公司網(wǎng)絡管理與安全實訓

2017-03-27

9078

企業(yè)網(wǎng)絡管理與安全實訓在企業(yè)組建網(wǎng)絡基礎設施后，還需要提供給用戶各種的網(wǎng)絡和信息服務，同時隨著互聯(lián)網(wǎng)各種應用的不斷發(fā)展，大量的網(wǎng)絡應用成為黑客/病毒制造者的攻擊目標，需要企業(yè)采取必要的技術、設備和措施

企業(yè)網(wǎng)絡管理與安全實訓

在企業(yè)組建網(wǎng)絡基礎設施后，還需要提供給用戶各種的網(wǎng)絡和信息服務，同時隨著互聯(lián)網(wǎng)各種應用的不斷發(fā)展，大量的網(wǎng)絡應用成為黑客/病毒制造者的攻擊目標，需要企業(yè)采取必要的技術、設備和措施來保證企業(yè)網(wǎng)絡的正常穩(wěn)定運行，還需要運用各種網(wǎng)絡管理工具、軟件、設備對企業(yè)網(wǎng)絡的交換設備、路由設備、服務器、防火墻等各種網(wǎng)絡設備進行進行配置管理、性能管理、故障管理、安全管理和計費管理，保障網(wǎng)絡的正常運行和性能優(yōu)化。。

校園網(wǎng)數(shù)據(jù)中心系統(tǒng)實施

1 項目內(nèi)容

某學院校園網(wǎng)基礎設施已根據(jù)項目2組建完成，并通過兩條線路分別接入了電信互聯(lián)網(wǎng)和CERTNET 教育網(wǎng)，現(xiàn)在需要提供校內(nèi)外用戶提供各種網(wǎng)絡服務和信息服務，分別提供校園網(wǎng)IP 地址分配、內(nèi)外網(wǎng)域名解析、學院網(wǎng)站、FTP 資源下載等服務，請給出解決方法并進行實施。

2 項目流程

圖5-1 項目流程圖

3 項目調(diào)查與需求分析

5.3.1 項目目標

本項目針對學院需要提供各種基礎網(wǎng)絡服務，分別實現(xiàn)IP 地址分配、內(nèi)外網(wǎng)域名解析、學院網(wǎng)站、FTP 資源下載等服務。

5.3.2 需求與分析

1）具體需求

經(jīng)調(diào)查和與用戶溝通，具體的需求如下:

需求1：

為校園網(wǎng)各區(qū)域用戶提供IP 地址等參數(shù)分配，需要兩臺服務器提供服務，一臺備用。需求2：

為校園網(wǎng)各區(qū)域用戶提供校園網(wǎng)各服務器的域名解析和互聯(lián)網(wǎng)的域名解析，需要兩臺服務器提供服務，一臺備用，學院的域名解析可根據(jù)校園網(wǎng)的兩條線路分別對不同來源IP 地址解析出對應線路的服務器IP 以提高用戶訪問效率。

需求3:

架設校園網(wǎng)的WWW 服務器提供信息訪問、FTP 服務器提供資源下載，WWW 服務器需要為多個部門提供不同網(wǎng)站，并考慮服務器的安全和穩(wěn)定性。

3）需求分析

分析1：

分析2：

分析3：

5.4 項目實訓要求

要求1（必做）：

模擬本項目的網(wǎng)絡服務組建并完成項目的需求分析、規(guī)劃、實施文檔。

要求2（必做）：

安裝配置DHCP 服務器、DNS 服務器、WEB 服務器、FTP 服務器，分別在Windows Server 和Linux 環(huán)境下進行安裝配置提供相同功能。

要求3（選做）

在Linux 下實現(xiàn)DNS 服務器對于同一域名根據(jù)來源不同的IP 解析出不同的地址。

5.5 項目實施

5.5.1 實施原則

1．可靠性

提供網(wǎng)絡服務的服務器必須穩(wěn)定可靠，為校園網(wǎng)用戶和校外用戶提供可靠的網(wǎng)絡服務。

2．安全性

各項服務應考慮和保證其安全性，避免出現(xiàn)網(wǎng)絡安全事故而影響校園網(wǎng)服務。

3．可擴充性

校園網(wǎng)需要提供的服務將隨著信息服務的需求和發(fā)展進行增加和擴充，規(guī)劃和實施的各項網(wǎng)絡服務應具有可擴充性。

4．實用性

校園網(wǎng)具有用戶數(shù)量多、應用環(huán)境復雜的特點，應能使用戶方便實用地訪問各種校園網(wǎng)服務。

5.5.2 項目知識點

DHCP 服務器

DHCP （ Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）可以減少管理的復雜性和負擔，DHCP 使用了租約的概念，或稱為計算機 IP 地址的有效期。租用時間是不定的，主要取決于用戶在某地聯(lián)接 Internet 需要多久，這對于用戶頻繁改變的環(huán)境是很實用的。通過較短的租期， DHCP 能夠在一個計算機比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網(wǎng)絡。

