【正文】 在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。圖310 密碼策略設(shè)置開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。圖38 審核策略雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，如圖39所示。審核策略在默認(rèn)的情況下都是沒有開啟的。開啟審核策略安全審核是Windows 2000最基本的入侵檢測(cè)方法。圖37 TCP/IP篩選一臺(tái)Web服務(wù)器只允許TCP的80端口通過就可以了。該文件用記事本打開如圖36所示。方法一：程序運(yùn)行方法二：我的電腦鼠標(biāo)右鍵下拉菜單管理方法三：控制面板性能和維護(hù)管理工具服務(wù)圖35 計(jì)算機(jī)管理關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但不可認(rèn)為高枕無憂了。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。關(guān)閉不必要的服務(wù)Windows 2000的Terminal Services（終端服務(wù)）和IIS（Internet 信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。圖34 本地安全設(shè)置主界面可配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。圖33 啟動(dòng)狀態(tài) 操作系統(tǒng)的安全配置操作系統(tǒng)安全策略利用Windows 2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。Remote此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開戶路由和遠(yuǎn)程訪問服務(wù)的小窗口，當(dāng)它消失之后，打開管理工具中的服務(wù)，即可以看到Routing（8）然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址，添加進(jìn)列表中，比如此處為~。（6）之后系統(tǒng)會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號(hào)連接或通過指定的網(wǎng)卡進(jìn)行連接等）再下一步。虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，如圖32所示。配置并啟用路由和遠(yuǎn)程訪問，如圖31所示。（2）開始配置：要想讓計(jì)算機(jī)能接受客戶機(jī)的VPN撥入，必須對(duì)VPN服務(wù)器進(jìn)行配置。（1）尚未配置：Win2K中的VPN包含在路由和遠(yuǎn)程訪問服務(wù)中?！　P 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。 　　這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。　　這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法限制廣播包了?！　∵@種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。 　　以交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡(jiǎn)單明了。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。同時(shí)還嚴(yán)格限制了用戶數(shù)量. VLAN 基本配置命令創(chuàng)建vlan方法一 　　switchvlan database 　　switch(vlan)vlan 10 name wz 　　switch(vlan)exit 　　創(chuàng)建vlan方法二 　　switch(config)vlan 10 　　switch(configvlan)name wz 　　刪除vlan方法一 　　switch(vlan)no vlan 10 　　switch(vlan)exit 　　刪除vlan方法二 　　switch(config) 　　no interface vlan 10 　　 　　switch(config)no vlan 10 　　刪除vlan方法三 　　switchdelete 　　將端口加入到vlan中 　　switch(configif)switchport access vlan 10 　　將一組連續(xù)的端口加入到vlan中 　　switch(config) interface range f0/1 –5 　　switch(config)interface range f0/68,0/911,0/22 　　（將不連續(xù)多個(gè)端口加入到Vlan中） 　　switch(configifrange)switchport access vlan 10 　　將端口從vlan中刪除 　　switch(configif)no switchport access vlan 10 　　switch(configif)switchport access vlan 1 　　switch(configifrange)no switchport access vlan 10 　　switch(configifrange)switchport access vlan 1 　　查看所有vlan的摘要信息 　　switchshow vlan brief 　　查看指定vlan的信息 　　switchshow vlan id 10 　　1指定端口成為trunk 　　switch(configif)switchport mode trunk 　　1Trunk的自動(dòng)協(xié)商 　　switch(configif)switchport mode dynamic desirable 　　switch(configif)switchport mode dynamic auto 　　注意：如果中繼鏈路兩端都設(shè)置成auto將不能成為trunk 　　1查看端口狀態(tài) 　　switchshow interface f0/2 switchport 　　1在trunk上移出vlan 　　switch(configif)switchport trunk allowed vlan remove 20 　1在trunk上添加vlan 　　switch(configif)switchport trunk allowed vlan add 20 公司VLAN劃分財(cái)務(wù)部門 VLAN 10 交換機(jī)S0接入交換機(jī)（華為S570024TPSIAC）業(yè)務(wù)部門 VLAN 20 交換機(jī)S1接入交換機(jī)（華為S570024TPSIAC）核心交換機(jī) S2核心交換機(jī)（華為S570024TPSIAC） VLAN 其他劃分　　許多VLAN廠商都利用交換機(jī)的端口來劃分VLAN成員。　　VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。如果路由器就一個(gè)用于終端的接口，那么這兩個(gè)交換機(jī)就必須接入這同一個(gè)路由器的接口，這個(gè)時(shí)候，如果還想保持原來的網(wǎng)段的劃分，那么就必須使用路由器的子接口，創(chuàng)建VLAN. 　　同樣，比如兩個(gè)交換機(jī)，如果你想要每個(gè)交換機(jī)上的端口都分別屬于不同的網(wǎng)段，那么你有幾個(gè)網(wǎng)段，就提供幾個(gè)路由器的接口，這個(gè)時(shí)候，雖然在路由器的物理接口上可以定義這個(gè)接口可以連接哪個(gè)網(wǎng)段，但是在交換機(jī)的層次上，它并不能區(qū)分哪個(gè)端口屬于哪個(gè)網(wǎng)段，那么唯一實(shí)現(xiàn)能區(qū)分的方法，就是劃分VLAN，使用了VLAN就能區(qū)分出某個(gè)交換機(jī)端口的終端是屬于哪個(gè)網(wǎng)段的。比如就簡(jiǎn)單的只有銷售部和企劃部?jī)蓚€(gè)網(wǎng)段。 　　第三，將在交換機(jī)的層次上闡述VLAN的目的。這些網(wǎng)段因?yàn)槭窃谶壿嫿涌谙聞?chuàng)建的，所以稱之為虛擬局域網(wǎng)VLAN。 　　比如邏輯接口F0/，用于銷售部，而F0/，用于企劃部。、。比如一個(gè)路由器只有一個(gè)用于終端連接的端口（當(dāng)然這種情況基本不可能發(fā)生，只不過簡(jiǎn)化舉例）。 　　第二，VLAN本質(zhì)就是指一個(gè)網(wǎng)段，之所以叫做虛擬的局域網(wǎng)，是因?yàn)樗窃谔摂M的路由器的接口下創(chuàng)建的網(wǎng)段。通過認(rèn)識(shí)VLAN的本質(zhì)，將可以了解到其用處究竟在哪些地方。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果進(jìn)行安全配置，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開發(fā)一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不