公司網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)

2017-03-27

9078

企業(yè)網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)在企業(yè)組建網(wǎng)絡(luò)基礎(chǔ)設(shè)施后，還需要提供給用戶各種的網(wǎng)絡(luò)和信息服務(wù)，同時(shí)隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷發(fā)展，大量的網(wǎng)絡(luò)應(yīng)用成為黑客/病毒制造者的攻擊目標(biāo)，需要企業(yè)采取必要的技術(shù)、設(shè)備和措施

企業(yè)網(wǎng)絡(luò)管理與安全實(shí)訓(xùn)

在企業(yè)組建網(wǎng)絡(luò)基礎(chǔ)設(shè)施后，還需要提供給用戶各種的網(wǎng)絡(luò)和信息服務(wù)，同時(shí)隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷發(fā)展，大量的網(wǎng)絡(luò)應(yīng)用成為黑客/病毒制造者的攻擊目標(biāo)，需要企業(yè)采取必要的技術(shù)、設(shè)備和措施來保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行，還需要運(yùn)用各種網(wǎng)絡(luò)管理工具、軟件、設(shè)備對(duì)企業(yè)網(wǎng)絡(luò)的交換設(shè)備、路由設(shè)備、服務(wù)器、防火墻等各種網(wǎng)絡(luò)設(shè)備進(jìn)行進(jìn)行配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理，保障網(wǎng)絡(luò)的正常運(yùn)行和性能優(yōu)化。。

校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實(shí)施

1 項(xiàng)目?jī)?nèi)容

某學(xué)院校園網(wǎng)基礎(chǔ)設(shè)施已根據(jù)項(xiàng)目2組建完成，并通過兩條線路分別接入了電信互聯(lián)網(wǎng)和CERTNET 教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提供各種網(wǎng)絡(luò)服務(wù)和信息服務(wù)，分別提供校園網(wǎng)IP 地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP 資源下載等服務(wù)，請(qǐng)給出解決方法并進(jìn)行實(shí)施。

2 項(xiàng)目流程

圖5-1 項(xiàng)目流程圖

3 項(xiàng)目調(diào)查與需求分析

5.3.1 項(xiàng)目目標(biāo)

本項(xiàng)目針對(duì)學(xué)院需要提供各種基礎(chǔ)網(wǎng)絡(luò)服務(wù)，分別實(shí)現(xiàn)IP 地址分配、內(nèi)外網(wǎng)域名解析、學(xué)院網(wǎng)站、FTP 資源下載等服務(wù)。

5.3.2 需求與分析

1）具體需求

經(jīng)調(diào)查和與用戶溝通，具體的需求如下:

需求1：

為校園網(wǎng)各區(qū)域用戶提供IP 地址等參數(shù)分配，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用。需求2：

為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各服務(wù)器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺(tái)服務(wù)器提供服務(wù)，一臺(tái)備用，學(xué)院的域名解析可根據(jù)校園網(wǎng)的兩條線路分別對(duì)不同來源IP 地址解析出對(duì)應(yīng)線路的服務(wù)器IP 以提高用戶訪問效率。

需求3:

架設(shè)校園網(wǎng)的WWW 服務(wù)器提供信息訪問、FTP 服務(wù)器提供資源下載，WWW 服務(wù)器需要為多個(gè)部門提供不同網(wǎng)站，并考慮服務(wù)器的安全和穩(wěn)定性。

3）需求分析

分析1：

分析2：

分析3：

5.4 項(xiàng)目實(shí)訓(xùn)要求

要求1（必做）：

模擬本項(xiàng)目的網(wǎng)絡(luò)服務(wù)組建并完成項(xiàng)目的需求分析、規(guī)劃、實(shí)施文檔。

要求2（必做）：

安裝配置DHCP 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器、FTP 服務(wù)器，分別在Windows Server 和Linux 環(huán)境下進(jìn)行安裝配置提供相同功能。

