[工学]第9章 构建常用服务器.ppt

1,第 9 章,构建常用服务器,2,主要内容,DNS服务器 DHCP服务器 NAT网关服务器 代理服务器 Web服务器 FTP服务器 电子邮件服务器,3, 知道DNS名称解析过程 能够配置DNS服务器和DNS客户机 知道DHCP工作原理 能够配置DHCP服务器和客户机 了解常见的几种Internet接入方式的异同 知道NAT地址转换原理 能够配置NAT网关服务器和客户机 知道代理服务器的工作原理 能够配置代理服务器 能够配置常用网络软件通过代理服务器访问Internet,学习要求(1),4,学习要求(2), 知道统一资源定位符URL的格式 知道Web服务的运行机制 能够配置Web服务器 知道FTP的URL格式 知道FTP服务的运行机制 能够配置FTP服务器 熟练使用FTP客户端软件上传下载文件 知道电子邮件地址格式 知道电子邮件服务的工作机制及相关协议 能够配置电子邮件服务器,5,DNS查询过程 Internet的域名结构 构建DNS服务器,9.1 DNS服务器,6,1. 客户机应用程序传送至解析程序（DNS客户服务）进行解析。 2. 如果不能就地解析查询，解析程序则向本地DNS服务器发送请求。 3. 如果本地DNS服务器不能回答该请求，该DNS服务器则将向其上级DNS服务器请求，直到找到能回答该请求的DNS服务器为止。,9.1.1 DNS查询过程,7,9.1.2 Internet的域名结构,Internet采用层次树状结构的命名方法 形式如下：.三级域名.二级域名.顶级域名 域名只是逻辑概念，并不能反映计算机的物理位置，与物理的网络无关。,8,9.1.3 构建DNS服务器,实验网络环境,9,1. 安装域名系统（DNS）,10,2. 配置DNS服务器,(1) 通过【控制面板】打开【管理工具】窗口，双击其中的【DNS】图标，在【DNS】窗口中选择【操作】【配置服务器】命令,11,(2) 在弹出的【配置DNS服务器向导】对话框中，单击【下一步】按钮，选择【创建正向搜索区域】，并单击【下一步】按钮，在打开的【新建区域向导】对话框中，选择【标准主要区域】。,12,(3) 单击【下一步】按钮，进入【区域名】对话框 在此输入区域名称：。单击【下一步】按钮，进入【区域文件】对话框，按默认名称创建新的区域文件,13,(4) 单击【下一步】按钮，准备创建反向搜索区域（提供将IP地址转换成域名的服务），选择【创建反向搜索区域】，单击【下一步】按钮，在打开的对话框中选择【标准主要区域】。 (5) 单击【下一步】按钮，进入【反向搜索区域】对话框，在此输入网络ID（53）或区域名称,14,3. 在DNS服务器中添加一台主机,(1) 打开【DNS】窗口，在左侧树中展开第2步配置的正向搜索区域“”，在右侧列表的空白位置处，右单击弹出快捷菜单，选择【新建主机】命令,15,(2) 在弹出的【新建主机】对话框中按图9.11输入名称：Ser1，IP地址：50，单击【添加主机】按钮,16,(3) 通过【DNS】窗口，可查看已成功添加了主机Ser1。,17,4. 配置DNS客户机,(1) 通过【控制面板】，打开【网络和拨号连接】窗口，选中【本地连接】，并打开其【属性】对话框，在这个对话框中。选中“Internet协议（TCP/IP）”，并打开“Internet协议（TCP/IP）属性”对话框，输入相应IP地址、子网掩码、默认网关及该DNS服务器地址,18,通过以上设置，客户机A就可以通过域名“”访问服务器Ser1。如果Ser1是Web服务器，可以通过浏览器访问它,19,DHCP工作原理 构建DHCP服务器,9.2 DHCP服务器,20,9.2.1 DHCP工作原理,DHCP采用客户机/服务器体系结构。 DHCP服务器负责设定与管理网络上所有主机的IP地址的相关信息。 DHCP客户机则向DHCP服务器请求IP地址的相关信息。,21,DHCP客户使用两种不同的过程来与DHCP服务器通信并获得配置。 当客户机首先启动并尝试加入网络时，执行初始化过程。 当经过50%的客户机租约时间后，将执行续订过程。,22,9.2.2 构建DHCP服务器,网络环境,23,1. 安装域名系统（DNS）,24,2. 创建DHCP服务器作用域,(1) 打开【管理工具】窗口，双击【DHCP】图标，在打开的【DHCP】窗口中，选择【操作】菜单中的【新建作用域】命令,25,(2) 弹出【配置DNS服务器向导】对话框，单击【下一步】按钮，进入【作用域名】对话框,26,(3) 在此对话框中输入新建作用域名称：room104。单击【下一步】按钮，进入【IP地址范围】对话框 。 在此对话框中输入打算分配给客户机的IP地址范围及子网掩码。,27,(4) 单击【下一步】按钮，进入【添加排除】对话框。 在此对话框中添加上面指定分配的IP地址范围内不希望分配给用户的IP地址范围。该范围的IP地址一般留作他用或是已手动分配了。,28,(5) 单击【下一步】按钮，进入【租约期限】对话框。 租约期限指定客户机分的IP地址后可以使用该IP地址的时间。