第4章服務器系統(tǒng)安全配置

1、阿拉丁計算機國際認證培訓中心 http:/第四章 服務器系統(tǒng)安全配置阿拉丁計算機國際認證培訓中心 http:/Windows Windows 服務器安全配置服務器安全配置 DNS serverDNS server配置以及管理配置以及管理Web serverWeb server配置以及管理配置以及管理ftp serverftp server配置以及管理配置以及管理E-mail serverE-mail server配置以及管理配置以及管理阿拉丁計算機國際認證培訓中心 http:/域名空間結(jié)構(gòu)域名空間結(jié)構(gòu)根域根域頂級域頂級域n組織域組織域n國家或地區(qū)域國家或地區(qū)域n反向域反向域二級域二級域主機名主

2、機名FQDN:(Fully Qualified FQDN:(Fully Qualified Domain Name)Domain Name)完全合格域名完全合格域名頂級域頂級域 說明說明 govgov 政府部門政府部門 comcom 商業(yè)部門商業(yè)部門 eduedu教育部門教育部門 orgorg民間團體組織民間團體組織 netnet網(wǎng)絡服務機構(gòu)網(wǎng)絡服務機構(gòu) milmil軍事部門軍事部門 頂級域頂級域國別國別/ /地區(qū)地區(qū)cncn中國中國jpjp日本日本ukuk英國英國auau澳大利亞澳大利亞hkhk中國香港中國香港將將IPIP地址映射到名稱地址映射到名稱 “”二級域下可以

3、擴展主機和子域二級域下可以擴展主機和子域主機名主機名.DNS.DNS后綴后綴=FQDN=FQDN阿拉丁計算機國際認證培訓中心 http:/DNSDNS服務的作用服務的作用將域名解析為將域名解析為IP地址地址n客戶機向客戶機向DNSDNS服務器發(fā)送域名查服務器發(fā)送域名查詢請求詢請求nDNSDNS服務器告知客戶機服務器告知客戶機WebWeb服務器服務器的的IPIP地址地址n客戶機與客戶機與WebWeb服務器通信服務器通信阿拉丁計算機國際認證培訓中心 http:/DNSDNS查詢過程查詢過程阿拉丁計算機國際認證培訓中心 http:/DNSDNS查詢類型查詢類型從查詢方式上分從查詢方式上分n遞歸查詢遞

4、歸查詢q要么做出查詢成功響應，要么作出查詢失敗的響應要么做出查詢成功響應，要么作出查詢失敗的響應 n迭代查詢迭代查詢q以最佳結(jié)果作答以最佳結(jié)果作答 從查詢內(nèi)容上分從查詢內(nèi)容上分 n正向查詢由域名查找正向查詢由域名查找IPIP地址地址 n反向查詢由反向查詢由IPIP地址查找域名地址查找域名阿拉丁計算機國際認證培訓中心 http:/配置配置DNSDNS服務器服務器需求條件需求條件安裝安裝DNS服務服務創(chuàng)建區(qū)域創(chuàng)建區(qū)域n創(chuàng)建正向查找區(qū)域創(chuàng)建正向查找區(qū)域n創(chuàng)建反向查找區(qū)域創(chuàng)建反向查找區(qū)域主要資源記錄主要資源記錄使用轉(zhuǎn)發(fā)器使用轉(zhuǎn)發(fā)器阿拉丁計算機國際認證培訓中心 http:/DNSDNS必要條件必要條件有

5、固定的有固定的IPIP地址地址安裝并啟動安裝并啟動DNSDNS服務服務下列條件之一下列條件之一n有區(qū)域文件有區(qū)域文件n配置轉(zhuǎn)發(fā)器配置轉(zhuǎn)發(fā)器n配置根提示配置根提示阿拉丁計算機國際認證培訓中心 http:/安裝安裝DNSDNS服務器服務器阿拉丁計算機國際認證培訓中心 http:/DNSDNS服務器的類型（角色）服務器的類型（角色）主要區(qū)域主要區(qū)域n特定特定DNSDNS區(qū)域的官方服務器，具有唯一性區(qū)域的官方服務器，具有唯一性n負責維護該區(qū)域內(nèi)所有域名負責維護該區(qū)域內(nèi)所有域名-IP-IP地址的映射記錄地址的映射記錄輔助區(qū)域輔助區(qū)域n存放區(qū)域內(nèi)所有主機的數(shù)據(jù)副本存放區(qū)域內(nèi)所有主機的數(shù)據(jù)副本n其維護的其維

