企業(yè)內網的安全與管理

1、企業(yè)內網的安全與管理摘要一直以來，安全防御理念局限在常規(guī)的漏洞掃描、防火墻、安全審計、防病毒、IDS等方面的防御，重要的安全設施大致集中于機房、網絡入口處，在這些設備的嚴密監(jiān)控下，來自網絡外部的安全威脅大大減小。在所有的網絡安全事件中,有超過70%的安全事件是發(fā)生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢。因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環(huán)境為主、節(jié)點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。關鍵字：安全，風險，控制 ，防御目錄第一章、 背景分析41、信息：內部機密文檔安全52、用戶：用戶桌面行為

2、規(guī)范53、系統(tǒng)：系統(tǒng)維護、資產管理6第二章、需求分析62.1 企業(yè)的設計目標72.2構建企業(yè)內網總體介紹7第三章、網絡接入選擇7第四章、企業(yè)的四個子網8第五章、企業(yè)拓撲結構圖96.1 WEB服務器的配置116.2.1DNS服務器安裝與配置126.3 FTP服務器安裝與配置136.4 安裝配置郵件服務器146.5 DHCP服務器安裝與配置14第七章、防范內部人員16參考文獻19致謝19第一章、 背景分析內網安全的首要任務:全防御理念往往局限在網關級別、網絡邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監(jiān)控下，來自網絡外部的安全。現

3、代計算機及通信技術飛躍發(fā)展，企業(yè)內部管理的網絡化及信息化成為一種必然的發(fā)展趨勢，網絡技術己經廣泛地應用到各個技術領域和整個社會的各個方面。許多企業(yè)都已建成或正在組建自己的企業(yè)網絡。本設計就企業(yè)網絡的總體規(guī)劃進行了可行性的論證，并可作為將來真正實現企業(yè)網建設的一個方案。另外，基于企業(yè)網絡的開發(fā)是將先進技術應用到企業(yè)內部，通過簡單的瀏覽界面，方便地集成了各類已有的服務,極大改變了傳統(tǒng)的信息系統(tǒng)的結構設計，開發(fā)環(huán)境和應用環(huán)境，打破了信息共享的障礙。企業(yè)內網對于一個企業(yè)網絡安全面臨的風險，并充分評估這些風險可能帶來的危險，將是實施安全建設中必須首要解決的問題，也是制定安全策略的基礎和依據。那么，究竟企

4、業(yè)在那些方面存在安全風險？企業(yè)內網安全產品又能給企業(yè)帶來什么樣的價值？對此，溢信科技研發(fā)總監(jiān)黃凱從內網安全涉及到的信息、用戶、系統(tǒng)三方面做了解讀。1、信息：內部機密文檔安全企業(yè)中與業(yè)務相關的信息有九成左右都會以電子文檔的形式存在，這些內部信息往往涉及商業(yè)機密，甚至是企業(yè)的核心關鍵技術，保密性要求甚高，一旦泄密，極有可能給企業(yè)帶來巨大的經濟損失。1.1企業(yè)內部可能存在專門的文檔服務器，用以存儲各類文檔。如果缺乏有效的管理，任何內網用戶都可以接觸到文檔，即可隨意把企業(yè)內部文件甚至機密信息傳播出去，造成企業(yè)重大的損失。因此，企業(yè)需要對文檔進行高強度的加密并設置基于角色的用戶權限管理。IP-guard

5、采用高強度的透明加密技術，對機密信息進行安全保護，使文件在用戶新建后就自動被加密保護。加密后的文件即使被非法傳輸到企業(yè)外部也無法解密和應用。另外，還能夠根據不同的部門和級別，設置不同的內部文檔訪問控制權限，從而建立完整的保密體系。1.2企業(yè)內部或許缺乏對移動存儲設備進行有效的管控，任何人都可以使用自己的U盤、MP3、移動硬盤等設備復制轉移電子文檔，文檔泄露的隱患大大增加。如果徹底禁止U盤的移動設備的使用，又會為企業(yè)內部正常的文檔傳輸帶來不便。因此，企業(yè)需要在享受移動存儲設備帶來的便捷性的同時最大限度保障信息安全。IP-guard能夠解決組織內部移動存儲設備應用矛盾，其核心是在總體控制計算機外部

