【正文】 che日志可以通過(guò)網(wǎng)頁(yè)瀏覽器使用免費(fèi)的腳本AWStats或Visitors來(lái)進(jìn)行分析。FTP 客戶端是一種在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序。該連接由客戶端命令和服務(wù)器回復(fù)組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號(hào)端口。常用的組建FTP服務(wù)器方法有：Windows下使用IIS架設(shè)FTP站點(diǎn)、Linux下的wuftpd、vsftpd、使用FTP服務(wù)器軟件（ServU、Gene6等）。實(shí)訓(xùn)項(xiàng)目中服務(wù)器命名規(guī)則建議如下：SrvDHCP01序號(hào)服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。地址租期為1天 注：由于模擬環(huán)境不好操作，所以全部采用同一個(gè)網(wǎng)段的IP作為分配地址。l DHCP服務(wù)器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息必須以手工的方式輸入。填寫(xiě)新建作用域的名稱(chēng)和說(shuō)明文字。如圖311所示圖311填寫(xiě)完成后點(diǎn)“下一步”進(jìn)入IP租期設(shè)置對(duì)話框了。如圖312所示：圖312單擊“下一步”進(jìn)入配置DHCP選項(xiàng)的對(duì)話框。如圖313所示：圖313單擊“下一步”進(jìn)入設(shè)置路由器（即網(wǎng)關(guān)）的設(shè)置。如圖314所示：圖314單擊“下一步”進(jìn)入域名和DNS服務(wù)器的設(shè)置對(duì)話框了。在“IP地址”項(xiàng)中填寫(xiě)DNS服務(wù)器的 IP地址。在此對(duì)話框中將選擇“是，我想現(xiàn)在就激活此作用域”。此處填寫(xiě)為“”。如圖316所示：圖316單擊“下一步”進(jìn)入“反向查找區(qū)域名稱(chēng)”對(duì)話框。如圖318所示：l 圖318l 單擊“下一步”配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢”。如圖單擊“確定”，完成配置，然后采用同樣的方法在反向主要區(qū)域上指定輔助DNS服務(wù)器，如圖（5）在Server2上安裝輔助DNS服務(wù)器：參考步驟1，安裝DNS服務(wù)。三．FTP 服務(wù)器的創(chuàng)建1）根據(jù)實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PCPCWebServer的IP地址。單擊“開(kāi)始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開(kāi)“Internet信息服務(wù)（IIS）管理器”控制臺(tái)。（6）WebServer上安裝FTP服務(wù)。單擊“開(kāi)始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開(kāi)“Internet信息服務(wù)（IIS）管理器”控制臺(tái)。 WEB跟FTP服務(wù)器的配置相對(duì)簡(jiǎn)單，F(xiàn)TP服務(wù)器的權(quán)限是要注意的重點(diǎn)。 項(xiàng)目流程 圖61 項(xiàng)目流程圖 項(xiàng)目調(diào)查與需求分析 項(xiàng)目目標(biāo)本項(xiàng)目針對(duì)集團(tuán)軍公司的網(wǎng)絡(luò)進(jìn)行管理，實(shí)現(xiàn)使用統(tǒng)一賬號(hào)訪問(wèn)公司資源，并提供操作系統(tǒng)的補(bǔ)丁更新。216。3）需求分析216。 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。 要求3（選做）：在以上基礎(chǔ)上實(shí)現(xiàn)公司微軟操作系統(tǒng)補(bǔ)丁服務(wù)器的架設(shè)和配置。4．實(shí)用性 應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種企業(yè)網(wǎng)服務(wù)并接受管理。Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類(lèi)型。安全組也可以用在與安全無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給安全組。 域是邏輯的分組，站點(diǎn)是物理的分組。通過(guò)復(fù)制，Active Directory目錄服務(wù)在多個(gè)域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略，可以完成用戶所需軟件的自動(dòng)安裝、自動(dòng)定制用戶環(huán)境、自動(dòng)將用戶的文件夾重定向等一系列高級(jí)功能。216。使用自動(dòng)更新可以在第一時(shí)間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計(jì)算機(jī)安全。這樣也既不會(huì)浪費(fèi)外部網(wǎng)絡(luò)帶寬，也能讓所有的計(jì)算機(jī)得到更新。 實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動(dòng)目錄（用戶管理、計(jì)算機(jī)加入域、站點(diǎn)與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5）完成項(xiàng)目文檔資料 實(shí)施步驟（請(qǐng)將主要實(shí)施步驟整理列出），用來(lái)集中管理 項(xiàng)目驗(yàn)收 設(shè)備驗(yàn)收 功能驗(yàn)收兩臺(tái)服務(wù)器的域控制器站點(diǎn)驗(yàn)證統(tǒng)一管理用戶驗(yàn)證安全策略驗(yàn)證 項(xiàng)目總結(jié)通過(guò)這次實(shí)訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來(lái)管理計(jì)算機(jī)能大大的節(jié)省人力和時(shí)間，并能夠增強(qiáng)安全。在實(shí)際的環(huán)境中也能揮曬自如。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：— 。 