爱华网
万通网络广告公司组网方案
目录
项目需求... 2
实现功能... 2
一、对外实现功能... 2
二、内部实现功能... 3
企业网办公功能... 3
一、 数据共享... 3
二、 报文传递... 3
三、决策信息支持... 3
企业网管理功能... 4
一、实时控制与监督... 4
二、网络安全与管理... 4
拓扑图... 4
建设目标与规划... 5
网络广告的目标... 5
网络广告公司的规划... 5
一、确定需求:. 5
二、确定网络设备... 6
三、局域网类型... 6
四、局域网的网络分布架构... 6
五、局域网布线方案设计... 6
六、局域网操作系统和服务器... 7
七、局域网服务设施... 7
八、网络应用需求... 7
九、综合考虑因素... 7
SWOT分析... 8
竞争优势... 8
竞争劣势... 8
竞争机会... 8
竞争威胁... 8
总结分析... 9
设备清单... 9
内部计算机网络的组建:... 11
局域网测试... 11
活动目录... 12
一、项目背景... 12
二、需求分析... 12
三、项目规划... 12
设置服务器IIS. 13
一、对IIS的安装:... 13
局域网服务器配置... 14
设置WWW服务器... 14
设置FTP服务器... 15
WWW服务器和FTP的访问途径... 16
服务器安装... 17
建立第一个Web站点... 17
添加更多的Web站点... 17
对服务的远程管理... 18
打印机的安装... 18
安装其他操作系统所需要的打印机驱动程序... 19
打印机共享... 19
打印机使用注意事项... 19
打印机的简单故障处理... 20
打印机维护与保养... 20
DNS务器... 20
用DHCP服务器有效管理局域网... 21
网络安全... 21
1、防火墙技术... 26
2、数据加密技术... 26
3、智能卡技术... 28
方案小结... 31
项目需求
企业名称:万通网络广告公司
员工人数:9人
企业部门:总经理:一人
策划部:设计一人,文案一人
客服部:业务员五人
财务部:出纳员一人兼内勤
建设资金:十万
实现功能
一、对外实现功能
建立企业网站介绍企业信息,打造企业形象、利用互相网独有宣传方式与优势(低成本、高效益),增加市场宣传轨道,扩大行业影响力。
客户可以到网站访问,查阅企业信息,根据需要与本公司联系,网站同时通过提供优质的客户服务,使客户可以通过网站的查询服务功能跟踪并了解客户对其满意程度,提升客户对公司的信任度,让客户满意公司的服务,提高企业服务档次。
通过网站建立在线反馈与在线调查, 加强企业与外界的联系,充分利用客户的资源为企业献策。
建立客户档案系统,根据系统建立稳定可靠的管理制度,让公司高层可以实时通过管理系统监控公司的客户与业务情况,保证客户不因业务人员的流动而流失。
二、内部实现功能
资源共享功能:网络内的各个桌面用户可共享数据库,实现办公自动化系统中的各项功能。
通信服务功能:最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。
多媒体功能: 支持多媒体组播,具有卓越的服务质量保证功能。
远程VPN拨入访问功能:系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。
企业网办公功能
一、 数据共享
业务相关部门(客户部,策划部,财务部)之间可以共享有关数据。对于重要数据,要通过权限的设置,只有赋予一定权限的单位或部门才能使用和访问,不能超越权限使用。
二、 报文传递
有关资料、图纸或从外部网络发来的传真、电子邮件可以通过网络传递;领导可以在网络上审批文件,又称为电子签名。在外工作人员可以通过此功能与企业总部实现信息交流,实现无纸办公。
三、决策信息支持
通过网络可以随时查询国际、国内市场及相关信息。企业内的“中心信息库”可以保存和管理全公司各方面的资料和信息,并保存为HTML格式,供企业的有效站点浏览、查询有关信息和资料。
企业网管理功能
一、实时控制与监督
一些部门访问机要部门被控制,上班期间电脑访问受限。企业总部或客户,业务员也可以通过网络随时向上级汇报工作。
二、网络安全与管理
专业的网络管理是工作人员负责网系统的运行和数据安全、数据备份等工作,对业务应用人员进行权限设定和网络设备的管理、维护工作。
拓扑图
建设目标与规划
网络广告的目标
随着网络广告越来越多的被企业所认同,不少企业都迈入了网络广告的领域。但是,对于不同的企业不同阶段在进行网络广告时,侧重会有不少区别。
四个目标:一、建立品牌 许多广告主渐渐从“产品营销”的模式走向“品牌营销”之路。网络广告已经被证明在建立品牌上效果甚佳,它能促使消费大众对广告主的品牌或服务产生相当认同。
二、搜集名单
几乎所有广告主都希望建立有效的顾客名单或潜在消费者的名单,以便进行进一步的营销活动。
三、执行销售 广告的最终目的多半是增加产品销售量,但是通过传统媒体广告所增加的销售量几乎无法评估,因为广告与销售的动作通常无法一气呵成。就像收集潜在顾客名单一样,网络的互动性使广告主有机会借所谓的“电子商务”机制让消费者直接在互联网上交易。
四、吸引浏览者网络广告吸引浏览者的方式有二:
一是吸引网友到广告主的网站造访,
二是吸引消费者到广告主的零售点去参观选购。
网络广告公司的规划
一、确定需求:
(1)作为9人的小型办公环境来说,最多的就是文件资料的传递和共享访问互联网的应用;网络带宽要求不是很高,联网设备的选择上可以考虑够用就行的原则;而共享互联网,申请ADSL宽带也能足够应付。目前宽带服务提供商针对小型办公网络用户提供了多种资费可供选择,价格也相当实惠。
(2)规模及规划:作为一家小型的网络广告公司,为了实现其基本的功能,初步规划公司投入10万元,建设时间估计在一个月左右,建设运行后达到企业初级网络。随着业务的不断拓展,规模会不断扩大.
