《網(wǎng)絡(luò)安全實(shí)用教程》配套PPT(人民郵電出版)ch4

第4章

網(wǎng)絡(luò)硬件設(shè)備安全本章有五小節(jié)：4.1網(wǎng)絡(luò)硬件系統(tǒng)的冗余4.2網(wǎng)絡(luò)機(jī)房設(shè)施與環(huán)境安全4.3路由器安全4.4交換機(jī)安全4.5服務(wù)器和客戶機(jī)安全4．1網(wǎng)絡(luò)硬件系統(tǒng)的冗余4.1.1網(wǎng)絡(luò)系統(tǒng)的冗余系統(tǒng)冗余就是重復(fù)配置系統(tǒng)的一些部件。當(dāng)系統(tǒng)某些部件發(fā)生故障時(shí)，冗余配置的其它部件介入并承擔(dān)故障部件的工作，由此提高系統(tǒng)的可靠性。也就是說(shuō)，冗余是將相同的功能設(shè)計(jì)在兩個(gè)或兩個(gè)以上設(shè)備中，如果一個(gè)設(shè)備有問(wèn)題，另外一個(gè)設(shè)備就會(huì)自動(dòng)承擔(dān)起正常工作。冗余技術(shù)又稱儲(chǔ)備技術(shù)，它是利用系統(tǒng)的并聯(lián)模型來(lái)提高系統(tǒng)可靠性的一種手段。采用“冗余技術(shù)”是實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)容錯(cuò)的主要手段。4.1.2網(wǎng)絡(luò)設(shè)備的冗余網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備有網(wǎng)絡(luò)服務(wù)器、核心交換機(jī)、存儲(chǔ)設(shè)備、供電設(shè)備以及網(wǎng)絡(luò)邊界設(shè)備(如路由器、防火墻)等。為保證網(wǎng)絡(luò)系統(tǒng)能正常運(yùn)行和提供正常的服務(wù)，在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)要充分考慮主要設(shè)備的部件或設(shè)備的冗余。1．網(wǎng)絡(luò)設(shè)備的冗余類(lèi)型網(wǎng)絡(luò)服務(wù)器系統(tǒng)冗余核心交換機(jī)冗余供電系統(tǒng)的冗余鏈接冗余網(wǎng)絡(luò)邊界設(shè)備冗余空閑備件4.1.3交換機(jī)端口匯聚與鏡像1．交換機(jī)端口匯聚(1)端口匯聚的概念端口聚合也叫以太通道(ethernetchannel)，主要用于交換機(jī)之間的連接。利用端口匯聚技術(shù)，交換機(jī)會(huì)把一組物理端口聯(lián)合起來(lái)，做為一個(gè)邏輯通道。這時(shí)，交換機(jī)會(huì)認(rèn)為這個(gè)邏輯通道為一個(gè)端口。(2)交換機(jī)端口匯聚技術(shù)的實(shí)現(xiàn)(以H3C交換機(jī)為例)

