【正文】 防火墻可以通過各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。阿姆瑞特防火墻內(nèi)核啟動后，可直接管理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它可以在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時減少了操作系統(tǒng)的開銷，因此可以最快的處理數(shù)據(jù)，使其成為市場上現(xiàn)有的最快的防火墻之一。路由模式的防火墻結(jié)構(gòu)如下圖所示:在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式。透明模式的防火墻結(jié)構(gòu)如下圖所示。透明模式的防火墻就好象是一臺網(wǎng)橋，不改動其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。2） 防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡(luò)的第一道屏障。另外，每個代理需要一個不同的應(yīng)用進(jìn)程，或一個后臺運行的服務(wù)程序，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實現(xiàn)的。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的事件來處理。對新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進(jìn)行較為初步的安全控制，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。防火墻是一個或一組系統(tǒng)，用于管理兩個網(wǎng)絡(luò)直接的訪問控制及策略，所有從內(nèi)部訪問外部的數(shù)據(jù)流和外部訪問內(nèi)部的數(shù)據(jù)流均必須通過防火墻；只有在被定義的數(shù)據(jù)流才可以通過防火墻(如果通過其他方式帶出信息，則無法防備），防火墻本身必須有很強(qiáng)的免疫力。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。 防火墻傳統(tǒng)意義的防火墻被設(shè)計用來防止火從大廈的一部份。4．實用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點，應(yīng)能使用戶方便實用地訪問各種校園網(wǎng)服務(wù)。2．安全性各項服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。 要求4（選做）：進(jìn)行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實施。 要求3（選做）：使用防火墻或軟件進(jìn)行校園網(wǎng)的外部安全訪問內(nèi)部網(wǎng)絡(luò)（VPN）。 要求3（必做）：進(jìn)行服務(wù)器操作系統(tǒng)的安全配置和防護(hù)。 要求2（必做）：使用防火墻或軟件進(jìn)行校園網(wǎng)出口互聯(lián)網(wǎng)部分的內(nèi)外網(wǎng)轉(zhuǎn)換（NAT），服務(wù)器的對外發(fā)布訪問和安全（SAT）。 要求1（必做）：模擬本項目的網(wǎng)絡(luò)安全系統(tǒng)組建并完成項目實施的文檔，模擬實現(xiàn)校園網(wǎng)絡(luò)的安全防護(hù)。216。 分析4：在校園網(wǎng)出口位置配置NAT防火墻。 分析3：配置虛擬專用網(wǎng)（VPN）為校外出差人員提供遠(yuǎn)程訪問。 分析2：為了使互聯(lián)網(wǎng)用戶可以訪問到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB 與FTP 服務(wù)器為用戶提供訪問。3）需求分析216。216。216。216。216。2）具體需求216。7. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺服務(wù)器提供服務(wù)，校園網(wǎng)通過租用1條100M電信線路和1條10M教育網(wǎng)線路分別連接互聯(lián)網(wǎng)和CERNET。項目 7 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng) 項目內(nèi)容 某高等職業(yè)學(xué)院已經(jīng)在項目2的基礎(chǔ)上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)計劃有兩條出口線路分別與CHINANET和CERNET連接，需實現(xiàn)校園網(wǎng)所有用戶對外訪問，同時校園網(wǎng)的WEB、FTP等服務(wù)器需要提供校外用戶訪問，還可提供學(xué)校用戶在家訪問學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時為了保障校園網(wǎng)絡(luò)安全，需要對校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，并且計劃部署全網(wǎng)的防病毒系統(tǒng)，請進(jìn)行校園網(wǎng)的安全進(jìn)行規(guī)劃和模擬實施。從而強(qiáng)化我們的動手能力和應(yīng)對能力。在本次實訓(xùn)項目中，讓我們收獲了很多以前沒有了解的知識面。 服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表服務(wù)器名角色I(xiàn)P地址SrvAD01域控制器SrvAD02域成員216。 