计算机网络实习计划指导书.doc

计算机网络基础实习指导书实验一 整体认识校园网结构和网络设备【实验目的】1、整体认识网络设备，了解各种设备的用途；2、通过参观网管，了解校园网的拓扑结构。【实验器材】网管室所有网络设备设施。【实验要求】1、了解各设备的用途；2、画出校园网络拓扑结构图，了解网络连接情况。【实验基础知识】一、网络服务器服务器运行网络操作系统，是整个网络系统的核心，它为网络用户提供服务并管理整个网络。随着局域网络功能的不断增强，根据服务器在网络中所承担的任务和所提供的功能不同把服务器分为：文件服务器、打印服务器和通信服务器。文件服务器能将大量的磁盘存贮区划分给网络上的合法用户使用，接收客户机提出的数据处理和文件存取请求；打印服务器接收客户机提出的打印要求，及时完成相应的打印服务；通信服务器负责局域网与局域网之间的通信连接功能。一般在局域网中最常用的是文件服务器。在整个网络中，服务器的工作量通常是普通工作站的几倍甚至几十倍。二、工作站工作站又称客户机，是用户和网络的接口设备，用户通过它可以与网络交换信息，共享网络资源。当一台计算机连接到局域网上时，这台计算机就成为局域网的一个客户机。客户机与服务器不同，服务器是为网络上许多网络用户提供服务以共享它的资源，而客户机仅对操作该客户机的用户提供服务。客户机通过网卡、通信介质以及通信设备连接到网络服务器。例如有些被称为无盘工作站的计算机没有它自已的磁盘驱动器，这样的客户机必须完全依赖于局域网来获得文件。客户机只是一个接入网络的设备，它的接入和离开对网络不会产生多大的影响，它不象服务器那样一旦失效，正在使用这一功能的网络会受到影响，可能会使网络的部分功能无法使用。现在的客户机都用具有一定处理能力的PC（个人计算机）机来承担。三、网络适配器网络适配器NIC（Network Interface Card）即网卡。它是构成计算机局域网络系统中最基本的、最重要的和必不可少的连接设备，计算机主要通过网卡接入局域网络。网卡的接口类型RJ45、BNC、AUI、SC、ST等。网卡的传输速率主要有10MBPS、100MBPS、1000MBPS、10M/100MBPS自适应网卡、100M/1000MBPS自适应网卡等几种。 网卡按总线标准可分为ISA网卡、PCI网卡、PCMCIA网卡、USB网络适配器等几类四、路由器路由器能容易地实现LAN-LAN、WAN-WAN和LAN-WAN-LAN的多种网络连接形式。它最典型的应用在INTERNET上。路由器可以隔离广播分组，使用时可以成环。它的工作依赖设备的逻辑地址（如：IP地址），对到来的数据包进行过滤和转发，以寻找一条最佳传输路径，并将该数据有效地传送到目的站点。为了完成该任务，在路由器中存在着各种传输路径的相关数据-路由表。路由表可以是系统管理员固定设置好的，也可以由系统动态修改的（即动态路由）动态路由：是由守护进程自动更新路由表。通常路由选择的守护进程周期性侦听所有路由刷新信息，并将收到的信息广播，以便其他路由器更新其路由表。路由器主要有以太网接口、快速以太网接口、令牌环网接口、FDDI网、低速串行接口、快速串行接口、ISDN接口等；控制台端口、辅助端口等接口类型。路由器类型主要有模块化路由器、单协议路由器、多协议路由器等。五、交换机1、交换机的工作原理及特性它拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口查找内存中的地址对照表以确定目的MAC地址的网卡挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，当目的MAC地址不存在时才广播到所在的端口，接收端口回应后交接机将把新的地址添加入内部地址表中。交换机对数据包的过滤与转发，可以将网络进行分段，可以有效的隔离广播网暴。交换机的每一个端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。交换机是一种基于MAC地址识别，能完成封装转发数据包功能。2、交换机中数据的交换技术1）帧交换：直通交换：提供线速处理能力，交换机只读出网络帧的前14个字节，便将网络帧传送到相应的端口上。存储转发交换：通过对网络帧的读取进行验错和控制。2）信元交换：ATM技术中就是以固定长度53个字节的信元交换。3、交换机的分类从广义上可分：u1)广域网交换机：主要应用于电信领域，提供通信的基础平台2)局域网交换机：应用于局域网络，用于连接网络资源设备，如服务器、PC及网络打印机等。从支持的网络技术上可分：u以太网交换机、快速以太网交换机、千兆位以太网交换机、FDDI交换机、ATM交换机、令牌环交换机。从外观形态和功能上可分：u1)模块式交换机（机架式交换机）：是一个拥用多插槽主板的机柜，在插槽中有可扩展交换模块和网管模块（CPU板），每一个交换模块可以连接不同的网络。它的优点是功能强大、扩展性强，并且可根据实际网络拓朴结构、传输介质和网络端口数目来灵活配置交换模块。