【正文】 供校外用戶訪問，還可提供學校用戶在家訪問學校的一些內(nèi)部網(wǎng)絡應用，同時為了保障校園網(wǎng)絡安全，需要對校園網(wǎng)的服務器操作系統(tǒng)進行安全防護，并且計劃部署全網(wǎng)的防病毒系統(tǒng)，請進行校園網(wǎng)的安全進行規(guī)劃和模擬實施。 項目實施規(guī)劃216。 Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設計用來大量精簡IT系統(tǒng)在執(zhí)行重大更新時的程序。Active Directory 使用一種多主機復制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。分布式組：分布式組是用在與安全（權限的設置等）無關的任務上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給分布式組。Active Directory使用了一種結構化的數(shù)據(jù)存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業(yè)級的目錄服務，具有很好的可伸縮性。 項目實施 實施原則1．可靠性提供網(wǎng)絡服務的服務器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡服務。 分析1：需要建立一個域，并把公司計算機加入域中216。 具體調(diào)查與需求分析1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團公司分為總部和三個分公司網(wǎng)絡，分公司通過專線與總部連接，總部約有400臺計算機和多臺服務器，各分公司分別有50100臺計算機，各分公司也各有1臺服務器提供網(wǎng)絡服務。右擊“FTP站點”，在彈出菜單中選擇“新建”→“FTP站點”，打開“FTP站點創(chuàng)建向?qū)А比鐖D單擊“下一步”按鈕，將出現(xiàn)“IP地址設置和端口設置”對話框，在此對話框中設置FTP站點所使用的IP地址“”及端口號“21”，如圖 單擊“下一步”按鈕，將出現(xiàn)“FTP用戶隔離”對話框，此對話框可以使設置FTP用戶隔離的選項，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點主目錄”對話框，此對話框設置FTP站點的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點訪問權限”對話框，此對話框設置FTP站點的訪問權限，如圖單擊“下一步”按鈕，完成FTP站點創(chuàng)建，如圖右擊“FTP站點”下“practrain”站點，在彈出菜單中選擇“屬性”，在彈出的屬性對話框中選擇“安全賬戶”，將允許匿名連接去掉，點擊確定完成FTP站點配置，如圖單擊“開始”→“管理工具”→“計算機管理”，打開“計算機管理”控制臺。右擊“網(wǎng)站”，在彈出的菜單中選擇“新建”→“網(wǎng)站”，將打開“網(wǎng)站創(chuàng)建向?qū)А睂υ捒?。打開“區(qū)域類型”對話框；在此對話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱”對話框中，輸入?yún)^(qū)域名稱，該名稱應與該DNS區(qū)域的主DNS區(qū)域的主DSN服務器上的主要區(qū)域名稱完全相同， 如圖單擊“下一步”“主DNS服務器”對話框。在此對話框中指定反向區(qū)域的名稱（可以輸入IP地址的網(wǎng)絡ID，由系統(tǒng)自動指定反向區(qū)域名稱；也可以自行輸入反向區(qū)域名稱），此處填寫“”。如圖317所示：圖317單擊“下一步”再點“完成”即完成該作用域的建立了。此處設置的域名和DNS服務器的地址將被分配給客戶機。在此對話框中，將選擇是否需要對客戶機分配DNS、路由器、WINNS等服務器的IP地址。此名稱和說明性文字并無特別要求，只是起一個區(qū)別于其他作用域的作用。分配區(qū)域IP地址分配范圍默認網(wǎng)關服務器 － 宿舍區(qū) －教師辦公區(qū) －教學區(qū) －教師公寓 －其它區(qū)域 －216。 項目實施規(guī)劃216。通過運行 FTP 守護程序 (FTPd)，F(xiàn)TP 客戶端可以從服務器中收發(fā)文件。一些通用的語言接口支持Perl，Python， Tcl和 PHP。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過使用CGI和ISAPI，IIS可以得到高度的擴展。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務器，DNS 客戶端需要 DNS 服務器提供一個完整的查詢應答。當收到 DNS 查詢請求時，就給出相應的回答（可能是最后的結果，也可能是下一步應當找的域名服務器的 IP 地址）。