畢業(yè)設(shè)計(jì)（論文）-網(wǎng)絡(luò)服務(wù)器管理安全研究

PAGEPAGE21目錄TOC\o"2-3"\h\z\t"標(biāo)題1,1,樣式6,2,樣式3,1,標(biāo)題,1"一．網(wǎng)絡(luò)服務(wù)器分析 51.網(wǎng)絡(luò)服務(wù)器存在的意義 52．網(wǎng)絡(luò)服務(wù)器的需求 73．網(wǎng)絡(luò)服務(wù)器的安全和隱患 8二．企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案 81．網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 81.1中小型企業(yè)網(wǎng)的主要功能: 91.2中小型企業(yè)網(wǎng)設(shè)計(jì)原則: 9三．DNS服務(wù)器配置 91.DNS的組成 102.DNS服務(wù)器的工作原理 103.DNS服務(wù)器的基本配置 104.測(cè)試DNS服務(wù)器 13四．DHCP服務(wù)器的配置 131.DHCP服務(wù)器的工作原理 132.DHCP服務(wù)器的測(cè)試 142.1DHCP服務(wù)器配置 14五．FTP服務(wù)器 181.FTP服務(wù)器介紹 18FTP的傳輸有兩種方式：ASCII傳輸模式和二進(jìn)制數(shù)據(jù)傳輸模式。 181.1FTP服務(wù)器配置 181.2FTP服務(wù)器虛擬用戶的設(shè)置 181.3測(cè)試FTP服務(wù)器 19六．防火墻 201.防火墻的定義 202.為什么使用防火墻 203.防火墻的類型 204.防火墻的功能 215.防火墻測(cè)試 21 防火墻的配置 23 防火墻測(cè)試 23參考文獻(xiàn) 24摘要在信息化程度的提高，企業(yè)對(duì)于信息處理的手段日益先進(jìn)，企業(yè)運(yùn)作的效率也日益提高，同時(shí)，企業(yè)對(duì)其電子化的信息系統(tǒng)的依賴程度也越來(lái)越高。但是由于大多數(shù)企業(yè)都把網(wǎng)絡(luò)建立在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)上，而該架構(gòu)又缺乏對(duì)于諸多安全問(wèn)題的考慮，加之人們對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不足、管理松散、專業(yè)安全技術(shù)人員匱乏、網(wǎng)絡(luò)安全設(shè)施投資缺乏、安全制度不完善等因素，使得網(wǎng)絡(luò)信息的安全風(fēng)險(xiǎn)日益加劇。因此，企業(yè)網(wǎng)絡(luò)服務(wù)器的安全基礎(chǔ)設(shè)施的建設(shè)已經(jīng)成為刻不容緩的重要課題。

本文論述一種適合于中小企業(yè)、基于Linux操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)器構(gòu)建，以及系統(tǒng)管理的設(shè)計(jì)與開(kāi)發(fā)。詳細(xì)介紹了局域網(wǎng)的設(shè)計(jì)規(guī)劃方案、網(wǎng)絡(luò)服務(wù)器的部署以及服務(wù)器的配置與管理。例如常用到的網(wǎng)絡(luò)服務(wù)有DNS域名解析、DHCP動(dòng)態(tài)主機(jī)配置、Ftp服務(wù)器、VPN服務(wù)器以及防火墻技術(shù)等。簡(jiǎn)單介紹了當(dāng)今比較流行的Windows2003網(wǎng)絡(luò)操作系統(tǒng)各自的特點(diǎn)。在可行性研究和需求分析的基礎(chǔ)上，對(duì)系統(tǒng)的設(shè)計(jì)方案、功能模塊、網(wǎng)絡(luò)硬件、網(wǎng)絡(luò)服務(wù)功能設(shè)計(jì)和安全設(shè)計(jì)等進(jìn)行了較詳細(xì)的論述。Improvementinthelevelofinformationtechnology,enterpriseinformationprocessingtoolsformoreadvancedandefficientoperationofenterprisesisalsoincreasingatthesametime,businessesoftheirelectronicinformationsystemsareincreasinglydependentonhigh.However,becausemostbusinessesregardthenetworkbuiltonthetraditionalnetworkarchitecture,andthestructureofthelackofconsiderationforthemanysecurityissues,combinedwithpeople'slackofknowledgeofnetworksecurity,management,loose,lackofprofessionalandtechnicalpersonnelsecurity,networksecurity,lackofinfrastructureinvestmentSecuritysystemisimperfectandotherfactors,makesthenetworkinformationsecurityriskisincreasing.Therefore,thecorporatenetworkserversecurityinfrastructurehasbecomeanimportantissuewithoutdelay.

