科技有限公司网络部署毕业论文.doc

0 科技有限公司科技有限公司网络部署毕业论文网络部署毕业论文 目目 录录 前 言 8 第一章 飞扬科技有限公司基本简介 9 第一节 公司基本概述 9 第二节 服务器配置需求 10 第二章 网络操作系统 13 第一节 发展历程 13 第二节 服务器基本概述 14 一 DHCP 服务器 15 二 WINS 服务器 15 三 DNS 服务器 17 四 Internet 服务器 IIS 18 五 E mail 和终端服务 19 第三章 IIS 服务器安装及配置 20 第一节 配置及安全配置 20 第二节 服务器安装 22 第四章 IIS 服务器的安全性 30 第一第 IIS 的安全性 30 一 加强系统 30 二 安全漏洞审计 30 三 做好硬件维护 31 四 做好数据的备份 31 第二节 安全性的建议操作 31 结 论 37 结束语 38 参考文献 39 1 前前 言言 随着 Internet 的高速发展 以及加入 WTO 带来的阵阵竞争浪潮 作为我国 国民经济重要组成部分的中小企业为了在竞争中占据优势 已经纷纷将信息化 作为企业建设的重点 以服务器为核心构建自己的信息系统 搭建商业战略平 台 提高工作效率 增强信息流通 已经成为社会的共识 往往人们谈到服务器配置总是想到一个服务器 一个操作系统 其实笔者 认为服务器与服务是两个概念 本文讲的是服务 当然你把它装到硬件上自然 也就成了服务器 比如你配了个 DNS 装到一台联想的万全服务器上 那么这 台服务器也就顺理成章地成了一台 DNS Server 大家都知道一句话 一切 从用户的利益出发 那么本文的结构也是从中小企业网络管理员的角度划 分 接入服务器 IIS 服务器 Web 服务器 邮件服务器 文件服务器 经过十多年的发展 现在许多企业的网络规模 网络结构和网络应用都较 以前有了质的飞跃 另外 随着专业硬件服务器技术的发展 各主要服务器厂 商的产品线非常齐全 在价格上也一降再降 入门级专业服务器甚至跌到了与 一台普通 PC 机差不多 所以许多企业都抛弃了以前采用普通 PC 机作为服务器 的选择 更多地采用了专业的硬件服务器 但是专业服务器在硬件结构 组件 技术 安装 维护等方面都与普通 PC 有着质的区别 不经过专业的学习是不可 能掌握这些专业硬件服务器技术的 更别说依靠这些技术来解决企业所需的高 级应用和维护管理了 2 第一章第一章 飞扬科技有限公司基本简介飞扬科技有限公司基本简介 第一节第一节 公司基本概述公司基本概述 北京时代飞扬科技有限公司是注册于北京市海淀区中关村科技园区的高科 技公司 并于 2002 年 5 月被认定为北京市高新技术企业 公司主要从事管理软 件及 OA 软件系统的开发销售 计算机系统集成 计算机产品 网络产品分销 综合布线以及机房工程等业务 可为用户提供从硬件到软件一直到电子商务整 体的解决方案 公司在迅速发展过程中 业务广泛 是银行 证券 财政 电 力 电信 军队等行业的认证合作伙伴 公司以富有挑战性的创业机遇 广阔的事业发展前景 吸引了一批立志于 公司发展的高素质的管理和技术人才 并充分激发员工的积极性 创造性和责 任感 形成了一支协同 创新 进取的人才队伍 公司运用现代管理模式 把先进的技术 周到的服务与人文精神相结合 服务于社会各行各业 为用户提供全面系统的服务 注重用户的实际需求和长 期合作 并针对这些需求开发 整合各方资源 以提供最贴近用户需求的解决 方案 我们具有在系统分析与设计 工程设计与实施 网络设计与实现 软件 定制开发与行业服务等方面的综合实力 公司长期从事计算机软 硬件的开发 集成工作 以及 ERP 管理软件系统实施 网络综合布线 UPS 电源配置 机房 装修等大型工程 并取得了大量成功的经验 受到了众多用户的好评 今天 北京时代飞扬科技有限公司正以卓越的网络科技为企业量身定制各 种应用方案 从软件系统开发 机房工程 电源系统集成 智能建筑布线系统 3 到企业 政府网络系统建设 我们出色的产品与服务将为用户信息网络的建设 与完善做出不懈的努力 根据公司内部结构 一楼和二楼均为办公区域 而设备间与接入光纤配置 在一楼 需要同时满足不超过 50 名员工的上网需求 单位想把员工分组 每组 的信息相互隔离 另外保证每个员工能独享 10 Mbps 带宽 公用服务器位于主 网段 主网段没有用户 为公用设备 对互联网的访问带宽需求小于 2 Mbps 且主要为进入企业内部的流量 如图 1 1 为飞扬公司基本构架图 图 1 1 公司基本构架拓扑图 第二节第二节 服务器配置需求服务器配置需求 目前最基本的服务器应用有文件服务器 数据库服务器 邮件服务器 Web 服务器 多媒体服务器 终端服务器等 这些应用对于服务器配置要求的侧重 点不同 根据不同应用采购不同配置的服务器可以使服务器资源得到充分利用 避免资金和服务器资源的浪费 文件服务器是用来提供网络用户访问文件 目录的并发控制和安全保密措 施的局域网服务器 通俗些来说 文件服务器就是用来管理共享文件的计算机 二楼办公区域 工作网络 一楼办公区域 工作网络 设备间 光纤接入 4 在企业中需要共享一些文件 如 PPT 软件等 