DNS 客戶端：運行 DNS 客戶端服務的計算機DNS 資源記錄：DNS 數(shù)據(jù)庫中將主機名映射到資源的項目因特網(wǎng)上的 DNS 服務器DNS 服務器DNS 客戶端根 “.”..edu資源記錄資源記錄 圖51 DNS組件2） DNS域名空間DNS 命名格式中，域名空間的授權以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結構，一些授權的機構可以各自轉(zhuǎn)換其權限以內(nèi)的名字和 IP 地址。作用域主要用來定義網(wǎng)絡中單一的物理子網(wǎng)的 IP 地址范圍。3．可擴充性 校園網(wǎng)需要提供的服務將隨著信息服務的需求和發(fā)展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡服務應具有可擴充性。 項目實訓要求216。 分析1：按照要求 需要一臺DHCP服務器為校園網(wǎng)用戶分配IP地址、一臺作為備用DHCP服務器。 項目流程 圖51 項目流程圖 項目調(diào)查與需求分析 項目目標 本項目針對學院需要提供各種基礎網(wǎng)絡服務，分別實現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學院網(wǎng)站、FTP資源下載等服務。216。 分析2：需要為校園網(wǎng)用戶的各個服務器提供域名解析系統(tǒng)（DNS），同樣需要兩臺DNS服務器，一臺主DNS服務器，一臺輔助DNS服務器。 要求2（必做）：安裝配置DHCP服務器、DNS服務器、WEB服務器、FTP服務器，分別在Windows Server和Linux環(huán)境下進行安裝配置提供相同功能。 DHCP服務器 DHCP（ Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議） 可以減少管理的復雜性和負擔，DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。216。圖52 DNS域名空間結構3） DNS服務器的類型根域名服務器：根域名服務器是最重要的域名服務器。本地域名服務器：本地域名服務器對域名系統(tǒng)非常重要。圖53 DNS查詢過程DNS服務器可以使用Windows Server2003安裝和配置DNS服務作為DNS服務器，Linux服務器使用著名的BIND（Berkeley Internet Name Domain）軟件實現(xiàn)，DNS客戶端可通過DHCP服務器分配DNS參數(shù)或手動指定。2）Apache HTTP ServerApache HTTP Server源于NCSAd服務器，經(jīng)過多次修改，成為世界上最流行的Web服務器軟件之一。Apache日志可以通過網(wǎng)頁瀏覽器使用免費的腳本AWStats或Visitors來進行分析。該連接由客戶端命令和服務器回復組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號端口。實訓項目中服務器命名規(guī)則建議如下：SrvDHCP01序號服務器功能 服務器功能中，Srv表示服務器、DHCP表示服務器功能。l DHCP服務器本身的IP地址必須是靜態(tài)的，也就是其IP地址、子網(wǎng)掩碼、默認網(wǎng)關等信息必須以手工的方式輸入。如圖311所示圖311填寫完成后點“下一步”進入IP租期設置對話框了。如圖313所示：圖313單擊“下一步”進入設置路由器（即網(wǎng)關）的設置。在“IP地址”項中填寫DNS服務器的 IP地址。此處填寫為“”。如圖318所示：l 圖318l 單擊“下一步”配置轉(zhuǎn)發(fā)查詢，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢”。三．FTP 服務器的創(chuàng)建1）根據(jù)實訓拓撲圖進行交換機、計算機的線纜連接，配置PCPCWebServer的IP地址。（6）WebServer上安裝FTP服務。 WEB跟FTP服務器的配置相對簡單，F(xiàn)TP服務器的權限是要注意的重點。216。 要求1（必做）：模擬本項目的網(wǎng)絡服務組建并完成項目的需求分析、規(guī)劃、實施文檔。4．實用性 應能使用戶方便實用地訪問各種企業(yè)網(wǎng)服務并接受管理。幾乎所有的應用可以直接利用系統(tǒng)提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定制目錄中對象的屬性或者添加新的對象類型。 域是邏輯的分組，站點是物理的分組。通過使用組策略可以設置各種軟件、計算機和用戶策略，可以完成用戶所需軟件的自動安裝、自動定制用戶環(huán)境、自動將用戶的文件夾重定向等一系列高級功能。使用自動更新可以在第一時間更新操作系統(tǒng)，修復系統(tǒng)漏洞，保護計算機安全。 