6、設備包括USB、藍牙、光存儲設備使用權限的基礎上，分類規(guī)范網內的移動存儲設備使用行為并進行加密，輔之以全面的移動存儲審計，最終達到移動存儲設備便攜性與安全性兼得的目的。1.3企業(yè)員工因工作需要經常使用qq、飛信、MSN、電子郵件等基于網絡的程序運用，這些程序都有文件傳輸功能，如果不對其進行限制，文件被有意或者無意泄露的風險性很大。所以，企業(yè)應該對電子郵件、即時通訊工具進行有效的管理和控制。IP-guard能夠對外發(fā)文檔的權限進行管理。限制外發(fā)超過指定大小或包含指定關鍵字的文檔，甚至徹底禁止外發(fā)文檔，保護重要的文檔不會通過即時通訊工具泄露出去。同時完整記錄用戶的聊天內容、發(fā)送的郵件內容，方便管理

7、者了解用戶在進行對話時是否有意或無意地泄露公司重要信息。2、用戶：用戶桌面行為規(guī)范除了企業(yè)內部的機密信息，對企業(yè)發(fā)展起到至關重要作用的就是員工的工作效率。網絡的普及，無疑改善了員工的工作條件，提高了企業(yè)的整體效率。但是，企業(yè)內部可能存在部分員工沉迷于網絡或者桌面游戲，忽視專職工作，嚴重影響企業(yè)發(fā)展。1.2.1部分用戶可能存在不規(guī)范的桌面行為，比如上班時間炒股、瀏覽無關新聞、網上游戲、看在線電影、聽音樂等，工作效率十分低下，同時還存在BT下載、在線視頻、迅雷應用等P2P行為，導致公司帶寬經常被堵，正常的網絡業(yè)務無法開展。企業(yè)必須對上網行為進行適當的管控和審計。IP-guard能夠過濾一切與工作無

8、關的應用程序，分時段或全天候阻止游戲、炒股、媒體播放、即時通訊、BT等程序的運行。同時，還可限制P2P軟件的使用，幫助企業(yè)合理分配帶寬資源，力保網絡平穩(wěn)。另外，IP-guard還提供用戶應用程序和網頁瀏覽情況的統(tǒng)計表，讓管理者對用戶的桌面行為一清二楚。1.2.2豐富的網站資源除了帶來有用的信息，還包含一些色情、反動類型的網站及其應用，員工的不良上網行為可能導致病毒、木馬被非法下載進入企業(yè)內部。IP-guard可過濾黃色、暴力和惡意傳播病毒的網站，保證用戶在合規(guī)、合法范圍內使用網頁，既不能訪問下載也不能上傳散播任何含色情暴力成分的內容。3、系統(tǒng)：系統(tǒng)維護、資產管理企業(yè)要健康發(fā)展，還離不開IT系統(tǒng)

9、的正常運作。由于企業(yè)規(guī)模的擴大、實力的增強，企業(yè)的辦公地點可能分布在不同樓層甚至不同地區(qū)，由此造成大量計算機系統(tǒng)分布分散、企業(yè)內部的資產統(tǒng)計工作非常繁瑣。計算機系統(tǒng)，是企業(yè)內部必不可少的一個重要組成部分。維護系統(tǒng)的正常運轉是IT管理員的日常工作，由于缺少適合的管理工具，企業(yè)內部動輒幾百上千臺計算機系統(tǒng)維護，也使得有限的IT管理人員對系統(tǒng)的日常維護變得不再靈活，系統(tǒng)漏洞風險不斷升高。針對此情況，系統(tǒng)管理員可以通過IP-guard控制臺實時查看客戶端計算機的應用程序、網絡連接、進程、系統(tǒng)信息等基本資料和運行情況，在單一控制臺上就可以實現對整個網絡內計算機運行信息的掌握。同時它還可以協(xié)助管理員對系統(tǒng)

