企业网络管理与安全实训

1、第二部分 企业网络治理与安全实训在企业组建网络基础设施后，还需要提供给用户各种的网络和信息服务，同时随着互联网各种应用的不断进展，大量的网络应用成为黑客/病毒制造者的攻击目标，需要企业采取必要的技术、设备和措施来保证企业网络的正常稳定运行，还需要运用各种网络治理工具、软件、设备对企业网络的交换设备、路由设备、服务器、防火墙等各种网络设备进行进行配置治理、性能治理、故障治理、安全治理和计费治理，保障网络的正常运行和性能优化。项目 5 校园网数据中心系统实施5.1 项目内容 某学院校园网基础设施已依照项目2组建完成，并通过两条线路分不接入了电信互联网和CERTNET教育网，现在需要提供校内外用户提

2、供各种网络服务和信息服务，分不提供校园网IP地址分配、内外网域名解析、学院网站、FTP资源下载等服务，请给出解决方法并进行实施。5.2 项目流程 SKIPIF 1 0 图5-1 项目流程图5.3 项目调查与需求分析5.3.1 项目 本项目针对学院需要提供各种基础网络服务，分不实现IP地址分配、内外网域名解析、学院网站、FTP资源下载等服务。5.3.1）具体需求经调查和与用户沟通，具体的需求如下:需求1：为校园网各区域用户提供IP地址等参数分配，需要两台服务器提供服务，一台备用。需求2：为校园网各区域用户提供校园网各服务器的域名解析和互联网的域名解析，需要两台服务器提供服务，一台备用，学院的域名

3、解析可依照校园网的两条线路分不对不同来源IP地址解析出对应线路的服务器IP以提高用户访问效率。需求3:架设校园网的WWW服务器提供信息访问、FTP服务器提供资源下载，WWW服务器需要为多个部门提供不同网站，并考虑服务器的安全和稳定性。3）需求分析分析1：按照要求 需要一台DHCP服务器为校园网用户分配IP地址、一台作为备用DHCP服务器。两台服务器分不位于不同的主机。分析2：需要为校园网用户的各个服务器提供域名解析系统（DNS），同样需要两台DNS服务器，一台主DNS服务器，一台辅助DNS服务器。分析3： 校园网WWW服务器，FTP服务器，WWW服务器能够通过FTP服务器上传或下载资料，治理员

4、能够通过FTP服务器为WWW服务器更新信息。FTP服务器不同意匿名登录。两台服务器能够在同一台主机上完成。5.4 项目实训要求要求1（必做）：模拟本项目的网络服务组建并完成项目的需求分析、规划、实施文档。要求2（必做）：安装配置DHCP服务器、DNS服务器、WEB服务器、FTP服务器，分不在Windows Server和Linux环境下进行安装配置提供相同功能。要求3（选做）在Linux下实现DNS服务器关于同一域名依照来源不同的IP解析出不同的地址。5.5 项目实施5.51可靠性提供网络服务的服务器必须稳定可靠，为校园网用户和校外用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性，

5、幸免出现网络安全事故而阻碍校园网服务。3可扩充性 校园网需要提供的服务将随着信息服务的需求和进展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。4有用性 校园网具有用户数量多、应用环境复杂的特点，应能使用户方便有用地访问各种校园网服务。5.5.2 项目知识点DHCP服务器 DHCP（ Dynamic Host Configuration Protocol，动态主机配置协议） 能够减少治理的复杂性和负担，DHCP 使用了租约的概念，或称为计算机 IP 地址的有效期。租用时刻是不定的，要紧取决于用户在某地联接 Internet 需要多久，这关于用户频繁改变的环境是专门有用的。通过较短的租期

6、， DHCP 能够在一个计算机比可用 IP 地址多的环境中动态地重新配置网络。1）DHCP系统组成DHCP客户：DHCP客户通过DHCP来获得网络配置参数 Internet主机，通常确实是一般用户的工作站DHCP服务器：DHCP服务器提供网络设置参数给DHCP客户Internet主机DHCP中继代理：在DHCP客户和服务器之间转发 DHCP 消息的主机或路由器2）DHCP 服务器DHCP服务器操纵一段IP地址范围，客户机登录服务器时就能够自动获得服务器分配的IP地址和子网掩码。DHCP作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域要紧用来定义网络中单一的物理子网的 IP 地址范

7、围。作用域是服务器用来治理分配给网络客户的 IP 地址的要紧手段。 DHCP服务器能够使用Windows Server、Linux等网络操作系统担当，也能够使用具有DHCP功能的交换机、路由器等设备。DNS 服务器DNS（Domain Name System，域名系统）是因特网的一项核心服务,它作为能够将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS是一种包含 DNS 主机名到 IP 地址映射的分布式、分层式数据库，DNS 是 Internet 名称方案的基础和企业名称方案的基础。InterNIC 负责全球域名空间的委派治

