企業(yè)網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)

1、第二部分 企業(yè)網(wǎng)絡(luò)治理與安全實(shí)訓(xùn)在企業(yè)組建網(wǎng)絡(luò)基礎(chǔ)設(shè)施后，還需要提供給用戶(hù)各種的網(wǎng)絡(luò)和信息服務(wù)，同時(shí)隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷進(jìn)展，大量的網(wǎng)絡(luò)應(yīng)用成為黑客/病毒制造者的攻擊目標(biāo)，需要企業(yè)采取必要的技術(shù)、設(shè)備和措施來(lái)保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行，還需要運(yùn)用各種網(wǎng)絡(luò)治理工具、軟件、設(shè)備對(duì)企業(yè)網(wǎng)絡(luò)的交換設(shè)備、路由設(shè)備、服務(wù)器、防火墻等各種網(wǎng)絡(luò)設(shè)備進(jìn)行進(jìn)行配置治理、性能治理、故障治理、安全治理和計(jì)費(fèi)治理，保障網(wǎng)絡(luò)的正常運(yùn)行和性能優(yōu)化。項(xiàng)目 5 校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實(shí)施5.1 項(xiàng)目?jī)?nèi)容 某學(xué)院校園網(wǎng)基礎(chǔ)設(shè)施已依照項(xiàng)目2組建完成，并通過(guò)兩條線路分不接入了電信互聯(lián)網(wǎng)和CERTNET教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶(hù)提

2、供各種網(wǎng)絡(luò)服務(wù)和信息服務(wù)，分不提供校園網(wǎng)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)，請(qǐng)給出解決方法并進(jìn)行實(shí)施。5.2 項(xiàng)目流程 SKIPIF 1 0 圖5-1 項(xiàng)目流程圖5.3 項(xiàng)目調(diào)查與需求分析5.3.1 項(xiàng)目 本項(xiàng)目針對(duì)學(xué)院需要提供各種基礎(chǔ)網(wǎng)絡(luò)服務(wù)，分不實(shí)現(xiàn)IP地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP資源下載等服務(wù)。5.3.1）具體需求經(jīng)調(diào)查和與用戶(hù)溝通，具體的需求如下:需求1：為校園網(wǎng)各區(qū)域用戶(hù)提供IP地址等參數(shù)分配，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用。需求2：為校園網(wǎng)各區(qū)域用戶(hù)提供校園網(wǎng)各服務(wù)器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用，學(xué)院的域名

3、解析可依照校園網(wǎng)的兩條線路分不對(duì)不同來(lái)源IP地址解析出對(duì)應(yīng)線路的服務(wù)器IP以提高用戶(hù)訪問(wèn)效率。需求3:架設(shè)校園網(wǎng)的WWW服務(wù)器提供信息訪問(wèn)、FTP服務(wù)器提供資源下載，WWW服務(wù)器需要為多個(gè)部門(mén)提供不同網(wǎng)站，并考慮服務(wù)器的安全和穩(wěn)定性。3）需求分析分析1：按照要求 需要一臺(tái)DHCP服務(wù)器為校園網(wǎng)用戶(hù)分配IP地址、一臺(tái)作為備用DHCP服務(wù)器。兩臺(tái)服務(wù)器分不位于不同的主機(jī)。分析2：需要為校園網(wǎng)用戶(hù)的各個(gè)服務(wù)器提供域名解析系統(tǒng)（DNS），同樣需要兩臺(tái)DNS服務(wù)器，一臺(tái)主DNS服務(wù)器，一臺(tái)輔助DNS服務(wù)器。分析3： 校園網(wǎng)WWW服務(wù)器，F(xiàn)TP服務(wù)器，WWW服務(wù)器能夠通過(guò)FTP服務(wù)器上傳或下載資料，治理員

4、能夠通過(guò)FTP服務(wù)器為WWW服務(wù)器更新信息。FTP服務(wù)器不同意匿名登錄。兩臺(tái)服務(wù)器能夠在同一臺(tái)主機(jī)上完成。5.4 項(xiàng)目實(shí)訓(xùn)要求要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。要求2（必做）：安裝配置DHCP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器、FTP服務(wù)器，分不在Windows Server和Linux環(huán)境下進(jìn)行安裝配置提供相同功能。要求3（選做）在Linux下實(shí)現(xiàn)DNS服務(wù)器關(guān)于同一域名依照來(lái)源不同的IP解析出不同的地址。5.5 項(xiàng)目實(shí)施5.51可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶(hù)和校外用戶(hù)提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，

5、幸免出現(xiàn)網(wǎng)絡(luò)安全事故而阻礙校園網(wǎng)服務(wù)。3可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和進(jìn)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4有用性 校園網(wǎng)具有用戶(hù)數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶(hù)方便有用地訪問(wèn)各種校園網(wǎng)服務(wù)。5.5.2 項(xiàng)目知識(shí)點(diǎn)DHCP服務(wù)器 DHCP（ Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議） 能夠減少治理的復(fù)雜性和負(fù)擔(dān)，DHCP 使用了租約的概念，或稱(chēng)為計(jì)算機(jī) IP 地址的有效期。租用時(shí)刻是不定的，要緊取決于用戶(hù)在某地聯(lián)接 Internet 需要多久，這關(guān)于用戶(hù)頻繁改變的環(huán)境是專(zhuān)門(mén)有用的。通過(guò)較短的租期

6、， DHCP 能夠在一個(gè)計(jì)算機(jī)比可用 IP 地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò)。1）DHCP系統(tǒng)組成DHCP客戶(hù)：DHCP客戶(hù)通過(guò)DHCP來(lái)獲得網(wǎng)絡(luò)配置參數(shù) Internet主機(jī)，通常確實(shí)是一般用戶(hù)的工作站DHCP服務(wù)器：DHCP服務(wù)器提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP客戶(hù)Internet主機(jī)DHCP中繼代理：在DHCP客戶(hù)和服務(wù)器之間轉(zhuǎn)發(fā) DHCP 消息的主機(jī)或路由器2）DHCP 服務(wù)器DHCP服務(wù)器操縱一段IP地址范圍，客戶(hù)機(jī)登錄服務(wù)器時(shí)就能夠自動(dòng)獲得服務(wù)器分配的IP地址和子網(wǎng)掩碼。DHCP作用域是一個(gè)網(wǎng)絡(luò)中的所有可分配的 IP 地址的連續(xù)范圍。作用域要緊用來(lái)定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的 IP 地址范

7、圍。作用域是服務(wù)器用來(lái)治理分配給網(wǎng)絡(luò)客戶(hù)的 IP 地址的要緊手段。 DHCP服務(wù)器能夠使用Windows Server、Linux等網(wǎng)絡(luò)操作系統(tǒng)擔(dān)當(dāng)，也能夠使用具有DHCP功能的交換機(jī)、路由器等設(shè)備。DNS 服務(wù)器DNS（Domain Name System，域名系統(tǒng)）是因特網(wǎng)的一項(xiàng)核心服務(wù),它作為能夠?qū)⒂蛎虸P地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。DNS是一種包含 DNS 主機(jī)名到 IP 地址映射的分布式、分層式數(shù)據(jù)庫(kù)，DNS 是 Internet 名稱(chēng)方案的基礎(chǔ)和企業(yè)名稱(chēng)方案的基礎(chǔ)。InterNIC 負(fù)責(zé)全球域名空間的委派治

