【正文】 供校外用戶訪問(wèn)，還可提供學(xué)校用戶在家訪問(wèn)學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時(shí)為了保障校園網(wǎng)絡(luò)安全，需要對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，并且計(jì)劃部署全網(wǎng)的防病毒系統(tǒng)，請(qǐng)進(jìn)行校園網(wǎng)的安全進(jìn)行規(guī)劃和模擬實(shí)施。 項(xiàng)目實(shí)施規(guī)劃216。 Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設(shè)計(jì)用來(lái)大量精簡(jiǎn)IT系統(tǒng)在執(zhí)行重大更新時(shí)的程序。Active Directory 使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。分布式組：分布式組是用在與安全（權(quán)限的設(shè)置等）無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給分布式組。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性。 項(xiàng)目實(shí)施 實(shí)施原則1．可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡(luò)服務(wù)。 分析1：需要建立一個(gè)域，并把公司計(jì)算機(jī)加入域中216。 具體調(diào)查與需求分析1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團(tuán)公司分為總部和三個(gè)分公司網(wǎng)絡(luò)，分公司通過(guò)專線與總部連接，總部約有400臺(tái)計(jì)算機(jī)和多臺(tái)服務(wù)器，各分公司分別有50100臺(tái)計(jì)算機(jī)，各分公司也各有1臺(tái)服務(wù)器提供網(wǎng)絡(luò)服務(wù)。右擊“FTP站點(diǎn)”，在彈出菜單中選擇“新建”→“FTP站點(diǎn)”，打開(kāi)“FTP站點(diǎn)創(chuàng)建向?qū)А比鐖D單擊“下一步”按鈕，將出現(xiàn)“IP地址設(shè)置和端口設(shè)置”對(duì)話框，在此對(duì)話框中設(shè)置FTP站點(diǎn)所使用的IP地址“”及端口號(hào)“21”，如圖 單擊“下一步”按鈕，將出現(xiàn)“FTP用戶隔離”對(duì)話框，此對(duì)話框可以使設(shè)置FTP用戶隔離的選項(xiàng)，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)主目錄”對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)訪問(wèn)權(quán)限”對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的訪問(wèn)權(quán)限，如圖單擊“下一步”按鈕，完成FTP站點(diǎn)創(chuàng)建，如圖右擊“FTP站點(diǎn)”下“practrain”站點(diǎn)，在彈出菜單中選擇“屬性”，在彈出的屬性對(duì)話框中選擇“安全賬戶”，將允許匿名連接去掉，點(diǎn)擊確定完成FTP站點(diǎn)配置，如圖單擊“開(kāi)始”→“管理工具”→“計(jì)算機(jī)管理”，打開(kāi)“計(jì)算機(jī)管理”控制臺(tái)。右擊“網(wǎng)站”，在彈出的菜單中選擇“新建”→“網(wǎng)站”，將打開(kāi)“網(wǎng)站創(chuàng)建向?qū)А睂?duì)話框。打開(kāi)“區(qū)域類型”對(duì)話框；在此對(duì)話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱”對(duì)話框中，輸入?yún)^(qū)域名稱，該名稱應(yīng)與該DNS區(qū)域的主DNS區(qū)域的主DSN服務(wù)器上的主要區(qū)域名稱完全相同， 如圖單擊“下一步”“主DNS服務(wù)器”對(duì)話框。在此對(duì)話框中指定反向區(qū)域的名稱（可以輸入IP地址的網(wǎng)絡(luò)ID，由系統(tǒng)自動(dòng)指定反向區(qū)域名稱；也可以自行輸入反向區(qū)域名稱），此處填寫(xiě)“”。如圖317所示：圖317單擊“下一步”再點(diǎn)“完成”即完成該作用域的建立了。此處設(shè)置的域名和DNS服務(wù)器的地址將被分配給客戶機(jī)。在此對(duì)話框中，將選擇是否需要對(duì)客戶機(jī)分配DNS、路由器、WINNS等服務(wù)器的IP地址。此名稱和說(shuō)明性文字并無(wú)特別要求，只是起一個(gè)區(qū)別于其他作用域的作用。分配區(qū)域IP地址分配范圍默認(rèn)網(wǎng)關(guān)服務(wù)器 － 宿舍區(qū) －教師辦公區(qū) －教學(xué)區(qū) －教師公寓 －其它區(qū)域 －216。 項(xiàng)目實(shí)施規(guī)劃216。通過(guò)運(yùn)行 FTP 守護(hù)程序 (FTPd)，F(xiàn)TP 客戶端可以從服務(wù)器中收發(fā)文件。一些通用的語(yǔ)言接口支持Perl，Python， Tcl和 PHP。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過(guò)使用CGI和ISAPI，IIS可以得到高度的擴(kuò)展。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務(wù)器，DNS 客戶端需要 DNS 服務(wù)器提供一個(gè)完整的查詢應(yīng)答。當(dāng)收到 DNS 查詢請(qǐng)求時(shí)，就給出相應(yīng)的回答（可能是最后的結(jié)果，也可能是下一步應(yīng)當(dāng)找的域名服務(wù)器的 IP 地址）。