(3)组网方式:实现局域网到互联网的共享访问,而且考虑到成本问题,所以这里采用“ADSLModem+宽带路由器+交换机+客户机”的模式。宽带路由器就相当于一台共享上网服务器,客户机通过这台“共享上网服务器”即可实现互联网共享。
二、确定网络设备
根据前面确定的网络模式,需要添置的网络设备主要为宽带路由器和交换机。因为ADSLModem在安装宽带时服务商会免费提供,而网卡一般计算机都已自带,当然还需要支持10/100M自适应适度的网线,来将所有的网络设备与计算机相
宽带路由器:为了获得良好的共享速度及稳定的性能,我们选择了合适的宽带路由器
(2)交换机:为局域网的升级留有一定的剩余端口,我们选择了24口交换机:DES-1024R。这是一款具有高灵活性的非网管10/100Mbps工作组交换机,能够无缝地集成10BASE-T和100BASE-TX的设备,使之共处于一个网络内而无须更改网络结构;为普通办公网络提供了一种经济、有效的快速以太网解决方案。
三、局域网类型
目前在局域网建设中,由于以太网性能优良、价格低廉、升级和维护方便,结合公司的规模,所以我们选择百兆位以太网。
四、局域网的网络分布架构
(1)因为公司是小型的局域网,在设计上常常分为核心层和接入层两层考虑,物理上使用一组或一台交换机连接所有的入网节点即可。
(2)局域网的带宽:一般而言,百兆位以太网足能够满足网络数据流量不是很大的中小型局域网的需要,所以我们为百兆位以太网。
(3)网络主干设备:考虑到公司的类型,我们的局域网的网络核心层设备选择具备二层交换功能的高性能主干交换机,若以后公司规模扩大,可选择具备第三层交换机功能的高性能交换机,分布层或接入层的网络设备类型,选择普通交换机即可。
五、局域网布线方案设计
作为一家小型的网络广告公司,我们采用星型的拓扑结构。因为接入局域网的节点计算机不多,我们采用从一个接入层节点直接连接所有入网节点的设计。
六、局域网操作系统和服务器
网络操作系统:根据公司局域网的规模、所采用的应用软件、网络技术人员与管理的水平、网络建设机构的投入等多种因素,我们采用微软公司的Windows 2000系统
服务器:因为是服务于六台计算机的小型局域网,数据流量不大,所以工作组级的服务器基本上就可以满足要求。
七、局域网服务设施
一个局域网建成后能够正常运行,还需要相应服务设施支持。为了保障小型局域网服务器的安全运行,我们还配备了不间断电源设备。
八、网络应用需求
在建成的小型局域网后,达到数据共享的功能,且有足够的宽带保证,能够正常传输图片、图像、动画等。
九、综合考虑因素
1、可升级性
(1)在布线方面,我们考虑到公司人员在未来都会有不同程度的增加,所以我们在布线时留有一定量的网络接口。
(2)在拓扑结构方面,我们采用星型的结构,适用于同一层的小型以太网,这样在用户增加时,能灵活拓展,添加设备,改变网络层次结构。
2、性能均衡性
在组网时我们注重考虑了服务器、核心交换机等关键设备和汇聚层以下的网络设备的性能,使组建的网络性能保持均衡。
3、性价比
性价比越高,适用型越强。所以在组网时,我们根据公司的规模选择了合适的网络设备,既保证了网络的实用性,又不会造成网络投资浪费。
4、网络设计原则
我们依据实用性、性能超前性、可扩展性、高可靠性、高安全性、易管理性、低成本的原则,组建了这个满足万通网络广告公司的小型局域网,为该企业的运行提供的一个可操作的网络资源,保证了公司的网络正常运行。
SWOT分析
竞争优势
1、方案灵活,扩展性极强,得到顾客普遍认可
2、操作简单,系统速度快
3、内部资源共享,囊括的信息比较广阔,利于信息交换,增加信息量
4、目标明确,可实行较强。
5、 方案清晰明确,有条理
竞争劣势
建设目标不够详细,需要更细致更准确的调查。
可行性比较弱。
网络共享功能局限化
操作能力要求比较强
竞争机会
中小型企业灵活性较强,
建设的方案有很强的前景
方案市场开拓性比较强
中小型网络,其操作性比较简单。
竞争威胁
资金短缺,缺少必要的技术支持。
硬件设备及软件设备比较简单
中小型网络,难以抵抗大规模的电脑病毒入侵
面对成型的大规模网络,其弱点一目了然。
总结分析
由于企业的整体性和竞争优势来源的广泛性,必须从整个价值链的每个环节上,将企业与竞争对手做详细的对比。企业在维持竞争优势过程中,必须深刻认识自身的资源和能力,采取适当的措施,以保证其资源的持久竞争优势。
资源的持久竞争优势受到两方面因素的影响:企业资源的竞争性价值和竞争优势的持续时间。因此采取以下战略:
SO战略:
建立适合顾客需求的网站,加强网络结构化建设。开拓网络信息化,满足中小型企业的网络结构。
WO战略:
明细网站的建设目标及规划,加强网站的可行性建设,使网络有规有序。认真探讨网络的共享,使网络在共享上得到发展。
ST战略
加强网站灵活性建设,深思中小型局域网的网络前景,网络应依据于市场的发展需要。
设备清单
设备名称 | 型号 | 价格 | 数量 | 产品类型 |
服务器 | 正睿 I2436132S-E | 6990元 | 1 | 最大支持处理器数目:2 | 标配内存容量:2048 | |
无线路由猫 | 华为HG522 ADSL Modem 带54M | 170元 | 1 | |
宽带路由器 | D-LINK di-504m | 75元 | 1 | |
交换机 | D-Link DES-1024R 24口百兆以太网交换机 | 550元 | 1 | |
电脑 | 联想 扬天T4900V(E5300/1G/160G) | 2300元 | 6 | 商用台式机 | 内存大小:1GB | 硬盘容量:160GB | |
打印机 | 联想 | 12800元 | 1 | 处理器 64位四核英特尔®至强TM处理器, 5310 1.6GHZ |
彩色喷墨打印机 | 联想5510 | 499元 | 1 | 超高打印质量、高速打印性能 |
电话 | 西门子 办公电话5020 | 290元 | 3 | |
扫描仪 | 佳能 CanoScan LiDE 100 | 480元 | 1 | 扫描方式:CIS | 光学分辨率:2400×4800 dpi |
数据库 | 微软 SQL server 2008 15user | 32000元 | 1 | 降低了管理数据时所有用户的成本 |
双绞线 | TCL 超五类屏蔽双绞线 | 600元 | 2箱 | |
RJ—45水晶头 | TCL RJ45水晶头 | 1元 | 30个 |
硬件设备:37464元
软件设备:32000元
总价:69464元
内部计算机网络的组建:
网络类型为:服务器/工作站型;
网络结构:采用星型拓扑结构
