《畢業(yè)設計－中小型企業(yè)網絡服務器構建》

1、濟南XX職業(yè)技術學院畢業(yè)設計（論文）題 目：大慶科技公司網絡服務器構建 系 別：信息工程系專 業(yè)：計算機網絡技術班 級：XXX學生姓名：XXX指導教師：XXX完成日期：2010/05/15濟南鐵道職業(yè)技術學院畢業(yè)設計（論文）任務書班 級XXX學生姓名XXX指導教師XXX設計（論文）題目 大慶科技公司網絡服務器構建主要研究內容用戶的需求系統(tǒng)結構設計系統(tǒng)的組成和安裝企業(yè)網系統(tǒng)介紹主要技術指標或研究目標系統(tǒng)集群等技術實現系統(tǒng)的容錯和負載均衡網絡操作系統(tǒng)的安裝和設置，DNS,IIS和DHCP,VPN,FTP,Web等服務的設置系統(tǒng)結構設計系統(tǒng)的組成企業(yè)網系統(tǒng)介紹基本要求局域網服務器包括：DNS服務器、

2、DHCP服務器、Web服務器、FTP服務器、VPN服務器、郵件服務等。網絡中的服務器必須具有容錯和負載均衡能力。網絡操作系統(tǒng)的選擇：在Windows 2000 Server、Windows 2003、Red Hat Linux、Turbo Linux四種操作系統(tǒng)中任意選擇。利用網絡操作系統(tǒng)自帶的防火墻或ISA等軟件技術，構建網絡防火墻確保局域網的安全必須構建VPN服務器，使位于Internet網絡的客戶端能夠訪問局域網的資源設計的網絡應具備對系統(tǒng)的保護及還原措施設計的網絡應易于維護，并具備可靠性、安全性 摘 要隨著信息時代的來臨，信息網絡在我國正處于飛速發(fā)展的階段。企業(yè)內部網絡服務器的架設與管

3、理尤其重要，已成為保障公司網絡正常運營的主要環(huán)節(jié)。本文論述一種適合于中小企業(yè)、基于Linux和windows操作系統(tǒng)的網絡服務器構建，采用的服務器系統(tǒng)，利用了先進的網絡技術，以此來滿足公司業(yè)務發(fā)展的需求，為企業(yè)提供了良好的網絡技術技術服務。本論文主要圍繞大慶科技公司的背景，對整個網絡建設的需求進行了詳細的分析和整體規(guī)劃，對整個網絡系統(tǒng)安全、穩(wěn)定進行了設置，闡述了設計原則，重點放在對網絡服務器的配置、驗證和運用到實際網絡中的詳細過程和圖解步驟。最后對整個網絡進行了測試。從而使員工在搭建好的網絡環(huán)境下更好的工作，給公司創(chuàng)造更多的經濟效益。關鍵字：需求分析 網絡安全 服務器 搭建 整體規(guī)劃 網絡服務

4、器分析目 錄 TOC o 1-2 h z u HYPERLINK l _Toc262857186 1緒 論 PAGEREF _Toc262857186 h 1 HYPERLINK l _Toc262857187 2用戶需求分析和設計方案 PAGEREF _Toc262857187 h 2 HYPERLINK l _Toc262857188 公司背景 PAGEREF _Toc262857188 h 2 HYPERLINK l _Toc262857189 網絡層次分析 PAGEREF _Toc262857189 h 2 HYPERLINK l _Toc262857190 2.3 網絡拓撲圖設計結構

5、 PAGEREF _Toc262857190 h 2 HYPERLINK l _Toc262857191 辦公樓 PAGEREF _Toc262857191 h 3 HYPERLINK l _Toc262857192 宿舍樓 PAGEREF _Toc262857192 h 4 HYPERLINK l _Toc262857193 局域網內部網路應用分析 PAGEREF _Toc262857193 h 4 HYPERLINK l _Toc262857194 設備選型 PAGEREF _Toc262857194 h 7 HYPERLINK l _Toc262857195 3 DHCP服務器的配置 P

6、AGEREF _Toc262857195 h 14 HYPERLINK l _Toc262857196 3.1 DHCP服務器的安裝和基本配置 PAGEREF _Toc262857196 h 14 HYPERLINK l _Toc262857197 3.2 DHCP客戶端的配置 PAGEREF _Toc262857197 h 15 HYPERLINK l _Toc262857198 3.3 DHCP服務的測試 PAGEREF _Toc262857198 h 16 HYPERLINK l _Toc262857199 4 squid服務器的配置 PAGEREF _Toc262857199 h 18

7、 HYPERLINK l _Toc262857200 代理服務器的安裝和配置 PAGEREF _Toc262857200 h 18 HYPERLINK l _Toc262857201 客戶端的配置和測試結果 PAGEREF _Toc262857201 h 19 HYPERLINK l _Toc262857202 5 samba服務器的配置 PAGEREF _Toc262857202 h 21 HYPERLINK l _Toc262857203 5.1 samba服務的安裝和基本配置 PAGEREF _Toc262857203 h 21 HYPERLINK l _Toc262857204 5.2

8、 測試samba服務 PAGEREF _Toc262857204 h 22 HYPERLINK l _Toc262857205 6 VPN服務器的配置 PAGEREF _Toc262857205 h 24 HYPERLINK l _Toc262857206 6.1 VPN服務的安裝和基本配置 PAGEREF _Toc262857206 h 24 HYPERLINK l _Toc262857207 6.2 VPN客戶端的配置 PAGEREF _Toc262857207 h 27 HYPERLINK l _Toc262857208 6.3 測試VPN服務 PAGEREF _Toc262857208