8、理和域名注冊(cè)。DNS組件DNS 服務(wù)器：運(yùn)行 DNS 服務(wù)的計(jì)算機(jī)，承載一個(gè)名稱(chēng)空間或部分名稱(chēng)空間（域）， 對(duì)名稱(chēng)空間或域具有權(quán)威性，負(fù)責(zé)解析 DNS 客戶(hù)端（DNS 客戶(hù)端即解析器）提交的名稱(chēng)解析請(qǐng)求。DNS 客戶(hù)端：運(yùn)行 DNS 客戶(hù)端服務(wù)的計(jì)算機(jī)DNS 資源記錄：DNS 數(shù)據(jù)庫(kù)中將主機(jī)名映射到資源的項(xiàng)目因特網(wǎng)上的因特網(wǎng)上的 DNS 服務(wù)器DNS 服務(wù)器DNS 客戶(hù)端根 “.”.資源記錄資源記錄 圖5-1 DNS組件DNS域名空間DNS 命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采納的差不多上分層和分布式結(jié)構(gòu)，一些授權(quán)的機(jī)構(gòu)能夠各自轉(zhuǎn)換其權(quán)限以?xún)?nèi)的名字和 IP 地址。DNS 的命名是為

9、全球性的 HYPERLINK / t _blank 網(wǎng)絡(luò)設(shè)備分配名字，由分布式名字 HYPERLINK / t _blank 服務(wù)器組實(shí)施。區(qū)域是 DNS 名稱(chēng)空間的一個(gè)治理單元，它能夠由單一的 DNS 域或者結(jié)合了部分或全部子域的域組成 ；DNS 服務(wù)器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。 SKIPIF 1 0 圖5-2 DNS域名空間結(jié)構(gòu)DNS服務(wù)器的類(lèi)型根域名服務(wù)器：根域名服務(wù)器是最重要的域名服務(wù)器。所有的根域名服務(wù)器都明白所有的頂級(jí)域名服務(wù)器的域名和 IP 地址。不管是哪一個(gè)本地域名服務(wù)器，若要對(duì)因特網(wǎng)上任何一個(gè)域名進(jìn)行解析，只要自己無(wú)法解析，就首先求助于根域名服務(wù)器。

10、在因特網(wǎng)上共有13 個(gè)不同 IP 地址的根域名服務(wù)器，它們的名字是用一個(gè)英文字母命名，從a 一直到 m（前13 個(gè)字母）。頂級(jí)域名服務(wù)器：負(fù)責(zé)治理在該頂級(jí)域名服務(wù)器注冊(cè)的所有二級(jí)域名。當(dāng)收到 DNS 查詢(xún)請(qǐng)求時(shí)，就給出相應(yīng)的回答（可能是最后的結(jié)果，也可能是下一步應(yīng)當(dāng)找的域名服務(wù)器的 IP 地址）。權(quán)限域名服務(wù)器：負(fù)責(zé)一個(gè)區(qū)的域名服務(wù)器。當(dāng)一個(gè)權(quán)限域名服務(wù)器還不能給出最后的查詢(xún)回答時(shí)，就會(huì)告訴發(fā)出查詢(xún)請(qǐng)求的 DNS 客戶(hù)，下一步應(yīng)當(dāng)找哪一個(gè)權(quán)限域名服務(wù)器。本地域名服務(wù)器：本地域名服務(wù)器對(duì)域名系統(tǒng)特不重要。當(dāng)一個(gè)主機(jī)發(fā)出 DNS 查詢(xún)請(qǐng)求時(shí)，那個(gè)查詢(xún)請(qǐng)求報(bào)文就發(fā)送給本地域名服務(wù)器。每一個(gè)因特網(wǎng)服務(wù)

11、提供者都能夠擁有一個(gè)本地域名服務(wù)器，這種域名服務(wù)器有時(shí)也稱(chēng)為默認(rèn)域名服務(wù)器。4） DNS查詢(xún) 查詢(xún)是向 DNS 服務(wù)器發(fā)出的名稱(chēng)解析請(qǐng)求。查詢(xún)有兩種類(lèi)型：遞歸查詢(xún)和迭代查詢(xún)。遞歸查詢(xún)：遞歸查找是將查詢(xún)提交給 DNS 服務(wù)器，DNS 客戶(hù)端需要 DNS 服務(wù)器提供一個(gè)完整的查詢(xún)應(yīng)答。迭代查詢(xún)：迭代查詢(xún)是 DNS 客戶(hù)端向 DNS 服務(wù)器發(fā)出的查詢(xún)請(qǐng)求，DNS 服務(wù)器無(wú)需通過(guò)其他 DNS 服務(wù)器而給出查詢(xún)結(jié)果的查詢(xún)。迭代查詢(xún)通常發(fā)生在上級(jí)域指引到下級(jí)域。 SKIPIF 1 0 圖5-3 DNS查詢(xún)過(guò)程DNS服務(wù)器能夠使用Windows Server2003安裝和配置DNS服務(wù)作為DNS服務(wù)器，Li

12、nux服務(wù)器使用聞名的BIND（Berkeley Internet Name Domain）軟件實(shí)現(xiàn)，DNS客戶(hù)端可通過(guò)DHCP服務(wù)器分配DNS參數(shù)或手動(dòng)指定。WEB服務(wù)器WEB服務(wù)器也稱(chēng)為WWW(World Wide Web)服務(wù)器，要緊功能是提供網(wǎng)上信息掃瞄服務(wù)，是互聯(lián)網(wǎng)進(jìn)展最快和目前用的最廣泛的服務(wù)。其應(yīng)用層使用HTTP協(xié)議，使用HTML文檔格式傳輸信息資源，客戶(hù)機(jī)掃瞄器使用統(tǒng)一資源定位器(URL)來(lái)訪問(wèn)WEB服務(wù)器資源。目前使用最多的 web server 服務(wù)器軟件有：微軟的信息服務(wù)器（IIS）和Apache：1）IISIIS是英文Internet Information Serve

13、r（Internet信息服務(wù)）的縮寫(xiě)，它是微軟公司主推的WEB服務(wù)器， IIS與Window Server完全集成在一起，因而用戶(hù)能夠利用Windows Server和NTFS內(nèi)置的安全特性，建立強(qiáng)大，靈活而安全的Internet站點(diǎn)。IIS支持HTTP（Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP（Fele Transfer Protocol，文件傳輸協(xié)議）以及SMTP協(xié)議，通過(guò)使用CGI和ISAPI，IIS能夠得到高度的擴(kuò)展。IIS支持與語(yǔ)言無(wú)關(guān)的腳本編寫(xiě)和組件，通過(guò)IIS，開(kāi)發(fā)人員就能夠開(kāi)發(fā)新一代動(dòng)態(tài)的，富有魅力的Web站點(diǎn)。IIS不需要開(kāi)發(fā)人員學(xué)習(xí)新

14、的腳本語(yǔ)言或者編譯應(yīng)用程序，IIS完全支持VBscript，Jscript開(kāi)發(fā)軟件以及Java，它也支持CGI和WinCGI，以及ISAPI擴(kuò)展和過(guò)濾器。2）Apache HTTP ServerApache HTTP Server源于NCSAhttpd服務(wù)器，通過(guò)多次修改，成為世界上最流行的Web服務(wù)器軟件之一。Apache的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來(lái)使用。因?yàn)樗亲杂绍浖?，因此不斷有人?lái)為它開(kāi)發(fā)新的功能、新的特性、修改原來(lái)的缺陷。Apache支持許多特性，大部分通過(guò)編譯的模塊實(shí)現(xiàn)。這些特性從服務(wù)器端的編程語(yǔ)言支持到身份認(rèn)證方案。一些通用的語(yǔ)言接口支持Perl，Pytho

15、n， Tcl和 PHP。流行的認(rèn)證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl）， 代理服務(wù)器 (proxy) 模塊，專(zhuān)門(mén)有用的URL重寫(xiě)（由 mod_rewrite 實(shí)現(xiàn)），定制日志文件（mod_log_config），以及過(guò)濾支持（mod_include 和 mod_ext_filter）。Apache日志能夠通過(guò)網(wǎng)頁(yè)掃瞄器使用免費(fèi)的腳本AWStats或Visitors來(lái)進(jìn)行分析。FTP服務(wù)器文件傳輸協(xié)議 (FTP) 是一種常用的應(yīng)用層協(xié)議。FTP 用于客戶(hù)端和服務(wù)器之間的文件傳輸。FTP 客戶(hù)端是一種