3,布线方式:用双绞线作为传输介质。连接着诸如交换机、宽带路由器、电脑等硬件设备。并将网络设备放在合适的位置,彼此之间的位置要压缩在100米之内,
管理方式:采用集中式管理
设置一个ftp服务器
IP 地址分配:采用B类网络
要设定相关人员的权限和存放目录,对于财务部,使用部门服务器,存放重要数据,并运行防火墙程序,屏蔽非法的访问。而普通部门的集线器可以直接与中心的交换机连接。
对连接的测试:IP地址配置完成之后,我们还要对计算机的连通性进行测试,这主要采用PING命令完成。
局域网测试
一、连通性测试
二、网速测试
三、数据通讯量测试
四、地址测试
(由于正式的局域网还没成型,所以对局域网的测试大体将从这几方面进行测试)
活动目录
一、项目背景
公司简介:万通网络广告公司是一家刚刚起步的公司,规模较小,员工数在9人左右.为了满足公司的发展和运作的需求,公司决定部署一个由六台计算机组成的小型的局域网,用于完成企业数据通信和资源共享。
二、需求分析
帐户管理:
公司对员工帐户的需求如下:
(1)员工(除内勤和普通业务员外)一人一个帐户
(2)所有帐户集中存储管理
(3)按职责管理帐户
(4)帐户密码长度不小于8
(5)密码不能为简单密码,如12345678等
(6)对个别员工试探别人密码的行为要有所防范。
(7)员工的权限级别有3种:经理、专门人员、普通员工,他们在访问网络资源时权限不同。
文件管理:
公司对文件和文件夹管理的需求如下:
(1)公司所有的常用软件的安装文件共享到一台文件服务器上。
(2)员工工作文档需要可靠存储、方便访问。经理可读取和修改全公司文档。专门人员可读取和修改部门文档。普通员工可读取本部门的文档和修改自己的文档。
(3)在文件服务器上的重要文档有定期备份。
(4)审核员工登陆和访问文档的行为。
访问internet
(1)员工可以上网查资料
(2)监控员工上网行为
三、项目规划
规划IP地址
IP地址采用192.168.1.2——192.168.1.21网段。 计算机的默认网关为192.168.1.2-192.168.1.7之间的IP,客户机占用192.168.1.7以上的IP。具体分配方案见下表。
IP地址分配表
计算机名称 | IP地址 | 子网掩码 | 首选DNS服务器地址 |
DC | 192.168.1.2 | 255.255.255.0 | 192.168.1.2 |
Filesvr | 192.1681.3 | 255.255.255.0 | 192.168.1.2 |
Printsvr1 | 192.168.1.4 | 255.255.255.0 | 192.168.1.2 |
Printsvr2 | 192.168.1.5 | 255.255.255.0 | 192.168.1.2 |
Printsvr3 | 192.168.1.6 | 255.255.255.0 | 192.168.1.2 |
Printsvr4 | 192.168.1.7 | 255.255.255.0 | 192.168.1.2 |
客户机 | 192.168.1.X | 255.255.255.0 | 192.168.1.2 |
规划域
根据网络规模及集中管理和结构简单原则采用单域结构,域名为wtatt.com(其中wt代表万通,att为广告advertisement的简写)。域多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本。
在域内按照职责划分组织单位(OU),即创建4个组织单位,分别是经理,文案写作人员,设计人员,客户经理,用于存储和管理专职人员的用户帐户、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理。
设置服务器IIS
一、对IIS的安装:
(1)准备好Windows 2000安装光盘,放置于光盘驱动器中。
(2)单击【开始】|【设置】|【控制面板】命令,打开【控制面板】窗口,然后再打开【添加/删除程序】对话框。
(3)单击【添加/删除 Windows组件】按钮,弹出【Windows组件向导】。我们将要安装的是“Internet信息服务(IIS)”。
(4)用鼠标选中“Internet信息服务(IIS)”,然后单击右下角的【详细信息】按钮。
为建立起动态交互Web网站,需要选择公用文件、文档、FrontPage2000服务扩展、Internet服务管理工具、Internet服务管理工具(HTML)、World WideWeb服务器这些组件。
下面为了能让我们网站提供强大上传下载功能或提供邮件列表功能,我们还需要文件传输协议(FTP)服务器、SMTP服务这些组件。
(5)确认所有必需的组件前都已打勾后,单击【确定】按钮,回到【添加/删除Windows组件】窗口,单击【下一步】按钮,这时安装程序开始从Windows安装光盘复制所需的文件到硬盘上。
(6)安装完成后,显示如图所示的成功安装信息,单击【完成】按钮,完成对IIS的安装。
二、对IIS的配置
成功安装IIS后,系统自动建立了两个默认的Web站点。下面进行IIS的配置:
(1)单击【开始】|【程序】|【管理工具】|【Internet服务管理器】命令,打开【Internet信息服务】窗口
(2)选择【默认Web站点】,单击鼠标右键,打开快捷菜单,选择【属性】,在打开的默点Web站点【属性】对话框中选择【Web站点】选项卡,设置IP地址。如果是内网,则使用分配给你的IP地址,我们这里是在配置内网使用的Web服务器,所指定的内网IP为10.10.10.100,WEB站点默认的端口号为80。
(3)切换到【主目录】选项卡,设置站点文件夹路径。把站点文件夹放到d:sd-web,通过【浏览】按钮,指定为本地路径。
(4)切换到【文档】选项卡,输入站点首页文件名,作为站点的启动文档。当浏览者访问站点时,首先打开这一页面。
(5)设置站点的目录安全性。匿名访问和验证控制功能,在这里选择允许匿名访问我的Web站点,可以让大家直接访问该目录的内容。
IP地址及域名限制功能,利用IP地址或域名来限制访问我的Web站点。
(6)服务器扩展选项
服务器扩展选项是设置服务器的一些重要选项,这里要改变的是性能项和客户脚本项。为了得到最佳的性能,将“性能”项改为少于100网页;而“客户脚本”设为VBScript。
(7)有关虚拟目录
我们将创建一个虚拟目录,把我们的的web站点放在虚拟目录中,使用虚拟目录相对比较安全,因为用户不知道文件实际上位于服务器的什么位置,甚至不能确定文件是否真的存在于该服务器上,所以便无法使用这些信息来对我的站点进行破坏。