Thispaperdiscussesasuitablesmallandmediumenterprises,basedontheLinuxoperatingsystem,webserverconstruction,andsystemmanagement,designanddevelopment.Describedindetailthedesignoflocalareanetworkplanning,networkserversdeploymentandserverconfigurationandmanagement.Forexample,thenetworkservicesusedtotheDNSnameresolution,DHCPDynamicHostConfiguration,Ftpserver,VPNserverandfirewalltechnology.Abriefintroductionoftoday'spopularnetworkoperatingsystemsWindows2003respectivecharacteristics.Inthefeasibilitystudyandneedsanalysis,basedonthesystemdesign,functionmodules,networkhardware,networkservicessuchasdesignandsecuritydesignforamoredetailedexposition.一．網(wǎng)絡(luò)服務(wù)器分析1.網(wǎng)絡(luò)服務(wù)器存在的意義創(chuàng)建一個(gè)穩(wěn)定、可靠的服務(wù)是一個(gè)系統(tǒng)管理員的重要工作。在進(jìn)行這項(xiàng)工作時(shí)系統(tǒng)管理員必須考慮許多基本要素，其中最重要的就是在設(shè)計(jì)和開(kāi)發(fā)的各個(gè)階段都要考慮到用戶的需求。要和用戶進(jìn)行交流，去發(fā)現(xiàn)用戶對(duì)服務(wù)的要求和預(yù)期，然后把其它的要求如管理要求等列一個(gè)清單，這樣的清單只能讓系統(tǒng)管理員團(tuán)隊(duì)的人看到。服務(wù)應(yīng)該建立在服務(wù)器級(jí)的機(jī)器上而且機(jī)器應(yīng)該放在合適的環(huán)境中，作為服務(wù)器的機(jī)器應(yīng)當(dāng)具備適當(dāng)?shù)目煽啃?。服?wù)和服務(wù)所依賴的機(jī)器應(yīng)該受到監(jiān)控，一旦發(fā)生故障就發(fā)出警報(bào)或產(chǎn)生故障記錄清單。作為服務(wù)一部分的機(jī)器和軟件應(yīng)當(dāng)依賴那些建立在相同或更高標(biāo)準(zhǔn)上的主機(jī)和軟件，一個(gè)服務(wù)的可靠性和它所依賴的服務(wù)鏈中最薄弱環(huán)節(jié)的可靠性是相當(dāng)?shù)?。一個(gè)服務(wù)不應(yīng)該無(wú)故的去依賴那些不是服務(wù)一部分的主機(jī)。一旦服務(wù)建好并完成了測(cè)試，就要逐漸轉(zhuǎn)到用戶的角度來(lái)進(jìn)行進(jìn)一步的測(cè)試和調(diào)試。1用戶的要求建立一個(gè)新服務(wù)應(yīng)該從用戶的要求開(kāi)始，用戶才是你建立服務(wù)的根本原因。如果建立的服務(wù)不合乎用戶的需要，那就是在浪費(fèi)精力。搜集用戶的需求應(yīng)該包括下面這些內(nèi)容：他們想怎樣使用這些新服務(wù)、需要哪些功能、喜歡哪些功能、這些服務(wù)對(duì)他們有多重要，以及對(duì)于這些服務(wù)他們需要什么級(jí)別的可用性和技術(shù)支持。如果可能的話，讓用戶試用一下服務(wù)的試用版本。不要讓用戶使用那些很麻煩或是不成功的系統(tǒng)和項(xiàng)目。盡量計(jì)算出使用這個(gè)服務(wù)的用戶群有多大以及他們需要和希望獲得什么樣的性能，這樣才能正確的計(jì)算。2操作上的要求對(duì)于系統(tǒng)管理員來(lái)說(shuō)，新服務(wù)的有些要求不是用戶直接可見(jiàn)的。比如系統(tǒng)管理員要考慮到新服務(wù)的管理界面、是否可以與已有的服務(wù)協(xié)同操作，以及新服務(wù)是否能與核心服務(wù)如認(rèn)證服務(wù)和目錄服務(wù)等集成到一起。從用戶期望的可靠性水平以及系統(tǒng)管理員們對(duì)系統(tǒng)將來(lái)要求的可靠性的預(yù)期，系統(tǒng)管理員們就能建立一個(gè)用戶期望的功能列表，其內(nèi)容包括群集、從屬設(shè)備、備份服務(wù)器或具有高可用性的硬件和操作系統(tǒng)。3開(kāi)放的體系結(jié)構(gòu)有時(shí)銷售商使用私有協(xié)議就是為了和別的銷售商達(dá)成明確的許可協(xié)議，但是會(huì)在一個(gè)銷售商使用的新版本和另一個(gè)銷售商使用的兼容版本之間存在明顯的延遲，兩個(gè)銷售商所用的版本之間也會(huì)有中斷，而且沒(méi)有提供兩個(gè)產(chǎn)品之間的接口。這種情況對(duì)于那些依靠它們的接口同時(shí)使用兩種產(chǎn)品的人來(lái)說(shuō)，簡(jiǎn)直是一場(chǎng)惡夢(mèng)。一個(gè)好的解決方法就是選擇基于開(kāi)放標(biāo)準(zhǔn)的協(xié)議，讓雙方都能選擇自己的軟件。