企業(yè)網(wǎng)絡(luò)管理與安全實訓(xùn)

1、第二部分 企業(yè)網(wǎng)絡(luò)治理與安全實訓(xùn)在企業(yè)組建網(wǎng)絡(luò)基礎(chǔ)設(shè)施后，還需要提供給用戶各種的網(wǎng)絡(luò)和信息服務(wù)，同時隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷進展，大量的網(wǎng)絡(luò)應(yīng)用成為黑客/病毒制造者的攻擊目標，需要企業(yè)采取必要的技術(shù)、設(shè)備和措施來保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運行，還需要運用各種網(wǎng)絡(luò)治理工具、軟件、設(shè)備對企業(yè)網(wǎng)絡(luò)的交換設(shè)備、路由設(shè)備、服務(wù)器、防火墻等各種網(wǎng)絡(luò)設(shè)備進行進行配置治理、性能治理、故障治理、安全治理和計費治理，保障網(wǎng)絡(luò)的正常運行和性能優(yōu)化。項目 5 校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實施5.1 項目內(nèi)容 某學(xué)院校園網(wǎng)基礎(chǔ)設(shè)施已依照項目2組建完成，并通過兩條線路分不接入了電信互聯(lián)網(wǎng)和CERTNET教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提

2、供各種網(wǎng)絡(luò)服務(wù)和信息服務(wù)，分不提供校園網(wǎng)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)，請給出解決方法并進行實施。5.2 項目流程 SKIPIF 1 0 圖5-1 項目流程圖5.3 項目調(diào)查與需求分析5.3.1 項目 本項目針對學(xué)院需要提供各種基礎(chǔ)網(wǎng)絡(luò)服務(wù)，分不實現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)。5.3.1）具體需求經(jīng)調(diào)查和與用戶溝通，具體的需求如下:需求1：為校園網(wǎng)各區(qū)域用戶提供IP地址等參數(shù)分配，需要兩臺服務(wù)器提供服務(wù)，一臺備用。需求2：為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各服務(wù)器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺服務(wù)器提供服務(wù)，一臺備用，學(xué)院的域名

3、解析可依照校園網(wǎng)的兩條線路分不對不同來源IP地址解析出對應(yīng)線路的服務(wù)器IP以提高用戶訪問效率。需求3:架設(shè)校園網(wǎng)的WWW服務(wù)器提供信息訪問、FTP服務(wù)器提供資源下載，WWW服務(wù)器需要為多個部門提供不同網(wǎng)站，并考慮服務(wù)器的安全和穩(wěn)定性。3）需求分析分析1：按照要求 需要一臺DHCP服務(wù)器為校園網(wǎng)用戶分配IP地址、一臺作為備用DHCP服務(wù)器。兩臺服務(wù)器分不位于不同的主機。分析2：需要為校園網(wǎng)用戶的各個服務(wù)器提供域名解析系統(tǒng)（DNS），同樣需要兩臺DNS服務(wù)器，一臺主DNS服務(wù)器，一臺輔助DNS服務(wù)器。分析3： 校園網(wǎng)WWW服務(wù)器，F(xiàn)TP服務(wù)器，WWW服務(wù)器能夠通過FTP服務(wù)器上傳或下載資料，治理員

4、能夠通過FTP服務(wù)器為WWW服務(wù)器更新信息。FTP服務(wù)器不同意匿名登錄。兩臺服務(wù)器能夠在同一臺主機上完成。5.4 項目實訓(xùn)要求要求1（必做）：模擬本項目的網(wǎng)絡(luò)服務(wù)組建并完成項目的需求分析、規(guī)劃、實施文檔。要求2（必做）：安裝配置DHCP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器、FTP服務(wù)器，分不在Windows Server和Linux環(huán)境下進行安裝配置提供相同功能。要求3（選做）在Linux下實現(xiàn)DNS服務(wù)器關(guān)于同一域名依照來源不同的IP解析出不同的地址。5.5 項目實施5.51可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項服務(wù)應(yīng)考慮和保證其安全性，

5、幸免出現(xiàn)網(wǎng)絡(luò)安全事故而阻礙校園網(wǎng)服務(wù)。3可擴充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和進展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴充性。4有用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點，應(yīng)能使用戶方便有用地訪問各種校園網(wǎng)服務(wù)。5.5.2 項目知識點DHCP服務(wù)器 DHCP（ Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議） 能夠減少治理的復(fù)雜性和負擔，DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。租用時刻是不定的，要緊取決于用戶在某地聯(lián)接 Internet 需要多久，這關(guān)于用戶頻繁改變的環(huán)境是專門有用的。通過較短的租期

6、， DHCP 能夠在一個計算機比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網(wǎng)絡(luò)。1）DHCP系統(tǒng)組成DHCP客戶：DHCP客戶通過DHCP來獲得網(wǎng)絡(luò)配置參數(shù) Internet主機，通常確實是一般用戶的工作站DHCP服務(wù)器：DHCP服務(wù)器提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP客戶Internet主機DHCP中繼代理：在DHCP客戶和服務(wù)器之間轉(zhuǎn)發(fā) DHCP 消息的主機或路由器2）DHCP 服務(wù)器DHCP服務(wù)器操縱一段IP地址范圍，客戶機登錄服務(wù)器時就能夠自動獲得服務(wù)器分配的IP地址和子網(wǎng)掩碼。DHCP作用域是一個網(wǎng)絡(luò)中的所有可分配的 IP 地址的連續(xù)范圍。作用域要緊用來定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的 IP 地址范

7、圍。作用域是服務(wù)器用來治理分配給網(wǎng)絡(luò)客戶的 IP 地址的要緊手段。 DHCP服務(wù)器能夠使用Windows Server、Linux等網(wǎng)絡(luò)操作系統(tǒng)擔當，也能夠使用具有DHCP功能的交換機、路由器等設(shè)備。DNS 服務(wù)器DNS（Domain Name System，域名系統(tǒng)）是因特網(wǎng)的一項核心服務(wù),它作為能夠?qū)⒂蛎虸P地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS是一種包含 DNS 主機名到 IP 地址映射的分布式、分層式數(shù)據(jù)庫，DNS 是 Internet 名稱方案的基礎(chǔ)和企業(yè)名稱方案的基礎(chǔ)。InterNIC 負責全球域名空間的委派治