8、理和域名注册。DNS组件DNS 服务器：运行 DNS 服务的计算机，承载一个名称空间或部分名称空间（域）， 对名称空间或域具有权威性，负责解析 DNS 客户端（DNS 客户端即解析器）提交的名称解析请求。DNS 客户端：运行 DNS 客户端服务的计算机DNS 资源记录：DNS 数据库中将主机名映射到资源的项目因特网上的因特网上的 DNS 服务器DNS 服务器DNS 客户端根 “.”.资源记录资源记录 图5-1 DNS组件DNS域名空间DNS 命名格式中，域名空间的授权以及域名与地址的转换采纳的差不多上分层和分布式结构，一些授权的机构能够各自转换其权限以内的名字和 IP 地址。DNS 的命名是为

9、全球性的 HYPERLINK / t _blank 网络设备分配名字，由分布式名字 HYPERLINK / t _blank 服务器组实施。区域是 DNS 名称空间的一个治理单元，它能够由单一的 DNS 域或者结合了部分或全部子域的域组成 ；DNS 服务器的管辖范围不是以“域”为单位，而是以“区域”为单位。 SKIPIF 1 0 图5-2 DNS域名空间结构DNS服务器的类型根域名服务器：根域名服务器是最重要的域名服务器。所有的根域名服务器都明白所有的顶级域名服务器的域名和 IP 地址。不管是哪一个本地域名服务器，若要对因特网上任何一个域名进行解析，只要自己无法解析，就首先求助于根域名服务器。

10、在因特网上共有13 个不同 IP 地址的根域名服务器，它们的名字是用一个英文字母命名，从a 一直到 m（前13 个字母）。顶级域名服务器：负责治理在该顶级域名服务器注册的所有二级域名。当收到 DNS 查询请求时，就给出相应的回答（可能是最后的结果，也可能是下一步应当找的域名服务器的 IP 地址）。权限域名服务器：负责一个区的域名服务器。当一个权限域名服务器还不能给出最后的查询回答时，就会告诉发出查询请求的 DNS 客户，下一步应当找哪一个权限域名服务器。本地域名服务器：本地域名服务器对域名系统特不重要。当一个主机发出 DNS 查询请求时，那个查询请求报文就发送给本地域名服务器。每一个因特网服务

11、提供者都能够拥有一个本地域名服务器，这种域名服务器有时也称为默认域名服务器。4） DNS查询 查询是向 DNS 服务器发出的名称解析请求。查询有两种类型：递归查询和迭代查询。递归查询：递归查找是将查询提交给 DNS 服务器，DNS 客户端需要 DNS 服务器提供一个完整的查询应答。迭代查询：迭代查询是 DNS 客户端向 DNS 服务器发出的查询请求，DNS 服务器无需通过其他 DNS 服务器而给出查询结果的查询。迭代查询通常发生在上级域指引到下级域。 SKIPIF 1 0 图5-3 DNS查询过程DNS服务器能够使用Windows Server2003安装和配置DNS服务作为DNS服务器，Li

12、nux服务器使用闻名的BIND（Berkeley Internet Name Domain）软件实现，DNS客户端可通过DHCP服务器分配DNS参数或手动指定。WEB服务器WEB服务器也称为WWW(World Wide Web)服务器，要紧功能是提供网上信息扫瞄服务，是互联网进展最快和目前用的最广泛的服务。其应用层使用HTTP协议，使用HTML文档格式传输信息资源，客户机扫瞄器使用统一资源定位器(URL)来访问WEB服务器资源。目前使用最多的 web server 服务器软件有：微软的信息服务器（IIS）和Apache：1）IISIIS是英文Internet Information Serve

13、r（Internet信息服务）的缩写，它是微软公司主推的WEB服务器， IIS与Window Server完全集成在一起，因而用户能够利用Windows Server和NTFS内置的安全特性，建立强大，灵活而安全的Internet站点。IIS支持HTTP（Hypertext Transfer Protocol，超文本传输协议），FTP（Fele Transfer Protocol，文件传输协议）以及SMTP协议，通过使用CGI和ISAPI，IIS能够得到高度的扩展。IIS支持与语言无关的脚本编写和组件，通过IIS，开发人员就能够开发新一代动态的，富有魅力的Web站点。IIS不需要开发人员学习新

14、的脚本语言或者编译应用程序，IIS完全支持VBscript，Jscript开发软件以及Java，它也支持CGI和WinCGI，以及ISAPI扩展和过滤器。2）Apache HTTP ServerApache HTTP Server源于NCSAhttpd服务器，通过多次修改，成为世界上最流行的Web服务器软件之一。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。因为它是自由软件，因此不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache支持许多特性，大部分通过编译的模块实现。这些特性从服务器端的编程语言支持到身份认证方案。一些通用的语言接口支持Perl，Pytho

15、n， Tcl和 PHP。流行的认证模块包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服务器 (proxy) 模块，专门有用的URL重写（由 mod_rewrite 实现），定制日志文件（mod_log_config），以及过滤支持（mod_include 和 mod_ext_filter）。Apache日志能够通过网页扫瞄器使用免费的脚本AWStats或Visitors来进行分析。FTP服务器文件传输协议 (FTP) 是一种常用的应用层协议。FTP 用于客户端和服务器之间的文件传输。FTP 客户端是一种

