网络操作系统项目教程教学课件汇总完整版电子教案全书整套课件幻灯片(最新)

1、项目名称：-1- 高职高专院校“十二五”精品示范系列教材（计算机网络技术专业群）网络操作系统项目教程-2-项目名称：网络虚拟实验室的建立-3-网络虚拟实验室的建立了解网络虚拟实验室的基本概念掌握VMWare Workstation建立虚拟主机的方法掌握在VMWare平台上建立Windows Server 2008和Red Hat Linux虚拟机的方法掌握建立桥接、NAT、独立主机和虚拟网段类型虚拟网络的方法学习目标-4-VMWare Workstation的安装一、什么是网络虚拟实验环境 网络操作系统课程以及其他网络课程的学习都必须依赖真实的网络设备，例如交换机、路由器等。但是这些网络设备不

2、仅价格昂贵，而且不便于统一的管理维护。在目前各高校在开展网络技术课程实验时存在着以下的不足：（1）网络物理线路连接水平低，容易出错。（2）网络仪器设备使用不当，容易损坏。 （3）学生使用设备的效率不高， -5- 虚拟实验环境允许根据提供的虚拟器材，自由搭建任意合理的典型实验或实验案例，这一点是虚拟实验环境有别于传统物理实验环境的重要特征。基于虚拟技术的虚拟实验室相对于传统的网络实验室具有如下的优势：（1）虚拟网络实验环境无需价格昂贵的网络实体设备，节省了教学经费的投入，实现了仪器设备的集成共享；（2）虚拟网络实验环境无需考虑网络设备及物理线路的连接问题，对于没有故障排除经验的学生来说较为方便；

3、（3）虚拟网络实验环境能够避免学生在实验过程中为频繁变化调整配置而要不停往返于设备之间的环节；（4）教师在虚拟网络实验环境下授课可以采用广播的方式实时进行操作的演示与讲解，改变传统的抓图和PPT等方式，更易于学生的理解和接受。 VMWare Workstation的安装-6-二、VMWare Workstation 简介 VMware Workstation 是一款功能强大的桌面虚拟计算机软件，提供用户可在单一的桌面上同时运行不同的操作系统，是进行软件开发、测试 、部署新的应用程序的最佳解决方案。VMware Workstation可在一部实体机器上模拟完整的网络环境，这个环境和真实的计算机一

4、样，都有芯片组、CPU、内存、显卡、声卡、网卡、软驱、硬盘、光驱、串口、并口、USB控制器、SCSI控制器等设备，并且提供这个应用程序的窗口就是虚拟机的显示器。VMWare Workstation的安装-7-三、VMWare Workstation 9.0介绍 VMWare Workstation 软件从推出到现在已经有了9个版本，每个版本所实使用的操作系统都与当时的主流配置相适应。VMWare Workstation 9.0为微软的最新操作系统Windows 8系统环境以及运行Win8虚拟机而全新设计。VMWare Workstation在虚拟网络方面虽然具有非常强大的功能，但是各个版本的V

5、MWare Workstation对主机内存的依赖仍然是非常高的。 VMWare Workstation的安装-8-VMWare Workstation的安装-9- 在VMWare Workstation 的安装过程中，物理主机会自动安装两块虚拟网卡（如图1-7所示），如果物理主机是Windows XP系统则会默认在新增加的网卡上自动启用防火墙。为了让虚拟机正常工作，我们可以在物理主机上的Windows XP操作系统上对防火墙进行必要的人工配置。VMWare Workstation的安装-10-VMWare Workstation的安装-11- VMWare Workstation 9.0可以

6、安装Windows系列、Linux、Novell Network、SUN Solaris等主流的操作系统。其中Widnows 家族的操作系统包括Windows 95及后面的更高版本的操作系统，甚至包括微软最新的Windows 8及 Windows Server 2008等操作系统。 安装Windows Server 2008-12-安装Windows Server 2008-13- 在网络服务器领域，大多数的中低端服务器都是采用的Windows 各类网络操作系统，而在市场的中高端的服务器仍大量采用Linux各个系统。因此我们也需要掌握在虚拟机中安装Linux操作系统的方法。 Linux是一套免

7、费使用和自由传播的类Unix操作系统，它主要用于基于Intel x86系列 CPU的计算机上。这个系统是由世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件版权制约的、全世界都能自由使用的 Unix兼容产品。 安装Red Hat Linux9.0 -14-安装Red Hat Linux9.0 -15-安装Red Hat Linux9.0 -16-安装Red Hat Linux9.0 -17- 在VMWare Workstation在安装完成之后，在宿主机的“网络连接”属性对话框内自动出现了两个虚拟交换机（也可以理解为虚拟网卡），分别是VMware Network Adapt

8、er VMnet1和VMware Network Adapter VMnet8。这两个虚拟交换机究竟有什么样的功能呢？ VMWare的虚拟网络类型主要有三种:（1）桥接网络（Bridged）（2）网络地址转换（NAT）（3）独立主机（Host-only）模式虚拟网络类型 -18-1、桥接网络（Bridged）模式 在这种模式下，虚拟机就像是局域网中的一台独立的主机，与它所依赖的宿主主机平等的存在于网络中，管理员必须像对待局域网中其他真正的物理主机一样来对待虚拟机（例如为虚拟机分配局域网所要求的网络地址、子网掩码、网关等）。 虚拟网络类型 -19-1、桥接网络（Bridged）模式设置虚拟网络类