8、理和域名注冊。DNS組件DNS 服務(wù)器：運行 DNS 服務(wù)的計算機，承載一個名稱空間或部分名稱空間（域）， 對名稱空間或域具有權(quán)威性，負責解析 DNS 客戶端（DNS 客戶端即解析器）提交的名稱解析請求。DNS 客戶端：運行 DNS 客戶端服務(wù)的計算機DNS 資源記錄：DNS 數(shù)據(jù)庫中將主機名映射到資源的項目因特網(wǎng)上的因特網(wǎng)上的 DNS 服務(wù)器DNS 服務(wù)器DNS 客戶端根 “.”.資源記錄資源記錄 圖5-1 DNS組件DNS域名空間DNS 命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采納的差不多上分層和分布式結(jié)構(gòu)，一些授權(quán)的機構(gòu)能夠各自轉(zhuǎn)換其權(quán)限以內(nèi)的名字和 IP 地址。DNS 的命名是為

9、全球性的 HYPERLINK / t _blank 網(wǎng)絡(luò)設(shè)備分配名字，由分布式名字 HYPERLINK / t _blank 服務(wù)器組實施。區(qū)域是 DNS 名稱空間的一個治理單元，它能夠由單一的 DNS 域或者結(jié)合了部分或全部子域的域組成 ；DNS 服務(wù)器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。 SKIPIF 1 0 圖5-2 DNS域名空間結(jié)構(gòu)DNS服務(wù)器的類型根域名服務(wù)器：根域名服務(wù)器是最重要的域名服務(wù)器。所有的根域名服務(wù)器都明白所有的頂級域名服務(wù)器的域名和 IP 地址。不管是哪一個本地域名服務(wù)器，若要對因特網(wǎng)上任何一個域名進行解析，只要自己無法解析，就首先求助于根域名服務(wù)器。

10、在因特網(wǎng)上共有13 個不同 IP 地址的根域名服務(wù)器，它們的名字是用一個英文字母命名，從a 一直到 m（前13 個字母）。頂級域名服務(wù)器：負責治理在該頂級域名服務(wù)器注冊的所有二級域名。當收到 DNS 查詢請求時，就給出相應(yīng)的回答（可能是最后的結(jié)果，也可能是下一步應(yīng)當找的域名服務(wù)器的 IP 地址）。權(quán)限域名服務(wù)器：負責一個區(qū)的域名服務(wù)器。當一個權(quán)限域名服務(wù)器還不能給出最后的查詢回答時，就會告訴發(fā)出查詢請求的 DNS 客戶，下一步應(yīng)當找哪一個權(quán)限域名服務(wù)器。本地域名服務(wù)器：本地域名服務(wù)器對域名系統(tǒng)特不重要。當一個主機發(fā)出 DNS 查詢請求時，那個查詢請求報文就發(fā)送給本地域名服務(wù)器。每一個因特網(wǎng)服務(wù)

11、提供者都能夠擁有一個本地域名服務(wù)器，這種域名服務(wù)器有時也稱為默認域名服務(wù)器。4） DNS查詢 查詢是向 DNS 服務(wù)器發(fā)出的名稱解析請求。查詢有兩種類型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務(wù)器，DNS 客戶端需要 DNS 服務(wù)器提供一個完整的查詢應(yīng)答。迭代查詢：迭代查詢是 DNS 客戶端向 DNS 服務(wù)器發(fā)出的查詢請求，DNS 服務(wù)器無需通過其他 DNS 服務(wù)器而給出查詢結(jié)果的查詢。迭代查詢通常發(fā)生在上級域指引到下級域。 SKIPIF 1 0 圖5-3 DNS查詢過程DNS服務(wù)器能夠使用Windows Server2003安裝和配置DNS服務(wù)作為DNS服務(wù)器，Li

12、nux服務(wù)器使用聞名的BIND（Berkeley Internet Name Domain）軟件實現(xiàn)，DNS客戶端可通過DHCP服務(wù)器分配DNS參數(shù)或手動指定。WEB服務(wù)器WEB服務(wù)器也稱為WWW(World Wide Web)服務(wù)器，要緊功能是提供網(wǎng)上信息掃瞄服務(wù)，是互聯(lián)網(wǎng)進展最快和目前用的最廣泛的服務(wù)。其應(yīng)用層使用HTTP協(xié)議，使用HTML文檔格式傳輸信息資源，客戶機掃瞄器使用統(tǒng)一資源定位器(URL)來訪問WEB服務(wù)器資源。目前使用最多的 web server 服務(wù)器軟件有：微軟的信息服務(wù)器（IIS）和Apache：1）IISIIS是英文Internet Information Serve

13、r（Internet信息服務(wù)）的縮寫，它是微軟公司主推的WEB服務(wù)器， IIS與Window Server完全集成在一起，因而用戶能夠利用Windows Server和NTFS內(nèi)置的安全特性，建立強大，靈活而安全的Internet站點。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過使用CGI和ISAPI，IIS能夠得到高度的擴展。IIS支持與語言無關(guān)的腳本編寫和組件，通過IIS，開發(fā)人員就能夠開發(fā)新一代動態(tài)的，富有魅力的Web站點。IIS不需要開發(fā)人員學(xué)習(xí)新

14、的腳本語言或者編譯應(yīng)用程序，IIS完全支持VBscript，Jscript開發(fā)軟件以及Java，它也支持CGI和WinCGI，以及ISAPI擴展和過濾器。2）Apache HTTP ServerApache HTTP Server源于NCSAhttpd服務(wù)器，通過多次修改，成為世界上最流行的Web服務(wù)器軟件之一。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。因為它是自由軟件，因此不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。Apache支持許多特性，大部分通過編譯的模塊實現(xiàn)。這些特性從服務(wù)器端的編程語言支持到身份認證方案。一些通用的語言接口支持Perl，Pytho