16、在计算机上运行的应用程序。通过运行 FTP 守护程序 (FTPd)，FTP 客户端能够从服务器中收发文件。为了保障文件的成功传输，FTP 要求在客户端和服务器之间建立两条连接：一条是命令和回复连接，另一条是实际文件传输连接。客户端在 TCP 的 21 号端口建立第一条连接。该连接由客户端命令和服务器回复组成，用于治理传输流量；第二条连接建立在 TCP 的 20 号端口。每当有文件需要传输时建立该连接，用于实际文件传输。在两个方向上，都能够进行文件传输。即客户端能够从服务器中下载（取）文件，也能够向服务器中上传（放）文件。常用的组建FTP服务器方法有：Windows下使用IIS架设FTP站点、L

17、inux下的wu-ftpd、vsftpd、使用FTP服务器软件（Serv-U、Gene6等）。5.5实训设备与软件设备类型设备型号数量（每组）备注交换机H3C3100 1台服务器宏基P42台计算机宏基P44台服务器操作系统Windows Server20032可使用虚拟机环境服务器操作系统CentOS 5.22可使用虚拟机环境服务器命名规则服务器命名没有绝对的标准，一般差不多上按工程惯例和治理规范来进行命名，应本着明确、简洁、无二义性的原则。实训项目中服务器命名规则建议如下：SrvDHCP-01序号服务器功能序号服务器功能 服务器功能中，Srv表示服务器、DHCP表示服务器功能。服务器序号中，

18、01代表第一台，02代表第二台，依此类推。服务器参数及分配的网络参数规划表服务器名称 IP地址 SrvDHCP- 01 /18SrvDHCP- 02 /18主DNS /18辅助DNS /18WWW /18FTP /18DHCP地址分配范围为 /18 大约可同时为两万名用户提供上网需求。地址租期为1天 注：由于模拟环境不行操作，因此全部采纳同一个网段的IP作为分配地址。分配区域IP地址分配范围默认网关服务器 /18宿舍区 /18教师办公区 /18教学区 /18教师公寓 /18其它区域 /18实施步骤规划1）规划分配服务器参数2）安装服务器操作系统3）安装配置DHCP、DNS、WEB、FTP等网络

19、服务4）配置计算机参数并依照需求验证实现的功能5）完成项目文档资料5.5.4 实施步骤（请将要紧实施步骤整理列出）一DHCP服务器的配置（1）依照实训拓扑图进行交换机、计算机的线缆连接，配置DHCPSERVER的IP地址。（2）在SERVER上安装DHCP服务器在安装DHCP服务器之前，请注意以下事项：只有服务器等级的计算机能够安装DHCP服务器，例如Windows Server 2003，而Windows XP等客户端计算机无此功能。DHCP服务器本身的IP地址必须是静态的，也确实是其IP地址、子网掩码、默认网关等信息必须以手工的方式输入。事先规划好可出租给客户端计算机的IP地址池（也确实是

20、IP作用域）。单击“开始”“治理工具”“配置您的服务器向导”，选中“DHCP服务器”，然后单击“下一步”按钮，开始安装DHCP服务器。如图3-7，图3-8所示：图3-7图3-8安装完成之后将弹出“新建作用域向导”对话框，使用此向导创建作用域。1、填写新建作用域的名称和讲明文字。此名称和讲明性文字并无特不要求，只是起一个区不于其他作用域的作用。此处，将作用域名称填成“总经理”，讲明性文字为“总经理办公室”.如图3-9所示：图3-92、再点“下一步”，进入设置IP地址范围和子网掩码的对话框，在“起始IP地址”项中填写该IP地址段的起始IP地址长就为18。填写完后，如图3-10所示： 图3-103、

21、单击“下一步”进入下一个对话框，设置想排除开不用于分配的IP地址范围。如图3-11所示图3-114、填写完成后点“下一步”进入IP租期设置对话框了。租期将设置客户机分配到IP地址的使用期限。当客户机使用分配到的IP地址时刻超过了此租期，服务器将强行收回分配给客户机的IP地址。此处设置为1天。如图3-12所示：图3-125、单击“下一步”进入配置DHCP选项的对话框。在此对话框中，将选择是否需要对客户机分配DNS、路由器、WINNS等服务器的IP地址。在大型网络中，特不是与internet 互联的网，这些服务差不多上专门重要的。在此选择“是”。如图3-13所示：图3-136、单击“下一步”进入设

22、置路由器（即网关）的设置。在“IP地址”项中填写路由器的IP地址。此处填写为：。填写完成后点“添加”按钮即。如图3-14所示：图3-147、单击“下一步”进入域名和DNS服务器的设置对话框了。此处设置的域名和DNS服务器的地址将被分配给客户机。在“父域”选项中填写DNS的父域名（参考DNS服务器配置实训）此处填写成在“服务器名”选项中填写DNS服务器的服务器名称。此处我们填写为dns。在“IP地址”项中填写DNS服务器的 IP地址。此处填写为.填写完成后点“添加”按钮即可。如图3-15所示：图3-158、点击“下一步”，进入WINS服务器的设置对话框。能够不设置9、点击“下一步”进入激活作用域