6、護的 域名域名-IP-IP地址記錄地址記錄 來源于主域名服務器來源于主域名服務器存根區(qū)域存根區(qū)域n區(qū)域副本，只包含權威系統(tǒng)所需的資源記錄區(qū)域副本，只包含權威系統(tǒng)所需的資源記錄n起始授權機構(gòu)（起始授權機構(gòu)（SOASOA）, ,名稱服務器（名稱服務器（NSNS）, ,粘連粘連A A記錄組成記錄組成阿拉丁計算機國際認證培訓中心 http:/新建正向查找區(qū)域新建正向查找區(qū)域 阿拉丁計算機國際認證培訓中心 http:/主要資源記錄主要資源記錄 資源記錄資源記錄說明說明SOA(SOA(起始授權機構(gòu)起始授權機構(gòu)) ) 定義了該區(qū)域中的哪個名稱服務器是權威名稱服務器定義了該區(qū)域中的哪個名稱服務器是權威名稱服務

7、器 NS(NS(名稱服務器名稱服務器) ) 表示該區(qū)域的權威服務器和表示該區(qū)域的權威服務器和SOASOA中指定的該區(qū)域的主服務中指定的該區(qū)域的主服務器和輔助服務器器和輔助服務器 A(A(主機主機) ) 列出了區(qū)域中列出了區(qū)域中FQDNFQDN到到IPIP地址的映射地址的映射 PTR(PTR(指針指針) ) PTRPTR記錄把記錄把IPIP地址映射到地址映射到FQDN FQDN MXMX郵件交換器記錄，向指定郵件交換主機提供消息路由（郵件交換器記錄，向指定郵件交換主機提供消息路由（在后續(xù)課程使用）在后續(xù)課程使用） SRV(SRV(服務位置服務位置) ) 列出了哪些服務器正在提供特定的服務列出了哪

8、些服務器正在提供特定的服務 區(qū)域文件中包含資源記錄區(qū)域文件中包含資源記錄阿拉丁計算機國際認證培訓中心 http:/新建資源記錄新建資源記錄 新建主機記錄新建主機記錄新建別名新建別名n如果如果還有另外一個名字如還有另外一個名字如n可以在區(qū)域可以在區(qū)域中新建別名記錄中新建別名記錄阿拉丁計算機國際認證培訓中心 http:/轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)器 將本地將本地DNSDNS服務器無法解析的查詢轉(zhuǎn)發(fā)給網(wǎng)絡上的其他服務器無法解析的查詢轉(zhuǎn)發(fā)給網(wǎng)絡上的其他DNS DNS 服務器，該服務器，該 DNS DNS 服務器即被指定為轉(zhuǎn)發(fā)器服務器即被指定為轉(zhuǎn)發(fā)器 轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器的查詢?yōu)檫f歸查詢轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器的查詢?yōu)檫f歸查詢 配置轉(zhuǎn)發(fā)器

9、配置轉(zhuǎn)發(fā)器n假設本地假設本地DNSDNS服務器的服務器的IPIP地址為地址為n轉(zhuǎn)發(fā)器的轉(zhuǎn)發(fā)器的IPIP地址為地址為11n則在本地則在本地DNSDNS服務器上配置服務器上配置 阿拉丁計算機國際認證培訓中心 http:/配置靜態(tài)配置靜態(tài)DNS服務器地址服務器地址阿拉丁計算機國際認證培訓中心 http:/動態(tài)獲得動態(tài)獲得DNS服務器地址服務器地址在在DHCPDHCP服務器上，配置作用域選項服務器上，配置作用域選項阿拉丁計算機國際認證培訓中心 http:/域名解析順序域名解析順序 解析域名順序解析域名順序n本機本機

10、DNSDNS緩存緩存n本機本機HostsHosts文件文件nDNSDNS服務器服務器本機本機DNSDNS緩存緩存nIpconfig /displaydnsIpconfig /displaydnsnIpconfig /flushdnsIpconfig /flushdns本機本機HostsHosts文件文件nHostsHosts文件文件%SystemRoot%system32driversetc%SystemRoot%system32driversetcnHostsHosts文件格式文件格式阿拉丁計算機國際認證培訓中心 http:/域名解析排錯域名解析排錯2-1 2-1 客戶機設置客戶機設置 n檢