9、型 -20-1、桥接网络（Bridged）模式设置虚拟网络设备配置 完成虚拟桥接网络实验，除了需要设置虚拟网卡类型之外，我们还需要添加虚拟机交换机。添加虚拟网络连接设备是在VMWare的虚拟网络编辑器（Virtual Network Edior）内进行配置的。 虚拟网络类型 -21-2、独立主机模式（Host-only） Host-only顾名思义就是独立主机模式。这种模式提供的是主机和虚拟机之间的网络互访，而不是虚拟机访问Internet的技术。在某些特殊的网络调试环境中，我们往往需要将真实环境和虚拟环境隔离开，这时就可采用Host-only模式。在Host-only模式中，所有的虚拟主机是

10、可以相互通信的，但虚拟系统和真实的网络是被隔离开的。 虚拟网络类型 -22-2、独立主机模式（Host-only） 配置虚拟网络类型 -23-2、独立主机模式（Host-only）虚拟网络设备配置 将虚拟机网卡设置为Host-Only工作方式之后，就需要添加虚拟交换机实现虚拟机与宿主主机的连接。 虚拟网络类型 -24-3、网络地址转换（NAT）方式 如果希望虚拟机通过宿主主机访问外部网络，但是却不希望外部网络访问虚拟的私有网络，那么设置NAT方式就可以实现其功能。NAT这种模式最简单，虚拟系统不用做任何网络设置就可以访问外部网络，但是外部网络却不能访问私有网络内的虚拟机。 虚拟网络类型 -25

11、-3、网络地址转换（NAT）方式的配置（1）虚拟机网卡类型设置虚拟网络类型 -26-3、网络地址转换（NAT）方式的配置（2）虚拟网络设备配置虚拟网络类型 -27-4、LAN Segment类型 在前面谈论过的三种虚拟网络类型NAT、Host-only和Bridged都具有一个共同的特点，即宿主主机均可以访问虚拟机。如果我们需要一个完全被隔离的网络，只允许该网络内的虚拟机相互通信，而不允许包括宿主主机在内的所有主机访问。那么以上三种方式是无法实现该功能的。要实现此功能，只有采用虚拟网段类型的网络（即LAN Segment） 虚拟网络类型 -28-4、LAN Segment类型的设置（1）虚拟网

12、段配置虚拟网络类型 -29-4、LAN Segment类型的设置（2）虚拟机网卡类型设置虚拟网络类型 -30-项目名称：DHCP服务器的配置与管理-31-学习目标 理解DHCP协议的工作原理 掌握DHCP服务组件的安装和启用方法 掌握DHCP服务器的配置方法 掌握DHCP客户端的设置方法 掌握DHCP服务器设置超级作用域的配置 方法 掌握DHCP中继代理服务器的配置方法-32-认识DHCP服务 DHCP是动态主机配置协议的简称，用于给网络内的主机动态分配IP地址。DHCP服务器除了可以分配IP地址和子网掩码这两个必选项以外，还可以根据要求分配默认网关地址、DNS服务器地址、WINS服务器地址。

13、 减小管理员的工作量减小输入错误的可能避免IP冲突当网络更改IP地址段时，不需要重新配置每台计算机的IP计算机移动不必重新配置IP-33-DHCP的工作过程 ：（1）DHCP客户端请求（DHCP Discover） （2）DHCP服务器响应（DHCP Offer） （3）DHCP客户端选择（DHCP Request） （4）DHCP服务器确认（DHCP ACK） 认识DHCP服务-34-（5）重新申请 此后DHCP客户机每次重新登陆网络申请地址时，就不需要再发送DHCP Discover发现信息了，而是直接发送包含前一次所分配的IP地址的DHCP Request请求信息。当DHCP服务器收到这

14、一信息后，它会尝试让DHCP客户机继续使用原来的IP地址，并回答一个DHCP ACK确认信息。（6）更新租约 DHCP客户机启动时和IP租约期限过50%时，DHCP客户机都会自动向DHCP服务器发送更新其IP租约的信息。如果更新失败，则继续等待直到租约达到87.5%时，进入重新申请状态，需要客户机重新发送DHCP Discover包开始重新申请地址。认识DHCP服务-35-1查看主机IP地址和物理地址2绑定IP地址和物理地址认识DHCP服务-36-1DHCP中继代理的功能 DHCP中继代理服务就是在网络中设置DHCP中继代理服务器，通过它将不同子网的客户端主机与DHCP服务器联系起来，借助于这

15、个媒介间接实现地址申请和分配任务。2DHCP中继代理的工作过程（1）DHCP客户端广播DHCP Discover包；（2）DHCP中继代理收到DHCP Discover包，以单播发送给DHCP 服务器；（3）DHCP服务器收到数据包，以单播发送DHCP Offer包给DHCP 中继代理服务器；DHCP中继代理-37-（4）DHCP中继代理服务器广播发送DHCP Offer包；（5）DHCP客户端广播DHCP Request包；（6）DHCP中继代理服务器以单播转发DHCP Request包给DHCP服 务器；（7）DHCP服务器以单播发送DHCP ACK包给DHCP中继代理服务；（8）DHCP