10、運行情況做分析，在系統(tǒng)發(fā)生異樣時及時解決，預防系統(tǒng)故障的發(fā)生。另外，系統(tǒng)管理員可以在IP-guard控制臺直接遠程控制和操作任一計算機，可在控制臺對需要幫助的遠程計算機進行操作，實現遠程桌面訪問、雙向文件傳輸。多數企業(yè)內部存在著大量的軟、硬資產和非IT資產。如果使用傳統(tǒng)的資產維護和管理方法，既繁瑣而又耗費時間，人手統(tǒng)計完畢后還得手工錄入信息。當資料統(tǒng)計或錄入到一半時，系統(tǒng)新增了資產，工作往往因此而被打斷。如此重復多次，IT管理者也難免變得糊涂，繁瑣手續(xù)就變得如此簡單。因此，企業(yè)亟需一種簡單的方法統(tǒng)計內部資產。IP-guard自動搜索和整合企業(yè)網絡內客戶端計算機的IT資產信息，并集中記錄硬件型號

11、，節(jié)省人手統(tǒng)計的時間，同時也可自動統(tǒng)計軟硬件資產的變更，提供一目了然的軟硬件資產變更列表，讓系統(tǒng)管理員通過控制臺的數據便可對資產變動了如指掌，時刻掌握最新最準確的資產信息。既可減輕系統(tǒng)管理員的工作負擔，又可避免資產的遺失與侵占。第二章、需求分析2.1 企業(yè)的設計目標企業(yè)為了與時俱進，滿足市場供求，充分利用網絡上的信息資源是必然，來滿足不斷出現的對環(huán)境的要求。企業(yè)網最終必須是一個集計算機網絡技術、多項信息管理、辦公自動化和信息發(fā)布等功能于一體的綜合信息平臺，并能夠有效促進現有的管理體制和管理方法，來提高企業(yè)的辦公質量和效率。2.2構建企業(yè)內網總體介紹本著辦公自動化和資源共享的原則將企業(yè)的500臺

12、計算機組織成為一個小型的辦公局域網。本方案主要采用星形與樹型相結合的混合型拓撲結構對網絡進行構建，劃分四個子網，采用交換機將四組計算機連接起來組成內部局域網。并使用撥號上網的方式進行網絡連接。2.3用戶需求近年來企業(yè)設備共享和信息資源的管理越來越重要，因此公司需要一個實時、安全、高速、穩(wěn)定的信息交換平臺，來保證公司那頻繁且龐大的信息傳輸量，從而提高工作效率，達到設備共享，縮小巨大的設備開資，好充分利用有限的資金來提高企業(yè)的發(fā)展，適應高速發(fā)展的信息化社會。同時借助Internet來打破地域的限制，涉取多樣的市場需求信息及選進的科學技術。2.4功能需求企業(yè)網絡涉及四個子系統(tǒng)：生產用電腦，管理用電腦

13、，財務用電腦，勞資系統(tǒng)電腦系統(tǒng)同時要滿足OA及業(yè)務系統(tǒng)數據流為主的應用，網絡的體系結構要能支持以OA/業(yè)務數據流的應用，系統(tǒng)能夠實現資源共享和信息流的無阻塞通暢流轉，包括文件傳輸、WEB訪問、郵件傳輸、信息查詢、以及內部Intranet/Extranet應用等。同時為將來的VoIP、VOD、視頻會議等應用需求做好可升級的準備。因此，所采用的設備必須支持TCP/IP以及SPX/IPX、FTP協(xié)議，支持各路路由協(xié)議，同時支持IP Multicast,Qos,RSVP等局域網和廣域網多媒體應用技術。提供足夠的帶寬，從而實現OA、業(yè)務數據流與多媒體應用的實現。所以，網絡設備選擇要能夠滿足企業(yè)級的應用，