如果租约到期，客户机会向它所租用的服务器发送请求消息以续订和扩展当前的地址租约。,29,(6) 单击【下一步】按钮，准备配置该作用域DHCP选项，选择【是，我想现在配置这些选项】后，单击【下一步】按钮，开始配置客户机路由器（默认网关）。 输入默认网关54,30,(7) 单击【下一步】按钮，开始配置客户机的父域及DNS服务器。 输入DNS服务器53，,31,(8)单击【下一步】按钮 进入【WINS服务器】对话框。这里不使用WINS服务器，直接单击【下一步】按钮。 (9) 在出现的【激活作用域】对话框中，选择【是，我想现在激活此作用域】，单击【下一步】按钮，完成新建作用域,32,3. 配置常用DHCP“服务器选项”,DHCP服务器的“服务器选项” 对于一个DHCP服务器，它可能要管理多个作用域。可以直接配置该DHCP服务器的“服务器选项” 作用域的“服务器选项” 创建DHCP作用域时，对于向导中的“作用域选项”配置，可以直接单击“下一步”跳过，该作用域选项将继承DHCP服务器的“服务器选项”配置。 如果对向导中的“作用域选项”进行了配置，则以配置的为准。 简单介绍如何配置常用DHCP“服务器选项”。,33,(1) 打开【DHCP】窗口，在左侧树中选中【服务器选项】，选择【操作】菜单，选择【配置选项】命令,34,(2) 打开【服务器选项】配置对话框 (3) 选中【003 路由器】，并添加路由器IP地址54 (4) 选中【006 DNS服务器】，并添加DNS服务器IP地址53,35,(5) 配置完成后的结果,36,4. 配置DHCP客户机,(1) 【控制面板】【网络和拨号连接】【本地连接】，打开【本地连接属性】对话框。选中【Internet协议（TCP/IP）】，单击【属性】，弹出【Internet协议（TCP/IP）属性】对话框，选中【自动获得IP地址】和【自动获得DNS服务器地址】,37,(2) 使用IPCONFIG命令查看修改当前网络设置,38,9.3 NAT网关服务器,NAT地址转换原理 构建NAT网关服务器,39,9.3.1 NAT地址转换原理,网络地址转换 (NAT) 通过将私有内部地址转换为公共外部地址，对外隐藏了内部IP地址。 在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用。 隐藏了内部网络结构，降低了内部网络受到攻击的风险。,40,简要介绍NAT地址转换原理,1,2,3,4,41,1. 内网客户首先向NAT服务器发送数据包请求 2. NAT服务器接收到该IP数据包后，进行地址转换并向上级网关发送。 3. Web服务器收到请求后，发出响应。 4. NAT服务器收到响应，检查转换表，将公用地址映射到私有地址，并将数据包转发给位于 01 的计算机。,过程描述,42,9.3.2 构建NAT网关服务器,网络环境,43,1. 安装路由和远程访问（RRAS）,“路由和远程访问”服务是一个全功能的软件路由器，是一个开放式路由和互联网络平台，它为局域网 (LAN) 和广域网 (WAN) 环境中的商务活动，或使用安全虚拟专用网络 (VPN) 连接的 Internet 上的商务活动提供路由选择服务。 Windows 2000 Server默认安装了“路由和远程访问”服务。,44,2. 配置路由和远程访问程序,(1) 打开【管理工具】窗口，双击【路由和远程访问】图标，在打开的【路由和远程访问】窗口中，选择【操作】菜单中的【配置并启用路由和远程访问】命令。,45,(2) 在弹出的【路由和远程访问服务器安装向导】对话框中，单击【下一步】按钮，开始选择公共设置。本实验要配置NAT网关服务器，故在此选择【Internet连接服务器】，单击【下一步】按钮。,46,(3) 在【Internet连接服务器设置】中，选择【设置有网络地址转换（NAT）路由协议的路由器】，单击【下一步】按钮。,47,(4) 在【Internet连接】对话框中选择名为【Internet】的网络连接作为“Internet连接” ，单击【下一步】按钮。 注：本服务器已经将接入Internet的网络连接改名为“Internet”，将接入内部网络的网络连接改名为“Local Network”。,48,(5) 在【名称和地址转换服务】窗口中，选择【我将稍候配置名称和地址服务】，这里也能提供简单DNS和DHCP功能，但之前已经配置了DNS和DHCP服务器。单击【下一步】按钮。,49,完成NAT网关服务器的基本配置,50,3. 配置NAT客户机,设置默认网关为之前配置的NAT服务器54 完成配置后，在客户机上就可以访问Internet了。,51,4. 配置简单筛选,在RRAS中，可以通过设置输入、输出筛选，实现简单防火墙和网络管理功能。 可以按条件来设定源IP地址、目标IP地址、协议种类（TCP、UDP、ICMP和附有ACK标志的包）、源端口和目标端口等来定制规则。 但不能按范围指定IP地址和端口。