9、 h 28 HYPERLINK l _Toc262857209 7 web服務器的配置 PAGEREF _Toc262857209 h 30 HYPERLINK l _Toc262857210 7.1 IIS服務的安裝和管理 PAGEREF _Toc262857210 h 30 HYPERLINK l _Toc262857211 7.2 web網站的基本配置和管理 PAGEREF _Toc262857211 h 31 HYPERLINK l _Toc262857212 7.3 虛擬目錄和網站安全的實現 PAGEREF _Toc262857212 h 36 HYPERLINK l _Toc262

10、857213 7.4 測試web服務器 PAGEREF _Toc262857213 h 40 HYPERLINK l _Toc262857214 8 DNS服務器的配置 PAGEREF _Toc262857214 h 41 HYPERLINK l _Toc262857215 服務的安裝和基本配置 PAGEREF _Toc262857215 h 41 HYPERLINK l _Toc262857216 8.2 DNS 客戶端的配置和DNS服務的測試 PAGEREF _Toc262857216 h 43 HYPERLINK l _Toc262857217 9 ftp服務器的配置 PAGEREF _

11、Toc262857217 h 46 HYPERLINK l _Toc262857218 9.1 ftp的安裝和基本配置 PAGEREF _Toc262857218 h 46 HYPERLINK l _Toc262857219 總 結 PAGEREF _Toc262857219 h 52 HYPERLINK l _Toc262857220 致 謝 PAGEREF _Toc262857220 h 53 HYPERLINK l _Toc262857221 參考文獻 PAGEREF _Toc262857221 h 541緒 論隨著社會的發(fā)展和信息技術的飛速進步，特別是網絡技術的飛躍，在今天這個信息化的

12、社會里，網絡技術的發(fā)展已經超越了其他技術的發(fā)展。作為一個IT行業(yè)的技術人員來說知道怎么去簡單的使用電腦已跟不上時代發(fā)展的步伐。那么在網絡的背后又是什么操縱著這些復雜的服務呢？Windows的普及使計算機不再只是為那些技術人員使用，它給大家?guī)硪粋€簡單易用的操作，只要你對計算機有些了解就能使用計算機去做很多事，微軟公司歷史上最為重要的產品Windows Server 2003操作系統(tǒng)中文版于2003年5月22日正式在中國開始發(fā)售。Windows Server 2003平臺操作系統(tǒng)采用NT的技術，并在其上作了大量的改進，使得Windows Server 2003操作系統(tǒng)平臺比此前的Windows操

13、作系統(tǒng)平臺更加可靠、更易擴展、更易部署、更易管理、更易使用。Windows 2003平臺明顯地降低了總體擁有成本（TCO），實現了新一代的應用程序，為企業(yè)組織創(chuàng)建數字神經系統(tǒng)提供了堅實的基礎。在追求方便的同時人們開始著重于網絡和系統(tǒng)的安全， 而Linux就是目前在網絡服務器上很受青睞的操作系統(tǒng)。在現在的各種網絡中比如商業(yè)、企業(yè)、電子商務系統(tǒng)中簡單操作的同時要求更高的系統(tǒng)的安全和系統(tǒng)的可靠性。在各種服務全面發(fā)展的同時，人們對軟件開發(fā)中源代碼和價格上又在不斷的追求，開放源代碼軟件的熱情也不斷的高漲，Linux也受到了人們越來越多的關注，在追求實用的同時還有很多的編程高手一起改善和完善它。Linux

14、是操作系統(tǒng)中的一個焦點，在現在它又從網絡服務器的頂尖領域里一步步走向個人計算機的發(fā)展，在各種媒體中都不難發(fā)現Linux的影子。本論文設計方案的主要目標是根據大慶科技公司局域網建設需求為背景，以計算機網絡技術和綜合布線技術以及常用的網絡服務器技術為基礎，詳細地設計出了該公司組網建設的規(guī)劃和實施方案。本論文還論述了公司網絡整體上組網的規(guī)劃與實現，以及各種網絡設備的選型，同時利用Linux和windows兩種操作系統(tǒng)對各種服務器的搭建過程進行了詳細的論述。 2用戶需求分析和設計方案2.1公司背景大慶科技公司是一家專業(yè)從事安防監(jiān)控產品的設備銷售商，其中公司包括人事，財務，銷售，技術，經理等五大部門，有

15、員工約200名，此外還有一名總經理和四名部門經理，現有建筑2幢，分別是辦公樓和員工宿舍樓，辦公樓有四層，第一層是接待大廳和產品展廳，第二層是員工辦公廳，第三層是經理室和會議室，第四層是中心機房，員工宿舍樓共有5層，每層20個房間?，F要對公司的網絡進行規(guī)劃和實施，已知公司已租借了一個公網ip為和ISP提供的一個公網dns服務器ip地址為，根據公司的背景對整個網絡進行服務器的搭建。2.2網絡層次分析根據上述網絡需求分析我們將大慶公司的整個網絡分為核心層、匯聚層、接入層三個邏輯層次。各建筑物之間采用光纖進行互連，樓內采用超5類非屏蔽雙絞線布線，在同一幢樓的匯聚層和接入層交換機之間也采用超5類非屏蔽雙

