【正文】 ，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道連接來(lái)傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。從用戶的角度來(lái)說(shuō)，VPN 是計(jì)算機(jī)（VPN 客戶端）和組織服務(wù)器（VPN 服務(wù)器）之間的點(diǎn)對(duì)點(diǎn)連接。同 Internet 一樣，該網(wǎng)絡(luò)包含共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)之間的鏈接。對(duì)陣列配置進(jìn)行修改時(shí)，陣列中的所有 ISA Server 計(jì)算機(jī)也都將得到修改，包括所有訪問(wèn)和緩存策略。所有這些功能，特別是 MMC，會(huì)使得管理更容易，因?yàn)椴僮魅藛T熟悉它，并可從一個(gè)控制臺(tái)同時(shí)管理防火墻和 Web 緩存。(6)活動(dòng)緩存通過(guò)一個(gè)叫做活動(dòng)緩存的功能，可配置 ISA Server 使其自動(dòng)更新緩存中的對(duì)象。這對(duì)于企業(yè)內(nèi)部來(lái)說(shuō)尤其重要，因?yàn)閱T工需要快速訪問(wèn) Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。這項(xiàng)技術(shù)給 ISA Server 提供了能識(shí)別此類攻擊的集成入侵檢測(cè)機(jī)制。管理員可以配置訪問(wèn)策略規(guī)則，以便只在允許的情況下自動(dòng)打開(kāi)端口，然后當(dāng)通信結(jié)束時(shí)關(guān)閉端口。(2）狀態(tài)檢測(cè)狀態(tài)檢查檢查通過(guò)防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。阿姆瑞特防火墻內(nèi)核啟動(dòng)后，可直接管理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它可以在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時(shí)減少了操作系統(tǒng)的開(kāi)銷，因此可以最快的處理數(shù)據(jù)，使其成為市場(chǎng)上現(xiàn)有的最快的防火墻之一。透明模式的防火墻結(jié)構(gòu)如下圖所示。2） 防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡(luò)的第一道屏障。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。4．實(shí)用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種校園網(wǎng)服務(wù)。 要求4（選做）：進(jìn)行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實(shí)施。 要求3（必做）：進(jìn)行服務(wù)器操作系統(tǒng)的安全配置和防護(hù)。 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)安全系統(tǒng)組建并完成項(xiàng)目實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全防護(hù)。 分析4：在校園網(wǎng)出口位置配置NAT防火墻。 分析2：為了使互聯(lián)網(wǎng)用戶可以訪問(wèn)到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB 與FTP 服務(wù)器為用戶提供訪問(wèn)。216。216。2）具體需求216。項(xiàng)目 7 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng) 項(xiàng)目?jī)?nèi)容 某高等職業(yè)學(xué)院已經(jīng)在項(xiàng)目2的基礎(chǔ)上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)計(jì)劃有兩條出口線路分別與CHINANET和CERNET連接，需實(shí)現(xiàn)校園網(wǎng)所有用戶對(duì)外訪問(wèn)，同時(shí)校園網(wǎng)的WEB、FTP等服務(wù)器需要提供校外用戶訪問(wèn)，還可提供學(xué)校用戶在家訪問(wèn)學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時(shí)為了保障校園網(wǎng)絡(luò)安全，需要對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，并且計(jì)劃部署全網(wǎng)的防病毒系統(tǒng)，請(qǐng)進(jìn)行校園網(wǎng)的安全進(jìn)行規(guī)劃和模擬實(shí)施。