公司网络管理与安全实训

2017-03-27

9078

企业网络管理与安全实训在企业组建网络基础设施后，还需要提供给用户各种的网络和信息服务，同时随着互联网各种应用的不断发展，大量的网络应用成为黑客/病毒制造者的攻击目标，需要企业采取必要的技术、设备和措施

企业网络管理与安全实训

在企业组建网络基础设施后，还需要提供给用户各种的网络和信息服务，同时随着互联网各种应用的不断发展，大量的网络应用成为黑客/病毒制造者的攻击目标，需要企业采取必要的技术、设备和措施来保证企业网络的正常稳定运行，还需要运用各种网络管理工具、软件、设备对企业网络的交换设备、路由设备、服务器、防火墙等各种网络设备进行进行配置管理、性能管理、故障管理、安全管理和计费管理，保障网络的正常运行和性能优化。。

校园网数据中心系统实施

1 项目内容

某学院校园网基础设施已根据项目2组建完成，并通过两条线路分别接入了电信互联网和CERTNET 教育网，现在需要提供校内外用户提供各种网络服务和信息服务，分别提供校园网IP 地址分配、内外网域名解析、学院网站、FTP 资源下载等服务，请给出解决方法并进行实施。

2 项目流程

图5-1 项目流程图

3 项目调查与需求分析

5.3.1 项目目标

本项目针对学院需要提供各种基础网络服务，分别实现IP 地址分配、内外网域名解析、学院网站、FTP 资源下载等服务。

5.3.2 需求与分析

1）具体需求

经调查和与用户沟通，具体的需求如下:

需求1：

为校园网各区域用户提供IP 地址等参数分配，需要两台服务器提供服务，一台备用。需求2：

为校园网各区域用户提供校园网各服务器的域名解析和互联网的域名解析，需要两台服务器提供服务，一台备用，学院的域名解析可根据校园网的两条线路分别对不同来源IP 地址解析出对应线路的服务器IP 以提高用户访问效率。

需求3:

架设校园网的WWW 服务器提供信息访问、FTP 服务器提供资源下载，WWW 服务器需要为多个部门提供不同网站，并考虑服务器的安全和稳定性。

3）需求分析

分析1：

分析2：

分析3：

5.4 项目实训要求

要求1（必做）：

模拟本项目的网络服务组建并完成项目的需求分析、规划、实施文档。

要求2（必做）：

安装配置DHCP 服务器、DNS 服务器、WEB 服务器、FTP 服务器，分别在Windows Server 和Linux 环境下进行安装配置提供相同功能。

要求3（选做）

在Linux 下实现DNS 服务器对于同一域名根据来源不同的IP 解析出不同的地址。

5.5 项目实施

5.5.1 实施原则

1．可靠性

提供网络服务的服务器必须稳定可靠，为校园网用户和校外用户提供可靠的网络服务。

2．安全性

各项服务应考虑和保证其安全性，避免出现网络安全事故而影响校园网服务。

3．可扩充性

校园网需要提供的服务将随着信息服务的需求和发展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。

4．实用性

校园网具有用户数量多、应用环境复杂的特点，应能使用户方便实用地访问各种校园网服务。

5.5.2 项目知识点

DHCP 服务器

DHCP （ Dynamic Host Configuration Protocol，动态主机配置协议）可以减少管理的复杂性和负担，DHCP 使用了租约的概念，或称为计算机 IP 地址的有效期。租用时间是不定的，主要取决于用户在某地联接 Internet 需要多久，这对于用户频繁改变的环境是很实用的。通过较短的租期， DHCP 能够在一个计算机比可用 IP 地址多的环境中动态地重新配置网络。

1）DHCP 系统组成

DHCP 客户：

DHCP 客户通过DHCP 来获得网络配置参数

Internet 主机，通常就是普通用户的工作站

DHCP 服务器：

DHCP 服务器提供网络设置参数给DHCP 客户

Internet 主机

DHCP 中继代理：

在DHCP 客户和服务器之间转发 DHCP 消息的主机或路由器

2）DHCP 服务器

DHCP 服务器控制一段IP 地址范围，客户机登录服务器时就可以自动获得服务器分配

的IP 地址和子网掩码。DHCP 作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。

DHCP 服务器可以使用Windows Server 、Linux 等网络操作系统担当，也可以使用具有DHCP 功能的交换机、路由器等设备。

DNS 服务器

DNS （Domain Name System ，域名系统）是因特网的一项核心服务, 它作为可以将域名和IP 地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP 数串。DNS 是一种包含 DNS 主机名到 IP 地址映射的分布式、分层式数据库，DNS 是 Internet 名称方案的基础和企业名称方案的基础。InterNIC 负责全球域名空间的委派管理和域名注册。

1） DNS 组件

DNS 服务器：运行 DNS 服务的计算机，承载一个名称空间或部分名称空间（域），对名称空间或域具有权威性，负责解析 DNS 客户端（DNS 客户端即解析器）提交的名称解析请求。

DNS 客户端：运行 DNS 客户端服务的计算机

DNS 资源记录：DNS 数据库中将主机名映射到资源的项目

图5-1 DNS 组件

2） DNS 域名空间

DNS 命名格式中，域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构，一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字，由分布式名字服务器组实施。

区域是 DNS 名称空间的一个管理单元，它可以由单一的 DNS 域或者结合了部分或全部子域的域组成；DNS 服务器的管辖范围不是以“域”为单位，而是以“区域”为单位。

