企業(yè)內(nèi)網(wǎng)的安全與管理

1、企業(yè)內(nèi)網(wǎng)的安全與管理摘要一直以來(lái)，安全防御理念局限在常規(guī)的漏洞掃描、防火墻、安全審計(jì)、防病毒、IDS等方面的防御，重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。在所有的網(wǎng)絡(luò)安全事件中,有超過(guò)70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長(zhǎng)的趨勢(shì)。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來(lái)也都是安全建設(shè)的難點(diǎn)。關(guān)鍵字：安全，風(fēng)險(xiǎn)，控制 ，防御目錄第一章、 背景分析41、信息：內(nèi)部機(jī)密文檔安全52、用戶：用戶桌面行為

2、規(guī)范53、系統(tǒng)：系統(tǒng)維護(hù)、資產(chǎn)管理6第二章、需求分析62.1 企業(yè)的設(shè)計(jì)目標(biāo)72.2構(gòu)建企業(yè)內(nèi)網(wǎng)總體介紹7第三章、網(wǎng)絡(luò)接入選擇7第四章、企業(yè)的四個(gè)子網(wǎng)8第五章、企業(yè)拓?fù)浣Y(jié)構(gòu)圖96.1 WEB服務(wù)器的配置116.2.1DNS服務(wù)器安裝與配置126.3 FTP服務(wù)器安裝與配置136.4 安裝配置郵件服務(wù)器146.5 DHCP服務(wù)器安裝與配置14第七章、防范內(nèi)部人員16參考文獻(xiàn)19致謝19第一章、 背景分析內(nèi)網(wǎng)安全的首要任務(wù):全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全?，F(xiàn)

3、代計(jì)算機(jī)及通信技術(shù)飛躍發(fā)展，企業(yè)內(nèi)部管理的網(wǎng)絡(luò)化及信息化成為一種必然的發(fā)展趨勢(shì)，網(wǎng)絡(luò)技術(shù)己經(jīng)廣泛地應(yīng)用到各個(gè)技術(shù)領(lǐng)域和整個(gè)社會(huì)的各個(gè)方面。許多企業(yè)都已建成或正在組建自己的企業(yè)網(wǎng)絡(luò)。本設(shè)計(jì)就企業(yè)網(wǎng)絡(luò)的總體規(guī)劃進(jìn)行了可行性的論證，并可作為將來(lái)真正實(shí)現(xiàn)企業(yè)網(wǎng)建設(shè)的一個(gè)方案。另外，基于企業(yè)網(wǎng)絡(luò)的開(kāi)發(fā)是將先進(jìn)技術(shù)應(yīng)用到企業(yè)內(nèi)部，通過(guò)簡(jiǎn)單的瀏覽界面，方便地集成了各類(lèi)已有的服務(wù),極大改變了傳統(tǒng)的信息系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)，開(kāi)發(fā)環(huán)境和應(yīng)用環(huán)境，打破了信息共享的障礙。企業(yè)內(nèi)網(wǎng)對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)，并充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的危險(xiǎn)，將是實(shí)施安全建設(shè)中必須首要解決的問(wèn)題，也是制定安全策略的基礎(chǔ)和依據(jù)。那么，究竟企

4、業(yè)在那些方面存在安全風(fēng)險(xiǎn)？企業(yè)內(nèi)網(wǎng)安全產(chǎn)品又能給企業(yè)帶來(lái)什么樣的價(jià)值？對(duì)此，溢信科技研發(fā)總監(jiān)黃凱從內(nèi)網(wǎng)安全涉及到的信息、用戶、系統(tǒng)三方面做了解讀。1、信息：內(nèi)部機(jī)密文檔安全企業(yè)中與業(yè)務(wù)相關(guān)的信息有九成左右都會(huì)以電子文檔的形式存在，這些內(nèi)部信息往往涉及商業(yè)機(jī)密，甚至是企業(yè)的核心關(guān)鍵技術(shù)，保密性要求甚高，一旦泄密，極有可能給企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失。1.1企業(yè)內(nèi)部可能存在專(zhuān)門(mén)的文檔服務(wù)器，用以存儲(chǔ)各類(lèi)文檔。如果缺乏有效的管理，任何內(nèi)網(wǎng)用戶都可以接觸到文檔，即可隨意把企業(yè)內(nèi)部文件甚至機(jī)密信息傳播出去，造成企業(yè)重大的損失。因此，企業(yè)需要對(duì)文檔進(jìn)行高強(qiáng)度的加密并設(shè)置基于角色的用戶權(quán)限管理。IP-guard

5、采用高強(qiáng)度的透明加密技術(shù)，對(duì)機(jī)密信息進(jìn)行安全保護(hù)，使文件在用戶新建后就自動(dòng)被加密保護(hù)。加密后的文件即使被非法傳輸?shù)狡髽I(yè)外部也無(wú)法解密和應(yīng)用。另外，還能夠根據(jù)不同的部門(mén)和級(jí)別，設(shè)置不同的內(nèi)部文檔訪問(wèn)控制權(quán)限，從而建立完整的保密體系。1.2企業(yè)內(nèi)部或許缺乏對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行有效的管控，任何人都可以使用自己的U盤(pán)、MP3、移動(dòng)硬盤(pán)等設(shè)備復(fù)制轉(zhuǎn)移電子文檔，文檔泄露的隱患大大增加。如果徹底禁止U盤(pán)的移動(dòng)設(shè)備的使用，又會(huì)為企業(yè)內(nèi)部正常的文檔傳輸帶來(lái)不便。因此，企業(yè)需要在享受移動(dòng)存儲(chǔ)設(shè)備帶來(lái)的便捷性的同時(shí)最大限度保障信息安全。IP-guard能夠解決組織內(nèi)部移動(dòng)存儲(chǔ)設(shè)備應(yīng)用矛盾，其核心是在總體控制計(jì)算機(jī)外部