要求3（選做）

在Linux 下實(shí)現(xiàn)DNS 服務(wù)器對(duì)于同一域名根據(jù)來源不同的IP 解析出不同的地址。

5.5 項(xiàng)目實(shí)施

5.5.1 實(shí)施原則

1．可靠性

提供網(wǎng)絡(luò)服務(wù)的服務(wù)器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡(luò)服務(wù)。

2．安全性

各項(xiàng)服務(wù)應(yīng)考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡(luò)安全事故而影響校園網(wǎng)服務(wù)。

3．可擴(kuò)充性

校園網(wǎng)需要提供的服務(wù)將隨著信息服務(wù)的需求和發(fā)展進(jìn)行增加和擴(kuò)充，規(guī)劃和實(shí)施的各項(xiàng)網(wǎng)絡(luò)服務(wù)應(yīng)具有可擴(kuò)充性。

4．實(shí)用性

校園網(wǎng)具有用戶數(shù)量多、應(yīng)用環(huán)境復(fù)雜的特點(diǎn)，應(yīng)能使用戶方便實(shí)用地訪問各種校園網(wǎng)服務(wù)。

5.5.2 項(xiàng)目知識(shí)點(diǎn)

DHCP 服務(wù)器

DHCP （ Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）可以減少管理的復(fù)雜性和負(fù)擔(dān)，DHCP 使用了租約的概念，或稱為計(jì)算機(jī) IP 地址的有效期。租用時(shí)間是不定的，主要取決于用戶在某地聯(lián)接 Internet 需要多久，這對(duì)于用戶頻繁改變的環(huán)境是很實(shí)用的。通過較短的租期， DHCP 能夠在一個(gè)計(jì)算機(jī)比可用 IP 地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò)。

1）DHCP 系統(tǒng)組成

DHCP 客戶：

DHCP 客戶通過DHCP 來獲得網(wǎng)絡(luò)配置參數(shù)

Internet 主機(jī)，通常就是普通用戶的工作站

DHCP 服務(wù)器：

DHCP 服務(wù)器提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP 客戶

Internet 主機(jī)

DHCP 中繼代理：

在DHCP 客戶和服務(wù)器之間轉(zhuǎn)發(fā) DHCP 消息的主機(jī)或路由器

2）DHCP 服務(wù)器

DHCP 服務(wù)器控制一段IP 地址范圍，客戶機(jī)登錄服務(wù)器時(shí)就可以自動(dòng)獲得服務(wù)器分配

的IP 地址和子網(wǎng)掩碼。DHCP 作用域是一個(gè)網(wǎng)絡(luò)中的所有可分配的 IP 地址的連續(xù)范圍。作用域主要用來定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的 IP 地址范圍。作用域是服務(wù)器用來管理分配給網(wǎng)絡(luò)客戶的 IP 地址的主要手段。

DHCP 服務(wù)器可以使用Windows Server 、Linux 等網(wǎng)絡(luò)操作系統(tǒng)擔(dān)當(dāng)，也可以使用具有DHCP 功能的交換機(jī)、路由器等設(shè)備。

DNS 服務(wù)器

DNS （Domain Name System ，域名系統(tǒng)）是因特網(wǎng)的一項(xiàng)核心服務(wù), 它作為可以將域名和IP 地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP 數(shù)串。DNS 是一種包含 DNS 主機(jī)名到 IP 地址映射的分布式、分層式數(shù)據(jù)庫，DNS 是 Internet 名稱方案的基礎(chǔ)和企業(yè)名稱方案的基礎(chǔ)。InterNIC 負(fù)責(zé)全球域名空間的委派管理和域名注冊(cè)。

1） DNS 組件

DNS 服務(wù)器：運(yùn)行 DNS 服務(wù)的計(jì)算機(jī)，承載一個(gè)名稱空間或部分名稱空間（域），對(duì)名稱空間或域具有權(quán)威性，負(fù)責(zé)解析 DNS 客戶端（DNS 客戶端即解析器）提交的名稱解析請(qǐng)求。

DNS 客戶端：運(yùn)行 DNS 客戶端服務(wù)的計(jì)算機(jī)