16、在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序。通過(guò)運(yùn)行 FTP 守護(hù)程序 (FTPd)，F(xiàn)TP 客戶(hù)端能夠從服務(wù)器中收發(fā)文件。為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶(hù)端和服務(wù)器之間建立兩條連接：一條是命令和回復(fù)連接，另一條是實(shí)際文件傳輸連接?？蛻?hù)端在 TCP 的 21 號(hào)端口建立第一條連接。該連接由客戶(hù)端命令和服務(wù)器回復(fù)組成，用于治理傳輸流量；第二條連接建立在 TCP 的 20 號(hào)端口。每當(dāng)有文件需要傳輸時(shí)建立該連接，用于實(shí)際文件傳輸。在兩個(gè)方向上，都能夠進(jìn)行文件傳輸。即客戶(hù)端能夠從服務(wù)器中下載（?。┪募?，也能夠向服務(wù)器中上傳（放）文件。常用的組建FTP服務(wù)器方法有：Windows下使用IIS架設(shè)FTP站點(diǎn)、L

17、inux下的wu-ftpd、vsftpd、使用FTP服務(wù)器軟件（Serv-U、Gene6等）。5.5實(shí)訓(xùn)設(shè)備與軟件設(shè)備類(lèi)型設(shè)備型號(hào)數(shù)量（每組）備注交換機(jī)H3C3100 1臺(tái)服務(wù)器宏基P42臺(tái)計(jì)算機(jī)宏基P44臺(tái)服務(wù)器操作系統(tǒng)Windows Server20032可使用虛擬機(jī)環(huán)境服務(wù)器操作系統(tǒng)CentOS 5.22可使用虛擬機(jī)環(huán)境服務(wù)器命名規(guī)則服務(wù)器命名沒(méi)有絕對(duì)的標(biāo)準(zhǔn)，一般差不多上按工程慣例和治理規(guī)范來(lái)進(jìn)行命名，應(yīng)本著明確、簡(jiǎn)潔、無(wú)二義性的原則。實(shí)訓(xùn)項(xiàng)目中服務(wù)器命名規(guī)則建議如下：SrvDHCP-01序號(hào)服務(wù)器功能序號(hào)服務(wù)器功能 服務(wù)器功能中，Srv表示服務(wù)器、DHCP表示服務(wù)器功能。服務(wù)器序號(hào)中，

18、01代表第一臺(tái)，02代表第二臺(tái)，依此類(lèi)推。服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表服務(wù)器名稱(chēng) IP地址 SrvDHCP- 01 /18SrvDHCP- 02 /18主DNS /18輔助DNS /18WWW /18FTP /18DHCP地址分配范圍為 /18 大約可同時(shí)為兩萬(wàn)名用戶(hù)提供上網(wǎng)需求。地址租期為1天 注：由于模擬環(huán)境不行操作，因此全部采納同一個(gè)網(wǎng)段的IP作為分配地址。分配區(qū)域IP地址分配范圍默認(rèn)網(wǎng)關(guān)服務(wù)器 /18宿舍區(qū) /18教師辦公區(qū) /18教學(xué)區(qū) /18教師公寓 /18其它區(qū)域 /18實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝服務(wù)器操作系統(tǒng)3）安裝配置DHCP、DNS、WEB、FTP等網(wǎng)絡(luò)

19、服務(wù)4）配置計(jì)算機(jī)參數(shù)并依照需求驗(yàn)證實(shí)現(xiàn)的功能5）完成項(xiàng)目文檔資料5.5.4 實(shí)施步驟（請(qǐng)將要緊實(shí)施步驟整理列出）一DHCP服務(wù)器的配置（1）依照實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置DHCPSERVER的IP地址。（2）在SERVER上安裝DHCP服務(wù)器在安裝DHCP服務(wù)器之前，請(qǐng)注意以下事項(xiàng)：只有服務(wù)器等級(jí)的計(jì)算機(jī)能夠安裝DHCP服務(wù)器，例如Windows Server 2003，而Windows XP等客戶(hù)端計(jì)算機(jī)無(wú)此功能。DHCP服務(wù)器本身的IP地址必須是靜態(tài)的，也確實(shí)是其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等信息必須以手工的方式輸入。事先規(guī)劃好可出租給客戶(hù)端計(jì)算機(jī)的IP地址池（也確實(shí)是

20、IP作用域）。單擊“開(kāi)始”“治理工具”“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開(kāi)始安裝DHCP服務(wù)器。如圖3-7，圖3-8所示：圖3-7圖3-8安裝完成之后將彈出“新建作用域向?qū)А睂?duì)話框，使用此向?qū)?chuàng)建作用域。1、填寫(xiě)新建作用域的名稱(chēng)和講明文字。此名稱(chēng)和講明性文字并無(wú)特不要求，只是起一個(gè)區(qū)不于其他作用域的作用。此處，將作用域名稱(chēng)填成“總經(jīng)理”，講明性文字為“總經(jīng)理辦公室”.如圖3-9所示：圖3-92、再點(diǎn)“下一步”，進(jìn)入設(shè)置IP地址范圍和子網(wǎng)掩碼的對(duì)話框，在“起始IP地址”項(xiàng)中填寫(xiě)該IP地址段的起始IP地址長(zhǎng)就為18。填寫(xiě)完后，如圖3-10所示： 圖3-103、

21、單擊“下一步”進(jìn)入下一個(gè)對(duì)話框，設(shè)置想排除開(kāi)不用于分配的IP地址范圍。如圖3-11所示圖3-114、填寫(xiě)完成后點(diǎn)“下一步”進(jìn)入IP租期設(shè)置對(duì)話框了。租期將設(shè)置客戶(hù)機(jī)分配到IP地址的使用期限。當(dāng)客戶(hù)機(jī)使用分配到的IP地址時(shí)刻超過(guò)了此租期，服務(wù)器將強(qiáng)行收回分配給客戶(hù)機(jī)的IP地址。此處設(shè)置為1天。如圖3-12所示：圖3-125、單擊“下一步”進(jìn)入配置DHCP選項(xiàng)的對(duì)話框。在此對(duì)話框中，將選擇是否需要對(duì)客戶(hù)機(jī)分配DNS、路由器、WINNS等服務(wù)器的IP地址。在大型網(wǎng)絡(luò)中，特不是與internet 互聯(lián)的網(wǎng)，這些服務(wù)差不多上專(zhuān)門(mén)重要的。在此選擇“是”。如圖3-13所示：圖3-136、單擊“下一步”進(jìn)入設(shè)

22、置路由器（即網(wǎng)關(guān)）的設(shè)置。在“IP地址”項(xiàng)中填寫(xiě)路由器的IP地址。此處填寫(xiě)為：。填寫(xiě)完成后點(diǎn)“添加”按鈕即。如圖3-14所示：圖3-147、單擊“下一步”進(jìn)入域名和DNS服務(wù)器的設(shè)置對(duì)話框了。此處設(shè)置的域名和DNS服務(wù)器的地址將被分配給客戶(hù)機(jī)。在“父域”選項(xiàng)中填寫(xiě)DNS的父域名（參考DNS服務(wù)器配置實(shí)訓(xùn)）此處填寫(xiě)成在“服務(wù)器名”選項(xiàng)中填寫(xiě)DNS服務(wù)器的服務(wù)器名稱(chēng)。此處我們填寫(xiě)為dns。在“IP地址”項(xiàng)中填寫(xiě)DNS服務(wù)器的 IP地址。此處填寫(xiě)為.填寫(xiě)完成后點(diǎn)“添加”按鈕即可。如圖3-15所示：圖3-158、點(diǎn)擊“下一步”，進(jìn)入WINS服務(wù)器的設(shè)置對(duì)話框。能夠不設(shè)置9、點(diǎn)擊“下一步”進(jìn)入激活作用域