需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問(wèn)服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶能安全方便地訪問(wèn)學(xué)校的公共資源和信息。 需求4：保障和加強(qiáng)服務(wù)器安全性，對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。 分析1：使用合理規(guī)劃的ＩＰ地址和路由協(xié)議使校園網(wǎng)用戶可以連接到Ｉｎｔｅｒｎｅｔ,并通過(guò)專(zhuān)線連接到教育網(wǎng)216。216。 分析5：安裝必要的殺毒軟件 項(xiàng)目實(shí)訓(xùn)要求216。216。216。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。在網(wǎng)絡(luò)上防火墻簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。1） 防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。網(wǎng)絡(luò)設(shè)備和所有計(jì)算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無(wú)須改變，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:3） 防火墻產(chǎn)品簡(jiǎn)介1．阿姆瑞特防火墻阿姆瑞特防火墻為無(wú)系統(tǒng)內(nèi)核，即：防火墻沒(méi)有操作系統(tǒng)，因此不會(huì)存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時(shí)，因?yàn)椴僮飨到y(tǒng)需要不斷地去維護(hù)、升級(jí)，無(wú)操作系統(tǒng)就不存在此類(lèi)問(wèn)題，這也排除了因?yàn)橄到y(tǒng)升級(jí)、打補(bǔ)丁破壞防火墻功能、性能的問(wèn)題。高級(jí)的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個(gè)網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報(bào)。ISA Server 可以動(dòng)態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。并且ISA能夠自動(dòng)對(duì)其作出響應(yīng)。這種高性能的 Web 緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的 Web 客戶機(jī)總體響應(yīng)時(shí)間。因此您可以通過(guò)多臺(tái) ISA Server 計(jì)算機(jī)組成的陣列來(lái)提供無(wú)縫縮放和更高的效率。(7)統(tǒng)一管理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 管理控制臺(tái)(MMC，Microsoft Management Console)。為便于管理，各個(gè)陣列成員都使用相同的配置。虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) 是專(zhuān)用網(wǎng)絡(luò)的擴(kuò)展。使用 VPN 連接，在家辦公或旅行的用戶可以通過(guò)公用 Internet 網(wǎng)絡(luò)（如 Internet）提供的結(jié)構(gòu)，獲得到組織服務(wù)器的遠(yuǎn)程訪問(wèn)連接。1） VPN的類(lèi)型（1）Access VPN移動(dòng)用戶在任何地方、時(shí)間采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)通過(guò)公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。PPTP 可以建立隧道或?qū)?IP、IPX 或 NetBEUI 協(xié)議封裝在 PPP 數(shù)據(jù)包內(nèi)，因此允許用戶遠(yuǎn)程運(yùn)行依賴(lài)特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。另外還可以使用 PPTP 建立專(zhuān)用 LAN 到 LAN 的網(wǎng)絡(luò)。（2）網(wǎng)絡(luò)層IPsec協(xié)議基于 PKI 技術(shù)的 IPSec 協(xié)議現(xiàn)在已經(jīng)成為架構(gòu) VPN 的基礎(chǔ)，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過(guò)加密和認(rèn)證的通信。SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。系統(tǒng)漏洞往往會(huì)被病毒利用侵入并攻擊用戶計(jì)算機(jī)。Windows系統(tǒng)漏洞問(wèn)題是與時(shí)間緊密相關(guān)的。一般情況下，在網(wǎng)絡(luò)邊界處企業(yè)都會(huì)部署硬件或軟件防火墻，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，本身具有較強(qiáng)的抗攻擊能力。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻不能防止內(nèi)部的泄密行為以及自身安全漏洞的問(wèn)題。若模擬 攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。如果漏洞庫(kù)信息不全面或得不到即時(shí)的更新，不但不能發(fā)揮漏洞掃描的作用，還會(huì)給系統(tǒng)管理員以錯(cuò)誤的引導(dǎo)，從而對(duì)系統(tǒng)的安全隱患不能采取有效措施并及時(shí)的消除。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 200Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結(jié)構(gòu)性錯(cuò)誤，還可以檢查出Windows 2000、Windows XP、Windows Server 200IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server中遺漏的安全更新。 