哈理工信息系計算機(jī)組網(wǎng)課程設(shè)計(僅供參考)

1、目 錄第1章 中小型企業(yè)網(wǎng)絡(luò)構(gòu)建 . 31.1 中小企業(yè)背景 . 31.2 中小企業(yè)網(wǎng)絡(luò)需求 . 31.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計 . 41.4 組網(wǎng)方案設(shè)計 . 61.4.1基本配置方案 . 61.4.2信息化企業(yè)內(nèi)網(wǎng)建設(shè) . 81.4.3辦公自動化 . 121.5 具體參數(shù)設(shè)置 . 131.6 網(wǎng)絡(luò)設(shè)計小結(jié) . 15第2章 網(wǎng)絡(luò)操作系統(tǒng)設(shè)計 . 152.1 Windows server NT 簡介 . 152.2 Windows server NT 安裝 . 162.3 Windows server 2003 安全原理 . 172.4 Windows server 2003 安全策略實(shí)施 . 1

2、82.5 DHCP的安裝與配置 . 192.6 IIS的安裝與配置 . 232.7 網(wǎng)絡(luò)操作系統(tǒng)小結(jié) . 29第3章 數(shù)據(jù)庫系統(tǒng)安裝與設(shè)置 . 303.1 SQL servers數(shù)據(jù)庫簡介 . 303.2 SQL Server2005數(shù)據(jù)庫的安裝 . 303.3 SQL server 2005 數(shù)據(jù)庫系統(tǒng)的設(shè)置 . 333.4 數(shù)據(jù)庫設(shè)置小結(jié) . 38第4章 設(shè)計心得 . 39第1章 中小型企業(yè)網(wǎng)絡(luò)構(gòu)建1.1 中小企業(yè)背景中小企業(yè)通常是指規(guī)模在500人以下的企業(yè)，如果進(jìn)一步細(xì)分，又可分為100人以下的小型企業(yè)、100250人的中小型企業(yè)，以及250人以上的中型企業(yè)。從廣義的角度，又可以將同等規(guī)

3、模的政府、科研及教育等單位也作為中小企業(yè)來看待。為了加快某企業(yè)的信息化建設(shè)，在充分利用現(xiàn)有資源、不需要很大投資的基礎(chǔ)上，構(gòu)建適合自身情況、滿足實(shí)際需求的網(wǎng)絡(luò)系統(tǒng)是非常必要的，也是切實(shí)可行的。企業(yè)擬將網(wǎng)絡(luò)建設(shè)成能夠支撐辦公自動化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會議、遠(yuǎn)程通信、信息發(fā)布及查詢等內(nèi)部業(yè)務(wù)的，同時還能支撐供應(yīng)鏈管理的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為了確保關(guān)鍵系統(tǒng)的穩(wěn)定、安全運(yùn)行，要求本企業(yè)的網(wǎng)絡(luò)具有如下功能：（1）采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成企業(yè)內(nèi)網(wǎng)的建設(shè)，實(shí)現(xiàn)公司的信息化；（2）在整個企業(yè)內(nèi)實(shí)現(xiàn)所有部門的辦公自動化，提高工作效率和管理服務(wù)水平；（3）在整個企業(yè)內(nèi)實(shí)現(xiàn)資源共享，實(shí)施新聞發(fā)布；（4）在

4、整個企業(yè)內(nèi)實(shí)現(xiàn)財務(wù)電算化；（5）在整個企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶服務(wù)關(guān)系管理系統(tǒng)；1.2 中小企業(yè)網(wǎng)絡(luò)需求根據(jù)中小企業(yè)的規(guī)模、網(wǎng)絡(luò)系統(tǒng)的復(fù)雜程度、網(wǎng)絡(luò)應(yīng)用的程度，用戶對于網(wǎng)絡(luò)的需求也各不相同，從簡單的文件共享、辦公自動化，到復(fù)雜的電子商務(wù)、ERP等等。中小企業(yè)網(wǎng)絡(luò)對性能的要求因應(yīng)用不同而千差萬別，應(yīng)根據(jù)實(shí)際需求進(jìn)行網(wǎng)絡(luò)功能選型。中小企業(yè)網(wǎng)絡(luò)通常規(guī)模較小，結(jié)構(gòu)相對簡單，對性能的要求則因應(yīng)用的不同而差別較大。許多中小企業(yè)網(wǎng)絡(luò)技術(shù)人員較少，而對網(wǎng)絡(luò)的依賴性卻很高，因此需要網(wǎng)絡(luò)盡可能簡單、可靠、易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本顯得尤為重要。網(wǎng)絡(luò)需求：（1）在接入層采用二層交換機(jī)，并且要采

5、取一定方式分隔廣播域；（2）核心交換機(jī)采用高性能的三層交換機(jī)，且采用雙核心互為備份的形勢，接入層交換機(jī)分別通過2條上行鏈路連接到2臺核心交換機(jī)，由三層交換機(jī)實(shí)現(xiàn)VLAN之間的路由；（3）2臺核心交換機(jī)之間也采用雙鏈路連接，并提高核心交換機(jī)之間的鏈路帶寬；（4）接入交換機(jī)的access端口上實(shí)現(xiàn)對允許連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性；（5）為了提高網(wǎng)絡(luò)的可靠性，整個網(wǎng)絡(luò)中存在大量環(huán)路，要避免環(huán)路可能造成的廣播風(fēng)暴；（6）三層交換機(jī)配置路由接口，實(shí)現(xiàn)全網(wǎng)互通；（7）企業(yè)網(wǎng)由靜態(tài)路由連接到Internet。1.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計組建的企業(yè)網(wǎng)絡(luò)將采用分層結(jié)構(gòu)模式。分層格局是當(dāng)今網(wǎng)絡(luò)設(shè)計的基本原則，

6、將通信任務(wù)劃分為若干部分，每部分完成各自特殊的子任務(wù)，并通過明確的途徑與其他部分相互作用。而且分層結(jié)構(gòu)中通信各部分的設(shè)計和測試相對簡單，因?yàn)楦鞑糠植簧婕罢麄€體系結(jié)構(gòu)。網(wǎng)絡(luò)體系結(jié)構(gòu)的優(yōu)劣將直接影響總線、接口和網(wǎng)絡(luò)的性能，而網(wǎng)絡(luò)體系結(jié)構(gòu)的關(guān)鍵要素恰恰就是協(xié)議和拓?fù)?。圖1是組網(wǎng)過程中的分層網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計。圖1 網(wǎng)絡(luò)分層結(jié)構(gòu)根據(jù)圖1可知組網(wǎng)采用分層結(jié)構(gòu)模式，各個網(wǎng)絡(luò)層有其明確的定義和功能。所以企業(yè)網(wǎng)絡(luò)的組建采用的拓?fù)浣Y(jié)構(gòu)為樹形結(jié)構(gòu)，網(wǎng)絡(luò)中除最低層節(jié)點(diǎn)及其連線外，任一節(jié)點(diǎn)或連線的故障均影響其所在支路網(wǎng)絡(luò)的正常工作。所以在某些網(wǎng)絡(luò)中采用冗余網(wǎng)絡(luò)結(jié)構(gòu)，如上圖1所示在核心交換機(jī)1和核心交換機(jī)2之間設(shè)計了冗