用户需要通过共享方式或 FTP 的方式进行文件的下载或者上传 文件服务器要承载大容量数据在服务器和用 户磁盘之间的传输 所以首先来说 对于网速具有较高要求 由于文件服务器 主要应用于局域网环境 目前服务器上一般都具有 1 个或者 2 个千兆以太网接 口 并且通过百兆交换机等设备连接客户端 所以在网速方面基本都可以满足 大文件传输的要求 其次是对磁盘的要求比较高 文件服务器要进行大量数据的存储和传输 所以对磁盘子系统的容量和速度都有一定的要求 选择高转速 高接口速度 大容量缓存的磁盘 并且组建磁盘阵列 如 RAID 0 RAID 5 可以有效提升磁 盘系统传输文件的速度 除此之外 大容量的内存可以减少读写硬盘的次数 为文件传输提供缓冲 提升数据传输速度 文件服务器对于 CPU 等其他部件的 要求不是很高 在企业的信息化建设中 数据库是最为广泛的一种应用 构建数据库服务 器可以将企业内部数据合理进行存储和组织 使企业信息的检索和查询执行更 为高效 目前主流应用的数据库产品有 Oracle IBM DB2 微软 SQL Server MySQL 和 Sybase 等 数据库服务器对系统各个方面要求都很高 要处理大量的随机 I O 请求和 数据传送 对内存 磁盘以及 CPU 的运算能力均有一定的要求 内存方面 数 据库服务器需要高容高速的内存来节省处理器访问硬盘的时间 提高服务器的 响应速度 同时 一些数据库产品如 Oracle 对于硬件的要求比较高 比如安装 Windows 版本的 Oracle 10G 要求至少需要 1GB 物理内存 5 在磁盘方面 高速的磁盘子系统也可以提高数据库服务器查询应答的速度 这就要求磁盘具有高速的接口和转速 目前主流应用的存储介质有万转或者 15000 转的 SAS 硬盘或 SCSI 硬盘等 数据库服务器对于处理器性能要求也很高 数据库服务器需要根据需求进 行查询 然后将结果反馈给用户 如果查询请求非常多 比如大量用户同时查 询的时候 如果服务器的处理能力不够强 无法处理大量的查询请求并作出应 答 那么服务器可能会出现应答缓慢甚至死机的情况 邮件服务器是对实时性要求不高的一个系统 对于处理器性能要求不是很 高 但是由于要支持一定数量的并发连接 对于网络子系统和内存有一定的要 求 邮件服务器软件对于内存需求也较高 如 Exchange 2007 运行时需要占用 2GB 左右的内存 同时 邮件服务器需要较大的存储空间用来存储邮件及一些 文件 但是对中小企业来说 企业邮箱的数量一般只在几百个以下 所以对于 服务器的配置要求并不高 一台入门级的服务器完全可以承载几百个邮件客户 端的需求 邮件服务器对于硬件要求程度依次为内存 磁盘 网络系统 处理器 不同的网站内容对于 Web 服务器硬件需求也是不同的 如果 Web 站点是静 态的 对 Web 服务器硬件要求从高到低依次是 网络系统 内存 磁盘系统 CPU 如果 Web 服务器主要进行密集计算 例如动态产生 Web 页 则对服务器硬 件需求依次为 内存 CPU 磁盘子系统和网络系统 表 1 1 中列出了不同应用 对于服务器关键部件的需求情况 表 1 1 不同应用对于服务器部件的需求 应用情况CPU 数量内存数量 MB 只有静态网页 1128 256 6 生成动态网页 2256 1GB 局域网 200 次访问 秒 1256 512 局域网 500 次访问 秒 2512 1GB 局域网 1000 次访问 秒 2 41GB 8GB 终端服务器是实现集中化应用程序访问的一种服务器 使用终端服务的客 户可以在远程以图形界面的方式访问服务器 并且可以调用服务器中的应用程 序 组件 服务等 和操作本机系统一样 这样的访问方式不仅大大方便了各 种各样的用户 而且大大地提高了工作效率 并且能有效地节约企业的成本 终端服务器由于是将客户端的所有负载均加在服务器端 所以对于服务器 的处理能力有一定的要求 处理器要可以承载一定数量的并发请求 提供快速 的响应速度 如果处理能力不够 容易造成服务器响应缓慢 软件运行错误甚 至宕机的情况 高速大容量的内存可以提高终端服务器的响应速度 也是提升 整体性能的必要条件之一 由于终端服务器与客户端的数据传输量并不是很大 所以对于网络要求不是很高 并且终端服务器主要是应用于企业内部网络 内 部高速的局域网环境完全可以满足终端服务器和客户端之间的带宽需求 第二章第二章 网络操作系统网络操作系统 7 第一节第一节 发展历程发展历程 UNIX 是 1969 年 美国贝尔实验室的 K Thompson 和 D M Ritchie 在规模较 小及较简单的分时操作系统 MULTICS 的基础上开发的 它是最早期的网络操 作系统 是基于多用户环境而设计的 即多用户操作系统 并且具有内建的 TCP IP 支持 UNIX 是为了适应第一代网络的需要而开发的 具有良好的稳定 性 健壮性和安全性的特点 UNIX 操作系统从一个非常简单的操作系统发展 成为性能先进 功能强大与使用广泛的操作系统 其主要用于专业服务器 进 行工程和科学计算 NetWare 系统是 Novell 公司在 20 世纪 80 年代推出的一款网络操作系统 