DNS 資源記錄：DNS 數(shù)據(jù)庫中將主機(jī)名映射到資源的項(xiàng)目

圖5-1 DNS 組件

2） DNS 域名空間

DNS 命名格式中，域名空間的授權(quán)以及域名與地址的轉(zhuǎn)換采用的都是分層和分布式結(jié)構(gòu)，一些授權(quán)的機(jī)構(gòu)可以各自轉(zhuǎn)換其權(quán)限以內(nèi)的名字和 IP 地址。DNS 的命名是為全球性的網(wǎng)絡(luò)設(shè)備分配名字，由分布式名字服務(wù)器組實(shí)施。

區(qū)域是 DNS 名稱空間的一個(gè)管理單元，它可以由單一的 DNS 域或者結(jié)合了部分或全部子域的域組成；DNS 服務(wù)器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。

圖5-2 DNS域名空間結(jié)構(gòu)

3） DNS 服務(wù)器的類型

根域名服務(wù)器：根域名服務(wù)器是最重要的域名服務(wù)器。所有的根域名服務(wù)器都知道所有的頂級(jí)域名服務(wù)器的域名和 IP 地址。不管是哪一個(gè)本地域名服務(wù)器，若要對(duì)因特網(wǎng)上任何一個(gè)域名進(jìn)行解析，只要自己無法解析，就首先求助于根域名服務(wù)器。在因特網(wǎng)上共有13 個(gè)不同 IP 地址的根域名服務(wù)器，它們的名字是用一個(gè)英文字母命名，從a 一直到 m （前13 個(gè)字母）。

頂級(jí)域名服務(wù)器：負(fù)責(zé)管理在該頂級(jí)域名服務(wù)器注冊(cè)的所有二級(jí)域名。當(dāng)收到 DNS 查詢請(qǐng)求時(shí)，就給出相應(yīng)的回答（可能是最后的結(jié)果，也可能是下一步應(yīng)當(dāng)找的域名服務(wù)器的 IP 地址）。

權(quán)限域名服務(wù)器：負(fù)責(zé)一個(gè)區(qū)的域名服務(wù)器。當(dāng)一個(gè)權(quán)限域名服務(wù)器還不能給出最后的查詢回答時(shí)，就會(huì)告訴發(fā)出查詢請(qǐng)求的 DNS 客戶，下一步應(yīng)當(dāng)找哪一個(gè)權(quán)限域名服務(wù)器。

本地域名服務(wù)器：本地域名服務(wù)器對(duì)域名系統(tǒng)非常重要。當(dāng)一個(gè)主機(jī)發(fā)出 DNS 查詢請(qǐng)求時(shí)，這個(gè)查詢請(qǐng)求報(bào)文就發(fā)送給本地域名服務(wù)器。每一個(gè)因特網(wǎng)服務(wù)提供者都可以擁有一個(gè)本地域名服務(wù)器，這種域名服務(wù)器有時(shí)也稱為默認(rèn)域名服務(wù)器。

4） DNS 查詢

查詢是向 DNS 服務(wù)器發(fā)出的名稱解析請(qǐng)求。查詢有兩種類型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務(wù)器，DNS 客戶端需要 DNS 服務(wù)器提供一個(gè)完整的查詢應(yīng)答。

迭代查詢：迭代查詢是 DNS 客戶端向 DNS 服務(wù)器發(fā)出的查詢請(qǐng)求，DNS 服務(wù)器無需通過其他 DNS 服務(wù)器而給出查詢結(jié)果的查詢。迭代查詢通常發(fā)生在上級(jí)域指引到下級(jí)域。

迭代查詢

圖5-3 DNS 查詢過程

DNS 服務(wù)器可以使用Windows Server2003安裝和配置DNS 服務(wù)作為DNS 服務(wù)器，Linux 服務(wù)器使用著名的BIND （Berkeley Internet Name Domain ）軟件實(shí)現(xiàn)，DNS 客戶端可通過DHCP 服務(wù)器分配DNS 參數(shù)或手動(dòng)指定。