1）DHCP 系統(tǒng)組成

DHCP 客戶：

DHCP 客戶通過DHCP 來獲得網(wǎng)絡配置參數(shù)

Internet 主機，通常就是普通用戶的工作站

DHCP 服務器：

DHCP 服務器提供網(wǎng)絡設置參數(shù)給DHCP 客戶

Internet 主機

DHCP 中繼代理：

在DHCP 客戶和服務器之間轉發(fā) DHCP 消息的主機或路由器

2）DHCP 服務器

DHCP 服務器控制一段IP 地址范圍，客戶機登錄服務器時就可以自動獲得服務器分配

的IP 地址和子網(wǎng)掩碼。DHCP 作用域是一個網(wǎng)絡中的所有可分配的 IP 地址的連續(xù)范圍。作用域主要用來定義網(wǎng)絡中單一的物理子網(wǎng)的 IP 地址范圍。作用域是服務器用來管理分配給網(wǎng)絡客戶的 IP 地址的主要手段。

DHCP 服務器可以使用Windows Server 、Linux 等網(wǎng)絡操作系統(tǒng)擔當，也可以使用具有DHCP 功能的交換機、路由器等設備。

DNS 服務器

DNS （Domain Name System ，域名系統(tǒng)）是因特網(wǎng)的一項核心服務, 它作為可以將域名和IP 地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP 數(shù)串。DNS 是一種包含 DNS 主機名到 IP 地址映射的分布式、分層式數(shù)據(jù)庫，DNS 是 Internet 名稱方案的基礎和企業(yè)名稱方案的基礎。InterNIC 負責全球域名空間的委派管理和域名注冊。

1） DNS 組件

DNS 服務器：運行 DNS 服務的計算機，承載一個名稱空間或部分名稱空間（域），對名稱空間或域具有權威性，負責解析 DNS 客戶端（DNS 客戶端即解析器）提交的名稱解析請求。

DNS 客戶端：運行 DNS 客戶端服務的計算機

DNS 資源記錄：DNS 數(shù)據(jù)庫中將主機名映射到資源的項目

圖5-1 DNS 組件

2） DNS 域名空間

DNS 命名格式中，域名空間的授權以及域名與地址的轉換采用的都是分層和分布式結構，一些授權的機構可以各自轉換其權限以內(nèi)的名字和 IP 地址。DNS 的命名是為全球性的網(wǎng)絡設備分配名字，由分布式名字服務器組實施。

區(qū)域是 DNS 名稱空間的一個管理單元，它可以由單一的 DNS 域或者結合了部分或全部子域的域組成；DNS 服務器的管轄范圍不是以“域”為單位，而是以“區(qū)域”為單位。

圖5-2 DNS域名空間結構

3） DNS 服務器的類型

根域名服務器：根域名服務器是最重要的域名服務器。所有的根域名服務器都知道所有的頂級域名服務器的域名和 IP 地址。不管是哪一個本地域名服務器，若要對因特網(wǎng)上任何一個域名進行解析，只要自己無法解析，就首先求助于根域名服務器。在因特網(wǎng)上共有13 個不同 IP 地址的根域名服務器，它們的名字是用一個英文字母命名，從a 一直到 m （前13 個字母）。

頂級域名服務器：負責管理在該頂級域名服務器注冊的所有二級域名。當收到 DNS 查詢請求時，就給出相應的回答（可能是最后的結果，也可能是下一步應當找的域名服務器的 IP 地址）。

權限域名服務器：負責一個區(qū)的域名服務器。當一個權限域名服務器還不能給出最后的查詢回答時，就會告訴發(fā)出查詢請求的 DNS 客戶，下一步應當找哪一個權限域名服務器。

本地域名服務器：本地域名服務器對域名系統(tǒng)非常重要。當一個主機發(fā)出 DNS 查詢請求時，這個查詢請求報文就發(fā)送給本地域名服務器。每一個因特網(wǎng)服務提供者都可以擁有一個本地域名服務器，這種域名服務器有時也稱為默認域名服務器。