局域网服务器配置
WWW和FTP
设置WWW服务器
可以将它的根目录设置到C:Inetpubwwwroot下操作:开始菜单→程序→管理工具→Internet服务管理器→Internet信息服务→windows2000 sever→默认Web站点→右键→属性。
其中:(1)“Web站点”中,“IP地址”选“192.168.0.1”。
(2)“主目录”中,“本地路径”填写:C:Inetpubwwwroot;或通过“浏览”完成对些目录的选择。
(3)“文档”中,可修改浏览器默认调用的文件名及调用顺序。
设置FTP服务器
FTP应用环境:windows域。
服务器系统:windows server 2000
解决问题:小型公司的日常办公文件高效、规范、可靠的安全存储。
用户需求:1、存储权限集中管理。
2、针对不通部门和员工级别设置不同的存储权限。
3、限制员工的存储空间,部门经理略高,总经理最大。
4、限制上传文件类型,只能存储办公文档(word、excel、PPT)
5、用户可以单点登陆,便捷访问。
6、高度的可靠性,7*24小时无故障存储。
文件夹权限设置
文件夹名 | 共享权限 | NTFS权限 |
D:software | Everyone读取 | Everyone读取 |
D:share | Everyone完全控制 | Everyone列出文件夹目录,总经理完全控制 |
D:share设计人员 | 无 | 全局组caiwu读取、本部门经理和总经理完全控制 |
D:share文案人员 | 无 | 全局组xiaoshou读取、本部门经理和总经理完全控制 |
D:share客户经理 | 无 | 全局组shichang读取、本部门经理和总经理完全控制 |
可以将它的根目录设置到C:Inetpubftproot下操作:默认FTP站点→右键→属性其中:(1)“FTP站点”中,“IP地址”选“192.168.0.1”。
(2)“安全帐号”中,选中“允许IIS控制密码”。
(3)“消息”中,“欢迎”处输入FTP连接成功后欲显示的话;“退出”处输入FTP断开时欲显示的话。
(4)“主目录”中,“本地路径”填写:C:Inetpubftproot;或通过“浏览”完成对些目录的选择。
FTP服务器的架设
目前FTP服务器作为文件的传输和共享工具得到广泛应用。FTP服务器在文件的传输上性能稳定,占用系统资源小,而且传输速度快,现在网上已经有很多的FTP服务器可供使用,而自己架设一个FTP服务器也很容易,我们采用的是IIS的架设方式
微软的IIS功能非常强大,它除了提供WWW服务之外,还提供FTP的服务,利用它一样很容易就能架设一个功能卓越的FTP服务器。
设置IIS来架设FTP服务器的几个步骤:
第一步:启动IIS,并启动IIS上的FTP服务。在默认的情况下,此时你的FTP服务器已经搭建好,并且可以立即登录,但是该FTP中没有任何文件。
第二步:鼠标右击IIS中的“默认FTP站点”项,选择“属性”菜单
第三步:选择“主目录”的标签,在FTP站点目录的“本地路径”处填上要设置的共享文件路径。默认情况下,此处的文件夹位置为“C:InetpubFtproot”,如果临时想改变共享目录,随时都可在此处修改,以后别人登录公司的FTP服务器时显示的文件列表就是在这个目录中。
第四步:在“主目录”的标签处,还可设置FTP服务器的文件访问权限,分别有读取、写入和日志访问,安全起见,这里的写入权限一般不选,保证匿名用户不能随意对公司的文件进行操作。
第五步:设置登录的用户。如果愿意提供“匿名”的访问权限,还需在“安全标签”处选择上“允许匿名连接。此外,还可从Windows系统帐号中选择FTP服务器的特殊帐号,当然也可以自己任意设置用户名和密码。
第六步:在“消息”标签处,有“欢迎”、“退出”和“最大连接数”3个输入框,分别代表别人在登录、退出时FTP服务器上给出的提示信息可根据公司的需要设置。此外,最大连接数是设置同时连接本地FTP的最大主机台数六台。
第七步:在“FTP站点”的标签处设置FTP标识,包括说明、IP地址和端口,这里一般不需要改动,按照默认选择即可。此外,在“C:WinntSystem32Logfiles”目录中还可以看到连接上FTP的IP、时间等日志信息。
此时,利用IE或者任何一款FTP的客户端软件即可登录公司架设好的FTP站点。
WWW服务器和FTP的访问途径
WWW的访问都可使用IE或其他浏览器来实现
直接利用IE登录FTP。现在我们正在使用的IE也可作为登录FTP的工具了,跟浏览网页一样,只需要将地址前面的HTTP改为FTP即可,例如访问自己的FTP,可以在浏览器中输入ftp://localhost,这时是匿名访问方式,如果用IE登录FTP时需用户名和密码,则可以右键调出登录的菜单,在对话框中输入用户名和密码即可。IE登录FTP服务器之后,FTP服务器上的文件跟本机上的文件一样,可以对其进行复制和粘贴等操作。
目录服务器的规划:因为有六台电脑,所以我们有设置六个账号和密码
服务器安装
建立第一个Web站点
比如本机的IP地址为192.168.0.1,自己的网页放在D:Wy目录下,网页的首页文件名为Index.htm,现在想根据这些建立好自己的Web服务器。
对于此Web站点,我们可以用现有的“默认Web站点”来做相应的修改后,就可以轻松实现。请先在“默认Web站点”上单击右键,选“属性”,以进入名为“默认Web站点属性”设置界面。
1.修改绑定的IP地址:转到“Web站点”窗口,再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。
2.修改主目录:转到“主目录”窗口,再在“本地路径”输入(或用“浏览”按钮选择)好自己网页所在的“D:Wy”目录。
3.添加首页文件名:转到“文档”窗口,再按“添加”按钮,根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。
4.添加虚拟目录:比如你的主目录在“D:Wy”下,而你想输入“192.168.0.1/test”的格式就可调出“E:All”中的网页文件,这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键,选“新建→虚拟目录”,依次在“别名”处输入“test”,在“目录”处输入“E:All”后再按提示操作即可添加成功。
5.效果的测试:打开IE浏览器,在地址栏输入“192.168.0.1”之后再按回车键,此时就能够调出你自己网页的首页,则说明设置成功!