它一般作为网络核心交换机或大型校园网/园区网的分布层交换机2)固定配置的交换机：它是一种带有固定端口数目和类型的交换机。它的最大优点是安装管理方便、便于堆叠、价格适中，最适合做小型网络主干或大型网络的分布层/接入层设备。4、交换机的主要技术参数1)转发技术：有直通转发技术和存储转发技术；2)延时：是指从交换机接收到数据包到开始向目的端口复制数据包之间的时间间隔。3)管理功能：是指交换机如何控制用户访问交换机，以及用户对交换机的可视程度如何。通常交换机都提供管理软件或满足第三方管理软件远程管理交换机。4)单/多MAC地址类型：单MAC交换机的每一个端口只有一个MAC硬件地址，它主要用于连接网络最终用户、网络共享资源等，不能连接集线器或含有多个网络设备的网段。多MAC交换机在每一个端口上有足够的存储体记忆多个硬件地址。5)外接监视仪支持：它可允许外接网络分析仪直接连接到交换机上监视网络状况。6)全双工：是否支持同时收发数据等5、交换机之间的连接1)堆叠：提供堆叠接口的交换机之间可以通过专用的堆叠线连接起来。通常，堆叠的带宽是交换机端口速率的几十倍。多台交换机的堆叠是靠一个提供背板总线带宽的多口堆叠线模块与单口的堆叠子模块相连，并插入不同的交换机实现交换机的堆叠而实现的。2)上联：交换机可通过上联端口实现与骨干交换机的连接。【问题与思考】1、一个最小型的网管，必须有哪些网络设备？2、光纤与哪种网络设备相连？交换机与路由器有何异同？路由器由谁提供参数设置操作平台（即进行相关设置的操作）？实验二 RJ45水晶头制作【实验目的】 1、通过RJ45水晶头制作网络连接线，进一步理解EIA/TIA-568-B（简称T568B）规范标准； 2、熟练掌握网络连接线的制作方法。 【实验器材】 1、按实验组提供（2人一组）：RJ45头2个、双绞线1.2米； 2、RJ45压线钳若干把、测试仪一套。 【实验要求】 1、按推荐T568B规范标准制作； 2、摸索并掌握双绞线理序、整理的要领，尽可能可能总结出技巧； 3、用测试仪测试导通情况并记录，完成实验报告，总结成败经验。 【实验基础知识】 一、EIA/TIA-568-B标准 EIA/TIA-568-B简称T568B。其双绞线的排列顺序为：白橙，橙，白绿，兰，白兰，绿，白棕，棕。依次插入RJ45头的18号线槽中。参见附图 如果双绞线的两端均采用同一标准（如T568B），则称这根双绞线为：直连线式。这是一种用得最多的联接方式，能用于异种网络设备间的联接，如计算机与集线器的联接、集线器与路由器的联接。通常平接双绞线的两端均采用T568B联接标准。 如果双绞线的两端采用不同的联接标准（如一端用T568A，另一端用T568B），则称这根双绞线为：跨接线式或交叉线。能用于同种类型设备联接，如计算机与计算机的直联、集线器与集线器的级联。如果有些集线器（或交换机）本身带有“级联端口”，当用某一集线器的“普通端口”与另一集线器的“级联端口”相联时，因“级联端口”内部已经做了“跳接”处理，这时只能用“直连线式”双绞线来完成其联接。 同一局域网内部，连接到各工作站的双绞线应使用同一规范标准制作（T568A或T568B，推荐使用T568B标准），否则可能导致局域网工作不正常。值得注意。 二、双绞线理序、整理技巧 双绞线的四对八根导线是有序排列的，对于100M及以上的网络传输速率，每一根线都有定义（即各有分工），八种颜色的线如何实现快速排序并对应到RJ45水晶头的导线槽内，不难总结出技巧： 第一步，将四对双绞线初排序，如果以深颜色的四根线为参照对象，在手中从左到右可排成：橙，兰，绿，棕； 第二步，拧开每一股双绞线，浅色线排在左，深色线排在右，深色、浅色线交叉排列； 第三步，跳线：将白兰和白绿两根线对调位置，对照T568B标准，发现线序已是：白橙，橙，白绿，兰，白兰，绿，白棕，棕； 第四步，理直排齐：将八根线并拢，再上下、左右抖动，使八根线整齐排列，前后（正对操作者）都构成一个平面，最外两根线位置平行。 第五步，剪齐：用夹线钳将导线多余部分剪掉，切口应与外侧线相垂直，与双绞线外套间留有1.21.5cm的长度，注意不要留太长（外套可能压不到水晶头内，导致线压不紧，容易松动，导致网线接触故障），也不能过短（八根线头不易全送到槽位，导致铜片与线不能可靠连接，使得RJ45头制作达不到要求或制作失败）。 第六步，送线：将八根线头送入槽内，送入后，从水晶头头部看，应能看到八根铜线头整齐到头。 第七步，压线：检查线序及送线的质量后，就可以完成最后一道压线工序。压线时，应注意先缓用力，最后才可能用力压，切不可用力过猛，因为容易导致铜片变形，不能刺破导线绝缘层而于线芯可靠连接。 第七步，测试：压好线后，就可以用测线仪检测导通状况了。 【实验步骤】 请学生在实验报告中自行完成。 【问题与思考】 1、将四对双绞线初排序时，也可以选择浅色的四根线作参照对象，拧开每一股双绞线时，八根线也均要求浅色线排在左，深色线排在右，请问需将哪根线进行跳线，才能满足T568B规范标准要求的线序？ 2、制作的双绞线可以连接上网，最低要求哪几号线必须确保畅通？网速有何局限？ 