16、中继代理服务器广播DHCP ACK包。DHCP中继代理-38-3DHCP中继代理的工作方式（1）路由器充当路由转发和DHCP中继代理功能（2）独立的DHCP中继代理服务器DHCP中继代理-39-项目名称：DNS服务器的配置与管理-40-学习目标 理解域名解析系统结构 理解DNS解析过程 理解DNS区域文件记录类型 理解DNS子域基本概念 掌握DNS服务器正反向查找区域配置方法 掌握辅助DNS服务器配置方法 掌握建立DNS子域和子域权限委派的配置方法-41-DNS体系结构1.域名解析系统的发展 每台主机利用一个 Hosts文件，在Host文件内记录了当时互联网上的所有主机名称和IP地址的映射关系

17、。Hosts文件是一个完全的分散解析方案，每台主机都自己负责名称解析。每个主机利用这个Host文件就可以把互联网上所有的主机都解析出来。 -42-2域名解析系统DNS的体系结构 DNS采用的是分布式的解析方案。互联网管理委员会规定，域名空间的解析权都归根服务器所有，也就是说，根服务器对互联网上所有的域名都享有完全的解析权 。 根服务器把com结尾的域名解析权委派给其他的 DNS服务器，以后所有以com结尾的域名就不需要根服务器负责解析了，而由被委派的服务器负责解析。此外根服务器还把以 net，org，edu，gov等结尾的域名都一一进行了委派，这些被委派的域名被称为顶级域名， DNS体系结构-

18、43- 每个被委派的DNS顶级域名可以按照委派的方式向下进行进一步的委派。例如，要使用域名，就需要向负责.com域名的DNS服务器进行申请。如果要使用子域名，只需要向负责域名的新浪公司DNS服务器进行申请。 值得注意的是，在二级域名以下就可以创建子域名或者主机名。 只要这种委派一级级发展下去，就会形成分层次的逻辑树型结构。DNS体系结构-44-完全合格域名FQDN（完全合格域名）=主机名+.DNS后缀例如：在域内FTP服务器的完全合格域名就是. news服务器的完全合格域名就是. DNS体系结构-45-DNS的解析过程1DNS按照查询方式 正向地址解析是指DNS客户端向DNS服务器提交域名查询

19、IP地址，或者是DNS服务器向另一台DNS服务器提交域名查询IP地址，被请求的DNS服务器作出响应的过程称为正向解析。 反向解析是指DNS客户端向DNS服务器提交IP地址而查询域名的响应过程。-46-2DNS按照响应方式（1）递归查询 递归查询是指DNS客户端发出查询请求后，如果DNS服务器内没有所需的数据，则DNS服务器会代替客户端向其他DNS服务器进行查询。在这种方式中，DNS服务器必须给DNS客户端作出回答。（2）循环查询（迭代查询） 循环查询是指每次请求一个服务器，不行再请求其他的服务器。 DNS的解析过程-47-DNS客户机本地域名服务器根DNS服务器cnC234671递归查询迭代查

20、询Web服务器查询域名：DNS的解析过程-48-3DNS的解析过程DNS的解析过程-49-1.DNS区域及文件记录 DNS的区域有三种类型：主要区域、辅助区域和存根区域。 主要区域：主DNS服务器建立的区域 辅助区域：辅助DNS服务器建立的区域 存根区域：特殊的，简化的辅助区域 DNS的区域文件-50-DNS的区域文件中常用的记录 资源记录说明SOA(起始授权机构) 定义了该区域中的哪个名称服务器是权威名称服务器 NS(名称服务器) 表示该区域的权威服务器和SOA中指定的该区域的主服务器和辅助服务器 A(主机) 列出了区域中FQDN到IP地址的映射 PTR(指针) PTR记录把IP地址映射到F

21、QDN MX邮件交换器记录，向指定邮件交换主机提供消息路由（在后续课程使用） SRV(服务位置) 列出了哪些服务器正在提供特定的服务 DNS的解析过程-51-1.设置DNS辅助服务器的必要性容错能力减少广域链路的通信量减轻主服务器的负载2.主DNS服务器和从DNS服务器区域文件的同步 主DNS服务器保存着区域的所有文件记录，辅助服务器定期与主服务器进行同步，从主服务器那里复制区域文件到本服务器上。 辅助DNS服务器-52-DNS子域和子域委派的基本概念 区域中的子域过多时，维护起来不方便，并且还会遇到域名查询量的瓶颈。通过在区域中新建委派可以将子域委派到其他服务器维护。 子域与委派的对比 S子