6、設(shè)備包括USB、藍(lán)牙、光存儲(chǔ)設(shè)備使用權(quán)限的基礎(chǔ)上，分類(lèi)規(guī)范網(wǎng)內(nèi)的移動(dòng)存儲(chǔ)設(shè)備使用行為并進(jìn)行加密，輔之以全面的移動(dòng)存儲(chǔ)審計(jì)，最終達(dá)到移動(dòng)存儲(chǔ)設(shè)備便攜性與安全性兼得的目的。1.3企業(yè)員工因工作需要經(jīng)常使用qq、飛信、MSN、電子郵件等基于網(wǎng)絡(luò)的程序運(yùn)用，這些程序都有文件傳輸功能，如果不對(duì)其進(jìn)行限制，文件被有意或者無(wú)意泄露的風(fēng)險(xiǎn)性很大。所以，企業(yè)應(yīng)該對(duì)電子郵件、即時(shí)通訊工具進(jìn)行有效的管理和控制。IP-guard能夠?qū)ν獍l(fā)文檔的權(quán)限進(jìn)行管理。限制外發(fā)超過(guò)指定大小或包含指定關(guān)鍵字的文檔，甚至徹底禁止外發(fā)文檔，保護(hù)重要的文檔不會(huì)通過(guò)即時(shí)通訊工具泄露出去。同時(shí)完整記錄用戶的聊天內(nèi)容、發(fā)送的郵件內(nèi)容，方便管理

7、者了解用戶在進(jìn)行對(duì)話時(shí)是否有意或無(wú)意地泄露公司重要信息。2、用戶：用戶桌面行為規(guī)范除了企業(yè)內(nèi)部的機(jī)密信息，對(duì)企業(yè)發(fā)展起到至關(guān)重要作用的就是員工的工作效率。網(wǎng)絡(luò)的普及，無(wú)疑改善了員工的工作條件，提高了企業(yè)的整體效率。但是，企業(yè)內(nèi)部可能存在部分員工沉迷于網(wǎng)絡(luò)或者桌面游戲，忽視專(zhuān)職工作，嚴(yán)重影響企業(yè)發(fā)展。1.2.1部分用戶可能存在不規(guī)范的桌面行為，比如上班時(shí)間炒股、瀏覽無(wú)關(guān)新聞、網(wǎng)上游戲、看在線電影、聽(tīng)音樂(lè)等，工作效率十分低下，同時(shí)還存在BT下載、在線視頻、迅雷應(yīng)用等P2P行為，導(dǎo)致公司帶寬經(jīng)常被堵，正常的網(wǎng)絡(luò)業(yè)務(wù)無(wú)法開(kāi)展。企業(yè)必須對(duì)上網(wǎng)行為進(jìn)行適當(dāng)?shù)墓芸睾蛯徲?jì)。IP-guard能夠過(guò)濾一切與工作無(wú)

8、關(guān)的應(yīng)用程序，分時(shí)段或全天候阻止游戲、炒股、媒體播放、即時(shí)通訊、BT等程序的運(yùn)行。同時(shí)，還可限制P2P軟件的使用，幫助企業(yè)合理分配帶寬資源，力保網(wǎng)絡(luò)平穩(wěn)。另外，IP-guard還提供用戶應(yīng)用程序和網(wǎng)頁(yè)瀏覽情況的統(tǒng)計(jì)表，讓管理者對(duì)用戶的桌面行為一清二楚。1.2.2豐富的網(wǎng)站資源除了帶來(lái)有用的信息，還包含一些色情、反動(dòng)類(lèi)型的網(wǎng)站及其應(yīng)用，員工的不良上網(wǎng)行為可能導(dǎo)致病毒、木馬被非法下載進(jìn)入企業(yè)內(nèi)部。IP-guard可過(guò)濾黃色、暴力和惡意傳播病毒的網(wǎng)站，保證用戶在合規(guī)、合法范圍內(nèi)使用網(wǎng)頁(yè)，既不能訪問(wèn)下載也不能上傳散播任何含色情暴力成分的內(nèi)容。3、系統(tǒng)：系統(tǒng)維護(hù)、資產(chǎn)管理企業(yè)要健康發(fā)展，還離不開(kāi)IT系統(tǒng)

9、的正常運(yùn)作。由于企業(yè)規(guī)模的擴(kuò)大、實(shí)力的增強(qiáng)，企業(yè)的辦公地點(diǎn)可能分布在不同樓層甚至不同地區(qū)，由此造成大量計(jì)算機(jī)系統(tǒng)分布分散、企業(yè)內(nèi)部的資產(chǎn)統(tǒng)計(jì)工作非常繁瑣。計(jì)算機(jī)系統(tǒng)，是企業(yè)內(nèi)部必不可少的一個(gè)重要組成部分。維護(hù)系統(tǒng)的正常運(yùn)轉(zhuǎn)是IT管理員的日常工作，由于缺少適合的管理工具，企業(yè)內(nèi)部動(dòng)輒幾百上千臺(tái)計(jì)算機(jī)系統(tǒng)維護(hù)，也使得有限的IT管理人員對(duì)系統(tǒng)的日常維護(hù)變得不再靈活，系統(tǒng)漏洞風(fēng)險(xiǎn)不斷升高。針對(duì)此情況，系統(tǒng)管理員可以通過(guò)IP-guard控制臺(tái)實(shí)時(shí)查看客戶端計(jì)算機(jī)的應(yīng)用程序、網(wǎng)絡(luò)連接、進(jìn)程、系統(tǒng)信息等基本資料和運(yùn)行情況，在單一控制臺(tái)上就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)運(yùn)行信息的掌握。同時(shí)它還可以協(xié)助管理員對(duì)系統(tǒng)

