企業(yè)網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)

1、第二部分 企業(yè)網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)在企業(yè)組建網(wǎng)絡(luò)基礎(chǔ)設(shè)施后，還需要提供給用戶各種的網(wǎng)絡(luò)和信息服務(wù)，同時(shí)隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷發(fā)展，大量的網(wǎng)絡(luò)應(yīng)用成為黑客/病毒制造者的攻擊目標(biāo)，需要企業(yè)采取必要的技術(shù)、設(shè)備和措施來保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行，還需要運(yùn)用各種網(wǎng)絡(luò)管理工具、軟件、設(shè)備對(duì)企業(yè)網(wǎng)絡(luò)的交換設(shè)備、路由設(shè)備、服務(wù)器、防火墻等各種網(wǎng)絡(luò)設(shè)備進(jìn)行進(jìn)行配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理，保障網(wǎng)絡(luò)的正常運(yùn)行和性能優(yōu)化。項(xiàng)目 5 校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實(shí)施5.1 項(xiàng)目內(nèi)容 某學(xué)院校園網(wǎng)基礎(chǔ)設(shè)施已根據(jù)項(xiàng)目2組建完成，并通過兩條線路分別接入了電信互聯(lián)網(wǎng)和CERTNET教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提

2、供各種網(wǎng)絡(luò)服務(wù)和信息服務(wù)，分別提供校園網(wǎng)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)，請(qǐng)給出解決方法并進(jìn)行實(shí)施。5.2 項(xiàng)目流程 圖5-1 項(xiàng)目流程圖5.3 項(xiàng)目調(diào)查與需求分析5.3.1 項(xiàng)目目標(biāo) 本項(xiàng)目針對(duì)學(xué)院需要提供各種基礎(chǔ)網(wǎng)絡(luò)服務(wù)，分別實(shí)現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)。5.3.2 需求與分析1）具體需求經(jīng)調(diào)查和與用戶溝通，具體的需求如下: 需求1：為校園網(wǎng)各區(qū)域用戶提供IP地址等參數(shù)分配，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用。 需求2：為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各服務(wù)器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用，學(xué)院的域名

3、解析可根據(jù)校園網(wǎng)的兩條線路分別對(duì)不同來源IP地址解析出對(duì)應(yīng)線路的服務(wù)器IP以提高用戶訪問效率。 需求3:架設(shè)校園網(wǎng)的WWW服務(wù)器提供信息訪問、FTP服務(wù)器提供資源下載，WWW服務(wù)器需要為多個(gè)部門提供不同網(wǎng)站，并考慮服務(wù)器的安全和穩(wěn)定性。3）需求分析 分析1： 分析2： 分析3： 5.4 項(xiàng)目實(shí)訓(xùn)要求 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。 要求2（必做）：安裝配置DHCP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器、FTP服務(wù)器，分別在Windows Server和Linux環(huán)境下進(jìn)行安裝配置提供相同功能。 要求3（選做）在Linux下實(shí)現(xiàn)DNS服務(wù)器對(duì)于同一域名

4、根據(jù)來源不同的IP解析出不同的地址。5.5 項(xiàng)目實(shí)施5.5.1 實(shí)施原則1可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。3可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4實(shí)用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問各種校園網(wǎng)服務(wù)。5.5.2 項(xiàng)目知識(shí)點(diǎn) DHCP服務(wù)器 DHCP（ Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議） 可以減少管理的復(fù)雜

5、性和負(fù)擔(dān)，DHCP 使用了租約的概念，或稱為計(jì)算機(jī) IP 地址的有效期。租用時(shí)間是不定的，主要取決于用戶在某地聯(lián)接 Internet 需要多久，這對(duì)于用戶頻繁改變的環(huán)境是很實(shí)用的。通過較短的租期， DHCP 能夠在一個(gè)計(jì)算機(jī)比可用 IP 地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò)。1）DHCP系統(tǒng)組成DHCP客戶：DHCP客戶通過DHCP來獲得網(wǎng)絡(luò)配置參數(shù) Internet主機(jī)，通常就是普通用戶的工作站DHCP服務(wù)器：DHCP服務(wù)器提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP客戶Internet主機(jī)DHCP中繼代理：在DHCP客戶和服務(wù)器之間轉(zhuǎn)發(fā) DHCP 消息的主機(jī)或路由器2）DHCP 服務(wù)器DHCP服務(wù)器控制一段IP

6、地址范圍，客戶機(jī)登錄服務(wù)器時(shí)就可以自動(dòng)獲得服務(wù)器分配的IP地址和子網(wǎng)掩碼。DHCP作用域是一個(gè)網(wǎng)絡(luò)中的所有可分配的 IP 地址的連續(xù)范圍。作用域主要用來定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的 IP 地址范圍。作用域是服務(wù)器用來管理分配給網(wǎng)絡(luò)客戶的 IP 地址的主要手段。 DHCP服務(wù)器可以使用Windows Server、Linux等網(wǎng)絡(luò)操作系統(tǒng)擔(dān)當(dāng)，也可以使用具有DHCP功能的交換機(jī)、路由器等設(shè)備。 DNS 服務(wù)器DNS（Domain Name System，域名系統(tǒng)）是因特網(wǎng)的一項(xiàng)核心服務(wù),它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取