項目實施規(guī)劃216。WSUS的思路是先用一臺計算機(jī)（wsus）去微軟檢測并選擇要下載補丁，然后網(wǎng)絡(luò)內(nèi)其他的計算機(jī)從WSUS服務(wù)器來下載補丁，它也可直接下發(fā)補丁。在小規(guī)模的網(wǎng)絡(luò)當(dāng)中，客戶端可以通過windows系統(tǒng)自帶的自動更新來從微軟下載補丁。Windows 自動更新是Windows 的一項功能，當(dāng)適用于您的計算機(jī)的重要更新發(fā)布時，它會及時提醒用戶下載和安裝。 Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設(shè)計用來大量精簡IT系統(tǒng)在執(zhí)行重大更新時的程序。要實現(xiàn)用“組策略”管理網(wǎng)絡(luò)中的計算機(jī)和用戶，需要網(wǎng)絡(luò)中有Active Directory服務(wù)器，工作站須是Windows 2000、Windows XP或Windows Server2003等操作系統(tǒng)，并且加入到Active Directory域中，還需創(chuàng)建與配置“組織單位”的組策略。例如，可使用“組策略”幫助用戶自動安裝軟件、從桌面刪除圖標(biāo)、自定義“開始”菜單并簡化“控制面板”。3） 組策略組策略是管理員為用戶和計算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。Active Directory 使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。除了非常小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個位置，以便于所有用戶均等地使用。每個站點可能包含多個域，一個域內(nèi)的計算機(jī)可能同時分別屬于不同的站點。2） 活動目錄站點與復(fù)制活動目錄“站點”是由一個或多個IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過高速連接所串接起來的，而這里所謂的“高速”是指這些子網(wǎng)之間的連接速度要夠快才可以，否則應(yīng)該將它們分別規(guī)劃為不同的站點。分布式組：分布式組是用在與安全（權(quán)限的設(shè)置等）無關(guān)的任務(wù)上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給分布式組。Windows Server 2003將位于域中的組分為以下兩種類型：安全組：安全組可以被用來設(shè)置權(quán)限，例如，可以設(shè)置讓安全組對文件具備“讀取”的權(quán)限。1） 活動目錄用戶與組Windows Server 2003所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲在域控制器的Active Directory數(shù)據(jù)庫內(nèi)?；顒幽夸洸粌H可以管理基本的網(wǎng)絡(luò)資源，比如計算機(jī)對象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動目錄是一個全面的目錄服務(wù)管理方案，也是一個企業(yè)級的目錄服務(wù)，具有很好的可伸縮性。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。 項目知識點216。3．可擴(kuò)充性 企業(yè)網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實施的各項網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。 項目實施 實施原則1．可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡(luò)服務(wù)。216。216。 分析3：需要用WSUS來進(jìn)行全公司的系統(tǒng)更新 項目實訓(xùn)要求216。 分析1：需要建立一個域，并把公司計算機(jī)加入域中216。 需求3：在總公司架設(shè)一臺服務(wù)器以提供公司各服務(wù)器和計算機(jī)操作系統(tǒng)的補丁自動更新。 需求2：在總部和各地分公司均使用統(tǒng)一賬號高效穩(wěn)定地登錄和訪問公司資源，簡單有效。 需求1：采用先進(jìn)的網(wǎng)絡(luò)技術(shù)和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡(luò)集中管理，以實現(xiàn)企業(yè)信息化的基礎(chǔ)。 具體調(diào)查與需求分析1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團(tuán)公司分為總部和三個分公司網(wǎng)絡(luò)，分公司通過專線與總部連接，總部約有400臺計算機(jī)和多臺服務(wù)器，各分公司分別有50100臺計算機(jī)，各分公司也各有1臺服務(wù)器提供網(wǎng)絡(luò)服務(wù)。項目 6 集團(tuán)公司網(wǎng)絡(luò)集中管理 項目內(nèi)容 某集團(tuán)公司一家在全國各地區(qū)有多個分公司的物流大型企業(yè)，在完成項目3內(nèi)容的組建基礎(chǔ)上，現(xiàn)需要對公司網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，總部和各地分公司都能使用統(tǒng)一賬號訪問公司資源，為了保證網(wǎng)絡(luò)信息安全，需要提供公司各服務(wù)器和計算機(jī)微軟操作系統(tǒng)的補丁自動更新，請進(jìn)行規(guī)劃和模擬實施。