它最重要的特征是基于模块设计的开放式系统结构 NetWare 是一个开放的网 络服务器平台 可以方便地对其进行扩充 它对不同的工作平台 不同的网络 协议环境以及不同的工作站操作系统提供了一致的服务 NetWare 借鉴了 UNIX 操作系统的许多优点 具备多任务 多用户的网络操作系统 无需专门 服务器 任何一台 PC 机均可作为其服务器 在 90 年代初风靡一时 Linux 是一套免费使用和自由传播的网络操作系统 它主要用于基于 Intel x86 系列 CPU 的计算机上 这个系统是由全世界各地的程序员共同设计和实现 的 其目的是开发一款不受任何商品化软件的版权制约的 每个人都能自由使 用的 UNIX 兼容产品 Linux 以它的高效性和灵活性著称 它能够在个人计算 机上实现全部的 UNIX 特性 并具有多任务 多用户的功能 Windows NT 是 Microsoft 公司与 1993 年推出的一款网络操作系统 它是由 Microsoft 推出的面向工作站 网络服务器和大型计算机的网络操作系统 也可 8 做个人计算机的操作系统 其采用 SMP 技术 支持多 CPU 系统 并且提供了 多任务 高效率和高安全级等功能 Microsoft 与 2000 年 2 月 17 日发布了 Windows 2000 Server 操作系统 它结合了 Windows 98 和 Windows NT 的很多 优良的功能于一身 可为部门或中小型企业用户提供文件打印 应用软件 Web 和通信等服务 2002 年 Microsoft 法布里 Windows Server 2003 操作系统 它沿用了 Windows 2000 Server 的先进技术使之更易于部署 管理和使用 同时 提供了安全性 可靠性和可伸缩性等功能 Windows Server 2003 操作系统增 强了群集支持 从而提高了其可用性 群集服务 在组织部署关键电子商务与 业务线应用程序方面起到了很重要的作用 因为这些服务显著改进了可用性 可伸缩性和易管理性 在 Windows Server 2003 中 群集安装和设置更容易也 更可靠 而该产品中增强的网络功能提供了更强的故障转移能力和更长的系统 运行时间 Windows Server 2003 操作系统支持多达 8 个节点的服务器群集 如果群集中某个节点由于故障或者维护而不能使用 另一节点会立即提供服务 这一过程称为故障转移 Windows Server 2003 还支持网络负载均衡 NLB 它在群集中各个节点之间平衡传入的 Internet 协议 IP 流量 第二节第二节 服务器基本概述服务器基本概述 服务器 也称伺服器 服务器是网络环境中的高性能计算机 它侦听网络 上的其他计算机 客户机 提交的服务请求 并提供相应的服务 为此 服务 9 器必须具有承担服务并且保障服务的能力 有时 这两种定义会引起混淆 如 域名注册查询的 Web 服务器 它的高性能主要体现在高速度的运算能力 长时间的可靠运行 强大的外 部数据吞吐能力等方面 服务器的构成与微机基本相似 有处理器 硬盘 内 存 系统总线等 它们是针对具体的网络应用特别制定的 因而服务器与微机 在处理能力 稳定性 可靠性 安全性 可扩展性 可管理性等方面存在差异 很大 一个管理资源并为用户提供服务的计算机软件 通常分为文件服务器 能使用户在其它计算机访问文件 数据库服务器和应用程序服务器 服务器是网站的灵魂 是打开网站的必要载体 没有服务器的网站用户无 法浏览 服务器就像一块敲门砖 就算网站在搜索引擎里的排名再好 网站打 不开 用户无法浏览 网站就没有用户体验可言 网站能被打开是第一个重点 一 一 DHCPDHCP 服务器服务器 DHCP Dynamic Host Configuration Protocol 它是动态主机配置协议 一 台计算机只要添加相应的 DHCP 组件 进行必要的设置就可成为 DHCP 服务器 DHCP 服务器可以自动为局域网中的每一台计算机 客户端 分配 IP 地址 也 可以自动设置每台计算机的子网掩码 网关以及 DNS 服务器等网络参数 DHCP 可以说是 BOOTP 的增强版本 它分为两个部份 一个是伺服器端 而另一个是客户端 所有的 IP 网路设定资料都由 DHCP 伺服器集中管理 并 负责处理客户端的 DHCP 要求 而客户端则会使用从伺服器分配下来的 IP 环 境资料 比较起 BOOTP DHCP 透过 租约 的概念 有效且动态的分配客 户端的 TCP IP 设定 而且 作为兼容考量 DHCP 也完全照顾了 BOOTP Client 的需求 10 DHCP 服务器 即动态主机配置协议 Dynamic Host Configuration Protocol 从原有的 Bootp 协议发展而来 原来的目的是为了无牌工作站分配 IP 地址的协议 现在更多地用于对多个客户计算机集中分配 IP 地址以及 IP 地 质相关的信息的协议 这样就能将 IP 地址和 TCP IP 的设置统一管理起来 而 避免不必要的地址冲突 在 DHCP 中 客户机不拥有 IP 地址 而是依靠租用 地址 二 二 WINSWINS 服务器服务器 WINS 