3、试用本实验中介绍的双绞线理序、整理技巧，总结按T568A标准制作网线时的操作技巧。T568A与T568B标准区别究竟在何处？解决了这一问题，我们再来做交叉线就不难了！ 4、双绞线最小传输直径是多少米？最大传输直径又是多少米？实验三 信息模块制作【实验目的】 通过练习掌握信息模块的制作方法与步骤 【实验器材】 1、按实验组提供（2人一组）：信息模块2个、双绞线1.2米； 2、打线工具一把、测试仪一套、制作好的网线两根。 【实验要求】 要求每组学生将一根双绞线连接两个信息模块，然后利用做好的两根网线各连接一个信息模块，再用测线仪测试导通情况。 【实验基础知识】 1、制作信息模块时，双绞线的排序与理直方法、步骤与网线的制作相同。信息模块的作用类似于电源插座。 2、在双绞线压接处不能拧、撕，防止有断线的伤痕；使用压线工具压接时，要压实，不能有松动。 【实验步骤】 1.将双绞线从头部开始将外套层去掉20mm左右，并将8根导线理直； 2.按照信息模块的标识色块，双绞线的线色与其对应一致，卡入信息模块端口中； 3.用打线工具将双绞线打入信息模块中。 4.检查后进行测试。再完成补报告。 【问题与思考】 1、请在实验报告中画出信息模块的外形图，并图上标记线序。 2、比较信息模块与RJ45水晶头制作的方法与步骤，总结出要领。实验四 WINDOWS2000SERVER的安装【实验目的】 通过练习了解WINDOWS2000Server运行环境与安装过程、掌握网络操作系统正确安装的常用方法与步骤及安装时故障的解决。 【实验器材】 1、按实验组提供：P4微机一台、WINDOWS2000Server系统盘一张； 2、运行环境要求：Pentium133Hz以上的CPU；建议内存至少为128MB；硬盘至少2GB空闲空间；有光驱。 【实验要求】 选择一种安装方式全新安装WINDOWS2000Server操作系统。注意按屏幕提示操作。不同实验组尽可能选用不同的安装方式，以便在完成实验后进行分析比较各种方式的优缺点，这样我们在工作实践中可以提高工作效率。 【实验基础知识】 WINDOWS2000Server的安装可以有多种方式，根据安装程序所在的位置、操作系统、以及计算机平台的不同等因素，启动安装程序的方式也稍有不同。下面介绍几种方式，供实验时选用。 1、通过从光盘启动计算机并全新安装WINDOWS2000Server 1)将计算机设置从光盘启动（进入COMS设置），执行全新安装。 2)将光盘插入驱动器后启动计算机。 3)等待安装程序显示对话框，按照提示进行操作。 2、在运行MS-DOS的计算机上安装WINDOWS2000Server 1)将光盘插入驱动器。 2)在命令提示符下，键入“X：”后按回车键（其中X是光盘驱动器的驱动器号）。 3)在X：提示符下，键入“CDI386”，然后按回车键。 4)在X:I386下，键入“WINNT.EXE”，然后按回车键。 5)按提示进行操作。 可以在安装前将光盘上的系统文件拷贝到计算机硬盘上，这样安装速度会快一些。 3、在运行WINDOWS98/NT的计算机上安装WINDOWS2000Server 1)将光盘插入驱动器。 2)在运行WINDOWS98/NT的计算机上，将自动运行启动安装程序，程序为X:I386WINNT32.EXE（其中X是光盘驱动器的驱动器号）。 3)按提示进行操作。 4、从网络启动安装程序 如果通过网络安装WINDOWS2000Server，可以直接把CD-ROM设为共享，或者把安装源文件复制到一个共享文件夹中，再用合适的程序来启动安装程序。 【实验步骤】 1、将Windows2000Server的光盘插入光驱中，启动计算机。 2、按照安装提示，继续进行。 3、为Windows2000Server安装选择或创建一个分区。 4、选择区域设置和个人化软件。 5、输入计算机名称。 6、设置管理员密码（实验时不要求设置）。 7、选择Windows2000组件 8、设置日期和时间。 9、设置网络选项。 如果允许Windows2000安装程序分配或获得IP地址，则在网络设置对话框中，单击典型设置。Windows2000安装程序将检查域中是否有DHCP服务器，则该服务器会提供IP地址。如果域内没有DHCP服务器，自动专用IP地址寻址功能将自动为这台计算机分Windows2000Server配一个IP地址。 如果希望为计算机指定静态IP地址及DNS和WINS的设置则执行以下步骤：在网络设置对话框，单击自定义设置；在网络组件对话框内，单击Internet协议（TCP/IP）；在Internet协议（TCP/IP）属性对话框内，单击使用下面的IP地址；在IP地址和子网掩码内，键入适当的数字；在使用下面的DNS服务器地址下，键入首选的DNS服务器地址和备用的DNS；则要键盘录入在上一步已分配好的相同的IP地址；如果要使用WINS服务器，可单击高级，然后单击高级TCP/IP设置对话框的WINS选项卡，添加一个或多个WINS服务器的IP地址。如果本服务器是WINS服务器，则键入第步为本机分配好的IP地址。 