用戶的訪問是FTP服務(wù)器權(quán)限與文件夾權(quán)限的疊加。單擊“下一步”按鈕，將出現(xiàn)“FTP站點內(nèi)容目錄”對話框，在“路徑”單擊“下一步”按鈕，將出現(xiàn)“虛擬目錄訪問權(quán)限”對話框，在此處選擇“讀取”和“寫入”復(fù)選框，如圖 任務(wù)驗收配置驗收 （1）查看DHCP配置信息打開“管理工具”中“DHCP”對話框，查看兩個作用域中的各種配置選項，如圖 圖320 項目驗收 軟件驗收 功能驗收DHCP功能在PC上將本地網(wǎng)絡(luò)連接設(shè)置為“自動獲得IP地址”和“自動獲得DNS服務(wù)器地址”， 圖321在命令提示符界面中鍵入“ipconfig /all”敲Enter鍵將可查看到客戶機(jī)獲得IP地址等參數(shù)情況，如圖322所示：圖322DNS 驗證：查看Internet信息服務(wù)（IIS）管理器配置 功能驗收（1） 網(wǎng)站訪問（2） FTP功能驗收“admin”用戶登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限（3） 管理員登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限刪除文件夾 項目總結(jié)實驗過程沒有劃分為不同網(wǎng)段，如需劃分網(wǎng)段需要添加DHCP服務(wù)器的網(wǎng)卡，并在其他主機(jī)上面配置DHCP中繼代理，為了使不同網(wǎng)段能夠通信，還要設(shè)置路由。右擊“FTP站點”，在彈出菜單中選擇“新建”→“FTP站點”，打開“FTP站點創(chuàng)建向?qū)А比鐖D單擊“下一步”按鈕，將出現(xiàn)“IP地址設(shè)置和端口設(shè)置”對話框，在此對話框中設(shè)置FTP站點所使用的IP地址“”及端口號“21”，如圖 單擊“下一步”按鈕，將出現(xiàn)“FTP用戶隔離”對話框，此對話框可以使設(shè)置FTP用戶隔離的選項，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點主目錄”對話框，此對話框設(shè)置FTP站點的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點訪問權(quán)限”對話框，此對話框設(shè)置FTP站點的訪問權(quán)限，如圖單擊“下一步”按鈕，完成FTP站點創(chuàng)建，如圖右擊“FTP站點”下“practrain”站點，在彈出菜單中選擇“屬性”，在彈出的屬性對話框中選擇“安全賬戶”，將允許匿名連接去掉，點擊確定完成FTP站點配置，如圖單擊“開始”→“管理工具”→“計算機(jī)管理”，打開“計算機(jī)管理”控制臺。WebServer上創(chuàng)建FTP管理員站點并添加管理員用戶（禁止匿名訪問）。( 7 ) 雙擊“Internet信息服務(wù)器（IIS）”，將打開“Internet信息服務(wù)器（IIS）”對話框。如圖單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站權(quán)限訪問”對話框，在此對話框中可以設(shè)置網(wǎng)站的訪問權(quán)限，如圖單擊“下一步”按鈕，完成網(wǎng)站的創(chuàng)建。右擊“網(wǎng)站”，在彈出的菜單中選擇“新建”→“網(wǎng)站”，將打開“網(wǎng)站創(chuàng)建向?qū)А睂υ捒?。如圖37，圖38所示：（3）WebServer上創(chuàng)建總公司網(wǎng)站。（2）WebServer上安裝IIS服務(wù)。如圖采用同樣的方法，創(chuàng)建反向輔助區(qū)域。打開“區(qū)域類型”對話框；在此對話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱”對話框中，輸入?yún)^(qū)域名稱，該名稱應(yīng)與該DNS區(qū)域的主DNS區(qū)域的主DSN服務(wù)器上的主要區(qū)域名稱完全相同， 如圖單擊“下一步”“主DNS服務(wù)器”對話框。如圖l 選擇“新建主機(jī)（A）”，打開“新建主機(jī)”對話框，通過此對話框創(chuàng)建“host”記錄，如圖選擇“新建別名（CHANE）”，打開“新建資源記錄”對話框， 在左側(cè)控制臺樹中選擇要創(chuàng)建資源記錄的反向主要區(qū)域（4）在Server1上指定輔助DNS服務(wù)器：在正向主要區(qū)域上右擊，在彈出的菜單中選擇“屬性”命令，如圖在打開的區(qū)域?qū)傩詫υ捒蛑袉螕簟懊Q服務(wù)器”，將打開“名稱服務(wù)器”選項卡；在該選項卡中單擊“添加”，在此添加輔助DNS服務(wù)器。如圖319所示：ll 圖319l 單擊“下一步”完成DNS向?qū)渲?。在此對話框中，將選擇創(chuàng)建新的反向區(qū)域文件（名稱可自行指定）或使用現(xiàn)存的反向區(qū)域文件，在此填寫“”。在此對話框中指定反向區(qū)域的名稱（可以輸入IP地址的網(wǎng)絡(luò)ID，由系統(tǒng)自動指定反向區(qū)域名稱；也可以自行輸入反向區(qū)域名稱），此處填寫“”。在此處，選擇“是”如圖310所示：l 圖315單擊“下一步”進(jìn)入?yún)^(qū)域類型對話框，此處選擇“主要區(qū)域”。如圖312所示：圖312單擊“下一步”進(jìn)入動態(tài)更新的設(shè)置。此對話框指定正向區(qū)域名稱（區(qū)域名稱應(yīng)與其管理的域相對應(yīng)）。如圖317所示：圖317單擊“下一步”再點“完成”即完成該作用域的建立了?？梢圆辉O(shè)置點擊“下一步”進(jìn)入激活作用域的對話框?！疤砑印卑粹o即可。此處我們填寫為dns。此處設(shè)置的域名和DNS服務(wù)器的地址將被分配給客戶機(jī)。填寫完成后