10、運(yùn)行情況做分析，在系統(tǒng)發(fā)生異樣時(shí)及時(shí)解決，預(yù)防系統(tǒng)故障的發(fā)生。另外，系統(tǒng)管理員可以在IP-guard控制臺(tái)直接遠(yuǎn)程控制和操作任一計(jì)算機(jī)，可在控制臺(tái)對(duì)需要幫助的遠(yuǎn)程計(jì)算機(jī)進(jìn)行操作，實(shí)現(xiàn)遠(yuǎn)程桌面訪問(wèn)、雙向文件傳輸。多數(shù)企業(yè)內(nèi)部存在著大量的軟、硬資產(chǎn)和非IT資產(chǎn)。如果使用傳統(tǒng)的資產(chǎn)維護(hù)和管理方法，既繁瑣而又耗費(fèi)時(shí)間，人手統(tǒng)計(jì)完畢后還得手工錄入信息。當(dāng)資料統(tǒng)計(jì)或錄入到一半時(shí)，系統(tǒng)新增了資產(chǎn)，工作往往因此而被打斷。如此重復(fù)多次，IT管理者也難免變得糊涂，繁瑣手續(xù)就變得如此簡(jiǎn)單。因此，企業(yè)亟需一種簡(jiǎn)單的方法統(tǒng)計(jì)內(nèi)部資產(chǎn)。IP-guard自動(dòng)搜索和整合企業(yè)網(wǎng)絡(luò)內(nèi)客戶端計(jì)算機(jī)的IT資產(chǎn)信息，并集中記錄硬件型號(hào)

11、，節(jié)省人手統(tǒng)計(jì)的時(shí)間，同時(shí)也可自動(dòng)統(tǒng)計(jì)軟硬件資產(chǎn)的變更，提供一目了然的軟硬件資產(chǎn)變更列表，讓系統(tǒng)管理員通過(guò)控制臺(tái)的數(shù)據(jù)便可對(duì)資產(chǎn)變動(dòng)了如指掌，時(shí)刻掌握最新最準(zhǔn)確的資產(chǎn)信息。既可減輕系統(tǒng)管理員的工作負(fù)擔(dān)，又可避免資產(chǎn)的遺失與侵占。第二章、需求分析2.1 企業(yè)的設(shè)計(jì)目標(biāo)企業(yè)為了與時(shí)俱進(jìn)，滿足市場(chǎng)供求，充分利用網(wǎng)絡(luò)上的信息資源是必然，來(lái)滿足不斷出現(xiàn)的對(duì)環(huán)境的要求。企業(yè)網(wǎng)最終必須是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、多項(xiàng)信息管理、辦公自動(dòng)化和信息發(fā)布等功能于一體的綜合信息平臺(tái)，并能夠有效促進(jìn)現(xiàn)有的管理體制和管理方法，來(lái)提高企業(yè)的辦公質(zhì)量和效率。2.2構(gòu)建企業(yè)內(nèi)網(wǎng)總體介紹本著辦公自動(dòng)化和資源共享的原則將企業(yè)的500臺(tái)

12、計(jì)算機(jī)組織成為一個(gè)小型的辦公局域網(wǎng)。本方案主要采用星形與樹(shù)型相結(jié)合的混合型拓?fù)浣Y(jié)構(gòu)對(duì)網(wǎng)絡(luò)進(jìn)行構(gòu)建，劃分四個(gè)子網(wǎng)，采用交換機(jī)將四組計(jì)算機(jī)連接起來(lái)組成內(nèi)部局域網(wǎng)。并使用撥號(hào)上網(wǎng)的方式進(jìn)行網(wǎng)絡(luò)連接。2.3用戶需求近年來(lái)企業(yè)設(shè)備共享和信息資源的管理越來(lái)越重要，因此公司需要一個(gè)實(shí)時(shí)、安全、高速、穩(wěn)定的信息交換平臺(tái)，來(lái)保證公司那頻繁且龐大的信息傳輸量，從而提高工作效率，達(dá)到設(shè)備共享，縮小巨大的設(shè)備開(kāi)資，好充分利用有限的資金來(lái)提高企業(yè)的發(fā)展，適應(yīng)高速發(fā)展的信息化社會(huì)。同時(shí)借助Internet來(lái)打破地域的限制，涉取多樣的市場(chǎng)需求信息及選進(jìn)的科學(xué)技術(shù)。2.4功能需求企業(yè)網(wǎng)絡(luò)涉及四個(gè)子系統(tǒng)：生產(chǎn)用電腦，管理用電腦

13、，財(cái)務(wù)用電腦，勞資系統(tǒng)電腦系統(tǒng)同時(shí)要滿足OA及業(yè)務(wù)系統(tǒng)數(shù)據(jù)流為主的應(yīng)用，網(wǎng)絡(luò)的體系結(jié)構(gòu)要能支持以O(shè)A/業(yè)務(wù)數(shù)據(jù)流的應(yīng)用，系統(tǒng)能夠?qū)崿F(xiàn)資源共享和信息流的無(wú)阻塞通暢流轉(zhuǎn)，包括文件傳輸、WEB訪問(wèn)、郵件傳輸、信息查詢、以及內(nèi)部Intranet/Extranet應(yīng)用等。同時(shí)為將來(lái)的VoIP、VOD、視頻會(huì)議等應(yīng)用需求做好可升級(jí)的準(zhǔn)備。因此，所采用的設(shè)備必須支持TCP/IP以及SPX/IPX、FTP協(xié)議，支持各路路由協(xié)議，同時(shí)支持IP Multicast,Qos,RSVP等局域網(wǎng)和廣域網(wǎng)多媒體應(yīng)用技術(shù)。提供足夠的帶寬，從而實(shí)現(xiàn)OA、業(yè)務(wù)數(shù)據(jù)流與多媒體應(yīng)用的實(shí)現(xiàn)。所以，網(wǎng)絡(luò)設(shè)備選擇要能夠滿足企業(yè)級(jí)的應(yīng)用，