7、余網(wǎng)絡(luò)，即使其中一個設(shè)備故障也不會使整個網(wǎng)絡(luò)癱瘓。使用層次化設(shè)計具有以下優(yōu)點(diǎn)：1.使用層次化網(wǎng)絡(luò)審計方法可以設(shè)計一中模塊化的拓?fù)浣Y(jié)構(gòu)，限制路由器的數(shù)量，從而可以減少路由器之間的通信和大量的路由公告。2.使用層次化設(shè)計可以幫助降低網(wǎng)絡(luò)成本。可以為層次化結(jié)構(gòu)中的每層購買適當(dāng)?shù)木W(wǎng)絡(luò)網(wǎng)絡(luò)互聯(lián)設(shè)備，從而避免為每層中不必要的特性花費(fèi)過多的資金，并且層次化設(shè)計模型的模塊化特性允許在層次結(jié)構(gòu)的每一層內(nèi)進(jìn)行精確的容量規(guī)劃，從而減少帶寬浪費(fèi)。網(wǎng)絡(luò)管理職責(zé)和網(wǎng)絡(luò)管理系統(tǒng)可以分布在模塊化網(wǎng)絡(luò)結(jié)構(gòu)的不同層次上，從而控制管理成本。3.模塊化可以使每個設(shè)計元素簡化并卻易于理解，同時降低網(wǎng)絡(luò)設(shè)計費(fèi)用，降低網(wǎng)絡(luò)管理、運(yùn)維人員的

8、培訓(xùn)費(fèi)等。由于針對每一層都清楚定義了功能特性，使網(wǎng)絡(luò)的測試也變得非常容易實(shí)現(xiàn)。網(wǎng)絡(luò)技術(shù)人員能很容易地識別出網(wǎng)絡(luò)中層與層之間的交界點(diǎn)，便于網(wǎng)絡(luò)的故障隔離，方便網(wǎng)絡(luò)管理和維護(hù)。4.層次化設(shè)計使得網(wǎng)絡(luò)的改變也更容易。當(dāng)網(wǎng)絡(luò)中的一個網(wǎng)元需要改變時，升級的成本限制在整個網(wǎng)絡(luò)的一個很小子集中。再一個大型平面或網(wǎng)狀網(wǎng)絡(luò)體系結(jié)構(gòu)中，由于網(wǎng)絡(luò)連接復(fù)雜，更換一臺設(shè)備可能會影響網(wǎng)絡(luò)系統(tǒng)的許多部分。5.層次化網(wǎng)絡(luò)設(shè)計便于實(shí)現(xiàn)的可擴(kuò)展性，模塊化設(shè)計能夠產(chǎn)生在網(wǎng)絡(luò)擴(kuò)展時可復(fù)制的設(shè)計元素。因?yàn)槟晨╱izhongde每個實(shí)例都是一致的，所以很容易規(guī)劃和實(shí)施擴(kuò)展。 6.當(dāng)今網(wǎng)絡(luò)互聯(lián)的快速收斂路由選擇協(xié)議都是針對層次化拓?fù)浣Y(jié)構(gòu)設(shè)

9、計的。開放最短路徑優(yōu)先（OSPF）、邊界網(wǎng)關(guān)協(xié)議（BGP）和增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議（Enhanced IGRP）等都應(yīng)用了模塊化層次結(jié)構(gòu)來控制路由選擇開銷和帶寬消耗。 結(jié)合層次化拓?fù)浣Y(jié)構(gòu)設(shè)計的優(yōu)點(diǎn)，同時也為了滿足客戶的商業(yè)和技術(shù)目標(biāo)，我們采用許多相關(guān)組件組成的網(wǎng)絡(luò)拓?fù)?，使各組件單獨(dú)處理，并按層次進(jìn)行設(shè)計。其中核心層的高端路由器和交換機(jī)用于優(yōu)化可用性和性能、匯聚層的路由和交換機(jī)用于執(zhí)行策略，接入層通過低端交換機(jī)和無線訪問節(jié)點(diǎn)連接用戶。由于中型企業(yè)接入點(diǎn)大約2000左右，所以為了節(jié)省成本，而且企業(yè)網(wǎng)中大部分的用戶數(shù)據(jù)來自對業(yè)務(wù)應(yīng)用系統(tǒng)的訪問，因此整個網(wǎng)絡(luò)采用了兩層結(jié)構(gòu)，省去匯聚層，僅有接入層跟

10、核心層。企業(yè)網(wǎng)絡(luò)的應(yīng)用主要分為兩部分：一部分是基礎(chǔ)網(wǎng)絡(luò)的應(yīng)用，它包括內(nèi)部文件共享、辦公自；1.4組網(wǎng)方案設(shè)計；1.4.1基本配置方案；一、局域網(wǎng)端；局域網(wǎng)需要連接的計算機(jī)節(jié)點(diǎn)一般都在60臺以上，并；局域網(wǎng)端則是對內(nèi)接到企業(yè)用戶的線路，有些路由器本；二、分布式辦公；分布式辦公是指企業(yè)在一個較大的范圍內(nèi)具有多處辦公；大大提高網(wǎng)絡(luò)的可靠性；三、廣域網(wǎng)端；廣域網(wǎng)端就是路由器對外接到網(wǎng)絡(luò)運(yùn)營商的線路；的首要部分是基礎(chǔ)網(wǎng)絡(luò)的應(yīng)用，它包括內(nèi)部文件共享、辦公自動化系統(tǒng)、郵件和網(wǎng)站服務(wù)等；另一部分是企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)。由于業(yè)務(wù)系統(tǒng)對可靠性有很高的要求，因此，整體網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)采用冗余配置，避免單點(diǎn)故障。1.4 組網(wǎng)

11、方案設(shè)計1.4.1基本配置方案一、局域網(wǎng)端局域網(wǎng)需要連接的計算機(jī)節(jié)點(diǎn)一般都在60臺以上，并且各節(jié)點(diǎn)之間的距離也較遠(yuǎn)，一般都會超過100m甚至更遠(yuǎn)，若此時企業(yè)辦公環(huán)境對網(wǎng)絡(luò)的性能要求較高。對網(wǎng)絡(luò)的傳輸速度也有一定的要求，可以使用光纖介質(zhì)來連接整個企業(yè)岡區(qū)的主干網(wǎng)絡(luò)。局域網(wǎng)可以采用兩層結(jié)構(gòu)，即中心交換機(jī)層和供各個節(jié)點(diǎn)連入的桌面交換機(jī)層。中心交換機(jī)可以采用一臺高檔的企業(yè)級交換機(jī)，提供多個千兆網(wǎng)絡(luò)端口。各個節(jié)點(diǎn)的桌面交換機(jī)連接到中心交換機(jī)上。局域網(wǎng)端則是對內(nèi)接到企業(yè)用戶的線路，有些路由器本身有局域網(wǎng)端El，可下接交換機(jī)；有的網(wǎng)管則會將路由器先接到骨干交換機(jī)再向下接到一般的交換機(jī)。以上這兩種作法均可，后