11、查客戶機的首選檢查客戶機的首選DNSDNS服務器是否配置服務器是否配置n配置的配置的DNSDNS服務器的服務器的IPIP地址是否正確地址是否正確DNSDNS服務器上的資源記錄服務器上的資源記錄n檢查檢查DNSDNS服務器上有沒有正確的區(qū)域名及要查找的主機記錄服務器上有沒有正確的區(qū)域名及要查找的主機記錄 n使用使用nslookupnslookupDNSDNS服務是否啟動服務是否啟動 阿拉丁計算機國際認證培訓中心 http:/WWWWWW服務服務 WWWWWW服務，即萬維網(wǎng)服務服務，即萬維網(wǎng)服務在網(wǎng)上發(fā)布的，并可以通過瀏覽器觀看的圖形化頁面的服務在網(wǎng)上發(fā)布的，并可以通過瀏覽器觀看的圖形化頁面的服務

12、常用的常用的WWWWWW服務軟件服務軟件n在在WindowsWindows系統(tǒng)中是系統(tǒng)中是IISIIS阿拉丁計算機國際認證培訓中心 http:/IISIIS概述概述組件名稱組件名稱功能功能萬維網(wǎng)（萬維網(wǎng)（WWWWWW）服務）服務使用使用HTTPHTTP協(xié)議向客戶提供信息瀏覽服務協(xié)議向客戶提供信息瀏覽服務文件傳輸協(xié)議（文件傳輸協(xié)議（FTPFTP）服務）服務使用使用FTPFTP協(xié)議向客戶提供上傳和下載文件的服務協(xié)議向客戶提供上傳和下載文件的服務SMTP ServiceSMTP Service簡單郵件傳輸協(xié)議服務，支持電子郵件的傳輸簡單郵件傳輸協(xié)議服務，支持電子郵件的傳輸NNTPNNTP服務服務網(wǎng)絡

13、新聞傳輸協(xié)議服務網(wǎng)絡新聞傳輸協(xié)議服務Internet Internet 信息服務信息服務管理器管理器IISIIS的管理界面的的管理界面的MicrosoftMicrosoft管理控制臺管理單元管理控制臺管理單元InternetInternet打印打印提供基于提供基于WebWeb的打印機管理，并能夠通過的打印機管理，并能夠通過HTTPHTTP打印打印到共享打印機到共享打印機IISIIS主要提供主要提供WWWWWW、 FTPFTP、SMTPSMTP、NNTPNNTP等服務等服務 阿拉丁計算機國際認證培訓中心 http:/安裝安裝IIS 6.0IIS 6.0阿拉丁計算機國際認證培訓中心 http:/配

14、置默認網(wǎng)站配置默認網(wǎng)站 右擊右擊【默認網(wǎng)站默認網(wǎng)站】| |【屬性屬性】 IP地址和默認端口地址和默認端口給被管理的網(wǎng)站起個給被管理的網(wǎng)站起個好記的名稱好記的名稱 連接超時和保持連接超時和保持HTTP連接連接阿拉丁計算機國際認證培訓中心 http:/階段練習階段練習背景背景Jaladingalading公司需要在辦公網(wǎng)絡內(nèi)部配置一個公司需要在辦公網(wǎng)絡內(nèi)部配置一個WebWeb網(wǎng)站網(wǎng)站J員工訪問員工訪問WebWeb網(wǎng)站的方式為網(wǎng)站的方式為http:/Webhttp:/Web服務器的服務器的IPIPJ已知服務器的已知服務器的IPIP為為，網(wǎng)頁的本地路徑是，網(wǎng)

15、頁的本地路徑是c:webrootc:webroot，首，首頁文件名為頁文件名為default.htmdefault.htm目標目標J安裝安裝WWWWWW服務服務J配置默認網(wǎng)站配置默認網(wǎng)站J使用瀏覽器訪問使用瀏覽器訪問WebWeb網(wǎng)站網(wǎng)站阿拉丁計算機國際認證培訓中心 http:/虛擬目錄概念虛擬目錄概念 物理目錄：實際存放在主目錄的子文件夾物理目錄：實際存放在主目錄的子文件夾虛擬目錄：能將一個網(wǎng)站的文件分散存儲在同一計算機的不虛擬目錄：能將一個網(wǎng)站的文件分散存儲在同一計算機的不同路徑和其他計算機中同路徑和其他計算機中使用虛擬目錄的優(yōu)點使用虛擬目錄的優(yōu)點n將數(shù)據(jù)分散保存到不同的磁盤或者計算機上，便

