【正文】 che日志可以通過網(wǎng)頁瀏覽器使用免費(fèi)的腳本AWStats或Visitors來進(jìn)行分析。FTP 客戶端是一種在計算機(jī)上運(yùn)行的應(yīng)用程序。該連接由客戶端命令和服務(wù)器回復(fù)組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號端口。常用的組建FTP服務(wù)器方法有：Windows下使用IIS架設(shè)FTP站點(diǎn)、Linux下的wuftpd、vsftpd、使用FTP服務(wù)器軟件（ServU、Gene6等）。實(shí)訓(xùn)項目中服務(wù)器命名規(guī)則建議如下：SrvDHCP01序號服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。地址租期為1天 注：由于模擬環(huán)境不好操作，所以全部采用同一個網(wǎng)段的IP作為分配地址。l DHCP服務(wù)器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息必須以手工的方式輸入。填寫新建作用域的名稱和說明文字。如圖311所示圖311填寫完成后點(diǎn)“下一步”進(jìn)入IP租期設(shè)置對話框了。如圖312所示：圖312單擊“下一步”進(jìn)入配置DHCP選項的對話框。如圖313所示：圖313單擊“下一步”進(jìn)入設(shè)置路由器（即網(wǎng)關(guān)）的設(shè)置。如圖314所示：圖314單擊“下一步”進(jìn)入域名和DNS服務(wù)器的設(shè)置對話框了。在“IP地址”項中填寫DNS服務(wù)器的 IP地址。在此對話框中將選擇“是，我想現(xiàn)在就激活此作用域”。此處填寫為“”。如圖316所示：圖316單擊“下一步”進(jìn)入“反向查找區(qū)域名稱”對話框。如圖318所示：l 圖318l 單擊“下一步”配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢”。如圖單擊“確定”，完成配置，然后采用同樣的方法在反向主要區(qū)域上指定輔助DNS服務(wù)器，如圖（5）在Server2上安裝輔助DNS服務(wù)器：參考步驟1，安裝DNS服務(wù)。三．FTP 服務(wù)器的創(chuàng)建1）根據(jù)實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計算機(jī)的線纜連接，配置PCPCWebServer的IP地址。單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開“Internet信息服務(wù)（IIS）管理器”控制臺。（6）WebServer上安裝FTP服務(wù)。單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開“Internet信息服務(wù)（IIS）管理器”控制臺。 WEB跟FTP服務(wù)器的配置相對簡單，F(xiàn)TP服務(wù)器的權(quán)限是要注意的重點(diǎn)。 項目流程 圖61 項目流程圖 項目調(diào)查與需求分析 項目目標(biāo)本項目針對集團(tuán)軍公司的網(wǎng)絡(luò)進(jìn)行管理，實(shí)現(xiàn)使用統(tǒng)一賬號訪問公司資源，并提供操作系統(tǒng)的補(bǔ)丁更新。216。3）需求分析216。 要求1（必做）：模擬本項目的網(wǎng)絡(luò)服務(wù)組建并完成項目的需求分析、規(guī)劃、實(shí)施文檔。 要求3（選做）：在以上基礎(chǔ)上實(shí)現(xiàn)公司微軟操作系統(tǒng)補(bǔ)丁服務(wù)器的架設(shè)和配置。4．實(shí)用性 應(yīng)能使用戶方便實(shí)用地訪問各種企業(yè)網(wǎng)服務(wù)并接受管理。Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對象的屬性或者添加新的對象類型。安全組也可以用在與安全無關(guān)的任務(wù)上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給安全組。 域是邏輯的分組，站點(diǎn)是物理的分組。通過復(fù)制，Active Directory目錄服務(wù)在多個域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。通過使用組策略可以設(shè)置各種軟件、計算機(jī)和用戶策略，可以完成用戶所需軟件的自動安裝、自動定制用戶環(huán)境、自動將用戶的文件夾重定向等一系列高級功能。216。使用自動更新可以在第一時間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計算機(jī)安全。這樣也既不會浪費(fèi)外部網(wǎng)絡(luò)帶寬，也能讓所有的計算機(jī)得到更新。 實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動目錄（用戶管理、計算機(jī)加入域、站點(diǎn)與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計算機(jī)參數(shù)并根據(jù)需求驗證實(shí)現(xiàn)的功能5）完成項目文檔資料 實(shí)施步驟（請將主要實(shí)施步驟整理列出），用來集中管理 項目驗收 設(shè)備驗收 功能驗收兩臺服務(wù)器的域控制器站點(diǎn)驗證統(tǒng)一管理用戶驗證安全策略驗證 項目總結(jié)通過這次實(shí)訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來管理計算機(jī)能大大的節(jié)省人力和時間，并能夠增強(qiáng)安全。