解析域名顺序解析域名顺序n本机本机

10、DNSDNS缓存缓存n本机本机HostsHosts文件文件nDNSDNS服务器服务器本机本机DNSDNS缓存缓存nIpconfig /displaydnsIpconfig /displaydnsnIpconfig /flushdnsIpconfig /flushdns本机本机HostsHosts文件文件nHostsHosts文件文件%SystemRoot%system32driversetc%SystemRoot%system32driversetcnHostsHosts文件格式文件格式阿拉丁计算机国际认证培训中心 http:/域名解析排错域名解析排错2-1 2-1 客户机设置客户机设置 n检

11、查客户机的首选检查客户机的首选DNSDNS服务器是否配置服务器是否配置n配置的配置的DNSDNS服务器的服务器的IPIP地址是否正确地址是否正确DNSDNS服务器上的资源记录服务器上的资源记录n检查检查DNSDNS服务器上有没有正确的区域名及要查找的主机记录服务器上有没有正确的区域名及要查找的主机记录 n使用使用nslookupnslookupDNSDNS服务是否启动服务是否启动 阿拉丁计算机国际认证培训中心 http:/WWWWWW服务服务 WWWWWW服务，即万维网服务服务，即万维网服务在网上发布的，并可以通过浏览器观看的图形化页面的服务在网上发布的，并可以通过浏览器观看的图形化页面的服务

12、常用的常用的WWWWWW服务软件服务软件n在在WindowsWindows系统中是系统中是IISIIS阿拉丁计算机国际认证培训中心 http:/IISIIS概述概述组件名称组件名称功能功能万维网（万维网（WWWWWW）服务）服务使用使用HTTPHTTP协议向客户提供信息浏览服务协议向客户提供信息浏览服务文件传输协议（文件传输协议（FTPFTP）服务）服务使用使用FTPFTP协议向客户提供上传和下载文件的服务协议向客户提供上传和下载文件的服务SMTP ServiceSMTP Service简单邮件传输协议服务，支持电子邮件的传输简单邮件传输协议服务，支持电子邮件的传输NNTPNNTP服务服务网络

13、新闻传输协议服务网络新闻传输协议服务Internet Internet 信息服务信息服务管理器管理器IISIIS的管理界面的的管理界面的MicrosoftMicrosoft管理控制台管理单元管理控制台管理单元InternetInternet打印打印提供基于提供基于WebWeb的打印机管理，并能够通过的打印机管理，并能够通过HTTPHTTP打印打印到共享打印机到共享打印机IISIIS主要提供主要提供WWWWWW、 FTPFTP、SMTPSMTP、NNTPNNTP等服务等服务 阿拉丁计算机国际认证培训中心 http:/安装安装IIS 6.0IIS 6.0阿拉丁计算机国际认证培训中心 http:/配

14、置默认网站配置默认网站 右击右击【默认网站默认网站】| |【属性属性】 IP地址和默认端口地址和默认端口给被管理的网站起个给被管理的网站起个好记的名称好记的名称 连接超时和保持连接超时和保持HTTP连接连接阿拉丁计算机国际认证培训中心 http:/阶段练习阶段练习背景背景Jaladingalading公司需要在办公网络内部配置一个公司需要在办公网络内部配置一个WebWeb网站网站J员工访问员工访问WebWeb网站的方式为网站的方式为http:/Webhttp:/Web服务器的服务器的IPIPJ已知服务器的已知服务器的IPIP为为，网页的本地路径是，网

15、页的本地路径是c:webrootc:webroot，首，首页文件名为页文件名为default.htmdefault.htm目标目标J安装安装WWWWWW服务服务J配置默认网站配置默认网站J使用浏览器访问使用浏览器访问WebWeb网站网站阿拉丁计算机国际认证培训中心 http:/虚拟目录概念虚拟目录概念 物理目录：实际存放在主目录的子文件夹物理目录：实际存放在主目录的子文件夹虚拟目录：能将一个网站的文件分散存储在同一计算机的不虚拟目录：能将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中同路径和其他计算机中使用虚拟目录的优点使用虚拟目录的优点n将数据分散保存到不同的磁盘或者计算机上，便