這就把用戶端應(yīng)用程序的選擇同服務(wù)器平臺(tái)的選擇過(guò)程分離了，用戶自由的選擇最符合自己需要、偏好甚至是平臺(tái)的軟件，系統(tǒng)管理員們也可以獨(dú)立地選擇基于他們的可靠性、規(guī)?？稍O(shè)定性和可管理性需要的服務(wù)器解決方案。系統(tǒng)管理員們可以在一些相互競(jìng)爭(zhēng)的服務(wù)器產(chǎn)品中進(jìn)行選擇，而不必被囿于那些適合某些用戶端應(yīng)用程序的服務(wù)器軟件和平臺(tái)。在許多情況下，如果軟件銷售商支持多硬件平臺(tái)，系統(tǒng)管理員們甚至可以獨(dú)立地選擇服務(wù)器硬件和軟件。我們把這叫做用戶選擇和服務(wù)器選擇分離的能力。開(kāi)放協(xié)議提供了一個(gè)公平競(jìng)爭(zhēng)的場(chǎng)所，并激起銷售商之間的競(jìng)爭(zhēng)，這最終會(huì)使我們受益。開(kāi)放協(xié)議和文件格式是相當(dāng)穩(wěn)定的，不會(huì)經(jīng)常改動(dòng)（即使改動(dòng)也是向上兼容的），而且還有廣泛的支持，能給你最大的產(chǎn)品自主選擇性和最大的機(jī)會(huì)獲得可靠的、兼容性好的產(chǎn)品。4．外網(wǎng)連接這里所說(shuō)的外網(wǎng)連接是與包括集團(tuán)公司網(wǎng)絡(luò)、分支公司網(wǎng)絡(luò)、供應(yīng)商網(wǎng)絡(luò)、合作伙伴網(wǎng)絡(luò)，以及因特網(wǎng)的連接。與其他局域網(wǎng)的連接是指廣域網(wǎng)互聯(lián)，而與因特網(wǎng)的連接通常是指因特網(wǎng)的接入。如果有這方面的連接需求，則在網(wǎng)絡(luò)服務(wù)器設(shè)計(jì)時(shí)一定要預(yù)留出口，當(dāng)然這相應(yīng)地要增加一些軟、硬件設(shè)施。局域網(wǎng)的廣域互聯(lián)方式很多，有像MODEM撥號(hào)、HDSL、VDSL、分組交換網(wǎng)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)等之類的非專線連接，也有像DDN、T1、E1、T3、E3、光纖等專線連接。還可以通過(guò)VPN（虛擬專用網(wǎng)）進(jìn)行安全互聯(lián)。5其它需要考慮的問(wèn)題建立一個(gè)服務(wù)除了要求可靠、可監(jiān)測(cè)、易維護(hù)支持，以及要符合所有的我們基本要求和用戶的要求外，還要考慮到一些特別的事情。如果可能的話，應(yīng)該讓每個(gè)服務(wù)使用專門的機(jī)器，這么作可以讓服務(wù)更容易得到支持和維護(hù)，也能減少忘記一些服務(wù)器機(jī)器上的小的服務(wù)的機(jī)會(huì)。在一些大公司，使用專門的機(jī)器是一條基本原則，而在小公司，由于成本問(wèn)題，一般達(dá)不到這個(gè)要求。還有一個(gè)觀念就是在建立服務(wù)時(shí)要以讓服務(wù)完全冗余為目標(biāo)。有些重要的服務(wù)不管在多大的公司都要求完全冗余。由于公司的規(guī)模還會(huì)增長(zhǎng)，所有你要讓所有的服務(wù)都完全冗余為目標(biāo)。2．網(wǎng)絡(luò)服務(wù)器的需求1、博客/個(gè)人空間的增長(zhǎng)促使各大提供博客服務(wù)的網(wǎng)站升級(jí)服務(wù)器群據(jù)CNNIC的統(tǒng)計(jì)，2007年中國(guó)博客作者數(shù)量達(dá)到4698.2萬(wàn)人，擁有博客7282.2萬(wàn)個(gè)。網(wǎng)友可以在博客上發(fā)表日志、上傳圖片等，如果按每個(gè)博客占用50M空間計(jì)算，這些博客總共需要約3640TB的服務(wù)器容量，而這么多的博客對(duì)服務(wù)器的要求也有更高的要求。每臺(tái)服務(wù)器能夠承載的博客數(shù)量是有限的，每增加一個(gè)博客就會(huì)讓服務(wù)器飽和一些，當(dāng)數(shù)量大到極限時(shí)就需要增加額外的服務(wù)器來(lái)承載更多的博客數(shù)量，7282萬(wàn)個(gè)博客需要的服務(wù)器數(shù)量是很大的，隨著數(shù)量的不斷增加，對(duì)服務(wù)器的需求也將更多。目前提供博客服務(wù)的各大門戶網(wǎng)站和專門的博客網(wǎng)站都擁有龐大的規(guī)模，在服務(wù)器的采購(gòu)方面對(duì)服務(wù)器的整體要求也要高很多，另外對(duì)服務(wù)器的體積要求并不高，但一般都會(huì)采購(gòu)機(jī)架式服務(wù)器，雖然塔式服務(wù)器的擴(kuò)展性都比較好，但對(duì)于網(wǎng)站來(lái)說(shuō)，機(jī)架式服務(wù)器更具有優(yōu)勢(shì)，而且各大網(wǎng)站在選購(gòu)服務(wù)器一般會(huì)選擇批量采購(gòu)品牌服務(wù)器。2、中小形網(wǎng)站企業(yè)的增長(zhǎng)增加了服務(wù)器的需求中小形的網(wǎng)站整體規(guī)模不算很大，對(duì)服務(wù)器的要求并不算很高，但也不是普通的虛擬主機(jī)所能滿足的，所以這類網(wǎng)站站長(zhǎng)一般會(huì)采用托管或是租用服務(wù)器的方式。