企业网络管理与安全实训

第1局部企业网络组建实训PAGE88第二局部企业网络管理与平安实训在企业组建网络根底设施后，还需要提供应用户各种的网络和信息效劳，同时随着互联网各种应用的不断开展，大量的网络应用成为黑客/病毒制造者的攻击目标，需要企业采取必要的技术、设备和措施来保证企业网络的正常稳定运行，还需要运用各种网络管理工具、软件、设备对企业网络的交换设备、路由设备、效劳器、防火墙等各种网络设备进行进行配置管理、性能管理、故障管理、平安管理和计费管理，保障网络的正常运行和性能优化。。工程5校园网数据中心系统实施5.1工程内容某学院校园网根底设施已根据工程2组建完成，并通过两条线路分别接入了电信互联网和CERTNET教育网，现在需要提供校内外用户提供各种网络效劳和信息效劳，分别提供校园网IP地址分配、内外网域名解析、学院网站、FTP资源下载等效劳，请给出解决方法并进行实施。5.2工程流程SKIPIF1<0图5-1工程流程图5.3工程调查与需求分析5.3.1工程本工程针对学院需要提供各种根底网络效劳，分别实现IP地址分配、内外网域名解析、学院网站、FTP资源下载等效劳。5.3.2需求1〕具体需求经调查和与用户沟通，具体的需求如下:需求1：为校园网各区域用户提供IP地址等参数分配，需要两台效劳器提供效劳，一台备用。需求2：为校园网各区域用户提供校园网各效劳器的域名解析和互联网的域名解析，需要两台效劳器提供效劳，一台备用，学院的域名解析可根据校园网的两条线路分别对不同来源IP地址解析出对应线路的效劳器IP以提高用户访问效率。需求3:架设校园网的WWW效劳器提供信息访问、FTP效劳器提供资源下载，WWW效劳器需要为多个部门提供不同网站，并考虑效劳器的平安和稳定性。3〕需求分析分析1：按照要求需要一台DHCP效劳器为校园网用户分配IP地址、一台作为备用DHCP效劳器。两台效劳器分别位于不同的主机。 分析2：需要为校园网用户的各个效劳器提供域名解析系统〔DNS〕，同样需要两台DNS效劳器，一台主DNS效劳器，一台辅助DNS效劳器。分析3：校园网WWW效劳器，FTP效劳器，WWW效劳器可以通过FTP效劳器上传或下载资料，管理员可以通过FTP效劳器为WWW效劳器更新信息。FTP效劳器不允许匿名登录。两台效劳器可以在同一台主机上完成。 5.4工程实训要求要求1〔必做〕：模拟本工程的网络效劳组建并完成工程的需求分析、规划、实施文档。要求2〔必做〕：安装配置DHCP效劳器、DNS效劳器、WEB效劳器、FTP效劳器，分别在WindowsServer和Linux环境下进行安装配置提供相同功能。要求3〔选做〕在Linux下实现DNS效劳器对于同一域名根据来源不同的IP解析出不同的地址。5.5工程实施5.51．可靠性提供网络效劳的效劳器必须稳定可靠，为校园网用户和校外用户提供可靠的网络效劳。2．平安性各项效劳应考虑和保证其平安性，防止出现网络平安事故而影响校园网效劳。3．可扩充性校园网需要提供的效劳将随着信息效劳的需求和开展进行增加和扩充，规划和实施的各项网络效劳应具有可扩充性。4．实用性校园网具有用户数量多、应用环境复杂的特点，应能使用户方便实用地访问各种校园网效劳。5.5.2工程DHCP效劳器DHCP〔DynamicHostConfigurationProtocol，动态主机配置协议〕可以减少管理的复杂性和负担，DHCP使用了租约的概念，或称为计算机IP地址的有效期。租用时间是不定的，主要取决于用户在某地联接Internet需要多久，这对于用户频繁改变的环境是很实用的。通过较短的租期，DHCP能够在一个计算机比可用IP地址多的环境中动态地重新配置网络。1〕DHCP系统组成DHCP客户：DHCP客户通过DHCP来获得网络配置参数Internet主机，通常就是普通用户的工作站DHCP效劳器：DHCP效劳器提供网络设置参数给DHCP客户Internet主机DHCP中继代理：在DHCP客户和效劳器之间转发DHCP消息的主机或路由器2〕DHCP效劳器DHCP效劳器控制一段IP地址范围，客户机登录效劳器时就可以自动获得效劳器分配的IP地址和子网掩码。DHCP作用域是一个网络中的所有可分配的IP地址的连续范围。作用域主要用来定义网络中单一的物理子网的IP地址范围。作用域是效劳器用来管理分配给网络客户的IP地址的主要手段。DHCP效劳器可以使用WindowsServer、Linux等网络操作系统担当，也可以使用具有DHCP功能的交换机、路由器等设备。DNS效劳器DNS〔DomainNameSystem，域名系统〕是因特网的一项核心效劳,它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS是一种包含DNS主机名到IP地址映射的分布式、分层式数据库，DNS是Internet名称方案的根底和企业名称方案的根底。InterNIC负责全球域名空间的委派管理和域名注册。DNS组件DNS效劳器：运行DNS效劳的计算机，承载一个名称空间或局部名称空间〔域〕，对名称空间或域具有权威性，负责解析DNS客户端〔DNS客户端即解析器〕提交的名称解析请求。DNS客户端：运行DNS客户端效劳的计算机DNS资源记录：DNS数据库中将主机名映射到资源的工程因特网上的因特网上的DNS效劳器DNS效劳器DNS客户端根“.〞.资源记录资源记录图5-1 DNS组件DNS域名空间DNS命名格式中，域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构，一些授权的机构可以各自转换其权限以内的名字和IP地址。DNS的命名是为全球性的网络设备分配名字，由分布式名字效劳器组实施。区域是DNS名称空间的一个管理单元，它可以由单一的DNS域或者结合了局部或全部子域的域组成；DNS效劳器的管辖范围不是以“域〞为单位，而是以“区域〞为单位。SKIPIF1<0图5-2DNS域名空间结构DNS效劳器的类型根域名效劳器：根域名效劳器是最重要的域名效劳器。所有的根域名效劳器都知道所有的顶级域名效劳器的域名和IP地址。不管是哪一个本地域名效劳器，假设要对因特网上任何一个域名进行解析，只要自己无法解析，就首先求助于根域名效劳器。在因特网上共有13个不同IP地址的根域名效劳器，它们的名字是用一个英文字母命名，从a一直到m〔前13个字母〕。顶级域名效劳器：负责管理在该顶级域名效劳器注册的所有二级域名。当收到DNS查询请求时，就给出相应的答复〔可能是最后的结果，也可能是下一步应当找的域名效劳器的IP地址〕。权限域名效劳器：负责一个区的域名效劳器。当一个权限域名效劳器还不能给出最后的查询答复时，就会告诉发出查询请求的DNS客户，下一步应当找哪一个权限域名效劳器。本地域名效劳器：本地域名效劳器对域名系统非常重要。当一个主机发出DNS查询请求时，这个查询请求报文就发送给本地域名效劳器。每一个因特网效劳提供者都可以拥有一个本地域名效劳器，这种域名效劳器有时也称为默认域名效劳器。4〕DNS查询查询是向DNS效劳器发出的名称解析请求。查询有两种类型：递归查询和迭代查询。递归查询：递归查找是将查询提交给DNS效劳器，DNS客户端需要DNS效劳器提供一个完整的查询应答。迭代查询：迭代查询是DNS客户端向DNS效劳器发出的查询请求，DNS效劳器无需通过其他DNS效劳器而给出查询结果的查询。迭代查询通常发生在上级域指引到下级域。SKIPIF1<0图5-3DNS查询过程DNS效劳器可以使用WindowsServer2024安装和配置DNS效劳作为DNS效劳器，Linux效劳器使用著名的BIND〔BerkeleyInternetNameDomain〕软件实现，DNS客户端可通过DHCP效劳器分配DNS参数或手动指定。