是 Windows Internet Name Service Windows 网际名称服务 的简 称 WINS 为 NetBIOS 名字提供了名称注册 名称更新 名称查询 名称释 放 这些服务允许 WINS 服务器维护一个将 NetBIOS 链接到 IP 地址的动态数 据库 大大减轻了对网络通讯的负担 Windows Server 2003 WINS 包括服务器增强 附加的客户功能以及改进的 管理工具 WINS 提供了分布式数据库 在可路由网络环境中来动态的注册和查 询计算机名字和 IP 地址的映射 WINS 支持 NetBIOS 计算机名字的动态注册 这意味着 WINS 能和 DHCP 一块使用 提供基于 Windows 的 TCP IP 网络的简单配 置和管理 由于在混合网络的环境中 早期客户机使用网络基本输入 输出系统 NetBIOS 名字进行通信 因此在带有早期客户机的 Windows 2000 的网络就 要求有一种方法 能够把 NetBIOS 名字解析成 IP 地址 Microsoft 版本的 TCP IP 包括应用程序接口 API 它使应用程序能够 构成一个使用 NetBIOS 名称的网络申请 并把该名称翻译成 IP 地址 这样 可 以使用 TCP IP 协议编写用于通信的 NetBIOS 应用程序 所以 出现 WINS 这样 11 的服务 它实际上就是一个增强的 NetBIOS 名字服务器 它注册 NetBIOS 计算 机名字并把它们解析成 IP 地址 WINS 主要工作于客户机 服务器的环境 在这个环境中 WINS 客户向 WINS 服务器发送名称解析请求 WINS 服务器解析请求并做出响应 WINS 提供一个分布式数据库 它的作用是在路由网络的环境中对 IP 地址 和 NetBIOS 名的映射进行注册与查询 这可能是解决 NetBIOS 名与 IP 地址之 间转换的比较合适的一种方法 对于比较复杂的网络如互联网更是如此 LMHOSTS 文件在广播式系统中有一点缺点 它是基于广播的 所以对网 络的通信量是一个沉重的负担 这个问题并未得到解决 有人设计了通过路由 协议进行单播式的动作对 NetBIOS 名字进行注册和解析 如果采用这个协议 那就可以解决了广播的问题 也就没有必要使用 LMHOSTS 文件了 使动态配 置的灵活性与方便性得到重新体现 使得这个系统可以和 DHCP 协议无缝连接 我们可以想象 当 DHCP 给一台计算机分配了一个地址后 这个更新可以直接 在 WINS 数据库中体现 用户和管理员都不需要进行任何额外的工作 十分方 便 WINS 协议可以和 NBNS 一起工作 但是因为 WINS 数据库备份的问题没 有解决 因为它不能和别的 NetBIOS 名字服务器一起工作 数据不能在 WINS 服务器和非 WINS 服务器间进行复制 WINS 是基于客户服务器模型的 它有两个重要的部分 WINS 服务器和 WINS 客户 我们首先看一下服务器 它主要负责处理由客户发来名字和 IP 地 址的注册和解除注册信息 如果 WINS 客户进行查询时 服务器会返回当前查 询名下的 IP 地址 服务器还负责对数据库进行备份 而客户主要在加入或离开 网络时向 WIN 服务器注册自己的名字或解除注册 当然了 在进行通信的时候 它也向服务器进行查询 以确定远程计算机的地址 我们使用 WINS 的好处在什么地方呢 WINS 就是以集中的方式进行 IP 地 址和计算机名称的映射 这种方式可以简化网络的管理 减少网络内的通信量 但是这种集中式的管理方式可以和星型结构相比 我们有理由怀疑它可以会成 为网络的瓶颈 在本地的域控制器不在路由器管理网段的另一段时 客户仍然 可以游览远程域 在集中处理的时候 数据都会集中于这个服务器中 一定要 12 注意不要让这个节点失败 WINS 的另外一个重要特点是可以和 DNS 进行集成 这使得非 WINS 客户 通过 DNS 服务器解析获得 NetBIOS 名 这对于网络管理提供了方便 也为异 种网的连接提供了另一种手段 我们可以看到 使用集中管理可以使管理工作 大大简化 但是却使网络拓朴结构出现了中心结点 这是一个隐性的瓶颈 而 如果采用分布式的管理方式 却有个一致性的问题 也就是如果一个服务器知 道了这个改变 而另一个不知道 那数据就不一致了 这时候要有一些复杂的 算法来解决这一问题 两台服务器要想知道对方的情况 不可能不进行通信 也就无形中加重了网络负担 网络就是这样 集中起来就加大了单机的处理压 力 而分布了就增加了网络传输量 天下没有十全十美的事情 三 三 DNSDNS 服务器服务器 DNS 最早于 1983 年由保罗 莫卡派乔斯 Paul Mockapetris 发明 原始的 技术规范在 882 号因特网标准草案 RFC 882 中发布 1987 年发布的第 1034 和 1035 号草案修正了 DNS 技术规范 并废除了之前的第 882 和 883 号草案 在此之后对因特网标准草案的修改基本上没有涉及到 DNS 技术规范部分的改动 DNS Name Server DNS 名称服务器 或简称 DNS 服务器 保存着域名空间 中部分区域的数据 