DNS 客戶端：運(yùn)行 DNS 客戶端服務(wù)的計(jì)算機(jī)DNS 資源記錄：DNS 數(shù)據(jù)庫(kù)中將主機(jī)名映射到資源的項(xiàng)目因特網(wǎng)上的 DNS 服務(wù)器DNS 服務(wù)器DNS 客戶端根 “.”..edu資源記錄資源記錄 圖51 DNS組件2） DNS域名空間DNS 命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結(jié)構(gòu)，一些授權(quán)的機(jī)構(gòu)可以各自轉(zhuǎn)換其權(quán)限以內(nèi)的名字和 IP 地址。作用域主要用來(lái)定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的 IP 地址范圍。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。 項(xiàng)目實(shí)訓(xùn)要求216。 分析1：按照要求 需要一臺(tái)DHCP服務(wù)器為校園網(wǎng)用戶分配IP地址、一臺(tái)作為備用DHCP服務(wù)器。 項(xiàng)目流程 圖51 項(xiàng)目流程圖 項(xiàng)目調(diào)查與需求分析 項(xiàng)目目標(biāo) 本項(xiàng)目針對(duì)學(xué)院需要提供各種基礎(chǔ)網(wǎng)絡(luò)服務(wù)，分別實(shí)現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)。216。 分析2：需要為校園網(wǎng)用戶的各個(gè)服務(wù)器提供域名解析系統(tǒng)（DNS），同樣需要兩臺(tái)DNS服務(wù)器，一臺(tái)主DNS服務(wù)器，一臺(tái)輔助DNS服務(wù)器。 要求2（必做）：安裝配置DHCP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器、FTP服務(wù)器，分別在Windows Server和Linux環(huán)境下進(jìn)行安裝配置提供相同功能。 DHCP服務(wù)器 DHCP（ Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議） 可以減少管理的復(fù)雜性和負(fù)擔(dān)，DHCP 使用了租約的概念，或稱為計(jì)算機(jī) IP 地址的有效期。216。圖52 DNS域名空間結(jié)構(gòu)3） DNS服務(wù)器的類型根域名服務(wù)器：根域名服務(wù)器是最重要的域名服務(wù)器。本地域名服務(wù)器：本地域名服務(wù)器對(duì)域名系統(tǒng)非常重要。圖53 DNS查詢過(guò)程DNS服務(wù)器可以使用Windows Server2003安裝和配置DNS服務(wù)作為DNS服務(wù)器，Linux服務(wù)器使用著名的BIND（Berkeley Internet Name Domain）軟件實(shí)現(xiàn)，DNS客戶端可通過(guò)DHCP服務(wù)器分配DNS參數(shù)或手動(dòng)指定。2）Apache HTTP ServerApache HTTP Server源于NCSAd服務(wù)器，經(jīng)過(guò)多次修改，成為世界上最流行的Web服務(wù)器軟件之一。Apache日志可以通過(guò)網(wǎng)頁(yè)瀏覽器使用免費(fèi)的腳本AWStats或Visitors來(lái)進(jìn)行分析。該連接由客戶端命令和服務(wù)器回復(fù)組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號(hào)端口。實(shí)訓(xùn)項(xiàng)目中服務(wù)器命名規(guī)則建議如下：SrvDHCP01序號(hào)服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。l DHCP服務(wù)器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息必須以手工的方式輸入。如圖311所示圖311填寫(xiě)完成后點(diǎn)“下一步”進(jìn)入IP租期設(shè)置對(duì)話框了。如圖313所示：圖313單擊“下一步”進(jìn)入設(shè)置路由器（即網(wǎng)關(guān)）的設(shè)置。在“IP地址”項(xiàng)中填寫(xiě)DNS服務(wù)器的 IP地址。此處填寫(xiě)為“”。如圖318所示：l 圖318l 單擊“下一步”配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢”。三．FTP 服務(wù)器的創(chuàng)建1）根據(jù)實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PCPCWebServer的IP地址。（6）WebServer上安裝FTP服務(wù)。 WEB跟FTP服務(wù)器的配置相對(duì)簡(jiǎn)單，F(xiàn)TP服務(wù)器的權(quán)限是要注意的重點(diǎn)。216。 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。4．實(shí)用性 應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種企業(yè)網(wǎng)服務(wù)并接受管理。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。 域是邏輯的分組，站點(diǎn)是物理的分組。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略，可以完成用戶所需軟件的自動(dòng)安裝、自動(dòng)定制用戶環(huán)境、自動(dòng)將用戶的文件夾重定向等一系列高級(jí)功能。使用自動(dòng)更新可以在第一時(shí)間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計(jì)算機(jī)安全。 