,52,(1) 打开【路由和远程访问】，在左侧树列表中展开【IP路由选择】，选中【常规】,53,(2) 在【路由和远程访问】窗口中，选中需要配置筛选的网络连接，本实验选择网络连接“Local Network”，双击打开该连接的属性对话框。 其中的【输入筛选器】和【输出筛选器】，可以分别对流入、流出网络的包设定各自的包过滤规则。,54,(3) 本实验以“输入筛选器”为例介绍，在【Local Network对话框】中单击【输入筛选器】，进入【输入筛选器】对话框。 在此对话框上部有2个单选按钮：【接收所有符合下述条件以外的数据包】和【丢弃所有符合下述条件以外的数据包】。,55,(4) 单击【添加】按钮，开始添加一条规则。 源网络处设置该数据包从何处发来，目标网络处设置该数据包要发往何处。 指定从到27这段地址范围。 协议下拉列表用于选择协议种类（TCP、UDP、ICMP等）。选择【任何】，即对来自到27地址段的所有通信端口监控。,56,(5) 单击【确定】后就完成了一条规则的添加 。定制了这样一条规则：IP地址为到27这段地址范围的用户将不能访问Internet。 灵活应用输入、输出筛选器还能定制出很多实用的规则。,57,常用端口一览,58,9.4 代理服务器,概述代理服务器工作原理 常用代理服务器软件 配置代理服务器,59,9.4.1 概述代理服务器工作原理,代理服务器（Proxy Server）管理一个网络上的程序和另一网络上的服务器之间的通讯。 一般有两个网络接口：一个连接到局域网，一个连接到 Internet。 当客户程序发出请求时，代理服务器转换请求并将其传送到 Internet 请求响应。当 Internet 上的计算机响应时，代理服务器将此响应传回发出请求的计算机上的客户程序。,60,主要的代理方式： 传统代理（应用层代理） 端口重定向 WinSock代理 Socks代理,61,9.4.2 常用代理服务器软件,目前代理服务器软件品种繁多，面向各种用户群。 Microsoft Proxy Server、Netscape Proxy Server主要适用于企业及大型局域网络。功能与性能都很好，但配置比较复杂。 WinGate、SyGate、Winroute、WinProxy、CCProxy等代理服务器软件功能齐全、易于配置，主要适用于中小规模的局域网络。而且有些代理服务器软件还吸收了NAT技术和防火墙功能，功能更加强大，不再是传统意义上的代理服务器软件了。,62,9.4.3 配置代理服务器,实验环境,63,1. 安装CCProxy,CCProxy安装非常简单，按默认设置直接单击【下一步】按钮即可完成。 完成后主界面,64,2. 设置CCProxy,CCProxy提供应用层代理、端口重定向、Socks代理三种代理方式。并提供DNS和远程拨号等功能，支持电子邮件代理。,65,(1) 单击工具栏【设置】按钮，弹出【设置】对话框，在此可以设置各应用层协议和Socks使用的端口。,66,(2) 如果希望设置端口映射，可在【设置】对话框中单击【端口映射】复选框旁的【E】按钮，弹出【端口映射】对话框。,67,(3) 在【端口映射】对话框中，添加一条记录，如：端口类型为TCP，目标地址为，目标端口为80，本地端口为8880。这样客户机访问代理服务器8880端口时，就相当于访问的80端口（80端口是Web服务的默认端口）,68,(4) 在【设置】对话框中，单击【高级】按钮，还可以设置拨号信息、缓存、二级代理、日志等,69,3. 帐户管理,(1) 在CCProxy主界面单击工具栏的【帐户】按钮，弹出【帐户管理】对话框。 CCProxy支持多种验证方式，此处以【用户/密码】的验证方式为例,70,(2) 单击【新建】按钮，弹出【帐号】对话框。 在其中可以设置一个用户或一个组的名称、密码、IP地址、MAC地址等相关信息及最大连接数、带宽、可使用代理种类等，并可以对该用户或组设置网站过滤、及使用代理时间安排等。,71,(3) 为了配合下面第5步的“设置电子邮件客户端程序OutLook Express”，还需要创建一个用户User-002，认证方式为【IP地址段认证】，能够使用的代理服务只有【邮件】服务。 这是因为OutLook Express本身并不支持通过代理服务器访问网络，这点不同于IE、QQ等网络软件，它本身不提供输入代理服务器帐户名及密码的对话框。,72,新建的User-002用户采用【IP地址段认证】认证方式，代理服务只有【邮件】服务，即指使用该地址段范围内IP地址的客户均可以通过该用户认证，但只能使用“邮件”代理服务。对于本实验，设置用户IP地址段为54，只能使用邮件代理。这样属于54地址段的用户不用用户名、密码就可以而且只能使用邮件代理服务。,73,4. 设置客户机IE,在设置客户机IE之前，按 “实验计算机网络设置”表，设置客户机网络。 配置客户机IE代理服务器,74,(1) 在客户机IE浏览器界面，打开【工具】菜单，选择【Internet选项】，弹出【Internet选项】对话框，选择其中的【连接】标签，单击【局域网设置】，弹出【局域网（Lan）设置】对话框 。 (2) 在该对话框中，选中【为Lan使用代理服务器】复选框，输入代理服务器地址和代理端口，本实验为51和808（本处808端口即为之前在【设置】对话框中“HTTP/RTSP”协议所指定端口）。确定后，客户就能通过IE访问Internet。 由于之前在设置代理服务器时设置了账户验证，客户访问Internet时还需要输入用户名、密码。,75,76,5. 设置客户机OutLook Express,假设邮箱相关信息如下： 邮箱地址： 邮箱帐号：proxytest（有的帐号是完整的邮箱地址，有些帐号则与邮件地址无关，根据邮箱的实际情况设置） 邮箱密码：* SMTP地址：（并不是所有的smtp服务器地址都是smtp.*.*格式，根据邮箱的实际情况设置） POP3地址：（并不是所有的pop3服务器地址都是pop3.*.*格式，根据邮箱的实际情况设置）,77,(1) 打开客户机的OutLook Express程序。单击【工具】菜单，选择【帐户】命令，弹出【Internet帐户】对话框，选择【邮件】标签，如下图所示，选择【添加】【邮件】，弹出【Internet连接向导】对话框。输入显示姓名，如proxytest，单击【下一步】按钮，输入电子邮箱地址，如。,78,(2) 单击【下一步】按钮，输入电子邮箱POP3服务器名和SMTP服务器名。 由于电子邮件所用到的POP3和SMTP协议本身并没有代理机制，所以它们本身并没有使用代理服务器的能力。可以使用两种办法来实现收发邮件： 使用CCProxy代理服务器软件时，需要在客户机上进行一定设置，就可通过CCProxy代理服务器收发邮件。 只要所用代理服务器软件支持Socks代理（CCProxy支持Socks代理），在客户机上可以使用协议转换软件（如SocksCap），把其他协议的请求转换成对Socks代理服务器的请求，间接地使用代理服务器来完成收发邮件。,79,本实验直接使用CCProxy代理服务器软件的邮件代理功能，不使用第三方协议转换软件。 在【接收邮件（POP3,IMAP或HTTP）服务器】处输入该代理服务器51，在【SMTP服务器】处也同样输入51。,80,(3) 单击【下一步】按钮，输入帐户名称和密码。【帐户名】的组成规律是“原始的帐户名即直接上网收发邮件时的帐户名”“#”“原始的接收邮件(POP3)服务器地址”。 比如，POP3服务器地址是，帐户名是user，那么现在应该填写user#。 又如，POP3服务器地址是，帐户名是，那么现在应该填写#。 本实验输入帐户名proxytest#，单击【下一步】按钮，完成添加邮件帐户设置。,81,(4) 到目前为止，一个邮件帐户并没有完全建好，还需要追加些信息。在【Internet帐户】对话框中，双击刚才创建的帐户，弹出该帐户属性对话框。,82,选择【服务器】标签，开始设置服务器信息,83,(5) 选中【我的服务器要求身份验证】，单击【设置】按钮，弹出【发送邮件服务器】对话框。输入正确帐户名及密码后，单击【确定】后完成邮件帐户的全部创建过程。,84,此处帐户名设置有两种可能： 如果直接使用OutLookExpress收发邮件时（没有通过代理服务器），就需要选择【我的服务器要求身份验证】，那么应该如下设置：“原始的帐号名即直接上网收发邮件时的帐号名”“#”“原始的发送邮件(SMTP)服务器地址”。 比如，SMTP服务器地址是，帐号名是user，那么现在应该填写user#。 又如，SMTP服务器地址是，帐号名是，那么现在应该填写#。 如果直接使用OutLookExpress收发邮件时（没有通过代理服务器），不需要选择【我的服务器要求身份验证】，那么应该如下设置：“#”“原始的发送邮件(SMTP)服务器地址”。 比如，SMTP服务器地址是，帐号名是user，那么现在应该填写#。 又如，SMTP服务器地址是，帐号名是，那么现在应该填写#。,85,6. 设置客户机Socks代理,本实验以腾讯QQ为例讲解在客户机如何设置Socks代理。,86,运行QQ程序，输入QQ号码和密码后，单击【网络设置】按钮，在类型下拉框中选择【SOCKS5代理】，然后输入代理服务器地址和端口等信息。单击【登陆】即可使用QQ访问Internet。,87,9.5 Web服务器,统一资源定位符URL Web服务运行机制 构建Web服务器,88,9.5.1 统一资源定位符URL,统一资源定位符URL是对可以从Internet上得到的资源的位置和访问方式的一种简洁的表示。 URL的一般形式如下： :/:/ 正常使用时，如果信息足够，除了主机名不能省略，其它部分都可省略。,89,常用的访问方式,90,HTTP的URL一般形式如下： http:/:/ 该处主机端口如果省略，将使用HTTP的默认端口80。指明要访问的文档在Web服务器的位置，如果省略，则指向该Web服务器主目录中所指定的主页文档。 如URL：/index_tuwenban.asp 其中主机名为，端口为默认端口80，路径为index_tuwenban.asp。,91,9.5.2 Web服务运行机制,Web服务采用客户/服务器模式（C/S模式）工作。