15、n， Tcl和 PHP。流行的認證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服務(wù)器 (proxy) 模塊，專門有用的URL重寫（由 mod_rewrite 實現(xiàn)），定制日志文件（mod_log_config），以及過濾支持（mod_include 和 mod_ext_filter）。Apache日志能夠通過網(wǎng)頁掃瞄器使用免費的腳本AWStats或Visitors來進行分析。FTP服務(wù)器文件傳輸協(xié)議 (FTP) 是一種常用的應(yīng)用層協(xié)議。FTP 用于客戶端和服務(wù)器之間的文件傳輸。FTP 客戶端是一種

16、在計算機上運行的應(yīng)用程序。通過運行 FTP 守護程序 (FTPd)，F(xiàn)TP 客戶端能夠從服務(wù)器中收發(fā)文件。為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶端和服務(wù)器之間建立兩條連接：一條是命令和回復(fù)連接，另一條是實際文件傳輸連接?？蛻舳嗽?TCP 的 21 號端口建立第一條連接。該連接由客戶端命令和服務(wù)器回復(fù)組成，用于治理傳輸流量；第二條連接建立在 TCP 的 20 號端口。每當有文件需要傳輸時建立該連接，用于實際文件傳輸。在兩個方向上，都能夠進行文件傳輸。即客戶端能夠從服務(wù)器中下載（?。┪募?，也能夠向服務(wù)器中上傳（放）文件。常用的組建FTP服務(wù)器方法有：Windows下使用IIS架設(shè)FTP站點、L

17、inux下的wu-ftpd、vsftpd、使用FTP服務(wù)器軟件（Serv-U、Gene6等）。5.5實訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號數(shù)量（每組）備注交換機H3C3100 1臺服務(wù)器宏基P42臺計算機宏基P44臺服務(wù)器操作系統(tǒng)Windows Server20032可使用虛擬機環(huán)境服務(wù)器操作系統(tǒng)CentOS 5.22可使用虛擬機環(huán)境服務(wù)器命名規(guī)則服務(wù)器命名沒有絕對的標準，一般差不多上按工程慣例和治理規(guī)范來進行命名，應(yīng)本著明確、簡潔、無二義性的原則。實訓(xùn)項目中服務(wù)器命名規(guī)則建議如下：SrvDHCP-01序號服務(wù)器功能序號服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。服務(wù)器序號中，

18、01代表第一臺，02代表第二臺，依此類推。服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表服務(wù)器名稱 IP地址 SrvDHCP- 01 /18SrvDHCP- 02 /18主DNS /18輔助DNS /18WWW /18FTP /18DHCP地址分配范圍為 /18 大約可同時為兩萬名用戶提供上網(wǎng)需求。地址租期為1天 注：由于模擬環(huán)境不行操作，因此全部采納同一個網(wǎng)段的IP作為分配地址。分配區(qū)域IP地址分配范圍默認網(wǎng)關(guān)服務(wù)器 /18宿舍區(qū) /18教師辦公區(qū) /18教學(xué)區(qū) /18教師公寓 /18其它區(qū)域 /18實施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝服務(wù)器操作系統(tǒng)3）安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡(luò)

19、服務(wù)4）配置計算機參數(shù)并依照需求驗證實現(xiàn)的功能5）完成項目文檔資料5.5.4 實施步驟（請將要緊實施步驟整理列出）一DHCP服務(wù)器的配置（1）依照實訓(xùn)拓撲圖進行交換機、計算機的線纜連接，配置DHCPSERVER的IP地址。（2）在SERVER上安裝DHCP服務(wù)器在安裝DHCP服務(wù)器之前，請注意以下事項：只有服務(wù)器等級的計算機能夠安裝DHCP服務(wù)器，例如Windows Server 2003，而Windows XP等客戶端計算機無此功能。DHCP服務(wù)器本身的IP地址必須是靜態(tài)的，也確實是其IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)等信息必須以手工的方式輸入。事先規(guī)劃好可出租給客戶端計算機的IP地址池（也確實是

20、IP作用域）。單擊“開始”“治理工具”“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開始安裝DHCP服務(wù)器。如圖3-7，圖3-8所示：圖3-7圖3-8安裝完成之后將彈出“新建作用域向?qū)А睂υ捒?，使用此向?qū)?chuàng)建作用域。1、填寫新建作用域的名稱和講明文字。此名稱和講明性文字并無特不要求，只是起一個區(qū)不于其他作用域的作用。此處，將作用域名稱填成“總經(jīng)理”，講明性文字為“總經(jīng)理辦公室”.如圖3-9所示：圖3-92、再點“下一步”，進入設(shè)置IP地址范圍和子網(wǎng)掩碼的對話框，在“起始IP地址”項中填寫該IP地址段的起始IP地址長就為18。填寫完后，如圖3-10所示： 圖3-103、

21、單擊“下一步”進入下一個對話框，設(shè)置想排除開不用于分配的IP地址范圍。如圖3-11所示圖3-114、填寫完成后點“下一步”進入IP租期設(shè)置對話框了。租期將設(shè)置客戶機分配到IP地址的使用期限。當客戶機使用分配到的IP地址時刻超過了此租期，服務(wù)器將強行收回分配給客戶機的IP地址。此處設(shè)置為1天。如圖3-12所示：圖3-125、單擊“下一步”進入配置DHCP選項的對話框。在此對話框中，將選擇是否需要對客戶機分配DNS、路由器、WINNS等服務(wù)器的IP地址。在大型網(wǎng)絡(luò)中，特不是與internet 互聯(lián)的網(wǎng)，這些服務(wù)差不多上專門重要的。在此選擇“是”。如圖3-13所示：圖3-136、單擊“下一步”進入設(shè)