14、同時(shí)主干交換機(jī)不但能夠滿足目前的應(yīng)用，還要能夠?qū)?lái)系統(tǒng)擴(kuò)充保持一定的擴(kuò)容能力，以及適當(dāng)?shù)撵`活性，以便網(wǎng)絡(luò)擴(kuò)充和增加新的功能。第三章、網(wǎng)絡(luò)接入選擇企業(yè)組建網(wǎng)絡(luò)的目標(biāo)是以信息技術(shù)為手段，把分布在不同地點(diǎn)的現(xiàn)有資源迅速地組合成為一個(gè)沒(méi)有（或幾乎沒(méi)有）時(shí)間和空間約束、靠電子手段聯(lián)系的統(tǒng)一指揮的經(jīng)營(yíng)實(shí)體，從而達(dá)到企業(yè)生存和發(fā)展的高效性、穩(wěn)定性和長(zhǎng)期性。在企業(yè)中，由于布線在企業(yè)中，由于布線系統(tǒng)費(fèi)用與實(shí)現(xiàn)上的限制，對(duì)于零散的遠(yuǎn)程用戶接入，利用PSTM市話網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程撥號(hào)訪問(wèn)幾乎是唯一的經(jīng)濟(jì)、簡(jiǎn)便的選擇。遠(yuǎn)程撥號(hào)訪問(wèn)需要規(guī)劃遠(yuǎn)程訪問(wèn)服務(wù)器和Modem設(shè)備，并申請(qǐng)一組中繼線（企業(yè)內(nèi)部有PABX電話交換機(jī)則最好

15、）。由于整個(gè)網(wǎng)絡(luò)中惟一的窄寬設(shè)備，這一部分在未來(lái)的網(wǎng)絡(luò)中可能會(huì)逐步減少使用。遠(yuǎn)程訪問(wèn)服務(wù)器（RAS）和Modem組的端口數(shù)目一一對(duì)應(yīng)，一般按一個(gè)端口支持20個(gè)用戶計(jì)算來(lái)配置。遠(yuǎn)程訪問(wèn)技術(shù)首先解決的問(wèn)題就是地域的局限。用戶不再需要處于企業(yè)局域網(wǎng)絡(luò)平臺(tái)覆蓋范圍之內(nèi)，通過(guò)局域網(wǎng)接入方式來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)應(yīng)用服務(wù)。此外，遠(yuǎn)程訪問(wèn)技術(shù)解決的另一個(gè)問(wèn)題是靈活性，不論用戶身在何處在家中，亦或在另一個(gè)城市出差，均能夠利用遠(yuǎn)程訪問(wèn)技術(shù)接入到企業(yè)內(nèi)部網(wǎng)絡(luò)平臺(tái)。由于上述原因，遠(yuǎn)程訪問(wèn)技術(shù)長(zhǎng)期以來(lái)一直使用一種最為普通、隨處可得的傳輸媒介PSTN(公用電話網(wǎng))。利用Modem模擬撥號(hào)技術(shù)來(lái)實(shí)現(xiàn)遠(yuǎn)程連接。利用PSTN進(jìn)行遠(yuǎn)程

16、接入，用戶只要利用一條電話線和普通的Modem(調(diào)制解調(diào)器)，對(duì)于用戶來(lái)說(shuō)，一次性投入很小。當(dāng)然如果用戶想同時(shí)獲得數(shù)據(jù)服務(wù)和模擬的電話傳真服務(wù)，就不得不再申請(qǐng)一個(gè)號(hào)碼，因?yàn)樵谶@種通訊方式下，數(shù)據(jù)和模擬通訊均要求獨(dú)占一個(gè)信道。而企業(yè)需在局域網(wǎng)邊緣設(shè)置遠(yuǎn)程訪問(wèn)接入設(shè)備并配備一定數(shù)量的語(yǔ)音中繼線路供遠(yuǎn)程訪問(wèn)用戶撥入。 圖3-1第四章、企業(yè)的四個(gè)子網(wǎng)我按公司各單位的部門(mén)劃分，公司電腦可分為以下四種四個(gè)子網(wǎng)：一是生產(chǎn)用電腦，二是管理用電腦，三是財(cái)務(wù)用電腦，四是勞資系統(tǒng)電腦。經(jīng)過(guò)分析，我們將企業(yè)局域網(wǎng)按應(yīng)用類(lèi)型分為對(duì)應(yīng)的四個(gè)子網(wǎng)：生產(chǎn)子網(wǎng)（LAN1）;管理子網(wǎng)(LAN2);勞資子網(wǎng)(LAN3);財(cái)務(wù)子網(wǎng)(

17、LAN4)。這四者連接起來(lái)構(gòu)成了企業(yè)的主干網(wǎng)。如下圖: 圖4-1企業(yè)主干網(wǎng)3IP規(guī)劃首先，要考慮選用哪一段專(zhuān)用IP地址。小型企業(yè)可以選擇“”地址段，大中型企業(yè)則可以選擇“”地址段。如果我們根據(jù)網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)量來(lái)決定需采用的IP地址，這個(gè)方案肯定是行不通的。因?yàn)檫@樣做會(huì)受到將來(lái)網(wǎng)絡(luò)狀況變化的限制，假如不久后企業(yè)決定又要購(gòu)進(jìn)一批計(jì)算機(jī)，整個(gè)網(wǎng)絡(luò)就可能因?yàn)檫x取的IP地址不合適而導(dǎo)致重新設(shè)計(jì)。其實(shí)網(wǎng)絡(luò)的劃分并不是很復(fù)雜，只要考慮到在可預(yù)見(jiàn)的將來(lái)的網(wǎng)絡(luò)情況就可以了，同時(shí)要注重它的通用性及其穩(wěn)定性。在這里，因?yàn)镹公司需要?jiǎng)澐?個(gè)子網(wǎng) ：子網(wǎng)1網(wǎng)絡(luò)地址：172.1