14、同時主干交換機不但能夠滿足目前的應用，還要能夠對將來系統(tǒng)擴充保持一定的擴容能力，以及適當的靈活性，以便網絡擴充和增加新的功能。第三章、網絡接入選擇企業(yè)組建網絡的目標是以信息技術為手段，把分布在不同地點的現有資源迅速地組合成為一個沒有（或幾乎沒有）時間和空間約束、靠電子手段聯(lián)系的統(tǒng)一指揮的經營實體，從而達到企業(yè)生存和發(fā)展的高效性、穩(wěn)定性和長期性。在企業(yè)中，由于布線在企業(yè)中，由于布線系統(tǒng)費用與實現上的限制，對于零散的遠程用戶接入，利用PSTM市話網絡進行遠程撥號訪問幾乎是唯一的經濟、簡便的選擇。遠程撥號訪問需要規(guī)劃遠程訪問服務器和Modem設備，并申請一組中繼線（企業(yè)內部有PABX電話交換機則最好

15、）。由于整個網絡中惟一的窄寬設備，這一部分在未來的網絡中可能會逐步減少使用。遠程訪問服務器（RAS）和Modem組的端口數目一一對應，一般按一個端口支持20個用戶計算來配置。遠程訪問技術首先解決的問題就是地域的局限。用戶不再需要處于企業(yè)局域網絡平臺覆蓋范圍之內，通過局域網接入方式來訪問企業(yè)網絡應用服務。此外，遠程訪問技術解決的另一個問題是靈活性，不論用戶身在何處在家中，亦或在另一個城市出差，均能夠利用遠程訪問技術接入到企業(yè)內部網絡平臺。由于上述原因，遠程訪問技術長期以來一直使用一種最為普通、隨處可得的傳輸媒介PSTN(公用電話網)。利用Modem模擬撥號技術來實現遠程連接。利用PSTN進行遠程

16、接入，用戶只要利用一條電話線和普通的Modem(調制解調器)，對于用戶來說，一次性投入很小。當然如果用戶想同時獲得數據服務和模擬的電話傳真服務，就不得不再申請一個號碼，因為在這種通訊方式下，數據和模擬通訊均要求獨占一個信道。而企業(yè)需在局域網邊緣設置遠程訪問接入設備并配備一定數量的語音中繼線路供遠程訪問用戶撥入。 圖3-1第四章、企業(yè)的四個子網我按公司各單位的部門劃分，公司電腦可分為以下四種四個子網：一是生產用電腦，二是管理用電腦，三是財務用電腦，四是勞資系統(tǒng)電腦。經過分析，我們將企業(yè)局域網按應用類型分為對應的四個子網：生產子網（LAN1）;管理子網(LAN2);勞資子網(LAN3);財務子網(

17、LAN4)。這四者連接起來構成了企業(yè)的主干網。如下圖: 圖4-1企業(yè)主干網3IP規(guī)劃首先，要考慮選用哪一段專用IP地址。小型企業(yè)可以選擇“”地址段，大中型企業(yè)則可以選擇“”地址段。如果我們根據網絡中計算機的數量來決定需采用的IP地址，這個方案肯定是行不通的。因為這樣做會受到將來網絡狀況變化的限制，假如不久后企業(yè)決定又要購進一批計算機，整個網絡就可能因為選取的IP地址不合適而導致重新設計。其實網絡的劃分并不是很復雜，只要考慮到在可預見的將來的網絡情況就可以了，同時要注重它的通用性及其穩(wěn)定性。在這里，因為N公司需要劃分4個子網 ：子網1網絡地址：172.1

18、6.1. 1/24 1-254可用 255廣播地址子網2網絡地址：172.16.2. 1/24 1-254可用 255廣播地址子網3網絡地址：172.16.3. 1/24 1-254可用 255廣播地址子網4網絡地址：172.16.4. 1/24 1-254可用 255廣播地址劃分了4個子網，每個子網254臺主機，為以后添加主機作好準備。遠程數據庫上客戶端或本地數據庫客戶端通過Internet或局域網與中轉服務器建立連接（中轉服務器IP地址/互聯(lián)網域名為固定的），中轉服務器保存各客戶端的動態(tài)IP地址；遠程數據庫要求與本地數據庫交換數據，中轉服務器在兩者之間建立一條暫時的通道；通過遠程數據庫與本

