【正文】 虛擬目錄是否已安裝在被掃描的 IIS計算機上。l 檢查將確定IISADMPWD目錄是否已安裝在被掃描的計算機上。l 檢查將確定IIS是否在一個作為域控制器的系統(tǒng)上運行。l 檢查將確定IIS鎖定工具是否已經(jīng)在被掃描的計算機上運行。l 檢查將確定IIS日志記錄是否已啟用，以及W3C擴展日志文件格式是否已使用。l 檢查將確定在被掃描的計算機上是否啟用了ASP EnableParentPaths設(shè)置。l 檢查將確定下列IIS示例文件目錄是否安裝在計算機上。MBSA Server安全分析功能： l 檢查將確定Sysadmin角色的成員的數(shù)量，并將結(jié)果顯示在安全報告中。l 檢查將確定是否有本地SQL Server賬戶采用了簡單密碼（如空白密碼）。 l 檢查將確定被掃描的SQL Server上使用的身份驗證模式。l 檢查將驗證SQL Server目錄是否都將訪問權(quán)只限制到SQL服務(wù)賬戶和本地Administrators。l 檢查將確定SQL Server Server 2000 sa賬戶密碼是否以明文形式寫到%temp%\%temp%\。l 檢查將確定SQL Server Guest賬戶是否具有訪問數(shù)據(jù)庫（MASTER、TEMPDB和MSDB除外）的權(quán)限。l 檢查將確定SQL Server是否在一個擔(dān)任域控制器的系統(tǒng)上運行。l 檢查將確保Everyone組對HKLM\Software\Microsoft\Microsoft SQL Server和HKLM\Software\Microsoft\MSSQLServer兩注冊表項的訪問權(quán)被限制為讀取權(quán)限。如果Everyone組對這些注冊表項的訪問權(quán)限高于讀取權(quán)限，那么這種情況將在安全掃描報告中被標記為嚴重安全漏洞。l 檢查將確定SQL Server服務(wù)賬戶在被掃描的計算機上是否為本地或Domain Administrators組的成員，或者是否有SQL Server服務(wù)賬戶在LocalSystem上下文中運行。MBSA Update Agent (WUA)。如果找到某個產(chǎn)品有新版本或更新，它會提供相關(guān)更新信息和下載連接。此外，MBSA還能識別出操作系統(tǒng)版本和服務(wù)包。掃描報告還能列出需要升級的最近安裝的更新。（2）漏洞掃描軟件XScanXScan是一款優(yōu)秀的國產(chǎn)免費漏洞掃描軟件，XScan采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠程操作系統(tǒng)類型及版本，標準端口狀態(tài)及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQLSERVER、FTPSERVER、SMTPSERVER、 POP3SERVER、NTSERVER弱口令用戶，NT服務(wù)器NETBIOS信息等。掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。安裝、部署一套服務(wù)器操作系統(tǒng)難度比較高，安全配置也是一項具有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置太嚴格，許多應(yīng)用程序不能正常運行；權(quán)限配置的太松，又很容易被非法入侵者侵入。Windows Server 2003操作系統(tǒng)是目前企業(yè)使用比較成熟和廣泛的網(wǎng)絡(luò)服務(wù)器器平臺，其安全性相對于Windows Server 2000有了極大的提高。Windows系統(tǒng)平臺的安全無疑是構(gòu)建服務(wù)器安全的基礎(chǔ)，涉及操作系統(tǒng)合應(yīng)用程序的安裝、系統(tǒng)服務(wù)、系統(tǒng)設(shè)置和用戶帳戶等多方面安全配置。216。 病毒防護1） 病毒與防護病毒是指編制或者在計算機程序中插入的破壞 計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒的危害：(1) 傳染性(2) 未經(jīng)授權(quán)而執(zhí)行(3) 隱蔽性(4) 潛伏性(5) 破壞性(6) 不可預(yù)見性病毒的預(yù)防措施：(1) 安裝防病毒軟件(2) 定期升級防病毒軟件(3) 不隨便打開不明來源 的郵件附件(4) 盡量減少其他人使用你的計算機(5) 及時打系統(tǒng)補丁(6) 從外面獲取數(shù)據(jù)先檢察(7) 建立系統(tǒng)恢復(fù)盤(8) 定期備份文件2） 病毒防護網(wǎng)絡(luò)版網(wǎng)絡(luò)工作站的防護位于企業(yè)防毒體系中的最底層，對企業(yè)計算機用戶而言，也是最后一道防、殺病毒的要塞。