16、絞線進行連接。其中核心層由大容量以太網交換機組成，匯聚層由三層交換設備組成，接入層由二層交換設備組成。核心層選用兩臺H3C S7500交換機，負責對骨干節(jié)點網絡、服務器接入，以及VLAN等主要功能。每棟大樓上一臺H3C S5600交換機作為匯聚層，每層樓上根據實際接入點選用一臺H3C S3100交換機作為接入設備。2.3 網絡拓撲圖設計結構根據上述要求設計了網絡拓撲圖 ，如下圖2-1所示：圖2-1 整體網絡拓撲圖2.4辦公樓整個辦公樓分為：行政部、財務部、銷售部、技術部,經理部，各部門都不能訪問財務部,經理部可以訪問其它部門，整個辦公樓一個父valn,每個部門一個子vlan。辦公樓的拓撲設計如

17、下圖2-2所示：圖2-2 辦公樓拓撲設計行政部分為2個房間,每個房間10個點,共有20個接入點, 每口10M速率. 一臺24端口交換機即可滿足應用.財務部分為2個房間,每個房間12個點,共有24個接入點. 每口速率10M,一臺24端口交換機即可滿足應用.銷售部24個接入點, 每口速率10M,即可實現線速轉發(fā), 一臺24端口交換機即可滿足應用。技術部24個接入點, 每口速率10M,即可實現線速轉發(fā), 一臺24端口交換機即可滿足應用.經理部 8個接入點. 每口速率10M,即可實現線速轉發(fā), 一臺8端口交換機即可滿足應用。家屬樓共5層,每層20個房間,每個房間1個接入點,每口10M速率。每層2個接入

18、層交換機。宿舍樓的拓撲設計如下圖2-3所示：圖2-3宿舍樓的拓撲設計2.6局域網內部網路應用分析在使用TCP/IP協(xié)議的網絡上，每一臺計算機都擁有唯一的IP地址。使用ip地址來鑒別它所在的子網。如采用靜態(tài)IP地址的分配方法，當計算機從一個子網到另一個子網的時候，必須改變該計算機的IP地址，這將增加網絡管理員的負擔，公司員工有200名，手工較麻煩，而且工作量大，為了更加有效的對ip地址的使用和合理的管理網絡，于是給公司配置DHCP服務器使公司的員工都能自動獲得IP地址。.設置DHCP服務器IP地址為，為員工分配/24網段的ip地址,設置分配給員工的IP地址池為0 -30。子網掩碼為；為員工分配的

19、網關為54。每個員工都有一個IP地址了，可都是私有IP,不能直接訪問Internet，公司也不可能給每個員工提供一個公網IP,搭建squid服務器，Squid能代替若干沒有共有ip地址的計算機Internet的其他主機打交道，讓員工利用租借的公網IP地址通過squid服務器訪問internet。設置squid服務器的ip地址 ，并用8080作為代理窗口。 。銷售部的員工要經常出差，在外地時有時需要查看公司的一些資料和最新產品價格，為了使在外的員工可以從internet訪問公司內部資料，搭建VPN服務器，它可以幫助遠程用戶 ，公司分支機構，商業(yè)伙伴及供應商同公司的內部網建立可靠的安全連接，并保證

20、數據安全傳輸。設置VPN服務器的ip地址為，VPN服務器有eth0和eth1兩個網絡接口。其中eth0用于連接內網，IP地址為；eth1用于連接外網，IP地址為。 為了公司以后的發(fā)展，讓廣大客戶更詳細的了解此公司的產品，公司建立了自己的網站，并要求網絡管理員不斷地對網站的內容進行更新，維護。并保證網站的安全運行，搭建Web服務器，Web服務能實現信息發(fā)布，還能發(fā)布網站，讓客戶來訪問。設置web服務器的ip地址為，公司能發(fā)布自己的網站和信息的發(fā)布公司已經有自己的網站了，員工希望通過域名來進行訪問，同時員工也需要訪問Internet上的網站， 該公司已經申請了域名為daqing ，公司需要inte

21、rnet上的用戶通過域名訪問公司的網頁，搭建dns服務器，完成內部主機名及Internet的解析。設置DNS的ip地址為，為局域網中的計算機提供域名解析服務。DNS服務器管理daqing 域的域名解析，DNS服務器的域名為dns.daqing ，同時還必須為客戶提供Internet上的主機的域名解析。要求分別能解析以下域名：如表2-1所示：表2-1域名和ip地址的對應服務器名稱/部門域名Ip地址DNS服務器sendmail服務器Web服務器FTP服務器銷售部財務部經理部公司有很多的文件和資料供員工使用，還有總經理和各個部門經理的個人文檔要進行管理，這就需要建立ftp服務器，使公司的員工都能匿名

22、登錄ftp，進行公共文件的上傳和下載，使各個經理可以利用自己的賬戶登錄ftp服務器，進行文檔的管理設置FTP服務器的ip地址為，公司要求每個員工都可以以匿名訪問ftp服務器，進行公共文載的下載。最后還有一臺防病毒服務器，來實現公司網絡內的病毒防護，服務器區(qū)域如下圖24所示：圖2-4 服務器區(qū)域設備選型核心交換機選型H3C S7500系列交換機是H3C公司面向以業(yè)務為核心的企業(yè)網絡架構而推出的新一代高端多業(yè)務路由交換機。該產品基于H3C公司自適應安全網絡的技術理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務基礎上，進一步提供了業(yè)務流分析、基于策略的QOS、可控組播等智能的業(yè)務優(yōu)化手段，從