7、的IP數(shù)串。DNS是一種包含 DNS 主機(jī)名到 IP 地址映射的分布式、分層式數(shù)據(jù)庫，DNS 是 Internet 名稱方案的基礎(chǔ)和企業(yè)名稱方案的基礎(chǔ)。InterNIC 負(fù)責(zé)全球域名空間的委派管理和域名注冊(cè)。1） DNS組件DNS 服務(wù)器：運(yùn)行 DNS 服務(wù)的計(jì)算機(jī)，承載一個(gè)名稱空間或部分名稱空間（域）， 對(duì)名稱空間或域具有權(quán)威性，負(fù)責(zé)解析 DNS 客戶端（DNS 客戶端即解析器）提交的名稱解析請(qǐng)求。DNS 客戶端：運(yùn)行 DNS 客戶端服務(wù)的計(jì)算機(jī)DNS 資源記錄：DNS 數(shù)據(jù)庫中將主機(jī)名映射到資源的項(xiàng)目因特網(wǎng)上的 DNS 服務(wù)器DNS 服務(wù)器DNS 客戶端根 “.”.資源記錄資

8、源記錄 圖5-1 DNS組件2） DNS域名空間DNS 命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結(jié)構(gòu)，一些授權(quán)的機(jī)構(gòu)可以各自轉(zhuǎn)換其權(quán)限以內(nèi)的名字和 IP 地址。DNS 的命名是為全球性的網(wǎng)絡(luò)設(shè)備分配名字，由分布式名字服務(wù)器組實(shí)施。區(qū)域是 DNS 名稱空間的一個(gè)管理單元，它可以由單一的 DNS 域或者結(jié)合了部分或全部子域的域組成 ；DNS 服務(wù)器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。圖5-2 DNS域名空間結(jié)構(gòu)3） DNS服務(wù)器的類型根域名服務(wù)器：根域名服務(wù)器是最重要的域名服務(wù)器。所有的根域名服務(wù)器都知道所有的頂級(jí)域名服務(wù)器的域名和 IP 地址。不管是哪

9、一個(gè)本地域名服務(wù)器，若要對(duì)因特網(wǎng)上任何一個(gè)域名進(jìn)行解析，只要自己無法解析，就首先求助于根域名服務(wù)器。在因特網(wǎng)上共有13 個(gè)不同 IP 地址的根域名服務(wù)器，它們的名字是用一個(gè)英文字母命名，從a 一直到 m（前13 個(gè)字母）。頂級(jí)域名服務(wù)器：負(fù)責(zé)管理在該頂級(jí)域名服務(wù)器注冊(cè)的所有二級(jí)域名。當(dāng)收到 DNS 查詢請(qǐng)求時(shí)，就給出相應(yīng)的回答（可能是最后的結(jié)果，也可能是下一步應(yīng)當(dāng)找的域名服務(wù)器的 IP 地址）。權(quán)限域名服務(wù)器：負(fù)責(zé)一個(gè)區(qū)的域名服務(wù)器。當(dāng)一個(gè)權(quán)限域名服務(wù)器還不能給出最后的查詢回答時(shí)，就會(huì)告訴發(fā)出查詢請(qǐng)求的 DNS 客戶，下一步應(yīng)當(dāng)找哪一個(gè)權(quán)限域名服務(wù)器。本地域名服務(wù)器：本地域名服務(wù)器對(duì)域名系統(tǒng)非

10、常重要。當(dāng)一個(gè)主機(jī)發(fā)出 DNS 查詢請(qǐng)求時(shí)，這個(gè)查詢請(qǐng)求報(bào)文就發(fā)送給本地域名服務(wù)器。每一個(gè)因特網(wǎng)服務(wù)提供者都可以擁有一個(gè)本地域名服務(wù)器，這種域名服務(wù)器有時(shí)也稱為默認(rèn)域名服務(wù)器。4） DNS查詢 查詢是向 DNS 服務(wù)器發(fā)出的名稱解析請(qǐng)求。查詢有兩種類型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務(wù)器，DNS 客戶端需要 DNS 服務(wù)器提供一個(gè)完整的查詢應(yīng)答。迭代查詢：迭代查詢是 DNS 客戶端向 DNS 服務(wù)器發(fā)出的查詢請(qǐng)求，DNS 服務(wù)器無需通過其他 DNS 服務(wù)器而給出查詢結(jié)果的查詢。迭代查詢通常發(fā)生在上級(jí)域指引到下級(jí)域。圖5-3 DNS查詢過程DNS服務(wù)器可以使用W

11、indows Server2003安裝和配置DNS服務(wù)作為DNS服務(wù)器，Linux服務(wù)器使用著名的BIND（Berkeley Internet Name Domain）軟件實(shí)現(xiàn)，DNS客戶端可通過DHCP服務(wù)器分配DNS參數(shù)或手動(dòng)指定。 WEB服務(wù)器WEB服務(wù)器也稱為WWW(World Wide Web)服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)，是互聯(lián)網(wǎng)發(fā)展最快和目前用的最廣泛的服務(wù)。其應(yīng)用層使用HTTP協(xié)議，使用HTML文檔格式傳輸信息資源，客戶機(jī)瀏覽器使用統(tǒng)一資源定位器(URL)來訪問WEB服務(wù)器資源。目前使用最多的 web server 服務(wù)器軟件有：微軟的信息服務(wù)器（IIS）和Apach

12、e：1）IISIIS是英文Internet Information Server（Internet信息服務(wù)）的縮寫，它是微軟公司主推的WEB服務(wù)器， IIS與Window Server完全集成在一起，因而用戶能夠利用Windows Server和NTFS內(nèi)置的安全特性，建立強(qiáng)大，靈活而安全的Internet站點(diǎn)。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過使用CGI和ISAPI，IIS可以得到高度的擴(kuò)展。IIS支持與語言無關(guān)的腳本編寫和組件，通過IIS，開