l 檢查是否有不必要的服務(wù)。 l 檢查將找出使用了空白密碼或簡(jiǎn)單密碼的所有本地用戶賬戶。l 檢查將確定被掃描的計(jì)算機(jī)上是否使用了Restrict Anonymous注冊(cè)表項(xiàng)來(lái)限制匿名連接Service Pack和即時(shí)修復(fù)程序。l 檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計(jì)算機(jī)上運(yùn)行。MBSA Server安全分析功能： l 檢查將確定Sysadmin角色的成員的數(shù)量，并將結(jié)果顯示在安全報(bào)告中。l 檢查將確定SQL Server Server 2000 sa賬戶密碼是否以明文形式寫(xiě)到%temp%\%temp%\。如果Everyone組對(duì)這些注冊(cè)表項(xiàng)的訪問(wèn)權(quán)限高于讀取權(quán)限，那么這種情況將在安全掃描報(bào)告中被標(biāo)記為嚴(yán)重安全漏洞。此外，MBSA還能識(shí)別出操作系統(tǒng)版本和服務(wù)包。安裝、部署一套服務(wù)器操作系統(tǒng)難度比較高，安全配置也是一項(xiàng)具有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置太嚴(yán)格，許多應(yīng)用程序不能正常運(yùn)行；權(quán)限配置的太松，又很容易被非法入侵者侵入。 病毒防護(hù)1） 病毒與防護(hù)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞 計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。因此在企業(yè)中常常需要使實(shí)施防病毒軟件的網(wǎng)絡(luò)版，國(guó)內(nèi)外的病毒防護(hù)軟件廠商非常多，目前在企業(yè)中應(yīng)用較廣的主要有四種，即SymantecAntivus、Mcafee、趨勢(shì)、卡巴斯基和瑞星等。 實(shí)訓(xùn)設(shè)備與軟件 設(shè)備類(lèi)型設(shè)備型號(hào)數(shù)量（每組）備注防火墻Amaranten F50NP1臺(tái)交換機(jī)H3C31001 臺(tái)服務(wù)器宏基P42 臺(tái)計(jì)算機(jī)宏基P43 臺(tái)服務(wù)器操作系統(tǒng)Windows Server20032防火墻軟件ISA 20061防病毒網(wǎng)絡(luò)版Trend OfficeScan 1216。 實(shí)施步驟規(guī)劃1) 規(guī)劃防火墻、服務(wù)器等網(wǎng)絡(luò)參數(shù)2）根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)安裝和連接服務(wù)器和網(wǎng)絡(luò)設(shè)備3）配置防火墻實(shí)現(xiàn)NAT和SAT4）安裝安全掃描軟件和根據(jù)結(jié)果配置主機(jī)安全5）安裝和配置VPN6）安裝和配置防病毒軟件網(wǎng)絡(luò)版7）根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能 實(shí)施步驟（請(qǐng)將主要實(shí)施步驟和配置清單整理列出） 項(xiàng)目驗(yàn)收 設(shè)備驗(yàn)收 功能驗(yàn)收 項(xiàng)目總結(jié)本次實(shí)驗(yàn)主要完成了WEB服務(wù)器FTP服務(wù)器VPN及NAT的配置。降低Internet接入成本。8. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近200臺(tái)各層次交換機(jī)（其中核心層2臺(tái)、匯聚層10臺(tái)）、約30臺(tái)服務(wù)器以及防火墻、網(wǎng)絡(luò)認(rèn)證系統(tǒng)等設(shè)備提供校園網(wǎng)服務(wù)。 需求2：對(duì)校園網(wǎng)的各服務(wù)器進(jìn)行遠(yuǎn)程管理，便于遠(yuǎn)程操作和控制服務(wù)器。 需求4：對(duì)服務(wù)器重要數(shù)據(jù)進(jìn)行統(tǒng)一備份，能實(shí)現(xiàn)各種備份方式定時(shí)備份，以便出現(xiàn)故障時(shí)及時(shí)恢復(fù)數(shù)據(jù)。方便對(duì)服務(wù)器的管理216。216。216。 項(xiàng)目實(shí)施 實(shí)施原則1．可靠性對(duì)校園網(wǎng)設(shè)備進(jìn)行監(jiān)控應(yīng)不影響設(shè)備的運(yùn)行可靠性和穩(wěn)定性，導(dǎo)致網(wǎng)絡(luò)故障和效率低下，不能改動(dòng)原有拓?fù)浣Y(jié)構(gòu)。數(shù)據(jù)備份系統(tǒng)構(gòu)成應(yīng)用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應(yīng)用系統(tǒng)的安全運(yùn)行和故障恢復(fù)機(jī)制。5．開(kāi)放性系統(tǒng)采用的各種硬件設(shè)備和軟件系統(tǒng)均遵循國(guó)際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)及國(guó)際流行標(biāo)準(zhǔn)，符合開(kāi)放性設(shè)計(jì)原則，使其具備優(yōu)良的可擴(kuò)展性、可升級(jí)性和靈活性。網(wǎng)絡(luò)管理員通過(guò)網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作。它被設(shè)計(jì)成一個(gè)應(yīng)用層協(xié)議而稱(chēng)為 TCP/IP 協(xié)議簇的一部分。管理站是一組具有分析數(shù)據(jù)、發(fā)現(xiàn)故障等功能的管理程序，用于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)的接口。l 管理信息庫(kù)（MIB）管理信息庫(kù)是一個(gè)概念上的數(shù)據(jù)庫(kù)，它定義了可以通過(guò)網(wǎng)絡(luò)管理協(xié)議進(jìn)行訪問(wèn)的管理對(duì)象的集合。管理進(jìn)程和管理代理之間是通過(guò)SNMP 網(wǎng)絡(luò)管理協(xié)議連接通信的，通過(guò)SNM