客户就是Web浏览器，服务器就是Web服务器。运行步骤如下： 浏览器向服务器80端口（端口号可以更改）发出连接请求； 服务器进程不断监听80端口（端口号可以更改），一旦收到请求就建立TCP连接； 浏览器再向服务器请求页面文件； 服务器将文件发送到该浏览器上，并附带相关信息； 最后，释放TCP连接。 浏览器和服务器之间的信息交互遵循HTTP协议（超文本传输协议）。,92,运行机制,93,9.5.3 构建Web服务器,本节将在Windows 2000 Server上，使用Windows自带的IIS服务器软件，构建一台Web服务器。 IIS服务器是一个功能强大的Internet信息服务器，集Web服务器、FTP服务器和SMTP邮件发送服务器等功能于一身。本节主要介绍IIS的Web服务器功能。使用IIS管理器分层次树状管理IIS服务器，可以配置IIS安全、性能和可靠性等功能；可以添加删除站点，启动、停止和暂停站点；可以创建虚拟目录等。,94,实验环境,95,1. 安装IIS,通过【控制面板】，打开【添加或删除程序】窗口，选择【添加/删除Windows组件】图标，选择【Internet信息服务（IIS）】，并单击【详细信息】，弹出【Internet 信息服务（IIS）】对话框，选中全部子组件，单击【确定】进行安装,96,2. 配置IIS服务器全局属性,IIS服务器全局属性设置作用于该服务器的所有IIS服务。可设置该服务器的主属性、带宽限制、MIME映射及一些服务器扩展功能等。,97,（1）打开【管理工具】窗口，双击【Internet 服务管理器】，打开【Internet信息服务】窗口,98,（2）在【Internet信息服务】窗口中选中IIS服务器【webser】，单击【操作】菜单，选择【属性】命令，弹出【webser属性】对话框，该对话框中设置一般情况采用默认设置即可。,99,3. 配置Web网站属性,设置Web网站属性管理整个Web站点。在【Internet信息服务】窗口选中【默认Web站点】，单击【操作】菜单，选择【属性】命令，弹出【默认Web站点属性】对话框,100,101,（1）设置Web站点基本属性。【默认Web站点属性】对话框中选中标签【Web站点】进行设置网站基本属性，其中， 【说明】：在IIS中显示的网站名称。 【IP地址】：设置该网站使用的本机IP地址。当该服务器有多个IP地址时，可以指定使用哪个作网站的IP地址。“全部未分配”表示本机所有IP地址均可使用。 【TCP端口】：设置该Web站点使用的TCP端口，默认为80端口。如果修改了该端口，客户端在访问时，URL中应该明确给出该端口。 【SSL端口】：指定安全套接字层（SSL）使用的端口。默认为443。 【连接超时】：如果客户端在一段时间未与服务器发生互动，服务器则断开连接。 【启用保持HTTP激活】：可使客户端与服务器保持打开连接，而不是根据每个新的请求重新打开客户端连接。 【启用日志记录】：可记录网站的访问者、访问内容、访问时间等信息。定期审查日志信息，可检测服务器可能受到的攻击或漏洞。,102,(2) 设置操作员。操作员管理该网站，可以指定Windows用户为操作员,103,(3) 设置性能。根据网站规模及访问数量，合理调整Web站点性能可以优化Web站点 【启用带宽限制】：可根据需要来限制网站使用带宽，确保服务器整体性能。 【启用进程限制】：限制用于该Web服务器所提供的Web服务能使用的CPU资源。,104,(4) 设置ISAPI筛选器，ISAPI 筛选器是在启用 ISAPI 的 Web 服务器上运行的 DLL，用以筛选与服务器之间来回传送的数据。使用Internet 服务器 API (ISAPI) 筛选器，用自定义功能来增强 Internet 服务器。筛选器应用程序处于客户端的网络连接与 Web 服务器之间。,105,(5) 设置主目录。每个Web网站都有一个主目录，主目录相当于该网站的根目录。当客户端使用无路径的URL时，则访问该Web服务器主目录中所指定的主页文档。IIS中默认主目录是“%SystemDrive%Inetpubwwwroot”,106,在对话框中，可以设置主目录位置，及主目录的访问权限等。 若要允许用户访问源代码，可选中【脚本资源访问】。 若要允许用户读取或下载文件或文件夹及其相关属性，可选中【读取】。 若要允许用户将文件及其相关属性上传到服务器中启用了写入权限的文件夹，或是要更改启用了写入权限的文件内容，可选中【写入】，写入只能由支持 HTTP 1.1 协议标准的具有 PUT 功能的浏览器来执行。 若要允许用户看到该虚拟目录下文件和子文件夹的超文本列表，可选中【目录浏览】。虚拟目录不会出现在目录列表中，用户必须知道虚拟目录的别名才能访问。 默认情况下，网站是根目录级的应用程序，创建一个网站的同时也就创建了一个默认应用程序。根据需要，可调整应用程序的执行权限。 补充：IIS应用程序是位于Web站点定义的一组目录中可执行的任何文件。IIS应用程序驻留在Web服务器上，接受来自浏览器的请求，运行与请求相关联的代码并返回响应到浏览器。