【正文】 源不同的IP解析出不同的地址。DNS是一種包含 DNS 主機名到 IP 地址映射的分布式、分層式數(shù)據(jù)庫，DNS 是 Internet 名稱方案的基礎(chǔ)和企業(yè)名稱方案的基礎(chǔ)。每一個因特網(wǎng)服務(wù)提供者都可以擁有一個本地域名服務(wù)器，這種域名服務(wù)器有時也稱為默認域名服務(wù)器。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。在兩個方向上，都可以進行文件傳輸。單擊“開始”→“管理工具”→“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開始安裝DHCP服務(wù)器。此處填寫為：。在此對話框中指定創(chuàng)建的區(qū)域是否支持動態(tài)更新，此處選擇“不允許動態(tài)更新”如圖314所示：l 圖314單擊“下一步”選擇是否創(chuàng)建反向查找區(qū)域。單擊“開始”→“管理工具”→“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開始安裝DHCP服務(wù)器。針對某集團公司辦公區(qū)網(wǎng)站建設(shè)任務(wù)內(nèi)容和目標，通過需求分析進行了實訓(xùn)的規(guī)劃和實施，通過本任務(wù)進行了DNS ,DHCP、WEB、FTP基礎(chǔ)配置等方面的實訓(xùn)。 要求2（必做）：模擬本項目的網(wǎng)絡(luò)組建并完成項目實施的文檔，模擬實現(xiàn)企業(yè)網(wǎng)總部及1個分公司區(qū)域的網(wǎng)絡(luò)，實現(xiàn)統(tǒng)一管理和站點登錄。用戶可以利用域用戶賬戶登錄域，并利用它訪問網(wǎng)絡(luò)上的資源， 本地用戶賬戶：本地用戶賬戶是創(chuàng)建在非域控制器的“本地安全賬戶數(shù)據(jù)庫”內(nèi)，而不是域控制器的Active Directory數(shù)據(jù)庫內(nèi)。此外,還可添加在計算機上（在計算機啟動或停止時，以及用戶登錄或注銷時）運行的腳本，甚至可配置Internet Explorer等多種功能。才知道以前我們上課掌握的知識真的是太少了 ，在這之前我對于一些服務(wù)器安裝和配置都有一些陌生，在建立域之前，應(yīng)收集實際環(huán)境的信息，按照實際來設(shè)計和配置每個服務(wù)器和個人電腦的角色。 需求5：為保障校園網(wǎng)全網(wǎng)安全，加強各用戶計算機的安全防護，安裝使用防病毒軟件。（主機安全）216。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。 傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計算機通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。當識別出這種攻擊時，警報還能同時指出 ISA Server 應(yīng)采取什么行動，這些行動可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)ず?，停?Firewall 服務(wù)，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。216。Extranet 用戶對于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。216。l 防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。 l 檢查將確定在被掃描的計算機上是否啟用了審核。l 檢查將確定在被掃描的計算機上是否啟用了ASP EnableParentPaths設(shè)置。（2）漏洞掃描軟件XScanXScan是一款優(yōu)秀的國產(chǎn)免費漏洞掃描軟件，XScan采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠程操作系統(tǒng)類型及版本，標準端口狀態(tài)及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQLSERVER、FTPSERVER、SMTPSERVER、 POP3SERVER、NTSERVER弱口令用戶，NT服務(wù)器NETBIOS信息等。216。 需求3：進行服務(wù)器數(shù)據(jù)的統(tǒng)一大容量存儲，盡量采用投資較小的技術(shù)和設(shè)備，能與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和環(huán)境相結(jié)合，進行數(shù)據(jù)的統(tǒng)一管理和備份。216。l SNMP協(xié)議SNMP協(xié)議是為網(wǎng)絡(luò)管理服務(wù)而定義的應(yīng)用層協(xié)議。 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理標準中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、性能管理、故障管 理、安全管理和計費管理。216。 需求1：采用先進的網(wǎng)絡(luò)管理技術(shù)對校園網(wǎng)設(shè)備和線路進行監(jiān)控和管理，監(jiān)控實時運行狀態(tài)，應(yīng)能管理不同廠家和類型的設(shè)備，并在出現(xiàn)故障時進行告警。通過防毒墻網(wǎng)絡(luò)版控制臺，管理員可以配置、監(jiān)控和更新客戶機的防病毒軟件及病毒代碼。MBSA Update Agent (WUA)。l 檢查將確定IISADMPWD目錄是否已安裝在被掃描的計算機上。MBSA 將掃描基于 Windows 的計算機，并檢查操作系統(tǒng)和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發(fā)現(xiàn)安全方面的配置錯誤，并及時通過推薦的安全更新進行修補。