23、而為企業(yè)IT系統(tǒng)構建面向業(yè)務的網絡平臺，實現通信整合，數據整合奠定了基礎。 H3C S7500系列交換機作為H3C公司自適應安全網絡的核心產品之一，可廣泛的適用于IP城域網、大型企業(yè)園區(qū)網、中小型企業(yè)辦公網絡的核心層和匯聚層，同時其也可以作為以太無源光網絡（EPON）的光線路終端（OLT）設備，為用戶提供多種業(yè)務接入、交換、路由一體化的安全融合網絡解決方案。他一共有4個系列，根據實際要求在這里我選用了S7502系列，S7502的外觀如下圖2-5所示；其參數所下表2-2所示：圖2-5 S7502外觀表2-2 S7502主要參數H3C S7502參數 H3C S7502主要參數 交換機類型路由交換

24、機 傳輸速率（Mbps）10 Mbps /100 Mbps/1000 Mbps 網絡標準IEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1q、傳輸模式全雙工/半雙工自適應 交換方式存儲-轉發(fā) 背板帶寬（Gbps）280 Gbps模塊化插槽數2 VLAN支持支持 尺寸（mm）436400 重量（Kg）最大20Kg 其他技術參數工作溫度：0-45、存儲溫度：-30-60、濕度：10%-90%無凝結 特點AC 100v240v、4363Hz、DC：-60v-48v匯聚層交換機選型H3C S5600系列全千兆智能彈性交換機是H3C公司為設計和構建高彈性和高智能網絡需求

25、而推出的新一代以太網交換機產品。系統(tǒng)采用H3C公司創(chuàng)新的IRF（Intelligent Resilient Framework，智能彈性架構)技術，支持高達96G的堆疊帶寬和高密度千兆端口，支持萬兆上行。特別適合作為需要高帶寬、高性能和高擴展性的中小企業(yè)網核心、大型企業(yè)網絡和園區(qū)網的匯聚層以及數據中心的服務器接入設備。在這里根據需求我選擇了H3C S5600-26F型號的交換機最為整個網絡匯聚層的交換機，其外觀如下圖2-6所示：主要規(guī)格參數如下表2-3所示：圖2-6 H3C S5600-26F外觀表2-3 H3C S5600-26F主要參數基本規(guī)格 H3C S5600-26FVLAN功能交換機

26、類型全千兆智能彈性交換機傳輸速率10 Mbps /100 Mbps/1000 Mbps應用層級三層交換方式存儲-轉發(fā)背板帶寬192 Gbps包轉發(fā)率66Mpps端口結構固定端口內存128M SDRAM,26M FLASHMAC地址表16K網絡參數網絡標準IEEE802.1d、IEEE802.1w、IEEE802.1s、網絡協(xié)議STP/RSTP/MSTP傳輸模式全雙工網管功能支持WEB網管，SNMP,支持CLI堆疊功能能堆疊端口參數24個接口類型10/100/1000BASE-T,1000Base-SX-SFP,1000Base-LX-SFP,1000Base-LH-STP, 1000Base-

27、T-STP,10GBase-LR-XENPAK, 10GBase-LX4- XENPAK,10GBase-LR-XFP, 10GBase-ER-XFP接入層交換機選型H3C S3100系列千兆以太網交換機是H3C公司秉承IToIP理念設計的二層線速智能型可網管以太網交換機產品，具有千兆上行、可堆疊、無風扇靜音設計、完備的安全和QoS控制策略等特點，滿足企業(yè)用戶多業(yè)務融合、高安全、可擴展、易管理的建網需求，適合行業(yè)、企業(yè)網、寬帶小區(qū)的接入和中小企業(yè)、分支機構匯聚交換機。在這里我們根據需求選擇S3100-26TP-SI型號的交換機作為整個網絡的接入層設備，其外觀如圖2-7所示：其主要參數如下表2-

28、4所示：圖2-7 S3100-26TP-SI 外觀表2-4 S3100-26TP-SI主要參數基本規(guī)格 H3C S3100-26TP-SI-AC主要參數VLAN功能交換機類型以太網交換機傳輸速率10 Mbps /100 Mbps/1000 Mbps應用層級二層交換方式存儲-轉發(fā)背版帶寬包轉發(fā)率端口結構固定端口內存Flash:8MB;SDRAM:64MB;包緩存：256KBMAC地址表網絡參數網絡標準IEEE802.3d、IEEE802.3u、IEEE802.3z、IEEE802.3ab、802.3x、IEEE802.1d、IEEE802.1q、傳輸模式全雙工支持命令行接口配置，支持telnet

29、遠程管理，支持通過console口配置，SNMP，支持1,2,3 組MIB，支持quidview網管系統(tǒng)，支持web網管，支持系統(tǒng)日志，支持分級告警堆疊功能能堆疊 服務器選型服務器是一種高性能計算機，作為網絡的節(jié)點，存儲、處理網絡上80的數據、信息，因此也被稱為網絡的靈魂。做一個形象的比喻：服務器就像是郵局的交換機，而微機、筆記本、PDA、 等固定或移動的網絡終端，就如散落在家庭、各種辦公場所、公共場所等處的 機。我們與外界日常的生活、工作中的 交流、溝通，必須經過交換機，才能到達目標 ；同樣如此，網絡終端設備如家庭、企業(yè)中的微機上網，獲取資訊，與外界溝通、娛樂等，也必須經過服務器，因此也可以

30、說是服務器在“組織”和“領導”這些設備。 服務器的構成與微機基本相似，有處理器、硬盤、內存、系統(tǒng)總線等，它們是針對具體的網絡應用特別制定的，因而服務器與微機在處理能力、穩(wěn)定性、可靠性、安全性、可擴展性、可管理性等方面存在差異很大。尤其是隨著信息技術的進步，網絡的作用越來越明顯，對自己信息系統(tǒng)的數據處理能力、安全性等的要求也越來越高，如果您在進行電子商務的過程中被黑客竊走密碼、損失關鍵商業(yè)數據；如果您在自動取款機上不能正常的存取，您應該考慮在這些設備系統(tǒng)的幕后指揮者服務器，而不是埋怨工作人員的素質和其他客觀條件的限制。這里我選用了IBM System x3400-M3服務器。它的外觀如下圖2-8