16、于分别开发与维护将数据分散保存到不同的磁盘或者计算机上，便于分别开发与维护n当数据移动到其他物理位置时，不会影响到当数据移动到其他物理位置时，不会影响到WebWeb网站的逻辑结构网站的逻辑结构 阿拉丁计算机国际认证培训中心 http:/创建虚拟目录创建虚拟目录 创建完成的虚拟目录创建完成的虚拟目录阿拉丁计算机国际认证培训中心 http:/配置虚拟目录配置虚拟目录 右击右击【products】| |【属性属性】 虚拟目录的首页虚拟目录的首页 阿拉丁计算机国际认证培训中心 http:/访问虚拟目录访问虚拟目录 在浏览器地址栏输入在浏览器地址栏输入“http:/IPhttp:/IP地址地址/ /虚拟

17、目录名虚拟目录名” ” 通过在网页中的链接访问通过在网页中的链接访问WebWeb网站网站 阿拉丁计算机国际认证培训中心 http:/什么是什么是FTPFTP文件传输协议（文件传输协议（File Transfer ProtocolFile Transfer Protocol）利用利用FTPFTP可以给用户提供上传和下载文件的服务可以给用户提供上传和下载文件的服务采用客户机采用客户机/ /服务器方式服务器方式 阿拉丁计算机国际认证培训中心 http:/安装安装FTPFTP服务服务阿拉丁计算机国际认证培训中心 http:/配置默认配置默认FTPFTP站点站点配置的内容有配置的内容有n FTPFTP站

18、点站点n安全帐户安全帐户n消息消息n主目录主目录n目录安全性目录安全性阿拉丁计算机国际认证培训中心 http:/FTPFTP站点站点 该站点的说明文字该站点的说明文字 决定了能同时连接决定了能同时连接到服务器的客户端到服务器的客户端连接的数量连接的数量 可以使用日志文件可以使用日志文件记录用户访问记录用户访问FTP站点的操作站点的操作 阿拉丁计算机国际认证培训中心 http:/安全帐户安全帐户阿拉丁计算机国际认证培训中心 http:/主目录主目录下载权限下载权限 上传权限上传权限 记录用户操作记录用户操作 阿拉丁计算机国际认证培训中心 http:/目录安全性目录安全性阿拉丁计算机国际认证培训中

19、心 http:/FTPFTP访问方式访问方式1.WEB1.WEB浏览器浏览器nftp:/ipftp:/ipnftp:/user:passwordipftp:/user:passwordip2.FTP2.FTP软件软件3.3.命令行命令行n ftp ipftp ip阿拉丁计算机国际认证培训中心 http:/什么是邮件系统什么是邮件系统n一种能够书写、发送、存储和接收信件的电子通信系统一种能够书写、发送、存储和接收信件的电子通信系统 n邮件系统一般分为邮件系统一般分为2 2个组成部分个组成部分q邮件用户代理（邮件用户代理（MUAMUA）q邮件传输代理（邮件传输代理（MTAMTA）发信人收信人乙地邮

20、局甲地邮局MUAMUAMTAMTA邮件系统概述邮件系统概述阿拉丁计算机国际认证培训中心 http:/常见的邮件协议常见的邮件协议协协 议议中文名称中文名称协议内容协议内容RFC 822RFC 822RFC 822RFC 822邮件格式邮件格式RFC 822RFC 822定义了用于电子邮件报文的格式定义了用于电子邮件报文的格式SMTPSMTP简单邮件传输协议简单邮件传输协议SMTPSMTP是是InternetInternet上传输电子邮件的标准协议，上传输电子邮件的标准协议，用于提交和传输电子邮件用于提交和传输电子邮件POP3POP3邮局协议第邮局协议第3 3版版POP3POP3是一种离线邮件协