12、者適合較大的吞吐量的應(yīng)用情況，一般的企業(yè)應(yīng)用，路由器的局域端I=1是可以隨著帶寬轉(zhuǎn)發(fā)的。因此在硬件配置，這是較為簡單的。經(jīng)驗(yàn)指出要進(jìn)行一個好的安全網(wǎng)絡(luò)的配置，IP的管理是十分重要的。IP就是計算機(jī)在互聯(lián)網(wǎng)的地址，因此要能有效管理地址，才能預(yù)防攻擊或針對有問題的計算機(jī)加以管制。對于網(wǎng)管而言，在IP管理方面要注意的事項(xiàng)，主要為計算機(jī)采用固定IP地址、DHCP服務(wù)器發(fā)放固定IP、防止未允許的計算機(jī)上網(wǎng)及群組管理等四個重要項(xiàng)目。二、分布式辦公分布式辦公是指企業(yè)在一個較大的范圍內(nèi)具有多處辦公地點(diǎn)，適合采用分布式網(wǎng)絡(luò)連接方式。由于各個辦公點(diǎn)間的連接距離通常大于100m所以需要采用同軸電纜或光纖進(jìn)行布線。分

13、布式網(wǎng)絡(luò)通常具有網(wǎng)絡(luò)中心及樓宇接人節(jié)點(diǎn)兩個層次，如果樓寧規(guī)模較大還可能出現(xiàn)第三個層次樓層間接入設(shè)備。此外。部分企業(yè)對網(wǎng)絡(luò)連接的可靠性和穩(wěn)定性要求很高。此時可以采用生成樹、端1：3聚合等技術(shù)，而中心交換機(jī)還可以用雙電源冗余的方式來提高安全性。當(dāng)主鏈路發(fā)生故障時，便可以自動接通備份鏈路，確保網(wǎng)絡(luò)正常工作。端I=1聚合則可以將多條鏈路聚合為一組干路還可以提高網(wǎng)絡(luò)帶寬，更重要的是，端口聚合可以實(shí)現(xiàn)負(fù)載均衡，從而可大大提高網(wǎng)絡(luò)的可靠性。三、廣域網(wǎng)端廣域網(wǎng)端就是路由器對外接到網(wǎng)絡(luò)運(yùn)營商的線路。若是發(fā)生掉線或是擁塞，則企業(yè)的寬帶接入就會中斷。因此廣域網(wǎng)端在安全的首要思維。就是如何確保線路的穩(wěn)定，維持企業(yè)在各

14、種情況下的運(yùn)作。大部份中小企業(yè)，由于上網(wǎng)人數(shù)較少、或是經(jīng)費(fèi)有限，因此大多采用單線ADSL。企業(yè)對帶寬的需要較大，或是對于網(wǎng)絡(luò)要求較高的，例如服務(wù)業(yè)或是外貿(mào)行業(yè)，則可能采用相對費(fèi)用較高的光纖。根據(jù)經(jīng)驗(yàn)，發(fā)現(xiàn)以下情況，較傾向采用多WAN線路的配置：（1）需要大量上下載申請兩條線路：一般情況下兩條線路都開放作為用戶上網(wǎng)用；保留特定的線路給大量上下載的工作，以確保重要的數(shù)據(jù)能準(zhǔn)時傳送。（2）有跨網(wǎng)問題企業(yè)的各個分部與總部建立VPN聯(lián)機(jī)。可采用多WAN路由器解決，即總部同時接人A運(yùn)營商及B運(yùn)營商的線路，A運(yùn)營商線路的外點(diǎn)從A運(yùn)營商的入口建立VPNB運(yùn)營商的外點(diǎn)則從B運(yùn)營商線路建VPN，這樣即可解決跨網(wǎng)帶

15、寬小或不穩(wěn)定的情況。（3）需要備援多WAN線路的另一個優(yōu)點(diǎn)是提供備援功能。在A運(yùn)營商線路或機(jī)房發(fā)生問題時，可以B運(yùn)營商線路替代。（4）帶寬不足根據(jù)統(tǒng)計顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對帶寬顯得較小，在這種情況下利用多WAN路由器匯聚多條ADSL線路，不失為即可行又省錢的方法。四、內(nèi)部建置公開服務(wù)器以前或許只有較大的企業(yè)才會設(shè)置公開的服務(wù)器，讓外部的用戶存取。但是信息化的普及讓中小企業(yè)也可能架設(shè)不同的公開服務(wù)器給外部的用戶。例如圖文件交換、技術(shù)更新信息、報告繳交等都可通過架設(shè)公開服務(wù)器的方式達(dá)成。企業(yè)要提供公開的服務(wù)，必須要有一個固定的地址讓互聯(lián)網(wǎng)用

16、戶建立在服務(wù)器地址欄。一般的方式是使用IP地址或是域名來作為辨別但是這兩種方法對于中小企業(yè)都較為昂貴，每個月的費(fèi)用較高。此時也可選擇DDNS(動態(tài)域名服務(wù))，可允許企業(yè)用動態(tài)IP即使使用ADSL取得動態(tài)IP也可讓用戶以記憶域名的方式來存取服務(wù)器。1.4.2信息化企業(yè)內(nèi)網(wǎng)建設(shè)一、地址規(guī)劃在編址的過程中以層次化方式分配地址塊，以培養(yǎng)良好的擴(kuò)展性和可用性。由于公司部門較多網(wǎng)絡(luò)數(shù)據(jù)通信絕多數(shù)是再部門內(nèi)進(jìn)行，而且為了管理方便和提高部門內(nèi)部的信息訪問速度，我們用子網(wǎng)掩碼把各個單位單獨(dú)劃分成一個子網(wǎng)，并分配網(wǎng)絡(luò)號，通過IP地址與子網(wǎng)掩碼的運(yùn)算而得出該IP地址是再局域網(wǎng)上，還是再遠(yuǎn)程網(wǎng)上。如果是在局域網(wǎng)上信息

17、就直接送往集線器或交換機(jī)，如果在遠(yuǎn)程網(wǎng)上信息就被送到路由器，路由器轉(zhuǎn)發(fā)到遠(yuǎn)程網(wǎng)。這樣提高了子網(wǎng)內(nèi)部的數(shù)據(jù)傳輸和尋址的效率，而子網(wǎng)之間通信可以通過路由器或3層交換機(jī)進(jìn)行。因此我們采用子網(wǎng)掩碼的方式對網(wǎng)段進(jìn)行劃分。在子網(wǎng)劃分過程中我們采用層次化方式分配地址塊，同時考慮到各部門的PC機(jī)使用數(shù)量，我們?yōu)槊總€部門劃分不同的IP網(wǎng)段，但盡量讓規(guī)劃簡單，以便有盡可能多的人能夠理解它，即容易實(shí)現(xiàn)又方便維護(hù)，也再地址規(guī)劃中不給路由器資源增加很大負(fù)擔(dān)。二、命名模式在網(wǎng)絡(luò)管理和使用方面具有簡短而有意義的名字也是非常重要的，名字在滿足客戶應(yīng)用性目標(biāo)方面起到了非常關(guān)鍵的作用，同樣簡單而有意義的名字也可以簡化網(wǎng)絡(luò)管理。一