考慮到網(wǎng)絡(luò)中的工作站數(shù)量少則幾十臺，多則數(shù)百上千臺甚至更多。如果需要靠網(wǎng)管人員逐一到每臺計算機上安裝單機防病毒軟件，費時費力，同時難以實施統(tǒng)一的防病毒策略，日后的維護和更新工作也十分繁瑣。因此在企業(yè)中常常需要使實施防病毒軟件的網(wǎng)絡(luò)版，國內(nèi)外的病毒防護軟件廠商非常多，目前在企業(yè)中應(yīng)用較廣的主要有四種，即SymantecAntivus、Mcafee、趨勢、卡巴斯基和瑞星等。防毒墻網(wǎng)絡(luò)版中的防病毒功能是通過客戶機提供的，客戶機向服務(wù)器報告并從服務(wù)器獲取更新。通過防毒墻網(wǎng)絡(luò)版控制臺，管理員可以配置、監(jiān)控和更新客戶機的防病毒軟件及病毒代碼。 項目實施規(guī)劃216。 實訓(xùn)設(shè)備與軟件 設(shè)備類型設(shè)備型號數(shù)量（每組）備注防火墻Amaranten F50NP1臺交換機H3C31001 臺服務(wù)器宏基P42 臺計算機宏基P43 臺服務(wù)器操作系統(tǒng)Windows Server20032防火墻軟件ISA 20061防病毒網(wǎng)絡(luò)版Trend OfficeScan 1216。 拓撲結(jié)構(gòu)圖請畫出本實訓(xùn)項目拓撲結(jié)構(gòu)圖（visio繪制）。216。 規(guī)劃的網(wǎng)絡(luò)參數(shù)表216。 實施步驟規(guī)劃1) 規(guī)劃防火墻、服務(wù)器等網(wǎng)絡(luò)參數(shù)2）根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)安裝和連接服務(wù)器和網(wǎng)絡(luò)設(shè)備3）配置防火墻實現(xiàn)NAT和SAT4）安裝安全掃描軟件和根據(jù)結(jié)果配置主機安全5）安裝和配置VPN6）安裝和配置防病毒軟件網(wǎng)絡(luò)版7）根據(jù)需求驗證實現(xiàn)的功能 實施步驟（請將主要實施步驟和配置清單整理列出） 項目驗收 設(shè)備驗收 功能驗收 項目總結(jié)本次實驗主要完成了WEB服務(wù)器FTP服務(wù)器VPN及NAT的配置。VPN與其它遠程訪問不同的是它可以同時創(chuàng)建的連接比他們多得多。NAT服務(wù)器必須與內(nèi)部網(wǎng)相連，也要與外部網(wǎng)相連，所以它應(yīng)同時具有私有與共有的IP地址。NAT服務(wù)器可以提供地址轉(zhuǎn)換，從而節(jié)約公用IP地址。降低Internet接入成本。同時可以將內(nèi)部私有網(wǎng)絡(luò)隱藏起來，起到了保護內(nèi)部網(wǎng)的作用。項目8 校園網(wǎng)網(wǎng)絡(luò)管理與備份系統(tǒng) 項目內(nèi)容 某高等職業(yè)學(xué)院已經(jīng)在項目2和項目7的基礎(chǔ)上組建了校園園區(qū)網(wǎng)和互聯(lián)網(wǎng)連接，并已進行了網(wǎng)絡(luò)安全防護，對于校園網(wǎng)眾多的網(wǎng)絡(luò)設(shè)備和通信線路，需要進行監(jiān)測和管理運行情況，以便在出現(xiàn)故障時及時處理，還需要遠程管理和操作各種服務(wù)器，同時為了保證校園網(wǎng)提供各種網(wǎng)絡(luò)和應(yīng)用的服務(wù)器的數(shù)據(jù)安全，計劃進行重要數(shù)據(jù)的統(tǒng)一存儲和備份，請進行項目規(guī)劃設(shè)計和模擬實施。 項目流程 圖81 項目流程圖 項目調(diào)查與需求分析8. 3. 1 項目目標本項目針對校園網(wǎng)的網(wǎng)絡(luò)設(shè)備的通信線路進行監(jiān)測和管理，遠程管理服務(wù)器，建立數(shù)據(jù)的存儲和備份系統(tǒng)。8. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近200臺各層次交換機（其中核心層2臺、匯聚層10臺）、約30臺服務(wù)器以及防火墻、網(wǎng)絡(luò)認證系統(tǒng)等設(shè)備提供校園網(wǎng)服務(wù)。