22、域的资源在父区域文件中S委派有独立的区域文件DNS子域和委派-53-1.DNS转发器的基本概念和工作原理 将本地DNS服务器无法解析的查询转发给网络上的其他DNS 服务器，该 DNS 服务器即被指定为转发器。转发给转发器的查询为递归查询 。2.配置转发器（1）假设本地DNS服务器的IP地址为（2）转发器的IP地址为1（3）在本地DNS服务器上配置 DNS转发器-54-1DNS服务器的安装DNS服务器的基本配置-55-DNS服务器的基本配置2创建DNS服务器区域-56-3创建资源记录DNS服务器的基本配置-57-4DNS客户端的设置DNS服务器的基本配置-58-辅助DNS服务器配置1主DNS服务

23、器配置-59-2辅助DNS服务器的配置辅助DNS服务器配置-60-DNS子域和委派配置1成都子公司的子域创建-61-2南京子公司的子域创建DNS子域和委派配置-62-3.南京子公司DNS服务器配置 DNS子域和委派配置-63-项目名称：应用程序服务器的配置与管理-64-教学目标 了解IIS基本功能和主要功能组件理解WWW和FTP服务基本概念理解虚拟主机技术基本原理和实现方式理解FTP用户权限设置方法掌握WWW服务器的基本配置方法掌握FTP服务器的基本设置方法-65-IIS概述组件名称功能万维网（WWW）服务使用HTTP协议向客户提供信息浏览服务文件传输协议（FTP）服务使用FTP协议向客户提供

24、上传和下载文件的服务SMTP Service简单邮件传输协议服务，支持电子邮件的传输NNTP服务网络新闻传输协议服务Internet 信息服务管理器IIS的管理界面的Microsoft管理控制台管理单元Internet打印提供基于Web的打印机管理，并能够通过HTTP打印到共享打印机IIS主要提供WWW、FTP、SMTP、NNTP等服务 -66-WWW服务 WWW服务，即万维网服务 在网上发布的，并可以通过浏览器观看的图形化页面的服务。常用的WWW服务软件在Windows系统中是IIS在Linux系统中是Apache -67- Web服务Web服务基于客户/服务器模型运行客户端运行Web浏览器

25、程序，提供统一、友好的用户界面服务器端运行Web服务程序，默认采用端口TCP 80侦听并响应客户端请求Web浏览器和服务器通过HTTP来建立连接、传输信息和终止连接HTTP即超文本传输协议，是一种通用的、无状态的、与传输数据无关的应用层协议 Web概述-68-Web概述Web应用程序 Web应用程序是一组静态网页和动态网页的集合 动态网页可以指示应用程序服务器从数据库中提取数据并将其插入网页中 Web概述-69-WWW服务几个概念HTTP（超文本传输协议）HTML(超文本标记语言)网页（Web Page）统一资源定位器URL-70-HTTP（超文本传输协议）在Web上运行的协议是HTTP（HT

26、TP-Hypertext Transfer Protocol，超文本传输协议）协议，根据这个协议就可以在网络上传输各种各样的Web网页文件。WWW采用的通信协议是超文本传输协议（HTTP，HyperTextTransfer Protocol），它可以传输任意类型的数据对象，是Internet发布多媒体信息的主要协议。WWW服务器是Intranet/Internet上处理HTTP请求的系统。http协议默认使用的TCP协议端口为80。-71-HTML(超文本标记语言)WWW中的信息资源主要由一篇篇的网页为基本元素构成，所有网页采用超文本标记语言（HTML，HyperText Markup Lan

27、guage）编写，HTML对Web页的内容、格式及Web页中的超链进行描述。HTML文档可以将声音、图像、视频等多媒体信息集成在一 起，使得用户在单一的浏览器界面中既可以阅读到文字信 息，也可以欣赏到各种图片、动画，同时浏览器也会根据 HTML文档中所集成的声音和视频信息的类型激活相应的程 序，让用户获得相应媒体所表达的效果。HTML的结构包括头部(head)和主体(body)。头部描述浏览器所需信息，主体包含所要表达的具体内容。-72-网页（Web Page） 网页也称为页面，一个网页是以一个HTML文档的形式存放的。打开浏览器，第一个显示的网页叫主页（起始页）-73-统一资源定位器URLI

28、nternet中的网站成千上万。为了准确查找。人们采 用了统一资源定位器（URL，Uniform Resource Locator）来在全世界唯一标识某个网络资源。URL的表示形式主要由三部分组成： 协议、主机名和路径及文件名。例如： http:/ 协议类型 主机名 路径及地址 端口号-74-虚拟目录物理目录：实际存放在主目录的子文件夹虚拟目录：能将一个网站的文件分散存储在同一计算机的不同 路径和其他计算机中使用虚拟目录的优点将数据分散保存到不同的磁盘或者计算机上，便于分别开发与维护当数据移动到其他物理位置时，不会影响到Web网站的逻辑结构 -75-Web服务器基本配置 -76-Web服务器的

29、管理 -77-虚拟主机指在一台计算机上可以运行多个网站实现虚拟主机一般有3种方式使用不同的IP地址使用相同的IP地址、不同的TCP端口使用相同的IP地址和TCP端口、不同的主机头虚拟主机技术 -78-建立不同IP地址的网站服务器上有2个IP地址和默认网站站用现在需要新建一个网站，IP地址为 -79-建立不同IP地址的网站-80-不同TCP端口的网站-81-配置主机头相同IP相同TCP端口能运行多个网站吗？可以使用不同的主机头运行多个网站，主机头需要DNS解析 1.DNS服务器配置-82-2Web服务器配置配置主机头-83- 了解FTP概念理解FTP工作方式 掌握默认FTP站点的配置掌握FTP客