2．交換機(jī)端口鏡像(1)基于交換機(jī)端口的鏡像配置(2)基于三層流的鏡像配置(3)基于二層流的鏡像配置4.2網(wǎng)絡(luò)機(jī)房設(shè)施與環(huán)境安全保證網(wǎng)絡(luò)機(jī)房的實(shí)體環(huán)境(即硬件和軟件環(huán)境)安全是網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要保證。因此，網(wǎng)絡(luò)管理部門(mén)必須加強(qiáng)對(duì)機(jī)房環(huán)境的保護(hù)和管理，以確保網(wǎng)絡(luò)系統(tǒng)的安全。只有保障機(jī)房的安全可靠，才能保證網(wǎng)絡(luò)系統(tǒng)的日常業(yè)務(wù)工作正常進(jìn)行。計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房的設(shè)施與環(huán)境安全包括機(jī)房場(chǎng)地的安全，機(jī)房的溫度、濕度和清潔度控制，機(jī)房?jī)?nèi)部的管理與維護(hù)，機(jī)房的電源保護(hù)，機(jī)房的防火、防水、防電磁干擾、防靜電、防電磁輻射等。4.2.1機(jī)房的安全保護(hù)1．機(jī)房場(chǎng)地的安全與內(nèi)部管理2．機(jī)房的環(huán)境設(shè)備監(jiān)控3．機(jī)房的溫度、濕度和潔凈度4．機(jī)房的電源保護(hù)5．機(jī)房的防火和防水4.2.2機(jī)房的靜電和電磁防護(hù)1．機(jī)房的靜電防護(hù):機(jī)房采取的防靜電措施有：機(jī)房建設(shè)時(shí)，在機(jī)房地面鋪設(shè)防靜電地板。工作人員在工作時(shí)穿戴防靜電衣服和鞋帽。工作人員在拆裝和檢修機(jī)器時(shí)應(yīng)在手腕上戴防靜電手環(huán)(該手環(huán)可通過(guò)柔軟的接地導(dǎo)線放電)。保持機(jī)房?jī)?nèi)相應(yīng)的溫度和濕度。2．機(jī)房的電磁干擾防護(hù)電磁干擾主要來(lái)自計(jì)算機(jī)系統(tǒng)外部。系統(tǒng)外部的電磁干擾主要來(lái)自無(wú)線電廣播天線、雷達(dá)天線、工業(yè)電氣設(shè)備、高壓電力線和變電設(shè)備，以及大自然中的雷擊和閃電等。另外，系統(tǒng)本身的各種電子組件和導(dǎo)線通過(guò)電流時(shí)，也會(huì)產(chǎn)生不同程度的電磁干擾，這種影響可在機(jī)器制作時(shí)采用相應(yīng)工藝降低和解決。通?？刹扇C(jī)房選擇在遠(yuǎn)離電磁干擾源的地方、建造機(jī)房時(shí)采用接地和屏蔽等措施防止和減少電磁干擾的影響。3．機(jī)房的電磁輻射防護(hù)電磁輻射會(huì)產(chǎn)生兩種不利因素：一是由電子設(shè)備輻射出的電磁波通過(guò)電路耦合到其它電子設(shè)備中形成電磁波干擾，或通過(guò)連接的導(dǎo)線、電源線、信號(hào)線等耦合而引起相互間的干擾，當(dāng)這些電磁干擾達(dá)到一定程度時(shí)，就會(huì)影響設(shè)備的正常工作；二是這些輻射出的電磁波本身攜帶有用信號(hào)，如這些輻射信號(hào)被截收，再經(jīng)過(guò)提取、處理等過(guò)程即可恢復(fù)出原信息，造成信息泄露。通常，可采取抑源法、屏蔽法和噪聲干擾法措施防止電磁輻射。抑源法是從降低電磁輻射源的發(fā)射強(qiáng)度出發(fā)，對(duì)計(jì)算機(jī)設(shè)備內(nèi)部產(chǎn)生和運(yùn)行串行數(shù)據(jù)信息的部件、線路和區(qū)域采取電磁輻射抑制措施和傳導(dǎo)發(fā)射濾波措施，并視需要在此基礎(chǔ)上對(duì)整機(jī)采取整體電磁屏蔽措施，減小全部或部分頻段信號(hào)的傳導(dǎo)和輻射。4．3路由器安全4.3.1路由協(xié)議與訪問(wèn)控制1．靜態(tài)路由的配置定義目標(biāo)網(wǎng)絡(luò)號(hào)、目標(biāo)網(wǎng)絡(luò)的子網(wǎng)掩碼和下一跳地址或接口：

iproute{nexthop-address|exit-interface}[distance]默認(rèn)路由的配置：

iproute{nexthop-address|exit-interface}[distance]