實施步驟規(guī)劃1）規(guī)劃分配服務器參數(shù)2）安裝配置Windows Server 2003活動目錄（用戶管理、計算機加入域、站點與復制）3）安裝配置WSUS服務器（WSUS、組策略）4）配置計算機參數(shù)并根據(jù)需求驗證實現(xiàn)的功能5）完成項目文檔資料 實施步驟（請將主要實施步驟整理列出），用來集中管理 項目驗收 設備驗收 功能驗收兩臺服務器的域控制器站點驗證統(tǒng)一管理用戶驗證安全策略驗證 項目總結通過這次實訓，讓我了解到在企業(yè)里面應用域來管理計算機能大大的節(jié)省人力和時間，并能夠增強安全。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：— 。 需求4：保障和加強服務器安全性，對校園網(wǎng)的服務器操作系統(tǒng)進行安全防護，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡服務。216。216。3．可擴充性 校園網(wǎng)需要提供的服務將隨著信息服務的需求和發(fā)展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡服務應具有可擴充性。1） 防火墻技術防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務。應用網(wǎng)關防火墻檢查所有應用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡的安全性。網(wǎng)絡設備和所有計算機的設置（包括IP地址和網(wǎng)關）無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡的安全性，又降低了用戶管理的復雜程度。高級的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡層提供保護，為企業(yè)提供最低的投入的基礎上最高的回報。并且ISA能夠自動對其作出響應。因此您可以通過多臺 ISA Server 計算機組成的陣列來提供無縫縮放和更高的效率。為便于管理，各個陣列成員都使用相同的配置。使用 VPN 連接，在家辦公或旅行的用戶可以通過公用 Internet 網(wǎng)絡（如 Internet）提供的結構，獲得到組織服務器的遠程訪問連接。結合服務商提供的QOS機制，可以有效而且可靠的使用網(wǎng)絡資源，保證了網(wǎng)絡質(zhì)量。另外還可以使用 PPTP 建立專用 LAN 到 LAN 的網(wǎng)絡。SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術。Windows系統(tǒng)漏洞問題是與時間緊密相關的。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。若模擬 攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 200Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結構性錯誤，還可以檢查出Windows 2000、Windows XP、Windows Server 200IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server中遺漏的安全更新。 l 檢查將找出使用了空白密碼或簡單密碼的所有本地用戶賬戶。l 檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計算機上運行。l 檢查將確定SQL Server Server 2000 sa賬戶密碼是否以明文形式寫到%temp%\%temp%\。此外，MBSA還能識別出操作系統(tǒng)版本和服務包。 病毒防護1） 病毒與防護病毒是指編制或者在計算機程序中插入的破壞 計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。 實訓設備與軟件 設備類型設備型號數(shù)量（每組）備注防火墻Amaranten F50NP1臺交換機H3C31001 臺服務器宏基P42 臺計算機宏基P43 臺服務器操作系統(tǒng)Windows Server20032防火墻軟件ISA 20061防病毒網(wǎng)絡版Trend OfficeScan 1216。降低Internet接入成本。 需求2：對校園網(wǎng)的各服務器進行遠程管理，便于遠程操作和控制服務器。方便對服務器的管理216。216。數(shù)據(jù)備份系統(tǒng)構成應用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應用系統(tǒng)的安全運行和故障恢復機制。網(wǎng)絡管理員通過網(wǎng)絡管理程序?qū)W(wǎng)絡上的資源進行集中化管理的操作。管理站是一組具有分析數(shù)據(jù)、發(fā)現(xiàn)故障等功能的管理程序，用于網(wǎng)絡管理員監(jiān)控網(wǎng)絡的接口。管理進程和管理代理之間是通過SNMP 網(wǎng)絡管理協(xié)議連接通信的，通過SNM