企業(yè)網(wǎng)絡管理與安全實訓

第1局部企業(yè)網(wǎng)絡組建實訓PAGE88第二局部企業(yè)網(wǎng)絡管理與平安實訓在企業(yè)組建網(wǎng)絡根底設施后，還需要提供應用戶各種的網(wǎng)絡和信息效勞，同時隨著互聯(lián)網(wǎng)各種應用的不斷開展，大量的網(wǎng)絡應用成為黑客/病毒制造者的攻擊目標，需要企業(yè)采取必要的技術、設備和措施來保證企業(yè)網(wǎng)絡的正常穩(wěn)定運行，還需要運用各種網(wǎng)絡管理工具、軟件、設備對企業(yè)網(wǎng)絡的交換設備、路由設備、效勞器、防火墻等各種網(wǎng)絡設備進行進行配置管理、性能管理、故障管理、平安管理和計費管理，保障網(wǎng)絡的正常運行和性能優(yōu)化。。工程5校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實施5.1工程內(nèi)容某學院校園網(wǎng)根底設施已根據(jù)工程2組建完成，并通過兩條線路分別接入了電信互聯(lián)網(wǎng)和CERTNET教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提供各種網(wǎng)絡效勞和信息效勞，分別提供校園網(wǎng)IP地址分配、內(nèi)外網(wǎng)域名解析、學院網(wǎng)站、FTP資源下載等效勞，請給出解決方法并進行實施。5.2工程流程SKIPIF1<0圖5-1工程流程圖5.3工程調(diào)查與需求分析5.3.1工程本工程針對學院需要提供各種根底網(wǎng)絡效勞，分別實現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學院網(wǎng)站、FTP資源下載等效勞。5.3.2需求1〕具體需求經(jīng)調(diào)查和與用戶溝通，具體的需求如下:需求1：為校園網(wǎng)各區(qū)域用戶提供IP地址等參數(shù)分配，需要兩臺效勞器提供效勞，一臺備用。需求2：為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各效勞器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺效勞器提供效勞，一臺備用，學院的域名解析可根據(jù)校園網(wǎng)的兩條線路分別對不同來源IP地址解析出對應線路的效勞器IP以提高用戶訪問效率。需求3:架設校園網(wǎng)的WWW效勞器提供信息訪問、FTP效勞器提供資源下載，WWW效勞器需要為多個部門提供不同網(wǎng)站，并考慮效勞器的平安和穩(wěn)定性。3〕需求分析分析1：按照要求需要一臺DHCP效勞器為校園網(wǎng)用戶分配IP地址、一臺作為備用DHCP效勞器。兩臺效勞器分別位于不同的主機。 分析2：需要為校園網(wǎng)用戶的各個效勞器提供域名解析系統(tǒng)〔DNS〕，同樣需要兩臺DNS效勞器，一臺主DNS效勞器，一臺輔助DNS效勞器。分析3：校園網(wǎng)WWW效勞器，F(xiàn)TP效勞器，WWW效勞器可以通過FTP效勞器上傳或下載資料，管理員可以通過FTP效勞器為WWW效勞器更新信息。FTP效勞器不允許匿名登錄。兩臺效勞器可以在同一臺主機上完成。 5.4工程實訓要求要求1〔必做〕：模擬本工程的網(wǎng)絡效勞組建并完成工程的需求分析、規(guī)劃、實施文檔。要求2〔必做〕：安裝配置DHCP效勞器、DNS效勞器、WEB效勞器、FTP效勞器，分別在WindowsServer和Linux環(huán)境下進行安裝配置提供相同功能。要求3〔選做〕在Linux下實現(xiàn)DNS效勞器對于同一域名根據(jù)來源不同的IP解析出不同的地址。5.5工程實施5.51．可靠性提供網(wǎng)絡效勞的效勞器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡效勞。2．平安性各項效勞應考慮和保證其平安性，防止出現(xiàn)網(wǎng)絡平安事故而影響校園網(wǎng)效勞。3．可擴充性校園網(wǎng)需要提供的效勞將隨著信息效勞的需求和開展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡效勞應具有可擴充性。4．實用性校園網(wǎng)具有用戶數(shù)量多、應用環(huán)境復雜的特點，應能使用戶方便實用地訪問各種校園網(wǎng)效勞。5.5.2工程DHCP效勞器DHCP〔DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議〕可以減少管理的復雜性和負擔，DHCP使用了租約的概念，或稱為計算機IP地址的有效期。租用時間是不定的，主要取決于用戶在某地聯(lián)接Internet需要多久，這對于用戶頻繁改變的環(huán)境是很實用的。通過較短的租期，DHCP能夠在一個計算機比可用IP地址多的環(huán)境中動態(tài)地重新配置網(wǎng)絡。1〕DHCP系統(tǒng)組成DHCP客戶：DHCP客戶通過DHCP來獲得網(wǎng)絡配置參數(shù)Internet主機，通常就是普通用戶的工作站DHCP效勞器：DHCP效勞器提供網(wǎng)絡設置參數(shù)給DHCP客戶Internet主機DHCP中繼代理：在DHCP客戶和效勞器之間轉(zhuǎn)發(fā)DHCP消息的主機或路由器2〕DHCP效勞器DHCP效勞器控制一段IP地址范圍，客戶機登錄效勞器時就可以自動獲得效勞器分配的IP地址和子網(wǎng)掩碼。DHCP作用域是一個網(wǎng)絡中的所有可分配的IP地址的連續(xù)范圍。作用域主要用來定義網(wǎng)絡中單一的物理子網(wǎng)的IP地址范圍。作用域是效勞器用來管理分配給網(wǎng)絡客戶的IP地址的主要手段。DHCP效勞器可以使用WindowsServer、Linux等網(wǎng)絡操作系統(tǒng)擔當，也可以使用具有DHCP功能的交換機、路由器等設備。DNS效勞器DNS〔DomainNameSystem，域名系統(tǒng)〕是因特網(wǎng)的一項核心效勞,它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS是一種包含DNS主機名到IP地址映射的分布式、分層式數(shù)據(jù)庫，DNS是Internet名稱方案的根底和企業(yè)名稱方案的根底。InterNIC負責全球域名空間的委派管理和域名注冊。DNS組件DNS效勞器：運行DNS效勞的計算機，承載一個名稱空間或局部名稱空間〔域〕，對名稱空間或域具有權威性，負責解析DNS客戶端〔DNS客戶端即解析器〕提交的名稱解析請求。DNS客戶端：運行DNS客戶端效勞的計算機DNS資源記錄：DNS數(shù)據(jù)庫中將主機名映射到資源的工程因特網(wǎng)上的因特網(wǎng)上的DNS效勞器DNS效勞器DNS客戶端根“.〞.資源記錄資源記錄圖5-1 DNS組件DNS域名空間DNS命名格式中，域名空間的授權以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結(jié)構(gòu)，一些授權的機構(gòu)可以各自轉(zhuǎn)換其權限以內(nèi)的名字和IP地址。DNS的命名是為全球性的網(wǎng)絡設備分配名字，由分布式名字效勞器組實施。區(qū)域是DNS名稱空間的一個管理單元，它可以由單一的DNS域或者結(jié)合了局部或全部子域的域組成；DNS效勞器的管轄范圍不是以“域〞為單位，而是以“區(qū)域〞為單位。SKIPIF1<0圖5-2DNS域名空間結(jié)構(gòu)DNS效勞器的類型根域名效勞器：根域名效勞器是最重要的域名效勞器。所有的根域名效勞器都知道所有的頂級域名效勞器的域名和IP地址。不管是哪一個本地域名效勞器，假設要對因特網(wǎng)上任何一個域名進行解析，只要自己無法解析，就首先求助于根域名效勞器。在因特網(wǎng)上共有13個不同IP地址的根域名效勞器，它們的名字是用一個英文字母命名，從a一直到m〔前13個字母〕。頂級域名效勞器：負責管理在該頂級域名效勞器注冊的所有二級域名。當收到DNS查詢請求時，就給出相應的答復〔可能是最后的結(jié)果，也可能是下一步應當找的域名效勞器的IP地址〕。權限域名效勞器：負責一個區(qū)的域名效勞器。當一個權限域名效勞器還不能給出最后的查詢答復時，就會告訴發(fā)出查詢請求的DNS客戶，下一步應當找哪一個權限域名效勞器。本地域名效勞器：本地域名效勞器對域名系統(tǒng)非常重要。當一個主機發(fā)出DNS查詢請求時，這個查詢請求報文就發(fā)送給本地域名效勞器。每一個因特網(wǎng)效勞提供者都可以擁有一個本地域名效勞器，這種域名效勞器有時也稱為默認域名效勞器。4〕DNS查詢查詢是向DNS效勞器發(fā)出的名稱解析請求。查詢有兩種類型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給DNS效勞器，DNS客戶端需要DNS效勞器提供一個完整的查詢應答。迭代查詢：迭代查詢是DNS客戶端向DNS效勞器發(fā)出的查詢請求，DNS效勞器無需通過其他DNS效勞器而給出查詢結(jié)果的查詢。迭代查詢通常發(fā)生在上級域指引到下級域。SKIPIF1<0圖5-3DNS查詢過程DNS效勞器可以使用WindowsServer2024安裝和配置DNS效勞作為DNS效勞器，Linux效勞器使用著名的BIND〔BerkeleyInternetNameDomain〕軟件實現(xiàn)，DNS客戶端可通過DHCP效勞器分配DNS參數(shù)或手動指定。