《构建中小型企业网络》实习报告__Word文档.doc

构建中小企业网络实习报告重庆机械制造有限公司企业网技术方案重庆*学院*学院构建中小企业网络实习报告专业班级 学 号 姓 名 实 验 室 成绩评定 指导老师 2010年8月11日目 录1、企业概况- 2 -2 需求分析- 4 -3 总体设计- 5 -3.1 网络拓扑结构- 5 -3.2 网络结点规模- 5 -3.3 网络服务- 6 -3.4 Internet接入方式- 6 -4、IP地址及名字空间规划- 9 -4.1 IP地址分配- 9 -4.2 域名规划- 10 -5 布线及通信设备选型- 12 -5.1 网络布线设计- 12 -5.2 通信设备选型- 13 -5.3 设备配置清单- 14 -5.3.1 核心交换机配置清单- 14 -5.3.2 汇聚层交换机配置清单- 15 -5.3.3 路由器配置清单- 15 -6.1 服务器操作系统安装- 17 -6.2 服务器操作系统常用配置- 25 -6.3 域控制器及用户账户配置- 27 -6.4 WWW服务配置- 29 -6.5 DNS服务配置- 29 -6.6 FTP服务配置- 31 -7 网络安全设计- 33 -7.1 网络整体安全设计- 33 -7.2 服务器安全设计- 35 -7.3 用户计算机安全设计- 36 -8、项目总结- 37 - 1、企业概况重庆机械制造有限公司是重庆一家具有行业代表性的中小型制造企业，该公司现有员工180人。公司最近搬了新的厂房和办公地点，新厂址现有建筑物四幢，分别为办公楼、制造楼、男职工宿舍和女职工宿舍。办公楼分三层，每办公室长10米，宽5米，每层楼高3米，办公楼房间分配及员工信息点数如表1。制造楼为两层，长100米，宽30米，下层为生产车间，高5米。生产车间中有网络数控制造机械共10套均匀分布于该车间。男、女职工宿舍楼分别为6层、每层楼走廊位于中间，走廊两边分别有10个房间，共20个，房间宽4米，楼层高3米。四幢楼之间制造楼和办公楼相距30米，两职工宿舍楼分别和办公楼相距50米。图1 办公楼结构图表1办公楼员工数量及房间分配表领导职员部门人数办公室房间数楼层分部总经理131三楼副总经理22行政部15622（会议室）人事部1231财务部1452技术部1674二楼后勤部1562质检部1231信息部13421（信息中心机房）市场部310134一楼销售部3273062 需求分析办公楼分三层，每办公室长10米，宽5米，每层楼高3米，建筑结构如图1。采用布线系统性能等级为5e类非屏蔽（UTP）系统，办公楼房间分配及员工信息点数如表1，信息中心设于办公楼二楼处。制造楼为两层，长100米，宽30米，下层为生产车间，高5米。生产车间中有网络数控制造机械共10套均匀分布于该车间，由于电磁辐射较大，需要运用计算机网络进行全自动化操控，每套设备需要一对光纤连接；二楼为生产部开放式办公室，信息点数为100个，制造楼的所有信息点汇于生产部办公室楼层配线间。男、女职工宿舍楼分别为6层、每层楼走廊位于中间，走廊两边分别有10个房间，共20个，房间宽4米，楼层高3米。每个房间设计为两个信息点，其中一个为冗余备份。四幢楼之间制造楼和办公楼相距30米，两职工宿舍楼分别和办公楼相距50米。楼楼之间采用6芯多模铠装光缆进行连接。办公楼和职工宿舍楼的每层均设有配线机柜，楼内干线子系统采用6芯多模室内光缆进行不分叉连接。如未特别说明，采用的水平布线系统性能等级均为5e类非屏蔽（UTP）系统。信息中心提供服务有WWW、OA、FTP、E-mail、DNS、域控制器、SQL Server数据库。其中服务器操作系统采用Windows 2003企业版，WWW服务器用IIS、FTP服务器用Server-U。公司的互联网接入方法为中国电信提供10M光纤包月计费模式其中对公网开放的服务有WWW、E-mail、OA服务。3 总体设计3.1 网络拓扑结构3.2 网络结点规模公司的信息中心机房位于办公楼二楼。职工宿舍区网络覆盖面相对较大，设有信息点720个，办公楼区域设有信息点80个，制造楼设有信息点100个。办公楼和职工宿舍楼的每层均设有配线机柜，楼内干线子系统采用6芯多模室内光缆进行不分叉连接。如未特别说明，采用的水平布线系统性能等级均为5e类非屏蔽（UTP）系统。四幢楼之间制造楼和办公楼相距30米，两职工宿舍楼分别和办公楼相距50米3.3 网络服务服务器操作系统采用Windows 2003企业版，WWW服务器用IIS、FTP服务器用Server-U，OA和E-mail服务器不需要配置。