10、指定工作组名或域名。 在此，用户需要选择本机是属于工作组，还是将本机加入到一个域中，并指定工作组名或域名。在安装向导Windows2000Server的安装后，计算机会重新启动。至此已经完成了Windows2000Server的基本安装。这时候用户就可以用Administrator身份登录。 11、按实验时观察并记录的信息整理完成实验报告。 【问题与思考】 1、通过比较分析各实验组采用的不同安装方式，你认为何种安装方式速度最快且不易出现错误或故障？知道原因吗？还有没有其它安装方式？ 2、Windows2000Server安装完毕，系统文件需占用多大硬盘空间？ 3、能否利用WindowsXP系统平台安装Windows2000Server？实验五 活动目录Active Directory的安装与配置【实验目的】 通过实验掌握正确安装与配置ActiveDirectory的方法与步骤，进一步理解和运用目录服务知识。 【实验器材】 按实验组提供：安装有WINDOWS2000Server的微机一台。 【实验要求】 1、在安装ActiveDirectory前首先确定DNS服务正常工作，要求安装在根域为JSJ.com的第一台域控制器。 2、运行ActiveDirectory安装向导，给将Windows2000Server计算机域控制器创建一个新域，或者向现有的域添加其他域控制器。 【实验基础知识】 活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。 活动目录的应用起源于WindowsNT4.0，在Windows2000Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。 活动目录的优点在于：1.基于策略的管理；2扩展性；3可调整性；4信息复制；5与DNS的集成；6灵活的查询；7信息安全性。实验六 虚拟局域网配置【实验目的】 通过练习掌握基本的交换机配置命令与VLAN的概念。【实验器材】 1、PACKET TRACER5.02、一台PC机【实验基础知识】 1、交换机基本命令。 2、基于端口的VLAN划分。 【实验步骤】 1.设置计算机的IP地址设02号机为2/24，01号机为1/24设04号机为4/24，05号机为5/24让01号机与02号机相互ping通，04号机与05号机相互ping通。2.在交换机S1上创建VLAN3、在交换机S1上把两个以太网口分别划入不同的VLAN中【问题与思考】 1、用show vlan命令查看VLAN信息。2、PC01与PC02互ping，PC04与PC05互ping，观察其能否ping通。 3、总结VLAN概念。实验七 服务器配置实验【实验目的】 1掌握WEB站点的规划2掌握默认WEB站点、管理WEB站点和添加新的WEB站点的设置和使用。3掌握FTP站点的规划4掌握FTP站点的设置和使用。 【实验器材】 1、按实验组提供：P4微机一台、安装WINDOWS2000Server或者2003操作系统的虚拟机； 2、运行环境要求：Pentium133Hz以上的CPU；建议内存至少为128MB；硬盘至少2GB空闲空间；有光驱。 【WEB实验步骤】 一、规划组内计算机的域名，例如 、、等，并在A计算机上安装DNS服务器，做好域名解析。二、在计算机上安装IIS进入“控制面板”，依次选“添加/删除程序添加/删除Windows组件”，选定“Internet信息服务（IIS）”然后点击“详细信息”，在出现的窗口中选择要添加的服务（Web、FTP、NNTP和SMTP等）。在单击“下一步”完成安装。三、建立第一个Web站点进入“开始程序管理工具Internet服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。例如本机的IP地址为，自己的网页放在E:Wy目录下，网页的首页文件名为Index.htm，现在想根据这些建立好自己的Web服务器。对于此Web站点，可以用现有的“默认Web站点”来做相应的修改后实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。（1）修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“”。（2）修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“E:Wy”目录。（3）添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。（4）测试：打开IE浏览器，在地址栏输入“”或者计算机A(或者B的域名)之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！四、添加虚拟目录比如你的主目录在“E:Wy”下，而你想输入“/test”的格式就可调出“E:All”中的网页文件，这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:All”后再按提示操作即可添加成功。