需要監(jiān)控的設(shè)備和線路具體如下：設(shè)備類型設(shè)備名稱/型號IP地址運行業(yè)務(wù)用途交換機Nortel Passport8003核心交換機交換交換機ZTE T64G核心交換機交換交換機BitWay 6424匯聚交換機交換交換機Nortel Bay450匯聚交換機交換服務(wù)器DELL 1420FTPFTP下載服務(wù)器DELL 1420WEB 網(wǎng)站服務(wù)器DELL 4400DNSDNS服務(wù)器Compaq ML370SQL Server數(shù)據(jù)庫線路類型發(fā)起端設(shè)備（IP）發(fā)起端口對端設(shè)備（IP）對端設(shè)備口對端位置光纖Port 1/3Port 24行政樓光纖Port 1/4Port 25圖書館光纖Port 1/6Port 25教學(xué)樓光纖Gei_2/12Gei_2/22宿舍樓雙絞線Port 2/22Port 24實訓(xùn)樓雙絞線Gei_4/24Port 18互聯(lián)網(wǎng)2）具體需求216。 需求1：采用先進的網(wǎng)絡(luò)管理技術(shù)對校園網(wǎng)設(shè)備和線路進行監(jiān)控和管理，監(jiān)控實時運行狀態(tài)，應(yīng)能管理不同廠家和類型的設(shè)備，并在出現(xiàn)故障時進行告警。216。 需求2：對校園網(wǎng)的各服務(wù)器進行遠程管理，便于遠程操作和控制服務(wù)器。216。 需求3：進行服務(wù)器數(shù)據(jù)的統(tǒng)一大容量存儲，盡量采用投資較小的技術(shù)和設(shè)備，能與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和環(huán)境相結(jié)合，進行數(shù)據(jù)的統(tǒng)一管理和備份。216。 需求4：對服務(wù)器重要數(shù)據(jù)進行統(tǒng)一備份，能實現(xiàn)各種備份方式定時備份，以便出現(xiàn)故障時及時恢復(fù)數(shù)據(jù)。3）需求分析216。 分析1：運用SNMP協(xié)議與網(wǎng)絡(luò)管理軟件的網(wǎng)絡(luò)設(shè)備提供實時檢測與報警216。 分析2：創(chuàng)建服務(wù)器遠程桌面連接。方便對服務(wù)器的管理216。 分析3：安裝配置網(wǎng)絡(luò)存儲系統(tǒng)（ISCSI）軟件，模擬數(shù)據(jù)統(tǒng)一存儲216。 分析4：通過備份來為網(wǎng)絡(luò)數(shù)據(jù)提供恢復(fù)能力 項目實訓(xùn)要求216。 要求1（必做）：組建本項目的網(wǎng)絡(luò)管理系統(tǒng)和備份系統(tǒng)，組建并完成項目實施的文檔，模擬實現(xiàn)校園網(wǎng)絡(luò)的管理與備份。216。 要求2（必做）：組建本項目的網(wǎng)絡(luò)管理系統(tǒng)，進行校園網(wǎng)設(shè)備和線路的監(jiān)控。216。 要求3（必做）：安裝配置服務(wù)器的遠程管理，進行服務(wù)器的遠程控制。216。 要求4（選做）：安裝配置網(wǎng)絡(luò)存儲系統(tǒng)（ISCSI）軟件，模擬數(shù)據(jù)統(tǒng)一存儲。216。 要求4（選做）：安裝配置數(shù)據(jù)備份系統(tǒng)（備份軟件），模擬數(shù)據(jù)統(tǒng)一備份。 項目實施 實施原則1．可靠性對校園網(wǎng)設(shè)備進行監(jiān)控應(yīng)不影響設(shè)備的運行可靠性和穩(wěn)定性，導(dǎo)致網(wǎng)絡(luò)故障和效率低下，不能改動原有拓撲結(jié)構(gòu)。對服務(wù)器進行遠程管理應(yīng)不影響業(yè)務(wù)的正常運行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運營風(fēng)險降低到最小。對數(shù)據(jù)進行備份應(yīng)不影響業(yè)務(wù)的正常運行，確保其可靠性和穩(wěn)定性，使系統(tǒng)的運營風(fēng)險降低到最小。2．安全性對校園網(wǎng)設(shè)備進行監(jiān)控應(yīng)保障設(shè)備和網(wǎng)絡(luò)的安全，不得因監(jiān)測對設(shè)備和服務(wù)器產(chǎn)生安全故障，遠程管理系統(tǒng)不能出現(xiàn)安全漏洞而導(dǎo)致降低系統(tǒng)的安全性，最終目的是確保遠程服務(wù)器的安全運行和管理。數(shù)據(jù)備份系統(tǒng)構(gòu)成應(yīng)用系統(tǒng)的保障子系統(tǒng)，數(shù)據(jù)備份系統(tǒng)的最終目的是確保應(yīng)用系統(tǒng)的安全運行和故障恢復(fù)機制。3．可擴充性 應(yīng)考慮被監(jiān)控設(shè)備的增加和變化，采用統(tǒng)一的技術(shù)標準，可以隨時進行監(jiān)控對象的增加和調(diào)整。