网络平台建设规模。平台进行共享、处理、统计和挖掘。 WWW服务、OA系统、ftp、DNS、mail、等服务平台。 3.4 Internet接入方式 光纤接入方式中国电信提供10M光纤包月计费模式，能够确保向用户提供10MBPS的高速带宽，可直接汇接到CHINANET骨干结点。主要适用于商业集团用户和智能化小区局域网的高速接入INTERNET高速互联。目前可向用户提供三种具体接入方式。是利用电信通公司自有的光纤城域网络以 VLAN 或其他方式提供用户端到电信通公司网络的端到端连接，通过电信通公司的 INTERNET 出口为用户提供 Internet 接入服务。光纤接入网是指接入网中传输媒介为光纤的接入网。光纤接入网从技术上可分为两大类：有源光网络(AON，Active Optical Network)和无源光网络(PON，Passive Optical Network)。有源光网络又可分为基于SDH的AON和基于PDH的AON；无源光网络可分为窄带PON和宽带PON。 由于光纤接入网使用的传输媒介是光纤，因此根据光纤深入用户群的程度，可将光纤接入网分为FTTC（光纤到路边）、FTTZ（光纤到小区）、 FTTB（光纤到大楼）、FTTO（光纤到办公室）和FTTH（光纤到户），它们统称为FTTx。FTTx不是具体的接入技术，而是光纤在接入网中的推进程度或使用策略。 结构：接入环路的三种系统结构分别为FTTN、FTTC和FTTH在网络发展过程中，每种结构都有其应用和优势，而目在经济地向全业务问演进过程中，每种结构都是关键的一环。FTTN给人们带来的好处是它将光纤进一步推向用户网络。它建立起一个接太平台，能提供话音、高速数据和视频业务给众多的家庭而不需要完全重建接入环路和分配网络。根据需求，可以在光纤节点处增加一个插件，即可提供所需业务。在因业务驱动或网络重建使光纤节点移到路边FTTC或家庭（FTTH）之前，FTTN将叠加于并利用现有的铜线分配网络。 这种网络结构的基本要求是为了提供宽带或视频业务，节点与住宅的距离应当在4000到5000英尺的范围内。而当今的节点一般的服务距离可达12000英尺。因此，每个服务区需要安装3到5个FTTN节点。 FTTC或FATH光纤（光纤几乎到家）比FTTN多几个优点。当采用FTTC重建现有网络时，可消除由电缆传输可能带来的误差。它使光纤更深入到用户网络中，这可减少潜在的网络问题的发生和由于现场操作引起的性能恶化。目前FTTC是最健壮和“可部署的”的网络，是将来可演进到FTTH的网络。它同样是新建区和重建区最经济的网络建设方案。 这种网络结构的一个缺点是需要提供铜线供电系统。一个位于局端的远程供电系统能给50到100个路边光网络单元供电、每个路边节点采用单独的供电单元代价非常高而且在持久停电时不能满足长期业务要求。 作为提供光纤到家的最终网络形式，FTTH去掉了整个铜线设施：馈线、配线和引入线。对所有的宽带应用，这种结构是最健壮和长久的未来解决方案。它还去掉了铜线所需要的所有维护工作并大大延长了网络寿命。 网络的连接末端是用户住宅设备。在用户家里，需要一个网络终接设备将带宽和数据流转换成可接收的视频信号（NTSC或PAL制）或数据连接（10兆以太网）。有两种设备可采用非对林数字用户线（ADSL和G.Lite调制解调器（用于数据业务和INTERNET接入）或处理宽带的VDSL住宅同关（用于视频和数据业务）。 与局端HDT一样住宅网关（RG）设备是家庭内所有业务的接太平台。它提供网络连接以及将所有业务分配给住宅的各个网元。RG设备是所有网络结构（包括FTTNFTTC和FTTH）的网络接口，因此它能适应各种配置的平滑过渡。 步骤： 在客户端使用普通的路由器（例如华为 2621 ）串行接口与客户端光纤 Modem 相连； 客户端光纤 Modem 通过光纤直接与离客户端最近的城域网节点的光纤 Modem 相连； 最后通过ISP公司的骨干网出口接入到 Internet 。 使用范围：不同的光纤接入技术有不同的适用场合。 有源光接入技术适用带宽需求大、对通信保密性高的企事业单位的接入。它也可以用在接入网的馈线段和配线段，并与基于无线或铜线传输的其他接入技术混合使用。 ATM-PON既可以用来解决企事业用户的接入，也可以解决住宅用户的接入。有的运营商利用“ATM-PON + xDSL”混合接入方案，解决住宅用户或企事业用户的宽宽带接入。 窄带PON主要面向住宅用户，也可用来解决中小型企事业用户的接入。 