在實(shí)際的環(huán)境中也能揮曬自如。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：— 。 需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶能安全方便地訪問學(xué)校的公共資源和信息。 需求4：保障和加強(qiáng)服務(wù)器安全性，對校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。 分析1：使用合理規(guī)劃的ＩＰ地址和路由協(xié)議使校園網(wǎng)用戶可以連接到Ｉｎｔｅｒｎｅｔ,并通過專線連接到教育網(wǎng)216。216。 分析5：安裝必要的殺毒軟件 項目實(shí)訓(xùn)要求216。216。216。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。在網(wǎng)絡(luò)上防火墻簡單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個子網(wǎng)來實(shí)現(xiàn)。1） 防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務(wù)。狀態(tài)檢測是比包過濾更為有效的安全控制方法。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。網(wǎng)絡(luò)設(shè)備和所有計算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:3） 防火墻產(chǎn)品簡介1．阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內(nèi)核，即：防火墻沒有操作系統(tǒng)，因此不會存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時，因為操作系統(tǒng)需要不斷地去維護(hù)、升級，無操作系統(tǒng)就不存在此類問題，這也排除了因為系統(tǒng)升級、打補(bǔ)丁破壞防火墻功能、性能的問題。高級的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報。ISA Server 可以動態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。并且ISA能夠自動對其作出響應(yīng)。這種高性能的 Web 緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的 Web 客戶機(jī)總體響應(yīng)時間。因此您可以通過多臺 ISA Server 計算機(jī)組成的陣列來提供無縫縮放和更高的效率。(7)統(tǒng)一管理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 管理控制臺(MMC，Microsoft Management Console)。為便于管理，各個陣列成員都使用相同的配置。虛擬專用網(wǎng)絡(luò) (VPN) 是專用網(wǎng)絡(luò)的擴(kuò)展。使用 VPN 連接，在家辦公或旅行的用戶可以通過公用 Internet 網(wǎng)絡(luò)（如 Internet）提供的結(jié)構(gòu)，獲得到組織服務(wù)器的遠(yuǎn)程訪問連接。1） VPN的類型（1）Access VPN移動用戶在任何地方、時間采用撥號、ISDN、DSL、移動IP和電纜技術(shù)通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。PPTP 可以建立隧道或?qū)?IP、IPX 或 NetBEUI 協(xié)議封裝在 PPP 數(shù)據(jù)包內(nèi)，因此允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。另外還可以使用 PPTP 建立專用 LAN 到 LAN 的網(wǎng)絡(luò)。（2）網(wǎng)絡(luò)層IPsec協(xié)議基于 PKI 技術(shù)的 IPSec 協(xié)議現(xiàn)在已經(jīng)成為架構(gòu) VPN 的基礎(chǔ)，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過加密和認(rèn)證的通信。SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。系統(tǒng)漏洞往往會被病毒利用侵入并攻擊用戶計算機(jī)。Windows系統(tǒng)漏洞問題是與時間緊密相關(guān)的。一般情況下，在網(wǎng)絡(luò)邊界處企業(yè)都會部署硬件或軟件防火墻，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，本身具有較強(qiáng)的抗攻擊能力。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻不能防止內(nèi)部的泄密行為以及自身安全漏洞的問題。若模擬 攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。如果漏洞庫信息不全面或得不到即時的更新，不但不能發(fā)揮漏洞掃描的作用，還會給系統(tǒng)管理員以錯誤的引導(dǎo)，從而對系統(tǒng)的安全隱患不能采取有效措施并及時的消除。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 200Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結(jié)構(gòu)性錯誤，還可以檢查出Windows 2000、Windows XP、Windows Server 200IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server中遺漏的安全更新。 