,107,(6) 设置文档,108,上述对话框中 【启用默认文档】：当客户端使用的URL中没有指定要访问的文档时，则访问该Web服务器相应目录中所指定的默认文档。本试验使用index.htm做为网站的默认文档。将index.htm文档移入主目录（本试验主目录为“C:Inetpubwwwroot”）下即可。 【启用文档页脚】：IIS 附加页脚文档到它提供服务的每个页面上。可以在站点级指定一个文档页脚使其附加到所有的站点页面上，或者可以单个目录地指定文档页脚。注意文档页脚只能使用静态内容。,109,(7) 设置目录安全。可以设置访问该网站的用户（可以为匿名用户）、访问该网站的IP地址范围及安全通信使用的证书,110, 设置【匿名访问和验证控制】。在【匿名访问和验证控制】区域，单击【编辑】，弹出【验证方式】对话框，选中【匿名访问】，单击匿名访问区中的【编辑】，弹出【匿名用户帐号】对话框。 保持【允许IIS控制密码】选中（不要更改此处密码框中内容，如果更改了，一定要保证此处输入密码与用户管理中所设密码一致），用户不用输入用户名和密码就能访问该网站。 实际上，当用户访问该网站时，Web服务器自动认为是用户名为“IUSR_计算机名”的用户访问。“IUSR_计算机名”是在IIS安装过程中，系统自动创建的用户，默认属于Guests组。,111, 设置【IP地址及域名限制】。在【IP地址及域名限制】区域，单击【编辑】，弹出【IP地址及域名限制】对话框。若选择所有计算机都能被【授权访问】，则只有添加的IP地址段不能访问；若选择所有计算机都被【拒绝访问】，则只有添加的IP地址段能够访问。 设置【安全通信】。可以查看、添加和修改安全证书信息。只有安装服务器证书后才能使用Web服务器的安全通信功能。,112,(8) 设置【HTTP头】。 Web服务器会将一些相关信息嵌入Web页面的HTTP头中，以便用户使用。,113, 在【启动内容失效】区域，可设置失效时间。浏览器用当前日期时间与失效时间进行比较，以确定是显示高速缓存还是向服务器请求新的页面。 在【内容分级】区域，用来对该网站所涉及内容分级，以便于用户进行分级审查。 在【MIMIE映射】区域，单击【文件类型】，设置关联扩展名与内容类型（MIME）的映射关系。,114,(9) 设置【自定义错误信息】。当Web服务器出现错误时，将向客户发送错误信息。管理员可使用IIS提供的常规HTTP1.1错误或修改错误文件，或创建自定义错误文件，以定义当发生某一类错误时浏览器上显示的信息。,115,(10) 设置【服务器扩展】。使用服务器扩展，可以增加Web站点原本没有的功能，让站点更好支持网页制作工具FrontPage。一般使用默认设置即可,116,4. 设置目录属性,Web站点中目录分为物理目录和虚拟目录两种。 物理目录保存在主目录下，在客户端指明URL路径就可以访问，只要在主目录下新建文件夹就新建一个物理目录。 虚拟目录保存在其他位置，但可以将其真实目录映射到一个逻辑目录（虚拟目录），客户端看到的只是这个虚拟目录，指明这个虚拟目录可以访问。通过使用虚拟目录可以将Web站点文件分散到不同的磁盘或计算机上，提高了创建站点的灵活性；同时，因为外部浏览者不能看到WEB站点真实目录的结构也提高了站点的安全性。,117,新建虚拟目录过程：,(1) 选中默认Web站点，单击【操作】菜单，选择【新建】【虚拟目录】命令，弹出【创建虚拟目录向导】。,118,新建虚拟目录过程：,(2) 在【创建虚拟目录向导】中，按照提示依次输入别名（在IIS中及浏览器URL中使用）和物理地址及设置虚拟目录访问权限，完成虚拟目录的创建。创建一个虚拟目录的同时也会创建一个与虚拟目录同名的应用程序。 (3) 虚拟目录和物理目录的属性配置与Web网站部分属性配置类似,119,5. 客户端访问Web服务器,在客户机上打开浏览器IE，输入URL：49 在IE中使用了无路径URL，故将访问Web服务器主目录的默认文档。之前操作中已经设置主目录的默认文档为index.htm。,120,9.6 FTP服务器,FTP的URL FTP服务运行机制 构建FTP服务器,121,9.6.1 FTP的URL,使用FTP的URL一般形式如下：ftp:/ :/ 该处主机端口如果省略，将使用FTP的默认控制端口21。用户名、密码如果省略将以匿名方式访问。 如URL：/lesson/lesson1.doc 其中主机名为，端口为默认端口21，路径为lesson/lesson1.doc，采用匿名访问方式。,122,9.6.2 FTP服务运行机制,FTP基于TCP/IP协议，采用客户/服务器模式（C/S模式）工作。 在进行文件传输时，客户端和服务器之间要建立两个连接：控制连接和数据连接。控制连接用来发送和接收控制信息，保持在整个会话期间；数据连接用来发送和接收文件数据，在文件传送时建立，传送结束时关闭。,123,FTP工作时，有两种连接模式供选择：主动模式（Active Mode）和被动模式（Passive Mode）。 