WEB 服務(wù)器

WEB 服務(wù)器也稱為WWW(World Wide Web)服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)，是互聯(lián)網(wǎng)發(fā)展最快和目前用的最廣泛的服務(wù)。。其應(yīng)用層使用HTTP 協(xié)議，使用HTML 文檔格式傳輸信息資源，客戶機(jī)瀏覽器使用統(tǒng)一資源定位器(URL)來訪問WEB 服務(wù)器資源。

目前使用最多的 web server 服務(wù)器軟件有：微軟的信息服務(wù)器（IIS ）和Apache ：

1）IIS

IIS 是英文Internet Information Server （Internet 信息服務(wù)）的縮寫，它是微軟公司主推的WEB 服務(wù)器， IIS 與Window Server 完全集成在一起，因而用戶能夠利用Windows Server 和NTFS 內(nèi)置的安全特性，建立強(qiáng)大，靈活而安全的Internet 站點(diǎn)。

IIS 支持HTTP （Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP （Fele Transfer Protocol ，文件傳輸協(xié)議）以及SMTP 協(xié)議，通過使用CGI 和ISAPI ，IIS 可以得到高度的擴(kuò)展。

IIS 支持與語言無關(guān)的腳本編寫和組件，通過IIS ，開發(fā)人員就可以開發(fā)新一代動(dòng)態(tài)的，

富有魅力的Web 站點(diǎn)。IIS 不需要開發(fā)人員學(xué)習(xí)新的腳本語言或者編譯應(yīng)用程序，IIS 完全支持VBscript ，Jscript 開發(fā)軟件以及Java ，它也支持CGI 和WinCGI ，以及ISAPI 擴(kuò)展和過濾器。

2）Apache HTTP Server

Apache HTTP Server 源于NCSAhttpd 服務(wù)器，經(jīng)過多次修改，成為世界上最流行的Web 服務(wù)器軟件之一。Apache 的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。因?yàn)樗亲杂绍浖?，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。

Apache 支持許多特性，大部分通過編譯的模塊實(shí)現(xiàn)。這些特性從服務(wù)器端的編程語言支持到身份認(rèn)證方案。一些通用的語言接口支持Perl ，Python ， Tcl 和 PHP 。流行的認(rèn)證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl），代理服務(wù)器 (proxy) 模塊，很有用的URL 重寫（由 mod_rewrite 實(shí)現(xiàn)），定制日志文件（mod_log_config），以及過濾支持（mod_include 和 mod_ext_filter）。Apache 日志可以通過網(wǎng)頁瀏覽器使用免費(fèi)的腳本AWStats 或Visitors 來進(jìn)行分析。

FTP 服務(wù)器

文件傳輸協(xié)議 (FTP) 是一種常用的應(yīng)用層協(xié)議。FTP 用于客戶端和服務(wù)器之間的文件傳輸。FTP 客戶端是一種在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序。通過運(yùn)行 FTP 守護(hù)程序 (FTPd)，F(xiàn)TP 客戶端可以從服務(wù)器中收發(fā)文件。

為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶端和服務(wù)器之間建立兩條連接：一條是命令和回復(fù)連接，另一條是實(shí)際文件傳輸連接?？蛻舳嗽?TCP 的 21 號(hào)端口建立第一條連接。該連接由客戶端命令和服務(wù)器回復(fù)組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號(hào)端口。每當(dāng)有文件需要傳輸時(shí)建立該連接，用于實(shí)際文件傳輸。在兩個(gè)方向上，都可以進(jìn)行文件傳輸。即客戶端可以從服務(wù)器中下載（?。┪募?，也可以向服務(wù)器中上傳（放）文件。

常用的組建FTP 服務(wù)器方法有：Windows 下使用IIS 架設(shè)FTP 站點(diǎn)、Linux 下的wu-ftpd 、vsftpd 、使用FTP 服務(wù)器軟件（Serv-U 、Gene6等）。

5.5.3 項(xiàng)目實(shí)施規(guī)劃

實(shí)訓(xùn)設(shè)備與軟件