23、的對(duì)話框。在此對(duì)話框中將選擇“是，我想現(xiàn)在就激活此作用域”。如圖3-17所示：圖3-1710、單擊“下一步”再點(diǎn)“完成”即完成該作用域的建立了。如圖3-18所示：二DNS 服務(wù)器的設(shè)置在主機(jī)上安裝DNS配置軟件，然后創(chuàng)建區(qū)域圖3-11單擊“下一步”進(jìn)入?yún)^(qū)域名稱(chēng)設(shè)置對(duì)話框。此對(duì)話框指定正向區(qū)域名稱(chēng)（區(qū)域名稱(chēng)應(yīng)與其治理的域相對(duì)應(yīng)）。此處填寫(xiě)為“”。如圖3-12所示：圖3-12單擊“下一步”進(jìn)入動(dòng)態(tài)更新的設(shè)置。在此對(duì)話框中指定創(chuàng)建的區(qū)域是否支持動(dòng)態(tài)更新，此處選擇“不同意動(dòng)態(tài)更新”如圖3-14所示：圖3-14單擊“下一步”選擇是否創(chuàng)建反向查找區(qū)域。在此處，選擇“是”如圖3-10所示：圖3-15單擊“下

24、一步”進(jìn)入?yún)^(qū)域類(lèi)型對(duì)話框，此處選擇“要緊區(qū)域”。如圖3-16所示：圖3-16單擊“下一步”進(jìn)入“反向查找區(qū)域名稱(chēng)”對(duì)話框。在此對(duì)話框中指定反向區(qū)域的名稱(chēng)（能夠輸入IP地址的網(wǎng)絡(luò)ID，由系統(tǒng)自動(dòng)指定反向區(qū)域名稱(chēng)；也能夠自行輸入反向區(qū)域名稱(chēng)），此處填寫(xiě)“192.168.1”圖3-17單擊“下一步”區(qū)域文件對(duì)話框。在此對(duì)話框中，將選擇創(chuàng)建新的反向區(qū)域文件（名稱(chēng)可自行指定）或使用現(xiàn)存的反向區(qū)域文件，在此填寫(xiě)“1.168.192.dns”。如圖3-18所示：圖3-18單擊“下一步”配置轉(zhuǎn)發(fā)查詢(xún)，此處選擇“否，不向前轉(zhuǎn)發(fā)查詢(xún)”。如圖3-19所示：圖3-19單擊“下一步”完成DNS向?qū)渲?。如圖3-19所示

25、：圖3-19（3）在Server1上創(chuàng)建資源記錄：打開(kāi)DNS治理操縱臺(tái)，在左側(cè)操縱臺(tái)樹(shù)中選擇要?jiǎng)?chuàng)建資源記錄的正向要緊區(qū)域，然后在右側(cè)操縱臺(tái)窗口的空白處右擊，在彈出菜單中選擇相應(yīng)功能項(xiàng)即可創(chuàng)建資源記錄。如圖選擇“新建主機(jī)（A）”，打開(kāi)“新建主機(jī)”對(duì)話框，通過(guò)此對(duì)話框創(chuàng)建“host”記錄，如圖選擇“新建不名（CHANE）”，打開(kāi)“新建資源記錄”對(duì)話框， 在左側(cè)操縱臺(tái)樹(shù)中選擇要?jiǎng)?chuàng)建資源記錄的反向要緊區(qū)域（4）在Server1上指定輔助DNS服務(wù)器：在正向要緊區(qū)域上右擊，在彈出的菜單中選擇“屬性”命令，如圖在打開(kāi)的區(qū)域?qū)傩詫?duì)話框中單擊“名稱(chēng)服務(wù)器”，將打開(kāi)“名稱(chēng)服務(wù)器”選項(xiàng)卡；在該選項(xiàng)卡中單擊“添加”

26、，在此添加輔助DNS服務(wù)器。如圖單擊“確定”，完成配置，然后采納同樣的方法在反向要緊區(qū)域上指定輔助DNS服務(wù)器，如圖（5）在Server2上安裝輔助DNS服務(wù)器：參考步驟1，安裝DNS服務(wù)。打開(kāi)“區(qū)域類(lèi)型”對(duì)話框；在此對(duì)話框中選擇“輔助區(qū)域”如圖單擊“下一步”，“區(qū)域名稱(chēng)”對(duì)話框中，輸入?yún)^(qū)域名稱(chēng)，該名稱(chēng)應(yīng)與該DNS區(qū)域的主DNS區(qū)域的主DSN服務(wù)器上的要緊區(qū)域名稱(chēng)完全相同， 如圖單擊“下一步”“主DNS服務(wù)器”對(duì)話框。在此對(duì)話框中指定DNS服務(wù)器的IP地址，如圖單擊“下一步”完成輔助DNS配置，返回DNS治理操縱臺(tái)，現(xiàn)在能夠看到從主DNS服務(wù)器復(fù)制而來(lái)的區(qū)域數(shù)據(jù)。如圖采納同樣的方法，創(chuàng)建反向輔

27、助區(qū)域。三FTP 服務(wù)器的創(chuàng)建1）依照實(shí)訓(xùn)拓?fù)鋱D進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PC1、PC2、WebServer的IP地址。（2）WebServer上安裝IIS服務(wù)。單擊“開(kāi)始”“治理工具”“配置您的服務(wù)器向?qū)А?，選中“DHCP服務(wù)器”，然后單擊“下一步”按鈕，開(kāi)始安裝DHCP服務(wù)器。如圖3-7，圖3-8所示：（3）WebServer上創(chuàng)建總公司網(wǎng)站。單擊“開(kāi)始”“治理工具”“Internet信息服務(wù)（IIS）治理器”，打開(kāi)“Internet信息服務(wù)（IIS）治理器”操縱臺(tái)。右擊“網(wǎng)站”，在彈出的菜單中選擇“新建”“網(wǎng)站”，將打開(kāi)“網(wǎng)站創(chuàng)建向?qū)А睂?duì)話框。單擊“下一步”按鈕，將出現(xiàn)“IP地址

28、和端口設(shè)置”對(duì)話框，在此對(duì)話框中設(shè)置網(wǎng)站IP地址“”，TCP端口號(hào)“80”，主機(jī)頭、“”（主機(jī)頭即網(wǎng)站的FQDN，參考5.2.3單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站主目錄”對(duì)話框，在此對(duì)話框設(shè)置網(wǎng)站主目錄“E:practrain-web”和是否同意以匿名方式訪問(wèn)此網(wǎng)站。如圖單擊“下一步”按鈕，將出現(xiàn)“網(wǎng)站權(quán)限訪問(wèn)”對(duì)話框，在此對(duì)話框中能夠設(shè)置網(wǎng)站的訪問(wèn)權(quán)限，如圖單擊“下一步”按鈕，完成網(wǎng)站的創(chuàng)建。（6）WebServer上安裝FTP服務(wù)。( 7 ) 雙擊“Internet信息服務(wù)器（IIS）”，將打開(kāi)“Internet信息服務(wù)器（IIS）”對(duì)話框。選中“文件傳輸協(xié)議（FTP）服務(wù)”復(fù)選框，如圖點(diǎn)擊

29、“確定”按鈕，返回“Windows組件”對(duì)話框；單擊“下一步”按鈕，開(kāi)始安裝FTP服務(wù)。WebServer上創(chuàng)建FTP治理員站點(diǎn)并添加治理員用戶(hù)（禁止匿名訪問(wèn)）。單擊“開(kāi)始”“治理工具”“Internet信息服務(wù)（IIS）治理器”，打開(kāi)“Internet信息服務(wù)（IIS）治理器”操縱臺(tái)。右擊“FTP站點(diǎn)”，在彈出菜單中選擇“新建”“FTP站點(diǎn)”，打開(kāi)“FTP站點(diǎn)創(chuàng)建向?qū)А比鐖D單擊“下一步”按鈕，將出現(xiàn)“IP地址設(shè)置和端口設(shè)置”對(duì)話框，在此對(duì)話框中設(shè)置FTP站點(diǎn)所使用的IP地址“”及端口號(hào)“21”單擊“下一步”按鈕，將出現(xiàn)“FTP用戶(hù)隔離”對(duì)話框，此對(duì)話框能夠使設(shè)置FTP用戶(hù)隔離的選項(xiàng)，如圖單擊