19、地數據庫通道完成數據交換。第五章、企業(yè)拓撲結構圖圖5-1企業(yè)網絡拓撲結構圖第六章、網絡服務器的配置與安裝安裝需求根據公司需求選擇性的配置一些服務器(WWW服務器、FTP服務器、DNS、DHCP、E-MAIL等)。6.1 WEB服務器的配置萬維網（World Wide Web）是Internet上集文本、聲音、動畫、視頻等多種媒體信息于一身的信息服務系統(tǒng)，整個系統(tǒng)由Web服務器、瀏覽器及通信協(xié)議等3部分組成。www中的信息資源主要由一篇篇的網頁為基本元素構成，所有網頁采用超文本標記語言來編寫，HTML對Web頁的內容、格式及Web頁中的超鏈進行描述。Web頁間采用超級文本（HyperText）的

20、格式互相鏈接。在Windows 2000中推出了Internet Information Server 5.0（簡稱IIS5.0）提供了方便的安裝和管理，增強的應用環(huán)境，基于標準的發(fā)布協(xié)議，在性能和擴展性方面有了很大的改進，為客戶提供更佳的穩(wěn)定性和可靠性。IIS是基于TCP/IP的Web應用系統(tǒng)，使用IIS可使運行Windows 2000的計算機成為大容量、功能強大的Web服務器。IIS不但可以通過使用HTTP協(xié)議傳輸信息，還可以提供FTP和Gopher服務，這樣，IIS可以輕松地將信息發(fā)送給整個Internet上的用戶。IIS5.0的具體安裝步驟如下：一、控制面板-添加或刪除程序，點擊“添加

21、/刪除Windows組件”按鈕。二、選擇“Internet信息服務（IIS）”，單擊“下一步”開始安裝，單擊“完成”結束。選擇“開始”/“程序”/“管理工具”/“Internet服務管理器”，打開“Internet信息服務” 管理窗口，窗口顯示計算機上已經安裝好的Internet服務，而且都已經自動啟動運行，其中Web站點有兩個，分別是默認Web站點及管理Web站點。1使用IIS的默認站點一、將制作好的主頁文件（html文件）復制到Inetpubwwwroot目錄。二、將主頁文件的名稱改為Default.htm。現在進行的都是IIS默認動作。完成這兩個步驟后，打開本機或客戶機瀏覽器，來瀏覽站點

22、，測試Web服務器是否安裝成功，WWW服務是否運行正常。站點開始運行后，如果要維護系統(tǒng)或更新網站數據，可以暫?；蛲Ｖ拐军c的運行，完成上述工作后，再重新啟動站點。2添加新的Web站點步驟一、打開“Internet信息服務窗口”，右鍵單擊要創(chuàng)建新站點的計算機，在彈出菜單中選擇“新建”/“Web站點”，出現“Web站點創(chuàng)建向導”，單擊“下一步”繼續(xù)。步驟二、然后輸入說明文字，單擊“下一步”，輸入新建Web站點的IP地址和TCP端口地址。如果通過主機頭文件將其它站點添加到單一IP地址，必須指定主機頭文件名稱。Web站點建立好之后，可以通過“Microsoft 管理控制臺”進一步來管理及設置Web站點，

23、站點管理工作既可以在本地進行，也可以遠程管理。3測試過程首先在客戶機的IE瀏覽器中輸入Web服務器的IP地址,如果配置結果正確的話,客戶機將會顯示Web服務器上所建立的網頁,如果不能夠訪問,則可以用以下命令進行測試:Ping及Tracert。用法如下:ping -t -a -n count -l size -f -i TTL -v TOS-r count -s count -j host-list | -k host-list-w timeout destination-listtracert -d -h maximum_hops -j host-list -w timeout target_