2．動(dòng)態(tài)路由算法RIP的配置RIP(v1版)的配置：Router(config)#routerripRouter(config-router)#networkxxxx.xxxx.xxxx.xxxxRIP(v2版)的配置：Router(config)#routerripRouter(config-router)#version2Router(config-router)#noauto-sunnmaryRouter(config-router)#networkXXXX.XXXX.XXXX.XXXX3．訪問(wèn)控制列表配置

訪問(wèn)控制列表(ACL)提供了一種機(jī)制，可以控制和過(guò)濾通過(guò)路由器的不同接口去往不同方向的信息流。這種機(jī)制允許用戶使用ACL來(lái)管理信息流，以制定公司內(nèi)部網(wǎng)的相關(guān)策略。如網(wǎng)絡(luò)管理員可以通過(guò)配置ACL來(lái)實(shí)現(xiàn)允許用戶訪問(wèn)Internet，但不允許外部用戶通過(guò)Telnet進(jìn)入本地局域網(wǎng)。配置路由器的ACL是一件經(jīng)常性的工作，通過(guò)配置ACL，可以使路由器提供基本的流量過(guò)濾能力。ACL是一個(gè)連續(xù)的允許和拒絕語(yǔ)句的集合，關(guān)系到地址或上層協(xié)議。ACL在網(wǎng)絡(luò)中可實(shí)現(xiàn)多種功能，包括內(nèi)部過(guò)濾分組、保護(hù)內(nèi)部網(wǎng)絡(luò)免受來(lái)自Internet的非法入侵和限制對(duì)虛擬終端端口的訪問(wèn)。(1)基本ACL一個(gè)ACL是由permit|deny語(yǔ)句組成的一系列的規(guī)則列表。在配置ACL規(guī)則前，首先需要?jiǎng)?chuàng)建一個(gè)ACL。使用如下命令可創(chuàng)建ACL：aclnumberacl-number[match-order{config|auto}]使用如下命令可刪除一個(gè)或所有的ACL：undoacl{numberacl-number|all}參數(shù)numberacl-number定義一個(gè)數(shù)字型的ACL。acl-number是訪問(wèn)控制規(guī)則序號(hào)(其值1000～1999是基于接口的ACL，2000～2999是基本的數(shù)字型ACL，3000～3999是高級(jí)數(shù)字型ACL，4000～4999是基于MAC地址的ACL)。match-orderconfig是指定匹配該規(guī)則時(shí)用戶的配置順序；match-orderauto是指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序，即按“深度優(yōu)先”的順序?；続CL命令的命令格式為：rule[rule-id]{permit|deny|commenttext}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]可以通過(guò)在rule命令前加undo的形式，清除一個(gè)已經(jīng)建立的基本ACL，其語(yǔ)法格式為：undorulerule-id[commenttext][source][time-range][logging][fragment][vpn-instancevpn-instance-name]對(duì)已經(jīng)存在的ACL規(guī)則，如果采用指定ACL規(guī)則編號(hào)的方式進(jìn)行編輯，沒(méi)有配置的部分是不受影響的。例如：先配置了一個(gè)ACL規(guī)則(rule1denysource0)，再對(duì)這個(gè)ACL規(guī)則進(jìn)行編輯(rule1denylogging)，此時(shí)ACL規(guī)則變成為：rule1denysource0logging。(2)基本ACL的配置應(yīng)用實(shí)例①在系統(tǒng)視圖下可實(shí)現(xiàn)的配置：aclnumber2000rule10deny#拒絕IP地址為的主機(jī)的訪問(wèn)rule20permit55#允許從子網(wǎng)來(lái)的任何主機(jī)的訪問(wèn)rule30deny.55#拒絕從網(wǎng)絡(luò)來(lái)的任何主機(jī)的訪問(wèn)rule40permit55#允許來(lái)自172網(wǎng)段的任何主機(jī)的訪問(wèn)②firewallpacket-filter命令應(yīng)用firewallpacket-filter命令可把某個(gè)現(xiàn)有的ACL與某個(gè)接口聯(lián)系起來(lái)。配置時(shí)必須先進(jìn)入到目的接口(如S0/0)的接口配置模式。命令格式如下：firewallpacket-filteracl-number{inbound|outbound}[match-fragments{normally|exactly}]參數(shù)acl-number是ACL的序號(hào)，inbound表示過(guò)濾從接口收上來(lái)的數(shù)據(jù)包，outbound表示過(guò)濾從接口轉(zhuǎn)發(fā)的數(shù)據(jù)包，match-fragments指定分片的匹配模式(只有高級(jí)ACL有此參數(shù))，normally是標(biāo)準(zhǔn)匹配模式(缺省模式)，exactly是精確匹配模式。在實(shí)際配置基本ACL時(shí)，可以應(yīng)用基本ACL允許或禁止特定的通信流量，然后測(cè)試該ACL是否達(dá)到預(yù)期結(jié)果。(3)高級(jí)ACL的配置高級(jí)ACL比基本ACL使用更廣泛，因?yàn)樗峁┝烁蟮膹椥院涂刂品秶?。高?jí)ACL既可檢查分組的源地址和目的地址，也可檢查協(xié)議類(lèi)型和TCP/UDP的端口號(hào)。高級(jí)ACL可以基于分組的源地址、目的地址、協(xié)議類(lèi)型、端口地址和應(yīng)用來(lái)決定訪問(wèn)是被允許還是拒絕。高級(jí)ACL可以在拒絕文件傳輸和網(wǎng)頁(yè)瀏覽的同時(shí)，允許從E0/0的E-mail通信流量抵達(dá)目的地S0/0。一旦分組被丟棄，某些協(xié)議將返回一個(gè)回應(yīng)分組到源發(fā)送端，以表明目的不可達(dá)。高級(jí)ACL命令的完整語(yǔ)法為：rule[rule-id]{permit|deny|commenttext}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]刪除高級(jí)ACL命令的完整語(yǔ)法為：undorulerule-id[commenttext][source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]一個(gè)簡(jiǎn)單的高級(jí)ACL配置實(shí)例如下：rule10permittcp.55anyeqtelnetrule20permittcp.55anyeqftprule30permittcp.55anyeqftp-datarule40denyanyany第1條判斷語(yǔ)句設(shè)置允許/24網(wǎng)絡(luò)使用TCP協(xié)議訪問(wèn)外部網(wǎng)的TELNET服務(wù)。第2條判斷語(yǔ)句設(shè)置允許/24網(wǎng)絡(luò)使用TCP協(xié)議訪問(wèn)外部網(wǎng)的FTP服務(wù)。第3條判斷語(yǔ)句設(shè)置允許/24網(wǎng)絡(luò)使用TCP協(xié)議訪問(wèn)外部網(wǎng)的FTP數(shù)據(jù)服務(wù)。第4條判斷語(yǔ)句設(shè)置拒絕滿足前面三條ACL要求的其他網(wǎng)絡(luò)服務(wù)。4．NAT技術(shù)