18、個好的命名模型還可以增強(qiáng)網(wǎng)絡(luò)的性能和可用性。一個好的命名模式應(yīng)該允許用戶通過名字而不是通過地址透明的訪問服務(wù)。因?yàn)榫W(wǎng)絡(luò)協(xié)議需要通過地址才能工作，因此用戶系統(tǒng)應(yīng)提供名字和地址的映射功能。將名字映射到地址的方法可以是使用某種命名協(xié)議的動態(tài)方法，可以是靜態(tài)方法。雖然動態(tài)命名協(xié)議會引起額外的網(wǎng)絡(luò)流，但通常還是建議優(yōu)先采用動態(tài)命名方法。對系統(tǒng)進(jìn)行分布式授權(quán)最明顯的有點(diǎn)是，沒有任何一個部門需要分擔(dān)分配并維護(hù)所有名字的工作壓力。當(dāng)然還包括性能和可擴(kuò)展性。如果每個名字服務(wù)器都只管理一部分名字空間而不是整個名字空間，那么對服務(wù)器內(nèi)存和處理能力的要求就會減少。另外，如果客戶機(jī)能夠訪問本地名字服務(wù)器而不依賴于中心服

19、務(wù)器，那么可以再本地將許多名字解析為地址，這樣就不會再互聯(lián)網(wǎng)絡(luò)中引起任何流量。本地服務(wù)器可以高速緩存遠(yuǎn)端設(shè)備的信息。為了方便地使用名字，命名的原則是名字應(yīng)該簡短、有意義、無歧義并且清晰的，并且用戶應(yīng)該能很容易的根據(jù)名字識別出對應(yīng)的設(shè)備。在命名中盡量避免特殊字符，包括連字符、下劃線、星號等，也要盡量不區(qū)分大小寫和空格以免引起用戶的困惑，名字也盡量為8個字符或者小于8個字符。如果網(wǎng)絡(luò)中的一個設(shè)備有多個接口和多個地址，應(yīng)該將所有的地址都映射到同一個相同的名字上去，這樣網(wǎng)絡(luò)管理軟件也就不會把該多端口設(shè)備當(dāng)成是多臺設(shè)備。三、網(wǎng)絡(luò)技術(shù)與協(xié)議的運(yùn)用（1）NAT技術(shù)的應(yīng)用企業(yè)網(wǎng)絡(luò)的組建中，在邊界路由器上運(yùn)用N

20、AT技術(shù)，如圖2由于中小企PC40-100臺，而為了節(jié)省成本公司只申請了一個合法的公共IP，所以在此次組網(wǎng)中采用復(fù)用NAT技術(shù)。在邊界路由器上配置內(nèi)外接口，進(jìn)行地址轉(zhuǎn)換。圖2 企業(yè)網(wǎng)絡(luò)中復(fù)用NAT（2）ADSL接入配置PPPoE方式的ADSL連接方法是從ADSL MODEM直接連接以太雙絞線電纜到路由器的以太接口上，而PPPoA方式的ADSL連接方法是把ISP，直接連到路由器的ATM模塊上，不管是路由器的以太接口或是ATM模塊，都不是能夠進(jìn)行撥號的接口（能撥號的有BRI接口、直接連接電話線的接口等），以太接口和ATM接口不能完成ADSL撥號工作，Cisco路由器使用虛擬接口的方式解決這一問題。

21、首先需要在路由器上虛擬一個Dialer接口，對于路由器來說，它視虛擬接口如同實(shí)際接口一樣，在虛擬的Dialer接口上可以配置ADSL的撥號，然后將實(shí)際連接ADSL線路的物理接口和這個虛擬接口綁定，這樣就可以使用Cisco路由器完成ADSL撥號了。圖3 ADSL配置如圖3將在邊界路由器上實(shí)現(xiàn)ADSL技術(shù)，用以實(shí)現(xiàn)遠(yuǎn)程訪問，自動獲取IP地址，并實(shí)現(xiàn)Telnet遠(yuǎn)程管理。（3） RIP路由協(xié)議RIP路由協(xié)議屬于距離矢量路由協(xié)議，具有原理簡單、應(yīng)用方便的特性。所以，雖然它不適合大規(guī)模路由網(wǎng)絡(luò)應(yīng)用，但是在小規(guī)模網(wǎng)絡(luò)中，應(yīng)用還是比較普遍。（4） OSPF路由協(xié)議首先，組建的網(wǎng)絡(luò)屬于中型企業(yè)網(wǎng)絡(luò)，OSPF路

22、由協(xié)議是一個開放式的路由協(xié)議，該路由協(xié)議可以被大多數(shù)的網(wǎng)絡(luò)設(shè)備廠商支持。其次，OSPF路由協(xié)議的配置和維護(hù)也比較簡單，實(shí)施方便，維護(hù)人員也能夠比較容易掌握其原理。另外OSPF路由協(xié)議分區(qū)域的網(wǎng)絡(luò)設(shè)計，能夠最大限度的限制網(wǎng)絡(luò)故障對整個路由網(wǎng)絡(luò)的沖擊，其能夠控制網(wǎng)絡(luò)故障所影響的范圍，盡量保證網(wǎng)絡(luò)的正常運(yùn)行，所以在網(wǎng)絡(luò)中使用OSPF路由協(xié)議，并對路由網(wǎng)絡(luò)劃分區(qū)域，是比較符合本小組這個網(wǎng)絡(luò)組建的要求的。圖4企業(yè)網(wǎng)絡(luò)組建中OSPF的應(yīng)用；如圖4所示，本小組將在這個網(wǎng)絡(luò)中的邊界路由器、外；在外部路由器中，將OSPF進(jìn)程號定義為11，將網(wǎng)；劃分為區(qū)域0；三層交換機(jī)中，由于總的交換機(jī)并不是很多，沒有超過；（5

23、）訪問控制列表；網(wǎng)絡(luò)的組建中，也將大量運(yùn)用訪問控制列表，由于實(shí)際；（6）VLAN技術(shù)；VLAN能夠提供全部傳統(tǒng)的LAN所能夠提供的特性；可以容易地添加、移動網(wǎng)圖4 企業(yè)網(wǎng)絡(luò)組建中OSPF的應(yīng)用如圖4所示，本小組將在這個網(wǎng)絡(luò)中的邊界路由器、外部路由器、核心交換機(jī)和三層交換機(jī)中實(shí)現(xiàn)對OSPF協(xié)議的應(yīng)用。小組在邊界路由器中，小組將OSPF進(jìn)程號定義為10，將網(wǎng)段54劃分到區(qū)域0，網(wǎng)段54劃分區(qū)域1，網(wǎng)段54劃分為區(qū)域2。在外部路由器中，將OSPF進(jìn)程號定義為11，將網(wǎng)段54劃分區(qū)域1。在核心交換機(jī)1中，OSPF進(jìn)程