實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動(dòng)目錄（用戶管理、計(jì)算機(jī)加入域、站點(diǎn)與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5）完成項(xiàng)目文檔資料 實(shí)施步驟（請(qǐng)將主要實(shí)施步驟整理列出），用來(lái)集中管理 項(xiàng)目驗(yàn)收 設(shè)備驗(yàn)收 功能驗(yàn)收兩臺(tái)服務(wù)器的域控制器站點(diǎn)驗(yàn)證統(tǒng)一管理用戶驗(yàn)證安全策略驗(yàn)證 項(xiàng)目總結(jié)通過(guò)這次實(shí)訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來(lái)管理計(jì)算機(jī)能大大的節(jié)省人力和時(shí)間，并能夠增強(qiáng)安全。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：— 。 需求4：保障和加強(qiáng)服務(wù)器安全性，對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。216。216。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。1） 防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)設(shè)備和所有計(jì)算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無(wú)須改變，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。高級(jí)的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個(gè)網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報(bào)。并且ISA能夠自動(dòng)對(duì)其作出響應(yīng)。因此您可以通過(guò)多臺(tái) ISA Server 計(jì)算機(jī)組成的陣列來(lái)提供無(wú)縫縮放和更高的效率。為便于管理，各個(gè)陣列成員都使用相同的配置。使用 VPN 連接，在家辦公或旅行的用戶可以通過(guò)公用 Internet 網(wǎng)絡(luò)（如 Internet）提供的結(jié)構(gòu)，獲得到組織服務(wù)器的遠(yuǎn)程訪問(wèn)連接。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。另外還可以使用 PPTP 建立專用 LAN 到 LAN 的網(wǎng)絡(luò)。SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。Windows系統(tǒng)漏洞問(wèn)題是與時(shí)間緊密相關(guān)的。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。若模擬 攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 200Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結(jié)構(gòu)性錯(cuò)誤，還可以檢查出Windows 2000、Windows XP、Windows Server 200IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server中遺漏的安全更新。 l 檢查將找出使用了空白密碼或簡(jiǎn)單密碼的所有本地用戶賬戶。l 檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計(jì)算機(jī)上運(yùn)行。l 檢查將確定SQL Server Server 2000 sa賬戶密碼是否以明文形式寫(xiě)到%temp%\%temp%\。此外，MBSA還能識(shí)別出操作系統(tǒng)版本和服務(wù)包。 病毒防護(hù)1） 病毒與防護(hù)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞 計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 實(shí)訓(xùn)設(shè)備與軟件 設(shè)備類型設(shè)備型號(hào)數(shù)量（每組）備注防火墻Amaranten F50NP1臺(tái)交換機(jī)H3C31001 臺(tái)服務(wù)器宏基P42 臺(tái)計(jì)算機(jī)宏基P43 臺(tái)服務(wù)器操作系統(tǒng)Windows Server20032防火墻軟件ISA 20061防病毒網(wǎng)絡(luò)版Trend OfficeScan 1216。降低Internet接入成本。 需求2：對(duì)校園網(wǎng)的各服務(wù)器進(jìn)行遠(yuǎn)程管理，便于遠(yuǎn)程操作和控制服務(wù)器。方便對(duì)服務(wù)器的管理216。216。數(shù)據(jù)備份系統(tǒng)構(gòu)成應(yīng)用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應(yīng)用系統(tǒng)的安全運(yùn)行和故障恢復(fù)機(jī)制。網(wǎng)絡(luò)管理員通過(guò)網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作。管理站是一組具有分析數(shù)據(jù)、發(fā)現(xiàn)故障等功能的管理程序，用于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)的接口。管理進(jìn)程和管理代理之間是通過(guò)SNMP 網(wǎng)絡(luò)管理協(xié)議連接通信的，通過(guò)SNM