l 防火墻對于合法開發(fā)端口的攻擊無法阻止。由于 IPSec 是 IP 層上的協(xié)議，因此很容易在全世界范圍內(nèi)形成一種規(guī)范，具有非常好的通用性，而且 IPSec 本身就支持面向未來的協(xié)議 ——IPv6 。（2）Intranet VPNIntranet VPN通過公用網(wǎng)絡(luò)進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。(8)企業(yè)策略和訪問控制ISA Server 還支持創(chuàng)建企業(yè)級和本地陣列策略，用于集中實施或本地實施。這一過程稱為動態(tài)數(shù)據(jù)包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。根據(jù)防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。防火墻是一種高級訪問控制設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行允許，拒絕，監(jiān)視，記錄進出網(wǎng)絡(luò)的行為。216。 需求3：一些校園網(wǎng)內(nèi)部的資源（例如辦公系統(tǒng)、電子圖書等）需要提供學(xué)校的教職員工在外安全訪問。 實訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號數(shù)量（每組）備注交換機H3C3100 1臺服務(wù)器宏基P43臺計算機宏基P43臺服務(wù)器操作系統(tǒng)Windows Server20033可使用虛擬機環(huán)境216。Active Directory 依靠站點概念來保持復(fù)制的效率，并依靠知識一致性檢查器 (KCC) 來自動確定網(wǎng)絡(luò)的最佳復(fù)制拓撲。活動目錄采用了Internet的標準協(xié)議，它與操作系統(tǒng)緊密地集成在一起。 分析2：創(chuàng)建一個帳號，使全公司成員都能登錄進域中216。選擇“本地用戶和用戶組”→“用戶”，右擊新建“admin”用戶，如圖選中E盤下“web”文件夾右擊選擇“屬性”，彈出“web屬性”對話框中選擇“安全”，點擊添加按鈕，如圖選擇“admin”用戶，點擊確定，如圖添加“admin”用戶的“修改”和“寫入”權(quán)限，如圖點擊確定，完成設(shè)置。在此對話框中指定DNS服務(wù)器的IP地址，如圖單擊“下一步”完成輔助DNS配置，返回DNS管理控制臺，此時能夠看到從主DNS服務(wù)器復(fù)制而來的區(qū)域數(shù)據(jù)。如圖318所示：二．DNS 服務(wù)器的設(shè)置在主機上安裝DNS配置軟件，然后創(chuàng)建區(qū)域l 圖311單擊“下一步”進入?yún)^(qū)域名稱設(shè)置對話框。在大型網(wǎng)絡(luò)中，特別是與internet 互聯(lián)的網(wǎng)，這些服務(wù)都是很重要的。 實施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝服務(wù)器操作系統(tǒng)3）安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡(luò)服務(wù)4）配置計算機參數(shù)并根據(jù)需求驗證實現(xiàn)的功能5）完成項目文檔資料 實施步驟（請將主要實施步驟整理列出）一．DHCP服務(wù)器的配置（1）根據(jù)實訓(xùn)拓撲圖進行交換機、計算機的線纜連接，配置DHCPSERVER的IP地址。為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶端和服務(wù)器之間建立兩條連接：一條是命令和回復(fù)連接，另一條是實際文件傳輸連接。IIS支持與語言無關(guān)的腳本編寫和組件，通過IIS，開發(fā)人員就可以開發(fā)新一代動態(tài)的，富有魅力的Web站點。權(quán)限域名服務(wù)器：負責一個區(qū)的域名服務(wù)器。作用域是服務(wù)器用來管理分配給網(wǎng)絡(luò)客戶的 IP 地址的主要手段。 要求1（必做）：模擬本項目的網(wǎng)絡(luò)服務(wù)組建并完成項目的需求分析、規(guī)劃、實施文檔。 需求與分析1）具體需求經(jīng)調(diào)查和與用戶溝通，具體的需求如下:216。 216。 項目知識點216。區(qū)域是 DNS 名稱空間的一個管理單元，它可以由單一的 DNS 域或者結(jié)合了部分或全部子域的域組成 ；DNS 服務(wù)器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。迭代查詢通常發(fā)生在上級域指引到下級域。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服務(wù)器 (proxy) 模塊，很有用的URL重寫（由 mod_rewrite 實現(xiàn)），定制日志文件（mod_log_config），以及過濾支持（mod_include 和 mod_ext_filter）。 服務(wù)器命名規(guī)則服務(wù)器命名沒有絕對的標準，一般都是按工程慣例和管理規(guī)范來進行命名，應(yīng)本著明確、簡潔、無二義性的原則。填寫完后，如圖310所示： 圖310單擊“下一步”進入下一個對話框，設(shè)置想排除開不用于分配的IP地址范圍。此處我們填寫為dns。在此對話框中，將選擇創(chuàng)建新的反向區(qū)域文件（名稱可自行指定）或使用現(xiàn)存的反向區(qū)域文件，在此填寫“”。如圖單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站權(quán)限訪問”對話框，在此對話框中可以設(shè)置網(wǎng)站的訪問權(quán)限，如圖單擊“下一步”按鈕，完成網(wǎng)站的創(chuàng)建。 需求1：采用先進的網(wǎng)絡(luò)技術(shù)和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡(luò)集中管理，以實現(xiàn)企業(yè)信息化的基礎(chǔ)。3．可擴充性 企業(yè)網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴充性。2） 活動目錄站點與復(fù)制活動目錄“站點”是由一個或多個IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過高速連接所串接起來的，而這里所謂的“高速”是指這些子網(wǎng)之間的連接速度要夠快才可以，否則應(yīng)該將它們分別規(guī)劃為不同的站點。Windows 自動更新是Windows 的一項功能，當適用于您的計算機的重要更新發(fā)布時，它會及時提醒用戶下載和安裝。7. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺服務(wù)器提供服務(wù)，校園網(wǎng)通過租用1條100M電信線路和1條10M教育網(wǎng)線路分別連接互聯(lián)網(wǎng)和CERNET。 分析3：配置虛擬專用網(wǎng)（VPN）為校外出差人員提供遠程訪問。2．安全性各項服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的事件來處理。ISA Server的主要特性：?。?）多層防火墻安全防火墻可以通過各種方法增強安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。虛擬專用網(wǎng)絡(luò)連接是一種創(chuàng)建和配置虛擬專用網(wǎng)絡(luò)的操作。尤其是使用EAP后，通過啟用 PPTP 的 VPN傳輸數(shù)據(jù)就象在企業(yè)的一個局域網(wǎng)內(nèi)那樣安全。在不同種類的軟、硬件設(shè) 備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng) 提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。 l 檢查將確定在被掃描的計算機上是否啟用了內(nèi)置的來賓賬戶。l 檢查將驗證SQL Server目錄是否都將訪問權(quán)只限制到SQL服務(wù)賬戶和本地Administrators。216。NAT服務(wù)器可以提供地址轉(zhuǎn)換，從而節(jié)約公用IP地址。 分析2：創(chuàng)建服務(wù)器遠程桌面連接。2．安全性對校園網(wǎng)設(shè)備進行監(jiān)控應(yīng)保障設(shè)備和網(wǎng)絡(luò)的安全，不得因監(jiān)測對設(shè)備和服務(wù)器產(chǎn)生安全故障，遠程管理系統(tǒng)不能出現(xiàn)安全漏洞而導(dǎo)致降低系統(tǒng)的安全性，最終目的是確保遠程服務(wù)器的安全運行和管理。SNMP管理模型的主要組成部分：l 管理站（Management Station）即管理進程，作為網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)管理系統(tǒng)的接口。具有從所有被管網(wǎng)絡(luò)實體的MIB中抽取信息的數(shù)據(jù)庫，將網(wǎng)絡(luò)管理員的要求轉(zhuǎn)變?yōu)閷h程網(wǎng)絡(luò)元素的實際監(jiān)控能力。3．可擴充性 應(yīng)考慮被監(jiān)控設(shè)備的增加和變化，采用統(tǒng)一的技術(shù)標準，可以隨時進行監(jiān)控對象的增加和調(diào)整。 分析3：安裝配置網(wǎng)絡(luò)存儲系統(tǒng)（ISCSI）軟件，模擬數(shù)據(jù)統(tǒng)一存儲216。同時可以將內(nèi)部私有網(wǎng)絡(luò)隱藏起來，起到了保護內(nèi)部網(wǎng)的作用。計算機病毒的危害：(1) 傳染性(2) 未經(jīng)授權(quán)而執(zhí)行(3) 隱蔽性(4) 潛伏性(5) 破壞性(6) 不可預(yù)見性病毒的預(yù)防措施：(1) 安裝防病毒軟件(2) 定期升級防病毒軟件(3) 不隨便打開不明來源 的郵件附件(4) 盡量減少其他人使用你的計算機(5) 及時打系統(tǒng)補丁(6) 從外面獲取數(shù)據(jù)先檢察(7) 建立系統(tǒng)恢復(fù)盤(8) 定期備份文件2） 病毒防護網(wǎng)絡(luò)版網(wǎng)絡(luò)工作站的防護位于企業(yè)防毒體系中的最底層，對企業(yè)計算機用戶而言，也是最后一道防、殺病毒的要塞。l 檢查將確定SQL Server Guest賬戶是否具有訪問數(shù)據(jù)庫（MASTER、TEMPDB和MSDB除外）的權(quán)限。 l 檢查將列出被掃描計算機上的每一個本地用戶當前采用的和建議的IE區(qū)域安全設(shè)置。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描是一種花費低、效果好、見效快、獨立于網(wǎng)絡(luò)運行、安裝運行簡單的網(wǎng)絡(luò)工具，可以減少網(wǎng)絡(luò)管理員大量的手工重復(fù)勞動，有利于保持全網(wǎng)安全的穩(wěn)定和統(tǒng)一標準。一個windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)供應(yīng)商微軟公司發(fā)布的補丁軟件修補，或在以后發(fā)布的新版系統(tǒng)中得以糾正。L2TP 是一個工業(yè)標準的Internet隧道協(xié)議，它和PPTP的功能大致相同。從用戶的角度來說，VPN 是計算機（VPN 客戶端）和組織服務(wù)