另外，PON的服务范围不超过20公里，但通过“有源光网络+无源光网络”混合组网方案，可弥补该弊端。 方式:光纤接入能够确保向用户提供10MBPS，的高速带宽，可直接汇接到CHINANET骨干结点。主要适用于商业集团用户和智能化小区局域网的高速接入INTERNET高速互联。目前可向用户提供三种具体接入方式。 光纤直接接入：是为有独享光纤高速上网需求的大企事业单位或集团用户提供的，传输带宽2M-155M不等。 业务特点：可根据用户群体对不同速率的需求，实现高速上网或企业局域网间的高速互联。同时由于光纤接入方式的上传和下传都有很高的带宽，尤其适合开展远程教学、远程医疗、视频会议等对外信息发布量较大的网上应用。 适合的用户群体：居住在已经或便于进行综合布线的住宅、小区和写字楼的较集中的用户；有独享光纤需求的大企事业单位或集团用户。 4、IP地址及名字空间规划4.1 IP地址分配职工宿舍每层20个房间，每个房间设计为两个信息点，其中一个为冗余备份。所有职工宿舍共计720个信息点。楼部门子网掩码IP段网关备注办公楼二层销售部5446个房间30个信息点技术部5514个房间7个信息点后勤部2572个房间6个信息点质检部8601个房间3个信息点信息部1642个房间4个信息点办公室三楼总经理办公室51个房间1个信息点副总经理办公室6702个房间2个信息点人事部1741个房间3个信息点财务部5771个房间2个信息点行政部72个房间6个信息点27会议室一预留20个信息点847会议室二预留20个信息点制造一楼生产车间85710信息点制造二楼开放式办公室8157100个信息点女职工宿舍一楼41每层楼20个房间40个信息点二楼281三楼2121四楼22161五楼62201六楼02241男职工宿舍一楼41每层楼20个房间40个信息点二楼281三楼2121四楼22161五楼62201六楼022414.2 域名规划重庆机械制造有限公司 2010年部门计算机数量计算机名总经理办公室1副总经理21.行政部601.人事部301.信息部401.质检部301.后勤部601.技术部701.财务部501.市场部1301.销售部3001.生产车间11001.男职工宿舍24001.女职工宿舍24001.1. 在“我的电脑”上右击，选择“属性”，选择“计算机名”标签，然后把计算机名字改成你的名字，然后重启电脑。2. 重复第一步，在更改计算机名字那里，选择“域”，域的名称写“”，点击“确定”，在弹出的对话框中。用户名和密码都是大家的姓名全拼，如果不能加入，先打电话联系网管，默认情况下账号是还没开放的。3. 成功加入域后，重启电脑，第一登陆，在登陆界面那里选“选项”，然后在“登录到”那里选“cajixie2010”，用户名和密码用刚才加入域的用户名和密码。5 布线及通信设备选型5.1 网络布线设计5.2 通信设备选型核心层 型号CISCOWS-C3560G-24TS-S 数量 1汇聚层 型号CISCO WS-C2960-24TT-L 数量 4接入层 型号CISCO WS-CE500-24TT 数量 2024端口部门级交换机10Mbps/100Mbps/1000Mbps支持全双工路由器 型号CISCO 2821 数量 15.3 设备配置清单5.3.1 核心交换机配置清单EnConf terVlan 11Int vlan 11Ip address int range fastethernet 0/13-24switchport access vlan 2 switchport access vlan 11 interface fa1/0ip address /设置端口IPip nat inside /起用NATno shutdownip nat pool net20 netmask type rotaryip nat pool net30 netmask type rotaryip nat inside source list 1 pool net20 ip nat inside source list 2 pool net30access-list 1 permit 55access-list 2 permit 55end5.3.2 汇聚层交换机配置清单envlan 1 vlan 2int range fastethernet 0/1-225 switchport access vlan 2 switchport access vlan 2 interface vlan 1ip address interface