不论哪种连接模式，都是客户端向服务器发送控制连接请求，服务器响应请求建立控制连接。 当要传送数据时，如果采用主动连接模式，则由服务器向客户端发送数据连接请求；如果采用被动连接请求，则由客户端向服务器发送数据连接请求。 之后建立数据连接，传送数据。数据传送完成释放该数据连接。最终会话结束时，释放控制连接。 当客户端在防火墙或NAT服务器后，由于主动模式需要服务器向客户端发送连接请求，而一般防火墙和NAT服务器都不会允许这种请求通过，所以此时只能使用被动模式实现FTP服务。,124,125,9.6.3构建FTP服务器,实验环境,126,1. 安装IIS,IIS的安装过程参看上节。注意在选择IIS安装组件时选中“文件传输协议（FTP）服务器”即可。,127,2. 配置FTP站点属性,打开【管理工具】窗口，双击【Internet 信息服务】，打开【Internet 信息服务】窗口，选中【默认FTP站点】，单击【操作】菜单，选择【属性】命令，弹出【默认FTP站点属性】对话框，利用此对话框的各个标签设置FTP站点属性。,128,(1) 设置FTP站点基本属性。利用标签【FTP站点】可以设置站点基本属性：站点说明、站点使用IP地址、使用TCP端口、客户连接数量及连接超时、日志服务、当前连接会话等。部分设置可参考上节相应部分。 在该对话框中，单击【当前会话】，弹出【FTP用户会话】对话框，可以查看当前连接用户名、IP地址和会话时间等，并可以手动断开连接。,129,(2) 设置【安全帐户】。利用标签【安全帐户】可以设置访问站点用户（可以为匿名用户）及站点操作员。,130,启用匿名访问，同时保持【允许IIS控制密码】选中（不要更改此处密码框中内容，如果更改了，一定要保证此处输入密码与用户管理中所设密码一致），用户不用输入用户名和密码就能登录FTP站点。 用户“IUSR_计算机名”同上节所介绍一样，是在IIS安装过程中，系统自动创建的用户，默认属于Guests组。当匿名访问该站点时，FTP服务器自动认为是用户名为“IUSR_计算机名”的用户访问。,131,(3) 设置FTP【消息】。用户登录到FTP站点时，FTP服务器可以向用户发送欢迎消息，并提供站点的详细介绍。用户注销时，可以向用户发送退出消息。当FTP服务器已达最大连接数时，如果客户继续登录，将向客户发送最大连接数消息,132,(4) 设置【主目录】 每个FTP站点都有一个主目录，主目录相当于该站点的根目录。客户登录时，FTP服务器会自动查找主目录下是否有与该用户名相同的目录名，如果有，则将该目录作为当前目录，如果没有，则将主目录作为当前目录。匿名用户登录时自动查找的目录名为“anonymous”。 IIS中默认主目录“%SystemDrive%Inetpubftproot”。,133,在该对话框中，可以设置主目录位置，及主目录的访问权限等。如果允许用户可以读取、下载文件，可选中【读取】；如果允许用户可以上传、删除和更改目录和文件，可选中【写入】；如果选中【日志访问】，则将对该目录的访问记录保存到日志中。 【目录列表风格】设置FTP站点的目录输出格式：UNIX风格和MS-DOS风格。,134,(5) 设置【目录安全性】。通过指定IP地址进行限制，保护目录安全。若选择所有计算机都能被【授权访问】，则只有指定的IP地址段不能访问；若选择所有计算机都被【拒绝访问】，则只有指定的IP地址段能够访问。,135,总结：已经知道三处设置FTP安全的地方。在此，简单描述一下FTP具体的安全控制过程： 检查客户端使用IP地址是否合法，在【目录安全性】处设置。 检查FTP用户是否拥有有效的Windows用户帐户。在【安全帐号】处设置。 检查用户是否具有请求资源的访问权限。在【主目录】处设置。 检查资源的NTFS权限。在FTP服务器上，使用资源管理器，进行【安全】设置。要求FTP服务器上主目录所在分区采用NTFS分区格式。,136,思考：设置FTP服务器，要求只有IP地址为27的用户可以访问FTP服务器，且匿名用户对主目录只有读取权限，administrator用户对主目录有全部权限。,137,首先在【目录安全性】处选择所有计算机都将被【拒绝访问】，单击【添加】例外，在弹出的对话框中设置类型为【一组计算机】，网络标识为“”，子网掩码为“28”。,138,其次在【安全帐号】处设置【允许匿名连接】，用户名为“IUSR_FTPSER”，【允许IIS控制密码】 。 然后，在【主目录】处设置有【读取】和【写入】权限 。 最后，设置主目录的NTFS权限。打开资源管理器，进入【%SystemDrive%Inetpub】目录，右键单击【ftproot】文件夹，选择【属性】，在属性对话框中选择【安全】标签。取消选中【允许将来自父系的可继承权限传播给该对象】，然后删除原有“EveryOne”帐号；添加两个用户“Administrator”和“IUSR_FTPSER”，并对“Administrator”用户赋予所有权限，对“IUSR_FTPSER”用户仅赋予【读取及运行】、【列出文件夹目录】和【读取】权限,139,通过如上设置，实现了只有IP地址为27的用户可以访问FTP服务器，且匿名用户对主目录只有读取权限，administrator用户对主目录有全部权限的安全设置。 