24、nameOptions:-d Do not resolve addresses to hostnames.-h maximum_hops Maximum number of hops to search for target.-j host-list Loose source route along host-list.-w timeout Wait timeout milliseconds for each reply.Ping命令用于測試網絡的連通性,Tracert命令用于測試路由的走向。在客戶機上Ping Web服務器,如果通的話則可以正常訪問。如果不通可按以下步驟進行測試:1.在客戶機

25、上Ping其它四臺計算機,測試是否連通。在實驗過程中發(fā)現一個問題:Ping DNS服務器,測試其連通性。如果正常,則可暫時確定問題出在DNS服務器與Web服務器之間。2.如果計算機之間通信正常但還不能正確訪問Web服務器則可用Tracert Web服務器IP 命令查看其路由走向。從而確定問題的所在。6.2.1DNS服務器安裝與配置一、配置IP地址打開“本地連接”屬性對話框，雙擊“Internet 協(xié)議 (TCP/IP)”，填上IP地址、子網掩碼、默認網關和DNS服務器地址。2、 DNS服務程序的安裝1、打開“網絡和撥號連接”，或者打開控制面板（“開始”“設置”“控制面板”“添加/刪除程序”“添

26、加/刪除Windows 組件”“網絡服務”）。 2、單擊“添加網絡組件”，選中“網絡服務”，打開“詳細信息”。網絡服務詳細信息3、選中“域名系統(tǒng)DNS”，單擊“確定”，單擊“下一步”。4、插入“Windows 2000 Server”光盤，安裝DNS系統(tǒng)文件。5、安裝完后，在“管理工具”下增加了“DNS”菜單項。三、DNS服務程序的配置在域中，有這樣幾臺計算機需要加到DNS服務器中。的郵件服務器名為，IP地址為1的WWW服務器名為，IP地址為192.168

27、.0.31W的FTP服務器名為FTP.，IP地址也為1，即和 WWW服務器同一臺。中的主DNS服務器名為，IP地址為1因為要建自己的域名服務，將自己的機器作為域名服務器，所以要修改自己機器的名稱為NS，域名修改為“”，現在這臺服務器名稱為。配置步驟：1、創(chuàng)建區(qū)域。（1）打開“開始”“程序”“管理工具”“DNS”（2）添加“正向搜索區(qū)域”。右鍵單擊“正向搜索區(qū)域”，單擊“新建區(qū)域”-“新建區(qū)域向導”。(3

28、) 單擊“下一步”，輸入區(qū)域名稱“”。(4) 單擊“下一步”，創(chuàng)建新文件，文件名采用默認名，為“.dns”。(5) 單擊“下一步”，完成“新建區(qū)域向導”。2、創(chuàng)建反向搜索區(qū)域反向搜索區(qū)域不一定非要創(chuàng)建，但是加上它，可以使用NSLOOKUP工具來診斷你的DNS服務器故障。（1） 右鍵單擊“反向搜索區(qū)域”，單擊“新建區(qū)域”，按“新建區(qū)域向導”單擊“下一步”-“下一步”。（2） 填入IP地址網絡號192.168.0。（3） 單擊“下一步”，創(chuàng)建區(qū)域文件“0.168.192..dns”（4）單擊“下一步”，單擊“完成”，完成“反向搜索區(qū)域”的安裝

29、。這樣你就擁有了兩個區(qū)域，正向搜索區(qū)域和反向搜索區(qū)域，如所示。3、 域的屬性設置右鍵單擊“”，單擊“屬性”，就彈出帶有五個頁簽的屬性窗口。第一個頁簽是“常規(guī)”，區(qū)域文件名“.dns”在“C:WINNTSYSTEM32”下，可以先備份下來，以便發(fā)生災難時的修復。默認情況下，“允許動態(tài)更新（w）”為“否”，如果你想讓這臺DNS服務器為Windows 2000的域提供服務的話，會引起問題的，因此將“否”改為“是”。同樣，右鍵單擊“192.168.0.x Subnet”，單擊“屬性”，修改“允許動態(tài)更新”為“是”。4、創(chuàng)建記錄（1）創(chuàng)建主機記錄即A記錄（2）置反