添加更多的Web站点
1.多个IP对应多个Web站点如果本机已绑定了多个IP地址,想利用不同的IP地址得出不同的Web页面,则只需在“默认Web站点”处单击右键,选“新建→站点”,然后根据提示在“说明”处输入任意用于说明它的内容(比如为“我的第二个Web站点”)、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可;当建立好此Web站点之后,再按上步的方法进行相应设置。
2.一个IP地址对应多个Web站点当按上步的方法建立好所有的Web站点后,对于做虚拟主机,可以通过给各Web站点设不同的端口号来实现,比如给一个Web站点设为80,一个设为81,一个设为82……,则对于端口号是80的Web站点,访问格式仍然直接是IP地址就可以了,而对于绑定其他端口号的Web站点,访问时必须在IP地址后面加上相应的端口号,也即使用如“http://192.168.0.1:81”的格式。
很显然,改了端口号之后使用起来就麻烦些。如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址,则用设不同“主机头名”的方法,可以让你直接用域名来完成对不同Web站点的访问。
比如你本机只有一个IP地址为192.168.0.1,你已经建立(或设置)好了两个Web站点,一个是“默认Web站点”,一个是“我的第二个Web站点”,现在你想输入“www.enanshan.com”可直接访问前者,输入“www.popunet.com”可直接访问后者。其操作步骤如下:
请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上;并确保所有的Web站点的端口号均保持为80这个默认值。
再依次选“默认Web站点→右键→属性→Web站点”,单击“IP地址”右侧的“高级”按钮,在“此站点有多个标识下”双击已有的那个IP地址(或单击选中它后再按“编辑”按钮),然后在“主机头名”下输入“www.enanshan.com”再按“确定”按钮保存退出。
接着按上步同样的方法为“我的第二个Web站点”设好新的主机头名为“www.popunet.com”即可。
最后,打开你的IE浏览器,在地址栏输入不同的网址,就可以调出不同Web站点的内容了。
3.多个域名对应同个Web站点
你只需先将某个IP地址绑定到Web站点上,再在DNS服务器中,将所需域名全部映射向你的这个IP地址上,则你在浏览器中输入任何一个域名,都会直接得到所设置好的那个网站的内容。
对服务的远程管理
1.在“管理Web站点”上单击右键,选“属性”,再进入“Web站点”窗口,选择好“IP地址”。
2.转到“目录安全性”窗口,单击“IP地址及域名限制”下的“编辑”按钮,点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理;最后单击“确定”按钮。
3.则在任意计算机的浏览器中输入如“http://192.168.0.1:3598”(3598为其端口号)的格式后,将会出现一个密码询问窗口,输入管理员帐号名(Administrator)和相应密码之后就可登录成功,现在就可以在浏览器中对IIS进行远程管理了!在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。
打印机的安装
1、开始——设置——打印机——添加打印机。
2、出现“欢迎使用添加打印机向导”对话框——单击“下一步”。
3、选取“本地打印机”——选取打印设备所连接的端口,一般都是连接在LPT1端口 ——单击“下一步”。
4、选取“打印机制造商”和“打印机型号”——单击“下一步”。
5、输入“打印机名”——单击“下一步”。
6、出现“打印机共享”对话框,若想让其它用户使用打印机请将此共享,并设备共 享名,否则“下一步”。
7、出现的打印机位置和注释等一些说明性文字。
8、询问是打印打印机测试页,单击“是”——“下一步”。
将现在有打印机设为共享打印机:
开始——设置——打印机——打印机名——鼠标右键——共享——确定。
安装其他操作系统所需要的打印机驱动程序
开始——设置——打印机——打印机名——鼠标右键——属性——共享——其他驱动程序——选定所需打印机驱动程序——确定。
打印机共享
第一步:将打印机连接至主机,打开打印机电源,通过主机的“控制面板”进入到“打印机和传真”文件夹,在空白处单击鼠标右键,选择“添加打印机”命令,打开添加打印机向导窗口。选择“连接到此计算机的本地打印机”,并勾选“自动检测并安装即插即用的打印机”复选框。
第二步:此时主机将会进行新打印机的检测,很快便会发现已经连接好的打印机,根据提示将打印机附带的驱动程序光盘放入光驱中,安装好打印机的驱动程序后,在“打印机和传真”文件夹内便会出现该打印机的图标了。
第三步:在新安装的打印机图标上单击鼠标右键,选择“共享”命令,打开打印机的属性对话框,切换至“共享”选项卡,选择“共享这台打印机”,并在“共享名”输入框中填入需要共享的名称,例如CompaqIJ,单击“确定”按钮即可完成共享的设定。
打印机使用注意事项
1.万一打印机产生发热,冒烟,有异味,有异常声音等情况,请马上切断电源与信息人员联系。
2.打印机上禁止放其它物品。打印机长时间不用时,请把电源插头从电源插座中拔出。
3.为防万一,当附近打雷时,将电源插头从插座中拔出。如果插着的话,有可能机器受到损坏。
4.打印纸及色带盒未设置时,禁止打印。打印头和打印辊会受到损伤。
5.打印头处于高温状态。在温度下降之前禁止接触。防止烫伤,受伤。
6.请勿触摸打印电缆接头及打印头的金属部分。打印头工作的时候,不可触摸打印头。
7.打印头工作的时候,禁止切断电源。
8.请不要随意拆卸、搬动、拖动,如有故障,请与信息人员联系。
9.禁止异物(订书针,金属片,液体等)进入本机,否则会造成触电或机器故障。
10.在确保打印机电源正常、数据线和计算机连接时方可开机。
11.打印机在打印的时候请勿搬动、拖动、关闭打印机电源。
12.对于打印同样重复的档,请不要超过5份,超过5份时应拿到前台复印机上复印。
13.在打印量过大时,应让打印量保持在30份以内使打印机休息5-10分钟,以免打印机过热而损坏。
14.在打印档的时候,不允许使用厚度过高(超过80g)的纸、不允许使用有皱纹、折叠过的纸。
15.如打印机在出现严重物理损坏、人为损坏或不按上述操作规范而使打印机损坏时将会追究其责任人。
打印机的简单故障处理
打印机不进纸时的简单故障处理
1,打开顶盖,把打印头拨到最左边,按住面板三个键开机,听到响声后,将顶盖盖上。
2.连续按两下ST1键,等听到蜂鸣声的时候,将A4纸放进去,按ST2键一下,A4纸进取后,又出来。
3.等A4纸出来后,再重新放入机器,此时,打印机就会打印一组参数出来。
4.重新启动PR2E存折打印机。
打印机维护与保养
打印机是办公设备重要的一类,提倡主动维修,使机器的停机时间处于最小,从而获得最佳使用效率和价值。复印机、打印机、传真机、证卡机等等……是集光学、机械、电子技术为一体的精密办公设备,通过使用颗小的静电墨粉,利用静电原理,在感光材料上形成静电潜像,使微小的墨粉附在感光材料上,再将其转印到纸上从而得到需要副本。这个工序是利用静电的特性进行的。因此,在机器内部的传动部件、光学部件以及高压部件上容易附着纸屑、漂浮的墨粉等,但这些的存在只会影响复印的质量。若放任不管,会增加机器的驱动负荷,妨碍热量的排除,说不定也可能是造成机器故障的原因。
DNS务器
公司因为上网人员只有6人,所以
首先将服务器安装windows2000 sever和PC机分别为A、B、C、D、E、F
工作组都为WORKGROUP,均安装windows 2000 professional版本
在自带的服务管理里面有.
选择配置服务器,DNS服务器,有关DNS服务器直接安装在WINDOWS 2000 SERVER上即可,系统默认就是自动获取DNS服务器地址。