如果需要对不同用户限制相应可以使用的目录空间，还可以在Windows中配置磁盘配额。,140,3. 设置目录属性,同Web站点一样，FTP站点中目录也分为物理目录和虚拟目录两种。 由于FTP协议是较旧协议，虚拟目录不能显示在客户FTP列表中。只有当用户知道虚拟目录别名，在URL中明确给出路径，才能访问虚拟目录下的内容。物理目录虽然可以显示在客户FTP列表中，但不能显示在IIS管理器中。,141,新建虚拟目录过程：选中【默认FTP站点】，单击【操作】菜单，选择【新建】【虚拟目录】命令，按提示完成即可。 虚拟目录的属性配置与FTP站点部分属性配置类似，不再赘述。,142,4. 客户访问FTP服务器,FTP客户端软件众多，本节使用Internet Explorer。登录时如果没有输入用户名和密码则默认采用匿名登录 。,143,根据之前设置，匿名登录后，对该FTP站点没有写入的权限。当试图写入文件时，会提示出错 。,144,切换登录用户。单击【文件】菜单，选择【登录】命令，弹出【登录】对话框，输入用户名、密码登录。 根据之前设置，以“Administrator”登录后，对该FTP站点具有了读写的权限，可以任意上传下载删除文件。,145,9.7 电子邮件服务器,电子邮件地址 电子邮件服务的工作机制 常用电子邮件服务器软件 构建电子邮件服务器,146,9.7.1 电子邮件地址,与传统邮件一样，要进行邮件发送，就一定要指明接收邮件用户地址；要进行邮件接收，就一定要告诉对方自己的用户地址。而且，为了能让电子邮件在Internet上准确发送，必须要保证用户地址的唯一性。 TCP/IP体系的电子邮件系统规定电子邮件地址格式为： 用户名邮箱所在服务器的域名 符号“”读作at，用以分隔用户名（邮箱名）和邮件服务器域名。邮件服务器域名在Internet是唯一的，用户名在该邮件服务器上也是唯一的，从而保证了Internet上用户地址的唯一性。,147,9.7.2 电子邮件服务的工作机制,1. 发送端客户使用邮件客户软件发送邮件，通过网络，提交给用户设置的邮件发送服务器。 2. 邮件发送服务器将邮件转发至接收端客户所使用的邮件接收服务器。 3. 接收端客户使用邮件客户软件，通过网络，访问邮件接收服务器，接收邮件。,148,149,电子邮件服务器包括两部分：邮件发送服务器（一般采用SMTP协议，也称为SMTP服务器）和邮件接收服务器（一般采用POP3协议或IMAP4协议）。通常一台邮件发送服务器又是一台邮件接收服务器。 SMTP协议（Simple Mail Transfer Protocal，简单邮件传输协议）能实现邮件从邮件客户传送到SMTP服务器，也能实现邮件从一台SMTP服务器传送到另一台SMTP服务器。SMTP协议使用的默认端口为25端口。 POP3协议是POP协议（Post Office Protocol，邮局协议）第三版。该协议允许用户邮箱放置在POP3邮件服务器上，并允许用户从客户机上对邮件内容进行存取。但使用POP3协议时，在用户接收电子邮件后，同时将从服务器上清除所有邮件（可以利用一些客户软件，将电子邮件留在服务器上），用户在取回邮件后，可在自己计算机上处理信件。POP3协议使用的默认端口为110端口。,150,IMAP4协议是IMAP协议（Internet Message Access Protocol，Internet信息访问协议）第四版。用户使用IMAP客户程序打开邮箱，可以看到邮件首部，然后有再选择的打开某个邮件，这时邮件才会传送到客户机上。而且如果用户没有要求删除邮件，邮件将一直保存在邮件服务器上。但这样也使得用户如果没有提前保存某个邮件，断开连接后，下次打开该邮件时，需要再访问邮件服务器。具体使用哪种邮件接收协议，要根据实际情况对待。 现在很多邮件服务器软件，还支持将电子邮件服务同Web服务结合，提供WebMail服务。这样用户不再需要邮件客户软件，只要使用浏览器就能方便的收发电子邮件。,151,9.7.3 常用电子邮件服务器软件,目前有很多流行的邮件服务器软件，面向各种平台、各种用户。选择合适的邮件服务器软件要根据使用的实际情况来定。 适合大型企业内部应用的有Microsoft Exchange、Lotus Domino等。 适合用于Internet邮件服务的有Mdaemon、Sendmail等。另外还有很多流行很广的共享软件和免费软件：VPOP3、Ntmail等。,152,Foxmail Server是一款优秀的国产邮件服务器软件。它针对国内的中心企业用户，提供多种邮件服务，包括SMTP、POP3，内建邮件扩充协议MIME，用户可以使用Foxmail、Outlook Express等邮件客户端软件收发邮件，还支持WebMail，用户可以在Web浏览器界面上登录处理邮件。提供系统级的多种灵活的垃圾邮件过滤规则，防止垃圾邮