23、的对话框。在此对话框中将选择“是，我想现在就激活此作用域”。如图3-17所示：图3-1710、单击“下一步”再点“完成”即完成该作用域的建立了。如图3-18所示：二DNS 服务器的设置在主机上安装DNS配置软件，然后创建区域图3-11单击“下一步”进入区域名称设置对话框。此对话框指定正向区域名称（区域名称应与其治理的域相对应）。此处填写为“”。如图3-12所示：图3-12单击“下一步”进入动态更新的设置。在此对话框中指定创建的区域是否支持动态更新，此处选择“不同意动态更新”如图3-14所示：图3-14单击“下一步”选择是否创建反向查找区域。在此处，选择“是”如图3-10所示：图3-15单击“下

24、一步”进入区域类型对话框，此处选择“要紧区域”。如图3-16所示：图3-16单击“下一步”进入“反向查找区域名称”对话框。在此对话框中指定反向区域的名称（能够输入IP地址的网络ID，由系统自动指定反向区域名称；也能够自行输入反向区域名称），此处填写“192.168.1”图3-17单击“下一步”区域文件对话框。在此对话框中，将选择创建新的反向区域文件（名称可自行指定）或使用现存的反向区域文件，在此填写“1.168.192.dns”。如图3-18所示：图3-18单击“下一步”配置转发查询，此处选择“否，不向前转发查询”。如图3-19所示：图3-19单击“下一步”完成DNS向导配置。如图3-19所示

25、：图3-19（3）在Server1上创建资源记录：打开DNS治理操纵台，在左侧操纵台树中选择要创建资源记录的正向要紧区域，然后在右侧操纵台窗口的空白处右击，在弹出菜单中选择相应功能项即可创建资源记录。如图选择“新建主机（A）”，打开“新建主机”对话框，通过此对话框创建“host”记录，如图选择“新建不名（CHANE）”，打开“新建资源记录”对话框， 在左侧操纵台树中选择要创建资源记录的反向要紧区域（4）在Server1上指定辅助DNS服务器：在正向要紧区域上右击，在弹出的菜单中选择“属性”命令，如图在打开的区域属性对话框中单击“名称服务器”，将打开“名称服务器”选项卡；在该选项卡中单击“添加”

26、，在此添加辅助DNS服务器。如图单击“确定”，完成配置，然后采纳同样的方法在反向要紧区域上指定辅助DNS服务器，如图（5）在Server2上安装辅助DNS服务器：参考步骤1，安装DNS服务。打开“区域类型”对话框；在此对话框中选择“辅助区域”如图单击“下一步”，“区域名称”对话框中，输入区域名称，该名称应与该DNS区域的主DNS区域的主DSN服务器上的要紧区域名称完全相同， 如图单击“下一步”“主DNS服务器”对话框。在此对话框中指定DNS服务器的IP地址，如图单击“下一步”完成辅助DNS配置，返回DNS治理操纵台，现在能够看到从主DNS服务器复制而来的区域数据。如图采纳同样的方法，创建反向辅

27、助区域。三FTP 服务器的创建1）依照实训拓扑图进行交换机、计算机的线缆连接，配置PC1、PC2、WebServer的IP地址。（2）WebServer上安装IIS服务。单击“开始”“治理工具”“配置您的服务器向导”，选中“DHCP服务器”，然后单击“下一步”按钮，开始安装DHCP服务器。如图3-7，图3-8所示：（3）WebServer上创建总公司网站。单击“开始”“治理工具”“Internet信息服务（IIS）治理器”，打开“Internet信息服务（IIS）治理器”操纵台。右击“网站”，在弹出的菜单中选择“新建”“网站”，将打开“网站创建向导”对话框。单击“下一步”按钮，将出现“IP地址

28、和端口设置”对话框，在此对话框中设置网站IP地址“”，TCP端口号“80”，主机头、“”（主机头即网站的FQDN，参考5.2.3单击“下一步”按钮，将出现“网站主目录”对话框，在此对话框设置网站主目录“E:practrain-web”和是否同意以匿名方式访问此网站。如图单击“下一步”按钮，将出现“网站权限访问”对话框，在此对话框中能够设置网站的访问权限，如图单击“下一步”按钮，完成网站的创建。（6）WebServer上安装FTP服务。( 7 ) 双击“Internet信息服务器（IIS）”，将打开“Internet信息服务器（IIS）”对话框。选中“文件传输协议（FTP）服务”复选框，如图点击