如果 DNS 服务器负责管辖一个或多个区域 我们就称这个 服务器为这些区域的授权名称服务器 DNS 服务器可以不存储任何区域的信息 或者存储一个或多个区域的信息 当 DNS 服务器接收到 DNS 查询时 它检索它的本地区域以定位所请求的信息 如果因为服务器不是所请求 DNS 域的授权 从而没有所请求域的数据而使检索 失败 服务器就检查它的高速缓存并与其他 DNS 服务器通信以解析该请求 或 者把客户机提交给另一个可能知道答案的 DNS 服务器 13 DNS 服务器可以管理主区域和辅助区域 用户可以把服务器配置成管理多 个不同的主区域和辅助区域 以尽量接近实际情况 这意味着服务器可能管理 一个区域的主拷贝和另一个区域的辅助拷贝 或只管理一个区域的主拷贝或辅 助拷贝 对每个区域 管理其主区域的计算机是该区域的主服务器 管理其辅 助区域的服务器是该区域的辅助服务器 四 四 InternetInternet 服务器服务器 IIS IIS IIS Internet Information Services IIS 互联网信息服务 是由微软 公司提供的基于运行 Microsoft Windows 的互联网基本服务 IIS 是 windows2003 2008 系统自带组件 无须安装第三方程序即可用来搭建各种网站 并管理服务器中的所有站点 在 windows2008 中 IIS 的版本是 7 0 它全面支 持 ASP 和 NET 并且完全以 随需定制 的模式展现 其安全性更高 管理界 面也更加友好 IIS 作为当今流行的 Web 服务器之一 提供了强大的 Internet 和 Intranet 服务功能 如何加强 IIS 的安全机制 建立一个高安全性能的 Web 服务器 已 成为 IIS 设置中不可忽视的重要组成部分 IIS 通过超文本传输协议 HTTP 传输信息 还可配置 IIS 以提供文件传输协议 FTP 和其他服务 如 NNTP 服 务 SMTP 服务等 Windows Server 2003 家族的 Internet 信息服务 IIS 可在 Intranet Internet 或 Extranet 上提供可靠 可伸缩和易管理的集成化 Web 服务器 IIS 是一个可为动态网络应用创建强大通讯平台的工具 IIS 可以提供 Web FTP SMTP 和 NNTP 四个方面的服务 不但实现了公司 内部网络的 Internet 信息服务 而且还可使公司网络连接到 Internet 上 为 公司的远程客户或业务伙伴提供信息服务 14 关于 IIS 让人更加容易让人迷惑的是不同的微软服务器操作系统之间的区 别以及如何选择的问题 由于它与操作系统结合得非常紧密 这使 IIS 的问题 不再局限与 IIS 简单的说 其实它就是发布网站的后台支撑程序 可以使你 的机器成为一台 WEB 服务器 再详细些 IIS 是随 Windows NT Server 4 0 一 起提供的文件和应用程序服务器 是在 Windows NT Server 上建立 Internet 服 务器的基本组件 它与 Windows NT Server 完全集成 允许使用 Windows NT Server 内置的安全性以及 NTFS 文件系统建立强大灵活的 Internet Intranet 站点 五 五 E mailE mail 和终端服务和终端服务 电子邮件 E mail 又称电子信箱 是一种用电子手段提供信息交换的通信方 式 它是互联网上最普通的一项服务 这种非交互式的通信 加速了信息的交 流及数据的传送 接收 存储等处理 电子邮件系统是一种新型的信息系统 是通信技术和计算机技术结合的产物 它是一种 存储转发式 的服务 属于 异步通信方式 终端服务提供了通过作为终端仿真器工作的 瘦客户端 软件远程访问服 务器桌面的能力 终端服务把该程序的用户界面传给客户端 然后返回键盘和 鼠标单击动作以便由服务器处理 每个用户都只能自己登陆并看到它们自己的 会话 这些会话由服务器操作系统透明地进行管理 而且与任何其他客户机会 话无关 终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配 置 15 第三章第三章 IIS 服务器安装及配置服务器安装及配置 第一节第一节 配置及安全配置配置及安全配置 Windos server 2008 上建立域跟在 windows server 2003 上建域操作基本 上都差不多 根据飞扬科技有限公司的员工需求和基本构架拓扑图 所有员工均可以访 问 Internet 充分考虑网络搭建是租用价格和通信线路质量 如图 3 1 为公司 网络结构拓扑图 192 168 33 1 192 168 33 100 192 168 33 133 192 168 33 10 10 10 10 1 交换机 图 3 1 网络结构拓扑图 公司网络拓扑图的架设结构 选用的接入设备为模块化路由器和以太网交 换机 服务器配置的系统平台为 Windows 2003 设备配置介绍如表 3 1 192 168 33 200PC 机PC 机 16 表 3 1 设备介绍 设备名称设备名称型号型号端口类型端口类型 