4） DNS 查詢

查詢是向 DNS 服務器發(fā)出的名稱解析請求。查詢有兩種類型：遞歸查詢和迭代查詢。遞歸查詢：遞歸查找是將查詢提交給 DNS 服務器，DNS 客戶端需要 DNS 服務器提供一個完整的查詢應答。

迭代查詢：迭代查詢是 DNS 客戶端向 DNS 服務器發(fā)出的查詢請求，DNS 服務器無需通過其他 DNS 服務器而給出查詢結果的查詢。迭代查詢通常發(fā)生在上級域指引到下級域。

迭代查詢

圖5-3 DNS 查詢過程

DNS 服務器可以使用Windows Server2003安裝和配置DNS 服務作為DNS 服務器，Linux 服務器使用著名的BIND （Berkeley Internet Name Domain ）軟件實現(xiàn)，DNS 客戶端可通過DHCP 服務器分配DNS 參數(shù)或手動指定。

WEB 服務器

WEB 服務器也稱為WWW(World Wide Web)服務器，主要功能是提供網(wǎng)上信息瀏覽服務，是互聯(lián)網(wǎng)發(fā)展最快和目前用的最廣泛的服務。。其應用層使用HTTP 協(xié)議，使用HTML 文檔格式傳輸信息資源，客戶機瀏覽器使用統(tǒng)一資源定位器(URL)來訪問WEB 服務器資源。

目前使用最多的 web server 服務器軟件有：微軟的信息服務器（IIS ）和Apache ：

1）IIS

IIS 是英文Internet Information Server （Internet 信息服務）的縮寫，它是微軟公司主推的WEB 服務器， IIS 與Window Server 完全集成在一起，因而用戶能夠利用Windows Server 和NTFS 內(nèi)置的安全特性，建立強大，靈活而安全的Internet 站點。

IIS 支持HTTP （Hypertext Transfer Protocol，超文本傳輸協(xié)議），F(xiàn)TP （Fele Transfer Protocol ，文件傳輸協(xié)議）以及SMTP 協(xié)議，通過使用CGI 和ISAPI ，IIS 可以得到高度的擴展。

IIS 支持與語言無關的腳本編寫和組件，通過IIS ，開發(fā)人員就可以開發(fā)新一代動態(tài)的，

富有魅力的Web 站點。IIS 不需要開發(fā)人員學習新的腳本語言或者編譯應用程序，IIS 完全支持VBscript ，Jscript 開發(fā)軟件以及Java ，它也支持CGI 和WinCGI ，以及ISAPI 擴展和過濾器。

2）Apache HTTP Server

Apache HTTP Server 源于NCSAhttpd 服務器，經(jīng)過多次修改，成為世界上最流行的Web 服務器軟件之一。Apache 的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務器來使用。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。

Apache 支持許多特性，大部分通過編譯的模塊實現(xiàn)。這些特性從服務器端的編程語言支持到身份認證方案。一些通用的語言接口支持Perl ，Python ， Tcl 和 PHP 。流行的認證模塊包括 mod_access， mod_auth 和 mod_digest。其他的例子有 SSL 和 TLS 支持（mod_ssl），代理服務器 (proxy) 模塊，很有用的URL 重寫（由 mod_rewrite 實現(xiàn)），定制日志文件（mod_log_config），以及過濾支持（mod_include 和 mod_ext_filter）。Apache 日志可以通過網(wǎng)頁瀏覽器使用免費的腳本AWStats 或Visitors 來進行分析。

FTP 服務器

文件傳輸協(xié)議 (FTP) 是一種常用的應用層協(xié)議。FTP 用于客戶端和服務器之間的文件傳輸。FTP 客戶端是一種在計算機上運行的應用程序。通過運行 FTP 守護程序 (FTPd)，F(xiàn)TP 客戶端可以從服務器中收發(fā)文件。

為了保障文件的成功傳輸，F(xiàn)TP 要求在客戶端和服務器之間建立兩條連接：一條是命令和回復連接，另一條是實際文件傳輸連接。客戶端在 TCP 的 21 號端口建立第一條連接。該連接由客戶端命令和服務器回復組成，用于管理傳輸流量；第二條連接建立在 TCP 的 20 號端口。每當有文件需要傳輸時建立該連接，用于實際文件傳輸。在兩個方向上，都可以進行文件傳輸。即客戶端可以從服務器中下載（取）文件，也可以向服務器中上傳（放）文件。

常用的組建FTP 服務器方法有：Windows 下使用IIS 架設FTP 站點、Linux 下的wu-ftpd 、vsftpd 、使用FTP 服務器軟件（Serv-U 、Gene6等）。

5.5.3 項目實施規(guī)劃

實訓設備與軟件