并且,因为公司涉及上网人数较少,所以DNS服务器不需二级、三级域名。
用DHCP服务器有效管理局域网
需要用到DHCP服务(动态主机配置协议),来动态处理客户端的IP地址配置
公司最多6人同时上线,采用固定网络参数。所以,我们选择了普通的C类局域网私有IP地址 网段192.168.1.2——192.168.1.21。把前面15个留给固定网络参数的用户,并预留192.168.1.17——192.168.1.21这段IP地址不作为DHCP分配用。这样就不会抢占固定用户网络的IP地址,避免了IP地址冲突的发生。
网络安全
在当今网络化的世界中,计算机信息和资源很容易遭到各方面的攻击。一方面,来源于Internet,Internet给企业网带来成熟的应用技术的同时,也把固有的安全问题带给了企业网;另一方面,来源于企业内部,因为是企业内部的网络,主要针对企业内部的人员和企业内部的信息资源,因此,企业网同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如数据被人窃取、服务器不能提供服务等等。因此我们公司为万通网络公司制定了一些网络安全防范措施。
一.网络安全技术
1.VLAN(虚拟局域网)技术
选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
2.网络分段技术
企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接人以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
3.硬件防火墙技术
任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
4.入侵检测技术
入侵检测方法较多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。病毒检测技术:可以在防火墙、代理服务器或网络服务器上安装病毒过滤软件,或者在企业局域网上安装网络版杀毒软件,检查和清除病毒。
5.加密技术
网络数据的加密技术可以分为3类,即对称型加密、不对称型加密和不可逆加密,其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密算法相当可观,所以通常在数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加。
6.VPN(虚拟专网)技术`
VPN技术的核心是采用隧道技术,将内部网络的数据加密封装后,通过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP网、帧中继网或ATM网上建立,网络用户通过Internet等公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建设周期、投入资金和维护费用却大大降低,同时还为远程用户和移动用户提供了安全的网络接人。
7.系统备份和恢复技术
防范手段不可能设计得面面俱到,突发性事件会给计算机系统带来不可预知的灾难。因此,必须建立系统的备份与恢复,以便在灾难发生后保障计算机系统正常运行。备份方案有多种类型,其最终目标是保证系统连续运行,其中网络通信、主机系统、业务数据是保证系统连续运行不可缺少的环节,在选择备份方案时应把对数据的备份作为重点。日常备份制度是系统备份方案的具体实施细则,在制定完毕后,应严格按照制度进行日常备份,否则将无法达到备份方案的目标。系统备份不仅备份系统中的数据,还要备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息。
二.制定安全策略的原则
所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。虽然网络的具体应用环境不同,但我们在制定安全策略时应遵循一些总的原则。
1.适应性原则:安全策略是在一定条件下采取的安全措施。我们制定的安全策略必须是和网络的实际应用环境相结合的。通常,在一种情况下实施的安全策略到另一环境下就未必适合。例如:校园网环境就必须允许匿名登录,而一般的企业网络的安全策略不允许匿名登录。
2.动态性原则:安全策略又是在一定时期采取的安全措施。由于用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的、持续不断的,所以制定的安全措施必须不断适应网络发展和环境的变化。
3.简单性原则:网络用户越多,网络管理人员越多,网络拓扑越复杂,采用网络设备种类和软件种类越多,网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性就越大,出现安全问题后找出问题原因和责任者的难度就越大。安全的网络是相对简单的网络。例如:最不安全的网络可以说是Internet。
4.系统性原则:网络的安全管理是一个系统化的工作,必须考虑到整个网络的方方面面。也就是在制定安全策略时,应全面考虑网络上各类用户、各种设备、各种情况,有计划有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低。
三.安全策略
1. 网络规划时的安全策略
网络的安全性最好在网络规划阶段就要考虑进去,一些安全策略在网络规划时就要实施。
明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体。对于小型网络来说网络管理员可以是网络安全责任人。
0+网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度)。对小型的局域网最好将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。
网络规划应考虑容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障。我们的网络应允许网络出现的一些故障,并且可以很快从灾难中恢复。网络的主备份系统应位于中心机房。
如果你的网络与Internet有固定连接(静态的IP地址),只要资金允许最好在网络和Internet之间安装防火墙。
网络使用代理服务器访问Internet。不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
2.网络管理员的安全策略
对于小型网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。
网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些,它在哪儿,哪些人使用,属于哪些人,丢失或泄密会造成怎样的损失。这些重要数据集中至位于中心机房的务器上,置于有安全经验的专人管理之下。
定期对各类用户进行安全培训。
服务器上只安装NT。不要安装Windows9x和DOS,确保服务器只能从NT启动。
服务器上所有的卷全部使用NTFS。
使用最新的Service Pack升级你的NT。
设置服务器的BIOS,不允许从可移动的存储设备(软驱、光驱、ZIP、SCIS设备)启动。确保服务器从NT启动置于NT安全机制管理之下。
通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。
取消服务器上不用的服务和协议种类。网络上的服务和协议越多安全性越差。
将服务器注册表HKEY_LOCAL_ MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。
不要将服务器的Windows NT设置为自动登录,应使用NT Security对话框(Ctrl+Alt+Del)注册。