隨著Internet的迅速發(fā)展，IP地址短缺及路由規(guī)模越來(lái)越大已成為相當(dāng)嚴(yán)重的問(wèn)題。為了解決這個(gè)問(wèn)題，出現(xiàn)了多種解決方案。一種在目前網(wǎng)絡(luò)環(huán)境中比較有效的方法是使用地址轉(zhuǎn)換(NAT)技術(shù)。地址轉(zhuǎn)換是指在一個(gè)組織的網(wǎng)絡(luò)內(nèi)部，可以根據(jù)需要自定義自己的IP地址(假I(mǎi)P地址)。本組織內(nèi)部的各計(jì)算機(jī)間通過(guò)假I(mǎi)P地址進(jìn)行通信，當(dāng)組織內(nèi)部的計(jì)算機(jī)要與外部的Internet通信時(shí)，具有NAT功能的設(shè)備負(fù)責(zé)將其假I(mǎi)P地址轉(zhuǎn)換為真IP地址。圖顯示了地址轉(zhuǎn)換的基本過(guò)程。(1)NAT技術(shù)的應(yīng)用①連接Internet，但不使網(wǎng)內(nèi)所有的計(jì)算機(jī)都擁有真正的IP地址。通過(guò)NAT功能，可以對(duì)申請(qǐng)的合法的IP地址進(jìn)行統(tǒng)一管理，當(dāng)內(nèi)部計(jì)算機(jī)需要連接Internet時(shí)，動(dòng)態(tài)或靜態(tài)地將假的IP地址轉(zhuǎn)換為合法IP地址。②不使外部網(wǎng)絡(luò)用戶知道網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)?？赏ㄟ^(guò)NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開(kāi)。這樣外部用戶根本不知道網(wǎng)絡(luò)內(nèi)部假I(mǎi)P地址，可有效的保障內(nèi)部服務(wù)器的安全。③實(shí)現(xiàn)多個(gè)用戶同時(shí)公用一個(gè)合法IP地址與外部Internet通信設(shè)置NAT功能的路由器至少要有一個(gè)內(nèi)部端口和一個(gè)外部端口。內(nèi)部端口連接網(wǎng)絡(luò)內(nèi)的用戶，使用的是假I(mǎi)P地址，且內(nèi)部端口可以為路由器的任意端口。外部端口連接的是外部的公用網(wǎng)絡(luò)(如Internet)，外部端口可以為路由器上的任意端口。(2)NAT地址轉(zhuǎn)換實(shí)例在圖中，用出接口地址做EasyNAT，完成將/24內(nèi)部網(wǎng)絡(luò)接入Internet，在出口地址進(jìn)行地址轉(zhuǎn)換，隱藏內(nèi)部網(wǎng)主機(jī)地址，有效保障內(nèi)部網(wǎng)主機(jī)的安全。4.3.2虛擬路由器冗余協(xié)議(VRRP)1．VRRP協(xié)議概述VRRP(VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議)是一種選擇性協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上VRRP路由器?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到虛擬IP地址上。一旦主路由器不可用，這種選擇過(guò)程就提供動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制，允許虛擬路由器的IP地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用VRRP的優(yōu)點(diǎn)是有更高默認(rèn)路徑的可用性而無(wú)需在每個(gè)終端主機(jī)上配置動(dòng)態(tài)路由或路由發(fā)現(xiàn)協(xié)議2．VRRP協(xié)議原理通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由(如圖4.7所示，)，這樣主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過(guò)缺省路由發(fā)往路由器RouterA，從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時(shí)，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。VRRP是一種容錯(cuò)協(xié)議，它是為解決上述問(wèn)題而提出的，如圖4.8所示。VRRP將局域網(wǎng)的一組路由器(包括一個(gè)Master路由器和若干個(gè)Backup路由器)組織成一個(gè)虛擬路由器，稱為一個(gè)備份組。該虛擬路由器擁有自己的IP地址(該IP地址可以和備份組內(nèi)的某路由器接口地址相同)，備份組內(nèi)的路由器也有自己的IP地址(如Master的IP地址為，Backup的IP地址為)。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址，而不知道具體的Master路由器的IP地址