图5-2 DNS域名空间结构

3） DNS 服务器的类型

根域名服务器：根域名服务器是最重要的域名服务器。所有的根域名服务器都知道所有的顶级域名服务器的域名和 IP 地址。不管是哪一个本地域名服务器，若要对因特网上任何一个域名进行解析，只要自己无法解析，就首先求助于根域名服务器。在因特网上共有13 个不同 IP 地址的根域名服务器，它们的名字是用一个英文字母命名，从a 一直到 m （前13 个字母）。

顶级域名服务器：负责管理在该顶级域名服务器注册的所有二级域名。当收到 DNS 查询请求时，就给出相应的回答（可能是最后的结果，也可能是下一步应当找的域名服务器的 IP 地址）。

权限域名服务器：负责一个区的域名服务器。当一个权限域名服务器还不能给出最后的查询回答时，就会告诉发出查询请求的 DNS 客户，下一步应当找哪一个权限域名服务器。

本地域名服务器：本地域名服务器对域名系统非常重要。当一个主机发出 DNS 查询请求时，这个查询请求报文就发送给本地域名服务器。每一个因特网服务提供者都可以拥有一个本地域名服务器，这种域名服务器有时也称为默认域名服务器。

4） DNS 查询

查询是向 DNS 服务器发出的名称解析请求。查询有两种类型：递归查询和迭代查询。递归查询：递归查找是将查询提交给 DNS 服务器，DNS 客户端需要 DNS 服务器提供一个完整的查询应答。

迭代查询：迭代查询是 DNS 客户端向 DNS 服务器发出的查询请求，DNS 服务器无需通过其他 DNS 服务器而给出查询结果的查询。迭代查询通常发生在上级域指引到下级域。

迭代查询

图5-3 DNS 查询过程

DNS 服务器可以使用Windows Server2003安装和配置DNS 服务作为DNS 服务器，Linux 服务器使用著名的BIND （Berkeley Internet Name Domain ）软件实现，DNS 客户端可通过DHCP 服务器分配DNS 参数或手动指定。

WEB 服务器

WEB 服务器也称为WWW(World Wide Web)服务器，主要功能是提供网上信息浏览服务，是互联网发展最快和目前用的最广泛的服务。。其应用层使用HTTP 协议，使用HTML 文档格式传输信息资源，客户机浏览器使用统一资源定位器(URL)来访问WEB 服务器资源。

目前使用最多的 web server 服务器软件有：微软的信息服务器（IIS ）和Apache ：

1）IIS

IIS 是英文Internet Information Server （Internet 信息服务）的缩写，它是微软公司主推的WEB 服务器， IIS 与Window Server 完全集成在一起，因而用户能够利用Windows Server 和NTFS 内置的安全特性，建立强大，灵活而安全的Internet 站点。

IIS 支持HTTP （Hypertext Transfer Protocol，超文本传输协议），FTP （Fele Transfer Protocol ，文件传输协议）以及SMTP 协议，通过使用CGI 和ISAPI ，IIS 可以得到高度的扩展。

IIS 支持与语言无关的脚本编写和组件，通过IIS ，开发人员就可以开发新一代动态的，

富有魅力的Web 站点。IIS 不需要开发人员学习新的脚本语言或者编译应用程序，IIS 完全支持VBscript ，Jscript 开发软件以及Java ，它也支持CGI 和WinCGI ，以及ISAPI 扩展和过滤器。

2）Apache HTTP Server

Apache HTTP Server 源于NCSAhttpd 服务器，经过多次修改，成为世界上最流行的Web 服务器软件之一。Apache 的特点是简单、速度快、性能稳定，并可做代理服务器来使用。因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。

Apache 支持许多特性，大部分通过编译的模块实现。这些特性从服务器端的编程语言支持到身份认证方案。一些通用的语言接口支持Perl ，Python ， Tcl 和 PHP 。流行的认证模块包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl），代理服务器 (proxy) 模块，很有用的URL 重写（由 mod_rewrite 实现），定制日志文件（mod_log_config），以及过滤支持（mod_include 和 mod_ext_filter）。Apache 日志可以通过网页浏览器使用免费的脚本AWStats 或Visitors 来进行分析。

FTP 服务器

文件传输协议 (FTP) 是一种常用的应用层协议。FTP 用于客户端和服务器之间的文件传输。FTP 客户端是一种在计算机上运行的应用程序。通过运行 FTP 守护程序 (FTPd)，FTP 客户端可以从服务器中收发文件。

为了保障文件的成功传输，FTP 要求在客户端和服务器之间建立两条连接：一条是命令和回复连接，另一条是实际文件传输连接。客户端在 TCP 的 21 号端口建立第一条连接。该连接由客户端命令和服务器回复组成，用于管理传输流量；第二条连接建立在 TCP 的 20 号端口。每当有文件需要传输时建立该连接，用于实际文件传输。在两个方向上，都可以进行文件传输。即客户端可以从服务器中下载（取）文件，也可以向服务器中上传（放）文件。

常用的组建FTP 服务器方法有：Windows 下使用IIS 架设FTP 站点、Linux 下的wu-ftpd 、vsftpd 、使用FTP 服务器软件（Serv-U 、Gene6等）。

5.5.3 项目实施规划

实训设备与软件