22、置路由器（即網(wǎng)關(guān)）的設(shè)置。在“IP地址”項中填寫路由器的IP地址。此處填寫為：。填寫完成后點“添加”按鈕即。如圖3-14所示：圖3-147、單擊“下一步”進入域名和DNS服務(wù)器的設(shè)置對話框了。此處設(shè)置的域名和DNS服務(wù)器的地址將被分配給客戶機。在“父域”選項中填寫DNS的父域名（參考DNS服務(wù)器配置實訓(xùn)）此處填寫成在“服務(wù)器名”選項中填寫DNS服務(wù)器的服務(wù)器名稱。此處我們填寫為dns。在“IP地址”項中填寫DNS服務(wù)器的 IP地址。此處填寫為.填寫完成后點“添加”按鈕即可。如圖3-15所示：圖3-158、點擊“下一步”，進入WINS服務(wù)器的設(shè)置對話框。能夠不設(shè)置9、點擊“下一步”進入激活作用域

23、的對話框。在此對話框中將選擇“是，我想現(xiàn)在就激活此作用域”。如圖3-17所示：圖3-1710、單擊“下一步”再點“完成”即完成該作用域的建立了。如圖3-18所示：二DNS 服務(wù)器的設(shè)置在主機上安裝DNS配置軟件，然后創(chuàng)建區(qū)域圖3-11單擊“下一步”進入?yún)^(qū)域名稱設(shè)置對話框。此對話框指定正向區(qū)域名稱（區(qū)域名稱應(yīng)與其治理的域相對應(yīng)）。此處填寫為“”。如圖3-12所示：圖3-12單擊“下一步”進入動態(tài)更新的設(shè)置。在此對話框中指定創(chuàng)建的區(qū)域是否支持動態(tài)更新，此處選擇“不同意動態(tài)更新”如圖3-14所示：圖3-14單擊“下一步”選擇是否創(chuàng)建反向查找區(qū)域。在此處，選擇“是”如圖3-10所示：圖3-15單擊“下

24、一步”進入?yún)^(qū)域類型對話框，此處選擇“要緊區(qū)域”。如圖3-16所示：圖3-16單擊“下一步”進入“反向查找區(qū)域名稱”對話框。在此對話框中指定反向區(qū)域的名稱（能夠輸入IP地址的網(wǎng)絡(luò)ID，由系統(tǒng)自動指定反向區(qū)域名稱；也能夠自行輸入反向區(qū)域名稱），此處填寫“192.168.1”圖3-17單擊“下一步”區(qū)域文件對話框。在此對話框中，將選擇創(chuàng)建新的反向區(qū)域文件（名稱可自行指定）或使用現(xiàn)存的反向區(qū)域文件，在此填寫“1.168.192.dns”。如圖3-18所示：圖3-18單擊“下一步”配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢”。如圖3-19所示：圖3-19單擊“下一步”完成DNS向?qū)渲?。如圖3-19所示

25、：圖3-19（3）在Server1上創(chuàng)建資源記錄：打開DNS治理操縱臺，在左側(cè)操縱臺樹中選擇要創(chuàng)建資源記錄的正向要緊區(qū)域，然后在右側(cè)操縱臺窗口的空白處右擊，在彈出菜單中選擇相應(yīng)功能項即可創(chuàng)建資源記錄。如圖選擇“新建主機（A）”，打開“新建主機”對話框，通過此對話框創(chuàng)建“host”記錄，如圖選擇“新建不名（CHANE）”，打開“新建資源記錄”對話框， 在左側(cè)操縱臺樹中選擇要創(chuàng)建資源記錄的反向要緊區(qū)域（4）在Server1上指定輔助DNS服務(wù)器：在正向要緊區(qū)域上右擊，在彈出的菜單中選擇“屬性”命令，如圖在打開的區(qū)域?qū)傩詫υ捒蛑袉螕簟懊Q服務(wù)器”，將打開“名稱服務(wù)器”選項卡；在該選項卡中單擊“添加”

26、，在此添加輔助DNS服務(wù)器。如圖單擊“確定”，完成配置，然后采納同樣的方法在反向要緊區(qū)域上指定輔助DNS服務(wù)器，如圖（5）在Server2上安裝輔助DNS服務(wù)器：參考步驟1，安裝DNS服務(wù)。打開“區(qū)域類型”對話框；在此對話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱”對話框中，輸入?yún)^(qū)域名稱，該名稱應(yīng)與該DNS區(qū)域的主DNS區(qū)域的主DSN服務(wù)器上的要緊區(qū)域名稱完全相同， 如圖單擊“下一步”“主DNS服務(wù)器”對話框。在此對話框中指定DNS服務(wù)器的IP地址，如圖單擊“下一步”完成輔助DNS配置，返回DNS治理操縱臺，現(xiàn)在能夠看到從主DNS服務(wù)器復(fù)制而來的區(qū)域數(shù)據(jù)。如圖采納同樣的方法，創(chuàng)建反向輔

27、助區(qū)域。三FTP 服務(wù)器的創(chuàng)建1）依照實訓(xùn)拓撲圖進行交換機、計算機的線纜連接，配置PC1、PC2、WebServer的IP地址。（2）WebServer上安裝IIS服務(wù)。單擊“開始”“治理工具”“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開始安裝DHCP服務(wù)器。如圖3-7，圖3-8所示：（3）WebServer上創(chuàng)建總公司網(wǎng)站。單擊“開始”“治理工具”“Internet信息服務(wù)（IIS）治理器”，打開“Internet信息服務(wù)（IIS）治理器”操縱臺。右擊“網(wǎng)站”，在彈出的菜單中選擇“新建”“網(wǎng)站”，將打開“網(wǎng)站創(chuàng)建向?qū)А睂υ捒?。單擊“下一步”按鈕，將出現(xiàn)“IP地址

28、和端口設(shè)置”對話框，在此對話框中設(shè)置網(wǎng)站IP地址“”，TCP端口號“80”，主機頭、“”（主機頭即網(wǎng)站的FQDN，參考5.2.3單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站主目錄”對話框，在此對話框設(shè)置網(wǎng)站主目錄“E:practrain-web”和是否同意以匿名方式訪問此網(wǎng)站。如圖單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站權(quán)限訪問”對話框，在此對話框中能夠設(shè)置網(wǎng)站的訪問權(quán)限，如圖單擊“下一步”按鈕，完成網(wǎng)站的創(chuàng)建。（6）WebServer上安裝FTP服務(wù)。( 7 ) 雙擊“Internet信息服務(wù)器（IIS）”，將打開“Internet信息服務(wù)器（IIS）”對話框。選中“文件傳輸協(xié)議（FTP）服務(wù)”復(fù)選框，如圖點擊