vlan 2ip address end5.3.3 路由器配置清单hostname R0!isdn switch-type basic-net3!ip subnet-zerono ip domain-lookupip routing!interface Ethernet 0ip address ip nat insideno shutdown!interface S0shutdownno des criptionno ip address!interface S1shutdownno des criptionno ip address!interface bri 0ip address negotiatedip nat outsideencapsulation pppppp authentication pap callinppp multilinkdialer-group 1dialer hold-queue 10dialer string 2633dialer idle-timeout 120ppp pap sent-username 263 password 263no cdp enableno ip split-horizonno shutdown!ip classless! Static Routes!ip route bri 0! Access Control List 2!access-list 2 permit any!dialer-list 1 protocol ip permit! Dynamic NAT!ip nat inside source list 2 interface bri 0 overloadsnmp-server community public ro!line console 0exec-timeout 0 0!line vty 0 4!end6 服务器操作系统及常用服务配置6.1 服务器操作系统安装一、准备工作: 1.准备好WindowsServer2003StandardEdition简体中文标准版版安装光盘。 2.可能的情况下，在运行安装程序前用磁盘扫描程序扫描所有硬盘检查硬盘错误并进行修复，否则安装程序运行时如检查到有硬盘错误即会很麻烦。 3.用纸张记录安装文件的产品密匙(安装序列号)。 4.如果你未安装过Windows2003系统，而现在正使用XP/2000系统，建议用驱动程序备份工具(如:驱动精灵)将WindowsXP/2000系统下的所有驱动程序备份到硬盘上(如Frive)。备份的WindowsXP/2000系统驱动程序可以在Windows2003系统下使用。 5.如果你想在安装过程中格式化C盘或D盘(建议安装过程中格式化用于安装2003系统的分区)，请备份C盘或D盘有用的数据。 6.导出电子邮件帐户和通信簿； 将“CocumentsandSettingsAdministrator(或你的用户名)”中的“收藏夹”目录复制到其它盘，以备份收藏夹；可能的情况下将其它应用程序的设置导出。 7.系统要求-对基于x86的计算机：建议使用一个或多个主频不低于550MHz(支持的最低主频为133MHz)的处理器。每台计算机最多支持8个处理器，建议使用IntelPentium/Celeron系列、AMDK6/Athlon/Duron系列或兼容的处理器。建议最少使用128MB的RAM，最大支持32GB。对基于Itanium体系结构的计算机：使用一个或多个主频不低于733MHz的处理器。每台计算机最多支持8个处理器。RAM最小为1GB，最大为64GB。硬盘可用空间，在基于x86的计算机上，该空间大约为1.25GB到2GB，在基于Itanium体系结构的计算机上，该空间大约为3GB到4GB,如果您通过网络而不是CD-ROM运行安装程序，或者从FAT或FAT32分区执行升级(推荐使用NTFS文件系统)，那么将需要更大的磁盘空间。二、用光盘启动系统: (如果你已经知道方法请转到下一步),重新启动系统并把光驱设为第一启动盘,保存设置并重启。将2003安装光盘放入光驱,重新启动电脑。刚启动时，当出现如下图1所示时快速按下回车键，否则不能启动2003系统安装。三、安装Windows Server 2003。从光盘读取启动信息，很快出现如下图所示。全中文提示,“要现在安装Windows,请按ENTER”，按回车键。许可协议,这里没有选择的余地，按“F8”。这里用“向下或向上”方向键选择安装系统所用的分区，我这里准备用C盘安装2003，并准备在下面的过程中格式化C盘。