30、户端的使用FTP概述-84-FTP基础文件传输协议（File Transfer Protocol）利用FTP可以给用户提供上传和下载文件的服务采用客户机/服务器方式 FTP服务器客户机建 立 连 接传 输 请 求给 予 响 应-85-FTP基础FTP工作过程：FTP采用客户/服务器模式运行一个FTP会话中需要两个独立的网络连接，FTP服务器需要监听两个端口一个端口作为控制端口（默认TCP 21），用来发送和接收FTP的控制信息另一个端口作为数据端口（默认TCP 20），用来发送和接收FTP数据FTP控制连接建立之后，再通过数据连接传输文件-86-FTP基础主动模式 由FTP服务器发起到FTP客

31、户端的数据连接，所以称其为主动模式客户端使用PORT指令联系服务器，又称为PORT模式。被动模式 由FTP客户端发起到FTP服务器的数据连接，所以称其为被动模式客户端使用PASV指令联系服务器，又称为PASV模式。-87-项目名称：基于活动目录的网络管理-88-教学目标 了解活动目录与工作组模式的各自特点 理解活动目录的基本结构 理解活动目录分组设置的AGDLP原则 理解活动目录组策略功能 掌握设置基于活动目录网络的基本配置方法 掌握活动目录账户、组织单元和权限委派设置 掌握活动目录组策略的配置方法-89-活动目录基本概念 网络中的目录服务对于网络的作用就像电话黄页对于电话系统的作用一样。目录

32、服务将有关现实世界中的事物(如人、计算机、打印机等等)的信息存储为具有描述性属性的对象。人们可以使用该服务按名称查找对象或者像使用黄页一样，使用它们的查找服务。Active Directory与域控制器 -90-DNS与活动目录名称空间的差异在于它们各自在名称空间内保存了不同类型的数据，DNS保存了区域以及资源记录，活动目录保存了域与域的对象。DNS用来定位网络上的资源和服务，活动目录用来组织资源和服务。DNS可以独立于活动目录，但活动目录则必须依赖DNS提供的定位服务。因此为了使活动目录能够正常工作，DNS服务器必须支持服务定位（SRV）资源记录，SRV记录可以把服务名字映射为提供服务的服务

33、器名字。活动目录域DNS的关系-91-域是Active Directory的基本单位和核心单元域是Active Directory的分区单位Active Directory中必须至少有一个域共享同一个AD数据库的计算机组成一个域活动目录组织结构-92-活动目录的逻辑结构-93-活动目录的逻辑结构-94- 部署一个域大致要做下列工作： （1) DNS前期准备 （2 )创建域控制器 （3 )创建计算机账号（即将计算机加入域） （4 )创建用户账号和组织单元 活动目录的部署-95-DNS前期准备 DNS服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS域名，DNS需要为域中的计算机提供域名解

34、析服务；另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器，因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS服务器，要么使用一台单独的DNS服务器。活动目录的部署-96- （2）创建域控制器 有了DNS的支持，我们现在可以开始创建域控制器了，域控制器是域中的第一台服务器，域控制器上存储着Active Directory，可以说，域控制器就是域的灵魂。活动目录的部署-97- （2）创建域控制器 如下图所示，在DC-Server上运行Dcpromo，开始域控制器的创建活动目录的部署

35、-98-（2）创建域控制器 活动目录的部署-99-（3）创建计算机账号（即将计算机加入域） 创建计算机账号就是把成员服务器和用户使用的客户机加入域，这些计算机加入域时会在Active Directory中创建计算机账号。活动目录的部署-100-（4）创建组织单位将域进一步划分成多个组织单位（OU）组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器组织单位相当于域的子域，可以像域一样包含各种对象组织单位本身也具有层次结构活动目录的部署-101- （5）创建用户账号活动目录的部署-102-活动目录组策略管理主机（1） 基于活动目录的组策略配置 -103-活动

36、目录组策略管理主机（2）1. 设置将“我的文档”重定向至文件服务器（1）在文件服务器上设置共享文件夹User-Folder（2）在域控制器上创建组策略对象“文件夹重定向”（3）编辑组策略对象“文件夹重定向”（4）链接组策略对象“文件夹重定向”。2. 设置统一的电脑桌面图片（1）设置统一的桌面背景文件（2）创建组策略对象“统一桌面图片”（3）编辑组策略对象“统一桌面图片”（4）链接组策略对象“统一桌面图片”。（5）在域控制器的命令对话框中，输入指令gpupdate /force，强制刷新组策略。基于活动目录的组策略配置 -104-基于活动目录组策略的软件部署 -105-项目名称： Web服务器的

