高训大厦网络工程设计方案-内网服务器搭建VIP

1 毕业设计（论文） 论文题目 高训 大厦网络工程设计方案 内网 服务器搭建 系 部 专 业 年 级 姓 名 指导教师 （ 2010 年 12 月） 2 目录 毕业设计（论文） . 1 目录 . 2 摘要 . 3 需求分析 . 4 网络系统安全及管理 . 5 安装和配置 . 5 SA 004 . 13 络系统安全 . 15 服务器的搭建立 . 16 务器配置 . 16 务器的配置 . 18 息服务 . 22 务器的配置 . 23 务器的配置 . 25 总 结 . 29 致谢 . 29 参考文献 . 29 3 摘要 文章 为高训大楼设计网络工程方案，本节为大楼内部网络从实际出发 针对局域网的管理需求进行分析与规划，为局域 网所 需服 务进行搭建，并针对局域网的 服务器安全进行安全保护分析。 关键词：内部局域网、网络安全、服务器搭建 of AN to AN AN 第一章 需求分析 内部网络管理及安全需求： 高训大楼总共有 19 层且大楼内有多个部门 以及多个用户 ，需要 方便管理员管理服务器以及客户端帐户 并对其实施策略。 对客户端进行策略限制， 限制其对各主机以 及服务器的设置，避免因用户人为的误操作导致网络内部工作站出现故障。制定 访问规则， 提高服务器性能同时 使用户安全访问各网络 服务 ，避免网络 服务 受到不必要的危害。 内部网络服务需求： 将大楼内的不同计算机上的共巷文件组织起来，是各用户能够更 容易的访问和管理物理上的跨网络的共巷文件。 为使大楼内用户更方便访问各个不同的服务，向大楼提供 名解析服务。 对于大楼内部网使用的 P 协议的主机而言，每个计算机拥有一个独立的 址是必不可少的 ，但是不是每个用户都能对 P 协议进行恰当的配置，所以为了解决减 少各客户间的 址冲突和减少管理员的工作，需要配置 态主机配置协议）服务器。 使用 统， 实现网络的文件共巷和文件传输。 为高训大楼提供内部网的网站发布，使各部门可在内部网中发布站点，为企业提供最经济有效的信息发布方式。 5 网络系统安全及管理 安装和配置 务是 台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。 为了方便管理 给高训大楼内所有的用户进行管理，利用 服务器及客户端计算机 进行加入域管理并实施组策略管理。 使用户不能随意更改域中服务器和客户端计算机的设置。 实施 程图 级为域控制器 要完成 务先要将其升级为域控制器，在运行中输入 入向导。 （ 如图 图 003 域与组策略流程 6 进入安装向导后根据需求完成域的升级。 图 装向导 根据向导所指向的需求完成一系列的域与域名设置，在安装过程中， 要求你设置 的数据库及日志文件夹存放位置，这是作为一个网络管理员你需要将这些信息选择存放于一个较为安全的目录下，并定期做备份以备不时之需。 图 置数据库文件夹和日志文件存放位置 7 同时在安装的过程中，安装向导会让你在对话框中输入还原密码。 图 原模式密码设置 当我们根据 装向导完成 一系列设置后， 开始升级为域控制器，如图 图 始 升级 8 建组织单位 组织单位是可 以将用户、组、计算机和其他组织单位放入其中的 样便能将大楼内所有用户、组、计算机等组织成各逻辑管理组。 利用“ 户和计算机”管理工具来实现创建组织单位。 打开“ 户和计算机”选择新建组织单位，如图 图 建组织单位 根据个部门名称在域中建立各个组织单位，实现对各个部门的管理。 图 入组织单位名称 当我们建立完成组织单位后，便能开始对组织单位内建立用户，使各部门用户均在9 自己部门的组织单位中，这样就能方便管理 员对各部门的集体管理。 对应各部门在组织单位中选择新建用户如图 图 组织单位中添加用户 对各个用户输入其信息（如图 为用户建立密码（如图 图 图 为大楼内部建立组织单位： 根据管理需要，我们 需要为大楼内部的管理员建立个管理员组织单位，将管理员 统一加入到该组织单位，赋予管理员组较高的管理权限。因为大楼内的实训中心主要是培训，这样并不能保证所有用户都能正确安全的使用计算机， 我们则将为这些培训的计算机建立一个组织 实训中心，为其配置默认帐户，并将其建立严格的权限限制，防止因外来培训人员的不正当操作影响计算机的正常使用和降低大楼内部的工作效率。为各办公室建立办公组，各办公组中都拥有其管理人员，这样可以方便因各办公 室需求不同，10 为不同的用户制定相关的策略。 置组策略 网络管理员的工作之一就是管理用户和计算机，组策略是帮助配置和管理系统的其中一种工具。 