选择好分区后按“Enter”键回车，安装程序将检查C盘的空间和C盘现有的操作系统。上图表示安装程序检测到C盘已经有操作系统存在，提出警告信息。如果你选择安装系统的分区是空的。在这里我坚持用C盘安装系统，根据提示，按下键盘上的“C”键后出现如下图所示。上图最下方提供了5个对所选分区进行操作的选项，其中“保存现有文件系统(无变化)”的选项不含格式化分区操作，其它都会有对分区进行格式化的操作。这里，我用“上移”箭头键选择“用NTFS文件系统格式化磁盘分区”。回车后出现格式化C盘的警告。确定要格式化C盘后，按“F”键，安装程序将开始格式化C盘，格式化过程如下图所示。只有用光盘启动安装程序,才能在安装过程中提供格式化分区选项；如果用MS-DOS启动盘启动进入DOS下,运行i386winnt.exe进行安装时,安装Windows 2003过程没有格式化分区选项。格式化C分区完成后,创建要复制的文件列表，跟接着开始复制系统文件。 文件复制完后，安装程序开始初始化Windows配置。初始化Windows配置完成后，系统将在15秒后重新启动。这部分安装程序已经完成，系统将会自动在15秒后重新启动,将控制权从安装程序转移给系统。这时要注意了,建议在系统重启时将硬盘设为第一启动盘（不改变也可以）。重新启动后,首次出现Windows Server 2003启动画面。 区域和语言设置选用默认值就可以了，直接点“下一步”按钮。这里输入你想好的姓名(用户名)和单位，点“下一步”按钮。如果你没有预先记下产品密钥（安装序列号）就麻烦了！这里输入安装序列号，点“下一步”按钮。（接数”并更改数值(10人内免费)。否则你随便选啦，反正差别不大，点“下一步”按钮。安装程序自动为你创建又长又难看的计算机名称,自己可任意更改，输入两次系统管理员密码，请记住这个密码，Administrator系统管理员在系统中具有最高权限。密码长度少于6个字符时会出现如下图所示的提示信息。点击“是”继续安装。日期和时间设置不用讲,选北京时间，点“下一步”继续安装,复制文件、安装网络系统。上图中安装网络系统。让你选择网络安装所用的方式，选“典型设置”就行，然后点“下一步”出现如下图。点“下一步”继续安装，到这里后就不用你参与了，系统会自动完成全过程。安装完成后自动重新启动，出现启动画面，然后出现欢迎画面。上图中，需要按组合键“Ctrl+Alt+Delete”才能继续启动，在XP中此功能默认是关闭的。按组合键“Ctrl+Alt+Delete”后继续启动，出现登陆画面。桌面上除了回收站和语言栏外，空白一片。空白一片好做文章啊！四、安装系统后Windows Server 2003简体中文版安装时，默认安装了Internet Explorer增强的安全设置，默认关闭了声音，默认没有开启显示和声音的硬件加速。这样你上网时大部分网站不能打开，系统无声，播放电影和音乐迟钝。同时默认要按Ctrl+Alt+Delete组合键登录，默认开启了关机事件跟踪6.2 服务器操作系统常用配置运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步，为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系。第1步：配置TCP/IP打开网络连接，然后使用右键查看本地连接的属性。选择Internet 协议 (TCP/IP)。查看其属性。单击常规选项卡。选择“使用下面的IP地址”，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。选中高级选项中的DNS选项卡。单击附加主要的和连接特定的DNS 后缀。单击以选中附加主DNS 后缀的父后缀复选框。单击以选中在DNS中注册此连接的地址复选框。注意，运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。单击确定三次。备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置第2步：安装 Microsoft DNS 服务器单击开始，指向控制面板，然后单击添加或删除程序。单击“添加或删除Windows组件”。在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统 (DNS) 复选框，然后单击确定。单击下一步。