由于這類網(wǎng)站的收入不定，甚至是有些網(wǎng)站是一名普通的愛(ài)好者在自己的工作之余搭建的，根本就沒(méi)有收入，需要站長(zhǎng)從自己的工資收入中拿出一部分來(lái)維持網(wǎng)站的運(yùn)作，所以對(duì)服務(wù)器的性價(jià)比要求較高，而且要考慮各方面的支出，比如托管或租用費(fèi)用等。在托管方面，這類網(wǎng)站站長(zhǎng)一般會(huì)選擇體積較小的1U或2U機(jī)架式服務(wù)器；租用則取決于IDC服務(wù)商，但由于普通的IDC服務(wù)商也是通過(guò)租用電信或網(wǎng)通等服務(wù)商的機(jī)柜，因此通常都會(huì)根據(jù)用戶的需要提供1U或2U的機(jī)架式服務(wù)器。由于對(duì)服務(wù)器的整體性價(jià)比較高，中小型網(wǎng)站站長(zhǎng)一般會(huì)選擇二級(jí)品牌的較高性能的服務(wù)器產(chǎn)品，或者一些大品牌特別針對(duì)入門級(jí)應(yīng)用的低端服務(wù)器產(chǎn)品。部分對(duì)服務(wù)器很了解的站長(zhǎng)則會(huì)考慮自行根據(jù)自己的需要DIY服務(wù)器，但由于DIY服務(wù)器需要對(duì)各方面都有深入的了解才能DIY一臺(tái)性能穩(wěn)定的高性價(jià)比服務(wù)器，因此，采用DIY服務(wù)器的一般都是對(duì)服務(wù)器有非常深入了解或是有朋友對(duì)這方面有很深入了解的站長(zhǎng)。不管是DIY服務(wù)器，還是購(gòu)買品牌服務(wù)器，甚至是租用IDC服務(wù)商的服務(wù)器都會(huì)采有機(jī)架式結(jié)構(gòu)。3、眾多個(gè)人網(wǎng)站引起虛擬主機(jī)的需求，增加了IDC購(gòu)買服務(wù)器的數(shù)量。如今越來(lái)越多的網(wǎng)友開(kāi)始對(duì)個(gè)人網(wǎng)站有深厚的興趣，不過(guò)這類用戶對(duì)服務(wù)器的要求并不高，一般僅幾百M(fèi)的空間就可以了，一般他們會(huì)選購(gòu)購(gòu)買虛擬主機(jī)。隨著個(gè)人網(wǎng)站的數(shù)量越來(lái)越多，提供虛擬主機(jī)的IDC也急需購(gòu)買新的服務(wù)器來(lái)補(bǔ)充，并提供更優(yōu)質(zhì)的服務(wù)器環(huán)境。由于同樣是托管，因此IDC選購(gòu)服務(wù)器也都統(tǒng)一考慮機(jī)架式服務(wù)器。由于一臺(tái)服務(wù)器一般會(huì)擁有幾十甚至一百個(gè)個(gè)人網(wǎng)站，IDC在選購(gòu)服務(wù)器方面一般對(duì)整體的性能要求較高，為了保障服務(wù)器的穩(wěn)定運(yùn)行，通常會(huì)選購(gòu)大品牌的高性能服務(wù)器，但也有個(gè)別規(guī)模較小的IDC會(huì)選購(gòu)入門級(jí)服務(wù)器。通過(guò)以上三個(gè)方面的分析，可以很直觀的看出，整體服務(wù)器行業(yè)，隨著網(wǎng)絡(luò)的不斷發(fā)展，在機(jī)架式服務(wù)器方面的需求越來(lái)越高，特別是隨著越來(lái)越多新興的中小型網(wǎng)站的出現(xiàn)，提升了對(duì)高性價(jià)比的服務(wù)器和入門級(jí)服務(wù)器的需求。3．網(wǎng)絡(luò)服務(wù)器的安全和隱患隨著Internet的迅速發(fā)展和應(yīng)用的普及，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入教育、政府、商業(yè)、軍事等各行各業(yè)，象電話、交通、水、電一樣，成為社會(huì)重要的基礎(chǔ)設(shè)施。如果計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠運(yùn)行受到威脅，將會(huì)影響人們的工作、學(xué)習(xí)和生活。然而不幸的是，近年來(lái)大規(guī)模的網(wǎng)絡(luò)安全事件接連發(fā)生，互聯(lián)網(wǎng)上蠕蟲、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段層出不窮，導(dǎo)致的泄密、數(shù)據(jù)破壞、業(yè)務(wù)無(wú)法正常進(jìn)行等事件屢屢發(fā)生，甚至導(dǎo)致世界性的互聯(lián)網(wǎng)癱瘓，造成的經(jīng)濟(jì)損失無(wú)法估計(jì)。網(wǎng)絡(luò)安全引起世界各國(guó)的關(guān)注，政府、企業(yè)和研究機(jī)構(gòu)等各領(lǐng)域的組織都對(duì)網(wǎng)絡(luò)安全投入了大量的人力物力；但是目前我們面臨的威脅讓人不容樂(lè)觀。二．企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案本方案主要從需求分析、客戶需求、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、系統(tǒng)評(píng)價(jià)四個(gè)方面。