并测试。五、多Web站点配置在一台计算机上实现多个Web站点的方式称为虚拟服务器。尤其对于多个小型站点，虚拟服务器可以极大的节省硬件成本。我们知道，域名是区分站点的唯一性标记，站点的数量是与域名数相等的；同时，一个域名往往是与一个IP地址唯一对应的。这样，看上去服务器应该拥有的IP地址数应该与虚拟服务器的数量相同。这种虚拟服务器的实现方法就是在前面提到的方式。显然，由于IP地址资源的缺稀性，我们往往需要借助于其他手段利用同一IP地址实现多个站点，这里我们介绍的两种方法是端口号方法和主机头方法。（一）更改端口号方式TCP端口号是客户机浏览器与Web服务器之间的信息通道，TCP端口号可以多达四位数。每种网络服务都需要在服务器端指定一个TCP端口号，客户机只有指定了同一端口号之后才能与服务器建立通信联系。那么，为什么我们通常浏览Web网站时不必输入端口号呢，这是因为普通的Internet服务拥有固定的缺省端口号，例如WWW服务的缺省端口号为80，FTP服务的缺省端口号为21。当我们在浏览器中输入站点地址时，即使不指定80位端口号，浏览器仍然自动的以TCP端口80与服务器进行通信。端口号与IP地址同样是用于区分站点的唯一性标识，这样，即使两个站点拥有同样的IP地址，但只要给它们指定不同的TCP端口号就可以将它们区分开来。但是，一旦将端口号从默认的80更改为其他数值，客户浏览器并不能直接以更改过的端口打开网页，客户必须手工指定它TCP端口号，就是在浏览器地址栏中输入域名之后加上:和端口号数值。例如，在同一台服务器上有两个网站www.S和www.S，它们共用一个IP地址5，我们配制www.S使用默认端口号80，而www.S的端口号为8088，那么我们在浏览器地址栏中输入地址5得到的是Site1，要想访问Site2就要输入5:8088。指定站点端口号的方法并不复杂：1打开IIS管理环境，右击管理控制树中的站点节点，单击【属性】。2打开WWW属性表单，可见【Web站点】选项卡。3在【TCP端口】栏中更改TCP端口号。以端口号方式使站点共用IP地址的方法并不方便，除了要用户记住端口号数字之外，这样的做法也不太符合网络礼仪，所以很难用于正规的商业性网站。但是在一些内部网站，尤其是不希望普通用户访问的安全性网站中，通过更改默认端口号可以提高网站安全性。（二）主机标头方式主机标头（Host Header）是除了IP地址和TCP端口号之外的第三个用于区分站点的唯一性标识。这样，对于两个共用同一个IP地址且都采用默认TCP端口号80的站点，只要为它们指定不同的主机标头，就可以唯一的在网络中将它们区分开。主机标头这种技术是在HTTP 1.1标准中定义的，因此，对于在IIS中使用主机标头进行配制的站点，客户浏览器必须支持HTTP 1.1标准才能进行浏览。高于3.0版本的IE和高于2.0版本的Netscape浏览器支持HTTP 1.1标准。为站点添加主机标头的方法如下：1在WWW属性表单的【Web站点】选项卡中单击【IP地址】栏右侧的【高级】。2在【高级多Web站点配置】对话框中，选择列表中的标识项，单击【删除】。3单击【添加】，打开【高级Web站点标识】对话框。4在【IP地址】下拉列表框中选择IP地址。5指定【TCP端口】栏中的值为默认端口号80。6在【主机头名】栏中输入主机标头名称，尽量不要包含空格或其他不兼容字符。7单击【确定】返回。8再次单击【确定】完成。上述设置中，可以指定多个站点拥有同一IP地址、TCP端口号，只要保持它们的主机标头各不相同即可。随后，应在DNS服务器中将这些主机头名统统映射到它们共同的IP地址上。在客户浏览器中输入主机头名即可访问相应站点。六、Web站点安全性设置无庸置疑，站点的安全性是一个相当重要的话题。随着黑客技术的提高，在动辄听说某某网站又被攻破的今天，我们无法不时时刻刻提心吊胆。同时，随着企业信息化程度的不断提高以及B2B、ASP等电子商务模式的不断深入人心，越来越多的敏感数据被包含在企业内部网站和商业站点中，一旦这些信息丢失，后果将不堪设想。时至今日，Web站点的安全性设置几乎已经成为一个Web管理员最重要的日常工作。（一）安全设置概述站点的安全防范是一个综合性的系统工程，世界上有矛就有盾，我们不可能指望仅仅通过某一种技术使站点永远保持安全。事实上，一个有效的安全计划要依赖于综合利用诸多软件设置甚至硬件防护才能产生较好的安全效果。有关防火墙之类基于硬件或专门防护软件的安全防范措施将不属于本实验的范畴，请大家参阅专门的反黑技术指南。本实验讨论的安全设置仅依赖于Windows 2000和IIS内部的安全性功能，鉴于Windwos 2000强大的安全性能（符合C2安全级别），尤其是强大的用户认证能力和独有的NTFS安全分区，IIS网站的安全性完全可以得到非常有力的保证。笼统的说，站点安全性工作将围绕如下两个任务进行：合法用户身份的认证和站点文件的安全保障。