30、向查詢記錄6.3 FTP服務器安裝與配置一、FTP服務器的配置及使用打開“Internet信息服務”窗口，右鍵單擊“默認FTP站點”，選擇“屬性”選項。出現2對話框。有五個選項卡。1、FTP站點TCP端口號默認是21，設置其他端口號，如24。在連接欄，根據系統(tǒng)的容量和帶寬，限制連接的數量。一個下載窗口就是一個連接。啟用日志記錄與WWW屬性類似。單擊當前會話按鈕，這里列出了連接到FTP服務器的所有用戶、它們的IP地址和已經連接的次數。2、安全帳號在FTP服務器上，通常有兩種用戶連接：匿名登錄和用戶登錄。匿名登錄在Internet下非常普遍，使用的用戶名是“anonymous”。如果你的FTP公開

31、，通過允許匿名登錄。否則用戶登錄方式，需要用合法的用戶名和密碼才能登錄進去。FTP站點安全帳號消息FTP的客戶界面比較單一，但是我們可以設置個性化的界面。當用戶登錄進來后，我們發(fā)送歡迎消息，當用戶退出后，給出退出信息。如果你的服務器已達到限制的最大連接數目，就會發(fā)送一條最大連接數的消息給用戶，并立刻斷開連接。3、主目錄FTP站點的內容位置可以來自于本機或共享目錄。此處與WWW屬性頁中的設置類似。但權限只有三項：讀取、寫入和日志訪問。4、目錄安全性這個頁面中，可以限制訪問站點的IP地址。比如，拒絕訪問的IP地址是一個C類地址。5、虛擬目錄建立FTP虛擬目錄，方法同WWW虛

32、擬目錄創(chuàng)建的方法。6.4 安裝配置郵件服務器郵件服務器的安裝其實就是PO3、SMTP服務相關組件的安裝，本文主要為大家介紹如何利用“配置您的服務器向導”進行安裝郵件服務器。(1)執(zhí)行【開始】【管理工具】【配置您的服務器向導】菜單操作，打開如下圖所示對話框。(2)單擊“下一步”按鈕，打開如下圖所示對話框。這是一個預備步驟，在其中提示了在進行以下步驟前需要做好的準備工作。(3)單擊“下一步”按鈕，打開如圖所示對話框。在其中選擇“郵件服務器(POP3，SMTP)選項。(4)單擊“下一步”按鈕，打開如圖所示對話框。在其中要求選擇郵件服務器中所使用的用戶身份驗證方法，一般如果是在域網絡中，選擇“Acti

33、ve Directory集成的”這種方式，這樣郵件服務器就會以用戶的域帳戶進行身份認證。然后在“電子郵件域名”中指定一個郵件服務器名，本示例為grfwgz.mail。(5)單擊“下一步”按鈕，打開如圖47所示對話框。這是一個選擇總結對話框，在列表中總結了以上配置選擇。(6)單擊“下一步”按鈕后系統(tǒng)開始安裝郵件服務器所需的組件，進程如圖所示。不過在此過程中，系統(tǒng)會提示用戶指定Windows Server 2003系統(tǒng)源程序所在位置，以便復制所需文件。(7)完成文件復制后系統(tǒng)會自動打開如圖49所示向導完成對話框。直接單擊“完成”按鈕完成郵件服務器的整個安裝過程。完成后執(zhí)行【開始】【管理工具】【管理