對于許多企業(yè)來說，數(shù)據(jù)是無時無刻不在擴展的，數(shù)據(jù)的擴展速度可能遠超企業(yè)建立起始時的想像。4．實用性 校園網(wǎng)具有多種不同品牌和不同型號的設(shè)備，操作系統(tǒng)具有不同的平臺，應(yīng)能監(jiān)控各種型號的設(shè)備和系統(tǒng)。5．開放性系統(tǒng)采用的各種硬件設(shè)備和軟件系統(tǒng)均遵循國際標準或工業(yè)標準及國際流行標準，符合開放性設(shè)計原則，使其具備優(yōu)良的可擴展性、可升級性和靈活性。 項目知識點216。 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理標準中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、性能管理、故障管 理、安全管理和計費管理。事實上，網(wǎng)絡(luò)管理還應(yīng)該包括其他一些功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作人員的管理等。網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進行集中化管理的操作。一臺設(shè)備所支持的管理程度反映了該設(shè)備的可管理性及可操作性，以下是網(wǎng)絡(luò)管理的主要功能：故障管理：對網(wǎng)絡(luò)環(huán)境中問題和故障進行定位配置管理：通過網(wǎng)絡(luò)管理實現(xiàn)對網(wǎng)絡(luò)設(shè)備的配置安全管理：提供登錄用戶安全級別，視圖瀏覽權(quán)限等性能管理：網(wǎng)絡(luò)管理系統(tǒng)向用戶提供被管設(shè)備相關(guān)的性能參數(shù)計費管理：監(jiān)視和記錄用戶對網(wǎng)絡(luò)資源的使用，對其收取合理費用常見的網(wǎng)絡(luò)管理方式有以下幾種： （1）SNMP管理技術(shù)SNMP是基于TCP/IP的Internet網(wǎng)絡(luò)管理標準是最廣泛的一種網(wǎng)絡(luò)管理協(xié)議，是網(wǎng)絡(luò)管理事實上的標準。它被設(shè)計成一個應(yīng)用層協(xié)議而稱為 TCP/IP 協(xié)議簇的一部分。SNMP自身是采用無連接的信息傳輸方式，它是通過用戶數(shù)據(jù)報協(xié)議（UDP）來操作， 因而帶給網(wǎng)絡(luò)系統(tǒng)的負載很低。SNMP管理站與管理代理采用了客戶/服務(wù)器方式，通過UDP進行通信，管理站和管理代理都支持SNMP、UDP和IP協(xié)議，SNMP通過共同體來定義一個代理者和一組管理者 之間的認證、訪問控制和代管的關(guān)系，使網(wǎng)絡(luò)管理具有安全性。SNMP管理模型的主要組成部分：l 管理站（Management Station）即管理進程，作為網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)管理系統(tǒng)的接口。管理站是一組具有分析數(shù)據(jù)、發(fā)現(xiàn)故障等功能的管理程序，用于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)的接口。具有從所有被管網(wǎng)絡(luò)實體的MIB中抽取信息的數(shù)據(jù)庫，將網(wǎng)絡(luò)管理員的要求轉(zhuǎn)變?yōu)閷h程網(wǎng)絡(luò)元素的實際監(jiān)控能力。l 管理代理（Agent） 管理代理是一種特殊的軟件，在被管理的網(wǎng)絡(luò)設(shè)備中運行。它包含了一個關(guān)于特定設(shè)備和該設(shè)備所在環(huán)境的信息。l 管理信息庫（MIB）管理信息庫是一個概念上的數(shù)據(jù)庫，它定義了可以通過網(wǎng)絡(luò)管理協(xié)議進行訪問的管理對象的集合。MIB 作為設(shè)在管理代理處的管理進程訪問點的集合，管理進程通過讀取MIB中對象的值來進行網(wǎng)絡(luò)監(jiān)控。l SNMP協(xié)議SNMP協(xié)議是為網(wǎng)絡(luò)管理服務(wù)而定義的應(yīng)用層協(xié)議。利用SNMP 協(xié)議可以查詢管理代理實現(xiàn)的MIB中相應(yīng)對象的值，以監(jiān)視網(wǎng)絡(luò)設(shè)備的狀態(tài)。管理進程和管理代理之間是通過SNMP 網(wǎng)絡(luò)管理協(xié)議連接通信的，通