37、安全管理-106-教学目标 理解Web服务器的安全措施 掌握Web服务器的安全设置方法 掌握身份验证的设置方法 掌握访问控制的设置方法 掌握证书验证的设置方法-107-IIS安全措施 在Web服务器上采取恰当的安全防护措施，可以减少和消除各种意外事件的发生。 Internet 服务管理器所提供之安全功能可以和Windows完全整合在一起。IIS目前共支持五种验证方式，用以确认请求访问Web站点的用户身份。-108-身份验证方式匿名验证：任何用户皆可读写，无须查证用户姓名或密码。基本验证：用户须提供用户名及密码，该资料仅仅编码而不加密通过网络传送。摘要式验证：这是IIS5.0的添加功能，用户密码

38、通过哈希算法生成数字摘要，以离散值传送给服务器进行验证。只有在域控制器中才能使用“摘要式验证”。集成的Windows验证：利用离散技术来验证用户，且不直接将密码传送到网络上。证书：一种数字文件，用来建立安全套接层SSL连接，且也可作为验证使用。-109-匿名验证身份验证IIS使用“IUSR_计算机名称”帐户访问Web的过程如下：(1)当收到请求时，IIS在执行任何程序码或访问之前，会先模拟“IUSR_计算机名称”帐户。 (2)传回网页给用户端之前，IIS检查NTFS文件和目录的权限，看是否允许“IUSR_ 计算机名称帐户”访问这个文件。(3)若允许访问，则验证完成，且用户可使用资源。 (4)若

39、不允许访问，则IIS会尝试使用其他的验证方法。如果没有选择使用任何其他验证方法，IIS会传回一个“HTTP 403拒绝访问”的错误信息给浏览器。 (5)若启用“匿名”验证的同时启用了其他的授权方法，IIS会先使用“匿名”验证。-110-基本身份验证基本验证工作过程：（1）用户的Web浏览器会显示出一个对话框，用户可在其中输入他们先前被指定之Windows 2000帐户的用户名称和密码。（2）然后Web浏览器会使用这项信息来尝试建立连接。（3）如果Web服务器拒绝这项信息，Web浏览器会重覆地显示该对话框，直到用户输入有效的用户名称和密码或关闭对话框为止。 （4）当Web服务器确认用户的名称和密

40、码对应到有效的Windows用户帐户之后，就会建立连接。-111-集成的Windows身份验证 集成的Windows验证是一种安全的验证形式，当启用集成的Windows验证时，用户的浏览器会通过一种加密机制来验证计算机的Windows帐户密码。用户的浏览器会通过一种加密机制(kerberos )来验证计算机的Windows帐户密码。-112-Kerberros加密机制简述 如何进行认证？我们采用这样的方法：如果一个秘密（secret）仅仅存在于A和B，那么有个人对B声称自己就是 A，B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于认证的方面：Secre

41、t如何表示A如何向B提供SecretB如何识别Secret-113- 整个过程涉及到Client和Server，他们之间的这个Secret我们用一个 Key来表示。Client为了让Server对自己进行有效的认证，向对方提供如下两组信息：(1)代表Client自身Identity的信息，为了简便，它以明文的形式传递。(2)将Client的Identity使用Key作为Public Key、并采用对称加密算法进行加密。Kerberros加密机制简述-114- 由于Key仅仅被Client和Server知晓，所以被 Client使用Key加密过的Client Identity只能被Client和

42、Server解密。同理，Server接收到Client传送的这两组信息，先通过Key对后者进行解密，随后将机密的数据同前者进行比较，如果完全一样，则可以证明Client能过提供正确的Key，而这个世界上，仅仅只有真正的Client和自己知道Key，所以可以对方就是他所声称的那个人。Kerberros加密机制简述-115-访问控制流程-116-安全性总结 当客户机访问网站时，服务器验证步骤客户机IP地址是否授权用户帐户和密码是否正确主目录是否设置了“读取”权限网站文件的NTFS权限 只有以上检查都通过，才可以访问网站内容 -117-IIS证书验证1为什么要使用证书验证？ （1）信息泄漏 （2）篡

43、改 （3）伪造 （4）信用威胁2公钥基础架构 Public Key Infrastructure，公钥基础结构。PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成。PKI体系能够实现的功能有 身份认证数据完整性数据机密性操作的不可否认性-118-公钥加密技术 公钥（Public Key）和私钥（Private Key） 密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密不能根据一个密钥来推算得出另一个密钥公钥对外公开；私钥只有私钥的持有人才知道私钥应该由密钥的持有人妥善保管 -119-数据加密 发送方使用接收方的公钥加密数据当接收方使用自己的私钥解密

44、这些数据数据加密能保证所发送数据的机密性 -120-数字签名 发送方使用自己的私钥加密接收方使用发送方的公钥解密 身份验证、数据的完整性 、操作的不可否认性 -121-证书通信的配置过程 (1) 在服务器上安装证书颁发机构CA(2) Web服务器SWeb上向CA提交证书申请(3) CA颁发证书(4) 在SWeb上安装数字证书，配站安全通信(5) 在客户机上C1上的浏览器信任认证中心CA-122-配置Web安全访问网站1配置CA服务器 -123-配置Web安全访问网站2Web网站向CA提交证书申请-124-配置Web安全访问网站3.CA服务器颁发证书-125-4.在Web网站上安装数字证书配置W