30、“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)主目錄”對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的主目錄“WEB”，如圖單擊“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)訪問(wèn)權(quán)限”對(duì)話框，此對(duì)話框設(shè)置FTP站點(diǎn)的訪問(wèn)權(quán)限，如圖單擊“下一步”按鈕，完成FTP站點(diǎn)創(chuàng)建，如圖右擊“FTP站點(diǎn)”下“practrain”站點(diǎn)，在彈出菜單中選擇“屬性”，在彈出的屬性對(duì)話框中選擇“安全賬戶(hù)”，將同意匿名連接去掉，點(diǎn)擊確定完成FTP站點(diǎn)配置，如圖單擊“開(kāi)始”“治理工具”“計(jì)算機(jī)治理”，打開(kāi)“計(jì)算機(jī)治理”操縱臺(tái)。選擇“本地用戶(hù)和用戶(hù)組”“用戶(hù)”，右擊新建“admin”用戶(hù)，如圖選中E盤(pán)下“web”文件夾右擊選擇“屬性”，彈出“web屬性”對(duì)話框中

31、選擇“安全”，點(diǎn)擊添加按鈕，如圖選擇“admin”用戶(hù)，點(diǎn)擊確定，如圖添加“admin”用戶(hù)的“修改”和“寫(xiě)入”權(quán)限，如圖點(diǎn)擊確定，完成設(shè)置。單擊“下一步”按鈕，將出現(xiàn)“FTP站點(diǎn)內(nèi)容目錄”對(duì)話框，在“路徑”文本框中輸入虛擬目錄映射的物理位置.如圖單擊“下一步”按鈕，將出現(xiàn)“虛擬目錄訪問(wèn)權(quán)限”對(duì)話框，在此處選擇“讀取”和“寫(xiě)入”復(fù)選框，如圖任務(wù)驗(yàn)收配置驗(yàn)收 （1）查看DHCP配置信息打開(kāi)“治理工具”中“DHCP”對(duì)話框，查看兩個(gè)作用域中的各種配置選項(xiàng)，如圖 圖3-205.6 項(xiàng)目驗(yàn)收DHCP功能在PC1、上將本地網(wǎng)絡(luò)連接設(shè)置為“自動(dòng)獲得IP地址”和“自動(dòng)獲得DNS服務(wù)器地址”， 圖3-21在命

32、令提示符界面中鍵入“ipconfig /all”敲Enter鍵將可查看到客戶(hù)機(jī)獲得IP地址等參數(shù)情況，如圖3-22所示：圖3-22DNS 驗(yàn)證：查看Internet信息服務(wù)（IIS）治理器配置 功能驗(yàn)收網(wǎng)站訪問(wèn)FTP功能驗(yàn)收“admin”用戶(hù)登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限治理員登錄，擁有該目錄下面所有文件及文件夾的修改刪除權(quán)限刪除文件夾5.7 項(xiàng)目總結(jié)實(shí)驗(yàn)過(guò)程沒(méi)有劃分為不同網(wǎng)段，如需劃分網(wǎng)段需要添加DHCP服務(wù)器的網(wǎng)卡，并在其他主機(jī)上面配置DHCP中繼代理，為了使不同網(wǎng)段能夠通信，還要設(shè)置路由。 WEB跟FTP服務(wù)器的配置相對(duì)簡(jiǎn)單，F(xiàn)TP服務(wù)器的權(quán)限是要注意的重點(diǎn)。用戶(hù)的訪

33、問(wèn)是FTP服務(wù)器權(quán)限與文件夾權(quán)限的疊加。針對(duì)某集團(tuán)公司辦公區(qū)網(wǎng)站建設(shè)任務(wù)內(nèi)容和目標(biāo)，通過(guò)需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施，通過(guò)本任務(wù)進(jìn)行了DNS ,DHCP、WEB、FTP基礎(chǔ)配置等方面的實(shí)訓(xùn)。項(xiàng)目 6 集團(tuán)公司網(wǎng)絡(luò)集中治理6.1 項(xiàng)目?jī)?nèi)容 某集團(tuán)公司一家在全國(guó)各地區(qū)有多個(gè)分公司的物流大型企業(yè)，在完成項(xiàng)目3內(nèi)容的組建基礎(chǔ)上，現(xiàn)需要對(duì)公司網(wǎng)絡(luò)進(jìn)行統(tǒng)一治理，總部和各地分公司都能使用統(tǒng)一賬號(hào)訪問(wèn)公司資源，為了保證網(wǎng)絡(luò)信息安全，需要提供公司各服務(wù)器和計(jì)算機(jī)微軟操作系統(tǒng)的補(bǔ)丁自動(dòng)更新，請(qǐng)進(jìn)行規(guī)劃和模擬實(shí)施。6.2 項(xiàng)目流程 SKIPIF 1 0 圖6-1 項(xiàng)目流程圖6.3 項(xiàng)目調(diào)查與需求分析6.3.1 項(xiàng)

34、目本項(xiàng)目針對(duì)集團(tuán)軍公司的網(wǎng)絡(luò)進(jìn)行治理，實(shí)現(xiàn)使用統(tǒng)一賬號(hào)訪問(wèn)公司資源，并提供操作系統(tǒng)的補(bǔ)丁更新。6.3.21)具體調(diào)查經(jīng)具體調(diào)查和與用戶(hù)的溝通，該集團(tuán)公司分為總部和三個(gè)分公司網(wǎng)絡(luò)，分公司通過(guò)專(zhuān)線與總部連接，總部約有400臺(tái)計(jì)算機(jī)和多臺(tái)服務(wù)器，各分公司分不有50-100臺(tái)計(jì)算機(jī)，各分公司也各有1臺(tái)服務(wù)器提供網(wǎng)絡(luò)服務(wù)。2）具體需求需求1：采納先進(jìn)的網(wǎng)絡(luò)技術(shù)和合理的結(jié)構(gòu)完成企業(yè)網(wǎng)的網(wǎng)絡(luò)集中治理，以實(shí)現(xiàn)企業(yè)信息化的基礎(chǔ)。需求2：在總部和各地分公司均使用統(tǒng)一賬號(hào)高效穩(wěn)定地登錄和訪問(wèn)公司資源，簡(jiǎn)單有效。需求3：在總公司架設(shè)一臺(tái)服務(wù)器以提供公司各服務(wù)器和計(jì)算機(jī)操作系統(tǒng)的補(bǔ)丁自動(dòng)更新。3）需求分析分析1：需要建

35、立一個(gè)域，并把公司計(jì)算機(jī)加入域中分析2：創(chuàng)建一個(gè)帳號(hào)，使全公司成員都能登錄進(jìn)域中分析3：需要用WSUS來(lái)進(jìn)行全公司的系統(tǒng)更新6.4 項(xiàng)目實(shí)訓(xùn)要求要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。要求2（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)組建并完成項(xiàng)目實(shí)施的文檔，模擬實(shí)現(xiàn)企業(yè)網(wǎng)總部及1個(gè)分公司區(qū)域的網(wǎng)絡(luò)，實(shí)現(xiàn)統(tǒng)一治理和站點(diǎn)登錄。要求3（選做）：在以上基礎(chǔ)上實(shí)現(xiàn)公司微軟操作系統(tǒng)補(bǔ)丁服務(wù)器的架設(shè)和配置。6.5 項(xiàng)目實(shí)施6.51可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為企業(yè)網(wǎng)用戶(hù)提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，幸免出現(xiàn)網(wǎng)絡(luò)安全事故而阻礙企業(yè)網(wǎng)服務(wù)。3可擴(kuò)充性