講述如何進(jìn)行企業(yè)網(wǎng)絡(luò)的開(kāi)發(fā)背景、建設(shè)過(guò)程、維護(hù)支持、營(yíng)銷運(yùn)作等過(guò)程，利用本網(wǎng)絡(luò)達(dá)到提升企業(yè)形象，提高服務(wù)檔次，為公司的業(yè)務(wù)與國(guó)際網(wǎng)無(wú)縫接軌，讓本網(wǎng)絡(luò)助企業(yè)在互聯(lián)網(wǎng)上擴(kuò)展全球業(yè)務(wù)，實(shí)現(xiàn)真正電子商務(wù)，使公司業(yè)務(wù)與互聯(lián)網(wǎng)接軌，迅速進(jìn)入良性循環(huán)軌道。1．網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)1.1中小型企業(yè)網(wǎng)的主要功能:資源共享功能：網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶可共享數(shù)據(jù)庫(kù)、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能。通信服務(wù)功能：最終用戶通過(guò)廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問(wèn)。多媒體功能：支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。遠(yuǎn)程VPN撥入訪問(wèn)功能：系統(tǒng)支持遠(yuǎn)程PPTP接入，外地員工可利用INTERNET遠(yuǎn)程訪問(wèn)公司資源。1.2中小型企業(yè)網(wǎng)設(shè)計(jì)原則:實(shí)用性和經(jīng)濟(jì)性

系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。先進(jìn)性和成熟性系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái)若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。可靠性和穩(wěn)定性在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間，TP-LINK網(wǎng)絡(luò)作為國(guó)內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。安全性和保密性在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，TP-LINK網(wǎng)絡(luò)充分考慮安全性，針對(duì)小型企業(yè)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、MAC地址綁定、802.1x、802.1d等。可擴(kuò)展性和易維護(hù)性為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。三．DNS服務(wù)器配置域名服務(wù)器(DomainNameServer)。在Internet上域名與IP地址之間是一一對(duì)應(yīng)的，域名雖然便于人們記憶，但機(jī)器之間只能互相認(rèn)識(shí)IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來(lái)完成，DNS就是進(jìn)行域名解析的服務(wù)器。1.DNS的組成DNS服務(wù)器負(fù)責(zé)將主機(jī)名連同域名轉(zhuǎn)換為IP地址。DNS域名服務(wù)器可進(jìn)行正向查詢和反向查詢。正向查詢將名稱解析成IP地址，而反向查詢則將IP地址解析成名稱。DNS的一般格式為：本地主機(jī)名·組名·網(wǎng)絡(luò)名。2.DNS服務(wù)器的工作原理DNS客戶在請(qǐng)求域名解析時(shí)，首先將試圖使用本地緩存的信息進(jìn)行解析，如果解析成功，則查詢被應(yīng)答并且返回結(jié)果。否則，DNS客戶機(jī)將查詢首選DNS服務(wù)器。當(dāng)首選DNS服務(wù)器接收到查詢請(qǐng)求時(shí)，首先查詢本地配置的區(qū)域，如果本地區(qū)域中存在要查詢的資源記錄信息，則做出權(quán)威性的應(yīng)答。如果本地區(qū)域中不存在要查詢的資源記錄信息，則服務(wù)器將試圖使用本地緩存進(jìn)行解析，如果解析成功，則返回結(jié)果，否則使用遞歸來(lái)完全名稱的解析。反向查詢根據(jù)IP地址查詢計(jì)算機(jī)域名。為了實(shí)現(xiàn)反向查詢，在域名空間中專門按照IP地址而不是域名定義了一個(gè)特殊域：域。域中的子域是通過(guò)IP地址帶句點(diǎn)的十進(jìn)制編號(hào)的相反順序形成的。在DNS中建立的域樹要求資源記錄類型為指針(PTR)。一般對(duì)應(yīng)于其正向搜索區(qū)域中主機(jī)的DNS計(jì)算機(jī)名的主機(jī)地址(A)資源記錄類型。3.DNS服務(wù)器的基本配置擁有一個(gè)網(wǎng)絡(luò)地址，為/24。企業(yè)域名注冊(cè)。域名服務(wù)器的IP定為0，主機(jī)名為。企業(yè)網(wǎng)通過(guò)路由器與Internet連接。