34、您的服務器】菜單操作，在打開的如圖50所示“管理您的服務器”窗口即可見到剛才安裝的郵件服務器了。單擊“管理此郵件服務器”即可打開郵件服務器窗口。6.5 DHCP服務器安裝與配置 安裝DHCP服務配置IP地址選擇一臺已經安裝好Windows 2003的服務器，確認其已安裝了TCP/IP協(xié)議，首先設置服務器自己TCP/IP協(xié)議的配置，這里需要注意的是DHCP服務器本身的IP地址必須是固定的，也就是其IP地址、子網掩碼、默認網關等數據必須是靜態(tài)分配的。DHCP服務程序的安裝打開控制面板（“開始”“設置”“控制面板”“添加/刪除程序”“添加/刪除Windows 組件”“網絡服務”）。 選中“網絡服務”

35、，單擊“詳細信息”按鈕。打開“網絡服務”對話框。選中“動態(tài)主機配置協(xié)議（DHCP）”復選框，單擊“確定”，返回“Windows組件向導”對話框，單擊“下一步”。注意：安裝DHCP系統(tǒng)文件時，需要插入“Windows server 2003”光盤，。安裝完后，在“管理工具”下增加了“DHCP”菜單項。 配置DHCP服務器打開DHCP管理器。選“開始程序管理工具DHCP”，默認的，DHCP窗口已經有服務器的FQDN（ Fully Qualified Domain Name，完全合格域名），比如“”。如果列表中還沒有任何服務器，則需添加DHCP服務器。選“DHCP右鍵添加

36、服務器”，選“此服務器”，再按“瀏覽”選擇（或直接輸入）服務器名（即你的服務器的名字）。打開作用域的設置窗口。先選中FQDN名字（即），再按“右鍵新建作用域”。設置作用域名。此地的“名稱”,“說明”項只是作提示用，可填任意內容。單擊“下一步”。設置可分配的IP地址范圍：這里我們分配為“0”，則在“起始IP地址”項填寫“”，“結束IP地址”項填寫“0；“子網掩碼”項為“”,此項內容自動生成。單擊“下一步”。如果有必要，可在該對話框的選項中輸入欲保留的IP地

37、址或IP地址范圍，這里我們可以在“起始IP地址”項填寫“”,然后單擊添加，這時“”即為保留地址；否則直接單擊“下一步”。這里“租約期限”可設定DHCP服務器所分配的IP地址的有效期，比如設置一年（即365天），默認為8天。單擊“下一步”。如果選“是，我想配置這些選項”接下來的工作就是給工作站配置默認的網關、默認的DNS服務地址、默認的WINS服務器。也可以不作任何設置，直接單擊下一步，以后再配置。最后再根據提示選“是，我想激活作用域”單擊“完成”即可結束最后設置。DNS客戶端的設置在安裝Windows 2000 professional 和Windo

38、ws server 2003的客戶機上，運行“控制面板”中的“網絡和撥號連接”，在打開的窗口中右擊“本地連接”，選擇“屬性”，在“本地連接屬性”對話框中選擇“Internet協(xié)議（TCP/IP）”/“屬性”，出現“Internet協(xié)議（TCP/IP）”/“屬性”對話框，在該對話框內選擇“自動獲得IP地址”選項。DHCP作用域的修改、停用、激活、刪除右擊“作用域”，在快捷菜單中，分別選擇“屬性”，“停用”，“激活” ，“刪除”子項，實現其功能。在選擇“屬性”子項后，可對 “作用域名”、“起始IP地址”、“結束IP地址” “DHCP客戶的租用期”，進行修改。 使用ipconfig命令測試配置后的DHCP服務器在局域網的任一客戶機上單擊“開始”“運行”，輸入cmd命令，進入命令提示符下，輸入“ipconfig /all”,如果測試成功，客戶機所獲IP地址必在DHCP服務器所設IP地址的區(qū)間內。另外測試時，如果使用了all參數，還可以看到DHCP服務器的IP地址及其它信息。第七章、防范內部人員1、網絡設備權限管理：在企業(yè)網絡中，路由器、防火墻等網絡設備都與互聯(lián)網和內網相連接。為了企業(yè)網絡的安全，企業(yè)網管通常禁止外部的IP地址訪問路由器及防火墻等網絡設備，并沒有限制內部網絡地址對路由器及防火墻待網絡設備的訪問管理。從表面看，網