前者需要借助于Windows 2000的账号系统和认证机制；后者则要由IIS和NTFS分区共同维护。（二）理解Windows 2000用户账号和组在系统讲述IIS安全机制之前，有必要先对Windows 2000的用户账号概念以及账号验证机制进行简单介绍，这些正是IIS安全性配制的基础。账号是在windows 2000网络中区分用户的唯一性标识，账号与实际用户是对应的。在Windows 2000网络环境中，为计算机用户分配各自不相同的账号，通过对账号指定访问权限可以限制用户对资源的访问程度。在安装Windows 2000时，系统自动生成管理员账号Administrator，管理员具有对计算机的全部属性进行配制的能力。Windows 2000中添加账号的工作是在计算机管理器中完成的，具体方法如下:1单击【开始】、【程序】、【管理工具】、【计算机管理】，打开计算机管理器。2展开左侧管理控制树中的【本地用户和组】节点，选择【用户】。3单击【操作】菜单，选择【新用户】，打开【新用户】对话框。4添加用户名、全名、描述等信息并设定密码。5单击【创建】。6单击【关闭】返回。7此时，新用户账号出现在计算机管理器的用户列表中。8双击列表中的用户账号可以打开账号属性对话框详细配制账号属性。账号代表着网络中的个体，对应着现实中的网络用户，通过将资源的访问权限赋予账号，可以使用户能够或者不能访问特定的资源。账号本身的安全性由密码进行保护，在网络中，账号通常是公开的，而密码则必须保密，且有必要通过定期更改密码、密码锁定等策略强化账号安全。当账号数目随着网络用户的增多而变得越来越多时，逐一给每一账号设置资源访问权限的工作量显然是巨大的。为了简化权限分配的任务，我们引入了组的概念。组是账号的逻辑集合，我们建立一个组，然后将一些账号加入组中，通过将资源访问权限分配给组，组中的账号也就自动的继承了这些权限，从而简化了权限分配的工作量。账号和组是多对多的关系，一个组可以包含多个账号，一个账号可以同时属于多个组。一旦一个账号通过多个组继承了多种不同的权限，通常是限制最少的权限实际起作用。除了一个特例：禁止访问权限覆盖其他一切权限，也就是说，一旦一个账号直接或者通过某个组继承了禁止访问权限，那么即使它还拥有或继承了其他权限，哪怕是最高权限（完全控制），则该账号仍然不对该资源具有如何权限。记住，组仅是账号的逻辑组合，并不实际的与账号构成包含关系，所以，删除了一个组并不意味着同时删除了它所包含的账号，只不过这些账号通过这个组所继承的资源访问权限不再有效而已。创建组的步骤与创建账号类似，不再详述。双击计算机管理器中的组列表成员时，可以打开组属性对话框，从中可以编辑组成员。单击【添加】，从【选择用户或组】对话框中指定组的成员，然后单击【确定】返回。（三）NTFS权限设置NTFS权限是NTFS分区文件格式特有的安全权限，在通常的FAT分区上，我们无法指定一个文件对于不同用户的不同安全权限。例如在windows 98中，我们可以共享一个文件夹，但是仅能够给出诸如只读口令、完全访问口令之类的有限安全控制方式，并不能给各个用户账号分别配制不同的权限；对于本地登录的用户，甚至不能限制他的如何操作。而随着Microsoft在Windows NT中首次引入了NTFS分区格式，再借助于NT（Windows 2000）的用户账号验证能力，就可以实现针对不同用户的不同安全权限设置。NTFS权限分为若干种，对于NTFS分区上的目录而言，可以给账号或组指定如下几种权限：1完全控制，具有对文件夹的全部操作能力。2修改，能够更改、添加、读取文件。3读取，仅能够读文件内容。4写入，能够向文件中添加内容。5读取及运行，同时包括3和4。6列出文件夹目录，能够查看文件夹内容，但不能访问。7禁止访问，不具有如何权限。权限的设定是在我的电脑或者Windows资源管理器中完成的，具体方法如下：1右击NTFS分区上的文件夹，在弹出菜单上选择【属性】。2单击文件夹属性对话框中的【安全】选项卡。3【安全】选项卡上部的账号和组列表中，列出当前具有访问权限的账号和组。4从列表中选择需要指定权限的账号或组，在【权限】列表中指定其对该文件夹拥有的访问权限。具体方法是选择欲指定权限对应的【允许】或【拒绝】复选框。例如，需要允许某账号读取但不允许写入时，就分别选择【读取】和【写入】权限所对应的【允许】和【拒绝】复选框。将所有权限都选为【拒绝】时，相当于指定了拒绝访问的权限。5当需要指定其他账号或组的访问权限时，应先将其加入账号和组列表中，单击账号户和组列表右侧的【添加】，打开【选择用户、计算机或组】对话框。6在【查找范围】下拉列表框中指定账号和组所在的域或计算机。7从列表中选择账号或组名，单击【添加】。8反复将多个账号或组加入结果列表后，单击【确定】返回。NTFS权限针对不同的账号设定其对资源的问程度，一般的，应把网站包含的网页文件、应用程序文件、数据库文件等资源存放在NTFS分区上，然后指定其NTFS权限。由于权限可以在任意文件夹甚至文件的级别上进行设置，所以存在子文件夹与父文件夹发生权限冲突的情况，这就要通过权限继承设置进行调整。