模块化路由器 H3C MSR 202010 100Base T TX 接入设备接入设备以太网交换机 H3C S310010 100Base T TX 100Base FX 服务器服务器系统平台系统平台 Dns 服务器 Windows 2003 Web 服务器 Windows 2003ISA Server 2004 Nat vpn 服务器 Windows 2003 ftp 服务器 Windows 2003 服务器配置服务器配置 Samba 服务器 Windows 2003 公司所有路由器 交换机都采用 Cisco 产品 路由协议采用 OSPF 协议 路 由器接口的 IP 地址及域名参数等见表 3 2 表 3 2 域名及 IP 地址 服务器名称服务器名称域名域名IPIP 地址地址 Dns 服务器192 168 33 10 Dhcp 服务器192 168 33 10 Web 服务器192 168 33 1 ftp 服务器192 168 33 1 Vpn 服务器Eth 10 10 10 1 eth 192 168 33 10 服务器有塔式 机架式 刀片式 塔式形似家用电脑的台式机箱 价格便 宜 功能实现上可以用作文件 邮件 域名 或者叫做办公 网页 服务器 在需求并不高的情况下选用 Dell 的 PowerEdge T110 即可 在戴尔的产品下也 有对现有机型的自选配置 包括 CPU 操作系统 内存和硬盘等等 微软的服务器操作系统现在主要用的有 windows 2000 server windows s erver 2003 和 windows NT 以及 windows server 2008 17 WindowsWindows ServerServer 20032003 标准版标准版 Windows Server 2003 Standard Edition 销售目标是中小型企业 支持 文件和打印机共享 提供安全的 Internet 连接 允许集中的应用程序部署 支 持 4 个处理器 最低支持 256MB 的内存 最高支持 4GB 的内存 WindowsWindows ServerServer 20032003 企业版企业版 Windows Server 2003 Enterprise Edition Windows Server 2003 企业 版与 Windows Server 2003 标准版的主要区别在于 Windows Server 2003 企 业版支持高性能服务器 并且可以群集服务器 以便处理更大的负荷 通过这 些功能实现了可靠性 有助于确保系统即使在出现问题时仍可用 在一个系统 或分区中最多支持八个处理器 八节点群集 最高支持 32GB 的内存 WindowsWindows ServerServer 20032003 数据中心版数据中心版 Windows 2003 Datacenter Edition 针对要求最高级别的可伸缩性 可用 性和可靠性的大型企业或国家机构等而设计的 它是最强大的服务器操作系统 分为 32 位版与 64 位版 32 位版支持 32 个处理器 支持 8 点集群 最低要 求 128M 内存 最高支持 512GB 的内存 64 位版支持 Itanium 和 Itanium2 两 种处理器 支持 64 个处理器与支持 8 点集群 最低支持 1GB 的内存 最高支持 512GB 的内存 Windows Server 2008 是一套相等于 Windows Vista 代号为 Lon ghorn 的服务器系统 两者很可能将会拥有很多相同功能 Vista 及 Server200 8 与 XP 及 Server2003 间存在相似的关系 XP 和 Server 2003 的代号分别为 Whistler 及 Whistler Server Windows server 2008 具有了自修复 NTFS 文 件系统和快速关机服务 18 第二节第二节 服务器安装服务器安装 首先 从开始进入运行的对话框 输入 dcpromo 的命令 点 确定 即 进入域控制器 dcpromo 命令是一个 开关 命令 如果 Windows 2003 Server 计算机是成员服务器 则运行 dcpromo 命令会安装活动目录 将其升级为域控 制器 如果 Windows 2003 Server 计算机已经是域控制器 则运行 dcpromo 命 令会卸载活动目录 将其降级为成员服务器 图 3 2 运行 dcpromo 19 图 3 3 新建域 图 3 4 用户凭证 当 IIS 添加成功之后 再进入 开始 程序 管理工具 Internet 服务管理器 20 以打开 IIS 管理器 对于有 已停止 字样的服务 均在其上单击右键 选 启动 来开启 进入 控制面板 依次选 添加 删除程序 添加 删除 Windows 组件 重 新勾选中后按提示操作即可完成 IIS 组件的添加 在安装过程中要插入 WIN2000 或 WINXP 安装盘 测试 安装完毕后 在浏览器地址栏中输入 http localhost 或 http 服务 器名 或 http 127 0 0 1 或 http 本机 IP 