WEB效勞器WEB效勞器也稱為WWW(WorldWideWeb)效勞器，主要功能是提供網(wǎng)上信息瀏覽效勞，是互聯(lián)網(wǎng)開展最快和目前用的最廣泛的效勞。。其應用層使用HTTP協(xié)議，使用HTML文檔格式傳輸信息資源，客戶機瀏覽器使用統(tǒng)一資源定位器(URL)來訪問WEB效勞器資源。目前使用最多的webserver效勞器軟件有：微軟的信息效勞器〔IIS〕和Apache：1〕IISIIS是英文InternetInformationServer〔Internet信息效勞〕的縮寫，它是微軟公司主推的WEB效勞器，IIS與WindowServer完全集成在一起，因而用戶能夠利用WindowsServer和NTFS內(nèi)置的平安特性，建立強大，靈巧而平安的Internet站點。IIS支持HTTP〔HypertextTransferProtocol，超文本傳輸協(xié)議〕，F(xiàn)TP〔FeleTransferProtocol，文件傳輸協(xié)議〕以及SMTP協(xié)議，通過使用CGI和ISAPI，IIS可以得到高度的擴展。IIS支持與語言無關的腳本編寫和組件，通過IIS，開發(fā)人員就可以開發(fā)新一代動態(tài)的，富有魅力的Web站點。IIS不需要開發(fā)人員學習新的腳本語言或者編譯應用程序，IIS完全支持VBscript，Jscript開發(fā)軟件以及Java，它也支持CGI和WinCGI，以及ISAPI擴展和過濾器。2〕ApacheHTTPServerApacheHTTPServer源于NCSAhttpd效勞器，經(jīng)過屢次修改，成為世界上最流行的Web效勞器軟件之一。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理效勞器來使用。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。Apache支持許多特性，大局部通過編譯的模塊實現(xiàn)。這些特性從效勞器端的編程語言支持到身份認證方案。一些通用的語言接口支持Perl，Python，Tcl和PHP。流行的認證模塊包括mod_access，mod_auth和mod_digest。其他的例子有SSL和TLS支持〔mod_ssl〕，代理效勞器(proxy)模塊，很有用的URL重寫〔由mod_rewrite實現(xiàn)〕，定制日志文件〔mod_log_config〕，以及過濾支持〔mod_include和mod_ext_filter〕。Apache日志可以通過網(wǎng)頁瀏覽器使用免費的腳本AWStats或Visitors來進行分析。FTP效勞器文件傳輸協(xié)議(FTP)是一種常用的應用層協(xié)議。FTP用于客戶端和效勞器之間的文件傳輸。FTP客戶端是一種在計算機上運行的應用程序。通過運行FTP守護程序(FTPd)，F(xiàn)TP客戶端可以從效勞器中收發(fā)文件。為了保障文件的成功傳輸，F(xiàn)TP要求在客戶端和效勞器之間建立兩條連接：一條是命令和回復連接，另一條是實際文件傳輸連接?？蛻舳嗽赥CP的21號端口建立第一條連接。該連接由客戶端命令和效勞器回復組成，用于管理傳輸流量；第二條連接建立在TCP的20號端口。每當有文件需要傳輸時建立該連接，用于實際文件傳輸。在兩個方向上，都可以進行文件傳輸。即客戶端可以從效勞器中下載〔取〕文件，也可以向效勞器中上傳〔放〕文件。常用的組建FTP效勞器方法有：Windows下使用IIS架設FTP站點、Linux下的wu-ftpd、vsftpd、使用FTP效勞器軟件〔Serv-U、Gene6等〕。5.5實訓設備與軟件設備類型設備型號數(shù)量〔每組〕備注交換機H3C31001臺效勞器宏基P42臺計算機宏基P44臺效勞器操作系統(tǒng)WindowsServer20242可使用虛擬機環(huán)境效勞器操作系統(tǒng)CentOS5.22可使用虛擬機環(huán)境效勞器命名規(guī)那么效勞器命名沒有絕對的標準，一般都是按工程慣例和管理標準來進行命名，應本著明確、簡潔、無二義性的原那么。實訓工程中效勞器命名規(guī)那么建議如下：SrvDHCP-01序號效勞器功能序號效勞器功能效勞器功能中，Srv表示效勞器、DHCP表示效勞器功能。效勞器序號中，01代表第一臺，02代表第二臺，依此類推。效勞器參數(shù)及分配的網(wǎng)絡參數(shù)規(guī)劃表效勞器名稱IP地址SrvDHCP-01/18SrvDHCP-02 /18主DNS/18輔助DNS/18WWW/18 FTP/18DHCP地址分配范圍為–/18大約可同時為兩萬名用戶提供上網(wǎng)需求。地址租期為1天注：由于模擬環(huán)境不好操作，所以全部采用同一個網(wǎng)段的IP作為分配地址。分配區(qū)域IP地址分配范圍默認網(wǎng)關效勞器－/18宿舍區(qū)－/18教師辦公區(qū)－/18教學區(qū)－/18教師公寓－/18其它區(qū)域－/18實施步驟規(guī)劃1〕規(guī)劃分配效勞器參數(shù)2〕安裝效勞器操作系統(tǒng)3〕安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡效勞4〕配置計算機參數(shù)并根據(jù)需求驗證實現(xiàn)的功能5〕完成工程文檔資料5.5.4實施步驟〔請將主要實施一．DHCP效勞器的配置〔1〕根據(jù)實訓拓撲圖進行交換機、計算機的線纜連接，配置DHCPSERVER的IP地址?！?〕在SERVER上安裝DHCP效勞器在安裝DHCP效勞器之前，請注意以下事項：只有效勞器等級的計算機可以安裝DHCP效勞器，例如WindowsServer2024，而WindowsXP等客戶端計算機無此功能。DHCP效勞器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認網(wǎng)關等信息必須以手工的方式輸入。事先規(guī)劃好可出租給客戶端計算機的IP地址池〔也就是IP作用域〕。單擊“開始〞→“管理工具〞→“配置您的效勞器向?qū)Ж?，選中“DHCP效勞器〞，然后單擊“下一步〞按鈕，開始安裝DHCP效勞器。如圖3-7，圖3-8所示：圖3-7圖3-8安裝完成之后將彈出“新建作用域向?qū)Ж晫υ捒?，使用此向?qū)?chuàng)立作用域。1、填寫新建作用域的名稱和說明文字。此名稱和說明性文字并無特別要求，只是起一個區(qū)別于其他作用域的作用。此處，將作用域名稱填成“總經(jīng)理〞，說明性文字為“總經(jīng)理辦公室〞.如圖3-9所示：圖3-92、再點“下一步〞，進入設置IP地址范圍和子網(wǎng)掩碼的對話框，在“起始IP地址〞項中填寫該IP地址段的起始IP地址長就為18。填寫完后，如圖3-10所示：圖3-103、單擊“下一步〞進入下一個對話框，設置想排除開不用于分配的IP地址范圍。。如圖3-11所示圖3-114、填寫完成后點“下一步〞進入IP租期設置對話框了。租期將設置客戶機分配到IP地址的使用期限。當客戶機使用分配到的IP地址時間超過了此租期，效勞器將強行收回分配給客戶機的IP地址。此處設置為1天。如圖3-12所示：圖3-125、單擊“下一步〞進入配置DHCP選項的對話框。在此對話框中，將選擇是否需要對客戶機分配DNS、路由器、WINNS等效勞器的IP地址。在大型網(wǎng)絡中，特別是與internet互聯(lián)的網(wǎng)，這些效勞都是很重要的。在此選擇“是〞。如圖3-13所示：圖3-136、單擊“下一步〞進入設置路由器〔即網(wǎng)關〕的設置。在“IP地址〞項中填寫路由器的IP地址。此處填寫為：。填寫完成后點“添加〞按鈕即。如圖3-14所示：圖3-147、單擊“下一步〞進入域名和DNS效勞器的設置對話框了。此處設置的域名和DNS效勞器的地址將被分配給客戶機。在“父域〞選項中填寫DNS的父域名〔參考DNS效勞器配置實訓〕此處填寫成在“效勞器名〞選項中填寫DNS效勞器的效勞器名稱。此處我們填寫為dns。在“IP地址〞項中填寫DNS效勞器的IP地址。此處填寫為.填寫完成后點“添加〞按鈕即可。如圖3-15所示：圖3-158、點擊“下一步〞，進入WINS效勞器的設置對話框?？梢圆辉O置9、點擊“下一步〞進入激活作用域的對話框。在此對話框中將選擇“是，我想現(xiàn)在就激活此作用域〞。如圖3-17所示：圖3-1710、單擊“下一步〞再點“完成〞即完成該作用域的建立了。如圖3-18所示：二．DNS效勞器的設置在主機上安裝DNS配置軟件，然后創(chuàng)立區(qū)域圖3-11單擊“下一步〞進入?yún)^(qū)域名稱設置對話框。此對話框指定正向區(qū)域名稱〔區(qū)域名稱應與其管理的域相對應〕。此處填寫為“〞。如圖3-12所示：圖3-12單擊“下一步〞進入動態(tài)更新的設置。在此對話框中指定創(chuàng)立的區(qū)域是否支持動態(tài)更新，此處選擇“不允許動態(tài)更新〞如圖3-14所示：圖3-14單擊“下一步〞選擇是否創(chuàng)立反向查找區(qū)域。在此處，選擇“是〞如圖3-10所示：圖3-15單擊“下一步〞進入?yún)^(qū)域類型對話框，此處選擇“主要區(qū)域〞。如圖3-16所示：圖3-16單擊“下一步〞進入“反向查找區(qū)域名稱〞對話框。在此對話框中指定反向區(qū)域的名稱〔可以輸入IP地址的網(wǎng)絡ID，由系統(tǒng)自動指定反向區(qū)域名稱；也可以自行輸入反向區(qū)域名稱〕，此處填寫“192.168.1”圖3-17單擊“下一步〞區(qū)域文件對話框。