组策略对象是应用到一个或者一组用户和计算机的共同配置组合，通过用户和计算机的软件设置， 置和管理模板组成。通过对组策略对象的配置，管理员就能够动态控制网络上的用户和计算机了。 按照大楼的分布，大楼内拥有不同的用户，不同的部门，为了限制各部门特定的权限及应用，适当的对各组织单位设置组策略这样能提高管 理员的管理效率还能适当的避免用户的不恰当操作而引 起的计算机故障。 根据大楼需求将为其网络内的超级管理员组建立完全控制的组策略，使管理员拥有完全管理整个域中所有计算机的权限，并对各用户可以进行管理。 根据办公组用户的要求我们给予其访问服务器的权限，但禁止其对服务器进行设置，这样能够提高服务器的安全。同时对于该用户而言， 给予其较高的访问权限，能够方便其办公需求的资源访问。 对于实训组的组策略设置，将其权限尽量降低，仅提供其培训所需的最低级别权限，这样能减少其对网络的资源消耗，提高网络和服务器的效率。 各组策略设置均按下列例子设置： 首先进入组织单位的属性中 的组策略新建组策略（图 图 织单位属性 然后对新建的组策略进行编辑（图 11 图 策略编辑器 为了不让用户添加和删除程序，我们为其添加一个组策略，既设置禁止控制面板中的“添加删除程序”组件（图 图 策略编辑器中的控制面板 12 图 置删除“添加或删除程序” 大楼内 活动目录 的层次结构 （图 图 户层次 13 SA 004 微软公司推出的 网络安全产品，是一款企业级路由软件防火墙。其主要功能有：一、安全发布远程访问内容。 二、连接和保护分支机构。 三、防御外部和内部的基于 威胁。 图 络拓扑 制定访问规则，提高服务器性能同时限制用户的一些非工作需要的操作。 图 施流程 14 为了保护服务器群组的安全，为服务器群组的网络建立一个 火墙，并为其建立 火墙规则，规则如下 名称 动作 协议 从 /帧听器 件 允许为了进行身份验证而访问目录服务 允许 C C 本地主机 内部 所有用户 允许 使用终端服务远程管理火墙 允许 端服务） 远程管理计算机 本地主机 所有用户 允许使用远程记录日志到信任的服务器上 允许 据报 字服务 话 本地主机 内部 所有用户 允许从 外部网络选 服务器的议 允许 部 内部 所有用户 允许从 外部网络 到所有网络的 求 允许 求 外部 内部 所有用户 允许从 内部网络到所有网络的 务回复 允许 复 内部 外部 所有用户 允许从 外部网络的计算机到内部服务器群组的 议 允许 部 内部 所有用户 允许从 火墙到选择的服务器的远程志记录 允许 本地主机 内部 所有用户 允许从 外部网络计算机使用问内部 点 允许 外部 内部 所有用户 15 络系统安全 针对企业内部局域网存在的安全隐患，在进行安全方案设计时要针对可能面临的风险而采取相应的安全措施。 网络安全可以从下面几个方面来分析： 通过分析几类安全隐患可以发现，局区网安全隐患主要在于非法的入侵、病毒以及恶意的攻击，其目的主要表现于 有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。 敏感数据在有意或无意中被泄漏出去或丢失。 非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。 不断对网络服务系统进行干扰，改变其正常的作 业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用。 对安全威胁分析可看出网络安全 策略主要集中在对服务器的安全保护、防黑客、防病毒以及重要网段的保护，因此在对局域网的安全措施因做到： 防止黑客从外部攻击 访问的检测与监控 信息审核与记录 病毒防护 数据安全保护 数据备份与恢复 16 第三章 服务器的搭建立 为了提高高训大楼的工作效率，方便其用户的工作需求， 所以在此需要帮高训大楼配置一些服务器，达到服务的效果。 务器配置 计算机之间只能互相认识 址，为了便于用户在记忆大楼中各个计算机，则需要提供 务。 域名系统的缩写，它是由解析器和 域名服务器组成的。 指 保存有该网络中所有主机的域名和对应 址，并具有将域名转换为 址功能的服务器。 其中域名必须对应一个 址，而 址则不一定需要对应域名。 为了实现 务，我们首先需要在 件向导中安装网络服务 图 装网络服务 当组件安装完毕后，我们便可以开始配置 务器了。 我们在 需要建立一个域或多个域，并在域中建立主机、别名，当用户需要访问特定的主机的时候可以靠这些记录直接使用域名找到所需访问的计算机（ 17 图 据大楼内部结构建立 用域和划分主机 。 