WEB效劳器WEB效劳器也称为WWW(WorldWideWeb)效劳器，主要功能是提供网上信息浏览效劳，是互联网开展最快和目前用的最广泛的效劳。。其应用层使用HTTP协议，使用HTML文档格式传输信息资源，客户机浏览器使用统一资源定位器(URL)来访问WEB效劳器资源。目前使用最多的webserver效劳器软件有：微软的信息效劳器〔IIS〕和Apache：1〕IISIIS是英文InternetInformationServer〔Internet信息效劳〕的缩写，它是微软公司主推的WEB效劳器，IIS与WindowServer完全集成在一起，因而用户能够利用WindowsServer和NTFS内置的平安特性，建立强大，灵巧而平安的Internet站点。IIS支持HTTP〔HypertextTransferProtocol，超文本传输协议〕，FTP〔FeleTransferProtocol，文件传输协议〕以及SMTP协议，通过使用CGI和ISAPI，IIS可以得到高度的扩展。IIS支持与语言无关的脚本编写和组件，通过IIS，开发人员就可以开发新一代动态的，富有魅力的Web站点。IIS不需要开发人员学习新的脚本语言或者编译应用程序，IIS完全支持VBscript，Jscript开发软件以及Java，它也支持CGI和WinCGI，以及ISAPI扩展和过滤器。2〕ApacheHTTPServerApacheHTTPServer源于NCSAhttpd效劳器，经过屡次修改，成为世界上最流行的Web效劳器软件之一。Apache的特点是简单、速度快、性能稳定，并可做代理效劳器来使用。因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache支持许多特性，大局部通过编译的模块实现。这些特性从效劳器端的编程语言支持到身份认证方案。一些通用的语言接口支持Perl，Python，Tcl和PHP。流行的认证模块包括mod_access，mod_auth和mod_digest。其他的例子有SSL和TLS支持〔mod_ssl〕，代理效劳器(proxy)模块，很有用的URL重写〔由mod_rewrite实现〕，定制日志文件〔mod_log_config〕，以及过滤支持〔mod_include和mod_ext_filter〕。Apache日志可以通过网页浏览器使用免费的脚本AWStats或Visitors来进行分析。FTP效劳器文件传输协议(FTP)是一种常用的应用层协议。FTP用于客户端和效劳器之间的文件传输。FTP客户端是一种在计算机上运行的应用程序。通过运行FTP守护程序(FTPd)，FTP客户端可以从效劳器中收发文件。为了保障文件的成功传输，FTP要求在客户端和效劳器之间建立两条连接：一条是命令和回复连接，另一条是实际文件传输连接。客户端在TCP的21号端口建立第一条连接。该连接由客户端命令和效劳器回复组成，用于管理传输流量；第二条连接建立在TCP的20号端口。每当有文件需要传输时建立该连接，用于实际文件传输。在两个方向上，都可以进行文件传输。即客户端可以从效劳器中下载〔取〕文件，也可以向效劳器中上传〔放〕文件。常用的组建FTP效劳器方法有：Windows下使用IIS架设FTP站点、Linux下的wu-ftpd、vsftpd、使用FTP效劳器软件〔Serv-U、Gene6等〕。5.5实训设备与软件设备类型设备型号数量〔每组〕备注交换机H3C31001台效劳器宏基P42台计算机宏基P44台效劳器操作系统WindowsServer20242可使用虚拟机环境效劳器操作系统CentOS5.22可使用虚拟机环境效劳器命名规那么效劳器命名没有绝对的标准，一般都是按工程惯例和管理标准来进行命名，应本着明确、简洁、无二义性的原那么。实训工程中效劳器命名规那么建议如下：SrvDHCP-01序号效劳器功能序号效劳器功能效劳器功能中，Srv表示效劳器、DHCP表示效劳器功能。效劳器序号中，01代表第一台，02代表第二台，依此类推。效劳器参数及分配的网络参数规划表效劳器名称IP地址SrvDHCP-01/18SrvDHCP-02 /18主DNS/18辅助DNS/18WWW/18 FTP/18DHCP地址分配范围为–/18大约可同时为两万名用户提供上网需求。地址租期为1天注：由于模拟环境不好操作，所以全部采用同一个网段的IP作为分配地址。分配区域IP地址分配范围默认网关效劳器－/18宿舍区－/18教师办公区－/18教学区－/18教师公寓－/18其它区域－/18实施步骤规划1〕规划分配效劳器参数2〕安装效劳器操作系统3〕安装配置DHCP、DNS、WEB、FTP等网络效劳4〕配置计算机参数并根据需求验证实现的功能5〕完成工程文档资料5.5.4实施步骤〔请将主要实施一．DHCP效劳器的配置〔1〕根据实训拓扑图进行交换机、计算机的线缆连接，配置DHCPSERVER的IP地址。〔2〕在SERVER上安装DHCP效劳器在安装DHCP效劳器之前，请注意以下事项：只有效劳器等级的计算机可以安装DHCP效劳器，例如WindowsServer2024，而WindowsXP等客户端计算机无此功能。DHCP效劳器本身的IP地址必须是静态的，也就是其IP地址、子网掩码、默认网关等信息必须以手工的方式输入。事先规划好可出租给客户端计算机的IP地址池〔也就是IP作用域〕。单击“开始〞→“管理工具〞→“配置您的效劳器向导〞，选中“DHCP效劳器〞，然后单击“下一步〞按钮，开始安装DHCP效劳器。如图3-7，图3-8所示：图3-7图3-8安装完成之后将弹出“新建作用域向导〞对话框，使用此向导创立作用域。1、填写新建作用域的名称和说明文字。此名称和说明性文字并无特别要求，只是起一个区别于其他作用域的作用。此处，将作用域名称填成“总经理〞，说明性文字为“总经理办公室〞.如图3-9所示：图3-92、再点“下一步〞，进入设置IP地址范围和子网掩码的对话框，在“起始IP地址〞项中填写该IP地址段的起始IP地址长就为18。填写完后，如图3-10所示：图3-103、单击“下一步〞进入下一个对话框，设置想排除开不用于分配的IP地址范围。。如图3-11所示图3-114、填写完成后点“下一步〞进入IP租期设置对话框了。租期将设置客户机分配到IP地址的使用期限。当客户机使用分配到的IP地址时间超过了此租期，效劳器将强行收回分配给客户机的IP地址。此处设置为1天。如图3-12所示：图3-125、单击“下一步〞进入配置DHCP选项的对话框。在此对话框中，将选择是否需要对客户机分配DNS、路由器、WINNS等效劳器的IP地址。在大型网络中，特别是与internet互联的网，这些效劳都是很重要的。在此选择“是〞。如图3-13所示：图3-136、单击“下一步〞进入设置路由器〔即网关〕的设置。在“IP地址〞项中填写路由器的IP地址。此处填写为：。填写完成后点“添加〞按钮即。如图3-14所示：图3-147、单击“下一步〞进入域名和DNS效劳器的设置对话框了。此处设置的域名和DNS效劳器的地址将被分配给客户机。在“父域〞选项中填写DNS的父域名〔参考DNS效劳器配置实训〕此处填写成在“效劳器名〞选项中填写DNS效劳器的效劳器名称。此处我们填写为dns。在“IP地址〞项中填写DNS效劳器的IP地址。此处填写为.填写完成后点“添加〞按钮即可。如图3-15所示：图3-158、点击“下一步〞，进入WINS效劳器的设置对话框。可以不设置9、点击“下一步〞进入激活作用域的对话框。在此对话框中将选择“是，我想现在就激活此作用域〞。如图3-17所示：图3-1710、单击“下一步〞再点“完成〞即完成该作用域的建立了。如图3-18所示：二．DNS效劳器的设置在主机上安装DNS配置软件，然后创立区域图3-11单击“下一步〞进入区域名称设置对话框。此对话框指定正向区域名称〔区域名称应与其管理的域相对应〕。