13、發(fā)人員就可以開發(fā)新一代動(dòng)態(tài)的，富有魅力的Web站點(diǎn)。IIS不需要開發(fā)人員學(xué)習(xí)新的腳本語言或者編譯應(yīng)用程序，IIS完全支持VBscript，Jscript開發(fā)軟件以及Java，它也支持CGI和WinCGI，以及ISAPI擴(kuò)展和過濾器。2）Apache HTTP ServerApache HTTP Server源于NCSAhttpd服務(wù)器，經(jīng)過多次修改，成為世界上最流行的Web服務(wù)器軟件之一。Apache的特點(diǎn)是簡單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。因?yàn)樗亲杂绍浖?，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。Apache支持許多特性，大部分通過編譯的模塊實(shí)現(xiàn)。這些特性從服

14、務(wù)器端的編程語言支持到身份認(rèn)證方案。一些通用的語言接口支持Perl，Python， Tcl和 PHP。流行的認(rèn)證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服務(wù)器 (proxy) 模塊，很有用的URL重寫（由 mod_rewrite 實(shí)現(xiàn)），定制日志文件（mod_log_config），以及過濾支持（mod_include 和 mod_ext_filter）。Apache日志可以通過網(wǎng)頁瀏覽器使用免費(fèi)的腳本AWStats或Visitors來進(jìn)行分析。 FTP服務(wù)器文件傳輸協(xié)議 (FTP) 是一種常

15、用的應(yīng)用層協(xié)議。FTP 用于客戶端和服務(wù)器之間的文件傳輸。FTP 客戶端是一種在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序。通過運(yùn)行 FTP 守護(hù)程序 (FTPd)，F(xiàn)TP 客戶端可以從服務(wù)器中收發(fā)文件。為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶端和服務(wù)器之間建立兩條連接：一條是命令和回復(fù)連接，另一條是實(shí)際文件傳輸連接。客戶端在 TCP 的 21 號(hào)端口建立第一條連接。該連接由客戶端命令和服務(wù)器回復(fù)組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號(hào)端口。每當(dāng)有文件需要傳輸時(shí)建立該連接，用于實(shí)際文件傳輸。在兩個(gè)方向上，都可以進(jìn)行文件傳輸。即客戶端可以從服務(wù)器中下載（?。┪募?，也可以向服務(wù)器中上傳（放）文

16、件。常用的組建FTP服務(wù)器方法有：Windows下使用IIS架設(shè)FTP站點(diǎn)、Linux下的wu-ftpd、vsftpd、使用FTP服務(wù)器軟件（Serv-U、Gene6等）。5.5.3 項(xiàng)目實(shí)施規(guī)劃 實(shí)訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號(hào)數(shù)量（每組）備注交換機(jī)H3C3100 1臺(tái)服務(wù)器宏基P42臺(tái)計(jì)算機(jī)宏基P44臺(tái)服務(wù)器操作系統(tǒng)Windows Server20032可使用虛擬機(jī)環(huán)境服務(wù)器操作系統(tǒng)CentOS 5.22可使用虛擬機(jī)環(huán)境 服務(wù)器命名規(guī)則服務(wù)器命名沒有絕對(duì)的標(biāo)準(zhǔn)，一般都是按工程慣例和管理規(guī)范來進(jìn)行命名，應(yīng)本著明確、簡潔、無二義性的原則。實(shí)訓(xùn)項(xiàng)目中服務(wù)器命名規(guī)則建議如下：SrvDHCP-01序號(hào)

17、服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。服務(wù)器序號(hào)中，01代表第一臺(tái)，02代表第二臺(tái)，依此類推。 服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表 實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝服務(wù)器操作系統(tǒng)3）安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡(luò)服務(wù)4）配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5）完成項(xiàng)目文檔資料5.5.4 實(shí)施步驟（請(qǐng)將主要實(shí)施步驟整理列出）5.6 項(xiàng)目驗(yàn)收5.6.1 軟件驗(yàn)收5.6.2 功能驗(yàn)收5.7 項(xiàng)目總結(jié)項(xiàng)目 6 集團(tuán)公司網(wǎng)絡(luò)集中管理6.1 項(xiàng)目內(nèi)容 某集團(tuán)公司一家在全國各地區(qū)有多個(gè)分公司的物流大型企業(yè)，在完成項(xiàng)目3內(nèi)容的組建基礎(chǔ)上，現(xiàn)需要對(duì)公司網(wǎng)絡(luò)

18、進(jìn)行統(tǒng)一管理，總部和各地分公司都能使用統(tǒng)一賬號(hào)訪問公司資源，為了保證網(wǎng)絡(luò)信息安全，需要提供公司各服務(wù)器和計(jì)算機(jī)微軟操作系統(tǒng)的補(bǔ)丁自動(dòng)更新，請(qǐng)進(jìn)行規(guī)劃和模擬實(shí)施。6.2 項(xiàng)目流程 圖6-1 項(xiàng)目流程圖6.3 項(xiàng)目調(diào)查與需求分析6.3.1 項(xiàng)目目標(biāo)本項(xiàng)目針對(duì)集團(tuán)軍公司的網(wǎng)絡(luò)進(jìn)行管理，實(shí)現(xiàn)使用統(tǒng)一賬號(hào)訪問公司資源，并提供操作系統(tǒng)的補(bǔ)丁更新。6.3.2 具體調(diào)查與需求分析1)具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，該集團(tuán)公司分為總部和三個(gè)分公司網(wǎng)絡(luò)，分公司通過專線與總部連接，總部約有400臺(tái)計(jì)算機(jī)和多臺(tái)服務(wù)器，各分公司分別有50-100臺(tái)計(jì)算機(jī)，各分公司也各有1臺(tái)服務(wù)器提供網(wǎng)絡(luò)服務(wù)。2）具體需求 需求1：采