在【安全】选项卡上可以选择【将来自父系的客继承权限传播给该对象】复选框，从而使文件夹能够继承其上一级文件夹的权限。在【安全】选项卡中单击【高级】，打开文件夹访问控制设置对话框，在【权限】选项卡中可以详细设置权限和继承关系。（四）目录和访应用程序问权限设置目录和应用程序访问权限是由IIS维护的权限设置，它与前面讨论的NTFS权限互相独立的运作，共同限制用户对站点资源的访问。目录和应用程序访问权限并不能对用户身份进行识别，所以它所做出的限制是一般性的，对所有访问者都起作用。目录和应用程序访问权限分别对网站中的目录（包括实际目录和虚拟目录）以及应用程序文件进行权限限制。前者针对非应用程序文件（包括网页、所数据库文件等），其权限类型具体为：读取和写入；后者则针对使用脚本语言编写的脚本程序文件和可执行应用程序文件，其权限有：无权限、纯脚本、脚本和可执行程序三种类型。指定目录和应用程序访问权限的工作是在站点WWW属性表单的【主目录】选项卡中进行的。【主目录】选项卡中部的【读取】和【写入】复选框用于配制目录访问权限。一般意义上的网页浏览和文件下载操作在【读取】权限的许可下就可以进行了。而对于允许用户添加内容的网站（例如搜集用户信息的网站或专门的个人主页空间），就要考虑指定【写入】权限。注意，【写入】权限的指定可能给网站带来安全上的隐患，或者给黑客提供可利用的系统漏洞，所以如果没有特别的需求，仅指定【读取】权限就已经足够了【主目录】选项卡下部的【执行许可】下拉列表框中，可以为站点应用程序指定执行权限，其中【脚本和可执行程序】权限包含【纯脚本】权限。这里所说的脚本程序和可执行程序的区别在于：由脚本语言（例如Perl、VBScript 、Jscript等）编写的脚本应用程序表现为一些存储在服务器上的代码，客户浏览器将这些代码下载到本地再进行解释执行；而标准的可执行应用程序（.exe .com .dll .bat等文件）则要在服务器端执行，仅将执行结果返回客户浏览器。鉴于后者可能带来安全隐患（尤其对于dll文件），故应慎重使用。（五）匿名和授权访问控制首先，我们来看一下匿名和授权访问的基本概念。前面我们已经知道只有拥有合法的Windows 2000用户账号才能对Windows 2000资源进行访问，对于基于Windows 2000系统的IIS也不例外。但是，根据我们上网的经验，在打开网站主页时并没有要求我们输入用户账号和密码。这是因为，在通常情况下，网站是允许匿名访问的，即无需再输入账号，自动使用匿名访问帐号并继承匿名访问权限。在安装IIS时，系统自动生成一个匿名访问用户账号，名为：IUSR_computername，其中computername是IIS所在服务器的计算机名。所有IUSR_computername账号能够访问的资源，就是匿名用户的授权许可范围。一旦用户所访问的资源不允许匿名访问，IIS就会要求用户提供合法的用户账号及密码，这就是授权访问。授权访问要求用户拥有合法的Windows 2000账号，且必须具有相应的权限。匿名和授权访问控制是在站点WWW属性表单的【目录安全性】选项卡中进行的。缺省情况下，IIS对任意站点都是允许匿名访问的，如果出于站点安全性等考虑需要禁止匿名访问时，按照如下步骤进行配置：1在IIS中右击管理控制树中需要禁止匿名访问的Web站点图标，选择【属性】。2单击【目录安全性】选项卡。3在【目录安全性】选项卡上部的【匿名访问和验证控制】栏中单击【编辑】。4在【验证方法】对话框中清除【匿名访问】复选框。5单击【确定】返回。当然，对于公共性质的网站而言，并不需要禁止匿名访问，但是某些情况下还需要对匿名访问用户账号进行配置。在【验证方法】对话框中选择【匿名访问】复选框，然后单击右侧的【编辑】，打开如右图所示的【匿名用户账号】配置对话框。有时网站管理员可能并不满意使用IUSR_computername作为匿名访问账号名，出于安全考虑或管理方便，往往也需要指定另一个账号作为匿名访问账号。这时只需单击【用户名】右侧的【浏览】，并从【选择用户】对话框中指定新的匿名访问账号，并单击【确定】即可。匿名访问账号IUSR_computername是在安装IIS时自动生成的，由于在IIS中也可对其进行设置，所以这里涉及到一个密码同步的问题。通常情况下，是由IIS自动控制密码同步的。也可以选择手工在IIS和Windows 2000账号管理器之间同步匿名访问账号密码。从IIS中指定匿名访问账号密码的方法是在【匿名用户账号】对话框中清除【允许IIS控制密码】复选框，然后在【密码】栏中输入新密码。注意，这是指定的密码并不一定与Windows 2000中的匿名访问账号所配置的相同，需要管理员手工在Windows 2000中做出更改。前面讨论的匿名访问能够用于一般的公共网站，然而当网站内容包含敏感的商业数据时，就要根据用户身份（账号）的不同来指定不同的访问权限。当用户打开一个站点时，通常先尝以匿名访问方式进行连接，一旦匿名方式不能对用户请求的资源进行访问时（通常是因为匿名访问账号部具有相应的权限），IIS系统会要求用户输入合法账号以及密码。