此处填写为“〞。如图3-12所示：图3-12单击“下一步〞进入动态更新的设置。在此对话框中指定创立的区域是否支持动态更新，此处选择“不允许动态更新〞如图3-14所示：图3-14单击“下一步〞选择是否创立反向查找区域。在此处，选择“是〞如图3-10所示：图3-15单击“下一步〞进入区域类型对话框，此处选择“主要区域〞。如图3-16所示：图3-16单击“下一步〞进入“反向查找区域名称〞对话框。在此对话框中指定反向区域的名称〔可以输入IP地址的网络ID，由系统自动指定反向区域名称；也可以自行输入反向区域名称〕，此处填写“192.168.1”图3-17单击“下一步〞区域文件对话框。在此对话框中，将选择创立新的反向区域文件〔名称可自行指定〕或使用现存的反向区域文件，在此填写“1.168.192..dns〞。如图3-18所示：图3-18单击“下一步〞配置转发查询，此处选择“否，不向前转发查询〞。如图3-19所示：图3-19单击“下一步〞完成DNS向导配置。如图3-19所示：图3-19〔3〕在Server1上创立资源记录：翻开DNS管理控制台，在左侧控制台树中选择要创立资源记录的正向主要区域，然后在右侧控制台窗口的空白处右击，在弹出菜单中选择相应功能项即可创立资源记录。如图选择“新建主机〔A〕〞，翻开“新建主机〞对话框，通过此对话框创立“host〞记录，如图选择“新建别名〔CHANE〕〞，翻开“新建资源记录〞对话框，在左侧控制台树中选择要创立资源记录的反向主要区域〔4〕在Server1上指定辅助DNS效劳器：在正向主要区域上右击，在弹出的菜单中选择“属性〞命令，如图在翻开的区域属性对话框中单击“名称效劳器〞，将翻开“名称效劳器〞选项卡；在该选项卡中单击“添加〞，在此添加辅助DNS效劳器。如图单击“确定〞，完成配置，然后采用同样的方法在反向主要区域上指定辅助DNS效劳器，如图〔5〕在Server2上安装辅助DNS效劳器：参考步骤1，安装DNS效劳。翻开“区域类型〞对话框；在此对话框中选择“辅助区域〞如图单击“下一步〞，“区域名称〞对话框中，输入区域名称，该名称应与该DNS区域的主DNS区域的主DSN效劳器上的主要区域名称完全相同，如图单击“下一步〞“主DNS效劳器〞对话框。在此对话框中指定DNS效劳器的IP地址，如图单击“下一步〞完成辅助DNS配置，返回DNS管理控制台，此时能够看到从主DNS效劳器复制而来的区域数据。如图采用同样的方法，创立反向辅助区域。三．FTP效劳器的创立1〕根据实训拓扑图进行交换机、计算机的线缆连接，配置PC1、PC2、WebServer的IP地址。〔2〕WebServer上安装IIS效劳。单击“开始〞→“管理工具〞→“配置您的效劳器向导〞，选中“DHCP效劳器〞，然后单击“下一步〞按钮，开始安装DHCP效劳器。如图3-7，图3-8所示：〔3〕WebServer上创立总公司网站。单击“开始〞→“管理工具〞→“Internet信息效劳〔IIS〕管理器〞，翻开“Internet信息效劳〔IIS〕管理器〞控制台。右击“网站〞，在弹出的菜单中选择“新建〞→“网站〞，将翻开“网站创立向导〞对话框。单击“下一步〞按钮，将出现“IP地址和端口设置〞对话框，在此对话框中设置网站IP地址“”，TCP端口号“80〞，主机头、“〞〔主机头即网站的FQDN，参考5.2.3对DNS进行配置，实现对新主机头www.scetop单击“下一步〞按钮，将出现“网站主目录〞对话框，在此对话框设置网站主目录“E:\practrain-web〞和是否允许以匿名方式访问此网站。如图单击“下一步〞按钮，将出现“网站权限访问〞对话框，在此对话框中可以设置网站的访问权限，如图单击“下一步〞按钮，完成网站的创立。〔6〕WebServer上安装FTP效劳。(7)双击“Internet信息效劳器〔IIS〕〞，将翻开“Internet信息效劳器〔IIS〕〞对话框。选中“文件传输协议〔FTP〕效劳〞复选框，如图点击“确定〞按钮，返回“Windows组件〞对话框；单击“下一步〞按钮，开始安装FTP效劳。WebServer上创立FTP管理员站点并添加管理员用户〔禁止匿名访问〕。单击“开始〞→“管理工具〞→“Internet信息效劳〔IIS〕管理器〞，翻开“Internet信息效劳〔IIS〕管理器〞控制台。右击“FTP站点〞，在弹出菜单中选择“新建〞→“FTP站点〞，翻开“FTP站点创立向导〞如图单击“下一步〞按钮，将出现“IP地址设置和端口设置〞对话框，在此对话框中设置FTP站点所使用的IP地址“”及端口号“单击“下一步〞按钮，将出现“FTP用户隔离〞对话框，此对话框可以使设置FTP用户隔离的选项，如图单击“下一步〞按钮，将出现“FTP站点主目录〞对话框，此对话框设置FTP站点的主目录“WEB〞，如图单击“下一步〞按钮，将出现“FTP站点访问权限〞对话框，此对话框设置FTP站点的访问权限，如图单击“下一步〞按钮，完成FTP站点创立，如图右击“FTP站点〞下“practrain〞站点，在弹出菜单中选择“属性〞，在弹出的属性对话框中选择“平安账户〞，将允许匿名连接去掉，点击确定完成FTP站点配置，如图单击“开始〞→“管理工具〞→“计算机管理〞，翻开“计算机管理〞控制台。选择“本地用户和用户组〞→“用户〞，右击新建“admin〞用户，如图选中E盘下“web〞文件夹右击选择“属性〞，弹出“web属性〞对话框中选择“平安〞，点击添加按钮，如图选择“admin〞用户，点击确定，如图添加“admin〞用户的“修改〞和“写入〞权限，如图点击确定，完成设置。单击“下一步〞按钮，将出现“FTP站点内容目录〞对话框，在“路径〞文本框中输入虚拟目录映射的物理位置.如图单击“下一步〞按钮，将出现“虚拟目录访问权限〞对话框，在此处选择“读取〞和“写入〞复选框，如图任务验收配置验收〔1〕查看DHCP配置信息翻开“管理工具〞中“DHCP〞对话框，查看两个作用域中的各种配置选项，如图图3-205.6工程验收.DHCP功能在PC1、上将本地网络连接设置为“自动获得IP地址〞和“自动获得DNS效劳器地址〞，图3-21在命令提示符界面中键入“ipconfig/all〞敲Enter键将可查看到客户机获得IP地址等参数情况，如图3-22所示：图3-22DNS验证：查看Internet信息效劳〔IIS〕管理器配置功能验收网站访问FTP功能验收“admin〞用户登录，拥有该目录下面所有文件及文件夹的修改删除权限管理员登录，拥有该目录下面所有文件及文件夹的修改删除权限删除文件夹5.7工程总结实验过程没有划分为不同网段，如需划分网段需要添加DHCP效劳器的网卡，并在其他主机上面配置DHCP中继代理，为了使不同网段能够通信，还要设置路由。WEB跟FTP效劳器的配置相对简单，FTP效劳器的权限是要注意的重点。用户的访问是FTP效劳器权限与文件夹权限的叠加。针对某集团公司办公区网站建设任务内容和目标，通过需求分析进行了实训的规划和实施，通过本任务进行了DNS,DHCP、WEB、FTP根底配置等方面的实训。