18、6.1. 1/24 1-254可用 255廣播地址子網(wǎng)2網(wǎng)絡(luò)地址：172.16.2. 1/24 1-254可用 255廣播地址子網(wǎng)3網(wǎng)絡(luò)地址：172.16.3. 1/24 1-254可用 255廣播地址子網(wǎng)4網(wǎng)絡(luò)地址：172.16.4. 1/24 1-254可用 255廣播地址劃分了4個(gè)子網(wǎng)，每個(gè)子網(wǎng)254臺(tái)主機(jī)，為以后添加主機(jī)作好準(zhǔn)備。遠(yuǎn)程數(shù)據(jù)庫(kù)上客戶端或本地?cái)?shù)據(jù)庫(kù)客戶端通過(guò)Internet或局域網(wǎng)與中轉(zhuǎn)服務(wù)器建立連接（中轉(zhuǎn)服務(wù)器IP地址/互聯(lián)網(wǎng)域名為固定的），中轉(zhuǎn)服務(wù)器保存各客戶端的動(dòng)態(tài)IP地址；遠(yuǎn)程數(shù)據(jù)庫(kù)要求與本地?cái)?shù)據(jù)庫(kù)交換數(shù)據(jù)，中轉(zhuǎn)服務(wù)器在兩者之間建立一條暫時(shí)的通道；通過(guò)遠(yuǎn)程數(shù)據(jù)庫(kù)與本

19、地?cái)?shù)據(jù)庫(kù)通道完成數(shù)據(jù)交換。第五章、企業(yè)拓?fù)浣Y(jié)構(gòu)圖圖5-1企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖第六章、網(wǎng)絡(luò)服務(wù)器的配置與安裝安裝需求根據(jù)公司需求選擇性的配置一些服務(wù)器(WWW服務(wù)器、FTP服務(wù)器、DNS、DHCP、E-MAIL等)。6.1 WEB服務(wù)器的配置萬(wàn)維網(wǎng)（World Wide Web）是Internet上集文本、聲音、動(dòng)畫(huà)、視頻等多種媒體信息于一身的信息服務(wù)系統(tǒng)，整個(gè)系統(tǒng)由Web服務(wù)器、瀏覽器及通信協(xié)議等3部分組成。www中的信息資源主要由一篇篇的網(wǎng)頁(yè)為基本元素構(gòu)成，所有網(wǎng)頁(yè)采用超文本標(biāo)記語(yǔ)言來(lái)編寫(xiě)，HTML對(duì)Web頁(yè)的內(nèi)容、格式及Web頁(yè)中的超鏈進(jìn)行描述。Web頁(yè)間采用超級(jí)文本（HyperText）的

20、格式互相鏈接。在Windows 2000中推出了Internet Information Server 5.0（簡(jiǎn)稱IIS5.0）提供了方便的安裝和管理，增強(qiáng)的應(yīng)用環(huán)境，基于標(biāo)準(zhǔn)的發(fā)布協(xié)議，在性能和擴(kuò)展性方面有了很大的改進(jìn)，為客戶提供更佳的穩(wěn)定性和可靠性。IIS是基于TCP/IP的Web應(yīng)用系統(tǒng)，使用IIS可使運(yùn)行Windows 2000的計(jì)算機(jī)成為大容量、功能強(qiáng)大的Web服務(wù)器。IIS不但可以通過(guò)使用HTTP協(xié)議傳輸信息，還可以提供FTP和Gopher服務(wù)，這樣，IIS可以輕松地將信息發(fā)送給整個(gè)Internet上的用戶。IIS5.0的具體安裝步驟如下：一、控制面板-添加或刪除程序，點(diǎn)擊“添加

21、/刪除Windows組件”按鈕。二、選擇“Internet信息服務(wù)（IIS）”，單擊“下一步”開(kāi)始安裝，單擊“完成”結(jié)束。選擇“開(kāi)始”/“程序”/“管理工具”/“Internet服務(wù)管理器”，打開(kāi)“Internet信息服務(wù)” 管理窗口，窗口顯示計(jì)算機(jī)上已經(jīng)安裝好的Internet服務(wù)，而且都已經(jīng)自動(dòng)啟動(dòng)運(yùn)行，其中Web站點(diǎn)有兩個(gè)，分別是默認(rèn)Web站點(diǎn)及管理Web站點(diǎn)。1使用IIS的默認(rèn)站點(diǎn)一、將制作好的主頁(yè)文件（html文件）復(fù)制到Inetpubwwwroot目錄。二、將主頁(yè)文件的名稱改為Default.htm?，F(xiàn)在進(jìn)行的都是IIS默認(rèn)動(dòng)作。完成這兩個(gè)步驟后，打開(kāi)本機(jī)或客戶機(jī)瀏覽器，來(lái)瀏覽站點(diǎn)

22、，測(cè)試Web服務(wù)器是否安裝成功，WWW服務(wù)是否運(yùn)行正常。站點(diǎn)開(kāi)始運(yùn)行后，如果要維護(hù)系統(tǒng)或更新網(wǎng)站數(shù)據(jù)，可以暫?；蛲Ｖ拐军c(diǎn)的運(yùn)行，完成上述工作后，再重新啟動(dòng)站點(diǎn)。2添加新的Web站點(diǎn)步驟一、打開(kāi)“Internet信息服務(wù)窗口”，右鍵單擊要?jiǎng)?chuàng)建新站點(diǎn)的計(jì)算機(jī)，在彈出菜單中選擇“新建”/“Web站點(diǎn)”，出現(xiàn)“Web站點(diǎn)創(chuàng)建向?qū)А?，單擊“下一步”繼續(xù)。步驟二、然后輸入說(shuō)明文字，單擊“下一步”，輸入新建Web站點(diǎn)的IP地址和TCP端口地址。如果通過(guò)主機(jī)頭文件將其它站點(diǎn)添加到單一IP地址，必須指定主機(jī)頭文件名稱。Web站點(diǎn)建立好之后，可以通過(guò)“Microsoft 管理控制臺(tái)”進(jìn)一步來(lái)管理及設(shè)置Web站點(diǎn)，