19、用先進(jìn)的網(wǎng)絡(luò)技術(shù)和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡(luò)集中管理，以實(shí)現(xiàn)企業(yè)信息化的基礎(chǔ)。 需求2：在總部和各地分公司均使用統(tǒng)一賬號(hào)高效穩(wěn)定地登錄和訪問公司資源，簡單有效。 需求3：在總公司架設(shè)一臺(tái)服務(wù)器以提供公司各服務(wù)器和計(jì)算機(jī)操作系統(tǒng)的補(bǔ)丁自動(dòng)更新。3）需求分析 分析1：安裝域控制器將客戶機(jī)加入域，建立組織單位和用戶帳戶，使用組策略控制用戶的操作行為，使用組策略部署軟件. 分析2：在分公司和總部建立虛擬專用網(wǎng)，。訪問速度快，安全，成本低 分析3：6.4 項(xiàng)目實(shí)訓(xùn)要求 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。 要求2（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)組建并完成項(xiàng)目實(shí)施的文檔

20、，模擬實(shí)現(xiàn)企業(yè)網(wǎng)總部及1個(gè)分公司區(qū)域的網(wǎng)絡(luò)，實(shí)現(xiàn)統(tǒng)一管理和站點(diǎn)登錄。 要求3（選做）：在以上基礎(chǔ)上實(shí)現(xiàn)公司微軟操作系統(tǒng)補(bǔ)丁服務(wù)器的架設(shè)和配置。6.5 項(xiàng)目實(shí)施6.5.1 實(shí)施原則1可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響企業(yè)網(wǎng)服務(wù)。3可擴(kuò)充性 企業(yè)網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4實(shí)用性 應(yīng)能使用戶方便實(shí)用地訪問各種企業(yè)網(wǎng)服務(wù)并接受管理。6.5.2 項(xiàng)目知識(shí)點(diǎn) 活動(dòng)目錄（Active Dirctory）活動(dòng)目錄（Active Dire

21、ctory）是Windows 2003完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是Windows 2003網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織

22、Microsoft在Windows 2003中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性。活動(dòng)目錄采用了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒?dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。1） 活動(dòng)目錄用戶與組Windows

23、 Server 2003所支持的用戶賬戶分為以下兩種類型：域用戶賬戶：域用戶賬戶存儲(chǔ)在域控制器的Active Directory數(shù)據(jù)庫內(nèi)。用戶可以利用域用戶賬戶登錄域，并利用它訪問網(wǎng)絡(luò)上的資源， 本地用戶賬戶：本地用戶賬戶是創(chuàng)建在非域控制器的“本地安全賬戶數(shù)據(jù)庫”內(nèi)，而不是域控制器的Active Directory數(shù)據(jù)庫內(nèi)。Windows Server 2003將位于域中的組分為以下兩種類型：安全組：安全組可以被用來設(shè)置權(quán)限，例如，可以設(shè)置讓安全組對(duì)文件具備“讀取”的權(quán)限。安全組也可以用在與安全無關(guān)的任務(wù)上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給安全組。分布式組：分布式組是用在與安全（權(quán)限

24、的設(shè)置等）無關(guān)的任務(wù)上，例如，可以通過電子郵件軟件將電子郵件發(fā)送給分布式組。用戶無法設(shè)置分布式組的權(quán)限。2） 活動(dòng)目錄站點(diǎn)與復(fù)制活動(dòng)目錄“站點(diǎn)”是由一個(gè)或多個(gè)IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過高速連接所串接起來的，而這里所謂的“高速”是指這些子網(wǎng)之間的連接速度要夠快才可以，否則應(yīng)該將它們分別規(guī)劃為不同的站點(diǎn)。 域是邏輯的分組，站點(diǎn)是物理的分組。每個(gè)站點(diǎn)可能包含多個(gè)域，一個(gè)域內(nèi)的計(jì)算機(jī)可能同時(shí)分別屬于不同的站點(diǎn)。同一個(gè)站點(diǎn)內(nèi)的同一個(gè)域控制器會(huì)自動(dòng)設(shè)置執(zhí)行復(fù)制，其默認(rèn)的復(fù)制頻率比不同站點(diǎn)之間快。除了非常小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個(gè)位置，以便于所有用戶均等地使用。通過復(fù)制，Acti

25、ve Directory目錄服務(wù)在多個(gè)域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory 使用一種多主機(jī)復(fù)制模型，允許在任何域控制器上（而不只是委派的主域控制器上）更改目錄。Active Directory 依靠站點(diǎn)概念來保持復(fù)制的效率，并依靠知識(shí)一致性檢查器 (KCC) 來自動(dòng)確定網(wǎng)絡(luò)的最佳復(fù)制拓?fù)洹?） 組策略組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略，可以完成用戶所需軟件的自動(dòng)安裝、自動(dòng)定制用戶環(huán)境、自動(dòng)將用戶的文件夾重定向等一系列高級(jí)功能。例如，可使用“組