在此對話框中，將選擇創(chuàng)立新的反向區(qū)域文件〔名稱可自行指定〕或使用現(xiàn)存的反向區(qū)域文件，在此填寫“1.168.192..dns〞。如圖3-18所示：圖3-18單擊“下一步〞配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢〞。如圖3-19所示：圖3-19單擊“下一步〞完成DNS向?qū)渲?。如圖3-19所示：圖3-19〔3〕在Server1上創(chuàng)立資源記錄：翻開DNS管理控制臺，在左側(cè)控制臺樹中選擇要創(chuàng)立資源記錄的正向主要區(qū)域，然后在右側(cè)控制臺窗口的空白處右擊，在彈出菜單中選擇相應功能項即可創(chuàng)立資源記錄。如圖選擇“新建主機〔A〕〞，翻開“新建主機〞對話框，通過此對話框創(chuàng)立“host〞記錄，如圖選擇“新建別名〔CHANE〕〞，翻開“新建資源記錄〞對話框，在左側(cè)控制臺樹中選擇要創(chuàng)立資源記錄的反向主要區(qū)域〔4〕在Server1上指定輔助DNS效勞器：在正向主要區(qū)域上右擊，在彈出的菜單中選擇“屬性〞命令，如圖在翻開的區(qū)域?qū)傩詫υ捒蛑袉螕簟懊Q效勞器〞，將翻開“名稱效勞器〞選項卡；在該選項卡中單擊“添加〞，在此添加輔助DNS效勞器。如圖單擊“確定〞，完成配置，然后采用同樣的方法在反向主要區(qū)域上指定輔助DNS效勞器，如圖〔5〕在Server2上安裝輔助DNS效勞器：參考步驟1，安裝DNS效勞。翻開“區(qū)域類型〞對話框；在此對話框中選擇“輔助區(qū)域〞如圖單擊“下一步〞，“區(qū)域名稱〞對話框中，輸入?yún)^(qū)域名稱，該名稱應與該DNS區(qū)域的主DNS區(qū)域的主DSN效勞器上的主要區(qū)域名稱完全相同，如圖單擊“下一步〞“主DNS效勞器〞對話框。在此對話框中指定DNS效勞器的IP地址，如圖單擊“下一步〞完成輔助DNS配置，返回DNS管理控制臺，此時能夠看到從主DNS效勞器復制而來的區(qū)域數(shù)據(jù)。如圖采用同樣的方法，創(chuàng)立反向輔助區(qū)域。三．FTP效勞器的創(chuàng)立1〕根據(jù)實訓拓撲圖進行交換機、計算機的線纜連接，配置PC1、PC2、WebServer的IP地址?！?〕WebServer上安裝IIS效勞。單擊“開始〞→“管理工具〞→“配置您的效勞器向?qū)Ж?，選中“DHCP效勞器〞，然后單擊“下一步〞按鈕，開始安裝DHCP效勞器。如圖3-7，圖3-8所示：〔3〕WebServer上創(chuàng)立總公司網(wǎng)站。單擊“開始〞→“管理工具〞→“Internet信息效勞〔IIS〕管理器〞，翻開“Internet信息效勞〔IIS〕管理器〞控制臺。右擊“網(wǎng)站〞，在彈出的菜單中選擇“新建〞→“網(wǎng)站〞，將翻開“網(wǎng)站創(chuàng)立向?qū)Ж晫υ捒?。單擊“下一步〞按鈕，將出現(xiàn)“IP地址和端口設置〞對話框，在此對話框中設置網(wǎng)站IP地址“”，TCP端口號“80〞，主機頭、“〞〔主機頭即網(wǎng)站的FQDN，參考5.2.3對DNS進行配置，實現(xiàn)對新主機頭www.scetop單擊“下一步〞按鈕，將出現(xiàn)“網(wǎng)站主目錄〞對話框，在此對話框設置網(wǎng)站主目錄“E:\practrain-web〞和是否允許以匿名方式訪問此網(wǎng)站。如圖單擊“下一步〞按鈕，將出現(xiàn)“網(wǎng)站權限訪問〞對話框，在此對話框中可以設置網(wǎng)站的訪問權限，如圖單擊“下一步〞按鈕，完成網(wǎng)站的創(chuàng)立?！?〕WebServer上安裝FTP效勞。(7)雙擊“Internet信息效勞器〔IIS〕〞，將翻開“Internet信息效勞器〔IIS〕〞對話框。選中“文件傳輸協(xié)議〔FTP〕效勞〞復選框，如圖點擊“確定〞按鈕，返回“Windows組件〞對話框；單擊“下一步〞按鈕，開始安裝FTP效勞。WebServer上創(chuàng)立FTP管理員站點并添加管理員用戶〔禁止匿名訪問〕。單擊“開始〞→“管理工具〞→“Internet信息效勞〔IIS〕管理器〞，翻開“Internet信息效勞〔IIS〕管理器〞控制臺。右擊“FTP站點〞，在彈出菜單中選擇“新建〞→“FTP站點〞，翻開“FTP站點創(chuàng)立向?qū)Ж暼鐖D單擊“下一步〞按鈕，將出現(xiàn)“IP地址設置和端口設置〞對話框，在此對話框中設置FTP站點所使用的IP地址“”及端口號“單擊“下一步〞按鈕，將出現(xiàn)“FTP用戶隔離〞對話框，此對話框可以使設置FTP用戶隔離的選項，如圖單擊“下一步〞按鈕，將出現(xiàn)“FTP站點主目錄〞對話框，此對話框設置FTP站點的主目錄“WEB〞，如圖單擊“下一步〞按鈕，將出現(xiàn)“FTP站點訪問權限〞對話框，此對話框設置FTP站點的訪問權限，如圖單擊“下一步〞按鈕，完成FTP站點創(chuàng)立，如圖右擊“FTP站點〞下“practrain〞站點，在彈出菜單中選擇“屬性〞，在彈出的屬性對話框中選擇“平安賬戶〞，將允許匿名連接去掉，點擊確定完成FTP站點配置，如圖單擊“開始〞→“管理工具〞→“計算機管理〞，翻開“計算機管理〞控制臺。選擇“本地用戶和用戶組〞→“用戶〞，右擊新建“admin〞用戶，如圖選中E盤下“web〞文件夾右擊選擇“屬性〞，彈出“web屬性〞對話框中選擇“平安〞，點擊添加按鈕，如圖選擇“admin〞用戶，點擊確定，如圖添加“admin〞用戶的“修改〞和“寫入〞權限，如圖點擊確定，完成設置。單擊“下一步〞按鈕，將出現(xiàn)“FTP站點內(nèi)容目錄〞對話框，在“路徑〞文本框中輸入虛擬目錄映射的物理位置.如圖單擊“下一步〞按鈕，將出現(xiàn)“虛擬目錄訪問權限〞對話框，在此處選擇“讀取〞和“寫入〞復選框，如圖任務驗收配置驗收〔1〕查看DHCP配置信息翻開“管理工具〞中“DHCP〞對話框，查看兩個作用域中的各種配置選項，如圖圖3-205.6工程驗收.DHCP功能在PC1、上將本地網(wǎng)絡連接設置為“自動獲得IP地址〞和“自動獲得DNS效勞器地址〞，圖3-21在命令提示符界面中鍵入“ipconfig/all〞敲Enter鍵將可查看到客戶機獲得IP地址等參數(shù)情況，如圖3-22所示：圖3-22DNS驗證：查看Internet信息效勞〔IIS〕管理器配置功能驗收網(wǎng)站訪問FTP功能驗收“admin〞用戶登錄，擁有該目錄下面所有文件及文件夾的修改刪除權限管理員登錄，擁有該目錄下面所有文件及文件夾的修改刪除權限刪除文件夾5.7工程總結(jié)實驗過程沒有劃分為不同網(wǎng)段，如需劃分網(wǎng)段需要添加DHCP效勞器的網(wǎng)卡，并在其他主機上面配置DHCP中繼代理，為了使不同網(wǎng)段能夠通信，還要設置路由。WEB跟FTP效勞器的配置相對簡單，F(xiàn)TP效勞器的權限是要注意的重點。用戶的訪問是FTP效勞器權限與文件夾權限的疊加。針對某集團公司辦公區(qū)網(wǎng)站建設任務內(nèi)容和目標，通過需求分析進行了實訓的規(guī)劃和實施，通過本任務進行了DNS,DHCP、WEB、FTP根底配置等方面的實訓。

工程6集團公司網(wǎng)絡集中管理6.1工程內(nèi)容某集團公司一家在全國各地區(qū)有多個分公司的物流大型企業(yè)，在完成工程3內(nèi)容的組建根底上，現(xiàn)需要對公司網(wǎng)絡進行統(tǒng)一管理，總部和各地分公司都能使用統(tǒng)一賬號訪問公司資源，為了保證網(wǎng)絡信息平安，需要提供公司各效勞器和計算機微軟操作系統(tǒng)的補丁自動更新，請進行規(guī)劃和模擬實施。6.2工程流程SKIPIF1<0圖6-1工程流程圖6.3工程調(diào)查與需求分析6.3.1工程本工程針對集團軍公司的網(wǎng)絡進行管理，實現(xiàn)使用統(tǒng)一賬號訪問公司資源，并提供操作系統(tǒng)的補丁更新。6.3.21)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團公司分為總部和三個分公司網(wǎng)絡，分公司通過專線與總部連接，總部約有400臺計算機和多臺效勞器，各分公司分別有50-100臺計算機，各分公司也各有1臺效勞器提供網(wǎng)絡效勞。2〕具體需求需求1：采用先進的網(wǎng)絡技術和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡集中管理，以實現(xiàn)企業(yè)信息化的根底。需求2：在總部和各地分公司均使用統(tǒng)一賬號高效穩(wěn)定地登錄和訪問公司資源，簡單有效。需求3：在總公司架設一臺效勞器以提供公司各效勞器和計算機操作系統(tǒng)的補丁自動更新。3〕需求分析分析1：需要建立一個域，并把公司計算機參加域中分析2：創(chuàng)立一個帳號，使全公司成員都能登錄進域中分析3：需要用WSUS來進行全公司的系統(tǒng)更新6.4工程實訓要求要求1〔必做〕：模擬本工程的網(wǎng)絡效勞組建并完成工程的需求分析、規(guī)劃、實施文檔。要求2〔必做〕：模擬本工程的網(wǎng)絡組建并完成工程實施的文檔，模擬實現(xiàn)企業(yè)網(wǎng)總部及1個分公司區(qū)域的網(wǎng)絡，實現(xiàn)統(tǒng)一管理和站點登錄。要求3〔選做〕：在以上根底上實現(xiàn)公司微軟操作系統(tǒng)補丁效勞器的架設和配置。6.5工程實施6.51．可靠性提供網(wǎng)絡效勞的效勞器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡效勞。