得到提示后，将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。安装完成时，在完成 Windows 组件向导页上单击完成。单击关闭关闭添加或删除程序窗口。第3步：配置 DNS 服务器要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：单击开始，指向程序，指向管理工具，然后单击DNS。右击正向搜索区域，然后单击新建区域。当“新建区域向导”启动后，单击下一步。接着将提示您选择区域类型。区域类型包括：主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步。新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“”，那么有效的区域名称只能是“”。接受新区域文件的默认名称，单击下一步。如何移除根DNS 区域运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。单击开始，指向管理工具，然后单击DNS。展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。右击. 区域，然后单击删除.如何配置转发器Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。单击开始，指向管理工具，然后单击DNS。右击ServerName，其中ServerName是服务器的名称，然后单击转发器 选项卡。单击DNS域列表中的一个DNS域。或者单击新建，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定。在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。重复步骤 4，添加希望转发到的DNS服务器。单击确定。如何配置根提示Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%System32DNSCache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。单击开始，指向管理工具，然后单击DNS。右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。如何在防火墙后配置DNS代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时，这些问题都有可能发生。6.3 域控制器及用户账户配置安全是网络服务的前提和保障，没有安全网络服务也就失去了意义和存在的必要。事实上，所谓安全就是对用户权限的限制和控制，当用户只拥有与其职位和职能相称的权限时，网络就是安全的。“Active Directory用户和计算机”控制台窗口新建对象 用户”对话框新建对象 - 组”对话框6.4 WWW服务配置添加一个新的默认文档设置主目录6.5 DNS服务配置安装DNS服务添加正向搜索区域新建主机新建资源记录设置DNS转发器6.6 FTP服务配置（一）FTP服务的安装1. 选择“开始”“控制面板”“添加或删除程序” “添加删除Windows组件”，选取“应用程序服务器”后，单击“详细信息”按钮。2. 选择“Internet 信息服务(IIS)”后，单击“详细信息”按钮。3. 选择对话框中的“文件传输协议（FTP）服务后，单击“确定”按钮回到前一画面。然后依次单击“确定”按钮和“下一步”按钮直至“完成”按钮。安装完成后，可以用“IIS管理器”来管理FTP服务器，打开方式为“开始”“管理工具”“Internet信息服务(IIS)管理器”。展开“FTP站点”时，可以看到下面有一个“默认FTP站点”。（二）FTP服务器的测试用两种方式可以测试FTP站点是否工作正常。一是在命令行用ftp.exe程序，一是用IE浏览器。下面分别介绍。用ftp.exe程序测试。在测试主机启动命令行程序，然后输入ftp 服务器的IP地址，如：ftp 42。如果服务器有域名也可以通过“ftp 主机域名”来访问。当提示输入用户名时，可以用匿名账户来访问，即输入anonymous，提示输入密码时随便输入一个电子邮件帐号如（需要有）即可。断开连接输入bye。用IE浏览器测试。在浏览器的地址栏输入“ftp:/IP地址/”或“ftp:/域名/”。