24、號定義為12，將該交換機(jī)中的所有網(wǎng)段劃分為區(qū)域0。在核心交換機(jī)2中，OSPF進(jìn)程號定義為13，將該交換機(jī)中的所有網(wǎng)段劃分為區(qū)域0。三層交換機(jī)中，由于總的交換機(jī)并不是很多，沒有超過20臺，所以將這部分OSPF協(xié)議的區(qū)域劃分都劃分為區(qū)域0，給予不同交換機(jī)OSPF不同的進(jìn)程號。（5）訪問控制列表網(wǎng)絡(luò)的組建中，也將大量運(yùn)用訪問控制列表，由于實(shí)際的辦公要求，某些部門之間是不能互訪的，例如：投資部、財務(wù)部、人事部、信息部等，所以要在核心交換機(jī)1和核心交換機(jī)2中利用訪問控制列表限制要求的各個網(wǎng)段之間的互訪，即過濾掉某些網(wǎng)段的數(shù)據(jù)包。（6） VLAN技術(shù)VLAN能夠提供全部傳統(tǒng)的LAN所能夠提供的特性，如可擴(kuò)

25、展性、安全性（VLAN之間不通過路由器不能互訪）、網(wǎng)絡(luò)的管理等。VLAN之間通過路由器可以互訪，二層交換機(jī)不能讓VLAN互訪。VLAN依靠路由提供廣播過濾、安全性和數(shù)據(jù)流量的管理。網(wǎng)絡(luò)的管理者可以在對網(wǎng)絡(luò)的物理結(jié)構(gòu)不做或者少做調(diào)整的前提下對用戶進(jìn)行組織和優(yōu)化。VLAN具有以下優(yōu)點(diǎn)：可以容易地添加、移動網(wǎng)絡(luò)中的主機(jī)，可以容易地改變LAN的配置，還可以簡單地控制網(wǎng)絡(luò)中的數(shù)據(jù)流量和增進(jìn)安全性。（7）干道技術(shù) 在組建網(wǎng)絡(luò)時，用到了兩個三層交換機(jī)做核心交換機(jī)，在這兩個核心交換機(jī)中一共劃分了7個VLAN，要實(shí)現(xiàn)多個VLAN可以傳遞數(shù)據(jù)流量，所以本小組將引入干道技術(shù)實(shí)現(xiàn)交換機(jī)之間的連接。（8）路由熱備份技術(shù)

26、目前，在網(wǎng)絡(luò)中大量應(yīng)用熱備份技術(shù)，以提供網(wǎng)絡(luò)的冗余能力。一般常見的熱備份技術(shù)主要有：設(shè)備模塊的熱備份、路由的熱備份（包括路由器的熱備份、多層交換機(jī)的熱備份、防火墻的熱備份等）、服務(wù)器的熱備份等。在企業(yè)網(wǎng)絡(luò)組建時主要是在三層交換機(jī)1和2中應(yīng)用路由熱備份技術(shù)。（9） VPN技術(shù) 企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的Internet各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn)，將會成為今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。采用遠(yuǎn)程訪問的公司提前支付了購買和支持整個遠(yuǎn)程訪問基礎(chǔ)結(jié)構(gòu)的全部費(fèi)用。公司能利用無處不在的Internet，通過單一網(wǎng)絡(luò)結(jié)構(gòu)，為

27、職員和商業(yè)伙伴和提供無縫和安全連接。對于企業(yè)基于撥號VPN的Extranet能加強(qiáng)與用戶、商業(yè)伙伴和供應(yīng)商的聯(lián)系。電話公司通過開展撥號VPN服務(wù)可以減輕終端阻塞。1.4.3辦公自動化目前國內(nèi)常用的信息化辦公自動化軟件有ERP，金蝶等，以財務(wù)為核心作業(yè)展開的無紙化辦公比較盛行。中小型企業(yè)也可根據(jù)自身實(shí)際情況自行開發(fā)自己的自動化辦公系統(tǒng)。一、公文流轉(zhuǎn)支持WEB方式自定義表單;支持在瀏覽器上修改Word, Excel文檔,實(shí)現(xiàn)痕跡保留,數(shù)字簽名,電子印章等權(quán)限管理系統(tǒng)中的所有文檔都可以很方便地設(shè)定相應(yīng)的權(quán)限實(shí)行管理,只有具有相應(yīng)權(quán)限的人才能夠查看,使用這些資料,其他人則看不到.這樣既方便各種文件在系

28、統(tǒng)內(nèi)的統(tǒng)一管理又保證安全,可以有效的避免信息泄漏的風(fēng)險,有效保護(hù)核心資料,保護(hù)企業(yè)利益;也有利于員工責(zé)任明確,權(quán)限分明,具體事務(wù)落實(shí)到人,查有所依,杜絕推脫,扯皮現(xiàn)象。二、知識管理全面引入知識管理思想,不僅可以分類整理單位的公共資料顯性信息,更可通過工作日志,知識中心等模塊挖掘員工掌握的各類技術(shù)技巧,隱性知識,更快更深入的積累知識,利于長遠(yuǎn)發(fā)展。三、安全性嚴(yán)格的身份認(rèn)證與權(quán)限控制,未授權(quán)人員無法做相應(yīng)操作;支持SSL, 對在網(wǎng)絡(luò)上傳輸?shù)男畔⒓用?防止信息被截獲泄密;強(qiáng)大的日志功能,記錄用戶的各種重要操作,記錄系統(tǒng)的異常信息.系統(tǒng)還可集成數(shù)字證書,進(jìn)一步確認(rèn)用戶身份。四、先進(jìn)的開發(fā)技術(shù)主要采用P

29、HP/JSP技術(shù)開發(fā);PHP是業(yè)界領(lǐng)先的開發(fā)技術(shù),國內(nèi)外大量的大中型應(yīng)用系統(tǒng)采用PHP開發(fā),運(yùn)行在關(guān)鍵部門,服務(wù)于關(guān)鍵業(yè)務(wù);系統(tǒng)靈活高效,滿足頻繁訪問需求;多處采用緩存技術(shù),提高系統(tǒng)整體性能.Web服務(wù)器在遇到訪問JSP網(wǎng)頁的請求時,首先執(zhí)行其中的程序片段,然后將執(zhí)行結(jié)果以HTML格式返回給客戶.所有程序操作都在服務(wù)器端執(zhí)行,網(wǎng)絡(luò)上傳送給客戶端的僅是得到的結(jié)果,對客戶瀏覽器的要求最低.。1.5 具體參數(shù)設(shè)置一、IP地址規(guī)劃和命名該中小企業(yè)網(wǎng)的IP地址規(guī)劃和命名如下：表1：核心交換機(jī)1表2核心交換機(jī)2二、網(wǎng)絡(luò)傳輸介質(zhì) 設(shè)計一個計算機(jī)網(wǎng)絡(luò)，無論采用何種技術(shù)，網(wǎng)絡(luò)規(guī)模如何，都必須使網(wǎng)絡(luò)中各個設(shè)備都能