工程6集团公司网络集中管理6.1工程内容某集团公司一家在全国各地区有多个分公司的物流大型企业，在完成工程3内容的组建根底上，现需要对公司网络进行统一管理，总部和各地分公司都能使用统一账号访问公司资源，为了保证网络信息平安，需要提供公司各效劳器和计算机微软操作系统的补丁自动更新，请进行规划和模拟实施。6.2工程流程SKIPIF1<0图6-1工程流程图6.3工程调查与需求分析6.3.1工程本工程针对集团军公司的网络进行管理，实现使用统一账号访问公司资源，并提供操作系统的补丁更新。6.3.21)具体调查经具体调查和与用户的沟通，该集团公司分为总部和三个分公司网络，分公司通过专线与总部连接，总部约有400台计算机和多台效劳器，各分公司分别有50-100台计算机，各分公司也各有1台效劳器提供网络效劳。2〕具体需求需求1：采用先进的网络技术和合理的结构完成企业网的网络集中管理，以实现企业信息化的根底。需求2：在总部和各地分公司均使用统一账号高效稳定地登录和访问公司资源，简单有效。需求3：在总公司架设一台效劳器以提供公司各效劳器和计算机操作系统的补丁自动更新。3〕需求分析分析1：需要建立一个域，并把公司计算机参加域中分析2：创立一个帐号，使全公司成员都能登录进域中分析3：需要用WSUS来进行全公司的系统更新6.4工程实训要求要求1〔必做〕：模拟本工程的网络效劳组建并完成工程的需求分析、规划、实施文档。要求2〔必做〕：模拟本工程的网络组建并完成工程实施的文档，模拟实现企业网总部及1个分公司区域的网络，实现统一管理和站点登录。要求3〔选做〕：在以上根底上实现公司微软操作系统补丁效劳器的架设和配置。6.5工程实施6.51．可靠性提供网络效劳的效劳器必须稳定可靠，为企业网用户提供可靠的网络效劳。2．平安性各项效劳应考虑和保证其平安性，防止出现网络平安事故而影响企业网效劳。3．可扩充性企业网需要提供的效劳将随着信息效劳的需求和开展进行增加和扩充，规划和实施的各项网络效劳应具有可扩充性。4．实用性应能使用户方便实用地访问各种企业网效劳并接受管理。6.5.2工程活动目录〔ActiveDirctory〕活动目录〔ActiveDirectory〕是Windows2024完全实现的目录效劳，也是Windows2000网络体系的根本结构模型，是Windows2024网络操作系统的核心支柱，也是中心管理机构。ActiveDirectory是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录效劳。ActiveDirectory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。ActiveDirectory使用了一种结构化的数据存储方式，并以此作为根底对目录信息进行符合逻辑的分层组织Microsoft在Windows2024中提供的活动目录是一个全面的目录效劳管理方案，也是一个企业级的目录效劳，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理根本的网络资源，比方计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了根本的管理对象模型，比方用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录效劳结构，而且活动目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。活动目录用户与组WindowsServer2024所支持的用户账户分为以下两种类型：域用户账户：域用户账户存储在域控制器的ActiveDirectory数据库内。用户可以利用域用户账户登录域，并利用它访问网络上的资源，本地用户账户：本地用户账户是创立在非域控制器的“本地平安账户数据库〞内，而不是域控制器的ActiveDirectory数据库内。WindowsServer2024将位于域中的组分为以下两种类型：平安组：平安组可以被用来设置权限，例如，可以设置让平安组对文件具备“读取〞的权限。平安组也可以用在与平安无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给平安组。分布式组：分布式组是用在与平安〔权限的设置等〕无关的任务上，例如，可以通过电子邮件软件将电子邮件发送给分布式组。用户无法设置分布式组的权限。活动目录站点与复制活动目录“站点〞是由一个或多个IP子网所组成，这些子网络之间是通过高速连接所串接起来的，而这里所谓的“高速〞是指这些子网之间的连接速度要够快才可以，否那么应该将它们分别规划为不同的站点。域是逻辑的分组，站点是物理的分组。每个站点可能包含多个域，一个域内的计算机可能同时分别属于不同的站点。同一个站点内的同一个域控制器会自动设置执行复制，其默认的复制频率比不同站点之间快。除了非常小的网络之外，目录数据必须驻留在网络上的多个位置，以便于所有用户均等地使用。通过复制，ActiveDirectory目录效劳在多个域控制器上保存目录数据的副本，从而确保所有用户的目录可用性和性能。ActiveDirectory使用一种多主机复制模型，允许在任何域控制器上〔而不只是委派的主域控制器上〕更改目录。ActiveDirectory依靠站点概念来保持复制的效率，并依靠知识一致性检查器(KCC)来自动确定网络的最正确复制拓扑。组策略组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略，可以完成用户所需软件的自动安装、自动定制用户环境、自动将用户的文件夹重定向等一系列高级功能。例如，可使用“组策略〞帮助用户自动安装软件、从桌面删除图标、自定义“开始〞菜单并简化“控制面板〞。此外,还可添加在计算机上〔在计算机启动或停止时，以及用户登录或注销时〕运行的脚本，甚至可配置InternetExplorer等多种功能。要实现用“组策略〞管理网络中的计算机和用户，需要网络中有ActiveDirectory效劳器，工作站须是Windows2000、WindowsXP或WindowsServer2024等操作系统，并且参加到ActiveDirectory域中，还需创立与配置“组织单位〞的组策略。MicrosoftWindowsServerUpdateServices(WSUS)MicrosoftWindowsServerUpdateServices(WSUS)是设计用来大量精简IT系统在执行重大更新时的程序。通过使用WindowsServer更新效劳(WSUS)，管理员可以快速而可靠地将Windows2000操作系统和更高版本、OfficeXP和更高版本、ExchangeServer2024以及SQLServer2000的最新关键更新和平安更新部署到Windows2000和更高版本的操作系统。Windows自动更新是Windows的一项功能，当适用于您的计算机的重要更新发布时，它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新操作系统，修复系统漏洞，保护计算机平安。在小规模的网络当中，客户端可以通过windows系统自带的自动更新来从微软下载补丁。但在大中型的网络当中，如果每台计算机都单独去微软更新补丁，那么那么会极大的影响企业的外部网络带宽。WSUS的思路是先用一台计算机〔wsus〕去微软检测并选择要下载补丁，然后网络内其他的计算机从WSUS效劳器来下载补丁，它也可直接下发补丁。这样也既不会浪费外部网络带宽，也能让所有的计算机得到更新。6.5.3实训设备与软件设备类型设备型号数量〔每组〕备注交换机H3C31001台效劳器宏基P43台计算机宏基P43台效劳器操作系统WindowsServer20243可使用虚拟机环境效劳器参数及分配的网络参数规划表效劳器名角色IP地址SrvAD-01域控制器0SrvAD-02域成员3实施步骤规划1〕规划分配效劳器参数2〕安装配置WindowsServer2024活动目录〔用户管理、计算机参加域、站点与复制〕3〕安装配置WSUS效劳器〔WSUS、组策略〕4〕配置计算机参数并根据需求验证实现的功能5〕完成工程文档资料6.5.4实施步骤〔请将主要实施步骤整理列出〕1.在SrvAD-01上安装域控制器2.在SrvAD-02上安装子域控制器3.建立账号，用来集中管理4.设置组策略