45、eb安全访问网站-126-5配置Web网站使用安全通信配置Web安全访问网站-127-项目名称：远程访问服务 -128-教学目标理解远程访问基本概念了解远程访问的类型理解虚拟专用网VPN的基本工作原理掌握VPN远程访问配置方法-129-认识远程访问服务1远程访问概述 远程访问是指远程计算机通过拨号线路或公用网络连接到本地网络，从而可以像直接连接在本地网络内部那样使用内部网络的相关资源。远程访问是通过广域网访问内部网络的基本解决方案，远程计算机通过远程拨号接入本地网络中，可以与本地的主机一样共享本地网络中的相关资源。2远程访问服务基本类型（1）远程拨号网络 一个完整的拨号网络包含远程拨号服务器、

46、拨号客户端、拨号连接网络、拨号网络协议组件。远程拨号访问的拓补结构如图7-2所示。-130-认识远程访问服务2）远程拨号客户端 作为远程拨号的客户端可以是任何采用PPP协议的客户端。远程拨号的客户端必须要有调制解调器、模拟电话线或其他类型的WAN连接以及相应的远程访问协议软件，通常采用Windows的PPP客户端。3）公共网络 作为远程拨号访问所使用的公共网络可以是这几种类型：PSTN（公共电话交换网）、ISDN（综合业务数字网）和X.25网络4）远程访问协议和LAN协议 远程访问功能的实现需要使用两种类型的通信协议：远程访问协议和LAN之间的传输协议。 -131-虚拟专用网的基本类型 1虚拟

47、专用网络概述（1）VPN介绍 虚拟专用网络（Virtual Private Network，即VPN）是使用隧道协议在公用网络建立逻辑上点对点专用链接来实现数据传输。在VPN连接中客户端通过因特网与启动远程访问服务的VPN服务器建立虚拟点对点连接。连接建立后VPN客户端就可以与内部局域网相互通信，好像客户端用户直接连接在局域网内一样。（2）VPN安全性 VPN技术实际上包含了遂道技术、加密技术、身份认证技术，以此来保证在公共网络上构建出的企业网络的有效连通性和网络安全性。-132-VPN的访问类型VPN的访问类型主要有：远程访问和站点间的访问。（1）远程访问 远程VPN访问是指远端用户在远离内

48、部局域网的某处利用公用网络（例如Internet）。提供的基础通信手段来访问内部局域网中的VPN服务器的一种实现方式。通过VPN连接的建立来实现对于内部局域网资源的访问。 -133-（2）站点间的访问 站点间的VPN访问可以实现位于不同地理位置的内部局域网通过公用网络来实现局域网之间的资源相互访问。 VPN的访问类型-134-基于PPTP协议的VPN远程访问服务1、安装和配置VPN远程访问服务：-135-2、管理VPN远程访问服务基于PPTP协议的VPN远程访问服务-136-3、设置用户访问权限基于PPTP协议的VPN远程访问服务-137-4、设置VPN远程访问客户端 基于PPTP协议的VPN

49、远程访问服务-138-项目名称：Linux操作系统基础-139-学习目标了解Linux操作系统发展史理解Linux操作系统的特点和优势掌握Linux操作系统的基本安装方法掌握Linux操作系统用户和组管理基本方法掌握Linux操作系统基本文件和目录基本方法掌握Linux操作系统常用网络管理命令-140-Linux概述 Linux是一套免费使用和自由传播的类Unix操作系统，它主要用于基于Intel x86系列CPU的计算机上。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。 Linux最早由芬兰一位名叫Linus Torvalds的大学生在1991年开发并在I

50、nternet上发布-141-Linux概述为什么使用Linux？Linux是一套具有Unix全部功能的免费操作系统Linux不仅为用户提供了强大的操作系统功能，而且还提供了丰富的应用软件Linux为广大用户提供了一个在家里学习和使用Unix操作系统的机会Linux能与现有存在的操作系统共存 随着各大公司的加盟，Linux将以更迅猛的势头发展，并最终成为一个多平台的、市场占有率较高的、极其优秀的网络操作系统。-142-Linux概述主要的Linux版本 Linux发行套件是以Linux Kernel为核心，搭配各种应用程序和工具的软件集合。 发行套件的版本号随不同发布者的而不同，与系统内核的版

51、本号是相对独立的。-143-Linux安装-144-Linux用户和用户组的管理 1Linux系统账户 Linux和Windows、Unix一样，是一个多用户、多任务的操作系统。多用户的特点允许用户在Linux创建个人账户来确保个人数据的安全性。Linux操作系统的每个用户都有一个唯一的身份标识，即用户ID号（UID）。 2Linux普通用户账号的属性（1）用户ID号：（2）用户密码： （3）用户所属的用户组 （4）主目录：-145-用户账户的创建、删除和修改：（1）添加新的用户账号：useradd 选项 用户名（2）删除用户账户账号：userdel 选项 用户名（3）修改用户账户属性：use