16、于分別開發(fā)與維護將數(shù)據(jù)分散保存到不同的磁盤或者計算機上，便于分別開發(fā)與維護n當數(shù)據(jù)移動到其他物理位置時，不會影響到當數(shù)據(jù)移動到其他物理位置時，不會影響到WebWeb網(wǎng)站的邏輯結(jié)構(gòu)網(wǎng)站的邏輯結(jié)構(gòu) 阿拉丁計算機國際認證培訓中心 http:/創(chuàng)建虛擬目錄創(chuàng)建虛擬目錄 創(chuàng)建完成的虛擬目錄創(chuàng)建完成的虛擬目錄阿拉丁計算機國際認證培訓中心 http:/配置虛擬目錄配置虛擬目錄 右擊右擊【products】| |【屬性屬性】 虛擬目錄的首頁虛擬目錄的首頁 阿拉丁計算機國際認證培訓中心 http:/訪問虛擬目錄訪問虛擬目錄 在瀏覽器地址欄輸入在瀏覽器地址欄輸入“http:/IPhttp:/IP地址地址/ /虛擬

17、目錄名虛擬目錄名” ” 通過在網(wǎng)頁中的鏈接訪問通過在網(wǎng)頁中的鏈接訪問WebWeb網(wǎng)站網(wǎng)站 阿拉丁計算機國際認證培訓中心 http:/什么是什么是FTPFTP文件傳輸協(xié)議（文件傳輸協(xié)議（File Transfer ProtocolFile Transfer Protocol）利用利用FTPFTP可以給用戶提供上傳和下載文件的服務可以給用戶提供上傳和下載文件的服務采用客戶機采用客戶機/ /服務器方式服務器方式 阿拉丁計算機國際認證培訓中心 http:/安裝安裝FTPFTP服務服務阿拉丁計算機國際認證培訓中心 http:/配置默認配置默認FTPFTP站點站點配置的內(nèi)容有配置的內(nèi)容有n FTPFTP站

18、點站點n安全帳戶安全帳戶n消息消息n主目錄主目錄n目錄安全性目錄安全性阿拉丁計算機國際認證培訓中心 http:/FTPFTP站點站點 該站點的說明文字該站點的說明文字 決定了能同時連接決定了能同時連接到服務器的客戶端到服務器的客戶端連接的數(shù)量連接的數(shù)量 可以使用日志文件可以使用日志文件記錄用戶訪問記錄用戶訪問FTP站點的操作站點的操作 阿拉丁計算機國際認證培訓中心 http:/安全帳戶安全帳戶阿拉丁計算機國際認證培訓中心 http:/主目錄主目錄下載權限下載權限 上傳權限上傳權限 記錄用戶操作記錄用戶操作 阿拉丁計算機國際認證培訓中心 http:/目錄安全性目錄安全性阿拉丁計算機國際認證培訓中

19、心 http:/FTPFTP訪問方式訪問方式1.WEB1.WEB瀏覽器瀏覽器nftp:/ipftp:/ipnftp:/user:passwordipftp:/user:passwordip2.FTP2.FTP軟件軟件3.3.命令行命令行n ftp ipftp ip阿拉丁計算機國際認證培訓中心 http:/什么是郵件系統(tǒng)什么是郵件系統(tǒng)n一種能夠書寫、發(fā)送、存儲和接收信件的電子通信系統(tǒng)一種能夠書寫、發(fā)送、存儲和接收信件的電子通信系統(tǒng) n郵件系統(tǒng)一般分為郵件系統(tǒng)一般分為2 2個組成部分個組成部分q郵件用戶代理（郵件用戶代理（MUAMUA）q郵件傳輸代理（郵件傳輸代理（MTAMTA）發(fā)信人收信人乙地郵

20、局甲地郵局MUAMUAMTAMTA郵件系統(tǒng)概述郵件系統(tǒng)概述阿拉丁計算機國際認證培訓中心 http:/常見的郵件協(xié)議常見的郵件協(xié)議協(xié)協(xié) 議議中文名稱中文名稱協(xié)議內(nèi)容協(xié)議內(nèi)容RFC 822RFC 822RFC 822RFC 822郵件格式郵件格式RFC 822RFC 822定義了用于電子郵件報文的格式定義了用于電子郵件報文的格式SMTPSMTP簡單郵件傳輸協(xié)議簡單郵件傳輸協(xié)議SMTPSMTP是是InternetInternet上傳輸電子郵件的標準協(xié)議，上傳輸電子郵件的標準協(xié)議，用于提交和傳輸電子郵件用于提交和傳輸電子郵件POP3POP3郵局協(xié)議第郵局協(xié)議第3 3版版POP3POP3是一種離線郵件協(xié)