30、夠互相連接。為了實(shí)現(xiàn)設(shè)備間的相互相互連接，就必須選擇一種通信線路，把傳輸媒體結(jié)合成一個整體。常見的傳輸線有同軸電纜、雙絞線、光纖、和無線網(wǎng)絡(luò)。本小組組網(wǎng)中將主要用到的是雙絞線，部分地方用到無線連接。選擇雙絞線是因其已經(jīng)應(yīng)用的非常廣泛，且成本低、速度高、可靠性高等特點(diǎn)，雙絞線分為屏蔽雙絞線和非屏蔽雙絞線。無線網(wǎng)絡(luò)是目前非常流行的一種網(wǎng)絡(luò)傳輸方式，它利用電磁波或光波來傳輸信息，不用鋪設(shè)纜線就可以把網(wǎng)絡(luò)連接起來。三、交換機(jī) 交換機(jī)分為兩個級別，二層交換機(jī)和三層交換機(jī)，二層交換機(jī)用CISCO Catalyst 2960型號，它的傳輸速率為10/100Mbps,DRAM內(nèi)存為64MB，F(xiàn)LASH內(nèi)存為3

31、2MB，端口數(shù)為26個，非模塊化端口結(jié)構(gòu)。三層交換機(jī)使用的型號為CISCO WS-C35560V2-24TS-S，包轉(zhuǎn)發(fā)率為6.5Mpps，傳輸速率為10/100Mbps,端口數(shù)26個，F(xiàn)lash內(nèi)存為32MB，交換方式為存儲-轉(zhuǎn)發(fā)，支持全雙工的傳輸模式，也是非模塊化的端口結(jié)構(gòu)。四、路由器在組建網(wǎng)絡(luò)時，要用到兩個路由器如圖15，其中一個作為邊界路由器，另一個做外部路由器，還要使用一個家庭PC連接用的無線路由器。邊界路由器和外部路由器都將使用CISCO 2811型號，局域網(wǎng)端口2個，兩個固定的USB1.1端口，傳輸速率10/100Mbps，最大DRAM760MB，內(nèi)置防火墻。五 服務(wù)器對于服務(wù)器

32、的選擇我們主要從服務(wù)器的功用，穩(wěn)定性，性價比三個因素來選擇。對于中小型企業(yè)來說，服務(wù)器主要是共享數(shù)據(jù)，提高核心業(yè)務(wù)的執(zhí)行效率。不需要功能強(qiáng)大的服務(wù)器，只要滿足工作所需即可，所以價格相對較低。綜合起來，選擇了IBM System x3650 M3服務(wù)器，它屬于機(jī)架式，內(nèi)存為4GB DDR3,CPU頻率為2.13GHz。最大CPU數(shù)量2顆。1.6 網(wǎng)絡(luò)設(shè)計小結(jié)隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和日益普及，計算機(jī)網(wǎng)絡(luò)的應(yīng)用已滲透到社會的各個領(lǐng)域，其功能也得到不斷發(fā)展，歸納起來，計算機(jī)網(wǎng)絡(luò)的功能主要有以下幾個方面，數(shù)據(jù)通信，資源共享，提高計算機(jī)的可靠性和可用性，促進(jìn)分布式計算與協(xié)同工作。目前局域網(wǎng)技術(shù)發(fā)展非

33、常迅速，計算機(jī)網(wǎng)絡(luò)已經(jīng)滲透到社會生活的方方面面，成為現(xiàn)代信息社會中人與人之間傳遞信息的一個重要工具。企業(yè)建設(shè)局域網(wǎng)可以實(shí)現(xiàn)企業(yè)內(nèi)部資源共享，降低企業(yè)的經(jīng)營成本，提高企業(yè)的運(yùn)作效率。建立企業(yè)局域網(wǎng)，可實(shí)現(xiàn)企業(yè)內(nèi)部的文件與資源共享，可以加速內(nèi)部信息傳播速度，實(shí)現(xiàn)硬件設(shè)備如打印機(jī)共享，可以使用企業(yè)的硬件設(shè)備獲得更加充分的利用，有助于降低企業(yè)經(jīng)營成本。近年來隨著企業(yè)信息化建設(shè)的深入，企業(yè)的運(yùn)作越來越融入到計算機(jī)網(wǎng)絡(luò)中，企業(yè)的溝通、應(yīng)用、財務(wù)、決策和會議等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，構(gòu)建一個“安全可靠、性能卓越、管理方便”高品質(zhì)企業(yè)網(wǎng)絡(luò)，已成為企業(yè)信息化建設(shè)成功的關(guān)鍵基石。因此設(shè)計的總體目標(biāo)，一是使系統(tǒng)互

34、通互連，最大限度地實(shí)現(xiàn)信息資源共享；二是電子信息的傳遞取代紙面文件、材料的傳送，逐漸實(shí)現(xiàn)“無紙辦公”，改變傳統(tǒng)的工作方式，進(jìn)一步提高工作效率；三是利用各種業(yè)務(wù)信息的綜合分析，為各級領(lǐng)導(dǎo)提供決策支持，更好地組織生產(chǎn)和經(jīng)營。第2章 網(wǎng)絡(luò)操作系統(tǒng)設(shè)計2.1 Windows server NT 簡介網(wǎng)絡(luò)操作系統(tǒng)主要是指運(yùn)行在各種服務(wù)器上的操作系統(tǒng)，目前主要有UNIX、Linux、Windows系統(tǒng)及Netware系統(tǒng)等。各種操作系統(tǒng)都有其各自的優(yōu)勢。而在組建網(wǎng)絡(luò)時，選擇的網(wǎng)絡(luò)操作系統(tǒng)為Windows Server 2003,因?yàn)樗且环N簡單易用的操作系統(tǒng)，適合中小企業(yè)。Windows NT(New T

35、echnology)是Microsoft在1993年推出的面向工作站、網(wǎng)絡(luò)服務(wù)器和大型計算機(jī)的網(wǎng)絡(luò)操作系統(tǒng)，也可做PC操作系統(tǒng)。它與通信服務(wù)緊密集成，基于OS/2 NT基礎(chǔ)編制。OS/2由微軟和IBM聯(lián)合研制，分為微軟的Mic；WindowsNTServer專為服務(wù)器進(jìn)行了優(yōu)；WindowsNT是Microsoft推出的面向；（7）配置DHCP服務(wù)器；2.2WindowsserverNT安裝；一、軟盤安裝或無軟盤安裝；WindowsNT除安裝用的CDROM盤外，還；使用方法：用軟盤啟動計算機(jī)后，按提示進(jìn)行即可；另外，為加快安裝速度OS/2由微軟和IBM聯(lián)合研制，分為微軟的Microsoft O

36、S/2 NT與IBM的IBM OS/2。協(xié)作后來不歡而散，IBM繼續(xù)向市場提供先前的OS/2版本，微軟則把自己的OS/2 NT的名稱改為Windows NT，即第一代的Windows NT 3.1。微軟公司從數(shù)字設(shè)備公司（Digital Equipment Corporation）雇傭了一批人員來開發(fā)這個新系統(tǒng)?！癗T”所指的便是“新技術(shù)”（New Technology）之意?！癗T”除了可以解釋為“新技術(shù)”之外，有另一個版本指“NT”是來自微軟在i860上開發(fā)NT時所使用的模擬器“N10”（N-Ten）。Windows NT Server專為服務(wù)器進(jìn)行了優(yōu)化，配置要求較高。最多支持32個處理

37、器?？梢猿洚?dāng)網(wǎng)絡(luò)服務(wù)器，可無限制連入客戶機(jī)，完成繁重的網(wǎng)絡(luò)任務(wù)。最多可支持多達(dá)256個遠(yuǎn)程客戶存取。支持Macintosh文件及打印，具備磁盤容錯功能。Windows NT是Microsoft推出的面向工作站、網(wǎng)絡(luò)服務(wù)器和大型計算機(jī)的網(wǎng)絡(luò)操作系統(tǒng)，也可做PC操作系統(tǒng)。它與通信服務(wù)緊密集成，提供文件和打印服務(wù)，能運(yùn)行客戶機(jī)服務(wù)器應(yīng)用程序，內(nèi)置了InternetIntranet功能，已逐漸成為企業(yè)組網(wǎng)的標(biāo)準(zhǔn)平臺。（7）配置DHCP服務(wù)器。2.2 Windows server NT 安裝一、軟盤安裝或無軟盤安裝Windows NT除安裝用的CDROM盤外，還包含三張軟盤，利用這些軟盤安裝Window

38、s NT，不需要在硬盤驅(qū)動器上有操作系統(tǒng)。這種方法對于只安裝Windows NT的裸機(jī)最為適用，不需要安裝DOS或Windows操作系統(tǒng)；但如果此臺機(jī)器還要安裝另外的操作系統(tǒng)，如Windows，就不再適用。使用方法：用軟盤啟動計算機(jī)后，按提示進(jìn)行即可。若三張軟盤損壞了，還可用Windows NT的CDROM安裝盤，重新生成它們，方法是：Winnt/ox。另外，為加快安裝速度，可以把Windows NT的安裝文件從CDROM拷貝到硬盤的某一個目錄，采取從硬盤安裝的方式，如：D:i386Winnt/b。二、網(wǎng)絡(luò)安裝為網(wǎng)絡(luò)中的多臺計算機(jī)安裝Windows NT，采用網(wǎng)絡(luò)安裝可能是最好的辦法。依據(jù)筆者

39、的經(jīng)驗(yàn)，這也是最快的安裝方法。平時，采用CDROM或是把文件拷到硬盤上進(jìn)行安裝，一般要用40分鐘到一個小時，采用網(wǎng)絡(luò)安裝方法，用20分鐘即可完成（10M網(wǎng)絡(luò)）。使用這種方法要注意的是：（1）計算機(jī)必須事先連接到網(wǎng)絡(luò)，在某臺計算機(jī)上有Windows NT的安裝文件，并且將包含這些文件的目錄共享。（2）如果網(wǎng)絡(luò)中已存在Windows NT服務(wù)器，要安裝Windows NT的計算機(jī)不一定必須連接到網(wǎng)絡(luò)，可以在服務(wù)器上產(chǎn)生網(wǎng)絡(luò)安裝軟盤，利用軟盤連接到網(wǎng)絡(luò)后再進(jìn)行安裝。（3）若已連接到網(wǎng)絡(luò)或選擇使用簡單的Windows NT安裝，或者不希望把文件服務(wù)器的硬盤空間用于安裝文件，也可以選擇從網(wǎng)絡(luò)中的共享光驅(qū)

40、中安裝。三、無人值守安裝為大批計算機(jī)安裝Windows NT，雖然可用網(wǎng)絡(luò)安裝來加快安裝速度，但是，你還是不得不等待響應(yīng)安裝程序的各種提示。無人值守的安裝方法，使得在安裝Windows NT時，不需要響應(yīng)來自安裝程序的任何提示，就可完成安裝。使用Windows NT安裝CDROM上的Unattend.txt文件，允許你用簡單的配置安裝Windows NT，使用方法是，在Winnt后加上/u的參數(shù)，如E：i386>Winnt/b/u：c：Unattend.txt。若希望對更加復(fù)雜的Windows NT安裝制作安裝文件，需要使用Computer Profile Setup或Setup Man

41、ager實(shí)用程序。本文介紹常用的Setup Manager?？稍赪indows NT安裝CDROM中的SupportDeptoolsI386子目錄中找到該程序。執(zhí)行后，可配置無人值守的安裝文件的General Setup、Networking Setup和Advance Setup,利用它們可生成需要的復(fù)雜Windows NT安裝無人值守文件。除非對安裝過程有很深入的了解，并需要進(jìn)行非通用式安裝，否則不要更改這些設(shè)置。但如果你要使用NTFS分區(qū)，可復(fù)選此項(xiàng)，可使Windows NT的安裝分區(qū)轉(zhuǎn)換為NTFS分區(qū)。 以上是Windows NT的不同安裝方法，選擇合適的安裝方法，可節(jié)省大量的時間和工

42、作量，起到事半功倍的效果。2.3 Windows server 2003 安全原理Windows Server 2003服務(wù)器系統(tǒng)由于其出色的性能和良好的穩(wěn)定性，在服務(wù)器操作系統(tǒng)中受到了廣泛的使用。然而由于缺乏對其安全性的研究，windows server 2003的巨大優(yōu)勢受到了嚴(yán)重抑制。在微軟以往的服務(wù)器操作系統(tǒng)中，如Windows NT Server或是Windows 2000 Server，這些產(chǎn)品的缺省配置并不是最安全的。雖然微軟提供了很多安全機(jī)制，但是依然需要你來實(shí)現(xiàn)它們。然而當(dāng)微軟發(fā)布Windows Server 2003的時候，作為一款真正的面向?qū)ο蟮牟僮飨到y(tǒng), 其出色的系統(tǒng)性

43、能和穩(wěn)定性能業(yè)界得到了普遍的肯定。而且更為重要的是它改變了微軟以往的哲學(xué)體系和理念。新的理念是，服務(wù)器缺省就應(yīng)該是安全的。2.4 Windows server 2003 安全策略實(shí)施一、 安全漏洞問題Windows Server 2003 的安全漏洞主要來自兩個方面。一方面由于系統(tǒng)提供極其豐富的網(wǎng)絡(luò)服務(wù)功能，這些服務(wù)之間，尤其是服務(wù)交叉點(diǎn)上常常會和Windows 2000 一樣存在安全漏洞，成為攻擊的突破口。例如Microsoft的RPC在通過基于TCP/IP協(xié)議處理信息交換時總存在多個遠(yuǎn)程堆緩沖區(qū)溢出問題，遠(yuǎn)程攻擊者可以利用這些漏洞在系統(tǒng)上執(zhí)行任意指令，很有可能使網(wǎng)絡(luò)服務(wù)器遭到致命的打擊。另

44、一方面來自應(yīng)用程序所提供的服務(wù)。許多基于Windows 環(huán)境下的服務(wù)程序比如FTP 、Serv-U、FTPServer、E-mail、SQLServer 等, 其本身的安全性遠(yuǎn)沒有操作系統(tǒng)的安全性高，因此更容易成為網(wǎng)絡(luò)攻擊主要對象。由于應(yīng)用程序的增多，隱患也越來越大。二、 系統(tǒng)服務(wù)的安全問題Windows在設(shè)計之初，重視操作的便利性和功能的擴(kuò)展性的策略使其在市場上迅速占據(jù)了巨大優(yōu)勢。然而這樣的設(shè)計也埋下了安全的隱患。許多系統(tǒng)正常運(yùn)作的關(guān)鍵文件都可以由其它應(yīng)用程序來修改。這種開放性特征經(jīng)常被攻擊者利用，同時也使病毒的傳播變得非常容易，對Windows操作系統(tǒng)的安全構(gòu)成重大威脅。另外，由于多數(shù)Wi

45、ndows服務(wù)的運(yùn)行安全等級是比管理員權(quán)力還高的LocalSystem,一旦某個服務(wù)的安全問題遭到攻擊者利用，便可以利用LocalSystem提升權(quán)利，通過記錄在SAM（安全賬戶管理器）數(shù)據(jù)庫中的用戶賬號信息，破解出所有Windows 用戶的密碼。從而進(jìn)行破壞，導(dǎo)致整個系統(tǒng)崩潰等嚴(yán)重問題。例如：DDE 服務(wù)問題。該服務(wù)能夠在用戶登錄之前由系統(tǒng)運(yùn)行，這也是木馬喜歡的運(yùn)行方式。盡管Windows Server2003中，這樣的一些服務(wù)已被禁用，但是仍然有一些不必要危險服務(wù)（如Remote Registry 服務(wù)、SNMP 服務(wù)等）在運(yùn)行，這些服務(wù)常常被攻擊者利用。三、 基于密碼的身份驗(yàn)證的安全問題

46、身份驗(yàn)證是系統(tǒng)決定一個使用者是否有權(quán)限登陸本系統(tǒng)并使用特定資源的過程。它需要用戶提交的用戶名和相應(yīng)密碼。密碼是抵御系統(tǒng)非法訪問的第一道防線，它保證了網(wǎng)絡(luò)安全中最基本的安全。盡管人們也提出過利用生物技術(shù)和智能卡技術(shù)來進(jìn)行身份驗(yàn)證，但生物技術(shù)涉及個人隱私，而智能卡仍然需要一個Pin口令以防止遺失。因此基于密碼的身份驗(yàn)證在未來一段時間內(nèi)將繼續(xù)作為身份驗(yàn)證的一項(xiàng)重要手段使用。但是由于安全的密碼具有很強(qiáng)的隨機(jī)性，并經(jīng)常更換。這樣的密碼不利于用戶記憶，在實(shí)際生活中用戶傾向于寫下文本密碼或者在多個系統(tǒng)中使用相同的密碼，這都給系統(tǒng)安全造成隱患。攻擊者可以使用軟件破戒的方式進(jìn)行非法獲取。密碼破解軟件一般使用下面

47、三種方法之一：巧妙猜測、詞典攻擊和自動嘗試字符的各種可能的組合。只要有足夠時間，這種自動方法可以破解任何密碼。四、默認(rèn)訪問控制列表的安全問題訪問控制是實(shí)現(xiàn)用戶、組和計算機(jī)訪問網(wǎng)絡(luò)上的對象的安全機(jī)制。權(quán)限是訪問控制的重要概念, 權(quán)限定義了授予用戶或組對某個對象或?qū)ο髮傩缘脑L問類型。在默認(rèn)的情況下大多數(shù)的文件夾對Everyone 組是完全控制的( Full Control) 如果系統(tǒng)的管理員不進(jìn)行修改, 則系統(tǒng)的安全性將非常薄弱共享權(quán)限的使用在方便管理的同時, 也容易導(dǎo)致安全問題尤其是系統(tǒng)的默認(rèn)共享( 比如IPC$、C$、ADMIN$等) 常常被用來作為入侵通道利用?？傊? 影響Windows 2

48、003 安全的因素還有很多, 這些都需要我們采取相應(yīng)措施來保證Windows 2003 服務(wù)器系統(tǒng)安全的。五、 網(wǎng)絡(luò)傳輸過程中的安全問題Internet 從建立開始就缺乏總體的安全構(gòu)想和設(shè)計，而TCP/IP 協(xié)議卻是在可信的環(huán)境下專門為網(wǎng)絡(luò)互聯(lián)設(shè)計的，缺乏安全措施的考慮。目前大多數(shù)IP 通信都是以明文格式出現(xiàn)的，容易被攻擊者竊聽。如果沒有采取適當(dāng)?shù)陌踩胧?，網(wǎng)絡(luò)和數(shù)據(jù)就可能會遭到某種攻擊。有些攻擊是被動的，因?yàn)樗鼈冎皇潜O(jiān)視敏感信息（比如用戶登錄賬號和密碼等）。而另一些攻擊卻是主動的，它們旨在通過毀壞數(shù)據(jù)或網(wǎng)絡(luò)本身來更改信息。2.5 DHCP的安裝與配置一、安裝DHCP服務(wù)（1）打開“網(wǎng)絡(luò)和撥號

49、連接”，或者打開控制面板（“開始”“設(shè)置”“控制面板”“添加/刪除程序”“添加/刪除Windows 組件”“網(wǎng)絡(luò)服務(wù)”）。如圖5所示：圖5（2）單擊“添加網(wǎng)絡(luò)組件”，選中“網(wǎng)絡(luò)服務(wù)”，打開“詳細(xì)信息”。如圖6所示：圖6（3）選中“動態(tài)主機(jī)配置協(xié)議（DHCP）”，單擊“確定”，單擊“下一步”。如圖7所示：圖7（4）開始安裝，安裝完成后在“開始”-“程序”-“管理工具”下多了一個“DHCP”選項(xiàng)。二、DHCP配置（1）打開DHCP管理器；圖8；（2）如果列表中還沒有任何服務(wù)器，則需添加DHC；（3）打開作用域的設(shè)置窗口；（4）設(shè)置作用域名；圖9；（5）設(shè)置可分配的IP地址范圍：比如可分配“19；圖

50、10；（6）如果有必要，可在下面的選項(xiàng)中輸入欲保留的I；圖11；（7）下面的“租約期限”可設(shè)定DHCP服務(wù)器所分；365天）；圖12；（8）選“是，我想配置這些選項(xiàng)”以繼續(xù)（1）打開DHCP管理器。選“開始菜單程序管理工具DHCP”，默認(rèn)的，里面已經(jīng)有了你的服務(wù)器的FQDN（ Fully Qualified Domain Name，完全合格域名），比如“”。如圖8所示：圖8（2）如果列表中還沒有任何服務(wù)器，則需添加DHCP服務(wù)器。選“DHCP右鍵添加服務(wù)器”，選“此服務(wù)器”，再按“瀏覽”選擇（或直接輸入）服務(wù)器名“wy”（即你的服務(wù)器的名字）。（3）打開作用域的設(shè)置窗口。先選中FQDN名字，再按“右鍵新建作用域”。（4）設(shè)置作用域名。此地的“名稱”項(xiàng)只是作提示用，可填任意內(nèi)容。如圖9所示：圖9（5）設(shè)置可分配的IP地址范圍：比如可分配“044”，則在“起始IP地址”項(xiàng)填寫“192.168.0