如果连接成功就会出现 localstart asp 的页面 图 3 5 Windows 组件向导 21 图 3 6 应用服务器组件 22 图 3 7 安装集群服务 图 3 8 文档选项卡 23 图 3 9 新建网站 图 3 10 IP 地址和端口号的设置 24 图 3 11 主目录路径 图 3 12 置目录安全性 25 1 IIS 之之 WEB 服务器的配置服务器的配置 在 Internet 信息服务 管理窗口中右击 默认 WEB 站点 在弹出的菜单中 选择 属性 选项 进入属性设置对话框 设置 WEB 站点 这里可以设置站点服务器的 IP 地址和访问端口 在 IP 地址 栏中选择目前能够使用的 IP 地址 TCP 端口默认为 80 当然为了保 密 也可以设置特殊的端口 设置 主目录 本地路径 默认为 c Inetpub wwwroot 当然可以输入 或用 浏览 按钮选择 你自己网页所在的目录作为主目录 设置 文档 选项 启用默认文档 选中后 当在浏览器中输入域名或 IP 时 系统自动在 主目录 中按上到下的顺序寻找列表中指定的文件名 其他的 设置均可按默认设置 若要从主目录以外的目录发布信息 则就要创建虚拟目录了 虚拟目录是 指物理上未包含在主目录中的目录 但浏览器却认为该目录包含在主目录中 创建的方法 比如你的主目录在 c Inetpub wwwroot 下 而你的网页文件在 E All 中 你就可以创建一个别名为 test 的虚拟目录 就可以这样来创建 在 默认 Web 站点 上单击右键 选 新建 虚拟目录 依次在 别名 处输入 test 在 目录 处输入 E All 后再按提示操作即可添加成功 创建完了就可以输入 localhost test 就可以访问了 访问本页的时间是 将其保存到 C Inetpub wwwroot 目录下 文件可命名为 1 asp 在浏览器地址栏中输入 http localhost 1 asp 然后按回车 观察运行情 26 况 将 1 asp 文件复制刚才创建的虚拟目录中 假如别名为 test 在浏览器的地址栏中输入 http localhost test 1 asp 按回车 观察运行 情况 2 IIS 之之 ftp 服务器服务器的配置的配置 第一个 FTP 站点 即 默认 FTP 站点 的设置方法请参照前文 Web 服务 器中相关操作执行 需要注意的是 如果用一个 IP 地址对应多个不同的 FTP 服务器 则只能用使用不同的端口号的方法来实现 第四章第四章IISIIS 服务器的安全性服务器的安全性 第一节第一节IISIIS 的安全性的安全性 一 加强系统一 加强系统 把重点放在服务器端口上 每一个端口对于不需要的入侵者都是一个开放 的邀请 因此 关闭所有不使用的端口是非常重要的 在把窗户和门锁好之后 现在是减少服务器中的安全漏洞数量的时候了 这叫做增强系统 可以采取许多步骤增强系统 但是 最重要的步骤之一是删除服务器中的 所有不需要的软件 整理软件是增强系统的正确的方法 因为每一个应用程序都有自己的安全 漏洞 通过删除不必要的应用程序 可以减少系统受到攻击的途径 例如 如 果正在运行一个网络服务器 应该正删除不必要的办公和娱乐软件 这样 就 不会受到利用这些应用程序中的安全漏洞实施的攻击 27 如果有多台服务器 一些专家建议每一台服务器专门完成一项任务 因为 这样可以显著减少每一台服务器的安全漏洞数量 这对于希望通过服务器整合 省钱的小企业也许不是一种选择 但是 对于最担心安全问题的大企业来说专 用的服务器也许是一个正确的选择 二 安全漏洞审计二 安全漏洞审计 一旦采取了增强服务器安全的所有步骤 也许要使用一种审计工具坚持是 否漏掉了安全漏洞 互联网安全中心是一个极好的资源 提供了几十种免费的 审计工具 可以审计操作系统 应用程序和网络设备的安全漏洞 这些工具将 扫描系统 发现可能漏掉的安全漏洞和开放的端口 在服务器采用了防火墙 增强了并且审计了之后 现在是安装入侵保护软 件和制定维护计划的时候了 保护服务器安全不是一个一次性的程序 需要定 期扫描系统和更新安全软件 还需要跟踪软件厂商发布的安全补丁并且制定计 划定期进行安全审计 三 做好硬件维护三 做好硬件维护 当处理数据越来越多 占用资源也随之增多时 服务器就需要更多的内存 和硬盘容量来储存这些资源 因此 每隔段时间后服务器需要升级 可是需要 注意的增加内存或者硬盘时 要考虑到兼容性 稳定性 否则不同型号的内存 有可能会引起系统出错 还有对设备进行卸载和更换时 需要仔细阅读说明书 不要强行拆卸 而 且必须在完全断电 服务器接地良好的情况下进行 防止静电对设备造成损坏 28 同样 服务器的最大杀手尘土 因此需要定期给服务器除尘 特别要注意 电源的除尘 四 做好数据的备份四 做好数据的备份 对企业来说 服务器上的数据是非常宝贵 如果数据库丢失了 损失是非 常巨大的 因此 企业需对数据进行定期备份 以防万一 一般企业都需要每 天对服务器上的数据进行备份 而且要将备份数据放置在不同服务器上 数据需要备份 同样需要防盗 可以通过密码保护好磁带并且如果备份程 序支持加密功能 还可以加密这些 第二节第二节安全性的建议操作安全性的建议操作 