29、“确定”按钮，返回“Windows组件”对话框；单击“下一步”按钮，开始安装FTP服务。WebServer上创建FTP治理员站点并添加治理员用户（禁止匿名访问）。单击“开始”“治理工具”“Internet信息服务（IIS）治理器”，打开“Internet信息服务（IIS）治理器”操纵台。右击“FTP站点”，在弹出菜单中选择“新建”“FTP站点”，打开“FTP站点创建向导”如图单击“下一步”按钮，将出现“IP地址设置和端口设置”对话框，在此对话框中设置FTP站点所使用的IP地址“”及端口号“21”单击“下一步”按钮，将出现“FTP用户隔离”对话框，此对话框能够使设置FTP用户隔离的选项，如图单击

30、“下一步”按钮，将出现“FTP站点主目录”对话框，此对话框设置FTP站点的主目录“WEB”，如图单击“下一步”按钮，将出现“FTP站点访问权限”对话框，此对话框设置FTP站点的访问权限，如图单击“下一步”按钮，完成FTP站点创建，如图右击“FTP站点”下“practrain”站点，在弹出菜单中选择“属性”，在弹出的属性对话框中选择“安全账户”，将同意匿名连接去掉，点击确定完成FTP站点配置，如图单击“开始”“治理工具”“计算机治理”，打开“计算机治理”操纵台。选择“本地用户和用户组”“用户”，右击新建“admin”用户，如图选中E盘下“web”文件夹右击选择“属性”，弹出“web属性”对话框中

31、选择“安全”，点击添加按钮，如图选择“admin”用户，点击确定，如图添加“admin”用户的“修改”和“写入”权限，如图点击确定，完成设置。单击“下一步”按钮，将出现“FTP站点内容目录”对话框，在“路径”文本框中输入虚拟目录映射的物理位置.如图单击“下一步”按钮，将出现“虚拟目录访问权限”对话框，在此处选择“读取”和“写入”复选框，如图任务验收配置验收 （1）查看DHCP配置信息打开“治理工具”中“DHCP”对话框，查看两个作用域中的各种配置选项，如图 图3-205.6 项目验收DHCP功能在PC1、上将本地网络连接设置为“自动获得IP地址”和“自动获得DNS服务器地址”， 图3-21在命

32、令提示符界面中键入“ipconfig /all”敲Enter键将可查看到客户机获得IP地址等参数情况，如图3-22所示：图3-22DNS 验证：查看Internet信息服务（IIS）治理器配置 功能验收网站访问FTP功能验收“admin”用户登录，拥有该目录下面所有文件及文件夹的修改删除权限治理员登录，拥有该目录下面所有文件及文件夹的修改删除权限删除文件夹5.7 项目总结实验过程没有划分为不同网段，如需划分网段需要添加DHCP服务器的网卡，并在其他主机上面配置DHCP中继代理，为了使不同网段能够通信，还要设置路由。 WEB跟FTP服务器的配置相对简单，FTP服务器的权限是要注意的重点。用户的访

33、问是FTP服务器权限与文件夹权限的叠加。针对某集团公司办公区网站建设任务内容和目标，通过需求分析进行了实训的规划和实施，通过本任务进行了DNS ,DHCP、WEB、FTP基础配置等方面的实训。项目 6 集团公司网络集中治理6.1 项目内容 某集团公司一家在全国各地区有多个分公司的物流大型企业，在完成项目3内容的组建基础上，现需要对公司网络进行统一治理，总部和各地分公司都能使用统一账号访问公司资源，为了保证网络信息安全，需要提供公司各服务器和计算机微软操作系统的补丁自动更新，请进行规划和模拟实施。6.2 项目流程 SKIPIF 1 0 图6-1 项目流程图6.3 项目调查与需求分析6.3.1 项

34、目本项目针对集团军公司的网络进行治理，实现使用统一账号访问公司资源，并提供操作系统的补丁更新。6.3.21)具体调查经具体调查和与用户的沟通，该集团公司分为总部和三个分公司网络，分公司通过专线与总部连接，总部约有400台计算机和多台服务器，各分公司分不有50-100台计算机，各分公司也各有1台服务器提供网络服务。2）具体需求需求1：采纳先进的网络技术和合理的结构完成企业网的网络集中治理，以实现企业信息化的基础。需求2：在总部和各地分公司均使用统一账号高效稳定地登录和访问公司资源，简单有效。需求3：在总公司架设一台服务器以提供公司各服务器和计算机操作系统的补丁自动更新。3）需求分析分析1：需要建

35、立一个域，并把公司计算机加入域中分析2：创建一个帐号，使全公司成员都能登录进域中分析3：需要用WSUS来进行全公司的系统更新6.4 项目实训要求要求1（必做）：模拟本项目的网络服务组建并完成项目的需求分析、规划、实施文档。要求2（必做）：模拟本项目的网络组建并完成项目实施的文档，模拟实现企业网总部及1个分公司区域的网络，实现统一治理和站点登录。要求3（选做）：在以上基础上实现公司微软操作系统补丁服务器的架设和配置。6.5 项目实施6.51可靠性提供网络服务的服务器必须稳定可靠，为企业网用户提供可靠的网络服务。2安全性各项服务应考虑和保证其安全性，幸免出现网络安全事故而阻碍企业网服务。3可扩充性