26、策略”幫助用戶自動(dòng)安裝軟件、從桌面刪除圖標(biāo)、自定義“開始”菜單并簡化“控制面板”。此外,還可添加在計(jì)算機(jī)上（在計(jì)算機(jī)啟動(dòng)或停止時(shí)，以及用戶登錄或注銷時(shí)）運(yùn)行的腳本，甚至可配置Internet Explorer等多種功能。要實(shí)現(xiàn)用“組策略”管理網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶，需要網(wǎng)絡(luò)中有Active Directory服務(wù)器，工作站須是Windows 2000、Windows XP或Windows Server2003等操作系統(tǒng)，并且加入到Active Directory域中，還需創(chuàng)建與配置“組織單位”的組策略。 Microsoft Windows Server Update Services (WSUS

27、)Microsoft Windows Server Update Services (WSUS) 是設(shè)計(jì)用來大量精簡IT系統(tǒng)在執(zhí)行重大更新時(shí)的程序。通過使用 Windows Server 更新服務(wù) (WSUS)，管理員可以快速而可靠地將 Windows 2000 操作系統(tǒng)和更高版本、Office XP 和更高版本、Exchange Server 2003 以及 SQL Server 2000 的最新關(guān)鍵更新和安全更新部署到 Windows 2000 和更高版本的操作系統(tǒng)。Windows 自動(dòng)更新是Windows 的一項(xiàng)功能，當(dāng)適用于您的計(jì)算機(jī)的重要更新發(fā)布時(shí)，它會(huì)及時(shí)提醒用戶下載和安裝。使用自

28、動(dòng)更新可以在第一時(shí)間更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，保護(hù)計(jì)算機(jī)安全。在小規(guī)模的網(wǎng)絡(luò)當(dāng)中，客戶端可以通過windows系統(tǒng)自帶的自動(dòng)更新來從微軟下載補(bǔ)丁。但在大中型的網(wǎng)絡(luò)當(dāng)中，如果每臺(tái)計(jì)算機(jī)都單獨(dú)去微軟更新補(bǔ)丁，那么則會(huì)極大的影響企業(yè)的外部網(wǎng)絡(luò)帶寬。WSUS的思路是先用一臺(tái)計(jì)算機(jī)（wsus）去微軟檢測(cè)并選擇要下載補(bǔ)丁，然后網(wǎng)絡(luò)內(nèi)其他的計(jì)算機(jī)從WSUS服務(wù)器來下載補(bǔ)丁，它也可直接下發(fā)補(bǔ)丁。這樣也既不會(huì)浪費(fèi)外部網(wǎng)絡(luò)帶寬，也能讓所有的計(jì)算機(jī)得到更新。6.5.3 項(xiàng)目實(shí)施規(guī)劃 實(shí)訓(xùn)設(shè)備與軟件設(shè)備類型設(shè)備型號(hào)數(shù)量（每組）備注交換機(jī)H3C3100 1臺(tái)服務(wù)器宏基P43臺(tái)計(jì)算機(jī)宏基P43臺(tái)服務(wù)器操作系統(tǒng)Windo

29、ws Server20033可使用虛擬機(jī)環(huán)境 服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表 實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動(dòng)目錄（用戶管理、計(jì)算機(jī)加入域、站點(diǎn)與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計(jì)算機(jī)參數(shù)并根據(jù)需求驗(yàn)證實(shí)現(xiàn)的功能5）完成項(xiàng)目文檔資料6.5.4 實(shí)施步驟（請(qǐng)將主要實(shí)施步驟整理列出）6.6 項(xiàng)目驗(yàn)收6.6.1 設(shè)備驗(yàn)收6.6.2 功能驗(yàn)收6.7 項(xiàng)目總結(jié)項(xiàng)目 7 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)7.1 項(xiàng)目內(nèi)容 某高等職業(yè)學(xué)院已經(jīng)在項(xiàng)目2的基礎(chǔ)上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)計(jì)劃有兩條出口線路分別與CHINANE

30、T和CERNET連接，需實(shí)現(xiàn)校園網(wǎng)所有用戶對(duì)外訪問，同時(shí)校園網(wǎng)的WEB、FTP等服務(wù)器需要提供校外用戶訪問，還可提供學(xué)校用戶在家訪問學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時(shí)為了保障校園網(wǎng)絡(luò)安全，需要對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，并且計(jì)劃部署全網(wǎng)的防病毒系統(tǒng)，請(qǐng)進(jìn)行校園網(wǎng)的安全進(jìn)行規(guī)劃和模擬實(shí)施。7.2 項(xiàng)目流程 圖7-1 項(xiàng)目流程圖7.3 項(xiàng)目調(diào)查與需求分析7. 3. 1 項(xiàng)目目標(biāo)本項(xiàng)目針對(duì)校園園區(qū)網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行建設(shè)和管理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部安全訪問校園網(wǎng)內(nèi)部，并進(jìn)行防病毒系統(tǒng)的部署。7. 3. 2 具體調(diào)查與需求分析1) 具體調(diào)查經(jīng)具體調(diào)查和與用戶的溝通，校園網(wǎng)有近6000用戶、約30臺(tái)服務(wù)