36、 企業(yè)網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和進(jìn)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4有用性 應(yīng)能使用戶(hù)方便有用地訪問(wèn)各種企業(yè)網(wǎng)服務(wù)并同意治理。6.5.2 項(xiàng)目活動(dòng)目錄（Active Dirctory）活動(dòng)目錄（Active Directory）是Windows 2003完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的差不多結(jié)構(gòu)模型，是Windows 2003網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心治理機(jī)構(gòu)。 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Dat

37、acenter Server的目錄服務(wù)。Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，同時(shí)讓治理員和用戶(hù)能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織Microsoft在Windows 2003中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)治理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有專(zhuān)門(mén)好的可伸縮性?；顒?dòng)目錄采納了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒?dòng)目錄不僅能夠治理差不多的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶(hù)賬戶(hù)、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了差不多的治

38、理對(duì)象模型，比如用戶(hù)賬戶(hù)對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用能夠直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有專(zhuān)門(mén)好的擴(kuò)充能力，同意應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類(lèi)型?；顒?dòng)目錄用戶(hù)與組Windows Server 2003所支持的用戶(hù)賬戶(hù)分為以下兩種類(lèi)型：域用戶(hù)賬戶(hù)：域用戶(hù)賬戶(hù)存儲(chǔ)在域操縱器的Active Directory數(shù)據(jù)庫(kù)內(nèi)。用戶(hù)能夠利用域用戶(hù)賬戶(hù)登錄域，并利用它訪問(wèn)網(wǎng)絡(luò)上的資源， 本地用戶(hù)賬戶(hù)：本地用戶(hù)賬戶(hù)是創(chuàng)建在非域操縱器的“本地安全賬戶(hù)數(shù)據(jù)庫(kù)”內(nèi)，而不是域操縱器的Active Directory數(shù)據(jù)庫(kù)內(nèi)。Windows

39、Server 2003將位于域中的組分為以下兩種類(lèi)型：安全組：安全組能夠被用來(lái)設(shè)置權(quán)限，例如，能夠設(shè)置讓安全組對(duì)文件具備“讀取”的權(quán)限。安全組也能夠用在與安全無(wú)關(guān)的任務(wù)上，例如，能夠通過(guò)電子郵件軟件將電子郵件發(fā)送給安全組。分布式組：分布式組是用在與安全（權(quán)限的設(shè)置等）無(wú)關(guān)的任務(wù)上，例如，能夠通過(guò)電子郵件軟件將電子郵件發(fā)送給分布式組。用戶(hù)無(wú)法設(shè)置分布式組的權(quán)限?；顒?dòng)目錄站點(diǎn)與復(fù)制活動(dòng)目錄“站點(diǎn)”是由一個(gè)或多個(gè)IP子網(wǎng)所組成，這些子網(wǎng)絡(luò)之間是通過(guò)高速連接所串接起來(lái)的，而那個(gè)地點(diǎn)所謂的“高速”是指這些子網(wǎng)之間的連接速度要夠快才能夠，否則應(yīng)該將它們分不規(guī)劃為不同的站點(diǎn)。 域是邏輯的分組，站點(diǎn)是物理的分

40、組。每個(gè)站點(diǎn)可能包含多個(gè)域，一個(gè)域內(nèi)的計(jì)算機(jī)可能同時(shí)分不屬于不同的站點(diǎn)。同一個(gè)站點(diǎn)內(nèi)的同一個(gè)域操縱器會(huì)自動(dòng)設(shè)置執(zhí)行復(fù)制，其默認(rèn)的復(fù)制頻率比不同站點(diǎn)之間快。除了特不小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個(gè)位置，以便于所有用戶(hù)均等地使用。通過(guò)復(fù)制，Active Directory目錄服務(wù)在多個(gè)域操縱器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶(hù)的目錄可用性和性能。Active Directory 使用一種多主機(jī)復(fù)制模型，同意在任何域操縱器上（而不只是委派的主域操縱器上）更改目錄。Active Directory 依靠站點(diǎn)概念來(lái)保持復(fù)制的效率，并依靠知識(shí)一致性檢查器 (KCC) 來(lái)自動(dòng)確定網(wǎng)絡(luò)的最佳復(fù)

41、制拓?fù)?。組策略組策略是治理員為用戶(hù)和計(jì)算機(jī)定義并操縱程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的要緊工具。通過(guò)使用組策略能夠設(shè)置各種軟件、計(jì)算機(jī)和用戶(hù)策略，能夠完成用戶(hù)所需軟件的自動(dòng)安裝、自動(dòng)定制用戶(hù)環(huán)境、自動(dòng)將用戶(hù)的文件夾重定向等一系列高級(jí)功能。例如，可使用“組策略”關(guān)心用戶(hù)自動(dòng)安裝軟件、從桌面刪除圖標(biāo)、自定義“開(kāi)始”菜單并簡(jiǎn)化“操縱面板”。此外,還可添加在計(jì)算機(jī)上（在計(jì)算機(jī)啟動(dòng)或停止時(shí)，以及用戶(hù)登錄或注銷(xiāo)時(shí)）運(yùn)行的腳本，甚至可配置Internet Explorer等多種功能。要實(shí)現(xiàn)用“組策略”治理網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶(hù)，需要網(wǎng)絡(luò)中有Active Directory服務(wù)器，工作站須是Windows 2000

42、、Windows XP或Windows Server2003等操作系統(tǒng)，同時(shí)加入到Active Directory域中，還需創(chuàng)建與配置“組織單位”的組策略。Microsoft Windows Server Update Services (WSUS)Microsoft Windows Server Update Services (WSUS) 是設(shè)計(jì)用來(lái)大量精簡(jiǎn)IT系統(tǒng)在執(zhí)行重大更新時(shí)的程序。通過(guò)使用 Windows Server 更新服務(wù) (WSUS)，治理員能夠快速而可靠地將 Windows 2000 操作系統(tǒng)和更高版本、Office XP 和更高版本、Exchange Server 20

43、03 以及 SQL Server 2000 的最新關(guān)鍵更新和安全更新部署到 Windows 2000 和更高版本的操作系統(tǒng)。Windows 自動(dòng)更新是Windows 的一項(xiàng)功能，當(dāng)適用于您的計(jì)算機(jī)的重要更新公布時(shí)，它會(huì)及時(shí)提醒用戶(hù)下載和安裝。使用自動(dòng)更新能夠在第一時(shí)刻更新操作系統(tǒng)，修復(fù)系統(tǒng)漏洞，愛(ài)護(hù)計(jì)算機(jī)安全。在小規(guī)模的網(wǎng)絡(luò)當(dāng)中，客戶(hù)端能夠通過(guò)windows系統(tǒng)自帶的自動(dòng)更新來(lái)從微軟下載補(bǔ)丁。但在大中型的網(wǎng)絡(luò)當(dāng)中，假如每臺(tái)計(jì)算機(jī)都單獨(dú)去微軟更新補(bǔ)丁，那么則會(huì)極大的阻礙企業(yè)的外部網(wǎng)絡(luò)帶寬。WSUS的思路是先用一臺(tái)計(jì)算機(jī)（wsus）去微軟檢測(cè)并選擇要下載補(bǔ)丁，然后網(wǎng)絡(luò)內(nèi)其他的計(jì)算機(jī)從WSUS服務(wù)器

44、來(lái)下載補(bǔ)丁，它也可直接下發(fā)補(bǔ)丁。如此也既可不能白費(fèi)外部網(wǎng)絡(luò)帶寬，也能讓所有的計(jì)算機(jī)得到更新。6.5.3 實(shí)訓(xùn)設(shè)備與軟件設(shè)備類(lèi)型設(shè)備型號(hào)數(shù)量（每組）備注交換機(jī)H3C3100 1臺(tái)服務(wù)器宏基P43臺(tái)計(jì)算機(jī)宏基P43臺(tái)服務(wù)器操作系統(tǒng)Windows Server20033可使用虛擬機(jī)環(huán)境服務(wù)器參數(shù)及分配的網(wǎng)絡(luò)參數(shù)規(guī)劃表服務(wù)器名角色I(xiàn)P地址SrvAD-01域操縱器0SrvAD-02域成員3實(shí)施步驟規(guī)劃1）規(guī)劃分配服務(wù)器參數(shù)2）安裝配置Windows Server 2003活動(dòng)目錄（用戶(hù)治理、計(jì)算機(jī)加入域、站點(diǎn)與復(fù)制）3）安裝配置WSUS服務(wù)器（WSUS、組策略）4）配置計(jì)算機(jī)參數(shù)并依照需求驗(yàn)證實(shí)現(xiàn)的功能