要解析的服務(wù)器有：Web服務(wù)器Ftp服務(wù)器E-Mail服務(wù)器在眾多Internet服務(wù)器當(dāng)中DNS服務(wù)是所有服務(wù)的基礎(chǔ)，它最主要的職責(zé)之一是完成從主機(jī)域名到IP地址的映射關(guān)系的查詢。DNS系統(tǒng)管理域名采用一個(gè)樹狀結(jié)構(gòu)，DNS樹的最上面是一個(gè)無(wú)名的root域，用“.”來(lái)表示。這個(gè)域只用來(lái)定位，并不包含任何信息，它由NIC來(lái)管理控制。Root下是分層的domain組成樹狀結(jié)構(gòu)，一個(gè)DNS域（domain）是DNS樹狀結(jié)構(gòu)中的一個(gè)分枝，domain中包含很多被授權(quán)管理的區(qū)域（zone），它是每個(gè)授權(quán)單位所管理的主機(jī)和IP地址的集合，平時(shí)說(shuō)的域，實(shí)際上就是zone。比如，把這個(gè)URL地址拆解開(kāi)：.com

zonewww

則是.區(qū)域內(nèi)的一臺(tái)具體的主機(jī)為了提高DNS服務(wù)器的查詢效率，把非本地域的解析請(qǐng)求轉(zhuǎn)發(fā)到ISP提供的DNS。這個(gè)功能是由forwarder選項(xiàng)來(lái)完成的。所謂的forwarder，就是當(dāng)某一臺(tái)NS主機(jī)遇到非本機(jī)負(fù)責(zé)的zone(slavezone也屬于本機(jī)負(fù)責(zé)的范圍)查詢請(qǐng)求的時(shí)候，將不直接向rootzone查詢而把請(qǐng)求轉(zhuǎn)交給指定的forwarder(一臺(tái)或多臺(tái))主機(jī)代為查詢。解決的方法就是：在本地DNS的forwarder設(shè)定為ISP的DNS，局域網(wǎng)用戶把DNS都設(shè)置成本地DNS地址，在進(jìn)行外部域名解析時(shí)，我們的DNS把解析請(qǐng)求轉(zhuǎn)發(fā)給ISP的DNS；又因?yàn)镮SP上的DNS也有緩存的關(guān)系，所以這樣設(shè)置查詢還可以提高速度。具體的設(shè)置：如此設(shè)置完畢，那么所有非本區(qū)域的查詢都會(huì)直接轉(zhuǎn)發(fā)到forwarders指定的DNS服務(wù)器上去。4.測(cè)試DNS服務(wù)器四．DHCP服務(wù)器的配置DHCP（DynamicHostConfigurationProtocol），它是動(dòng)態(tài)主機(jī)配置協(xié)議。一臺(tái)計(jì)算機(jī)只要添加相應(yīng)的DHCP組件，進(jìn)行必要的設(shè)置就可成為DHCP服務(wù)器。DHCP服務(wù)器可以自動(dòng)為局域網(wǎng)中的每一臺(tái)計(jì)算機(jī)（客戶端）分配IP地址，也可以自動(dòng)設(shè)置每臺(tái)計(jì)算機(jī)的子網(wǎng)掩碼、網(wǎng)關(guān)以及DNS服務(wù)器等網(wǎng)絡(luò)參數(shù)。。1.DHCP服務(wù)器的工作原理第一次登錄的時(shí)候：1.尋找Server。當(dāng)DHCP客戶端第一次登錄網(wǎng)路的時(shí)候，也就是客戶發(fā)現(xiàn)本機(jī)上沒(méi)有任何IP資料設(shè)定，它會(huì)向網(wǎng)路發(fā)出一個(gè)DHCPDISCOVER封包。因?yàn)榭蛻舳诉€不知道自己屬于哪一個(gè)網(wǎng)路，所以封包的來(lái)源位址會(huì)為，而目的位址則為55，然后再附上Dhcpdiscover的信息，向網(wǎng)路進(jìn)行廣播。在Windows的預(yù)設(shè)情形下，Dhcpdiscover的等待時(shí)間預(yù)設(shè)為1秒，也就是當(dāng)客戶端將第一個(gè)Dhcpdiscover封包送出去之后，在1秒之內(nèi)沒(méi)有得到回應(yīng)的話，就會(huì)進(jìn)行第二次Dhcpdiscover廣播。若一直得不到回應(yīng)的情況下，客戶端一共會(huì)有四次Dhcpdiscover廣播(包括第一次在內(nèi))，除了第一次會(huì)等待1秒之外，其余三次的等待時(shí)間分別是9、13、16秒。如果都沒(méi)有得到DHCP伺服器的回應(yīng)，客戶端則會(huì)顯示錯(cuò)誤信息，宣告Dhcpdiscover的失敗。之后，基于使用者的選擇，系統(tǒng)會(huì)繼續(xù)在5分鐘之后再重復(fù)一次Dhcpdiscover的過(guò)程。2.提供IP租用位址。當(dāng)DHCP伺服器監(jiān)聽(tīng)到客戶端發(fā)出的Dhcpdiscover廣播后，它會(huì)從那些還沒(méi)有租出的位址范圍內(nèi)，選擇最前面的的空置IP，連同其它TCP/IP設(shè)定，回應(yīng)給客戶端一個(gè)DHCPOFFER封包。由于客戶端在開(kāi)始的時(shí)候還沒(méi)有IP位址，所以在其Dhcpdiscover封包內(nèi)會(huì)帶有其MAC位址信息，并且有一個(gè)XID編號(hào)來(lái)辨別該封包，DHCP伺服器回應(yīng)的Dhcpoffer封包則會(huì)根據(jù)這些資料傳遞給要求租約的客戶。根據(jù)伺服器端的設(shè)定，Dhcpoffer封包會(huì)包含一個(gè)租約期限的信息。