31、器提供服務(wù)，校園網(wǎng)通過租用1條100M電信線路和1條10M教育網(wǎng)線路分別連接互聯(lián)網(wǎng)和CERNET。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：30/27 37/27。2）具體需求 需求1：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)和合理的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行校園網(wǎng)出口部分的建設(shè)，實(shí)現(xiàn)內(nèi)部用戶快捷安全訪問互聯(lián)網(wǎng)和教育網(wǎng)。 需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶能安全方便地訪問學(xué)校的公共資源和信息。 需求3：一些校園網(wǎng)內(nèi)部的資源（例如辦公系統(tǒng)、電子圖書等）需要提供學(xué)校的教職員工在外安全訪問。 需求4：保障和加強(qiáng)服務(wù)器安全性，對(duì)校園網(wǎng)的

32、服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。 需求5：為保障校園網(wǎng)全網(wǎng)安全，加強(qiáng)各用戶計(jì)算機(jī)的安全防護(hù)，安裝使用防病毒軟件。3）需求分析 分析1： 分析2： 分析3： 分析4： 分析5：7.4 項(xiàng)目實(shí)訓(xùn)要求 要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)安全系統(tǒng)組建并完成項(xiàng)目實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全防護(hù)。 要求2（必做）：使用防火墻或軟件進(jìn)行校園網(wǎng)出口互聯(lián)網(wǎng)部分的內(nèi)外網(wǎng)轉(zhuǎn)換（NAT），服務(wù)器的對(duì)外發(fā)布訪問和安全（SAT）。 要求3（必做）：進(jìn)行服務(wù)器操作系統(tǒng)的安全配置和防護(hù)。（主機(jī)安全） 要求3（選做）：使用防火墻或軟件進(jìn)行校園網(wǎng)的外部安全訪問內(nèi)部網(wǎng)絡(luò)（VPN）。 要求4（選做）：

33、進(jìn)行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實(shí)施。7.5 項(xiàng)目實(shí)施7.5.1 實(shí)施原則1可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。3可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4實(shí)用性 校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問各種校園網(wǎng)服務(wù)。7.5.2 項(xiàng)目知識(shí)點(diǎn) 防火墻傳統(tǒng)意義的防火墻被設(shè)計(jì)用來防止火從大廈的一部份。在網(wǎng)絡(luò)上防火墻簡單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)。設(shè)置防

34、火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。防火墻是一種高級(jí)訪問控制設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行允許，拒絕，監(jiān)視，記錄進(jìn)出網(wǎng)絡(luò)的行為。防火墻是一個(gè)或一組系統(tǒng)，用于管理兩個(gè)網(wǎng)絡(luò)直接的訪問控制及策略，所有從內(nèi)部訪問外部的數(shù)據(jù)流和外部訪問內(nèi)部的數(shù)據(jù)流均必須通過防火墻；只有在被定義的數(shù)據(jù)流才可以通過防火墻(如果通過其他方式帶出信息，則無法防備），防火墻本身必須有很強(qiáng)的免疫力。1） 防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測(cè)、代理服務(wù)。包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備

35、上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測(cè)是比包過濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種防火墻摒棄了簡單包過濾防火墻僅僅考察

36、進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。2） 防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)

37、網(wǎng)絡(luò)的第一道屏障。根據(jù)防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墻就好象是一臺(tái)網(wǎng)橋，不改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備和所有計(jì)算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無須改變，同時(shí)解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。透明模式的防火墻結(jié)構(gòu)如下圖所示。 2.路由模式傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如下圖所示:3.混合模式在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)

38、如下圖所示:3） 防火墻產(chǎn)品簡介1阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內(nèi)核，即：防火墻沒有操作系統(tǒng)，因此不會(huì)存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時(shí)，因?yàn)椴僮飨到y(tǒng)需要不斷地去維護(hù)、升級(jí)，無操作系統(tǒng)就不存在此類問題，這也排除了因?yàn)橄到y(tǒng)升級(jí)、打補(bǔ)丁破壞防火墻功能、性能的問題。阿姆瑞特防火墻內(nèi)核啟動(dòng)后，可直接管理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它可以在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時(shí)減少了操作系統(tǒng)的開銷，因此可以最快的處理數(shù)據(jù)，使其成為市場(chǎng)上現(xiàn)有的最快的防火墻之一。2ISA（Internet Security and Accel

39、eration Server）ISA Server是微軟公司出品的企業(yè)級(jí)別的路由軟件防火墻，它可以讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應(yīng)用層識(shí)別功能是目前很多基于包過濾的硬件防火墻都不具備的，可以在網(wǎng)絡(luò)的任何地方，如兩個(gè)或多個(gè)網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個(gè)主機(jī)上配置ISA Server 來對(duì)網(wǎng)絡(luò)或主機(jī)進(jìn)行防護(hù)。ISA Server的主要特性：（1）多層防火墻安全防火墻可以通過各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級(jí)的企業(yè)防火墻，如 ISA Serve

40、r 所提供的那一種，綜合了所有這三種方法，在多個(gè)網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報(bào)。(2）狀態(tài)檢測(cè)狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISA Server 檢查在 IP 消息頭中指明的通信來源和目標(biāo)，以及在標(biāo)識(shí)所采用的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的 TCP 或 UDP 消息頭中的端口。動(dòng)態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請(qǐng)求，并且打開端口的持續(xù)時(shí)間恰好滿足該請(qǐng)求的需要，從而減少與打開端口相關(guān)的攻擊。ISA Server 可以動(dòng)態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。管理員可以配置訪問策略規(guī)則，以便只在允許的情況下自動(dòng)打開