52、rmod 选项 用户名Linux用户和用户组的管理 -146-用户组的创建、删除和修改（1）用户组的创建：groupadd 选项 用户组（2）删除用户组：groupdel 用户组（3）修改用户组属性：groupmod 选项 用户组Linux用户和用户组的管理 -147-1Linux系统权限的常规表示方法（1）文件的权限表示Linux 文件和目录管理 -148-2Linux系统文件和目录访问权限的设置方法 chmod 选项 文件名3Linux系统目录管理常用命令（1）Linux目录结构Linux 文件和目录管理 -149-（2）目录管理常用命令 1）ls或dir命令：Ls 选项 目录或文件名 2

53、）cd 命令：cd 参数 3）cp命令：cp 选项 源文件或目录 目标文件或目录 4）rm命令：rm 选项 文件名 5）mkdir命令：mkdir 选项 目录名 6）rmdir命令：rmdir 选项 目录名Linux 文件和目录管理 -150-（2）目录管理常用命令 7）chown命令：chown 选项 用户名 文件或目录 8）chgrp命令：chgrp 选项 用户组名 文件或目录Linux 文件和目录管理 -151-Linux 网络管理常用命令1ifconfig命令：ifconfig 选项 无选项：显示当前系统中活动的网卡信息 -a：显示所有接口信息，包括活动和非活动的接口 -s：以短列表形

54、式显示接口信息，每个接口只显示一行摘要数据 up：激活一个不活动的指定接口 down：与up相反，关闭一个指定的接口 netmask IP地址：为一个指定的接口设置子网掩码 broadcast IP地址：为一个指定的接口设置广播地址 IP地址：设置指定接口的IP地址 接口：显示一个指定的接口信息-152-2ifup 命令ifup命令用于启动指定的非活动网卡，与命令“ifconfig up”类似。3ifdown命令Ifdown命令用于关闭指定的活动网卡，与命令“ifconfig down”类似。4route命令route命令用于显示和修改系统当前的路由表。该命令的格式如下：route 选项 ad

55、d net 目标网络地址 netmask 子网掩码 网络接口：在当前路由表中添加路由信息 del net 目标网络地址 netmask 子网掩码：在当前路由表中删除路由信息 add default gw 网关IP地址 dev 网络接口：在当前路由表中添加默认网关 del default gw IP地址 dev 网络接口：在当前路由表中删除默认网关Linux 网络管理常用命令-153-项目名称：DHCP服务器的配置与管理-154-学习目标理解Linux环境下DHCP服务组件的安装和使用方法理解DHCP配置文件的主要内容掌握Linux 客户端主机的设置方法-155-DHCP服务组件的安装rootl

56、ocalhost root#rpm q dhcprootlocalhost rootrpm -ivh dhcp*.rpm表明未安装服务组件-156-DHCP服务组件的安装图形化方式安装dhcpd组件：-157-DHCP服务组件的安装启动和停止DHCP服务：rootlocalhost root#service dhcpd start启动dhcpd 确定 rootlocalhost root#service dhcpd stop关闭dhcpd 确定-158-DHCP服务主配置文件 DHCP服务默认的配置文件名为dhcpd.conf,，它是一个文本文件，在本地的存储路径是/etc/dhcpd.con

57、f。但在/etc目录下，并没有存在这样的配置文件，因此我们可以使用文本编辑器来创建该文件。但在安装DHCP服务组件时，会自动创建一个样本文件，该文件的存储路径是/usr/share/dco/dhcp-3.0pl1/dhcpd.conf.sample。可以将其复制到/etc的目录下，然后再做相应修改就可快速完成配置文件的创建。-159-DHCP服务主配置文件dhcpd.conf配置文件的格式为： 选项/全局参数 声明 选项/局部参数 声明选项全部采用option关键字作为开始subnet-mask 为客户端设定子网掩码；domain-name 为客户端指明DNS名字； domain-name-s

58、ervers 为客户端指DNS 服务器IP地址routers 为客户端设定默认网关；ddns-update-style 配置DHCP-DNS 更新模式，none 不支持动态更新；ad-hoc 特殊更新模式；interim 互动更新模式；shared-network 名称 . 定义超级作用域；subnet 网络号 netmask 子网掩码 定义作用域（或IP子网）；range 起始IP地址 终止IP地址 定义作用域（或IP子网）范围；host 主机名. 定义保留地址；-160-dhcpd.conf配置文件范例ddns-update-style interim； # 设置DNS更新模式#ignor

59、e client-updates； # 设置忽略客户端DNS更新subnet netmask #声明子网及掩码# - default gateway option routers ； #设置客户端主机默认网关 option subnet-mask ；#设置客户端主机的子网掩码# option nis-domain “”；#设置客户端主机的NIS域# option domain-name ；#设置客户端主机的域名 option domain-name-servers 8；#设置客户端主机的 DNS服务器地址 option time-offset -18000； # 设置客户端主机与格林尼治时间的偏移差-161-dhcpd.conf配置文件范例# option ntp-servers ； #设置客户端主机的时间服务器地址# option netbios-name-servers ；#设置客户端主机的WINS服务器地址# Selects point-to-point node (default is hybrid). Dont change this unless# you understand Netbios very well# option netbios-node-type 2； #动态IP地址池，设置可分配的IP地址范围 range dynamic-bootp 00 99；