3.接受IP租約。如果客戶端收到網(wǎng)路上多臺(tái)DHCP伺服器的回應(yīng)，只會(huì)挑選其中一個(gè)Dhcpoffer而已(通常是最先抵達(dá)的那個(gè))，并且會(huì)向網(wǎng)路發(fā)送一個(gè)Dhcprequest廣播封包，告訴所有DHCP伺服器它將指定接受哪一臺(tái)伺服器提供的IP位址。同時(shí)，客戶端還會(huì)向網(wǎng)路發(fā)送一個(gè)ARP封包，查詢網(wǎng)路上面有沒(méi)有其它機(jī)器使用該IP位址；如果發(fā)現(xiàn)該IP已經(jīng)被占用，客戶端則會(huì)送出一個(gè)DHCPDECLINE封包給DHCP伺服器，拒絕接受其Dhcpoffer，并重新發(fā)送Dhcpdiscover信息。

212.DHCP服務(wù)器的測(cè)試2.1DHCP服務(wù)器配置設(shè)置IP地址范圍到00設(shè)置DHCP排除范圍現(xiàn)在到客戶端，測(cè)試一下它是否正常工作，以Windows2000Professional為例，在控制面板打開(kāi)“撥號(hào)與網(wǎng)絡(luò)連接”，雙擊“本地連接”圖表察看本地連接狀態(tài)，選擇“屬性”：選擇“Internet協(xié)議(TCP/IP)”，點(diǎn)擊“屬性（R）”按鈕：選中“自動(dòng)獲得IP地址(O)”和“自動(dòng)獲得DNS服務(wù)器地址(B)”選項(xiàng)：點(diǎn)“確定”關(guān)閉該對(duì)話框。打開(kāi)一個(gè)“命令提示符”窗口(DOS窗口)，鍵入下面的命令：五．FTP服務(wù)器1.FTP服務(wù)器介紹FTP是TCP/IP協(xié)議組中的協(xié)議之一，是英文FileTransferProtocol的縮寫。該協(xié)議是Internet文件傳送的基礎(chǔ)，它由一系列規(guī)格說(shuō)明文檔組成，目標(biāo)是提高文件的共享性，提供非直接使用遠(yuǎn)程計(jì)算機(jī)，使存儲(chǔ)介質(zhì)對(duì)用戶透明和可靠高效地傳送數(shù)據(jù)。簡(jiǎn)單的說(shuō)，F(xiàn)TP就是完成兩臺(tái)計(jì)算機(jī)之間的拷貝，從遠(yuǎn)程計(jì)算機(jī)拷貝文件至自己的計(jì)算機(jī)上，稱之為“下載（download）”文件。若將文件從自己計(jì)算機(jī)中拷貝至遠(yuǎn)程計(jì)算機(jī)上，則稱之為“上載（upload）”文件。在TCP/IP協(xié)議中，F(xiàn)TP標(biāo)準(zhǔn)命令TCP端口號(hào)為21，Port方式數(shù)據(jù)端口為20。FTP協(xié)議的任務(wù)是從一臺(tái)計(jì)算機(jī)將文件傳送到另一臺(tái)計(jì)算機(jī)，它與這兩臺(tái)計(jì)算機(jī)所處的位置、聯(lián)接的方式、甚至是是否使用相同的操作系統(tǒng)無(wú)關(guān)。假設(shè)兩臺(tái)計(jì)算機(jī)通過(guò)ftp協(xié)議對(duì)話，并且能訪問(wèn)Internet，你可以用ftp命令來(lái)傳輸文件。每種操作系統(tǒng)使用上有某一些細(xì)微差別，但是每種協(xié)議基本的命令結(jié)構(gòu)是相同的。FTP的傳輸有兩種方式：ASCII傳輸模式和二進(jìn)制數(shù)據(jù)傳輸模式。1.1FTP服務(wù)器配置1.2FTP服務(wù)器虛擬用戶的設(shè)置1.3測(cè)試FTP服務(wù)器

六．防火墻1.防火墻的定義所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國(guó)防部以及大型機(jī)房等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。2.為什么使用防火墻防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。3.防火墻的類型一個(gè)個(gè)人防火墻,通常軟件應(yīng)用過(guò)濾信息進(jìn)入或留下。一臺(tái)電腦和一個(gè)傳統(tǒng)防火墻通常跑在一臺(tái)專用的網(wǎng)絡(luò)設(shè)備或電腦被安置在兩個(gè)或更多網(wǎng)絡(luò)或DMZs(解除軍事管制區(qū)域)界限。這樣防火墻過(guò)濾所有信息進(jìn)入或留下被連接的網(wǎng)絡(luò)。后者定義對(duì)應(yīng)于"防火墻"的常規(guī)意思在網(wǎng)絡(luò),和下面會(huì)談?wù)勥@類型防火墻。以下是兩個(gè)主要類防火墻:網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。這兩類型防火墻也許重疊;的確,單一系統(tǒng)會(huì)兩個(gè)一起實(shí)施。網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻可視為一種IP封包過(guò)濾器，運(yùn)作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。