C/S软件的服务器端如果是用户模式运行的(即需要从服务器端登录),用NT Resource Kit中的Autoexnt将设为启动时自动运行形式。
系统文件和用户数据文件分别存储在不同的卷上。方便日常的安全管理和数据备份。
修改默认“Administrator”用户名,加上“强口令”(多于10个字符且必须包括数字和符号),最好再创建一个具有“强口令”的管理员特权的账号,使网络管理员账号不易被攻破。
管理员账号仅用于网络管理,不要在任何客户机上使用管理员账号。对属于Administrator组和备份组的成员用户要特别慎重。
记住口令文件保存在\WINNT SYSTEM32CONFIG目录的SAM文件中,\WINNTREPAIR目录中有SAM备份。对SAM文件写入、更改权限等进行审计。
鼓励用户将数据保存到服务器上。DOS和Windows9x客户机没有NT提供的安全性,所以不建议用户在本地硬盘上共享文件。
限制可以登录到有敏感数据的服务器的用户数。这样在出现问题时可以缩小怀疑范围。
利用Windows9x的“系统策略编辑器”建立策略文件,存入服务器,控制的Windows9x客户机的注册表。建议打开计算机策略中的“需要使用Network for WindowsAccess进行验证”、“登录到WindowsNT”/“禁用域口令缓冲”,控制Windows9x用户必须首先注册到网上。这样可以防止用户通过“放弃”使用Windows9x降低客户机安全。
通过“系统策略编辑器”可以进一步控制一般用户或组在Windows9x客户机上的行为。
不允许一般用户在服务器上拥有除读/执行以外的权限。NT本身不支持用户空间限制,这一点对校园网安全特别重要。
限制Guest账号的权限,最好不允许使用Guest账号。不要在Everyone组增加任何权限,因为Guest也属于该组。
一般不直接给用户赋权,而通过用户组分配用户权限。
新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成口令的不低于6个字符,杜绝安全漏洞。
至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计,但不要忘了过多的审计将影响系统性能。
3.针对提供Internet访问服务网络的策略
25.文件服务器不与Internet直接连接,设专用代理服务器;不允许客户机通过Modem连到Internet,形成在防火墙内的连接。
26.可以利用“TCP/IP安全”对话框,关闭Internet上机器不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。
27.可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。
28.对只提供内部访问的服务器和客户机可以采用非TCP/IP协议实现连接,这样可以隔离Internet访问。
29.利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。
4.以下的策略针对提供远程访问服务情况
30.不允许除NT的RAS以外的机器应答远程访问请求。最好设专门的远程访问服务器,并将该服务器置于中心机房。
31.对于偶尔使用远程访问可以采用人工控制RAS服务的启动和停止。
32.对固定的用户最好采取回叫的方式实现远程连接。
33.通过RAS服务器的IP地址分配,限制远程用户的IP地址,进而利用防火墙控制和隔离远程访问客户。
34.对于远程访问的口令采取某种加密鉴别(如:MS-CHAP),以保证用户口令在远程线路上安全传送。
5.网络用户的安全策略
网络的安全不仅仅是网络管理员的事,网络上的每一个用户都有责任。网络用户应该了解下列安全策略:
用一个长且难猜的口令。不要将自己的口令告诉任何人。
清楚自己私有数据存储的位置,知道如何备份和恢复。
定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既较安全又方便了他人随时使用文件。
设置客户机的BIOS,不允许从软驱启动。
通过“系统策略编辑器/注册表编辑器”控制在Windows9x工作站上“不显示最后一次登录的用户名”和“禁止使用口令缓存”。防止口令从缓存中被获取和最后一次登录的用户被利用。
设置有显示的(即非黑屏,防止误认为关机)屏幕保护,并且加上口令保护。
当你较长时间离开机器时一定要退出网络。
安装启动时病毒扫描软件。虽然绝大多数病毒对NT服务器不构成威胁,但会通过NT网在客户端很快传播开来。
6.Internet有权用户需要了解的安全策略
由于Internet是在网络外部的,访问Internet有可能将机器至于不安全的环境,需要在上述安全策略基础上进一步采取下述的安全策略:
确认你的机器没有安装“文件和打印机共享”服务。因为Internet上的黑客,有机会通过这个服务获取和共享文件,从而可能造成对局部数据及网络安全的威胁。
不要通过Modem直接连接Internet。
不要下载安装未经安全认证的软件和插件。
WEB页面中的ActiveX,Java小应用、脚本可能泄漏你的秘密,可以禁止其在浏览。
1、防火墙技术
“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关( ScurityGateway),而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有二类,标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站,该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(DualHome Gateway) 则是标准防火墙的扩充,又称堡垒主机(Bation Host) 或应用层网关(ApplicationsLayerGateway),它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着防火墙技术的进步,双家网关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。
2、数据加密技术
与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
(1)数据传输加密技术
目的是对传输中的数据流加密,常用的方针有线路加密和端——端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,被将自动重组、解密,成为可读数据。
2)数据存储加密技术
目是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
(1)数据传输加密技术
目的是对传输中的数据流加密,常用的方针有线路加密和端——端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,被将自动重组、解密,成为可读数据。
2)数据存储加密技术
目是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
(3)数据完整性鉴别技术
目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
(4) 密钥管理技术
为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
3、智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋与它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的网络安全和数据保护达些防范措施都有一定的限度,并不是越安全就越可靠。因而,在看一个内部网是否安全时不仅要考察其手段,而更重要的是对该网络所采取的各种措施,其中不光是物理防范,还有人员的素质等其他“软”因素,进行综合评估,从而得出是否安全的结论。