31、所示，參數如下表2-5所示：圖2-8 System x3400-M3服務器表2-5 System x3400-M3主要參數IBM System x3400 III 參數基本類別類別塔式結構5u處理器CPU類型Xeon處理器描述標配Xeon 5500/5600系列處理器最大處理器數量2制作工藝32納米內存內存類型DDRIII內存帶寬/ 描述DDR3 RDIMMM內存插槽數量16最大內存容量192GB存儲硬盤類型SATA/SAS內部硬盤架數” 熱插拔”熱插拔SAS磁盤陣列卡RAID5網絡網絡控制器集成的雙口千兆以太網管理及安全性管理工具集成系統(tǒng)管理處理器軟件系統(tǒng)系統(tǒng)支持Microsoft wind

32、ows server 2008 R2Red Hat LinuxSUSE LinuxVMware ESX Server2.7.5路由器選型H3C SR6600系列開放多核路由器（以下簡稱SR6600）是H3C公司自主研發(fā)，面向運營商、政府、電力、金融、教育、企業(yè)等用戶網絡量身打造的高端多業(yè)務路由器，作為業(yè)界第一款基于多核多線程處理器技術架構的路由器產品，其全新的硬件平臺和面向業(yè)務設計的理念詮釋了數據通信業(yè)務的新型解決方案，充分滿足用戶未來業(yè)務擴展的多元化需求，符合運營商及各行業(yè)IT建設的現狀與發(fā)展趨勢。根據需求在這里我選擇H3C RT-SR6608-H3型號的核心路由器，其外觀如下圖2-9所示：

33、其主要參數如下表2-6所示：圖2-9 H3C RT-SR6608-H3路由器表2-6 H3C RT-SR6608-H3主要參數 HYPERLINK :/bbs.pcpop /061013/755679.html 路由器類型開放多核企業(yè)級路由器 HYPERLINK :/bbs.pcpop /060619/714401.html 其他控制端口Console, AUX, USB HYPERLINK :/bbs.pcpop /061013/755686.html 擴展插槽18 Mpps HYPERLINK :/bbs.pcpop /060619/714398.html 路由器包轉發(fā)率30個 HYPER

34、LINK :/bbs.pcpop /061028/755691.html 路由器網絡協(xié)議支持靜態(tài)路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Client, Telnet Server, Telnet Client, TFTP Client, FTP Server, FTP Client, 二層協(xié)議等 HYPERLINK :/bbs.pcpop /060619/714399.htm

35、l VPN功能支持VPN HYPERLINK :/bbs.pcpop /060619/714396.html 防火墻功能內置 HYPERLINK :/bbs.pcpop /061013/755680.html 安全標準ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec機身重量50kg外觀尺寸436468308mm防火墻選型根據需求防火墻采用天融信的NGFW4000-E-VPN(E)型號的。面向中心骨干機構和復雜的高端流量環(huán)境。擁有內置的IPSEC加密、Web頁面包護和負載均衡雙機熱備，提供強大的功能和安全保障，如

36、下圖2-10所示；其主要參數如下表2-7所示：圖2-10 防火墻天融信NGFW4000-E-VPN(E)表2-7 防火墻主要參數 HYPERLINK :/bbs.pcpop /060619/714383.html 防火墻類型百兆級防火墻 HYPERLINK :/bbs.pcpop /060619/714384.html 網絡吞吐量100Mbps HYPERLINK :/bbs.pcpop /060619/714390.html 管理SNMP/CLI/SSH HYPERLINK :/bbs.pcpop /060619/714385.html 人數限制無用戶數限制 HYPERLINK :/bbs.

37、pcpop /061013/755717.html 入侵檢測IDS/Dos/DDoS主要功能VPN, 訪問控制, 寬帶管理, 防火墻功能 HYPERLINK :/bbs.pcpop /060619/714387.html 安全標準UL 1950, EN 41003, AS/NZS 3260, AS/NZS 3548 Class A, CSA Class A, FCC Class A, EN 60555-2, VCCI (ClassII) HYPERLINK :/bbs.pcpop /060619/714386.html 控制端口RS-232其他端口3個10/100BASE-TX,最多可擴展7個

38、端口3 DHCP服務器的配置通過整體的拓撲規(guī)劃我們了解到，我們需根據不同的子網劃分不同自動分配IP的范圍，在這里我們以網段的網絡，對DHCP服務器進行配置，在DHCP服務器上，預留特定的IP地址分配為：54留作網關，經理部用，一般服務器的ip地址是靜態(tài)指定的,但為了預防管理員忘了配置ip，就在dhcp服務器上為它們做備份。3.1 DHCP服務器的安裝和基本配置1.運行rpm q dhcp查看該服務是否配置好，若沒安裝，則需要將RHEL4的第四張安裝盤放入光驅，掛載進行安裝,如圖3-1所示：圖3-1安裝dhcp軟件包2.安裝好了軟件包接下來就是配置了，DHCP服務是/etc目錄中的dhcpd.c

39、onf配置文件運行的。默認情況下，該文件是不存在的。在安裝DHCP服務時，都會在/usr/share/doc/dhcp-/目錄下創(chuàng)建一個范本文檔dchpd.conf.sample。可以把上面這個范文，cp到/etc目錄上，改名為dhcpd.conf。命令為：rootlocalhost#cp /usr/share/doc/dhcp-/dhcpd.conf.sample /etc/下圖中是對服務器的配置，如圖3-2所示：圖3-2 DHCP服務器配置完成3配置完成后重啟服務即可rootlocalhost# service dhcpd start3.2 DHCP客戶端的配置1.在Linux下配置DHC