21、议，采用客户端是一种离线邮件协议，采用客户端/ /服务器服务器工作模式工作模式IMAP4IMAP4网际消息访问协议第网际消息访问协议第4 4版版IMAP4IMAP4允许用户使用多台计算机上的邮件客户端允许用户使用多台计算机上的邮件客户端同时访问邮件服务器上的邮箱同时访问邮件服务器上的邮箱MIMEMIME多用途的网际邮件扩展多用途的网际邮件扩展MIMEMIME增强了在增强了在RFC 822RFC 822中定义的电子邮件报文的中定义的电子邮件报文的交换能力，允许传输二进制数据交换能力，允许传输二进制数据阿拉丁计算机国际认证培训中心 http:/常见的邮件系统常见的邮件系统邮件服务器产品邮件服务器产

22、品生产厂商生产厂商应用范围应用范围应用实例应用实例ExchangeExchange企业企业SendmailSendmailQmailQmailPostfixPostfixISPISPLotus NotesLotus Notes政府机关政府机关阿拉丁计算机国际认证培训中心 http:/规划邮件系统规划邮件系统2-12-1规划活动目录规划活动目录n决定如何扩展活动目录架构信息决定如何扩展活动目录架构信息n确定确定ExchangeExchange组织的管理员组织的管理员n确定各个部门公用文件夹的管理权限确定各个部门公用文件夹的管理权限 规划部署途径规划部署途径n全新安装全新安装n升级安装升级安装阿拉

23、丁计算机国际认证培训中心 http:/Exchange 2003Exchange 2003安装安装 安装要求安装要求准备工作准备工作安装安装Exchange 2003Exchange 2003更新安全补丁更新安全补丁阿拉丁计算机国际认证培训中心 http:/Exchange 2003Exchange 2003安装要求安装要求硬件要求硬件要求nIntel X86 133MHzIntel X86 133MHz以上以上CPUCPUn最低最低128MB128MB内存内存n500MB500MB以上可用磁盘空间以上可用磁盘空间操作系统要求操作系统要求nWindows 2000 SP3 or SP4Wind

24、ows 2000 SP3 or SP4nWindows 2003Windows 2003文件系统要求文件系统要求nNTFSNTFS阿拉丁计算机国际认证培训中心 http:/使用使用ExchangeExchange部署工具部署工具3-13-1 启动启动ExchangeExchange部署工具部署工具 通过通过Exchange部署工具完成部署工具完成Exchange安装安装阿拉丁计算机国际认证培训中心 http:/使用使用ExchangeExchange部署工具部署工具3-23-2 选择选择ExchangeExchange安装过程安装过程 选择选择“部署第一台部署第一台Exchange 2003服

25、务器服务器”阿拉丁计算机国际认证培训中心 http:/使用使用ExchangeExchange部署工具部署工具3-33-3 选择安装环境选择安装环境 选择安装全新的选择安装全新的Exchange 2003阿拉丁计算机国际认证培训中心 http:/安装安装ExchangeExchange 操作系统要求确认操作系统要求确认安装并启用安装并启用WindowsWindows服务服务安装安装WindowsWindows支持工具支持工具运行运行DCDiag DCDiag 运行运行NETDiag NETDiag 运行运行ForestPrepForestPrep（林准备）（林准备）运行运行DomainPrepDomainPrep（域准备）（域准备）运行运行Exchange 2003Exchange 2003安装安装阿拉丁计算机国际认证培训中心 http:/使用使用ExchangeExchange客户端访问邮件服务客户端访问邮件服务OutlookOutlook（OLOL）Outlook ExpressOutlook Express（OEOE）Outlook Web AccessOutlook Web Access（OWAOWA）阿拉丁计算机国际认证培训中心 htt