IIS 的安全性却一直令人担忧 如何利用 IIS 建立一个安全的 Web 服务器 是很多人关心的话题 构造一个安全系统要创建一个安全可靠的 Web 服务器 必须要实现 Windows 2003 和 IIS 的双重安全 因为 IIS 的用户同时也是 Windows 2003 的 用户 并且 IIS 目录的权限依赖 Windows 的 NTFS 文件系统的权限控制 所以保 护 IIS 安全的第一步就是确保 Windows 2003 操作系统的安全 1 使用 NTFS 文件系统 以便对文件和目录进行管理 2 关闭默认共享 29 打开注册表编辑器 展开 HKEY LOCAL MACHINE SYSTEM CurrentControlS et Services LanmanServer Parameters 项 添加键值 AutoShareServer 类 型为 REG DWORD 值为 0 这样就可以彻底关闭 默认共享 3 修改共享权限 建立新的共享后立即修改 Everyone 的缺省权限 不让 Web 服务器访问者得 到不必要的权限 4 为系统管理员账号更名 避免非法用户攻击 鼠标右击 我的电脑 管理 启动 计算机管理 程序 在 本地用户 和组 中 鼠标右击 管理员账号 Administrator 选择 重命名 将管 理员账号修改为一个很普通的用户名 图 4 1 系统管理员账号更名 5 禁用 TCP IP 上的 NetBIOS 鼠标右击桌面上 网络邻居 属性 本地连接 属性 打开 本 地连接属性 对话框 选择 Internet 协议 TCP IP 属性 高级 WINS 选中下侧的 禁用 TCP IP 上的 NetBIOS 一项即可解除 TCP IP 上 的 NetBIOS 30 图 4 2 禁用 TCP IP 上的 NetBIOS 6 TCP IP 上对进站连接进行控制 鼠标右击桌面上 网络邻居 属性 本地连接 属性 打开 本 地连接属性 对话框 选择 Internet 协议 TCP IP 属性 高级 选 项 在列表中单击选中 TCP IP 筛选 选项 单击 属性 按钮 选择 只允 许 再单击 添加 按钮 只填入 80 端口 图 4 3 对进站连接进行控制 31 7 修改注册表 减小拒绝服务攻击的风险 打开注册表 将 HKLM System CurrentControlSet Services Tcpip Param eters 下的 SynAttackProtect 的值修改为 2 使连接对超时的响应更快 1 不要将 IIS 安装在系统分区上 2 修改 IIS 的安装默认路径 3 打上 Windows 和 IIS 的最新补丁 1 1 删除不必要的虚拟目录删除不必要的虚拟目录 IIS 安装完成后在 wwwroot 下默认生成了一些目录 包括 IISHelp IISAdmin IISSamples MSADC 等 这些目录都没有什么实际的作用 可直接删除 2 2 删除危险的删除危险的 IISIIS 组件组件 默认安装后的有些 IIS 组件可能会造成安全威胁 例如 Internet 服务管 理器 HTML SMTP Service 和 NNTP Service 样本页面和脚本 大家可以根据 自己的需要决定是否删除 3 3 为为 IISIIS 中的文件分类设置权限中的文件分类设置权限 除了在操作系统里为 IIS 的文件设置必要的权限外 还要在 IIS 管理器中 为它们设置权限 一个好的设置策略是 为 Web 站点上不同类型的文件都建立 目录 然后给它们分配适当权限 例如 静态文件文件夹允许读 拒绝写 ASP 脚本文件夹允许执行 拒绝写和读取 EXE 等可执行程序允许执行 拒绝读写 4 4 删除不必要的应用程序映射删除不必要的应用程序映射 ISS 中默认存在很多种应用程序映射 除了 ASP 的这个程序映射 其他的 文件在网站上都很少用到 在 Internet 服务管理器 中 右击网站目录 选择 属性 在网站目 录属性对话框的 主目录 页面中 点击 配置 按钮 弹出 应用程序配置 对话框 在 应用程序映射 页面 删除无用的程序映射 如果需要这一类文 件时 必须安装最新的系统修补补丁 并且选中相应的程序映射 再点击 编辑 按 钮 在 添加 编辑应用程序扩展名映射 对话框中勾选 检查文件是否存在 32 选项 这样当客户请求这类文件时 IIS 会先检查文件是否存在 文件存在后 才会去调用程序映射中定义的动态链接库来解析 5 5 保护日志安全保护日志安全 日志是系统安全策略的一个重要环节 确保日志的安全能有效提高系统整 体性 修改修改 IISIIS 日志的存放路径日志的存放路径 默认情况下 IIS 的日志存放在 WinDir System32 LogFiles 黑客当然 非常清楚 所以最好修改一下其存放路径 在 Internet 服务管理器 中 右 击网站目录 选择 属性 在网站目录属性对话框的 Web 站点 页面中 在选中 启用日志记录 的情况下 点击旁边的 属性 按钮 在 常规属性 页面 点击 浏览 按钮或者直接在输入框中输入日志存放路径即可 修改日志访问权限 设置只有管理员才能访问修改日志访问