6.6工程验收两台效劳器的域控制器站点验证统一管理用户验证平安策略验证6.7工程总结通过这次实训，让我了解到在企业里面应用域来管理计算机能大大的节省人力和时间，并能够增强平安。在本次实训工程中，让我们收获了很多以前没有了解的知识面。才知道以前我们上课掌握的知识真的是太少了，在这之前我对于一些效劳器安装和配置都有一些陌生，在建立域之前，应收集实际环境的信息，按照实际来设计和配置每个效劳器和个人电脑的角色。从而强化我们的动手能力和应对能力。在实际的环境中也能挥晒自如。

工程7校园网网络平安系统7.1工程内容某高等职业学院已经在工程2的根底上组建了校园园区网，校园各区域均已连通，校园网方案有两条出口线路分别与CHINANET和CERNET连接，需实现校园网所有用户对外访问，同时校园网的WEB、FTP等效劳器需要提供校外用户访问，还可提供学校用户在家访问学校的一些内部网络应用，同时为了保障校园网络平安，需要对校园网的效劳器操作系统进行平安防护，并且方案部署全网的防病毒系统，请进行校园网的平安进行规划和模拟实施。7.2工程流程SKIPIF1<0图7-1工程流程图7.3工程调查与需求分析7.3.本工程针对校园园区网的网络平安进行建设和管理，提供内外网转换和外部平安访问校园网内部，并进行防病毒系统的部署。7.3.1)具体调查经具体调查和与用户的沟通，校园网有近6000用户、约30台效劳器提供效劳，校园网通过租用1条100M电信线路和1条10M教育网线路分别连接互联网和CERNET。其中互联网线路分配的其中局部IP地址范围为：30/27—2〕具体需求需求1：采用先进的网络通信技术和合理的网络结构进行校园网出口局部的建设，实现内部用户快捷平安访问互联网和教育网。需求2：一些校园网效劳器需提供外部的公共访问效劳〔WWW、FTP等效劳〕，使互联网用户能平安方便地访问学校的公共资源和信息。需求3：一些校园网内部的资源〔例如办公系统、电子图书等〕需要提供学校的教职员工在外平安访问。需求4：保障和加强效劳器平安性，对校园网的效劳器操作系统进行平安防护，为校园网系统提供稳定的网络效劳。需求5：为保障校园网全网平安，加强各用户计算机的平安防护，安装使用防病毒软件。3〕需求分析分析1：使用合理规划的ＩＰ地址和路由协议使校园网用户可以连接到Ｉｎｔｅｒｎｅｔ,并通过专线连接到教育网分析2：为了使互联网用户可以访问到校园网资源，必须在校园网内安装WEB与FTP效劳器为用户提供访问。分析3：配置虚拟专用网〔VPN〕为校外出差人员提供远程访问。分析4：在校园网出口位置配置NAT防火墙。提供私有地址与公共IP地址转换。分析5：安装必要的杀毒软件7.4工程实训要求要求1〔必做〕：模拟本工程的网络平安系统组建并完成工程实施的文档，模拟实现校园网络的平安防护。要求2〔必做〕：使用防火墙或软件进行校园网出口互联网局部的内外网转换〔NAT〕，效劳器的对外发布访问和平安〔SAT〕。要求3〔必做〕：进行效劳器操作系统的平安配置和防护。〔主机平安〕要求3〔选做〕：使用防火墙或软件进行校园网的外部平安访问内部网络〔VPN〕。要求4〔选做〕：进行校园网的网络防病毒系统配置和实施。7.5工程实施7.51．可靠性提供网络效劳的效劳器必须稳定可靠，为校园网用户和校外用户提供可靠的网络效劳。2．平安性各项效劳应考虑和保证其平安性，防止出现网络平安事故而影响校园网效劳。3．可扩充性校园网需要提供的效劳将随着信息效劳的需求和开展进行增加和扩充，规划和实施的各项网络效劳应具有可扩充性。4．实用性校园网具有用户数量多、应用环境复杂的特点，应能使用户方便实用地访问各种校园网效劳。7.5.2工程防火墙传统意义的防火墙被设计用来防止火从大厦的一部份。在网络上防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的平安管理。防火墙是一种高级访问控制设备，置于不同平安域之间，是不同平安域之间的唯一通道，能根据企业有关的平安政策执行允许，拒绝，监视，记录进出网络的行为。防火墙是一个或一组系统，用于管理两个网络直接的访问控制及策略，所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙；只有在被定义的数据流才可以通过防火墙(如果通过其他方式带出信息，那么无法防范〕，防火墙本身必须有很强的免疫力。防火墙技术防火墙通常使用的平安控制手段主要有包过滤、状态检测、代理效劳。包过滤技术是一种简单、有效的平安控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规那么，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于平安控制层次在网络层、传输层，平安控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的平安控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，那么无能为力。状态检测是比包过滤更为有效的平安控制方法。对新建的应用连接，状态检测检查预先设置的平安规那么，允许符合规那么的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心局部建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的平安性。然而，应用网关防火墙是通过打破客户机／效劳器模式实现的。每个客户机／效劳器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到效劳器。另外，每个代理需要一个不同的应用进程，或一个后台运行的效劳程序，对每个新的应用必须添加针对此应用的效劳程序，否那么不能使用该效劳。所以，应用网关防火墙具有可伸缩性差的缺点。防火墙工作模式防火墙一般位于企业内部网络出口与互联网直接相连是企业网络的第一道屏障。根据防火墙和内外网络的结构,防火墙具有三种工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墙就好象是一台网桥，不改动其原有的网络拓扑结构。网络设备和所有计算机的设置〔包括IP地址和网关〕无须改变，同时解析所有通过它的数据包，既增加了网络的平安性，又降低了用户管理的复杂程度。透明模式的防火墙结构如以下列图所示。2.路由模式传统防火墙一般工作于路由模式，防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信并可将内部私有IP地址转换为互联网地址。路由模式的防火墙结构如以下列图所示:3.混合模式在企业复杂的网络环境中常常需要使用透明及路由的混合模式。混合模式防火墙结构如以下列图所示:防火墙产品简介1．阿姆瑞特防火墙阿姆瑞特防火墙为"无系统内核"，即：防火墙没有操作系统，因此不会存在通用操作系统的漏洞，从而在底层保证防火墙的平安性；同时，因为操作系统需要不断地去维护、升级，无操作系统就不存在此类问题，这也排除了因为系统升级、打补丁破坏防火墙功能、性能的问题。阿姆瑞特防火墙内核启动后，可直接管理防火墙的所有硬件〔CPU、网卡、总线等〕，它可以在底层从硬件设备中接管进出防火墙数据并进行处理，利用了所有可能的硬件性能，同时减少了操作系统的开销，因此可以最快的处理数据，使其成为市场上现有的最快的防火墙之一。2．ISA〔InternetSecurityandAccelerationServer〕ISAServer是微软公司出品的企业级别的路由软件防火墙，它可以让企业内部网络平安、快速的连接到Internet，性能可以和硬件防火墙媲美，并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的，可以在网络的任何地方，如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISAServer来对网络或主机进行防护。