41、端口，然后當(dāng)通信結(jié)束時(shí)關(guān)閉端口。這一過程稱為動(dòng)態(tài)數(shù)據(jù)包篩選，它使兩個(gè)方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。(3）集成的入侵檢測(cè)ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術(shù)，提供幫助管理員識(shí)別諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。并且ISA能夠自動(dòng)對(duì)其作出響應(yīng)。這項(xiàng)技術(shù)給 ISA Server 提供了能識(shí)別此類攻擊的集成入侵檢測(cè)機(jī)制。當(dāng)識(shí)別出這種攻擊時(shí)，警報(bào)還能同時(shí)指出 ISA Server 應(yīng)采取什么行動(dòng)，這些行動(dòng)可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)?/p>

42、呼，停止 Firewall 服務(wù)，寫入到系統(tǒng)事件日志，或運(yùn)行任何程序或腳本。(4）高性能 Web 緩存ISA Server 對(duì) Web 緩存進(jìn)行了徹底的重新設(shè)計(jì)，使它可以將緩存放入 RAM 中我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的 Web 客戶機(jī)總體響應(yīng)時(shí)間。這對(duì)于企業(yè)內(nèi)部來說尤其重要，因?yàn)閱T工需要快速訪問 Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Rout

43、ing Protocol，CARP)。因此您可以通過多臺(tái) ISA Server 計(jì)算機(jī)組成的陣列來提供無縫縮放和更高的效率。(6)活動(dòng)緩存通過一個(gè)叫做活動(dòng)緩存的功能，可配置 ISA Server 使其自動(dòng)更新緩存中的對(duì)象。使用這種功能，ISA Server 可通過主動(dòng)刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動(dòng)緩存，經(jīng)常被訪問的對(duì)象在它們到期之前，在低網(wǎng)絡(luò)流量時(shí)段自動(dòng)更新。(7)統(tǒng)一管理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 管理控制臺(tái)(MMC，Microsoft Management Console

44、)。所有這些功能，特別是 MMC，會(huì)使得管理更容易，因?yàn)椴僮魅藛T熟悉它，并可從一個(gè)控制臺(tái)同時(shí)管理防火墻和 Web 緩存。(8)企業(yè)策略和訪問控制ISA Server 還支持創(chuàng)建企業(yè)級(jí)和本地陣列策略，用于集中實(shí)施或本地實(shí)施。ISA Server 可作為獨(dú)立服務(wù)器安裝或作為陣列成員安裝。為便于管理，各個(gè)陣列成員都使用相同的配置。對(duì)陣列配置進(jìn)行修改時(shí)，陣列中的所有 ISA Server 計(jì)算機(jī)也都將得到修改，包括所有訪問和緩存策略。 VPN（Virtual Private Network）VPN即虛擬專用網(wǎng)絡(luò)，是通過 Internet 公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)

45、絡(luò) (VPN) 是專用網(wǎng)絡(luò)的擴(kuò)展。同 Internet 一樣，該網(wǎng)絡(luò)包含共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)之間的鏈接。使用 VPN，可以通過共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)以模擬點(diǎn)對(duì)點(diǎn)專用鏈接的方式在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)連接是一種創(chuàng)建和配置虛擬專用網(wǎng)絡(luò)的操作。使用 VPN 連接，在家辦公或旅行的用戶可以通過公用 Internet 網(wǎng)絡(luò)（如 Internet）提供的結(jié)構(gòu)，獲得到組織服務(wù)器的遠(yuǎn)程訪問連接。從用戶的角度來說，VPN 是計(jì)算機(jī)（VPN 客戶端）和組織服務(wù)器（VPN 服務(wù)器）之間的點(diǎn)對(duì)點(diǎn)連接。VPN 與共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)的具體結(jié)構(gòu)無關(guān)，因?yàn)閿?shù)據(jù)就象是通過專用的鏈接發(fā)送的。VPN技術(shù)的效果類似于傳統(tǒng)的D

46、DN專線聯(lián)網(wǎng)方式，網(wǎng)絡(luò)拓?fù)淙缦聢D所示。1） VPN的類型（1）Access VPN移動(dòng)用戶在任何地方、時(shí)間采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。（2）Intranet VPNIntranet VPN通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有I

47、P SEC、GRE等。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。（3）Extranet VPN利用VPN將企業(yè)網(wǎng)伸至合作伙伴與客戶。Extranet 用戶對(duì)于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。 2） VPN使用的協(xié)議（1）鏈路層L2TP、PPTP協(xié)議PPTP PPTP是PPP的擴(kuò)展，它增加了一個(gè)新的安全等級(jí)，并且可以通過Internet 進(jìn)行多協(xié)議通信，它支持通過公共網(wǎng)絡(luò)（如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP 可以建立隧道或?qū)?IP、IPX 或 NetBEUI 協(xié)議封裝在 PPP 數(shù)據(jù)包內(nèi)，因此允許

48、用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。PPTP在基于 TCP/IP 協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建 VPN連接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用服務(wù)器的安全數(shù)據(jù)傳輸。VPN服務(wù)器執(zhí)行所有的安全檢查和驗(yàn)證，并啟用數(shù)據(jù)加密，使得在不安全的網(wǎng)絡(luò)上發(fā)送信息變得更加安全。尤其是使用EAP后，通過啟用 PPTP 的 VPN傳輸數(shù)據(jù)就象在企業(yè)的一個(gè)局域網(wǎng)內(nèi)那樣安全。另外還可以使用 PPTP 建立專用 LAN 到 LAN 的網(wǎng)絡(luò)。L2TP 是一個(gè)工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP 也會(huì)壓縮PPP 的幀，從而壓縮 IP、IPX 或 NetBEUI 協(xié)議，同樣允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的