40、P客戶端，需要修改/etc/sysconfig/network-scripts目錄下的設備配置文件。rootlocalhost# vi /etc/sysconfig/network-scripts/ifcfg-eth0把bootroto改為dhcp即可，如圖3-3所示：圖3-3 配置客戶端2.在windows下配置DHCP，右擊“網上鄰居” “屬性”，找到 “本地連接”選擇“屬性”彈出“本地連接屬性”對話框，選擇“Internet 協(xié)議(TCP/IP)”點擊“屬性”按鈕，選中“自動獲得IP地址(O)”和“自動獲得DNS服務器地址(B)”選項，如圖3-4所示：圖3-4 本地連接屬性點擊“確定”按

41、鈕即完成了DHCP客戶端的配置。3.3 DHCP服務的測試客戶端獲得0到192.168.230之間的ip地址說明DHCP服務器配置成功，圖3-5中客戶端了獲得了3這個ip地址，說明配置成功。圖3-5 客戶端成功獲得ip地址4 squid服務器的配置我們知道公網資源是有限的，公司不可能為每個員工提供一個公網地址，而代理服務器能代替若干沒有共有IP地址的計算機和internet上的其他主機打交道，在這里我們選擇squid服務讓員工上網，設置squid監(jiān)聽 客戶連接請求的端口為8080，使用 加速模式 。設置DNS服務器IP地址，使squid搭理服務器能正確的解析出域名，設置運行squid服務的主機

42、的名稱hostname為。4.1代理服務器的安裝和配置1. 默認情況下，RedHat Enterprise Linux 4 安裝程序會把squid服務裝上，若沒有安裝，Squid服務的軟件包在RHEL4的第2張安裝盤上。軟件包的名字為“squid-”。插入安裝盤，掛載。然后輸入下面的命令完成安裝。如圖4-1所示：圖4-1 squid軟件包的安裝2.squid服務的主配置文件是/etc/squid/squid.conf，根據要求對主配置，如圖4-2所示：圖4-2squid服務器的配置3.配置完成后重啟服務即可rootlocalhost# service squid restart1.在客戶端的瀏

43、覽器中，找“工具” “Internet選項”“連接”“局域網設置”進行設置，在地址一欄填寫squid服務器的ip地址,端口處填寫8080即可，如圖4-3所示:圖4-3客戶端的配置2.客戶端能上網則說明squid服務器配置成功 如圖4-4所示：圖4-4 在客戶端能成功上網5 samba服務器的配置公司要求允許網段的訪問samba服務器，為了安全，samba服務使用Linux操作系統(tǒng)的本地賬戶要進行身份驗證，但必須單獨為samba服務設置相應的密碼文件，用smbpasswd命令向/etc/samba/smbpasswd文件中添加hu用戶，并設置密碼為123456，設置samba服務器所屬的工作組為

44、WORKGROUP。5.1 samba服務的安裝和基本配置1.默認情況下，RedHat Enterprise Linux安裝程序會將samba服務裝上，若沒有安裝，插入第二張光盤，掛載，然后輸入下面的命令完成安裝/掛載光盤rootlocalhost# mount /media/cdrom/進入安裝文件所在目錄rootlocalhost# cd /media/cdrom/RedHat/RPMS/ 安裝相應的軟件包rootlocalhost# rpm ivh samba-*2安裝完成后，接下來就是根據要求對主配置文件smb.conf進行相應的設置，smb.conf文件默認存放在/etc/samba

45、目錄中。 rootlocalhost# vi /etc/samba/smb.conf 如圖5-1所示：圖5-1 配置界面3.配置完成后，重啟服務即可rootlocalhost service smb restart4.新建用戶hu，密碼為123456，同時用smbpasswd命令給hu用戶添加密碼，如圖5-2所示：圖5-2成功添加hu用戶5.2 測試samba服務1.從windows訪問Linux的共享資源有兩種方法，一是打開windows中的網上鄰居，進入WORKGROUP工作組，然后雙擊，如圖5-3所示：圖5-3 windows中看到Linux系統(tǒng)的資源出現對話框，要求輸入用戶名和密碼，此

46、時輸入hu 123456 即可訪問共享資源2Windows系統(tǒng)中的用戶也可以選擇“開始”“運行”命令，在“運行”對話框中輸入 HYPERLINK 中發(fā)的共享資源，如圖5-4所示：圖5-43.從Linux系統(tǒng)訪問linnux系統(tǒng)的資源，利用smbmount命令訪問共享資源，具體命令如下：rootlocalhost# mkdir /mnt/HUrootlocalhost#smbmount /PC-20100509POQH/zuopin /mnt/hua配置如圖5-5所示：圖5-5訪問windows中的共享資源linux系統(tǒng)之間也可以使用smbmount命令來訪問對方的共享資源。無論是Linux系統(tǒng)

47、還是windows系統(tǒng)的共享，都受到本地權限和共享權限的雙重限制，最終的共享權限在兩者之間取最為嚴格的。6 VPN服務器的配置公司有了VPN服務器，出差的人員可以通過VPN安全地對內部網絡資源進行訪問，VPN客戶端通過Internet網絡與VPN服務器連接后，分配給VPN客戶端的IP地址池為0-50，客戶端可以以用戶名hu、密碼123456和VPN服務器建立連接。6.1 VPN服務的安裝和基本配置1.選擇“開始”“管理工具”“路由和遠程訪問”，右擊服務器，選擇“配置并啟用路由和遠程訪問”，打開“歡迎使用路由和遠程訪問服務器安裝向導”對話框。2.單擊“下一步”按鈕，選擇“遠程訪問”如圖6-1所示