23、站點(diǎn)管理工作既可以在本地進(jìn)行，也可以遠(yuǎn)程管理。3測(cè)試過(guò)程首先在客戶機(jī)的IE瀏覽器中輸入Web服務(wù)器的IP地址,如果配置結(jié)果正確的話,客戶機(jī)將會(huì)顯示W(wǎng)eb服務(wù)器上所建立的網(wǎng)頁(yè),如果不能夠訪問(wèn),則可以用以下命令進(jìn)行測(cè)試:Ping及Tracert。用法如下:ping -t -a -n count -l size -f -i TTL -v TOS-r count -s count -j host-list | -k host-list-w timeout destination-listtracert -d -h maximum_hops -j host-list -w timeout target_

24、nameOptions:-d Do not resolve addresses to hostnames.-h maximum_hops Maximum number of hops to search for target.-j host-list Loose source route along host-list.-w timeout Wait timeout milliseconds for each reply.Ping命令用于測(cè)試網(wǎng)絡(luò)的連通性,Tracert命令用于測(cè)試路由的走向。在客戶機(jī)上Ping Web服務(wù)器,如果通的話則可以正常訪問(wèn)。如果不通可按以下步驟進(jìn)行測(cè)試:1.在客戶機(jī)

25、上Ping其它四臺(tái)計(jì)算機(jī),測(cè)試是否連通。在實(shí)驗(yàn)過(guò)程中發(fā)現(xiàn)一個(gè)問(wèn)題:Ping DNS服務(wù)器,測(cè)試其連通性。如果正常,則可暫時(shí)確定問(wèn)題出在DNS服務(wù)器與Web服務(wù)器之間。2.如果計(jì)算機(jī)之間通信正常但還不能正確訪問(wèn)Web服務(wù)器則可用Tracert Web服務(wù)器IP 命令查看其路由走向。從而確定問(wèn)題的所在。6.2.1DNS服務(wù)器安裝與配置一、配置IP地址打開(kāi)“本地連接”屬性對(duì)話框，雙擊“Internet 協(xié)議 (TCP/IP)”，填上IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器地址。2、 DNS服務(wù)程序的安裝1、打開(kāi)“網(wǎng)絡(luò)和撥號(hào)連接”，或者打開(kāi)控制面板（“開(kāi)始”“設(shè)置”“控制面板”“添加/刪除程序”“添

26、加/刪除Windows 組件”“網(wǎng)絡(luò)服務(wù)”）。 2、單擊“添加網(wǎng)絡(luò)組件”，選中“網(wǎng)絡(luò)服務(wù)”，打開(kāi)“詳細(xì)信息”。網(wǎng)絡(luò)服務(wù)詳細(xì)信息3、選中“域名系統(tǒng)DNS”，單擊“確定”，單擊“下一步”。4、插入“Windows 2000 Server”光盤(pán)，安裝DNS系統(tǒng)文件。5、安裝完后，在“管理工具”下增加了“DNS”菜單項(xiàng)。三、DNS服務(wù)程序的配置在域中，有這樣幾臺(tái)計(jì)算機(jī)需要加到DNS服務(wù)器中。的郵件服務(wù)器名為，IP地址為1的WWW服務(wù)器名為，IP地址為192.168

27、.0.31W的FTP服務(wù)器名為FTP.，IP地址也為1，即和 WWW服務(wù)器同一臺(tái)。中的主DNS服務(wù)器名為，IP地址為1因?yàn)橐ㄗ约旱挠蛎?wù)，將自己的機(jī)器作為域名服務(wù)器，所以要修改自己機(jī)器的名稱為NS，域名修改為“”，現(xiàn)在這臺(tái)服務(wù)器名稱為。配置步驟：1、創(chuàng)建區(qū)域。（1）打開(kāi)“開(kāi)始”“程序”“管理工具”“DNS”（2）添加“正向搜索區(qū)域”。右鍵單擊“正向搜索區(qū)域”，單擊“新建區(qū)域”-“新建區(qū)域向?qū)А薄?3

28、) 單擊“下一步”，輸入?yún)^(qū)域名稱“”。(4) 單擊“下一步”，創(chuàng)建新文件，文件名采用默認(rèn)名，為“.dns”。(5) 單擊“下一步”，完成“新建區(qū)域向?qū)А薄?、創(chuàng)建反向搜索區(qū)域反向搜索區(qū)域不一定非要?jiǎng)?chuàng)建，但是加上它，可以使用NSLOOKUP工具來(lái)診斷你的DNS服務(wù)器故障。（1） 右鍵單擊“反向搜索區(qū)域”，單擊“新建區(qū)域”，按“新建區(qū)域向?qū)А眴螕簟跋乱徊健?“下一步”。（2） 填入IP地址網(wǎng)絡(luò)號(hào)192.168.0。（3） 單擊“下一步”，創(chuàng)建區(qū)域文件“0.168.192..dns”（4）單擊“下一步”，單擊“完成”，完成“反向搜索區(qū)域”的安裝