部门 域名 楼层 主机 培训成果展示厅 F 示中心 F 字印刷 实训中心 F 加工中心 F 代汽车维修实训中心 F 子通信系 F 宇智能化实训中心 F 业自动控制实训中心 F 工学校教学基地 F 业设计实训中心 0F 块动漫培训公司 1F 用设计系 2F 用设计系（ 2） 3F 际商务系 4F 8 深圳市鹏程职业技能鉴定所 5F 师服务中心 6F 圳市高技能人才公共实 训管理服务中心 7F 续教育报告厅 8F 续教育报告厅（ 2） 9F 了实现内网结合外网的 务器，我们还需要设置 发器，转向外网的 务器的配置 对于在企业内部网上使用了 P 协议的主机而言，一个独立的 必须的。一台主机有了 可以跟网络上的其他计算机通信。但是并不是每个计算机用户都能对P 进行合适的配置，为了减少企业内部网的 址冲突并且提高企业内部的工作效率，我们需要对企业内部网进行架设 务器。架设了 务器不仅解决了因为配置不当出现的冲突，还能提高企业内部网中的 用率，同时还减少了管理员的管理工作量。 根据拓扑设计，为不同网络分配不同的 和设置各网络的网关和 务器选项，设置以下列实验为参考。 为了实现 务，首先需要在 制台中新建作用域（图 19 图 制台 出现作用域向导，为作用域设置 址范围、租期等信 息（图 图 图 图 置好租约和 址范围后，还需要为 务器的作用域选项设置网关和 20 图 用域选项 为了使一些特殊的主机和服务器永远不停止对网络的连接，我们需要对起设置保留，以便这些主机或服务器能一直正常的工作。在控制台中的保留选项右键选择新建保留并为其进行设置（图 图 建保留 注：新建保留时候我们需要知道其主机的 址。 根据 划分，建立以下的作用域。 21 子网名称 围 网关 称 管理 0 培训成果展示厅 24 F 0 展示中心 24 F 0 数字印刷实训中心 24 F 0 机加工中心 24 F 0 现代汽车维修实训中 心 24 F 0 电子通信系 24 F 0 楼宇智能化实训中心 24 F 0 工业自动控制实训中 心 24 F 0 技工学校教学基地 24 F 00 工业设计实训中心 24 0F 10 方块动漫培训公司 24 1F 20 应用设计系 24 2F 30 应用设计系（ 2） 24 3F 40 国际商务系 24 4F 50 深圳市鹏程职业技能 鉴定所 24 5F 60 技师服务中心 24 6F 70 深圳市 高技能人才公共实训管理服务中心 24 7F 80 继续教育报告厅 24 8F 90 继续教育报告厅（ 2） 24 9F 立了 务器后，为了给不同网络也能分配地址，我们还要为网络建立 继代理。 图 加 继代理服 务器地址 在此为网络的各 继代理的服务器地址写入便可以为各网络分配 P 配置，完成在不同网络间实现 务。 息服务 息服务主要作用是管理 其 的网站、 点，使用网络新闻传输协议（ 简单邮件传输协议（ 换新闻或邮件。 安装 息服务中的 （图 23 图 装 件 安装完成后并为这些服务配置 务器的配置 文件传输协议的简称，是用于网络上控制文件的双向传输，同时还是一个应用程序。用户可以通过 自己计算机与网络上所有运行 议的服务器相连。 主要作用就是使用户连接一个远程计算机并查看远程计算机有哪些文件，然后把文件从远程计算机复制到本地计算机或把本地计算机的文件复制到远程计算机上。（注： 这些 计算机 都需要运行着 与大多数 网络 服务一样， 是一个客户机 /服务器系统。用户通过一个支持 接到在远程主机上的 务器程序。用户通过客户机程序向服务器程序发出命令， 服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。 建立一个 们需要在 息服务上的 点上新建立一个，打开息服务在 点处右建选择新建 点出现创建向导如（图 24 图 点创建向导 为 点设置 址和 口如（图 图 置 点的 口 配置 点的路径如（图 25 图 务器的配置 务 是图形最为丰富的 务，同时 具有很强的链接能力，它是运行在 层的服务集合，提供最经济有效的信息发布方式。 过使用 提供服务。 为了给高训大楼各部门之间提供一个快捷方便有效的信息发布方式，我们在大楼网络中建立基于 的 务。 在 理器的网站右键选择新建网站如（图 26 图 建网站 出现网站创建向导并根据向导设置站点发布 址和 口如（图 。 图 置站点发布 址和端口 当我们内部网络需要配置多个站点的时候，我们可以在设置站点发布 址和 向导中，利用同一个 址不同的 口来发布多个站点，也可以使用不同的 址在同个端口的情况下发布多个，或者利用虚拟目录来建设多个站点，实现在同个 务器下发布多个 点。 27 在向导提示下，指定站点主目录路径如（图 图 置站点主目录路径 根据向导指示完成 网站创