在本次實(shí)訓(xùn)項(xiàng)目中，讓我們收獲了很多以前沒(méi)有了解的知識(shí)面。 項(xiàng)目實(shí)施規(guī)劃216。在小規(guī)模的網(wǎng)絡(luò)當(dāng)中，客戶端可以通過(guò)windows系統(tǒng)自帶的自動(dòng)更新來(lái)從微軟下載補(bǔ)丁。 Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設(shè)計(jì)用來(lái)大量精簡(jiǎn)IT系統(tǒng)在執(zhí)行重大更新時(shí)的程序。例如，可使用“組策略”幫助用戶自動(dòng)安裝軟件、從桌面刪除圖標(biāo)、自定義“開(kāi)始”菜單并簡(jiǎn)化“控制面板”。Active Directory 使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。每個(gè)站點(diǎn)可能包含多個(gè)域，一個(gè)域內(nèi)的計(jì)算機(jī)可能同時(shí)分別屬于不同的站點(diǎn)。分布式組：分布式組是用在與安全（權(quán)限的設(shè)置等）無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給分布式組。1） 活動(dòng)目錄用戶與組Windows Server 2003所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲(chǔ)在域控制器的Active Directory數(shù)據(jù)庫(kù)內(nèi)。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性。 項(xiàng)目知識(shí)點(diǎn)216。 項(xiàng)目實(shí)施 實(shí)施原則1．可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡(luò)服務(wù)。216。 分析1：需要建立一個(gè)域，并把公司計(jì)算機(jī)加入域中216。 需求2：在總部和各地分公司均使用統(tǒng)一賬號(hào)高效穩(wěn)定地登錄和訪問(wèn)公司資源，簡(jiǎn)單有效。 具體調(diào)查與需求分析1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團(tuán)公司分為總部和三個(gè)分公司網(wǎng)絡(luò)，分公司通過(guò)專線與總部連接，總部約有400臺(tái)計(jì)算機(jī)和多臺(tái)服務(wù)器，各分公司分別有50100臺(tái)計(jì)算機(jī)，各分公司也各有1臺(tái)服務(wù)器提供網(wǎng)絡(luò)服務(wù)。用戶的訪問(wèn)是FTP服務(wù)器權(quán)限與文件夾權(quán)限的疊加。右擊“FTP站點(diǎn)”，在彈出菜單中選擇“新建”→“FTP站點(diǎn)”，打開(kāi)“FTP站點(diǎn)創(chuàng)建向?qū)А比鐖D單擊“下一步”按鈕，將出現(xiàn)“IP地址設(shè)置和端口設(shè)置”對(duì)話框，在此對(duì)話框中設(shè)置FTP站點(diǎn)所使用的IP地址“”及端口號(hào)“21”，如圖 單擊“下一步”按鈕，將出現(xiàn)“FTP用戶隔離”對(duì)話框，此對(duì)話框可以使設(shè)置FTP用戶隔離的選項(xiàng)，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)主目錄”對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)訪問(wèn)權(quán)限”對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的訪問(wèn)權(quán)限，如圖單擊“下一步”按鈕，完成FTP站點(diǎn)創(chuàng)建，如圖右擊“FTP站點(diǎn)”下“practrain”站點(diǎn)，在彈出菜單中選擇“屬性”，在彈出的屬性對(duì)話框中選擇“安全賬戶”，將允許匿名連接去掉，點(diǎn)擊確定完成FTP站點(diǎn)配置，如圖單擊“開(kāi)始”→“管理工具”→“計(jì)算機(jī)管理”，打開(kāi)“計(jì)算機(jī)管理”控制臺(tái)。( 7 ) 雙擊“Internet信息服務(wù)器（IIS）”，將打開(kāi)“Internet信息服務(wù)器（IIS）”對(duì)話框。右擊“網(wǎng)站”，在彈出的菜單中選擇“新建”→“網(wǎng)站”，將打開(kāi)“網(wǎng)站創(chuàng)建向?qū)А睂?duì)話框。（2）WebServer上安裝IIS服務(wù)。