29、。這樣你就擁有了兩個(gè)區(qū)域，正向搜索區(qū)域和反向搜索區(qū)域，如所示。3、 域的屬性設(shè)置右鍵單擊“”，單擊“屬性”，就彈出帶有五個(gè)頁(yè)簽的屬性窗口。第一個(gè)頁(yè)簽是“常規(guī)”，區(qū)域文件名“.dns”在“C:WINNTSYSTEM32”下，可以先備份下來(lái)，以便發(fā)生災(zāi)難時(shí)的修復(fù)。默認(rèn)情況下，“允許動(dòng)態(tài)更新（w）”為“否”，如果你想讓這臺(tái)DNS服務(wù)器為Windows 2000的域提供服務(wù)的話，會(huì)引起問(wèn)題的，因此將“否”改為“是”。同樣，右鍵單擊“192.168.0.x Subnet”，單擊“屬性”，修改“允許動(dòng)態(tài)更新”為“是”。4、創(chuàng)建記錄（1）創(chuàng)建主機(jī)記錄即A記錄（2）置反

30、向查詢記錄6.3 FTP服務(wù)器安裝與配置一、FTP服務(wù)器的配置及使用打開(kāi)“Internet信息服務(wù)”窗口，右鍵單擊“默認(rèn)FTP站點(diǎn)”，選擇“屬性”選項(xiàng)。出現(xiàn)2對(duì)話框。有五個(gè)選項(xiàng)卡。1、FTP站點(diǎn)TCP端口號(hào)默認(rèn)是21，設(shè)置其他端口號(hào)，如24。在連接欄，根據(jù)系統(tǒng)的容量和帶寬，限制連接的數(shù)量。一個(gè)下載窗口就是一個(gè)連接。啟用日志記錄與WWW屬性類(lèi)似。單擊當(dāng)前會(huì)話按鈕，這里列出了連接到FTP服務(wù)器的所有用戶、它們的IP地址和已經(jīng)連接的次數(shù)。2、安全帳號(hào)在FTP服務(wù)器上，通常有兩種用戶連接：匿名登錄和用戶登錄。匿名登錄在Internet下非常普遍，使用的用戶名是“anonymous”。如果你的FTP公開(kāi)

31、，通過(guò)允許匿名登錄。否則用戶登錄方式，需要用合法的用戶名和密碼才能登錄進(jìn)去。FTP站點(diǎn)安全帳號(hào)消息FTP的客戶界面比較單一，但是我們可以設(shè)置個(gè)性化的界面。當(dāng)用戶登錄進(jìn)來(lái)后，我們發(fā)送歡迎消息，當(dāng)用戶退出后，給出退出信息。如果你的服務(wù)器已達(dá)到限制的最大連接數(shù)目，就會(huì)發(fā)送一條最大連接數(shù)的消息給用戶，并立刻斷開(kāi)連接。3、主目錄FTP站點(diǎn)的內(nèi)容位置可以來(lái)自于本機(jī)或共享目錄。此處與WWW屬性頁(yè)中的設(shè)置類(lèi)似。但權(quán)限只有三項(xiàng)：讀取、寫(xiě)入和日志訪問(wèn)。4、目錄安全性這個(gè)頁(yè)面中，可以限制訪問(wèn)站點(diǎn)的IP地址。比如，拒絕訪問(wèn)的IP地址是一個(gè)C類(lèi)地址。5、虛擬目錄建立FTP虛擬目錄，方法同WWW虛

32、擬目錄創(chuàng)建的方法。6.4 安裝配置郵件服務(wù)器郵件服務(wù)器的安裝其實(shí)就是PO3、SMTP服務(wù)相關(guān)組件的安裝，本文主要為大家介紹如何利用“配置您的服務(wù)器向?qū)А边M(jìn)行安裝郵件服務(wù)器。(1)執(zhí)行【開(kāi)始】【管理工具】【配置您的服務(wù)器向?qū)А坎藛尾僮?，打開(kāi)如下圖所示對(duì)話框。(2)單擊“下一步”按鈕，打開(kāi)如下圖所示對(duì)話框。這是一個(gè)預(yù)備步驟，在其中提示了在進(jìn)行以下步驟前需要做好的準(zhǔn)備工作。(3)單擊“下一步”按鈕，打開(kāi)如圖所示對(duì)話框。在其中選擇“郵件服務(wù)器(POP3，SMTP)選項(xiàng)。(4)單擊“下一步”按鈕，打開(kāi)如圖所示對(duì)話框。在其中要求選擇郵件服務(wù)器中所使用的用戶身份驗(yàn)證方法，一般如果是在域網(wǎng)絡(luò)中，選擇“Acti

33、ve Directory集成的”這種方式，這樣郵件服務(wù)器就會(huì)以用戶的域帳戶進(jìn)行身份認(rèn)證。然后在“電子郵件域名”中指定一個(gè)郵件服務(wù)器名，本示例為grfwgz.mail。(5)單擊“下一步”按鈕，打開(kāi)如圖47所示對(duì)話框。這是一個(gè)選擇總結(jié)對(duì)話框，在列表中總結(jié)了以上配置選擇。(6)單擊“下一步”按鈕后系統(tǒng)開(kāi)始安裝郵件服務(wù)器所需的組件，進(jìn)程如圖所示。不過(guò)在此過(guò)程中，系統(tǒng)會(huì)提示用戶指定Windows Server 2003系統(tǒng)源程序所在位置，以便復(fù)制所需文件。(7)完成文件復(fù)制后系統(tǒng)會(huì)自動(dòng)打開(kāi)如圖49所示向?qū)瓿蓪?duì)話框。直接單擊“完成”按鈕完成郵件服務(wù)器的整個(gè)安裝過(guò)程。完成后執(zhí)行【開(kāi)始】【管理工具】【管理