29、“確定”按鈕，返回“Windows組件”對話框；單擊“下一步”按鈕，開始安裝FTP服務(wù)。WebServer上創(chuàng)建FTP治理員站點并添加治理員用戶（禁止匿名訪問）。單擊“開始”“治理工具”“Internet信息服務(wù)（IIS）治理器”，打開“Internet信息服務(wù)（IIS）治理器”操縱臺。右擊“FTP站點”，在彈出菜單中選擇“新建”“FTP站點”，打開“FTP站點創(chuàng)建向?qū)А比鐖D單擊“下一步”按鈕，將出現(xiàn)“IP地址設(shè)置和端口設(shè)置”對話框，在此對話框中設(shè)置FTP站點所使用的IP地址“”及端口號“21”單擊“下一步”按鈕，將出現(xiàn)“FTP用戶隔離”對話框，此對話框能夠使設(shè)置FTP用戶隔離的選項，如圖單擊

30、“下一步”按鈕，將出現(xiàn)“FTP站點主目錄”對話框，此對話框設(shè)置FTP站點的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點訪問權(quán)限”對話框，此對話框設(shè)置FTP站點的訪問權(quán)限，如圖單擊“下一步”按鈕，完成FTP站點創(chuàng)建，如圖右擊“FTP站點”下“practrain”站點，在彈出菜單中選擇“屬性”，在彈出的屬性對話框中選擇“安全賬戶”，將同意匿名連接去掉，點擊確定完成FTP站點配置，如圖單擊“開始”“治理工具”“計算機治理”，打開“計算機治理”操縱臺。選擇“本地用戶和用戶組”“用戶”，右擊新建“admin”用戶，如圖選中E盤下“web”文件夾右擊選擇“屬性”，彈出“web屬性”對話框中

31、選擇“安全”，點擊添加按鈕，如圖選擇“admin”用戶，點擊確定，如圖添加“admin”用戶的“修改”和“寫入”權(quán)限，如圖點擊確定，完成設(shè)置。單擊“下一步”按鈕，將出現(xiàn)“FTP站點內(nèi)容目錄”對話框，在“路徑”文本框中輸入虛擬目錄映射的物理位置.如圖單擊“下一步”按鈕，將出現(xiàn)“虛擬目錄訪問權(quán)限”對話框，在此處選擇“讀取”和“寫入”復(fù)選框，如圖任務(wù)驗收配置驗收 （1）查看DHCP配置信息打開“治理工具”中“DHCP”對話框，查看兩個作用域中的各種配置選項，如圖 圖3-205.6 項目驗收DHCP功能在PC1、上將本地網(wǎng)絡(luò)連接設(shè)置為“自動獲得IP地址”和“自動獲得DNS服務(wù)器地址”， 圖3-21在命

32、令提示符界面中鍵入“ipconfig /all”敲Enter鍵將可查看到客戶機獲得IP地址等參數(shù)情況，如圖3-22所示：圖3-22DNS 驗證：查看Internet信息服務(wù)（IIS）治理器配置 功能驗收網(wǎng)站訪問FTP功能驗收“admin”用戶登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限治理員登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限刪除文件夾5.7 項目總結(jié)實驗過程沒有劃分為不同網(wǎng)段，如需劃分網(wǎng)段需要添加DHCP服務(wù)器的網(wǎng)卡，并在其他主機上面配置DHCP中繼代理，為了使不同網(wǎng)段能夠通信，還要設(shè)置路由。 WEB跟FTP服務(wù)器的配置相對簡單，F(xiàn)TP服務(wù)器的權(quán)限是要注意的重點。用戶的訪

33、問是FTP服務(wù)器權(quán)限與文件夾權(quán)限的疊加。針對某集團公司辦公區(qū)網(wǎng)站建設(shè)任務(wù)內(nèi)容和目標，通過需求分析進行了實訓(xùn)的規(guī)劃和實施，通過本任務(wù)進行了DNS ,DHCP、WEB、FTP基礎(chǔ)配置等方面的實訓(xùn)。項目 6 集團公司網(wǎng)絡(luò)集中治理6.1 項目內(nèi)容 某集團公司一家在全國各地區(qū)有多個分公司的物流大型企業(yè)，在完成項目3內(nèi)容的組建基礎(chǔ)上，現(xiàn)需要對公司網(wǎng)絡(luò)進行統(tǒng)一治理，總部和各地分公司都能使用統(tǒng)一賬號訪問公司資源，為了保證網(wǎng)絡(luò)信息安全，需要提供公司各服務(wù)器和計算機微軟操作系統(tǒng)的補丁自動更新，請進行規(guī)劃和模擬實施。6.2 項目流程 SKIPIF 1 0 圖6-1 項目流程圖6.3 項目調(diào)查與需求分析6.3.1 項

34、目本項目針對集團軍公司的網(wǎng)絡(luò)進行治理，實現(xiàn)使用統(tǒng)一賬號訪問公司資源，并提供操作系統(tǒng)的補丁更新。6.3.21)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團公司分為總部和三個分公司網(wǎng)絡(luò)，分公司通過專線與總部連接，總部約有400臺計算機和多臺服務(wù)器，各分公司分不有50-100臺計算機，各分公司也各有1臺服務(wù)器提供網(wǎng)絡(luò)服務(wù)。2）具體需求需求1：采納先進的網(wǎng)絡(luò)技術(shù)和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡(luò)集中治理，以實現(xiàn)企業(yè)信息化的基礎(chǔ)。需求2：在總部和各地分公司均使用統(tǒng)一賬號高效穩(wěn)定地登錄和訪問公司資源，簡單有效。需求3：在總公司架設(shè)一臺服務(wù)器以提供公司各服務(wù)器和計算機操作系統(tǒng)的補丁自動更新。3）需求分析分析1：需要建