ISAServer的主要特性：〔1〕多层防火墙平安防火墙可以通过各种方法增强平安性，包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙，如ISAServer所提供的那一种，综合了所有这三种方法，在多个网络层提供保护，为企业提供最低的投入的根底上最高的回报。(2〕状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层，ISAServer检查在IP消息头中指明的通信来源和目标，以及在标识所采用的网络效劳或应用程序的TCP或UDP消息头中的端口。动态数据包筛选器能够使窗口的翻开只响应用户的请求，并且翻开端口的持续时间恰好满足该请求的需要，从而减少与翻开端口相关的攻击。ISAServer可以动态地确定，哪些数据包可以传送到内部网络的电路层和应用程序层效劳。管理员可以配置访问策略规那么，以便只在允许的情况下自动翻开端口，然后当通信结束时关闭端口。这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的平安性，使问题较少发生。(3〕集成的入侵检测ISAServer利用一家名为InternetSecuritySystems的公司所提供的技术，提供帮助管理员识别诸如端口扫描、WinNuke和PingofDeath之类的常见网络攻击的这种效劳。并且ISA能够自动对其作出响应。这项技术给ISAServer提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时，警报还能同时指出ISAServer应采取什么行动，这些行动可包括向系统管理员发送电子邮件或寻呼，停止Firewall效劳，写入到系统事件日志，或运行任何程序或脚本。(4〕高性能Web缓存ISAServer对Web缓存进行了彻底的重新设计，使它可以将缓存放入RAM中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的Web缓存可提供更强的后端可伸缩性，并提供了更快的Web客户机总体响应时间。这对于企业内部来说尤其重要，因为员工需要快速访问Web内容，而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。(5〕缓存阵列路由协议ISAServer使用了缓存阵列路由协议(CacheArrayRoutingProtocol，CARP)。因此您可以通过多台ISAServer计算机组成的阵列来提供无缝缩放和更高的效率。(6)活动缓存通过一个叫做活动缓存的功能，可配置ISAServer使其自动更新缓存中的对象。使用这种功能，ISAServer可通过主动刷新内容来优化带宽的使用。通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。(7)统一管理ISAServer利用基于WindowsServer的平安性，ActiveDirectory效劳、VPN和Microsoft管理控制台(MMC，MicrosoftManagementConsole)。所有这些功能，特别是MMC，会使得管理更容易，因为操作人员熟悉它，并可从一个控制台同时管理防火墙和Web缓存。(8)企业策略和访问控制ISAServer还支持创立企业级和本地阵列策略，用于集中实施或本地实施。ISAServer可作为独立效劳器安装或作为阵列成员安装。为便于管理，各个阵列成员都使用相同的配置。对阵列配置进行修改时，阵列中的所有ISAServer计算机也都将得到修改，包括所有访问和缓存策略。VPN〔VirtualPrivateNetwork〕VPN即虚拟专用网络，是通过Internet公共网络在局域网络之间或单点之间平安地传递数据的技术。虚拟专用网络(VPN)是专用网络的扩展。同Internet一样，该网络包含共享网络或公用网络之间的链接。使用VPN，可以通过共享网络或公用网络以模拟点对点专用链接的方式在两台计算机之间发送数据。虚拟专用网络连接是一种创立和配置虚拟专用网络的操作。使用VPN连接，在家办公或旅行的用户可以通过公用Internet网络〔如Internet〕提供的结构，获得到组织效劳器的远程访问连接。从用户的角度来说，VPN是计算机〔VPN客户端〕和组织效劳器〔VPN效劳器〕之间的点对点连接。VPN与共享网络或公用网络的具体结构无关，因为数据就象是通过专用的链接发送的。VPN技术的效果类似于传统的DDN专线联网方式，网络拓扑如以下列图所示。VPN的类型〔1〕AccessVPN移动用户在任何地方、时间采用拨号、ISDN、DSL、移动IP和电缆技术通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在AccessVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。〔2〕IntranetVPNIntranetVPN通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN平安隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSEC、GRE等。结合效劳商提供的QOS机制，可以有效而且可靠的使用网络资源，保证了网络质量。〔3〕ExtranetVPN利用VPN将企业网伸至合作伙伴与客户。Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。VPN使用的协议〔1〕链路层L2TP、PPTP协议PPTPPPTP是PPP的扩展，它增加了一个新的平安等级，并且可以通过Internet进行多协议通信，它支持通过公共网络〔如Internet〕建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创立VPN连接，实现从远程计算机到专用效劳器的平安数据传输。VPN效劳器执行所有的平安检查和验证，并启用数据加密，使得在不平安的网络上发送信息变得更加平安。尤其是使用EAP后，通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样平安。另外还可以使用PPTP建立专用LAN到LAN的网络。L2TP是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议平安(IPSec)机制来进行身份验证和数据加密。〔2〕网络层IPsec协议基于PKI技术的IPSec协议现在已经成为架构VPN的根底，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其平安性比其他协议都完善得多。由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种标准，具有非常好的通用性，而且IPSec本身就支持面向未来的协议——IPv6。3〕传输层SSL、TLS、SOCKS协议SSLVPN即指采用SSL(SecuritySocketLayer)协议来实现远程接入的一种新型VPN技术。SSLVPN是解决远程用户访问敏感公司数据最简单最平安的解决技术。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。主机平安系统漏洞系统漏洞是指网络操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒利用侵入并攻击用户计算机。