48、：圖6-1 配置對話框3.單擊“下一步”, 選擇“VPN”如圖6-2所示：圖 6-2 遠程訪問VPN4圖6-3中選擇用來連接Internet的網絡接口。我們應該選擇公網地址，點擊“下一步”，這時您可以做以下選擇：（1）自動。有VPN服務器向DHCP服務器索取ip地址，然后指派給客戶端，（2）來自一個指定的地址范圍，點擊“下一步“后設置一段ip地址范圍，用來指派給客戶端，圖6-3選擇網絡接口在本次配置中我們選擇“來自一個指定的地址范圍” “在指地址指定中”新建地址范圍“050” 如圖6-4所示：圖6-4 指定ip地址范圍在“管理多個訪問服務器”中我們選擇“否”點擊“下一步”完成路由和遠程訪問服務

49、的安裝。5.給予用戶遠程訪問的權限 系統(tǒng)默認情況是所有用戶都沒有撥號連接VPN服務器的權限，您必須另行開放權限給用戶。在“管理工具”“計算機管理”“本地用戶和組”中，選擇需要遠程撥入的用戶，在“撥入”選項卡中開放相應的權限。如圖6-5所示：圖6-5為用戶開放權限6.2 VPN客戶端的配置1.右擊“網上鄰居”選擇“屬性”“創(chuàng)建一個新的連接”，在“歡迎使用新建連接向導”的界面中單擊“下一步”按鈕。在“新建網絡的向導中”單擊“下一步”即可，在“網絡的類型中”我們選擇“連接到我的工作場所的網絡”如圖6-6所示：圖6-6 選擇網絡類型2.在網絡連接中我們選擇“虛擬專用網絡連接”單選按鈕。我們在本次的實驗

50、中我們所使用的是“虛擬專用網絡連接”如果我們所采用是“撥號連接”我們選擇第一個就OK了。如圖6-7所示：圖6-7 選擇虛擬專用3在“公司名”對話框中輸入公司名hu ，點擊“下一步” 輸入連接的VPN服務器主機名或者IP地址。如圖6-8所示圖6-8 輸入ip地址4 然后在下面的向導中我們選擇“任何人使用”即可下一步：我們在這里選擇“任何人使用”的原因是因為我們在出差的時候會用多個或者不是一個固定的人：因此我們會選擇“任何人使用”，點擊“下一步”就完成了對客戶端的配置了。 6.3 測試VPN服務1客戶端配置完后，會彈出“連接虛擬專用連接”對話框，在這里輸入用戶名hu，密碼123456，點擊“連接”

51、按鈕，如圖6-9所示：圖6-9 連接VPN2連接成功后，就可以與服務器通信了，也可以與VPN服務器那一端的局域網內的計算機進行通信了，如圖6-10所示：圖6-10 連接成功7 web服務器的配置搭建web服務器是為了大慶科技公司能發(fā)布自己的網站，設置公司的web主頁為 HYPERLINK :/ ，在DNS服務器上設置 daqing 對應的別名為web，設置虛擬目錄，使其他目錄中的內容和信息通過web網站發(fā)布，虛擬目錄別名為max，存放虛擬目錄的路徑為c:/ren；為了web網站安全，設置身份驗證和用戶訪問控制。7.1 IIS服務的安裝和管理1單擊“開始”菜單，選擇“控制面板”“添加和刪除程序”

52、，在彈出的“添加和刪除程序”窗口中單擊“添加/刪除windows組件”，在彈出的“windows組件向導”窗口的組件復選框中選中“應用程序服務器”，并點擊“詳細信息”，選項，顯示“應用程序服務器”對話框，在此選中“ASP,NET”復選框，啟動“ASP,NET”功能，如圖7-1所示：圖7-1安裝iis組件2選中“Internet信息服務(IIS)”復選框，單擊“詳細信息”按鈕，在彈出的對話框中選中“文件傳輸協(xié)議(FTP)”, 同時選中“萬維網服務”，并單擊“詳細信息”在打開的“萬維網服務”對話框中選中“Active Server Pages”復選框，如果不選中該復選框，將導致IIS中不能運行AS

53、P程序，另外服務器感染了沖擊波病毒，同樣也不能運行ASP程序。如圖7-2所示：圖7-2 “萬維網”服務對話框3依次單擊“確定”按鈕，返回“windows組件”對話框，并單擊“下一步”按鈕，按照系統(tǒng)提示插入Windows Server 2003安裝光盤，即可安裝成功。7.2 web網站的基本配置和管理1打開“Internet信息服務(IIS)管理器”，在IIS管理器窗口中，展開左側的目錄樹，展開“網站”，右擊“默認網站”選擇“新建”“網站”，出現“網站創(chuàng)建向導”對話框，如圖7-3所示：圖7-3 創(chuàng)建網站2在“網站描述”對話框中輸入“daqing”對網站進行描述，點擊“下一步”，出現“ip地址和端