我們也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源IP地址、來(lái)源端口號(hào)、目的IP地址或端口號(hào)、服務(wù)類型(如WWW或是FTP)。也能經(jīng)由通信協(xié)議、TTL值、來(lái)源的網(wǎng)域名稱或網(wǎng)段...等屬性來(lái)進(jìn)行過(guò)濾。應(yīng)用層防火墻應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用FTP時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過(guò)就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。代理服務(wù)代理服務(wù)設(shè)備(可能是一臺(tái)專屬的硬件，或只是普通機(jī)器上的一套軟件)也能像應(yīng)用程序一樣回應(yīng)輸入封包(例如連接要求)，同時(shí)封鎖其他的封包，達(dá)到類似于防火墻的效果。代理由外在網(wǎng)絡(luò)使竄改一個(gè)內(nèi)部系統(tǒng)更加困難,并且一個(gè)內(nèi)部系統(tǒng)誤用不一定會(huì)導(dǎo)致一個(gè)安全漏洞可開(kāi)采從防火墻外面(只要應(yīng)用代理剩下的原封和適當(dāng)?shù)乇慌渲?。相反地,入侵者也許劫持一個(gè)公開(kāi)可及的系統(tǒng)和使用它作為代理人為他們自己的目的;代理人然后偽裝作為那個(gè)系統(tǒng)對(duì)其它內(nèi)部機(jī)器。當(dāng)對(duì)內(nèi)部地址空間的用途加強(qiáng)安全,破壞狂也許仍然使用方法譬如IP欺騙試圖通過(guò)小包對(duì)目標(biāo)網(wǎng)絡(luò)。防火墻經(jīng)常有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的功能,并且主機(jī)被保護(hù)在防火墻之后共同地使用所謂的“私人地址空間”,依照被定義在[RFC1918]。管理員經(jīng)常設(shè)置了這樣情節(jié)在努力(無(wú)定論的有效率)假裝內(nèi)部地址或網(wǎng)絡(luò)。防火墻的適當(dāng)?shù)呐渲靡蠹记珊椭悄?。它要求管理員對(duì)網(wǎng)絡(luò)協(xié)議和電腦安全有深入的了解，因小差錯(cuò)可使防火墻不能作為安全工具。4.防火墻的功能防火墻最基本的功能就是控制在計(jì)算機(jī)網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個(gè)沒(méi)有信任的區(qū)域)和一個(gè)內(nèi)部網(wǎng)絡(luò)(一個(gè)高信任的區(qū)域)。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過(guò)安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。5.防火墻測(cè)試防火墻就是一種過(guò)濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過(guò)這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過(guò)濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。天下的防火墻至少都會(huì)說(shuō)兩個(gè)詞：Yes或者No。直接說(shuō)就是接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì)認(rèn)為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿?。所有的防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)?，F(xiàn)在我們“命令”（用專業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，“心腸”比較好的防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問(wèn)UNIX計(jì)算機(jī)了。還有一種情況，你可以命令防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過(guò)濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。服務(wù)器TCP/UDP端口過(guò)濾僅僅依靠地址進(jìn)行數(shù)據(jù)過(guò)濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說(shuō)，我們不想讓用戶采用telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說(shuō)，在地址之外我們還要對(duì)服務(wù)器的TCP/UDP端口進(jìn)行過(guò)濾。比如，默認(rèn)的telnet服務(wù)連接端口號(hào)是23。假如我們不許PC客戶機(jī)建立對(duì)UNIX計(jì)算機(jī)（在這時(shí)我們當(dāng)它是服