漏洞会影响到的范围很大，包括系统本身及其支撑软件，网络客户和效劳器软件，网络路由器和平安防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的平安漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的平安漏洞问题。Windows系统漏洞问题是与时间紧密相关的。一个windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商微软公司发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。Windows操作系统供应商将定期对的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，可以保证计算机不会轻易被病毒、黑客入侵。一般情况下，在网络边界处企业都会部署硬件或软件防火墙，能根据企业的平安策略控制出入网络的信息流，，本身具有较强的抗攻击能力。但是防火墙也存在一定的局限性：防火墙不能解决来自内部网络的攻击和平安问题，对于防火墙内部各主机间的攻击行为，防火墙也无法处理；防火墙无法解决TCP/IP等协议的漏洞，例如Dos攻击〔拒绝效劳攻击〕。防火墙对于合法开发端口的攻击无法阻止。例如利用开放的FTP、远程桌面端口漏洞提升权限问题。防火墙不能防止受病毒感染文件或木马文件的传输。防火墙本身不具备查杀病毒、木马的功能。防火墙不能防止数据驱动式的攻击。有些数据邮寄或传输到内部主机被执行时，可能会发生数据驱动式的攻击。防火墙不能防止内部的泄密行为以及自身平安漏洞的问题。漏洞扫描漏洞扫描式网络平安防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的平安漏洞进行逐项检查。其目标是效劳器、工作站、交换机、数据库应用、WEB应用等各种应用设施，然后根据扫描结果向网络管理员提供可靠的平安性评估分析报告，以便管理员能及时进行漏洞修补和加强平安防护，从而提高网络平安整体水平。漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络效劳，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的平安漏洞扫描，如测试弱势口令等。假设模拟攻击成功，那么说明目标主机系统存在平安漏洞。在网络平安体系的建设中，平安扫描是一种花费低、效果好、见效快、独立于网络运行、安装运行简单的网络工具，可以减少网络管理员大量的手工重复劳动，有利于保持全网平安的稳定和统一标准。目前市场上有很多漏洞扫描工具，按照不同的技术〔基于网络、基于主机、基于代理、Client/Server〕、不同的特征、不同的报告方式和不同的监听模式，可以分为很多种。在选择漏洞扫描工具时要充分考虑各种技术和漏洞库信息，漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如果漏洞库信息不全面或得不到即时的更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，从而对系统的平安隐患不能采取有效措施并及时的消除。目前常用的漏洞扫描工具有：〔1〕微软平安扫描工具MBSAMBSA〔MicrosoftBaselineSecurityAnalyzer〕是微软公司提供的免费平安扫描工具，系统管理员可以通过它来对一些常用的微软平安漏洞进行评估，包括缺少的平安更新。MBSA将扫描基于Windows的计算机，并检查操作系统和已安装的其他组件〔如：InternetInformationServices〔IIS〕和SQLServer〕，以发现平安方面的配置错误，并及时通过推荐的平安更新进行修补。MBSA目前可以运行在Windows2000、WindowsXP和WindowsServer2024环境中。该软件可以检查到Windows2000、WindowsXP、WindowsServer2024、InternetInformationServer(IIS)、SQLServer、InternetExplorer和Office等软件包中的结构性错误，还可以检查出Windows2000、WindowsXP、WindowsServer2024、IIS、SQLServer、InternetExplorer、Office、ExchangeServer、WindowsMediaPlayer、MicrosoftDataAccessComponents(MDAC)、MSXML、MicrosoftVirtualMachine、CommerceServer、ContentManagementServer、BizTalkServer、HostIntegrationServer中遗漏的平安更新。MBSA2.0.检查Windows操作系统平安内容：检查将确定并列出属于LocalAdministrators组的用户账户。检查将确定在被扫描的计算机上是否启用了审核。检查将确定在被扫描的计算机上是否启用了“自动登录〞功能。检查是否有不必要的效劳。检查将确定正在接受扫描的计算机是否为一个域控制器。检查将确定在每一个硬盘上使用的是哪一种文件系统，以确保它是NTFS文件系统。检查将确定在被扫描的计算机上是否启用了内置的来宾账户。检查将找出使用了空白密码或简单密码的所有本地用户账户。检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的IE区域平安设置。检查将确定在被扫描的计算机上运行的是哪一个操作系统。检查将确定是否有本地用户账户设置了永不过期的密码。检查将确定被扫描的计算机上是否使用了RestrictAnonymous注册表项来限制匿名连接ServicePack和即时修复程序。MBSA2.0.检查IIS的平安分析：检查将确定MSADC〔样本数据访问脚本〕和脚本虚拟目录是否已安装在被扫描的IIS计算机上。检查将确定IISADMPWD目录是否已安装在被扫描的计算机上。检查将确定IIS是否在一个作为域控制器的系统上运行。检查将确定IIS锁定工具是否已经在被扫描的计算机上运行。检查将确定IIS日志记录是否已启用，以及W3C扩展日志文件格式是否已使用。检查将确定在被扫描的计算机上是否启用了ASPEnableParentPaths设置。检查将确定以下IIS例如文件目录是否安装在计算机上。MBSA2.0的SQLServer平安分析功能：检查将确定Sysadmin角色的成员的数量，并将结果显示在平安报告中。检查将确定是否有本地SQLServer账户采用了简单密码〔如空白密码〕。检查将确定被扫描的SQLServer上使用的身份验证模式。检查将验证SQLServer目录是否都将访问权只限制到SQL效劳账户和本地Administrators。检查将确定SQLServer7.0和SQLServer2000sa账户密码是否以明文形式写到%temp%\sqlstp.log和%temp%\setup.iss文件中。检查将确定SQLServerGuest账户是否具有访问数据库〔MASTER、TEMPDB和MSDB除外〕的权限。检查将确定SQLServer是否在一个担任域控制器的系统上运行。检查将确保Everyone组对"HKLM\Software\Microsoft\MicrosoftSQLServer"和"HKLM\Software\Microsoft\MSSQLServer"两注册表项的访问权被限制为读取权限。