54、口設置”對話框。如圖7-4所示：IP地址：要想訪問該網站，就必須給該網站配置IP地址。這樣訪問者才可以瀏覽器中訪問你的網站。 注:此處的IP地址不能手工輸入，應從下拉列表中選擇。TCP端口：WWW服務的默認端口為80，這樣用戶使用瀏覽器輸入“ :/IP地址”就可以訪問到WEB站點。如果為了安全保密，可修改TCP端口，如“100”則用戶訪問WEB站點時需在瀏覽器中輸入“ :/ip地址：100”圖7-4 設置ip地址和端口3單擊“下一步出現“網站主目錄”對話框，主目錄是指保存web網站的文件夾，當用戶訪問該網站時，web服務器會自動將該文件夾中的默認網頁顯示給客戶端用戶，對web服務器而言，必須修

55、改主目錄的默認值，將主目錄定位到相應的磁盤或文件夾中。值得注意的是文件夾和網站最好都要用拼音或英語，有時用漢字會導致訪問不成功。如圖7-5所示：圖7-5選擇路徑4接下來，會出現“網站訪問權限”對話框，全部選中，這樣就成功完成網站的創(chuàng)建了。5創(chuàng)建完網站，可以對網站的屬性進行設置，右擊“daqing”網站，選擇“屬性”出現“daqing網站屬性”這里有很多選項卡，可以對網站進行設置：（1）網站選項卡，如圖7-6所示：圖7-6 網站選項卡在ip地址下拉列表中，給網站選擇ip地址，TCP端口處可以設置端口，默認是80，訪問web網站直接輸入ip地址即可，如果更改此項，訪問網站時要以 HYPERLINK

56、 地址：端口號 這種形式訪問。（2）性能選項卡 如圖7-7所示：圖7-7性能選項卡限制網站可使用的網絡帶寬：可限制用戶瀏覽或下載該網站的帶寬，默認是不限制網絡連接：限制用戶連接的數量，當瀏覽該網站的用戶超過連接限制時，將不再接收的用戶。（3）主目錄選項卡 如圖7-8所示圖7-8 主目錄選項卡此資源的內容來自：此計算機上的目錄：選擇該選項，可以將網頁存放在本地路徑中。默認為“c:wwwroot”?？梢孕薷臑槠渌窂?，例如將制作好的網頁放在“c:wangzhan”下，就可以將本地路徑設置為“c:wangzhan”。另一臺計算機上的共享：選擇該選項，可以將網頁存放在網絡中其他計算機上。重定向URL：

57、選擇該選項，用戶如果訪問此WEB站點，則會重定向到其他網站。選中除“寫入（W）”以外的所用復選框。執(zhí)行權限設置為“腳本和可執(zhí)行文件”（4）文檔選項卡 如圖7-9所示：圖7-9文檔選項卡文檔用于設置網站首頁（主頁）的名稱，如default.htm、default.asp、index.htm等。這些文件優(yōu)先顯示的順序是從上到下，即用戶訪問網站時，先檢查有沒有default.htm，如果有就顯示該文件，如果沒有，則檢查有沒有第二個文件default.asp，依此類推，單擊“添加”按鈕可增加“文件名”。7.3 虛擬目錄和網站安全的實現1 虛擬目錄使用虛擬目錄，也叫虛擬主機技術，利用這個技術可以把一臺真

58、正的主機分成許多“虛擬”的主機，從而實現多用戶對硬件資源、網絡資源共享，大幅度的降低了用戶的建站成本。要使用虛擬目錄技術，就要創(chuàng)建虛擬目錄所要分配的目錄，并且指定它文件夾的權限，增加站點的安全性。創(chuàng)建虛擬目錄（1）在IIS管理器窗口中右擊“默認網站”，選擇“新建”“虛擬目錄”，打開“虛擬目錄創(chuàng)建向導”。接著點擊“下一步”開始新建虛擬目錄，如圖7-10圖7-10創(chuàng)建虛擬目錄（2）輸入虛擬目錄別名，如“max”，這樣用戶在訪問此網站的虛擬目錄時，只要在瀏覽器中輸入“ :/ip/max ”即可。如圖7-11所示：圖7-11設置別名（3）鍵入“網站內容目錄”，即輸入虛擬目錄的網頁文件存放的路徑 如圖7

59、-12所示：圖7-12 存放路徑值得注意的在設置“虛擬目錄訪問權限” 一般去掉“寫入（W）”權限，點擊下一步完成虛擬目錄的創(chuàng)建。在“IIS管理器”窗口中雙擊“默認網站”下的“max”虛擬目錄，并右擊“max”選擇屬性，打開虛擬目錄配置界面此配置方法和默認網站的配置方法一致，不再介紹。2網站安全的實現（1）身份驗證和訪問控制*WEB站點建立后，就可以對用戶提供信息瀏覽服務了，通常是允許匿名訪問的。但某些特殊網站（或虛擬目錄）要求用戶提供用戶帳戶和密碼才能訪問。這時就需要配置WEB站點“身份驗證和訪問控制”了*具體方法：在“默認網站屬性”窗口中選擇“目錄安全選項卡”，將看到“身份驗證和訪問控制”選

60、項。點擊“編輯”按鈕進入身份驗證和訪問控制設置界面，如圖7-13所示：圖7-13 身份驗證1匿名身份驗證：“啟用匿名訪問”使用戶無需輸入用戶名和密碼，變可以訪問WEB站點。當用戶試圖連接到網站時，WEB服務器將連接分配給windows用戶帳戶IUST-computername。此處的computername是運行IIS的計算機名稱。2基本身份驗證：該方法要求提供用戶名和密碼。由于密碼在網絡上是以明文形式發(fā)送出去的，這些密碼很容易被截取，所以安全性很低。3集成windows身份驗證：該方法比基本身份驗證安全，而且在用戶具有windos域帳戶的內部網絡環(huán)境中能很好的發(fā)揮作用。4windows域服務