36、 企业网需要提供的服务将随着信息服务的需求和进展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。4有用性 应能使用户方便有用地访问各种企业网服务并同意治理。6.5.2 项目活动目录（Active Dirctory）活动目录（Active Directory）是Windows 2003完全实现的目录服务，也是Windows 2000网络体系的差不多结构模型，是Windows 2003网络操作系统的核心支柱，也是中心治理机构。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Dat

37、acenter Server的目录服务。Active Directory存储了有关网络对象的信息，同时让治理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织Microsoft在Windows 2003中提供的活动目录是一个全面的目录服务治理方案，也是一个企业级的目录服务，具有专门好的可伸缩性。活动目录采纳了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录不仅能够治理差不多的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了差不多的治

38、理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用能够直接利用系统提供的目录服务结构，而且活动目录也具有专门好的扩充能力，同意应用程序定制目录中对象的属性或者添加新的对象类型。活动目录用户与组Windows Server 2003所支持的用户账户分为以下两种类型：域用户账户：域用户账户存储在域操纵器的Active Directory数据库内。用户能够利用域用户账户登录域，并利用它访问网络上的资源， 本地用户账户：本地用户账户是创建在非域操纵器的“本地安全账户数据库”内，而不是域操纵器的Active Directory数据库内。Windows

39、Server 2003将位于域中的组分为以下两种类型：安全组：安全组能够被用来设置权限，例如，能够设置让安全组对文件具备“读取”的权限。安全组也能够用在与安全无关的任务上，例如，能够通过电子邮件软件将电子邮件发送给安全组。分布式组：分布式组是用在与安全（权限的设置等）无关的任务上，例如，能够通过电子邮件软件将电子邮件发送给分布式组。用户无法设置分布式组的权限。活动目录站点与复制活动目录“站点”是由一个或多个IP子网所组成，这些子网络之间是通过高速连接所串接起来的，而那个地点所谓的“高速”是指这些子网之间的连接速度要够快才能够，否则应该将它们分不规划为不同的站点。 域是逻辑的分组，站点是物理的分

40、组。每个站点可能包含多个域，一个域内的计算机可能同时分不属于不同的站点。同一个站点内的同一个域操纵器会自动设置执行复制，其默认的复制频率比不同站点之间快。除了特不小的网络之外，目录数据必须驻留在网络上的多个位置，以便于所有用户均等地使用。通过复制，Active Directory目录服务在多个域操纵器上保留目录数据的副本，从而确保所有用户的目录可用性和性能。Active Directory 使用一种多主机复制模型，同意在任何域操纵器上（而不只是委派的主域操纵器上）更改目录。Active Directory 依靠站点概念来保持复制的效率，并依靠知识一致性检查器 (KCC) 来自动确定网络的最佳复

41、制拓扑。组策略组策略是治理员为用户和计算机定义并操纵程序、网络资源及操作系统行为的要紧工具。通过使用组策略能够设置各种软件、计算机和用户策略，能够完成用户所需软件的自动安装、自动定制用户环境、自动将用户的文件夹重定向等一系列高级功能。例如，可使用“组策略”关心用户自动安装软件、从桌面删除图标、自定义“开始”菜单并简化“操纵面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer等多种功能。要实现用“组策略”治理网络中的计算机和用户，需要网络中有Active Directory服务器，工作站须是Windows 2000

42、、Windows XP或Windows Server2003等操作系统，同时加入到Active Directory域中，还需创建与配置“组织单位”的组策略。Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是设计用来大量精简IT系统在执行重大更新时的程序。通过使用 Windows Server 更新服务 (WSUS)，治理员能够快速而可靠地将 Windows 2000 操作系统和更高版本、Office XP 和更高版本、Exchange Server 20

43、03 以及 SQL Server 2000 的最新关键更新和安全更新部署到 Windows 2000 和更高版本的操作系统。Windows 自动更新是Windows 的一项功能，当适用于您的计算机的重要更新公布时，它会及时提醒用户下载和安装。使用自动更新能够在第一时刻更新操作系统，修复系统漏洞，爱护计算机安全。在小规模的网络当中，客户端能够通过windows系统自带的自动更新来从微软下载补丁。但在大中型的网络当中，假如每台计算机都单独去微软更新补丁，那么则会极大的阻碍企业的外部网络带宽。WSUS的思路是先用一台计算机（wsus）去微软检测并选择要下载补丁，然后网络内其他的计算机从WSUS服务器

44、来下载补丁，它也可直接下发补丁。如此也既可不能白费外部网络带宽，也能让所有的计算机得到更新。6.5.3 实训设备与软件设备类型设备型号数量（每组）备注交换机H3C3100 1台服务器宏基P43台计算机宏基P43台服务器操作系统Windows Server20033可使用虚拟机环境服务器参数及分配的网络参数规划表服务器名角色IP地址SrvAD-01域操纵器0SrvAD-02域成员3实施步骤规划1）规划分配服务器参数2）安装配置Windows Server 2003活动目录（用户治理、计算机加入域、站点与复制）3）安装配置WSUS服务器（WSUS、组策略）4）配置计算机参数并依照需求验证实现的功能