系统会自动用匿名账户来连接FTP服务器的默认站点。由于目前默认站点内还没有文件，所以界面中看不到任何文件。如果无法连接FTP服务器，请通过IIS管理器检查默认FTP站点的状态是否为“正在运行”。如果处于停止状态，则可以右击“默认站点”选择“启动”来开启FTP服务。如果测试主机有其他FTP客户端程序如FlashFXP，CuteFTP等，也可以用这些程序来测试。二、FTP服务器的基本配置（一）主目录与列表样式当用户通过以上方式来访问FTP服务器时，实际访问的是“默认FTP站点”的主目录。主目录的设置可以通过右击“默认FTP站点”，然后选择“属性”，然后切换到“主目录”TAB页。在这里，可以修改主目录，设置访问者对该目录的读（允许查看和下载）、写（允许上传）和记录访问（将连接此FTP站点的行为记录到日志文件内）。还可以设置目录列表样式为UNIX或MS-DOS格式。其中用ftp.exe程序连接到FTP服务器后，输入dir命令时，会以UNIX文件格式权限显示文件的读写权限。请同学们测试两者显示的区别。要求能在实验报告中体现两者的不同。（二）FTP站点标识选择“默认FTP站点”的属性，然后选择“FTP站点”TAB页。在这里可以设置“FTP站点标识”，“FTP站点连接”和“启用日志记录”。其中“FTP站点连接”可以设置FTP站点的最大连接数和连接超时的时间限制。与一台IIS主机可架设多个网站一样，一台安装IIS服务的主机也可以架设多个FTP站点。为了区分多个站点，需要为他们设置不同的识别信息。描述：站点的描述性文字。IP地址：如果运行IIS的主机有多个IP地址，可以指定通过那个IP地址来连接此FTP站点。TCP端口：默认FTP服务的端口为21，用户可以在此修改服务的端口号。不过修改端口号后，用户连接时必须自行输入端口号来连接FTP服务器。如假设2主机FTP服务的端口号改为1212，则用户可以先输入ftp命令，然后用“open 42 1212”命令连接FTP站点。如果是用IE浏览器来连接FTP站点，则可在地址栏输入“42:1212/”。利用IP地址与端口号架设多个FTP站点的原理与架设多个网站的原理相同，请同学们自行实践，并要求能在实验报告中体现。（三） FTP服务器的消息设置选择“默认FTP站点”的属性，然后选择“消息”TAB页。在这里可以连接FTP站点的各种提示信息。n标题：当用户连接FTP站点时，会首先看到设在“标题”处的文字。n欢迎：当用户登录到FTP站点时，会看到此欢迎词。n退出：当用户注销时，用户会看到此消息。n最大连接数：当FTP站点的连接数目达到最大的数目，用户连接此FTP站点时会显示此处的消息。请分别设置这些消息，然后用命令行的ftp程序连接该FTP站点，看这些消息分别什么时候出现（要求能在实验报告中体现）。（四）验证用户身份选择“默认FTP站点”的属性，然后选择“安全账户”TAB页。在此可以设置是否允许匿名访问。如果选择了“允许匿名连接”，则表示此FTP站点可以匿名访问，即用anonymous为用户名，以任一Email地址为密码来访问。同时可以在此修改与匿名账户对应的真实账户。如果取消了“允许匿名连接”，则用户必须用该服务器主机的用户来登录FTP站点。三、实际目录与虚拟目录FTP站点的“实际目录”，“虚拟目录”的含义和网站“实际目录”，“虚拟目录”的含义相同。实际目录是主目录下的真实目录。虚拟目录是将其他目录映射到主目录下。“虚拟目录”的设置方法也与网站“虚拟目录”的设置方法相同，请自行实践，并要求能在实验报告中体现。四、创建用户隔离的FTP站点 当用户连接”默认FTP站点“时，无论是匿名账户，还是正式账户，登录到FTP站点后，都转到了默认站点的主目录，大家见到的内容都相同的。Windows Server 2003的IIS增添了“FTP用户隔离”的功能，可以让每一个用户各自拥有自己的专属文件夹，当用户登录FTP站点时，会被转向各自的文件夹，而且不能却换到其他用户的文件夹。这样FTP站点可以充分保护用户的个人隐私。7 网络安全设计7.1 网络整体安全设计3.1 安全体系设计原则在进行计算机网络安全设计、规划时应遵循以下原则：1) 需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2） 综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 3） 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后