打開(kāi)“區(qū)域類型”對(duì)話框；在此對(duì)話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱”對(duì)話框中，輸入?yún)^(qū)域名稱，該名稱應(yīng)與該DNS區(qū)域的主DNS區(qū)域的主DSN服務(wù)器上的主要區(qū)域名稱完全相同， 如圖單擊“下一步”“主DNS服務(wù)器”對(duì)話框。如圖319所示：ll 圖319l 單擊“下一步”完成DNS向?qū)渲?。在此?duì)話框中指定反向區(qū)域的名稱（可以輸入IP地址的網(wǎng)絡(luò)ID，由系統(tǒng)自動(dòng)指定反向區(qū)域名稱；也可以自行輸入反向區(qū)域名稱），此處填寫“”。如圖312所示：圖312單擊“下一步”進(jìn)入動(dòng)態(tài)更新的設(shè)置。如圖317所示：圖317單擊“下一步”再點(diǎn)“完成”即完成該作用域的建立了?！疤砑印卑粹o即可。此處設(shè)置的域名和DNS服務(wù)器的地址將被分配給客戶機(jī)。在“IP地址”項(xiàng)中填寫路由器的IP地址。在此對(duì)話框中，將選擇是否需要對(duì)客戶機(jī)分配DNS、路由器、WINNS等服務(wù)器的IP地址。租期將設(shè)置客戶機(jī)分配到IP地址的使用期限。此名稱和說(shuō)明性文字并無(wú)特別要求，只是起一個(gè)區(qū)別于其他作用域的作用。l 事先規(guī)劃好可出租給客戶端計(jì)算機(jī)的IP地址池（也就是IP作用域）。分配區(qū)域IP地址分配范圍默認(rèn)網(wǎng)關(guān)服務(wù)器 － 宿舍區(qū) －教師辦公區(qū) －教學(xué)區(qū) －教師公寓 －其它區(qū)域 －216。服務(wù)器序號(hào)中，01代表第一臺(tái)，02代表第二臺(tái)，依此類推。 項(xiàng)目實(shí)施規(guī)劃216。每當(dāng)有文件需要傳輸時(shí)建立該連接，用于實(shí)際文件傳輸。通過(guò)運(yùn)行 FTP 守護(hù)程序 (FTPd)，F(xiàn)TP 客戶端可以從服務(wù)器中收發(fā)文件。216。一些通用的語(yǔ)言接口支持Perl，Python， Tcl和 PHP。Apache的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來(lái)使用。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過(guò)使用CGI和ISAPI，IIS可以得到高度的擴(kuò)展。216。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務(wù)器，DNS 客戶端需要 DNS 服務(wù)器提供一個(gè)完整的查詢應(yīng)答。當(dāng)一個(gè)主機(jī)發(fā)出 DNS 查詢請(qǐng)求時(shí)，這個(gè)查詢請(qǐng)求報(bào)文就發(fā)送給本地域名服務(wù)器。當(dāng)收到 DNS 查詢請(qǐng)求時(shí)，就給出相應(yīng)的回答（可能是最后的結(jié)果，也可能是下一步應(yīng)當(dāng)找的域名服務(wù)器的 IP 地址）。所有的根域名服務(wù)器都知道所有的頂級(jí)域名服務(wù)器的域名和 IP 地址。DNS 客戶端：運(yùn)行 DNS 客戶端服務(wù)的計(jì)算機(jī)DNS 資源記錄：DNS 數(shù)據(jù)庫(kù)中將主機(jī)名映射到資源的項(xiàng)目因特網(wǎng)上的 DNS 服務(wù)器DNS 服務(wù)器DNS 客戶端根 “.”..edu資源記錄資源記錄 圖51 DNS組件2） DNS域名空間DNS 命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結(jié)構(gòu)，一些授權(quán)的機(jī)構(gòu)可以各自轉(zhuǎn)換其權(quán)限以內(nèi)的名字和 IP 地址。 DNS 服務(wù)器DNS（Domain Name System，域名系統(tǒng)）是因特網(wǎng)的一項(xiàng)核心服務(wù),它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。作用域主要用來(lái)定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的 IP 地址范圍。租用時(shí)間是不定的，主要取決于用戶在某地聯(lián)接 Internet 需要多久，這對(duì)于用戶頻繁改變的環(huán)境是很實(shí)用的。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。216。 項(xiàng)目實(shí)訓(xùn)要求216。216。 分析1：按照要求 需要一臺(tái)DHCP服務(wù)器為校園網(wǎng)用戶分配IP地址、一臺(tái)作為備用DHCP服務(wù)器。 