和Backup路由器的IP地址，它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過(guò)該虛擬的路由器與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的Master路由器出現(xiàn)故障，Backup路由器將會(huì)通過(guò)選舉策略選出一個(gè)新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。4．4交換機(jī)安全4.4.1控制對(duì)交換機(jī)的訪問(wèn)1．網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理概述Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。終端客戶可以在telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣。終端客戶使用telnet程序連接到服務(wù)器，可以在本地就能控制服務(wù)器。要開(kāi)始一個(gè)telnet會(huì)話，必須輸入用戶名和密碼來(lái)登錄服務(wù)器2．交換機(jī)遠(yuǎn)程TELNET管理配置實(shí)例4.4.2交換機(jī)安全配置實(shí)例1．基于源IP地址的訪問(wèn)控制在交換機(jī)(以銳捷交換機(jī)為實(shí)驗(yàn)設(shè)備，下同)上設(shè)置基于源IP地址的ACL，只允許指定源IP訪問(wèn)網(wǎng)絡(luò)，而禁止其他IP訪問(wèn)網(wǎng)絡(luò)。2．基于目的IP地址的ACL配置在交換機(jī)上設(shè)置基于目的IP地址的ACL，只允許主機(jī)訪問(wèn)指定目的IP地址的主機(jī)，而禁止訪問(wèn)其他主機(jī)。3．基于TCP/UDP協(xié)議的ACL配置