那么，鉴于账号密码同样属于敏感数据，它们在网络中传送是否安全呢？事实上，IIS为了防止密码信息丢失，提供了密码传输加密手段。用于授权用户验证的方式有三种：基本验证、Windows域服务器的简要验证、集成Windows验证，其中后两种验证方式是加密的。这三种验证方式是同时可选的，也就是说我们可以同时配置服务器使用其中的一种或几种验证方式。只要在【验证方法】对话框中选择相应的复选框即可。【基本验证】方式是安全性最低的验证方式，使用这种方式时，用户帐号密码是以明文形式（即不加密报文）的形式在网络中传送的，装备了网络监视工具的计算机可能截获用户名和密码。由于存在安全隐患，所以在选择这种验证方式时，IIS要给出警告对话框，单击【是】继续。【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。其中简要验证方法是IIS 5.0中新引入的验证方法，它通过网络发送经过混编的密码值而不是密码本身。该方法通过代理服务器和其他防火墙工作。这里的混编密码值通常是利用哈西算法得到的，此方法较基本验证安全得多，但低于集成Windows验证方式（可以通过复杂运算加以破解）。【集成Windows验证】通过与用户的Internet Explorer Web浏览器进行密码交换以确认用户的身份。这种验证方式是由以前的Challenge/Respones验证方法发展来的。这里的Challenge和Respones可以看作是两种算法，相当于一对钥匙。用户的Internet Explorer Web浏览器（注意，其他浏览器不支持这一验证方式）使用Challenge算法对用户名和密码进行处理，得到一组密文，然后将这组密文发送给服务器，服务器再用Respones算法加以处理（相当于Challenge的逆过程）解出用户名和密码原文，然后再由Windows 2000进行账号验证。默认情况下，IIS将在IIS服务器所在的域中进行用户验证（域是账号验证的单位）。如果访问站点的用户账号属于其他域，则应在验证方法对话框中的验证访问栏单击【编辑】，打开【基本验证域】对话框指定。（六）IP地址和域名访问控制IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任，鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向（通过对日志文件的分析可以得到这一结论），或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站（对于仅供内部使用的网站尤其如此）。这些限制能力都倚赖于IP地址和域名访问控制功能。按照如下步骤配置Web服务器限制来自特定IP地址用户对站点的访问：1在IIS中右击需要配置IP地址限制的网站，在弹出菜单中选择【属性】。2在站点的WWW属性表单中单击【目录安全性】选项卡。3在【IP地址及域名限制】栏中单击【编辑】，打开【IP地址及域名限制】对话框。说明：IP地址限制的方式有两种：授权访问和拒绝访问。如果需要限制来自某些地址的用户对网站进行访问（没有被限制的用户可以进行正常访问），就使用前者；如果希望仅允许来自某些地址的用户能够访问网站内容（其他用户不能访问），则使用后者。以下我们以前一种方式为例进行限制。4在【IP地址及域名限制】对话框中选择【授权访问】方式，随后我们可以指定例外地址，这些例为地址就是被限制不能访问站点的IP。5单击【添加】打开【拒绝以下访问】对话框指定例外地址。6在类型栏中选择【单机】，指定被限制访问的用户来自某一个IP地址。7在IP地址栏中输入受限的IP地址。8单击【确定】加入。重复上一步可以添加多个例外地址，它们在【例外】列表中列出。9在【拒绝以下访问】对话框选择【一组计算机】，可以指定一组例外地址。10一组例外计算机由网络地址和子网掩码共同确定，分别在【网络标识】和【子网掩码】栏中输入其值。11单击【确定】加入。重复上一步可以添加多组例外地址。12另一种访问控制方式是根据用户来自的域进行控制。注意，在使用域名限制方式进行访问控制时，往往需要进行反向DNS解析，将试图访问服务器的用户IP地址送到DNS服务器进行反向查询以得到其域名。这一操作将极大的耗费系统资源，尤其是宝贵的带宽资源，所以，除非万不得已，否则不要使用域名限制方式。（七）使用权限向导权限向导是IIS 5.0新引入的权限管理工具。鉴于对站点安全性的配置复杂而无序，较难理出一条简明而准确的主线，IIS 5.0引入了权限向导工具，它提供了一个连续、简单、准确的权限配置流程，可以使管理员迅速对站点进行一般性的权限设定。尤其是对于涉及大量权限继承关系的站点（虚拟）目录配置工作，运用权限向导往往能达到意想不到的效果。权限向导主要对安全设置和目录权限进行快速指定，并能够以摘要的形式提供安全分析。1打开IIS管理界面，右击管理控制树中的站点或目录，指向【所有任务】，单击【权限向导】。2在【欢迎使用权限向导】对话