拒绝服务攻击是最常见的一类网络攻击类型。在这一攻击原理下,他又派生了许多种不同的攻击方式。正确了解这些不同的拒绝攻击方式,就能为正确、系统地为自己所在企业部署完善的安全防护系统。
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。要有效的进行反攻击,首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的拒绝服务攻击原理进行简要分析,并提出相应的对策。
四.拒绝服务攻击和防御
1.死亡之Ping(Ping ofdeath)攻击
由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB以内。在对ICMP数据包的标题头进行读取之后,是根据该标题头里包含的信息来为有效载荷生成缓冲区。当大小超过64KB的ICMP包,就会出现内存分配错误,导致TCP/IP堆栈崩溃,从而使接受方计算机宕机。这就是这种“死亡之Ping”攻击的原理所在。根据这一攻击原理,黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包,就可使目标计算机的TCP/IP堆栈崩溃,致使接受方宕机。
防御方法:目前所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力,并且大多数防火墙能够通过对数据包中的信息和时间间隔分析,自动过滤这些攻击。视窗系统98、视窗系统 NT 4.0(SP3之后 )、视窗系统 2000/XP/Server 2003、Linux、Solaris和MacOS等系统都已具有抵抗一般“Ping ofdeath”拒绝服务攻击的能力。此外,对防火墙进行设置,阻断ICMP及所有未知协议数据包,都能防止此类攻击发生。
2.泪滴(teardrop)攻击
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的需求。比如,一个6000字节的IP包,在MTU为2000的链路上传输的时候,就需要分成三个IP包。在IP报头中有一个偏移字段和一个拆分标志(MF)。如果MF标志设置为1,则表面这个IP包是个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断中偏移字段的值依次为:0,2000,4000。这样接收端在全部接收完IP数据包后,就能根据这些信息重新组装这几个分次接收的拆分IP包。在这里就又一个安全漏洞能利用了,就是如果黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试,这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。
泪滴攻击利用修改在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些操作系统(如SP4以前的视窗系统NT 4.0)的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。
防御方法:尽可能采用最新的操作系统,或在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上能设置当出现重叠字段时所采取的规则。
3.TCP SYN洪水(TCP SYNFlood)攻击
TCP/IP栈只能等待有限数量ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。
TCPSYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。由于黑客们发送请示的IP地址是伪造的,所以确认信息也不会到达所有计算机,当然也就不会有所有计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当达到一定数量的等待连接后,缓区部内存资源耗尽,从而开始拒绝接收所有其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的。
防御方法:在防火墙上过滤来自同一主机的后续连接。不过“SYN洪水攻击”还是非常令人担忧的,由于此类攻击并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。防火墙的具体抵御TCPSYN洪水攻击的方法将在本书的第三章最后有周详介绍。
4.Land攻击
这类攻击中的数据包源地址和目标地址是相同的,当操作系统接收到这类数据包时,不知道该怎么处理,或循环发送和接收该数据包,以此来消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
防御方法:这类攻击的检测方法相对来说比较容易,因为他能直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当地设置防火墙设备或包过滤路由器的包过滤规则。并对这种攻击进行审计,记录事件发生的时间,源主机和目标主机的MAC地址和IP地址,从而能有效地分析并跟踪攻击者的来源。
5.Smurf 攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP地址,然后由网络上所有的路由器广播需求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知地址的合法请求,因此网络中的所有系统向这个地址做出回答,最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这也就达到了黑客们追求的目的了。这种Smurf攻击比起前面介绍的“Ping ofDeath”洪水的流量高出一至两个数量级,更容易攻击成功。更有些新型的Smurf攻击,将源地址改为第三方的受害者(不再采用伪装的IP地址),最终导致第三方雪崩。
防御方法:关闭外部路由器或防火墙的广播地址特性,并在防火墙上设置规则,丢弃掉ICMP协议类型数据包。
6.Fraggle攻击
Fraggle攻击只是对Smurf攻击作了简单的修改,使用的是UDP协议应答消息,而不再是ICMP协议了(因为黑客们清晰UDP协议更加不易被用户全部禁止)。同时Fraggle攻击使用了特定的端口(通常为7号端口,但也有许多使用其他端口实施Fraggle攻击的),攻击和Smurf攻击基本类似,不再赘述。
防御方法:关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文,或屏蔽掉一些常被黑客们用来进行Fraggle攻击的端口。
7.电子邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台计算机不断地向同一地址发送大量电子邮件来达到攻击目的,此类攻击能够耗尽邮件接受者网络的带宽资源。
防御方法:对邮件地址进行过滤规则设置,自动删除来自同一主机的过量或重复的消息。
方案小结
该方案是本公司根据企业需求分析以及SWOT分析,建设的一个小型局域网。组建成一个局域网总共花费10万元左右的人民币。当然为了做好后期网络维护工作,我公司决定投资30万元在局域网组建与维护方面。
该方案从企业需求分析、建设目标与规划、拓扑结构、网络配件以及企业SWOT分析方面来考虑如何组建局域网。其中建设目标与规划,拓扑结构分析以及硬件设备的选择则是我们组建局域网的侧重的方面。同时我们还写出了具体的组网过程。该方案本着经济,实用的原则,综合各种因素,为华威电器有限公司搭建了一个实用性,经济型的局域网。