34、您的服務(wù)器】菜單操作，在打開(kāi)的如圖50所示“管理您的服務(wù)器”窗口即可見(jiàn)到剛才安裝的郵件服務(wù)器了。單擊“管理此郵件服務(wù)器”即可打開(kāi)郵件服務(wù)器窗口。6.5 DHCP服務(wù)器安裝與配置 安裝DHCP服務(wù)配置IP地址選擇一臺(tái)已經(jīng)安裝好Windows 2003的服務(wù)器，確認(rèn)其已安裝了TCP/IP協(xié)議，首先設(shè)置服務(wù)器自己TCP/IP協(xié)議的配置，這里需要注意的是DHCP服務(wù)器本身的IP地址必須是固定的，也就是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等數(shù)據(jù)必須是靜態(tài)分配的。DHCP服務(wù)程序的安裝打開(kāi)控制面板（“開(kāi)始”“設(shè)置”“控制面板”“添加/刪除程序”“添加/刪除Windows 組件”“網(wǎng)絡(luò)服務(wù)”）。 選中“網(wǎng)絡(luò)服務(wù)”

35、，單擊“詳細(xì)信息”按鈕。打開(kāi)“網(wǎng)絡(luò)服務(wù)”對(duì)話框。選中“動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）”復(fù)選框，單擊“確定”，返回“Windows組件向?qū)А睂?duì)話框，單擊“下一步”。注意：安裝DHCP系統(tǒng)文件時(shí)，需要插入“Windows server 2003”光盤(pán)，。安裝完后，在“管理工具”下增加了“DHCP”菜單項(xiàng)。 配置DHCP服務(wù)器打開(kāi)DHCP管理器。選“開(kāi)始程序管理工具DHCP”，默認(rèn)的，DHCP窗口已經(jīng)有服務(wù)器的FQDN（ Fully Qualified Domain Name，完全合格域名），比如“”。如果列表中還沒(méi)有任何服務(wù)器，則需添加DHCP服務(wù)器。選“DHCP右鍵添加

36、服務(wù)器”，選“此服務(wù)器”，再按“瀏覽”選擇（或直接輸入）服務(wù)器名（即你的服務(wù)器的名字）。打開(kāi)作用域的設(shè)置窗口。先選中FQDN名字（即），再按“右鍵新建作用域”。設(shè)置作用域名。此地的“名稱”,“說(shuō)明”項(xiàng)只是作提示用，可填任意內(nèi)容。單擊“下一步”。設(shè)置可分配的IP地址范圍：這里我們分配為“0”，則在“起始IP地址”項(xiàng)填寫(xiě)“”，“結(jié)束IP地址”項(xiàng)填寫(xiě)“0；“子網(wǎng)掩碼”項(xiàng)為“”,此項(xiàng)內(nèi)容自動(dòng)生成。單擊“下一步”。如果有必要，可在該對(duì)話框的選項(xiàng)中輸入欲保留的IP地

37、址或IP地址范圍，這里我們可以在“起始IP地址”項(xiàng)填寫(xiě)“”,然后單擊添加，這時(shí)“”即為保留地址；否則直接單擊“下一步”。這里“租約期限”可設(shè)定DHCP服務(wù)器所分配的IP地址的有效期，比如設(shè)置一年（即365天），默認(rèn)為8天。單擊“下一步”。如果選“是，我想配置這些選項(xiàng)”接下來(lái)的工作就是給工作站配置默認(rèn)的網(wǎng)關(guān)、默認(rèn)的DNS服務(wù)地址、默認(rèn)的WINS服務(wù)器。也可以不作任何設(shè)置，直接單擊下一步，以后再配置。最后再根據(jù)提示選“是，我想激活作用域”單擊“完成”即可結(jié)束最后設(shè)置。DNS客戶端的設(shè)置在安裝Windows 2000 professional 和Windo

38、ws server 2003的客戶機(jī)上，運(yùn)行“控制面板”中的“網(wǎng)絡(luò)和撥號(hào)連接”，在打開(kāi)的窗口中右擊“本地連接”，選擇“屬性”，在“本地連接屬性”對(duì)話框中選擇“Internet協(xié)議（TCP/IP）”/“屬性”，出現(xiàn)“Internet協(xié)議（TCP/IP）”/“屬性”對(duì)話框，在該對(duì)話框內(nèi)選擇“自動(dòng)獲得IP地址”選項(xiàng)。DHCP作用域的修改、停用、激活、刪除右擊“作用域”，在快捷菜單中，分別選擇“屬性”，“停用”，“激活” ，“刪除”子項(xiàng)，實(shí)現(xiàn)其功能。在選擇“屬性”子項(xiàng)后，可對(duì) “作用域名”、“起始IP地址”、“結(jié)束IP地址” “DHCP客戶的租用期”，進(jìn)行修改。 使用ipconfig命令測(cè)試配置后的DHCP服務(wù)器在局域網(wǎng)的任一客戶機(jī)上單擊“開(kāi)始”“運(yùn)行”，輸入cmd命令，進(jìn)入命令提示符下，輸入“ipconfig /all”,如果測(cè)試成功，客戶機(jī)所獲IP地址必在DHCP服務(wù)器所設(shè)IP地址的區(qū)間內(nèi)。另外測(cè)試時(shí)，如果使用了all參數(shù)，還可以看到DHCP服務(wù)器的IP地址及其它信息。第七章、防范內(nèi)部人員1、網(wǎng)絡(luò)設(shè)備權(quán)限管理：在企業(yè)網(wǎng)絡(luò)中，路由器、防火墻等網(wǎng)絡(luò)設(shè)備都與互聯(lián)網(wǎng)和內(nèi)網(wǎng)相連接。為了企業(yè)網(wǎng)絡(luò)的安全，企業(yè)網(wǎng)管通常禁止外部的IP地址訪問(wèn)路由器及防火墻等網(wǎng)絡(luò)設(shè)備，并沒(méi)有限制內(nèi)部網(wǎng)絡(luò)地址對(duì)路由器及防火墻待網(wǎng)絡(luò)設(shè)備的訪問(wèn)管理。從表面看，網(wǎng)