l 檢查是否有不必要的服務(wù)。 l 檢查將找出使用了空白密碼或簡單密碼的所有本地用戶賬戶。l 檢查將確定被掃描的計算機(jī)上是否使用了Restrict Anonymous注冊表項來限制匿名連接Service Pack和即時修復(fù)程序。l 檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計算機(jī)上運(yùn)行。MBSA Server安全分析功能： l 檢查將確定Sysadmin角色的成員的數(shù)量，并將結(jié)果顯示在安全報告中。l 檢查將確定SQL Server Server 2000 sa賬戶密碼是否以明文形式寫到%temp%\%temp%\。如果Everyone組對這些注冊表項的訪問權(quán)限高于讀取權(quán)限，那么這種情況將在安全掃描報告中被標(biāo)記為嚴(yán)重安全漏洞。此外，MBSA還能識別出操作系統(tǒng)版本和服務(wù)包。安裝、部署一套服務(wù)器操作系統(tǒng)難度比較高，安全配置也是一項具有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置太嚴(yán)格，許多應(yīng)用程序不能正常運(yùn)行；權(quán)限配置的太松，又很容易被非法入侵者侵入。 病毒防護(hù)1） 病毒與防護(hù)病毒是指編制或者在計算機(jī)程序中插入的破壞 計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。因此在企業(yè)中常常需要使實(shí)施防病毒軟件的網(wǎng)絡(luò)版，國內(nèi)外的病毒防護(hù)軟件廠商非常多，目前在企業(yè)中應(yīng)用較廣的主要有四種，即SymantecAntivus、Mcafee、趨勢、卡巴斯基和瑞星等。 實(shí)訓(xùn)設(shè)備與軟件 設(shè)備類型設(shè)備型號數(shù)量（每組）備注防火墻Amaranten F50NP1臺交換機(jī)H3C31001 臺服務(wù)器宏基P42 臺計算機(jī)宏基P43 臺服務(wù)器操作系統(tǒng)Windows Server20032防火墻軟件ISA 20061防病毒網(wǎng)絡(luò)版Trend OfficeScan 1216。 實(shí)施步驟規(guī)劃1) 規(guī)劃防火墻、服務(wù)器等網(wǎng)絡(luò)參數(shù)2）根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)安裝和連接服務(wù)器和網(wǎng)絡(luò)設(shè)備3）配置防火墻實(shí)現(xiàn)NAT和SAT4）安裝安全掃描軟件和根據(jù)結(jié)果配置主機(jī)安全5）安裝和配置VPN6）安裝和配置防病毒軟件網(wǎng)絡(luò)版7）根據(jù)需求驗證實(shí)現(xiàn)的功能 實(shí)施步驟（請將主要實(shí)施步驟和配置清單整理列出） 項目驗收 設(shè)備驗收 功能驗收 項目總結(jié)本次實(shí)驗主要完成了WEB服務(wù)器FTP服務(wù)器VPN及NAT的配置。降低Internet接入成本。8. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近200臺各層次交換機(jī)（其中核心層2臺、匯聚層10臺）、約30臺服務(wù)器以及防火墻、網(wǎng)絡(luò)認(rèn)證系統(tǒng)等設(shè)備提供校園網(wǎng)服務(wù)。 需求2：對校園網(wǎng)的各服務(wù)器進(jìn)行遠(yuǎn)程管理，便于遠(yuǎn)程操作和控制服務(wù)器。 需求4：對服務(wù)器重要數(shù)據(jù)進(jìn)行統(tǒng)一備份，能實(shí)現(xiàn)各種備份方式定時備份，以便出現(xiàn)故障時及時恢復(fù)數(shù)據(jù)。方便對服務(wù)器的管理216。216。216。 項目實(shí)施 實(shí)施原則1．可靠性對校園網(wǎng)設(shè)備進(jìn)行監(jiān)控應(yīng)不影響設(shè)備的運(yùn)行可靠性和穩(wěn)定性，導(dǎo)致網(wǎng)絡(luò)故障和效率低下，不能改動原有拓?fù)浣Y(jié)構(gòu)。數(shù)據(jù)備份系統(tǒng)構(gòu)成應(yīng)用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應(yīng)用系統(tǒng)的安全運(yùn)行和故障恢復(fù)機(jī)制。5．開放性系統(tǒng)采用的各種硬件設(shè)備和軟件系統(tǒng)均遵循國際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)及國際流行標(biāo)準(zhǔn)，符合開放性設(shè)計原則，使其具備優(yōu)良的可擴(kuò)展性、可升級性和靈活性。網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作。它被設(shè)計成一個應(yīng)用層協(xié)議而稱為 TCP/IP 協(xié)議簇的一部分。管理站是一組具有分析數(shù)據(jù)、發(fā)現(xiàn)故障等功能的管理程序，用于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)的接口。l 管理信息庫（MIB）管理信息庫是一個概念上的數(shù)據(jù)庫，它定義了可以通過網(wǎng)絡(luò)管理協(xié)議進(jìn)行訪問的管理對象的集合。管理進(jìn)程和管理代理之間是通過SNMP 網(wǎng)絡(luò)管理協(xié)議連接通信的，通過SNM