在交換機(jī)上設(shè)置基于TCP/UDP協(xié)議的ACL，只允許通過(guò)指定的協(xié)議及指定的端口訪問(wèn)主機(jī)或網(wǎng)絡(luò)。實(shí)驗(yàn)拓?fù)洵h(huán)境同圖4.12，在PC2上運(yùn)行WWW和MAIL服務(wù)軟件，使PC2能夠提供WWW和MAIL服務(wù)。在交換機(jī)上設(shè)置基于TCP協(xié)議的ACL，禁止PC1訪問(wèn)PC2的MAIL服務(wù)，但允許PC1訪問(wèn)PC2上的WWW網(wǎng)頁(yè)4．基于MAC地址的ACL配置

在交換機(jī)上設(shè)置基于MAC地址的ACL，只允許指定MAC地址的主機(jī)訪問(wèn)網(wǎng)絡(luò)，而禁止其他MAC地址的主機(jī)訪問(wèn)網(wǎng)絡(luò)。

5．基于時(shí)間的ACL配置在交換機(jī)上設(shè)置基于時(shí)間的ACL，只允許指定時(shí)間段內(nèi)訪問(wèn)網(wǎng)絡(luò)，而禁止其他時(shí)間訪問(wèn)網(wǎng)絡(luò)。4．5服務(wù)器與客戶機(jī)安全4.5.1服務(wù)器安全與設(shè)置實(shí)例網(wǎng)絡(luò)服務(wù)器(硬件)是一種高性能計(jì)算機(jī)，再配以相應(yīng)的服務(wù)器軟件系統(tǒng)(如操作系統(tǒng))就構(gòu)成了網(wǎng)絡(luò)服務(wù)器系統(tǒng)。網(wǎng)絡(luò)服務(wù)器系統(tǒng)的數(shù)據(jù)存儲(chǔ)和處理能力均很強(qiáng)，是網(wǎng)絡(luò)系統(tǒng)的靈魂。在基于服務(wù)器的網(wǎng)絡(luò)中，網(wǎng)絡(luò)服務(wù)器擔(dān)負(fù)著向客戶機(jī)提供信息數(shù)據(jù)、網(wǎng)絡(luò)存儲(chǔ)、科學(xué)計(jì)算和打印等共享資源和服務(wù)，并負(fù)責(zé)協(xié)調(diào)管理這些資源。按照不同的用途，網(wǎng)絡(luò)服務(wù)器可分為文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Internet/Intranet通用服務(wù)器、應(yīng)用服務(wù)器等；Internet上的應(yīng)用服務(wù)器有HDCP服務(wù)器、Web服務(wù)器、FTP服務(wù)器、DNS服務(wù)器和STMP服務(wù)器等。上述服務(wù)器主要用于完成一般網(wǎng)絡(luò)和Internet上的不同功能。下面主要介紹Web服務(wù)器配置、DNS服務(wù)器配置和路由器的安全配置內(nèi)容。1．Web服務(wù)器的配置與站點(diǎn)管理(1)安裝IIS(2)Web服務(wù)器的配置(3)Web站點(diǎn)的管理2．DNS服務(wù)器的安裝與配置(1)DN