45、5）完成项目文档资料6.5.4 实施步骤（请将要紧实施步骤整理列出）1.在SrvAD-01上安装域操纵器2.在SrvAD-02上安装子域操纵器3.建立账号，用来集中治理4.设置组策略6.6 项目验收两台服务器的域操纵器站点验证统一治理用户验证安全策略验证6.7 项目总结通过这次实训，让我了解到在企业里面应用域来治理计算机能大大的节约人力和时刻，并能够增强安全。在本次实训项目中，让我们收获了专门多往常没有了解的知识面。才明白往常我们上课掌握的知识确实是太少了 ，在这之前我关于一些服务器安装和配置都有一些陌生，在建立域之前，应收集实际环境的信息，按照实际来设计和配置每个服务器和个人电脑的角色。从而

46、强化我们的动手能力和应对能力。在实际的环境中也能挥晒自如。项目 7 校园网网络安全系统7.1 项目内容 某高等职业学院差不多在项目2的基础上组建了校园园区网，校园各区域均已连通，校园网打算有两条出口线路分不与CHINANET和CERNET连接，需实现校园网所有用户对外访问，同时校园网的WEB、FTP等服务器需要提供校外用户访问，还可提供学校用户在家访问学校的一些内部网络应用，同时为了保障校园网络安全，需要对校园网的服务器操作系统进行安全防护，同时打算部署全网的防病毒系统，请进行校园网的安全进行规划和模拟实施。7.2 项目流程 SKIPIF 1 0 图7-1 项目流程图7.3 项目调查与需求分析

47、7. 3. 本项目针对校园园区网的网络安全进行建设和治理，提供内外网转换和外部安全访问校园网内部，并进行防病毒系统的部署。7. 3. 21) 具体调查经具体调查和与用户的沟通，校园网有近6000用户、约30台服务器提供服务，校园网通过租用1条100M电信线路和1条10M教育网线路分不连接互联网和CERNET。其中互联网线路分配的其中部分IP地址范围为：30/27 37/27。2）具体需求需求1：采纳先进的网络通信技术和合理的网络结构进行校园网出口部分的建设，实现内部用户快捷安全访问互联网和教育网。需求2：一些校园网服务器需提供外部的公共访问服务（WWW、FTP等服务），使互联网用户能安全方便地

48、访问学校的公共资源和信息。需求3：一些校园网内部的资源（例如办公系统、电子图书等）需要提供学校的教职职员在外安全访问。需求4：保障和加强服务器安全性，对校园网的服务器操作系统进行安全防护，为校园网系统提供稳定的网络服务。需求5：为保障校园网全网安全，加强各用户计算机的安全防护，安装使用防病毒软件。3）需求分析分析1：使用合理规划的地址和路由协议使校园网用户能够连接到,并通过专线连接到教育网分析2：为了使互联网用户能够访问到校园网资源，必须在校园网内安装WEB 与FTP 服务器为用户提供访问。分析3：配置虚拟专用网（VPN）为校外出差人员提供远程访问。分析4：在校园网出口位置配置NAT防火墙。提

49、供私有地址与公共IP地址转换。分析5：安装必要的杀毒软件7.4 项目实训要求要求1（必做）：模拟本项目的网络安全系统组建并完成项目实施的文档，模拟实现校园网络的安全防护。要求2（必做）：使用防火墙或软件进行校园网出口互联网部分的内外网转换（NAT），服务器的对外公布访问和安全（SAT）。要求3（必做）：进行服务器操作系统的安全配置和防护。（主机安全）要求3（选做）：使用防火墙或软件进行校园网的外部安全访问内部网络（VPN）。要求4（选做）：进行校园网的网络防病毒系统配置和实施。7.5 项目实施7.51可靠性提供网络服务的服务器必须稳定可靠，为校园网用户和校外用户提供可靠的网络服务。2安全性各项

50、服务应考虑和保证其安全性，幸免出现网络安全事故而阻碍校园网服务。3可扩充性 校园网需要提供的服务将随着信息服务的需求和进展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。4有用性 校园网具有用户数量多、应用环境复杂的特点，应能使用户方便有用地访问各种校园网服务。7.5.2 项目防火墙传统意义的防火墙被设计用来防止火从大厦的一部份。在网络上防火墙简单的能够只用路由器实现，复杂的能够用主机甚至一个子网来实现。设置防火墙目的差不多上为了在内部网与外部网之间设立唯一的通道，简化网络的安全治理。防火墙是一种高级访问操纵设备，置于不同安全域之间，是不同安全域之间的唯一通道，能依照企业有关的安全政策

51、执行同意，拒绝，监视，记录进出网络的行为。防火墙是一个或一组系统，用于治理两个网络直接的访问操纵及策略，所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙；只有在被定义的数据流才能够通过防火墙(假如通过其他方式带出信息，则无法防备），防火墙本身必须有专门强的免疫力。防火墙技术防火墙通常使用的安全操纵手段要紧有包过滤、状态检测、代理服务。包过滤技术是一种简单、有效的安全操纵技术，它通过在网络间相互连接的设备上加载同意、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全操纵层