45、5）完成項(xiàng)目文檔資料6.5.4 實(shí)施步驟（請(qǐng)將要緊實(shí)施步驟整理列出）1.在SrvAD-01上安裝域操縱器2.在SrvAD-02上安裝子域操縱器3.建立賬號(hào)，用來(lái)集中治理4.設(shè)置組策略6.6 項(xiàng)目驗(yàn)收兩臺(tái)服務(wù)器的域操縱器站點(diǎn)驗(yàn)證統(tǒng)一治理用戶(hù)驗(yàn)證安全策略驗(yàn)證6.7 項(xiàng)目總結(jié)通過(guò)這次實(shí)訓(xùn)，讓我了解到在企業(yè)里面應(yīng)用域來(lái)治理計(jì)算機(jī)能大大的節(jié)約人力和時(shí)刻，并能夠增強(qiáng)安全。在本次實(shí)訓(xùn)項(xiàng)目中，讓我們收獲了專(zhuān)門(mén)多往常沒(méi)有了解的知識(shí)面。才明白往常我們上課掌握的知識(shí)確實(shí)是太少了 ，在這之前我關(guān)于一些服務(wù)器安裝和配置都有一些陌生，在建立域之前，應(yīng)收集實(shí)際環(huán)境的信息，按照實(shí)際來(lái)設(shè)計(jì)和配置每個(gè)服務(wù)器和個(gè)人電腦的角色。從而

46、強(qiáng)化我們的動(dòng)手能力和應(yīng)對(duì)能力。在實(shí)際的環(huán)境中也能揮曬自如。項(xiàng)目 7 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)7.1 項(xiàng)目?jī)?nèi)容 某高等職業(yè)學(xué)院差不多在項(xiàng)目2的基礎(chǔ)上組建了校園園區(qū)網(wǎng)，校園各區(qū)域均已連通，校園網(wǎng)打算有兩條出口線路分不與CHINANET和CERNET連接，需實(shí)現(xiàn)校園網(wǎng)所有用戶(hù)對(duì)外訪問(wèn)，同時(shí)校園網(wǎng)的WEB、FTP等服務(wù)器需要提供校外用戶(hù)訪問(wèn)，還可提供學(xué)校用戶(hù)在家訪問(wèn)學(xué)校的一些內(nèi)部網(wǎng)絡(luò)應(yīng)用，同時(shí)為了保障校園網(wǎng)絡(luò)安全，需要對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，同時(shí)打算部署全網(wǎng)的防病毒系統(tǒng)，請(qǐng)進(jìn)行校園網(wǎng)的安全進(jìn)行規(guī)劃和模擬實(shí)施。7.2 項(xiàng)目流程 SKIPIF 1 0 圖7-1 項(xiàng)目流程圖7.3 項(xiàng)目調(diào)查與需求分析

47、7. 3. 本項(xiàng)目針對(duì)校園園區(qū)網(wǎng)的網(wǎng)絡(luò)安全進(jìn)行建設(shè)和治理，提供內(nèi)外網(wǎng)轉(zhuǎn)換和外部安全訪問(wèn)校園網(wǎng)內(nèi)部，并進(jìn)行防病毒系統(tǒng)的部署。7. 3. 21) 具體調(diào)查經(jīng)具體調(diào)查和與用戶(hù)的溝通，校園網(wǎng)有近6000用戶(hù)、約30臺(tái)服務(wù)器提供服務(wù)，校園網(wǎng)通過(guò)租用1條100M電信線路和1條10M教育網(wǎng)線路分不連接互聯(lián)網(wǎng)和CERNET。其中互聯(lián)網(wǎng)線路分配的其中部分IP地址范圍為：30/27 37/27。2）具體需求需求1：采納先進(jìn)的網(wǎng)絡(luò)通信技術(shù)和合理的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行校園網(wǎng)出口部分的建設(shè)，實(shí)現(xiàn)內(nèi)部用戶(hù)快捷安全訪問(wèn)互聯(lián)網(wǎng)和教育網(wǎng)。需求2：一些校園網(wǎng)服務(wù)器需提供外部的公共訪問(wèn)服務(wù)（WWW、FTP等服務(wù)），使互聯(lián)網(wǎng)用戶(hù)能安全方便地

48、訪問(wèn)學(xué)校的公共資源和信息。需求3：一些校園網(wǎng)內(nèi)部的資源（例如辦公系統(tǒng)、電子圖書(shū)等）需要提供學(xué)校的教職職員在外安全訪問(wèn)。需求4：保障和加強(qiáng)服務(wù)器安全性，對(duì)校園網(wǎng)的服務(wù)器操作系統(tǒng)進(jìn)行安全防護(hù)，為校園網(wǎng)系統(tǒng)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)。需求5：為保障校園網(wǎng)全網(wǎng)安全，加強(qiáng)各用戶(hù)計(jì)算機(jī)的安全防護(hù)，安裝使用防病毒軟件。3）需求分析分析1：使用合理規(guī)劃的地址和路由協(xié)議使校園網(wǎng)用戶(hù)能夠連接到,并通過(guò)專(zhuān)線連接到教育網(wǎng)分析2：為了使互聯(lián)網(wǎng)用戶(hù)能夠訪問(wèn)到校園網(wǎng)資源，必須在校園網(wǎng)內(nèi)安裝WEB 與FTP 服務(wù)器為用戶(hù)提供訪問(wèn)。分析3：配置虛擬專(zhuān)用網(wǎng)（VPN）為校外出差人員提供遠(yuǎn)程訪問(wèn)。分析4：在校園網(wǎng)出口位置配置NAT防火墻。提

49、供私有地址與公共IP地址轉(zhuǎn)換。分析5：安裝必要的殺毒軟件7.4 項(xiàng)目實(shí)訓(xùn)要求要求1（必做）：模擬本項(xiàng)目的網(wǎng)絡(luò)安全系統(tǒng)組建并完成項(xiàng)目實(shí)施的文檔，模擬實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全防護(hù)。要求2（必做）：使用防火墻或軟件進(jìn)行校園網(wǎng)出口互聯(lián)網(wǎng)部分的內(nèi)外網(wǎng)轉(zhuǎn)換（NAT），服務(wù)器的對(duì)外公布訪問(wèn)和安全（SAT）。要求3（必做）：進(jìn)行服務(wù)器操作系統(tǒng)的安全配置和防護(hù)。（主機(jī)安全）要求3（選做）：使用防火墻或軟件進(jìn)行校園網(wǎng)的外部安全訪問(wèn)內(nèi)部網(wǎng)絡(luò)（VPN）。要求4（選做）：進(jìn)行校園網(wǎng)的網(wǎng)絡(luò)防病毒系統(tǒng)配置和實(shí)施。7.5 項(xiàng)目實(shí)施7.51可靠性提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶(hù)和校外用戶(hù)提供可靠的網(wǎng)絡(luò)服務(wù)。2安全性各項(xiàng)