2．平安性各項效勞應考慮和保證其平安性，防止出現(xiàn)網(wǎng)絡平安事故而影響企業(yè)網(wǎng)效勞。3．可擴充性企業(yè)網(wǎng)需要提供的效勞將隨著信息效勞的需求和開展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡效勞應具有可擴充性。4．實用性應能使用戶方便實用地訪問各種企業(yè)網(wǎng)效勞并接受管理。6.5.2工程活動目錄〔ActiveDirctory〕活動目錄〔ActiveDirectory〕是Windows2024完全實現(xiàn)的目錄效勞，也是Windows2000網(wǎng)絡體系的根本結(jié)構(gòu)模型，是Windows2024網(wǎng)絡操作系統(tǒng)的核心支柱，也是中心管理機構(gòu)。ActiveDirectory是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目錄效勞。ActiveDirectory存儲了有關網(wǎng)絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為根底對目錄信息進行符合邏輯的分層組織Microsoft在Windows2024中提供的活動目錄是一個全面的目錄效勞管理方案，也是一個企業(yè)級的目錄效勞，具有很好的可伸縮性?；顒幽夸洸捎昧薎nternet的標準協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒幽夸洸粌H可以管理根本的網(wǎng)絡資源，比方計算機對象、用戶賬戶、打印機等，它也充分考慮了現(xiàn)代應用的業(yè)務需求，為這些應用提供了根本的管理對象模型，比方用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統(tǒng)提供的目錄效勞結(jié)構(gòu)，而且活動目錄也具有很好的擴充能力，允許應用程序定制目錄中對象的屬性或者添加新的對象類型?；顒幽夸浻脩襞c組WindowsServer2024所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲在域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi)。用戶可以利用域用戶賬戶登錄域，并利用它訪問網(wǎng)絡上的資源，本地用戶賬戶：本地用戶賬戶是創(chuàng)立在非域控制器的“本地平安賬戶數(shù)據(jù)庫〞內(nèi)，而不是域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi)。WindowsServer2024將位于域中的組分為以下兩種類型：平安組：平安組可以被用來設置權限，例如，可以設置讓平安組對文件具備“讀取〞的權限。平安組也可以用在與平安無關的任務上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給平安組。分布式組：分布式組是用在與平安〔權限的設置等〕無關的任務上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給分布式組。用戶無法設置分布式組的權限?；顒幽夸浾军c與復制活動目錄“站點〞是由一個或多個IP子網(wǎng)所組成，這些子網(wǎng)絡之間是通過高速連接所串接起來的，而這里所謂的“高速〞是指這些子網(wǎng)之間的連接速度要夠快才可以，否那么應該將它們分別規(guī)劃為不同的站點。域是邏輯的分組，站點是物理的分組。每個站點可能包含多個域，一個域內(nèi)的計算機可能同時分別屬于不同的站點。同一個站點內(nèi)的同一個域控制器會自動設置執(zhí)行復制，其默認的復制頻率比不同站點之間快。除了非常小的網(wǎng)絡之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡上的多個位置，以便于所有用戶均等地使用。通過復制，ActiveDirectory目錄效勞在多個域控制器上保存目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。ActiveDirectory使用一種多主機復制模型，允許在任何域控制器上〔而不只是委派的主域控制器上〕更改目錄。ActiveDirectory依靠站點概念來保持復制的效率，并依靠知識一致性檢查器(KCC)來自動確定網(wǎng)絡的最正確復制拓撲。組策略組策略是管理員為用戶和計算機定義并控制程序、網(wǎng)絡資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略，可以完成用戶所需軟件的自動安裝、自動定制用戶環(huán)境、自動將用戶的文件夾重定向等一系列高級功能。例如，可使用“組策略〞幫助用戶自動安裝軟件、從桌面刪除圖標、自定義“開始〞菜單并簡化“控制面板〞。此外,還可添加在計算機上〔在計算機啟動或停止時，以及用戶登錄或注銷時〕運行的腳本，甚至可配置InternetExplorer等多種功能。要實現(xiàn)用“組策略〞管理網(wǎng)絡中的計算機和用戶，需要網(wǎng)絡中有ActiveDirectory效勞器，工作站須是Windows2000、WindowsXP或WindowsServer2024等操作系統(tǒng)，并且參加到ActiveDirectory域中，還需創(chuàng)立與配置“組織單位〞的組策略。MicrosoftWindowsServerUpdateServices(WSUS)MicrosoftWindowsServerUpdateServices(WSUS)是設計用來大量精簡IT系統(tǒng)在執(zhí)行重大更新時的程序。通過使用WindowsServer更新效勞(WSUS)，管理員可以快速而可靠地將Windows2000操作系統(tǒng)和更高版本、OfficeXP和更高版本、ExchangeServer2024以及SQLServer2000的最新關鍵更新和平安更新部署到Windows2000和更高版本的操作系統(tǒng)。Windows自動更新是Windows的一項功能，當適用于您的計算機的重要更新發(fā)布時，它會及時提醒用戶下載和安裝。使用自動更新可以在第一時間更新操作系統(tǒng)，修復系統(tǒng)漏洞，保護計算機平安。在小規(guī)模的網(wǎng)絡當中，客戶端可以通過windows系統(tǒng)自帶的自動更新來從微軟下載補丁。但在大中型的網(wǎng)絡當中，如果每臺計算機都單獨去微軟更新補丁，那么那么會極大的影響企業(yè)的外部網(wǎng)絡帶寬。WSUS的思路是先用一臺計算機〔wsus〕去微軟檢測并選擇要下載補丁，然后網(wǎng)絡內(nèi)其他的計算機從WSUS效勞器來下載補丁，它也可直接下發(fā)補丁。這樣也既不會浪費外部網(wǎng)絡帶寬，也能讓所有的計算機得到更新。6.5.3實訓設備與軟件設備類型設備型號數(shù)量〔每組〕備注交換機H3C31001臺效勞器宏基P43臺計算機宏基P43臺效勞器操作系統(tǒng)WindowsServer20243可使用虛擬機環(huán)境效勞器參數(shù)及分配的網(wǎng)絡參數(shù)規(guī)劃表效勞器名角色IP地址SrvAD-01域控制器0SrvAD-02域成員3實施步驟規(guī)劃1〕規(guī)劃分配效勞器參數(shù)2〕安裝配置WindowsServer2024活動目錄〔用戶管理、計算機參加域、站點與復制〕3〕安裝配置WSUS效勞器〔WSUS、組策略〕4〕配置計算機參數(shù)并根據(jù)需求驗證實現(xiàn)的功能5〕完成工程文檔資料6.5.4實施步驟〔請將主要實施步驟整理列出〕1.在SrvAD-01上安裝域控制器2.在SrvAD-02上安裝子域控制器3.建立賬號，用來集中管理4.設置組策略

6.6工程驗收兩臺效勞器的域控制器站點驗證統(tǒng)一管理用戶驗證平安策略驗證6.7工程總結(jié)通過這次實訓，讓我了解到在企業(yè)里面應用域來管理計算機能大大的節(jié)省人力和時間，并能夠增強平安。在本次實訓工程中，讓我們收獲了很多以前沒有了解的知識面。才知道以前我們上課掌握的知識真的是太少了，在這之前我對于一些效勞器安裝和配置都有一些陌生，在建立域之前，應收集實際環(huán)境的信息，按照實際來設計和配置每個效勞器和個人電腦的角色。從而強化我們的動手能力和應對能力。在實際的環(huán)境中也能揮曬自如。

工程7校園網(wǎng)網(wǎng)絡平安系統(tǒng)7.1工程內(nèi)容某高等職業(yè)學院已經(jīng)在工程2的根底上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)方案有兩條出口線路分別與CHINANET和CERNET連接，需實現(xiàn)校園網(wǎng)所有用戶對外訪問，同時校園網(wǎng)的WEB、FTP等效勞器需要提供校外用戶訪問，還可提供學校用戶在家訪問學校的一些內(nèi)部網(wǎng)絡應用，同時為了保障校園網(wǎng)絡平安，需要對校園網(wǎng)的效勞器操作系統(tǒng)進行平安防護，并且方案部署全網(wǎng)的防病毒系統(tǒng)，請進行校園網(wǎng)的平安進行規(guī)劃和模擬實施。7.2工程流程SKIPIF1<0圖7-1工程流程圖7.3工程調(diào)查與需求分析7.3.本工程針對校園園區(qū)網(wǎng)的網(wǎng)絡平安進行建設和管理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部平安訪問校園網(wǎng)內(nèi)部，并進行防病毒系統(tǒng)的部署。7.3.1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺效勞器提供效勞，校園網(wǎng)通過租用1條100M電信線路和1條10M教育網(wǎng)線路分別連接互聯(lián)網(wǎng)和CERNET。其中互聯(lián)網(wǎng)線路分配的其中局部IP地址范圍為：30/27—2〕具體需求需求1：采用先進的網(wǎng)絡通信技術和合理的網(wǎng)絡結(jié)構(gòu)進行校園網(wǎng)出口局部的建設，實現(xiàn)內(nèi)部用戶快捷平安訪問互聯(lián)網(wǎng)和教育網(wǎng)。需求2：一些校園網(wǎng)效勞器需提供外部的公共訪問效勞〔WWW、FTP等效勞〕，使互聯(lián)網(wǎng)用戶能平安方便地訪問學校的公共資源和信息。需求3：一些校園網(wǎng)內(nèi)部的資源〔例如辦公系統(tǒng)、電子圖書等〕需要提供學校的教職員工在外平安訪問。需求4：保障和加強效勞器平安性，對校園網(wǎng)的效勞器操作系統(tǒng)進行平安防護，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡效勞。需求5：為保障校園網(wǎng)全網(wǎng)平安，加強各用戶計算機的平安防護，安裝使用防病毒軟件。3〕需求分析分析1：使用合理規(guī)劃的ＩＰ地址和路由協(xié)議使校園網(wǎng)用戶可以連接到Ｉｎｔｅｒｎｅｔ,并通過專線連接到教育網(wǎng)分析2：為了使互聯(lián)網(wǎng)用戶可以訪問到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB與FTP效勞器為用戶提供訪問。分析3：配置虛擬專用網(wǎng)〔VPN〕為校外出差人員提供遠程訪問。分析4：在校園網(wǎng)出口位置配置NAT防火墻。提供私有地址與公共IP地址轉(zhuǎn)換。分析5：安裝必要的殺毒軟件7.4工程實訓要求要求1〔必做〕：模擬本工程的網(wǎng)絡平安系統(tǒng)組建并完成工程實施的文檔，模擬實現(xiàn)校園網(wǎng)絡的平安防護。要求2〔必做〕：使用防火墻或軟件進行校園網(wǎng)出口互聯(lián)網(wǎng)局部的內(nèi)外網(wǎng)轉(zhuǎn)換〔NAT〕，效勞器的對外發(fā)布訪問和平安〔SAT〕。要求3〔必做〕：進行效勞器操作系統(tǒng)的平安配置和防護?！仓鳈C平安〕要求3〔選做〕：使用防火墻或軟件進行校園網(wǎng)的外部平安訪問內(nèi)部網(wǎng)絡〔VPN〕。要求4〔選做〕：進行校園網(wǎng)的網(wǎng)絡防病毒系統(tǒng)配置和實施。7.5工程實施7.51．可靠性提供網(wǎng)絡效勞的效勞器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡效勞。2．平安性各項效勞應考慮和保證其平安性，防止出現(xiàn)網(wǎng)絡平安事故而影響校園網(wǎng)效勞。3．可擴充性校園網(wǎng)需要提供的效勞將隨著信息效勞的需求和開展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡效勞應具有可擴充性。4．實用性校園網(wǎng)具有用戶數(shù)量多、應用環(huán)境復雜的特點，應能使用戶方便實用地訪問各種校園網(wǎng)效勞。7.5.2工程防火墻傳統(tǒng)意義的防火墻被設計用來防止火從大廈的一部份。在網(wǎng)絡上防火墻簡單的可以只用路由器實現(xiàn)，復雜的可以用主機甚至一個子網(wǎng)來實現(xiàn)。設置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設立唯一的通道，簡化網(wǎng)絡的平安管理。防火墻是一種高級訪問控制設備，置于不同平安域之間，是不同平安域之間的唯一通道，能根據(jù)企業(yè)有關的平安政策執(zhí)行允許，拒絕，監(jiān)視，記錄進出網(wǎng)絡的行為。防火墻是一個或一組系統(tǒng)，用于管理兩個網(wǎng)絡直接的訪問控制及策略，所有從內(nèi)部訪問外部的數(shù)據(jù)流和外部訪問內(nèi)部的數(shù)據(jù)流均必須通過防火墻；只有在被定義的數(shù)據(jù)流才可以通過防火墻(如果通過其他方式帶出信息，那么無法防范〕，防火墻本身必須有很強的免疫力。防火墻技術防火墻通常使用的平安控制手段主要有包過濾、狀態(tài)檢測、代理效勞。包過濾技術是一種簡單、有效的平安控制技術，它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)那么，對通過設備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于平安控制層次在網(wǎng)絡層、傳輸層，平安控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的平安控制，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，那么無能為力。狀態(tài)檢測是比包過濾更為有效的平安控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的平安規(guī)那么，允許符合規(guī)那么的連接通過，并在內(nèi)存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心局部建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理。應用網(wǎng)關防火墻檢查所有應用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡的平安性。然而，應用網(wǎng)關防火墻是通過打破客戶機／效勞器模式實現(xiàn)的。每個客戶機／效勞器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到效勞器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的效勞程序，對每個新的應用必須添加針對此應用的效勞程序，否那么不能使用該效勞。所以，應用網(wǎng)關防火墻具有可伸縮性差的缺點。防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡的第一道屏障。根據(jù)防火墻和內(nèi)外網(wǎng)絡的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墻就好象是一臺網(wǎng)橋，不改動其原有的網(wǎng)絡拓撲結(jié)構(gòu)。網(wǎng)絡設備和所有計算機的設置〔包括IP地址和網(wǎng)關〕無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡的平安性，又降低了用戶管理的復雜程度。透明模式的防火墻結(jié)構(gòu)如以下列圖所示。2.路由模式傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計算機通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如以下列圖所示:3.混合模式在企業(yè)復雜的網(wǎng)絡環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如以下列圖所示:防火墻產(chǎn)品簡介1．阿姆瑞特防火墻阿姆瑞特防火墻為"無系統(tǒng)內(nèi)核"，即：防火墻沒有操作系統(tǒng)，因此不會存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的平安性；同時，因為操作系統(tǒng)需要不斷地去維護、升級，無操作系統(tǒng)就不存在此類問題，這也排除了因為系統(tǒng)升級、打補丁破壞防火墻功能、性能的問題。阿姆瑞特防火墻內(nèi)核啟動后，可直接管理防火墻的所有硬件〔CPU、網(wǎng)卡、總線等〕，它可以在底層從硬件設備中接管進出防火墻數(shù)據(jù)并進行處理，利用了所有可能的硬件性能，同時減少了操作系統(tǒng)的開銷，因此可以最快的處理數(shù)據(jù)，使其成為市場上現(xiàn)有的最快的防火墻之一。2．ISA〔InternetSecurityandAccelerationServer〕ISAServer是微軟公司出品的企業(yè)級別的路由軟件防火墻，它可以讓企業(yè)內(nèi)部網(wǎng)絡平安、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應用層識別功能是目前很多基于包過濾的硬件防火墻都不具備的，可以在網(wǎng)絡的任何地方，如兩個或多個網(wǎng)絡的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個主機上配置ISAServer來對網(wǎng)絡或主機進行防護。ISAServer的主要特性：〔1〕多層防火墻平安防火墻可以通過各種方法增強平安性，包括數(shù)據(jù)包篩選、電路層篩選和應用程序篩選。高級的企業(yè)防火墻，如ISAServer所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡層提供保護，為企業(yè)提供最低的投入的根底上最高的回報。(2〕狀態(tài)檢測狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISAServer檢查在IP消息頭中指明的通信來源和目標，以及在標識所采用的網(wǎng)絡效勞或應用程序的TCP或UDP消息頭中的端口。動態(tài)數(shù)據(jù)包篩選器能夠使窗口的翻開只響應用戶的請求，并且翻開端口的持續(xù)時間恰好滿足該請求的需要，從而減少與翻開端口相關的攻擊。ISAServer可以動態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡的電路層和應用程序?qū)有?。管理員可以配置訪問策略規(guī)那么，以便只在允許的情況下自動翻開端口，然后當通信結(jié)束時關閉端口。這一過程稱為動態(tài)數(shù)據(jù)包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡提供更高的平安性，使問題較少發(fā)生。(3〕集成的入侵檢測ISAServer利用一家名為InternetSecuritySystems的公司所提供的技術，提供幫助管理員識別諸如端口掃描、WinNuke和PingofDeath之類的常見網(wǎng)絡攻擊的這種效勞。并且ISA能夠自動對其作出響應。這項技術給ISAServer提供了能識別此類攻擊的集成入侵檢測機制。當識別出這種攻擊時，警報還能同時指出ISAServer應采取什么行動，這些行動可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)ず?，停止Firewall效勞，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。(4〕高性能Web緩存ISAServer對Web緩存進行了徹底的重新設計，使它可以將緩存放入RAM中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的Web緩存可提供更強的后端可伸縮性，并提供了更快的Web客戶機總體響應時間。這對于企業(yè)內(nèi)部來說尤其重要，因為員工需要快速訪問Web內(nèi)容，而企業(yè)也需要適當?shù)墓?jié)省網(wǎng)絡帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5〕緩存陣列路由協(xié)議ISAServer使用了緩存陣列路由協(xié)議(CacheArrayRoutingProtocol，CARP)。因此您可以通過多臺ISAServer計算機組成的陣列來提供無縫縮放和更高的效率。(6)活動緩存通過一個叫做活動緩存的功能，可配置ISAServer使其自動更新緩存中的對象。使用這種功能，ISAServer可通過主動刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動緩存，經(jīng)常被訪問的對象在它們到期之前，在低網(wǎng)絡流量時段自動更新。(7)統(tǒng)一管理ISAServer利用基于WindowsServer的平安性，ActiveDirectory效勞、VPN和Microsoft管理控制臺(MMC，MicrosoftManagementConsole)。所有這些功能，特別是MMC，會使得管理更容易，因為操作人員熟悉它，并可從一個控制臺同時管理防火墻和Web緩存。(8)企業(yè)策略和訪問控制ISAServer還支持創(chuàng)立企業(yè)級和本地陣列策略，用于集中實施或本地實施。ISAServer可作為獨立效勞器安裝或作為陣列成員安裝。為便于管理，各個陣列成員都使用相同的配置。對陣列配置進行修改時，陣列中的所有ISAServer計算機也都將得到修改，包括所有訪問和緩存策略。VPN〔VirtualPrivateNetwork〕VPN即虛擬專用網(wǎng)絡，是通過Internet公共網(wǎng)絡在局域網(wǎng)絡之間或單點之間平安地傳遞數(shù)據(jù)的技術。虛擬專用網(wǎng)絡(VPN)是專用網(wǎng)絡的擴展。同Internet一樣，該網(wǎng)絡包含共享網(wǎng)絡或公用網(wǎng)絡之間的鏈接。使用VPN，可以通過共享網(wǎng)絡或公用網(wǎng)絡以模擬點對點專用鏈接的方式在兩臺計算機之間發(fā)送數(shù)據(jù)。虛擬專用網(wǎng)絡連接是一種創(chuàng)立和配置虛擬專用網(wǎng)絡的操作。使用VPN連接，在家辦公或旅行的用戶可以通過公用Internet網(wǎng)絡〔如Internet〕提供的結(jié)構(gòu)，獲得到組織效勞器的遠程訪問連接。從用戶的角度來說，VPN是計算機〔VPN客戶端〕和組織效勞器〔VPN效勞器〕之間的點對點連接。VPN與共享網(wǎng)絡或公用網(wǎng)絡的具體結(jié)構(gòu)無關，因為數(shù)據(jù)就象是通過專用的鏈接發(fā)送的。VPN技術的效果類似于傳統(tǒng)的DDN專線聯(lián)網(wǎng)方式，網(wǎng)絡拓撲如以下列圖所示。VPN的類型〔1〕AccessVPN移動用戶在任何地方、時間采用撥號、ISDN、DSL、移動IP和電纜技術通過公用網(wǎng)絡與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡連接。在AccessVPN的應用中，利用了二層網(wǎng)絡隧道技術在公用網(wǎng)絡上建立VPN隧道連接來傳輸私有網(wǎng)絡數(shù)據(jù)?！?〕IntranetVPNIntranetVPN通過公用網(wǎng)絡進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。利用IP網(wǎng)絡構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN平安隧道來傳輸用戶的私有網(wǎng)絡數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術有IPSEC、GRE等。結(jié)合效勞商提供的QOS機制，可以有效而且可靠的使用網(wǎng)絡資源，保證了網(wǎng)絡質(zhì)量?！?〕ExtranetVPN利用VPN將企業(yè)網(wǎng)伸至合作伙伴與客戶。Extranet用戶對于ExtranetVPN的訪問權限可以通過防火墻等手段來設置與管理。VPN使用的協(xié)議〔1〕鏈路層L2TP、PPTP協(xié)議PPTPPPTP是PPP的擴展，它增加了一個新的平安等級，并且可以通過Internet進行多協(xié)議通信，它支持通過公共網(wǎng)絡〔如Internet〕建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡。PPTP可以建立隧道或?qū)P、IPX或NetBEUI協(xié)議封裝在PPP數(shù)據(jù)包內(nèi)，因此允許用戶遠程運行依賴特定網(wǎng)絡協(xié)議的應用程序。PPTP在基于TCP/IP協(xié)議的數(shù)據(jù)網(wǎng)絡上創(chuàng)立VPN連接，實現(xiàn)從遠程計算機到專用效勞器的平安數(shù)據(jù)傳輸。VPN效勞器執(zhí)行所有的平安檢查和驗證，并啟用數(shù)據(jù)加密，使得在不平安的網(wǎng)絡上發(fā)送信息變得更加平安。尤其是使用EAP后，通過啟用PPTP的VPN傳輸數(shù)據(jù)就象在企業(yè)的一個局域網(wǎng)內(nèi)那樣平安。另外還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡。L2TP是一個工業(yè)標準的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP也會壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協(xié)議，同樣允許用戶遠程運行依賴特定網(wǎng)絡協(xié)議的應用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議平安(IPSec)機制來進行身份驗證和數(shù)據(jù)加密?！?〕網(wǎng)絡層IPsec協(xié)議基于PKI技術的IPSec協(xié)議現(xiàn)在已經(jīng)成為架構(gòu)VPN的根底，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過加密和認證的通信。雖然它的實現(xiàn)會復雜一些，但其平安性比其他協(xié)議都完善得多。由于IPSec是IP層上的協(xié)議，因此很容易在全世界范圍內(nèi)形成一種標準，具有非常好的通用性，而且IPSec本身就支持面向未來的協(xié)議——IPv6。3〕傳輸層SSL、TLS、SOCKS協(xié)議SSLVPN即指采用SSL(SecuritySocketLayer)協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術。SSLVPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最平安的解決技術。與復雜的IPSecVPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。主機平安系統(tǒng)漏洞系統(tǒng)漏洞是指網(wǎng)絡操作系統(tǒng)本身所存在的技術缺陷。系統(tǒng)漏洞往往會被病毒利用侵入并攻擊用戶計算機。漏洞會影響到的范圍很大，包括系統(tǒng)本身及其支撐軟件，網(wǎng)絡客戶和效勞器軟件，網(wǎng)絡路由器和平安防火墻等。換而言之，在這些不同的軟硬件設備中都可能存在不同的平安漏洞問題。在不同種類的軟、硬件設備，同種設備的不同版本之間，由不同設備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設置條件下，都會存在各自不同的平安漏洞問題。Windows系統(tǒng)漏洞問題是與時間緊密相關的。一個windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)供應商微軟公司發(fā)布的補丁軟件修補，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。Windows操作系統(tǒng)供應商將定期對的系統(tǒng)漏洞發(fā)布補丁程序，用戶只要定期下載并安裝補丁程序，可以保證計算機不會輕易被病毒、黑客入侵。一般情況下，在網(wǎng)絡邊界處企業(yè)都會部署硬件或軟件防火墻，能根據(jù)企業(yè)的平安策略控制出入網(wǎng)絡的信息流，，本身具有較強的抗攻擊能力。但是防火墻也存在一定的局限性：防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和平安問題，對于防火墻內(nèi)部各主機間的攻擊行為，防火墻也無法處理；防火墻無法解決TCP/IP等協(xié)議的漏洞，例如Dos攻擊〔拒絕效勞攻擊〕。防火墻對于合法開發(fā)端口的攻擊無法阻止。例如利用開放的FTP、遠程桌面端口漏洞提升權限問題。防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻本身不具備查殺病毒、木馬的功能。防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。有些數(shù)據(jù)郵寄或傳輸?shù)絻?nèi)部主機被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。防火墻不能防止內(nèi)部的泄密行為以及自身平安漏洞的問題。漏洞掃描漏洞掃描式網(wǎng)絡平安防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的平安漏洞進行逐項檢查。其目標是效勞器、工作站、交換機、數(shù)據(jù)庫應用、WEB應用等各種應用設施，然后根據(jù)掃描結(jié)果向網(wǎng)絡管理員提供可靠的平安性評估分析報告，以便管理員能及時進行漏洞修補和加強平安防護，從而提高網(wǎng)絡平安整體水平。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡效勞，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的平安漏洞掃描，如測試弱勢口令等。假設模擬攻擊成功，那么說明目標主機系統(tǒng)存在平安漏洞。在網(wǎng)絡平安體系的建設中，平安掃描是一種花費低、效果好、見效快、獨立于網(wǎng)絡運行、安裝運行簡單的網(wǎng)絡工具，可以減少網(wǎng)絡管理員大量的手工重復勞動，有利于保持全網(wǎng)平安的穩(wěn)定和統(tǒng)一標準。目前市場上有很多漏洞掃描工具，按照不同的技術〔基于網(wǎng)絡、基于主機、基于代理、Client/Server〕、不同的特征、不同的報告方式和不同的監(jiān)聽模式，可以分為很多種。在選擇漏洞掃描工具時要充分考慮各種技術和漏洞庫信息，漏洞庫信息是基于網(wǎng)絡系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時的更新，不但不能發(fā)揮漏洞掃描的作用，還會給系統(tǒng)管理員以錯誤的引導，從而對系統(tǒng)的平安隱患不能采取有效措施并及時的消除。目前常用的漏洞掃描工具有：〔1〕微軟平安掃描工具MBSAMBSA〔MicrosoftBaselineSecurityAnalyzer〕是微軟公司提供的免費平安掃描工具，系統(tǒng)管理員可以通過它來對一些常用的微軟平安漏洞進行評估，包括缺少的平安更新。MBSA將掃描基于Windows的計算機，并檢查操作系統(tǒng)和已安裝的其他組件〔如：InternetInformationServices〔IIS〕和SQLServer〕，以發(fā)現(xiàn)平安方面的配置錯誤，并及時通過推薦的平安更新進行修補。MBSA目前可以運行在Windows2000、WindowsXP和WindowsServer2024環(huán)境中。該軟件可以檢查到Windows2000、WindowsXP、WindowsServer2024、InternetInformationServer(IIS)、SQLServer、InternetExplorer和Office等軟件包中的結(jié)構(gòu)性錯誤，還可以檢查出Windows2000、WindowsXP、WindowsServer2024、IIS、SQLServer、InternetExplorer、Office、ExchangeServer、WindowsMediaPlayer、MicrosoftDataAccessComponents(MDAC)、MSXML、MicrosoftVirtualMachine、CommerceServer、ContentManagementServer、BizTalkServer、HostIntegrationServer中遺漏的平安更新。MBSA2.0.檢查Windows操作系統(tǒng)平安內(nèi)容：檢查將確定并列出屬于LocalAdministrators組的用戶賬戶。檢查將確定在被掃描的計算機上是否啟用了審核。檢查將確定在被掃描的計算機上是否啟用了“自動登錄〞功能。檢查是否有不必要的效勞。檢查將確定正在接受掃描的計算機是否為一個域控制器。檢查將確定在每一個硬盤上使用的是哪一種文件系統(tǒng)，以確保它是NTFS文件系統(tǒng)。檢查將確定在被掃描的計算機上是否啟用了內(nèi)置的來賓賬戶。檢查將找出使用了空白密碼或簡單密碼的所有本地用戶賬戶。檢查將列出被掃描計算機上的每一個本地用戶當前采用的和建議的IE區(qū)域平安設置。檢查將確定在被掃描的計算機上運行的是哪一個操作系統(tǒng)。檢查將確定是否有本地用戶賬戶設置了永不過期的密碼。檢查將確定被掃描的計算機上是否使用了RestrictAnonymous注冊表項來限制匿名連接ServicePack和即時修復程序。MBSA2.0.檢查IIS的平安分析：檢查將確定MSADC〔樣本數(shù)據(jù)訪問腳本〕和腳本虛擬目錄是否已安裝在被掃描的IIS計算機上。檢查將確定IISADMPWD目錄是否已安裝在被掃描的計算機上。檢查將確定IIS是否在一個作為域控制器的系統(tǒng)上運行。檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計算機上運行。檢查將確定IIS日志記錄是否已啟用，以及W3C擴展日志文件格式是否已使用。檢查將確定在被掃描的計算機上是否啟用了ASPEnableParentPaths設置。檢查將確定以下IIS例如文件目錄是否安裝在計算機上。MBSA2.0的SQLServer平安分析功能：檢查將確定Sysadmin角色的成員的數(shù)量，并將結(jié)果顯示在平安報告中。檢查將確定是否有本地SQLServer賬戶采用了簡單密碼〔如空白密碼〕。檢查將確定被掃描的SQLServer上使用的身份驗證模式。檢查將驗證SQLServer目錄是否都將訪問權只限制到SQL效勞賬戶和本地Administrators。檢查將確定SQLServer7.0和SQLServer2000sa賬戶密碼是否以明文形式寫到%temp%\sqlstp.log和%temp%\setup.iss文件中。檢查將確定SQLServerGuest賬戶是否具有訪問數(shù)據(jù)庫〔MASTER、TEMPDB和MSDB除外〕的權限。檢查將確定SQLServer是否在一個擔任域控制器的系統(tǒng)上運行。檢查將確保Everyone組對"HKLM\Software\Microsoft\MicrosoftSQLServer"和"HKLM\Software\Microsoft\MSSQLServer"兩注冊表項的訪問權被限制為讀取權限。如果Everyone組對這些注冊表項的訪問權限高于讀取權限，那么這種情況將在平安掃描報告中被標記為嚴重平安漏洞。檢查將確定SQLServer效勞賬戶在被掃描的計算機上是否為本地或DomainAdministrators組的成員，或者是否有SQLServer效勞賬戶在LocalSystem上下文中運行。MBSA2.0新版本使用WindowsUpdateAgent(WUA)2.0連接掃描結(jié)果。如果找到某個產(chǎn)品有新版本或更新，它會提供相關更新信息和下載連接。此外，MBSA還能識別出操作系統(tǒng)版本和效勞包。掃描報告還能列出需要升級的最近安裝的更新。〔2〕漏洞掃描軟件X-ScanX-Scan是一款優(yōu)秀的國產(chǎn)免費漏洞掃描軟件，X-Scan采用多線程方式對指定IP地址段(或單機)進行平安漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠程操作系統(tǒng)類型及版本，標準端口狀態(tài)及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用戶，NT效勞器NETBIOS信息等。掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。安裝、部署一套效勞器操作系統(tǒng)難度比較高，平安配置也是一項具有難度的網(wǎng)絡技術，權限配置太嚴格，許多應用程序不能正常運行；權限配置的太松，又很容易被非法入侵者侵入。WindowsServer2024操作系統(tǒng)是目前企業(yè)使用比較成熟和廣泛的網(wǎng)絡效勞器器平臺，其平安性相對于WindowsServer2000有了極大的提高。Windows系統(tǒng)平臺的平安無疑是構(gòu)建效勞器平安的根底，涉及操作系統(tǒng)合應用程序的安裝、系統(tǒng)效勞、系統(tǒng)設置和用戶帳戶等多方面平安配置。病毒防護病毒與防護病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒的危害：(1)傳染性(2)未經(jīng)授權而執(zhí)行(3)隱蔽性(4)潛伏性(5)破壞性(6)不可預見性病毒的預防措施：(1) 安裝防病毒軟件(2) 定期升級防病毒軟件(3) 不隨便翻開不明來源的郵件附件(4) 盡量減少其他人使用你的計算機(5) 及時打系統(tǒng)補丁(6) 從外面獲取數(shù)據(jù)先檢察(7) 建立系統(tǒng)恢復盤(8) 定期備份文件病毒防護網(wǎng)絡版網(wǎng)絡工作站的防護位于企業(yè)防毒體系中的最底層，對企業(yè)計算機用戶而言，也是最后一道防、殺病毒的要塞?？紤]到網(wǎng)絡中的工作站數(shù)量少那么幾十臺，多那么數(shù)百上千臺甚至更多。如果需要靠網(wǎng)管人員逐一到每臺計算機上安裝單機防病毒軟件，費時費力，同時難以實施統(tǒng)一的防病毒策略，日后的維護和更新工作也十分繁瑣。因此在企業(yè)中常常需要使實施防病毒軟件的網(wǎng)絡版，國內(nèi)外的病毒防護軟件廠商非常多，目前在企業(yè)中應用較廣的主要有四種，即SymantecAntivus、Mcafee、趨勢、卡巴斯基和瑞星等。防毒墻網(wǎng)絡版中的防病毒功能是通過客戶機提供的，客戶機向效勞器報告并從效勞器獲取更新。通過防毒墻網(wǎng)絡版控制臺，管理員可以配置、監(jiān)控和更新客戶機的防病毒軟件及病毒代碼。

7.5.3工程實訓設備與軟件設備類型設備型號數(shù)量〔每組〕備注防火墻AmarantenF50-NP1臺交換機H3C31001臺效勞器宏基P42臺計算機宏基P43臺效勞器操作系統(tǒng)WindowsServer20242防火墻軟件ISA20241防病毒網(wǎng)絡版TrendOfficeScan7.31拓撲結(jié)構(gòu)圖請畫出本實訓工程拓撲結(jié)構(gòu)圖〔visio繪制〕。規(guī)劃的網(wǎng)絡參數(shù)表實施步驟規(guī)劃1)規(guī)劃防火墻、效勞器等網(wǎng)絡參數(shù)2〕根據(jù)網(wǎng)絡結(jié)構(gòu)安裝和連接效勞器和網(wǎng)絡設備3〕配置防火墻實現(xiàn)NAT和SAT4〕安裝平安掃描軟件和根據(jù)結(jié)果配置主機平安5〕安裝和配置VPN6〕安裝和配置防病毒軟件網(wǎng)絡版7〕根據(jù)需求驗證實現(xiàn)的功能7.5.4

7.6工程驗收.7工程總結(jié)本次實驗主要完成了WEB效勞器FTP效勞器VPN及NAT的配置。VPN與其它遠程訪問不同的是它可以同時創(chuàng)立的連接比他們多得多。NAT效勞器必須與內(nèi)部網(wǎng)相連，也要與外部網(wǎng)相連，所以它應同時具有私有與共有的IP地址。NAT效勞器可以提供地址轉(zhuǎn)換，從而節(jié)約公用IP地址。降低Internet接入本錢。同時可以將內(nèi)部私有網(wǎng)絡隱藏起來，起到了保護內(nèi)部網(wǎng)的作用。

工程8校園網(wǎng)網(wǎng)絡管理與備份系統(tǒng)8.1工程內(nèi)容某高等職業(yè)學院已經(jīng)在工程2和工程7的根底上組建了校園園區(qū)網(wǎng)和互聯(lián)網(wǎng)連接，并已進行了網(wǎng)絡平安防護，對于校園網(wǎng)眾多的網(wǎng)絡設備和通信線路，需要進行監(jiān)測和管理運行情況，以便在出現(xiàn)故障時及時處理，還需要遠程管理和操作各種效勞器，同時為了保證校園網(wǎng)提供各種網(wǎng)絡和應用的效勞器的數(shù)據(jù)平安，方案進行重要數(shù)據(jù)的統(tǒng)一存儲和備份，請進行工程規(guī)劃設計和模擬實施。8.2工程流程SKIPIF1<0圖8-1工程流程圖8.3工程調(diào)查與需求分析8.3.本工程針對校園網(wǎng)的網(wǎng)絡設備的通信線路進行監(jiān)測和管理，遠程管理效勞器，建立數(shù)據(jù)的存儲和備份系統(tǒng)。8.3.21)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近200臺各層次交換機〔其中核心層2臺、會聚層10臺〕、約30臺效勞器以及防火墻、網(wǎng)絡認證系統(tǒng)等設備提供校園網(wǎng)效勞。需要監(jiān)控的設備和線路具體如下：設備類型設備名稱/型號IP地址運行業(yè)務用途交換機NortelPassport8003核心交換機交換交換機ZTET64G0核心交換機交換交換機BitWay6424會聚交換機交換交換機NortelBay450會聚交換機交換效勞器DELL14209FTPFTP下載效勞器DELL14208WEB網(wǎng)站效勞器DELL44009DNSDNS效勞器CompaqML3701SQLServer數(shù)據(jù)庫線路類型發(fā)起端設備〔IP〕發(fā)起端口對端設備〔IP〕對端設備口對端位置光纖Port1/3Port24行政樓光纖Port1/4Port25圖書館光纖Port1/6Port25教學樓光纖0Gei_2/12Gei_2/22宿舍樓雙絞線Port2/2Port24實訓樓雙絞線0Gei_4/244Port18互聯(lián)網(wǎng)2〕具體需求需求1：采用先進的網(wǎng)絡管理技術對校園網(wǎng)設備和線路進行監(jiān)控和管理，監(jiān)控實時運行狀態(tài)，應能管理不同廠家和類型的設備，并在出現(xiàn)故障時進行告警。需求2：對校園網(wǎng)的各效勞器進行遠程管理，便于遠程操作和控制效勞器。需求3：進行效勞器數(shù)據(jù)的統(tǒng)一大容量存儲，盡量采用投資較小的技術和設備，能與現(xiàn)有網(wǎng)絡結(jié)構(gòu)和環(huán)境相結(jié)合，進行數(shù)據(jù)的統(tǒng)一管理和備份。需求4：對效勞器重要數(shù)據(jù)進行統(tǒng)一備份，能實現(xiàn)各種備份方式定時備份，以便出現(xiàn)故障時及時恢復數(shù)據(jù)。3〕需求分析分析1：運用SNMP協(xié)議與網(wǎng)絡管理軟件的網(wǎng)絡設備提供實時檢測與報警分析2：創(chuàng)立效勞器遠程桌面連接。方便對效勞器的管理分析3：安裝配置網(wǎng)絡存儲系統(tǒng)〔ISCSI〕軟件，模擬數(shù)據(jù)統(tǒng)一存儲分析4：通過備份來為網(wǎng)絡數(shù)據(jù)提供恢復能力8.4工程實訓要求要求1〔必做〕：組建本工程的網(wǎng)絡管理系統(tǒng)和備份系統(tǒng)，組建并完成工程實施的文檔，模擬實現(xiàn)校園網(wǎng)絡的管理與備份。要求2〔必做〕：組建本工程的網(wǎng)絡管理系統(tǒng)，進行校園網(wǎng)設備和線路的監(jiān)控。要求3〔必做〕：安裝配置效勞器的遠程管理，進行效勞器的遠程控制。要求4〔選做〕：安裝配置網(wǎng)絡存儲系統(tǒng)〔ISCSI〕軟件，模擬數(shù)據(jù)統(tǒng)一存儲。要求4〔選做〕：安裝配置數(shù)據(jù)備份系統(tǒng)〔備份軟件〕，模擬數(shù)據(jù)統(tǒng)一備份。8.5工程實施8.51．可靠性對校園網(wǎng)設備進行監(jiān)控應不影響設備的運行可靠性和穩(wěn)定性，導致網(wǎng)絡故障和效率低下，不能改動原有拓撲結(jié)構(gòu)。對效勞器進行遠程管理應不影響業(yè)務的正常運行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運營風險降低到最小。對數(shù)據(jù)進行備份應不影響業(yè)務的正常運行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運營風險降低到最小。2．平安性對校園網(wǎng)設備進行監(jiān)控應保障設備和網(wǎng)絡的平安，不得因監(jiān)測對設備和效勞器產(chǎn)生平安故障，遠程管理系統(tǒng)不能出現(xiàn)平安漏洞而導致降低系統(tǒng)的平安性，最終目的是確保遠程效勞器的平安運行和管理。數(shù)據(jù)備份系統(tǒng)構(gòu)成應用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應用系統(tǒng)的平安運行和故障恢復機制。3．可擴充