如果Everyone组对这些注册表项的访问权限高于读取权限，那么这种情况将在平安扫描报告中被标记为严重平安漏洞。检查将确定SQLServer效劳账户在被扫描的计算机上是否为本地或DomainAdministrators组的成员，或者是否有SQLServer效劳账户在LocalSystem上下文中运行。MBSA2.0新版本使用WindowsUpdateAgent(WUA)2.0连接扫描结果。如果找到某个产品有新版本或更新，它会提供相关更新信息和下载连接。此外，MBSA还能识别出操作系统版本和效劳包。扫描报告还能列出需要升级的最近安装的更新。〔2〕漏洞扫描软件X-ScanX-Scan是一款优秀的国产免费漏洞扫描软件，X-Scan采用多线程方式对指定IP地址段(或单机)进行平安漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT效劳器NETBIOS信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。安装、部署一套效劳器操作系统难度比较高，平安配置也是一项具有难度的网络技术，权限配置太严格，许多应用程序不能正常运行；权限配置的太松，又很容易被非法入侵者侵入。WindowsServer2024操作系统是目前企业使用比较成熟和广泛的网络效劳器器平台，其平安性相对于WindowsServer2000有了极大的提高。Windows系统平台的平安无疑是构建效劳器平安的根底，涉及操作系统合应用程序的安装、系统效劳、系统设置和用户帐户等多方面平安配置。病毒防护病毒与防护病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒的危害：(1)传染性(2)未经授权而执行(3)隐蔽性(4)潜伏性(5)破坏性(6)不可预见性病毒的预防措施：(1) 安装防病毒软件(2) 定期升级防病毒软件(3) 不随便翻开不明来源的邮件附件(4) 尽量减少其他人使用你的计算机(5) 及时打系统补丁(6) 从外面获取数据先检察(7) 建立系统恢复盘(8) 定期备份文件病毒防护网络版网络工作站的防护位于企业防毒体系中的最底层，对企业计算机用户而言，也是最后一道防、杀病毒的要塞。考虑到网络中的工作站数量少那么几十台，多那么数百上千台甚至更多。如果需要靠网管人员逐一到每台计算机上安装单机防病毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐。因此在企业中常常需要使实施防病毒软件的网络版，国内外的病毒防护软件厂商非常多，目前在企业中应用较广的主要有四种，即SymantecAntivus、Mcafee、趋势、卡巴斯基和瑞星等。防毒墙网络版中的防病毒功能是通过客户机提供的，客户机向效劳器报告并从效劳器获取更新。通过防毒墙网络版控制台，管理员可以配置、监控和更新客户机的防病毒软件及病毒代码。

7.5.3工程实训设备与软件设备类型设备型号数量〔每组〕备注防火墙AmarantenF50-NP1台交换机H3C31001台效劳器宏基P42台计算机宏基P43台效劳器操作系统WindowsServer20242防火墙软件ISA20241防病毒网络版TrendOfficeScan7.31拓扑结构图请画出本实训工程拓扑结构图〔visio绘制〕。规划的网络参数表实施步骤规划1)规划防火墙、效劳器等网络参数2〕根据网络结构安装和连接效劳器和网络设备3〕配置防火墙实现NAT和SAT4〕安装平安扫描软件和根据结果配置主机平安5〕安装和配置VPN6〕安装和配置防病毒软件网络版7〕根据需求验证实现的功能7.5.4

7.6工程验收.7工程总结本次实验主要完成了WEB效劳器FTP效劳器VPN及NAT的配置。VPN与其它远程访问不同的是它可以同时创立的连接比他们多得多。NAT效劳器必须与内部网相连，也要与外部网相连，所以它应同时具有私有与共有的IP地址。NAT效劳器可以提供地址转换，从而节约公用IP地址。降低Internet接入本钱。同时可以将内部私有网络隐藏起来，起到了保护内部网的作用。

工程8校园网网络管理与备份系统8.1工程内容某高等职业学院已经在工程2和工程7的根底上组建了校园园区网和互联网连接，并已进行了网络平安防护，对于校园网众多的网络设备和通信线路，需要进行监测和管理运行情况，以便在出现故障时及时处理，还需要远程管理和操作各种效劳器，同时为了保证校园网提供各种网络和应用的效劳器的数据平安，方案进行重要数据的统一存储和备份，请进行工程规划设计和模拟实施。8.2工程流程SKIPIF1<0图8-1工程流程图8.3工程调查与需求分析8.3.本工程针对校园网的网络设备的通信线路进行监测和管理，远程管理效劳器，建立数据的存储和备份系统。8.3.21)具体调查经具体调查和与用户的沟通，校园网有近200台各层次交换机〔其中核心层2台、会聚层10台〕、约30台效劳器以及防火墙、网络认证系统等设备提供校园网效劳。需要监控的设备和线路具体如下：设备类型设备名称/型号IP地址运行业务用途交换机NortelPassport8003核心交换机交换交换机ZTET64G0核心交换机交换交换机BitWay6424会聚交换机交换交换机NortelBay450会聚交换机交换效劳器DELL14209FTPFTP下载效劳器DELL14208WEB网站效劳器DELL44009DNSDNS效劳器CompaqML3701SQLServer数据库线路类型发起端设备〔IP〕发起端口对端设备〔IP〕对端设备口对端位置光纤Port1/3Port24行政楼光纤Port1/4Port25图书馆光纤Port1/6Port25教学楼光纤0Gei_2/12Gei_2/22宿舍楼双绞线Port2/2Port24实训楼双绞线0Gei_4/244Port18互联网2〕具体需求需求1：采用先进的网络管理技术对校园网设备和线路进行监控和管理，监控实时运行状态，应能管理不同厂家和类型的设备，并在出现故障时进行告警。需求2：对校园网的各效劳器进行远程管理，便于远程操作和控制效劳器。需求3：进行效劳器数据的统一大容量存储，尽量采用投资较小的技术和设备，能与现有网络结构和环境相结合，进行数据的统一管理和备份。需求4：对效劳器重要数据进行统一备份，能实现各种备份方式定时备份，以便出现故障时及时恢复数据。3〕需求分析分析1：运用SNMP协议与网络管理软件的网络设备提供实时检测与报警分析2：创立效劳器远程桌面连接。方便对效劳器的管理分析3：安装配置网络存储系统〔ISCSI〕软件，模拟数据统一存储分析4：通过备份来为网络数据提供恢复能力8.4工程实训要求要求1〔必做〕：组建本工程的网络管理系统和备份系统，组建并完成工程实施的文档，模拟实现校园网络的管理与备份。要求2〔必做〕：组建本工程的网络管理系统，进行校园网设备和线路的监控。要求3〔必做〕：安装配置效劳器的远程管理，进行效劳器的远程控制。要求4〔选做〕：安装配置网络存储系统〔ISCSI〕软件，模拟数据统一存储。要求4〔选做〕：安装配置数据备份系统〔备份软件〕，模拟数据统一备份。8.5工程实施8.51．可靠性对校园网设备进行监控应不影响设备的运行可靠性和稳定性，导致网络故障和效率低下，不能改动原有拓扑结构。对效劳器进行远程管理应不影响业务的正常运行，确保其可靠性和稳定性，使系统的运营风险降低到最小。对数据进行备份应不影响业务的正常运行，确保其可靠性和稳定性，使系统的运营风险降低到最小。2．平安性对校园网设备进行监控应保障设备和网络的平安，不得因监测对设备和效劳器产生平安故障，远程管理系统不能出现平安漏洞而导致降低系统的平安性，最终目的是确保远程效劳器的平安运行和管理。数据备份系统构成应用系统的保障子系统，数据备份系统的最终目的是确保应用系统的平安运行和故障恢复机制。3．可扩充