50、服務(wù)應(yīng)考慮和保證其安全性，幸免出現(xiàn)網(wǎng)絡(luò)安全事故而阻礙校園網(wǎng)服務(wù)。3可擴(kuò)充性 校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和進(jìn)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。4有用性 校園網(wǎng)具有用戶(hù)數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶(hù)方便有用地訪問(wèn)各種校園網(wǎng)服務(wù)。7.5.2 項(xiàng)目防火墻傳統(tǒng)意義的防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部份。在網(wǎng)絡(luò)上防火墻簡(jiǎn)單的能夠只用路由器實(shí)現(xiàn)，復(fù)雜的能夠用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻目的差不多上為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全治理。防火墻是一種高級(jí)訪問(wèn)操縱設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能依照企業(yè)有關(guān)的安全政策

51、執(zhí)行同意，拒絕，監(jiān)視，記錄進(jìn)出網(wǎng)絡(luò)的行為。防火墻是一個(gè)或一組系統(tǒng)，用于治理兩個(gè)網(wǎng)絡(luò)直接的訪問(wèn)操縱及策略，所有從內(nèi)部訪問(wèn)外部的數(shù)據(jù)流和外部訪問(wèn)內(nèi)部的數(shù)據(jù)流均必須通過(guò)防火墻；只有在被定義的數(shù)據(jù)流才能夠通過(guò)防火墻(假如通過(guò)其他方式帶出信息，則無(wú)法防備），防火墻本身必須有專(zhuān)門(mén)強(qiáng)的免疫力。防火墻技術(shù)防火墻通常使用的安全操縱手段要緊有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全操縱技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載同意、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶(hù)透明，傳輸性能高。但由于安全操縱層

52、次在網(wǎng)絡(luò)層、傳輸層，安全操縱的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全操縱，關(guān)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全操縱方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，同意符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就能夠通過(guò)。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)懷數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)

53、容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶(hù)機(jī)服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶(hù)機(jī)服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶(hù)端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。因此，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。防火墻工作模式防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口與互聯(lián)網(wǎng)直接相連是企業(yè)網(wǎng)絡(luò)的第一道屏障。依照防火墻和內(nèi)外網(wǎng)絡(luò)的結(jié)構(gòu),防火墻具有三種工作模式透明模式、路由模式和混合模式。1.透明模式透明模式的防火墻就仿佛是一臺(tái)網(wǎng)橋，不改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備和所

54、有計(jì)算機(jī)的設(shè)置（包括IP地址和網(wǎng)關(guān)）無(wú)須改變，同時(shí)解析所有通過(guò)它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶(hù)治理的復(fù)雜程度。透明模式的防火墻結(jié)構(gòu)如下圖所示。 2.路由模式傳統(tǒng)防火墻一般工作于路由模式，防火墻能夠讓處于不同網(wǎng)段的計(jì)算機(jī)通過(guò)路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如下圖所示:3.混合模式在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:防火墻產(chǎn)品簡(jiǎn)介1阿姆瑞特防火墻阿姆瑞特防火墻為無(wú)系統(tǒng)內(nèi)核，即：防火墻沒(méi)有操作系統(tǒng)，因此可不能存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時(shí)，因?yàn)椴僮飨到y(tǒng)需要不斷

55、地去維護(hù)、升級(jí)，無(wú)操作系統(tǒng)就不存在此類(lèi)問(wèn)題，這也排除了因?yàn)橄到y(tǒng)升級(jí)、打補(bǔ)丁破壞防火墻功能、性能的問(wèn)題。阿姆瑞特防火墻內(nèi)核啟動(dòng)后，可直接治理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它能夠在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時(shí)減少了操作系統(tǒng)的開(kāi)銷(xiāo)，因此能夠最快的處理數(shù)據(jù)，使其成為市場(chǎng)上現(xiàn)有的最快的防火墻之一。2ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級(jí)不的路由軟件防火墻，它能夠讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能能夠和硬件防火墻媲美，同時(shí)深層次的應(yīng)

56、用層識(shí)不功能是目前專(zhuān)門(mén)多基于包過(guò)濾的硬件防火墻都不具備的，能夠在網(wǎng)絡(luò)的任何地點(diǎn)，如兩個(gè)或多個(gè)網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個(gè)主機(jī)上配置ISA Server 來(lái)對(duì)網(wǎng)絡(luò)或主機(jī)進(jìn)行防護(hù)。ISA Server的要緊特性：（1）多層防火墻安全防火墻能夠通過(guò)各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級(jí)的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個(gè)網(wǎng)絡(luò)層提供愛(ài)護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報(bào)。(2）狀態(tài)檢測(cè)狀態(tài)檢查檢查通過(guò)防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，

57、ISA Server 檢查在 IP 消息頭中指明的通信來(lái)源和目標(biāo)，以及在標(biāo)識(shí)所采納的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的 TCP 或 UDP 消息頭中的端口。動(dòng)態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開(kāi)只響應(yīng)用戶(hù)的請(qǐng)求，同時(shí)打開(kāi)端口的持續(xù)時(shí)刻恰好滿足該請(qǐng)求的需要，從而減少與打開(kāi)端口相關(guān)的攻擊。ISA Server 能夠動(dòng)態(tài)地確定，哪些數(shù)據(jù)包能夠傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。治理員能夠配置訪問(wèn)策略規(guī)則，以便只在同意的情況下自動(dòng)打開(kāi)端口，然后當(dāng)通信結(jié)束時(shí)關(guān)閉端口。這一過(guò)程稱(chēng)為動(dòng)態(tài)數(shù)據(jù)包篩選，它使兩個(gè)方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問(wèn)題較少發(fā)生。(3）集成的入侵檢測(cè)ISA Server利用一

58、家名為 Internet Security Systems 的公司所提供的技術(shù)，提供關(guān)心治理員識(shí)不諸如端口掃描、WinNuke 和 Ping of Death 之類(lèi)的常見(jiàn)網(wǎng)絡(luò)攻擊的這種服務(wù)。同時(shí)ISA能夠自動(dòng)對(duì)其作出響應(yīng)。這項(xiàng)技術(shù)給 ISA Server 提供了能識(shí)不此類(lèi)攻擊的集成入侵檢測(cè)機(jī)制。當(dāng)識(shí)不出這種攻擊時(shí)，警報(bào)還能同時(shí)指出 ISA Server 應(yīng)采取什么行動(dòng)，這些行動(dòng)可包括向系統(tǒng)治理員發(fā)送電子郵件或?qū)ず?，停?Firewall 服務(wù)，寫(xiě)入到系統(tǒng)事件日志，或運(yùn)行任何程序或腳本。(4）高性能 Web 緩存ISA Server 對(duì) Web 緩存進(jìn)行了完全的重新設(shè)計(jì)，使它能夠?qū)⒕彺娣湃?RA

59、M 中我明白現(xiàn)在專(zhuān)門(mén)多的使用WINGATE的用戶(hù)都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的 Web 客戶(hù)機(jī)總體響應(yīng)時(shí)刻。這關(guān)于企業(yè)內(nèi)部來(lái)講尤其重要，因?yàn)槁殕T需要快速訪問(wèn) Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)約網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。因此您能夠通過(guò)多臺(tái) ISA Server 計(jì)算機(jī)組成的陣列來(lái)提供無(wú)縫縮放和更高的效率。(6)活動(dòng)緩存通過(guò)一個(gè)叫做活動(dòng)緩存的功能，可配置 ISA S

60、erver 使其自動(dòng)更新緩存中的對(duì)象。使用這種功能，ISA Server 可通過(guò)主動(dòng)刷新內(nèi)容來(lái)優(yōu)化帶寬的使用。通過(guò)活動(dòng)緩存，經(jīng)常被訪問(wèn)的對(duì)象在它們到期之前，在低網(wǎng)絡(luò)流量時(shí)段自動(dòng)更新。(7)統(tǒng)一治理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 治理操縱臺(tái)(MMC，Microsoft Management Console)。所有這些功能，特不是 MMC，會(huì)使得治理更容易，因?yàn)椴僮魅藛T熟悉它，并可從一個(gè)操縱臺(tái)同時(shí)治理防火墻和 Web 緩存。(8)企業(yè)策略和訪問(wèn)操縱ISA Server 還支持創(chuàng)建企業(yè)級(jí)和