52、次在网络层、传输层，安全操纵的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全操纵，关于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。状态检测是比包过滤更为有效的安全操纵方法。对新建的应用连接，状态检测检查预先设置的安全规则，同意符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就能够通过。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关怀数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。应用网关防火墙检查所有应用层的信息包，并将检查的内

53、容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。因此，应用网关防火墙具有可伸缩性差的缺点。防火墙工作模式防火墙一般位于企业内部网络出口与互联网直接相连是企业网络的第一道屏障。依照防火墙和内外网络的结构,防火墙具有三种工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墙就仿佛是一台网桥，不改动其原有的网络拓扑结构。网络设备和所

54、有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户治理的复杂程度。透明模式的防火墙结构如下图所示。 2.路由模式传统防火墙一般工作于路由模式，防火墙能够让处于不同网段的计算机通过路由转发的方式互相通信并可将内部私有IP地址转换为互联网地址。路由模式的防火墙结构如下图所示:3.混合模式在企业复杂的网络环境中常常需要使用透明及路由的混合模式。混合模式防火墙结构如下图所示:防火墙产品简介1阿姆瑞特防火墙阿姆瑞特防火墙为无系统内核，即：防火墙没有操作系统，因此可不能存在通用操作系统的漏洞，从而在底层保证防火墙的安全性；同时，因为操作系统需要不断

55、地去维护、升级，无操作系统就不存在此类问题，这也排除了因为系统升级、打补丁破坏防火墙功能、性能的问题。阿姆瑞特防火墙内核启动后，可直接治理防火墙的所有硬件（CPU、网卡、总线等），它能够在底层从硬件设备中接管进出防火墙数据并进行处理，利用了所有可能的硬件性能，同时减少了操作系统的开销，因此能够最快的处理数据，使其成为市场上现有的最快的防火墙之一。2ISA（Internet Security and Acceleration Server）ISA Server是微软公司出品的企业级不的路由软件防火墙，它能够让企业内部网络安全、快速的连接到Internet，性能能够和硬件防火墙媲美，同时深层次的应

56、用层识不功能是目前专门多基于包过滤的硬件防火墙都不具备的，能够在网络的任何地点，如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISA Server 来对网络或主机进行防护。ISA Server的要紧特性：（1）多层防火墙安全防火墙能够通过各种方法增强安全性，包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙，如 ISA Server 所提供的那一种，综合了所有这三种方法，在多个网络层提供爱护，为企业提供最低的投入的基础上最高的回报。(2）状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层，

57、ISA Server 检查在 IP 消息头中指明的通信来源和目标，以及在标识所采纳的网络服务或应用程序的 TCP 或 UDP 消息头中的端口。动态数据包筛选器能够使窗口的打开只响应用户的请求，同时打开端口的持续时刻恰好满足该请求的需要，从而减少与打开端口相关的攻击。ISA Server 能够动态地确定，哪些数据包能够传送到内部网络的电路层和应用程序层服务。治理员能够配置访问策略规则，以便只在同意的情况下自动打开端口，然后当通信结束时关闭端口。这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的安全性，使问题较少发生。(3）集成的入侵检测ISA Server利用一

58、家名为 Internet Security Systems 的公司所提供的技术，提供关心治理员识不诸如端口扫描、WinNuke 和 Ping of Death 之类的常见网络攻击的这种服务。同时ISA能够自动对其作出响应。这项技术给 ISA Server 提供了能识不此类攻击的集成入侵检测机制。当识不出这种攻击时，警报还能同时指出 ISA Server 应采取什么行动，这些行动可包括向系统治理员发送电子邮件或寻呼，停止 Firewall 服务，写入到系统事件日志，或运行任何程序或脚本。(4）高性能 Web 缓存ISA Server 对 Web 缓存进行了完全的重新设计，使它能够将缓存放入 RA

59、M 中我明白现在专门多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的 Web 缓存可提供更强的后端可伸缩性，并提供了更快的 Web 客户机总体响应时刻。这关于企业内部来讲尤其重要，因为职员需要快速访问 Web 内容，而企业也需要适当的节约网络带宽。这种高速的Web缓存正能够满足您的这种需要。(5）缓存阵列路由协议ISA Server 使用了缓存阵列路由协议(Cache Array Routing Protocol，CARP)。因此您能够通过多台 ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。(6)活动缓存通过一个叫做活动缓存的功能，可配置 ISA S

60、erver 使其自动更新缓存中的对象。使用这种功能，ISA Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。(7)统一治理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服务、VPN 和 Microsoft 治理操纵台(MMC，Microsoft Management Console)。所有这些功能，特不是 MMC，会使得治理更容易，因为操作人员熟悉它，并可从一个操纵台同时治理防火墙和 Web 缓存。(8)企业策略和访问操纵ISA Server 还支持创建企业级和