49、應(yīng)用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議安全 (IPSec) 機(jī)制來進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密。（2）網(wǎng)絡(luò)層IPsec協(xié)議基于 PKI 技術(shù)的 IPSec 協(xié)議現(xiàn)在已經(jīng)成為架構(gòu) VPN 的基礎(chǔ)，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過加密和認(rèn)證的通信。雖然它的實(shí)現(xiàn)會(huì)復(fù)雜一些，但其安全性比其他協(xié)議都完善得多。由于 IPSec 是 IP 層上的協(xié)議，因此很容易在全世界范圍內(nèi)形成一種規(guī)范，具有非常好的通用性，而且 IPSec 本身就支持面向未來的協(xié)議 IPv6 。3）傳輸層SSL、TLS、SOCKS協(xié)議SSL VPN即指采用SSL (Security Socket La

50、yer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。 主機(jī)安全1） 系統(tǒng)漏洞系統(tǒng)漏洞是指網(wǎng)絡(luò)操作系統(tǒng)本身所存在的技術(shù)缺陷。系統(tǒng)漏洞往往會(huì)被病毒利用侵入并攻擊用戶計(jì)算機(jī)。漏洞會(huì)影響到的范圍很大，包括系統(tǒng)本身及其支 撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬件設(shè) 備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同

51、的安全漏洞問題。Windows系統(tǒng)漏洞問題是與時(shí)間緊密相關(guān)的。一個(gè)windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會(huì)不斷被系統(tǒng)供應(yīng)商微軟公司發(fā)布的補(bǔ)丁軟件修補(bǔ)，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時(shí)，也會(huì)引入一些新的漏洞和錯(cuò)誤。Windows操作系統(tǒng)供應(yīng)商將定期對(duì)已知的系統(tǒng)漏洞發(fā)布補(bǔ)丁程序，用戶只要定期下載并安裝補(bǔ)丁程序，可以保證計(jì)算機(jī)不會(huì)輕易被病毒、黑客入侵。一般情況下，在網(wǎng)絡(luò)邊界處企業(yè)都會(huì)部署硬件或軟件防火墻，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，本身具有較強(qiáng)的抗攻擊能力。但是防火墻也存

52、在一定的局限性：l 防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題，對(duì)于防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也無法處理；l 防火墻無法解決TCP/IP等協(xié)議的漏洞，例如Dos攻擊（拒絕服務(wù)攻擊）。l 防火墻對(duì)于合法開發(fā)端口的攻擊無法阻止。例如利用開放的FTP、遠(yuǎn)程桌面端口漏洞提升權(quán)限問題。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻本身不具備查殺病毒、木馬的功能。l 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。有些數(shù)據(jù)郵寄或傳輸?shù)絻?nèi)部主機(jī)被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。防火墻不能防止內(nèi)部的泄密行為以及自身安全漏洞的問題。2） 漏洞掃描漏洞掃描式網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬攻

53、擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。其目標(biāo)是服務(wù)器、工作站、交換機(jī)、數(shù)據(jù)庫應(yīng)用、WEB應(yīng)用等各種應(yīng)用設(shè)施，然后根據(jù)掃描結(jié)果向網(wǎng)絡(luò)管理員提供可靠的安全性評(píng)估分析報(bào)告，以便管理員能及時(shí)進(jìn)行漏洞修補(bǔ)和加強(qiáng)安全防護(hù)，從而提高網(wǎng)絡(luò)安全整體水平。漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng) 提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬 攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。在網(wǎng)絡(luò)安全體系的建

54、設(shè)中，安全掃描是一種花費(fèi)低、效果好、見效快、獨(dú)立于網(wǎng)絡(luò)運(yùn)行、安裝運(yùn)行簡單的網(wǎng)絡(luò)工具，可以減少網(wǎng)絡(luò)管理員大量的手工重復(fù)勞動(dòng)，有利于保持全網(wǎng)安全的穩(wěn)定和統(tǒng)一標(biāo)準(zhǔn)。目前市場(chǎng)上有很多漏洞掃描工具，按照不同的技術(shù)（基于網(wǎng)絡(luò)、基于主機(jī)、基于代理、Client/Server）、不同的特征、不同的報(bào)告方式和不同的監(jiān)聽模式，可以分為很多種。在選擇漏洞掃描工具時(shí)要充分考慮各種技術(shù)和漏洞庫信息，漏洞庫信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時(shí)的更新，不但不能發(fā)揮漏洞掃描的作用，還會(huì)給系統(tǒng)管理員以錯(cuò)誤的引導(dǎo)，從而對(duì)系統(tǒng)的安全隱患不能采取有效措施并及時(shí)的消除。目前常用的漏洞掃描工

55、具有：（1）微軟安全掃描工具M(jìn)BSAMBSA（Microsoft Baseline Security Analyzer ）是微軟公司提供的免費(fèi)安全掃描工具，系統(tǒng)管理員可以通過它來對(duì)一些常用的微軟安全漏洞進(jìn)行評(píng)估，包括缺少的安全更新。MBSA 將掃描基于 Windows 的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發(fā)現(xiàn)安全方面的配置錯(cuò)誤，并及時(shí)通過推薦的安全更新進(jìn)行修補(bǔ)。MBSA目前可以運(yùn)行在Windows 2000、Windows XP和Windows Server 2003環(huán)境中。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 2003、Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結(jié)構(gòu)性錯(cuò)誤，還可以檢查出Windows 2000、Windows XP、Windows Server 2003、IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsof