【文章內(nèi)容簡(jiǎn)介】 irectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性?；顒?dòng)目錄采用了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起。活動(dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。1） 活動(dòng)目錄用戶與組Windows Server 2003所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲(chǔ)在域控制器的Active Directory數(shù)據(jù)庫(kù)內(nèi)。用戶可以利用域用戶賬戶登錄域，并利用它訪問(wèn)網(wǎng)絡(luò)上的資源， 本地用戶賬戶：本地用戶賬戶是創(chuàng)建在非域控制器的“本地安全賬戶數(shù)據(jù)庫(kù)”內(nèi)，而不是域控制器的Active Directory數(shù)據(jù)庫(kù)內(nèi)。Windows Server 2003將位于域中的組分為以下兩種類型：安全組：安全組可以被用來(lái)設(shè)置權(quán)限，例如，可以設(shè)置讓安全組對(duì)文件具備“讀取”的權(quán)限。安全組也可以用在與安全無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給安全組。分布式組：分布式組是用在與安全（權(quán)限的設(shè)置等）無(wú)關(guān)的任務(wù)上，例如，可以通過(guò)電子郵件軟件將電子郵件發(fā)送給分布式組。用戶無(wú)法設(shè)置分布式組的權(quán)限。2） 活動(dòng)目錄站點(diǎn)與復(fù)制活動(dòng)目錄“站點(diǎn)”是由一個(gè)或多個(gè)IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過(guò)高速連接所串接起來(lái)的，而這里所謂的“高速”是指這些子網(wǎng)之間的連接速度要夠快才可以，否則應(yīng)該將它們分別規(guī)劃為不同的站點(diǎn)。 域是邏輯的分組，站點(diǎn)是物理的分組。每個(gè)站點(diǎn)可能包含多個(gè)域，一個(gè)域內(nèi)的計(jì)算機(jī)可能同時(shí)分別屬于不同的站點(diǎn)。同一個(gè)站點(diǎn)內(nèi)的同一個(gè)域控制器會(huì)自動(dòng)設(shè)置執(zhí)行復(fù)制，其默認(rèn)的復(fù)制頻率比不同站點(diǎn)之間快。除了非常小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個(gè)位置，以便于所有用戶均等地使用。通過(guò)復(fù)制，Active Directory目錄服務(wù)在多個(gè)域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory 使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。Active Directory 依靠站點(diǎn)概念來(lái)保持復(fù)制的效率，并依靠知識(shí)一致性檢查器 (KCC) 來(lái)自動(dòng)確定網(wǎng)絡(luò)的最佳復(fù)制拓?fù)洹?） 組策略組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略，可以完成用戶所需軟件的自動(dòng)安裝、自動(dòng)定制用戶環(huán)境、自動(dòng)將用戶的文件夾重定向等一系列高級(jí)功能。例如，可使用“組策略”幫助用戶自動(dòng)安裝軟件、從桌面刪除圖標(biāo)、自定義“開始”菜單并簡(jiǎn)化“控制面板”。此外,還可添加在計(jì)算機(jī)上（在計(jì)算機(jī)啟動(dòng)或停止時(shí)，以及用戶登錄或注銷時(shí)）運(yùn)行的腳本，甚至可配置Internet Explorer等多種功能。要實(shí)現(xiàn)用“組策略”管理網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶，需要網(wǎng)絡(luò)中有Active Directory服務(wù)器，工作站須是Windows 2000、Windows XP或Windows Server2003等操作系統(tǒng)，并且加入到Active Directory域中，還需創(chuàng)建與配置“組織單位”的組策略。216。 Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設(shè)計(jì)用來(lái)大量精簡(jiǎn)IT系統(tǒng)在執(zhí)行重大更新時(shí)的程序。通過(guò)使用 Windows Server 更新服務(wù) (WSUS)，管理員可以快速而可靠地將 Windows 2000 操作系統(tǒng)和更高版本、Office XP 和更高版本、Exchange Server 2003 以及 SQL Server 2000 的最新關(guān)鍵更新和安全更新部署到 Windows 2000 和更高版本的操作系統(tǒng)。Windows 自動(dòng)更新是Windows 的一項(xiàng)功能，當(dāng)適用于您的計(jì)算機(jī)的重要更新發(fā)布時(shí)，它會(huì)及時(shí)提醒用戶下載和安裝。使用自動(dòng)更新可以在第一時(shí)間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計(jì)算機(jī)安全。在小規(guī)模的網(wǎng)絡(luò)當(dāng)中，客戶端可以通過(guò)windows系統(tǒng)自帶的自動(dòng)更新來(lái)從微軟下載補(bǔ)丁。但在大中型的網(wǎng)絡(luò)當(dāng)中，如果每臺(tái)計(jì)算機(jī)都單獨(dú)去微軟更新補(bǔ)丁，那么則會(huì)極大的影響企業(yè)的外部網(wǎng)絡(luò)帶寬。WSUS的思路是先用一臺(tái)計(jì)算機(jī)（wsus）去微軟檢測(cè)并選擇要下載補(bǔ)丁，然后網(wǎng)絡(luò)內(nèi)其他的計(jì)算機(jī)從WSUS服務(wù)器來(lái)下載補(bǔ)丁，它也可直接下發(fā)補(bǔ)丁。這樣也既不會(huì)浪費(fèi)外部網(wǎng)絡(luò)帶寬，也能讓所有的計(jì)算機(jī)得到更新。 項(xiàng)目實(shí)施規(guī)劃216。 實(shí)訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號(hào)數(shù)量（每組）備注交換機(jī)H3C3100 1臺(tái)服務(wù)器宏基P43臺(tái)計(jì)算機(jī)宏基P43臺(tái)服務(wù)器操作系統(tǒng)Windows Server20033可使用虛擬機(jī)環(huán)境216。 服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表服務(wù)器名角色I(xiàn)P地址SrvAD01域控制器SrvAD02域成員216。 實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動(dòng)目錄（用戶管理、計(jì)算機(jī)加入域、站點(diǎn)與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5）完成項(xiàng)目文檔資料 實(shí)施步驟（請(qǐng)將主要實(shí)施步驟整理列出），用來(lái)集中管理 項(xiàng)目驗(yàn)收 設(shè)備驗(yàn)收 功能驗(yàn)收兩臺(tái)服務(wù)器的域控制器站點(diǎn)驗(yàn)證統(tǒng)一管理用戶驗(yàn)證安全策略驗(yàn)證 項(xiàng)目總結(jié)通過(guò)這次實(shí)訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來(lái)管理計(jì)算機(jī)能大大的節(jié)省人力和時(shí)間，并能夠增強(qiáng)安全。在本次實(shí)訓(xùn)項(xiàng)目中，讓我們收獲了很多以前沒(méi)有了解的知識(shí)面。才知道以前我們上課掌握的知識(shí)真的是太少了 ，在這之前我對(duì)于一些服務(wù)器安裝和配置都有一些陌生，在建立域之前，應(yīng)收集實(shí)際環(huán)境的信息，按照實(shí)際來(lái)設(shè)計(jì)和配置每個(gè)服務(wù)器和個(gè)人電腦的角色。從而強(qiáng)化我們的動(dòng)手能力和應(yīng)對(duì)能力。在實(shí)際的環(huán)境中也能揮曬自如。項(xiàng)目 7 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng) 項(xiàng)目?jī)?nèi)容 某高等職業(yè)學(xué)院已經(jīng)在項(xiàng)目2的基礎(chǔ)上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)計(jì)劃有兩條出口線路分別與CHINANET和CERNET連接，需實(shí)現(xiàn)校園網(wǎng)所有用戶對(duì)外訪問(wèn)，同時(shí)校園網(wǎng)的WEB、FTP等服務(wù)器需要提供校外用戶訪問(wèn)，還可提供學(xué)校用戶在家訪問(wèn)學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時(shí)為了保障校園網(wǎng)絡(luò)安全，需要對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，并且計(jì)劃部署全網(wǎng)的防病毒系統(tǒng)，請(qǐng)進(jìn)行校園網(wǎng)的安全進(jìn)行規(guī)劃和模擬實(shí)施。 項(xiàng)目流程 圖71 項(xiàng)目流程圖 項(xiàng)目調(diào)查與需求分析7. 3. 1 項(xiàng)目目標(biāo)本項(xiàng)目針對(duì)校園園區(qū)網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行建設(shè)和管理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部安全訪問(wèn)校園網(wǎng)內(nèi)部，并進(jìn)行防病毒系統(tǒng)的部署。7. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺(tái)服務(wù)器提供服務(wù)，校園網(wǎng)通過(guò)租用1條100M電信線路和1條10M教育網(wǎng)線路分別連接互聯(lián)網(wǎng)和CERNET。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：— 。2）具體需求216。 需求1：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)和合理的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行校園網(wǎng)出口部分的建設(shè)，實(shí)現(xiàn)內(nèi)部用戶快捷安全訪問(wèn)互聯(lián)網(wǎng)和教育網(wǎng)。216。 需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問(wèn)服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶能安全方便地訪問(wèn)學(xué)校的公共資源和信息。216。 需求3：一些校園網(wǎng)內(nèi)部的資源（例如辦公系統(tǒng)、電子圖書等）需要提供學(xué)校的教職員工在外安全訪問(wèn)。216。 需求4：保障和加強(qiáng)服務(wù)器安全性，對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。216。 需求5：為保障校園網(wǎng)全網(wǎng)安全，加強(qiáng)各用戶計(jì)算機(jī)的安全防護(hù)，安裝使用防病毒軟件。3）需求分析216。 分析1：使用合理規(guī)劃的ＩＰ地址和路由協(xié)議使校園網(wǎng)用戶可以連接到Ｉｎｔｅｒｎｅｔ,并通過(guò)專線連接到教育網(wǎng)216。 分析2：為了使互聯(lián)網(wǎng)用戶可以訪問(wèn)到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB 與FTP 服務(wù)器為用戶提供訪問(wèn)。216。 分析3：配置虛擬專用網(wǎng)（VPN）為校外出差人員提供遠(yuǎn)程訪問(wèn)。216。 分析4：在校園網(wǎng)出口位置配置NAT防火墻。提供私有地址與公共IP地址轉(zhuǎn)換。216。 分析5：安裝必要的殺毒軟件 項(xiàng)目實(shí)訓(xùn)要求216。 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)安全系統(tǒng)組建并完成項(xiàng)目實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全防護(hù)。216。 要求2（必做）：使用防火墻或軟件進(jìn)行校園網(wǎng)出口互聯(lián)網(wǎng)部分的內(nèi)外網(wǎng)轉(zhuǎn)換（NAT），服務(wù)器的對(duì)外發(fā)布訪問(wèn)和安全（SAT）。216。 要求3（必做）：進(jìn)行服務(wù)器操作系統(tǒng)的安全配置和防護(hù)。（主機(jī)安全）216。 要求3（選做）：使用防火墻或軟件進(jìn)行校園網(wǎng)的外部安全訪問(wèn)內(nèi)部網(wǎng)絡(luò)（VPN）。216。 要求4（選做）：進(jìn)行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實(shí)施。 項(xiàng)目實(shí)施 實(shí)施原則1．可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2．安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。3．可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4．實(shí)用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問(wèn)各種校園網(wǎng)服務(wù)。 項(xiàng)目知識(shí)點(diǎn)216。 防火墻傳統(tǒng)意義的防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部份。在網(wǎng)絡(luò)上防火墻簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行允許，拒絕，監(jiān)視，記錄進(jìn)出網(wǎng)絡(luò)的行為。防火墻是一個(gè)或一組系統(tǒng)，用于管理兩個(gè)網(wǎng)絡(luò)直接的訪問(wèn)控制及策略，所有從內(nèi)部訪問(wèn)外部的數(shù)據(jù)流和外部訪問(wèn)內(nèi)部的數(shù)據(jù)流均必須通過(guò)防火墻；只有在被定義的數(shù)據(jù)流才可以通過(guò)防火墻(如果通過(guò)其他方式帶出信息，則無(wú)法防備），防火墻本身必須有很強(qiáng)的免疫力。1） 防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。2） 防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡(luò)的第一道屏障。根據(jù)防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。透明模式的防火墻就好象是一臺(tái)網(wǎng)橋，不改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備和所有計(jì)算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無(wú)須改變，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。透明模式的防火墻結(jié)構(gòu)如下圖所示。 傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過(guò)路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如下圖所示:在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:3） 防火墻產(chǎn)品簡(jiǎn)介1．阿姆瑞特防火墻阿姆瑞特防火墻為無(wú)系統(tǒng)內(nèi)核，即：防火墻沒(méi)有操作系統(tǒng)，因此不會(huì)存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時(shí)，因?yàn)椴僮飨到y(tǒng)需要不斷地去維護(hù)、升級(jí)，無(wú)操作系統(tǒng)就不存在此類問(wèn)題，這也排除了因?yàn)橄到y(tǒng)升級(jí)、打補(bǔ)丁破壞防火墻功能、性能的問(wèn)題。阿姆瑞特防火墻內(nèi)核啟動(dòng)后，可直接管理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它可以在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時(shí)減少了操作系統(tǒng)的開銷，因此可以最快的處理數(shù)據(jù)，使其成為市場(chǎng)上現(xiàn)有的最快的防火墻之一。2．ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級(jí)別的路由軟件防火墻，它可以讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火