21、議，采用客戶端是一種離線郵件協(xié)議，采用客戶端/ /服務器服務器工作模式工作模式IMAP4IMAP4網(wǎng)際消息訪問協(xié)議第網(wǎng)際消息訪問協(xié)議第4 4版版IMAP4IMAP4允許用戶使用多臺計算機上的郵件客戶端允許用戶使用多臺計算機上的郵件客戶端同時訪問郵件服務器上的郵箱同時訪問郵件服務器上的郵箱MIMEMIME多用途的網(wǎng)際郵件擴展多用途的網(wǎng)際郵件擴展MIMEMIME增強了在增強了在RFC 822RFC 822中定義的電子郵件報文的中定義的電子郵件報文的交換能力，允許傳輸二進制數(shù)據(jù)交換能力，允許傳輸二進制數(shù)據(jù)阿拉丁計算機國際認證培訓中心 http:/常見的郵件系統(tǒng)常見的郵件系統(tǒng)郵件服務器產(chǎn)品郵件服務器產(chǎn)

22、品生產(chǎn)廠商生產(chǎn)廠商應用范圍應用范圍應用實例應用實例ExchangeExchange企業(yè)企業(yè)SendmailSendmailQmailQmailPostfixPostfixISPISPLotus NotesLotus Notes政府機關政府機關阿拉丁計算機國際認證培訓中心 http:/規(guī)劃郵件系統(tǒng)規(guī)劃郵件系統(tǒng)2-12-1規(guī)劃活動目錄規(guī)劃活動目錄n決定如何擴展活動目錄架構(gòu)信息決定如何擴展活動目錄架構(gòu)信息n確定確定ExchangeExchange組織的管理員組織的管理員n確定各個部門公用文件夾的管理權限確定各個部門公用文件夾的管理權限 規(guī)劃部署途徑規(guī)劃部署途徑n全新安裝全新安裝n升級安裝升級安裝阿拉

23、丁計算機國際認證培訓中心 http:/Exchange 2003Exchange 2003安裝安裝 安裝要求安裝要求準備工作準備工作安裝安裝Exchange 2003Exchange 2003更新安全補丁更新安全補丁阿拉丁計算機國際認證培訓中心 http:/Exchange 2003Exchange 2003安裝要求安裝要求硬件要求硬件要求nIntel X86 133MHzIntel X86 133MHz以上以上CPUCPUn最低最低128MB128MB內(nèi)存內(nèi)存n500MB500MB以上可用磁盤空間以上可用磁盤空間操作系統(tǒng)要求操作系統(tǒng)要求nWindows 2000 SP3 or SP4Wind

24、ows 2000 SP3 or SP4nWindows 2003Windows 2003文件系統(tǒng)要求文件系統(tǒng)要求nNTFSNTFS阿拉丁計算機國際認證培訓中心 http:/使用使用ExchangeExchange部署工具部署工具3-13-1 啟動啟動ExchangeExchange部署工具部署工具 通過通過Exchange部署工具完成部署工具完成Exchange安裝安裝阿拉丁計算機國際認證培訓中心 http:/使用使用ExchangeExchange部署工具部署工具3-23-2 選擇選擇ExchangeExchange安裝過程安裝過程 選擇選擇“部署第一臺部署第一臺Exchange 2003服

25、務器服務器”阿拉丁計算機國際認證培訓中心 http:/使用使用ExchangeExchange部署工具部署工具3-33-3 選擇安裝環(huán)境選擇安裝環(huán)境 選擇安裝全新的選擇安裝全新的Exchange 2003阿拉丁計算機國際認證培訓中心 http:/安裝安裝ExchangeExchange 操作系統(tǒng)要求確認操作系統(tǒng)要求確認安裝并啟用安裝并啟用WindowsWindows服務服務安裝安裝WindowsWindows支持工具支持工具運行運行DCDiag DCDiag 運行運行NETDiag NETDiag 運行運行ForestPrepForestPrep（林準備）（林準備）運行運行DomainPrepDomainPrep（域準備）（域準備）運行運行Exchange 2003Exchange 2003安裝安裝阿拉丁計算機國際認證培訓中心 http:/使用使用ExchangeExchange客戶端訪問郵件服務客戶端訪問郵件服務OutlookOutlook（OLOL）Outlook ExpressOutlook Express（OEOE）Outlook Web AccessOutlook Web Access（OWAOWA）阿拉丁計算機國際認證培訓中心 htt