需求2：為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各服務(wù)器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用，學(xué)院的域名解析可根據(jù)校園網(wǎng)的兩條線路分別對(duì)不同來(lái)源IP地址解析出對(duì)應(yīng)線路的服務(wù)器IP以提高用戶訪問(wèn)效率。 項(xiàng)目流程 圖51 項(xiàng)目流程圖 項(xiàng)目調(diào)查與需求分析 項(xiàng)目目標(biāo) 本項(xiàng)目針對(duì)學(xué)院需要提供各種基礎(chǔ)網(wǎng)絡(luò)服務(wù)，分別實(shí)現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)。項(xiàng)目 5 校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實(shí)施 項(xiàng)目?jī)?nèi)容 某學(xué)院校園網(wǎng)基礎(chǔ)設(shè)施已根據(jù)項(xiàng)目2組建完成，并通過(guò)兩條線路分別接入了電信互聯(lián)網(wǎng)和CERTNET教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提供各種網(wǎng)絡(luò)服務(wù)和信息服務(wù)，分別提供校園網(wǎng)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)，請(qǐng)給出解決方法并進(jìn)行實(shí)施。216。3）需求分析216。 分析2：需要為校園網(wǎng)用戶的各個(gè)服務(wù)器提供域名解析系統(tǒng)（DNS），同樣需要兩臺(tái)DNS服務(wù)器，一臺(tái)主DNS服務(wù)器，一臺(tái)輔助DNS服務(wù)器。兩臺(tái)服務(wù)器可以在同一臺(tái)主機(jī)上完成。 要求2（必做）：安裝配置DHCP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器、FTP服務(wù)器，分別在Windows Server和Linux環(huán)境下進(jìn)行安裝配置提供相同功能。2．安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。 DHCP服務(wù)器 DHCP（ Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議） 可以減少管理的復(fù)雜性和負(fù)擔(dān)，DHCP 使用了租約的概念，或稱為計(jì)算機(jī) IP 地址的有效期。DHCP作用域是一個(gè)網(wǎng)絡(luò)中的所有可分配的 IP 地址的連續(xù)范圍。216。1） DNS組件DNS 服務(wù)器：運(yùn)行 DNS 服務(wù)的計(jì)算機(jī)，承載一個(gè)名稱空間或部分名稱空間（域）， 對(duì)名稱空間或域具有權(quán)威性，負(fù)責(zé)解析 DNS 客戶端（DNS 客戶端即解析器）提交的名稱解析請(qǐng)求。圖52 DNS域名空間結(jié)構(gòu)3） DNS服務(wù)器的類型根域名服務(wù)器：根域名服務(wù)器是最重要的域名服務(wù)器。頂級(jí)域名服務(wù)器：負(fù)責(zé)管理在該頂級(jí)域名服務(wù)器注冊(cè)的所有二級(jí)域名。本地域名服務(wù)器：本地域名服務(wù)器對(duì)域名系統(tǒng)非常重要。查詢有兩種類型：遞歸查詢和迭代查詢。圖53 DNS查詢過(guò)程DNS服務(wù)器可以使用Windows Server2003安裝和配置DNS服務(wù)作為DNS服務(wù)器，Linux服務(wù)器使用著名的BIND（Berkeley Internet Name Domain）軟件實(shí)現(xiàn)，DNS客戶端可通過(guò)DHCP服務(wù)器分配DNS參數(shù)或手動(dòng)指定。目前使用最多的 web server 服務(wù)器軟件有：微軟的信息服務(wù)器（IIS）和Apache：1）IISIIS是英文Internet Information Server（Internet信息服務(wù)）的縮寫，它是微軟公司主推的WEB服務(wù)器， IIS與Window Server完全集成在一起，因而用戶能夠利用Windows Server和NTFS內(nèi)置的安全特性，建立強(qiáng)大，靈活而安全的Internet站點(diǎn)。2）Apache HTTP ServerApache HTTP Server源于NCSAd服務(wù)器，經(jīng)過(guò)多次修改，成為世界上最流行的Web服務(wù)器軟件之一。這些特性從服務(wù)器端的編程語(yǔ)言支持到身份認(rèn)證方案。Apa