35、立一個域，并把公司計算機加入域中分析2：創(chuàng)建一個帳號，使全公司成員都能登錄進域中分析3：需要用WSUS來進行全公司的系統(tǒng)更新6.4 項目實訓(xùn)要求要求1（必做）：模擬本項目的網(wǎng)絡(luò)服務(wù)組建并完成項目的需求分析、規(guī)劃、實施文檔。要求2（必做）：模擬本項目的網(wǎng)絡(luò)組建并完成項目實施的文檔，模擬實現(xiàn)企業(yè)網(wǎng)總部及1個分公司區(qū)域的網(wǎng)絡(luò)，實現(xiàn)統(tǒng)一治理和站點登錄。要求3（選做）：在以上基礎(chǔ)上實現(xiàn)公司微軟操作系統(tǒng)補丁服務(wù)器的架設(shè)和配置。6.5 項目實施6.51可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項服務(wù)應(yīng)考慮和保證其安全性，幸免出現(xiàn)網(wǎng)絡(luò)安全事故而阻礙企業(yè)網(wǎng)服務(wù)。3可擴充性

36、 企業(yè)網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和進展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴充性。4有用性 應(yīng)能使用戶方便有用地訪問各種企業(yè)網(wǎng)服務(wù)并同意治理。6.5.2 項目活動目錄（Active Dirctory）活動目錄（Active Directory）是Windows 2003完全實現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的差不多結(jié)構(gòu)模型，是Windows 2003網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心治理機構(gòu)。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Dat

37、acenter Server的目錄服務(wù)。Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，同時讓治理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動目錄是一個全面的目錄服務(wù)治理方案，也是一個企業(yè)級的目錄服務(wù)，具有專門好的可伸縮性?；顒幽夸洸杉{了Internet的標準協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒幽夸洸粌H能夠治理差不多的網(wǎng)絡(luò)資源，比如計算機對象、用戶賬戶、打印機等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了差不多的治

38、理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用能夠直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動目錄也具有專門好的擴充能力，同意應(yīng)用程序定制目錄中對象的屬性或者添加新的對象類型?；顒幽夸浻脩襞c組Windows Server 2003所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲在域操縱器的Active Directory數(shù)據(jù)庫內(nèi)。用戶能夠利用域用戶賬戶登錄域，并利用它訪問網(wǎng)絡(luò)上的資源， 本地用戶賬戶：本地用戶賬戶是創(chuàng)建在非域操縱器的“本地安全賬戶數(shù)據(jù)庫”內(nèi)，而不是域操縱器的Active Directory數(shù)據(jù)庫內(nèi)。Windows

39、Server 2003將位于域中的組分為以下兩種類型：安全組：安全組能夠被用來設(shè)置權(quán)限，例如，能夠設(shè)置讓安全組對文件具備“讀取”的權(quán)限。安全組也能夠用在與安全無關(guān)的任務(wù)上，例如，能夠通過電子郵件軟件將電子郵件發(fā)送給安全組。分布式組：分布式組是用在與安全（權(quán)限的設(shè)置等）無關(guān)的任務(wù)上，例如，能夠通過電子郵件軟件將電子郵件發(fā)送給分布式組。用戶無法設(shè)置分布式組的權(quán)限?；顒幽夸浾军c與復(fù)制活動目錄“站點”是由一個或多個IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過高速連接所串接起來的，而那個地點所謂的“高速”是指這些子網(wǎng)之間的連接速度要夠快才能夠，否則應(yīng)該將它們分不規(guī)劃為不同的站點。 域是邏輯的分組，站點是物理的分

40、組。每個站點可能包含多個域，一個域內(nèi)的計算機可能同時分不屬于不同的站點。同一個站點內(nèi)的同一個域操縱器會自動設(shè)置執(zhí)行復(fù)制，其默認的復(fù)制頻率比不同站點之間快。除了特不小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個位置，以便于所有用戶均等地使用。通過復(fù)制，Active Directory目錄服務(wù)在多個域操縱器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory 使用一種多主機復(fù)制模型，同意在任何域操縱器上（而不只是委派的主域操縱器上）更改目錄。Active Directory 依靠站點概念來保持復(fù)制的效率，并依靠知識一致性檢查器 (KCC) 來自動確定網(wǎng)絡(luò)的最佳復(fù)

41、制拓撲。組策略組策略是治理員為用戶和計算機定義并操縱程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的要緊工具。通過使用組策略能夠設(shè)置各種軟件、計算機和用戶策略，能夠完成用戶所需軟件的自動安裝、自動定制用戶環(huán)境、自動將用戶的文件夾重定向等一系列高級功能。例如，可使用“組策略”關(guān)心用戶自動安裝軟件、從桌面刪除圖標、自定義“開始”菜單并簡化“操縱面板”。此外,還可添加在計算機上（在計算機啟動或停止時，以及用戶登錄或注銷時）運行的腳本，甚至可配置Internet Explorer等多種功能。要實現(xiàn)用“組策略”治理網(wǎng)絡(luò)中的計算機和用戶，需要網(wǎng)絡(luò)中有Active Directory服務(wù)器，工作站須是Windows 2000

42、、Windows XP或Windows Server2003等操作系統(tǒng)，同時加入到Active Directory域中，還需創(chuàng)建與配置“組織單位”的組策略。Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設(shè)計用來大量精簡IT系統(tǒng)在執(zhí)行重大更新時的程序。通過使用 Windows Server 更新服務(wù) (WSUS)，治理員能夠快速而可靠地將 Windows 2000 操作系統(tǒng)和更高版本、Office XP 和更高版本、Exchange Server 20

43、03 以及 SQL Server 2000 的最新關(guān)鍵更新和安全更新部署到 Windows 2000 和更高版本的操作系統(tǒng)。Windows 自動更新是Windows 的一項功能，當適用于您的計算機的重要更新公布時，它會及時提醒用戶下載和安裝。使用自動更新能夠在第一時刻更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，愛護計算機安全。在小規(guī)模的網(wǎng)絡(luò)當中，客戶端能夠通過windows系統(tǒng)自帶的自動更新來從微軟下載補丁。但在大中型的網(wǎng)絡(luò)當中，假如每臺計算機都單獨去微軟更新補丁，那么則會極大的阻礙企業(yè)的外部網(wǎng)絡(luò)帶寬。WSUS的思路是先用一臺計算機（wsus）去微軟檢測并選擇要下載補丁，然后網(wǎng)絡(luò)內(nèi)其他的計算機從WSUS服務(wù)器

44、來下載補丁，它也可直接下發(fā)補丁。如此也既可不能白費外部網(wǎng)絡(luò)帶寬，也能讓所有的計算機得到更新。6.5.3 實訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號數(shù)量（每組）備注交換機H3C3100 1臺服務(wù)器宏基P43臺計算機宏基P43臺服務(wù)器操作系統(tǒng)Windows Server20033可使用虛擬機環(huán)境服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表服務(wù)器名角色IP地址SrvAD-01域操縱器0SrvAD-02域成員3實施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動目錄（用戶治理、計算機加入域、站點與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計算機參數(shù)并依照需求驗證實現(xiàn)的功能

45、5）完成項目文檔資料6.5.4 實施步驟（請將要緊實施步驟整理列出）1.在SrvAD-01上安裝域操縱器2.在SrvAD-02上安裝子域操縱器3.建立賬號，用來集中治理4.設(shè)置組策略6.6 項目驗收兩臺服務(wù)器的域操縱器站點驗證統(tǒng)一治理用戶驗證安全策略驗證6.7 項目總結(jié)通過這次實訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來治理計算機能大大的節(jié)約人力和時刻，并能夠增強安全。在本次實訓(xùn)項目中，讓我們收獲了專門多往常沒有了解的知識面。才明白往常我們上課掌握的知識確實是太少了 ，在這之前我關(guān)于一些服務(wù)器安裝和配置都有一些陌生，在建立域之前，應(yīng)收集實際環(huán)境的信息，按照實際來設(shè)計和配置每個服務(wù)器和個人電腦的角色。從而

46、強化我們的動手能力和應(yīng)對能力。在實際的環(huán)境中也能揮曬自如。項目 7 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)7.1 項目內(nèi)容 某高等職業(yè)學(xué)院差不多在項目2的基礎(chǔ)上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)打算有兩條出口線路分不與CHINANET和CERNET連接，需實現(xiàn)校園網(wǎng)所有用戶對外訪問，同時校園網(wǎng)的WEB、FTP等服務(wù)器需要提供校外用戶訪問，還可提供學(xué)校用戶在家訪問學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時為了保障校園網(wǎng)絡(luò)安全，需要對校園網(wǎng)的服務(wù)器操作系統(tǒng)進行安全防護，同時打算部署全網(wǎng)的防病毒系統(tǒng)，請進行校園網(wǎng)的安全進行規(guī)劃和模擬實施。7.2 項目流程 SKIPIF 1 0 圖7-1 項目流程圖7.3 項目調(diào)查與需求分析

47、7. 3. 本項目針對校園園區(qū)網(wǎng)的網(wǎng)絡(luò)安全進行建設(shè)和治理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部安全訪問校園網(wǎng)內(nèi)部，并進行防病毒系統(tǒng)的部署。7. 3. 21) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺服務(wù)器提供服務(wù)，校園網(wǎng)通過租用1條100M電信線路和1條10M教育網(wǎng)線路分不連接互聯(lián)網(wǎng)和CERNET。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：30/27 37/27。2）具體需求需求1：采納先進的網(wǎng)絡(luò)通信技術(shù)和合理的網(wǎng)絡(luò)結(jié)構(gòu)進行校園網(wǎng)出口部分的建設(shè)，實現(xiàn)內(nèi)部用戶快捷安全訪問互聯(lián)網(wǎng)和教育網(wǎng)。需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶能安全方便地

48、訪問學(xué)校的公共資源和信息。需求3：一些校園網(wǎng)內(nèi)部的資源（例如辦公系統(tǒng)、電子圖書等）需要提供學(xué)校的教職職員在外安全訪問。需求4：保障和加強服務(wù)器安全性，對校園網(wǎng)的服務(wù)器操作系統(tǒng)進行安全防護，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。需求5：為保障校園網(wǎng)全網(wǎng)安全，加強各用戶計算機的安全防護，安裝使用防病毒軟件。3）需求分析分析1：使用合理規(guī)劃的地址和路由協(xié)議使校園網(wǎng)用戶能夠連接到,并通過專線連接到教育網(wǎng)分析2：為了使互聯(lián)網(wǎng)用戶能夠訪問到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB 與FTP 服務(wù)器為用戶提供訪問。分析3：配置虛擬專用網(wǎng)（VPN）為校外出差人員提供遠程訪問。分析4：在校園網(wǎng)出口位置配置NAT防火墻。提

49、供私有地址與公共IP地址轉(zhuǎn)換。分析5：安裝必要的殺毒軟件7.4 項目實訓(xùn)要求要求1（必做）：模擬本項目的網(wǎng)絡(luò)安全系統(tǒng)組建并完成項目實施的文檔，模擬實現(xiàn)校園網(wǎng)絡(luò)的安全防護。要求2（必做）：使用防火墻或軟件進行校園網(wǎng)出口互聯(lián)網(wǎng)部分的內(nèi)外網(wǎng)轉(zhuǎn)換（NAT），服務(wù)器的對外公布訪問和安全（SAT）。要求3（必做）：進行服務(wù)器操作系統(tǒng)的安全配置和防護。（主機安全）要求3（選做）：使用防火墻或軟件進行校園網(wǎng)的外部安全訪問內(nèi)部網(wǎng)絡(luò)（VPN）。要求4（選做）：進行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實施。7.5 項目實施7.51可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項

50、服務(wù)應(yīng)考慮和保證其安全性，幸免出現(xiàn)網(wǎng)絡(luò)安全事故而阻礙校園網(wǎng)服務(wù)。3可擴充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和進展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴充性。4有用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點，應(yīng)能使用戶方便有用地訪問各種校園網(wǎng)服務(wù)。7.5.2 項目防火墻傳統(tǒng)意義的防火墻被設(shè)計用來防止火從大廈的一部份。在網(wǎng)絡(luò)上防火墻簡單的能夠只用路由器實現(xiàn)，復(fù)雜的能夠用主機甚至一個子網(wǎng)來實現(xiàn)。設(shè)置防火墻目的差不多上為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全治理。防火墻是一種高級訪問操縱設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能依照企業(yè)有關(guān)的安全政策

51、執(zhí)行同意，拒絕，監(jiān)視，記錄進出網(wǎng)絡(luò)的行為。防火墻是一個或一組系統(tǒng)，用于治理兩個網(wǎng)絡(luò)直接的訪問操縱及策略，所有從內(nèi)部訪問外部的數(shù)據(jù)流和外部訪問內(nèi)部的數(shù)據(jù)流均必須通過防火墻；只有在被定義的數(shù)據(jù)流才能夠通過防火墻(假如通過其他方式帶出信息，則無法防備），防火墻本身必須有專門強的免疫力。防火墻技術(shù)防火墻通常使用的安全操縱手段要緊有包過濾、狀態(tài)檢測、代理服務(wù)。包過濾技術(shù)是一種簡單、有效的安全操縱技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載同意、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全操縱層

52、次在網(wǎng)絡(luò)層、傳輸層，安全操縱的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全操縱，關(guān)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全操縱方法。對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，同意符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就能夠通過。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)懷數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的事件來處理。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)

53、容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機服務(wù)器模式實現(xiàn)的。每個客戶機服務(wù)器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務(wù)器。另外，每個代理需要一個不同的應(yīng)用進程，或一個后臺運行的服務(wù)程序，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。因此，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡(luò)的第一道屏障。依照防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墻就仿佛是一臺網(wǎng)橋，不改動其原有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備和所

54、有計算機的設(shè)置（包括IP地址和網(wǎng)關(guān)）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶治理的復(fù)雜程度。透明模式的防火墻結(jié)構(gòu)如下圖所示。 2.路由模式傳統(tǒng)防火墻一般工作于路由模式，防火墻能夠讓處于不同網(wǎng)段的計算機通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如下圖所示:3.混合模式在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:防火墻產(chǎn)品簡介1阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內(nèi)核，即：防火墻沒有操作系統(tǒng)，因此可不能存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時，因為操作系統(tǒng)需要不斷

55、地去維護、升級，無操作系統(tǒng)就不存在此類問題，這也排除了因為系統(tǒng)升級、打補丁破壞防火墻功能、性能的問題。阿姆瑞特防火墻內(nèi)核啟動后，可直接治理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它能夠在底層從硬件設(shè)備中接管進出防火墻數(shù)據(jù)并進行處理，利用了所有可能的硬件性能，同時減少了操作系統(tǒng)的開銷，因此能夠最快的處理數(shù)據(jù)，使其成為市場上現(xiàn)有的最快的防火墻之一。2ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級不的路由軟件防火墻，它能夠讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能能夠和硬件防火墻媲美，同時深層次的應(yīng)

56、用層識不功能是目前專門多基于包過濾的硬件防火墻都不具備的，能夠在網(wǎng)絡(luò)的任何地點，如兩個或多個網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個主機上配置ISA Server 來對網(wǎng)絡(luò)或主機進行防護。ISA Server的要緊特性：（1）多層防火墻安全防火墻能夠通過各種方法增強安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡(luò)層提供愛護，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報。(2）狀態(tài)檢測狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，

57、ISA Server 檢查在 IP 消息頭中指明的通信來源和目標，以及在標識所采納的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的 TCP 或 UDP 消息頭中的端口。動態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請求，同時打開端口的持續(xù)時刻恰好滿足該請求的需要，從而減少與打開端口相關(guān)的攻擊。ISA Server 能夠動態(tài)地確定，哪些數(shù)據(jù)包能夠傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。治理員能夠配置訪問策略規(guī)則，以便只在同意的情況下自動打開端口，然后當通信結(jié)束時關(guān)閉端口。這一過程稱為動態(tài)數(shù)據(jù)包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。(3）集成的入侵檢測ISA Server利用一

58、家名為 Internet Security Systems 的公司所提供的技術(shù)，提供關(guān)心治理員識不諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。同時ISA能夠自動對其作出響應(yīng)。這項技術(shù)給 ISA Server 提供了能識不此類攻擊的集成入侵檢測機制。當識不出這種攻擊時，警報還能同時指出 ISA Server 應(yīng)采取什么行動，這些行動可包括向系統(tǒng)治理員發(fā)送電子郵件或?qū)ず簦Ｖ?Firewall 服務(wù)，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。(4）高性能 Web 緩存ISA Server 對 Web 緩存進行了完全的重新設(shè)計，使它能夠?qū)⒕彺娣湃?RA

59、M 中我明白現(xiàn)在專門多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強的后端可伸縮性，并提供了更快的 Web 客戶機總體響應(yīng)時刻。這關(guān)于企業(yè)內(nèi)部來講尤其重要，因為職員需要快速訪問 Web 內(nèi)容，而企業(yè)也需要適當?shù)墓?jié)約網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。因此您能夠通過多臺 ISA Server 計算機組成的陣列來提供無縫縮放和更高的效率。(6)活動緩存通過一個叫做活動緩存的功能，可配置 ISA S

60、erver 使其自動更新緩存中的對象。使用這種功能，ISA Server 可通過主動刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動緩存，經(jīng)常被訪問的對象在它們到期之前，在低網(wǎng)絡(luò)流量時段自動更新。(7)統(tǒng)一治理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 治理操縱臺(MMC，Microsoft Management Console)。所有這些功能，特不是 MMC，會使得治理更容易，因為操作人員熟悉它，并可從一個操縱臺同時治理防火墻和 Web 緩存。(8)企業(yè)策略和訪問操縱ISA Server 還支持創(chuàng)建企業(yè)級和