
萬通網(wǎng)絡(luò)廣告公司組網(wǎng)方案
目錄
項(xiàng)目需求... 2
實(shí)現(xiàn)功能... 2
一、對外實(shí)現(xiàn)功能... 2
二、內(nèi)部實(shí)現(xiàn)功能... 3
企業(yè)網(wǎng)辦公功能... 3
一、 數(shù)據(jù)共享... 3
二、 報(bào)文傳遞... 3
三、決策信息支持... 3
企業(yè)網(wǎng)管理功能... 4
一、實(shí)時(shí)控制與監(jiān)督... 4
二、網(wǎng)絡(luò)安全與管理... 4
拓?fù)鋱D... 4
建設(shè)目標(biāo)與規(guī)劃... 5
網(wǎng)絡(luò)廣告的目標(biāo)... 5
網(wǎng)絡(luò)廣告公司的規(guī)劃... 5
一、確定需求:. 5
二、確定網(wǎng)絡(luò)設(shè)備... 6
三、局域網(wǎng)類型... 6
四、局域網(wǎng)的網(wǎng)絡(luò)分布架構(gòu)... 6
五、局域網(wǎng)布線方案設(shè)計(jì)... 6
六、局域網(wǎng)操作系統(tǒng)和服務(wù)器... 7
七、局域網(wǎng)服務(wù)設(shè)施... 7
八、網(wǎng)絡(luò)應(yīng)用需求... 7
九、綜合考慮因素... 7
SWOT分析... 8
競爭優(yōu)勢... 8
競爭劣勢... 8
競爭機(jī)會... 8
競爭威脅... 8
總結(jié)分析... 9
設(shè)備清單... 9
內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的組建:... 11
局域網(wǎng)測試... 11
活動目錄... 12
一、項(xiàng)目背景... 12
二、需求分析... 12
三、項(xiàng)目規(guī)劃... 12
設(shè)置服務(wù)器IIS. 13
一、對IIS的安裝:... 13
局域網(wǎng)服務(wù)器配置... 14
設(shè)置WWW服務(wù)器... 14
設(shè)置FTP服務(wù)器... 15
WWW服務(wù)器和FTP的訪問途徑... 16
服務(wù)器安裝... 17
建立第一個Web站點(diǎn)... 17
添加更多的Web站點(diǎn)... 17
對服務(wù)的遠(yuǎn)程管理... 18
打印機(jī)的安裝... 18
安裝其他操作系統(tǒng)所需要的打印機(jī)驅(qū)動程序... 19
打印機(jī)共享... 19
打印機(jī)使用注意事項(xiàng)... 19
打印機(jī)的簡單故障處理... 20
打印機(jī)維護(hù)與保養(yǎng)... 20
DNS務(wù)器... 20
用DHCP服務(wù)器有效管理局域網(wǎng)... 21
網(wǎng)絡(luò)安全... 21
1、防火墻技術(shù)... 26
2、數(shù)據(jù)加密技術(shù)... 26
3、智能卡技術(shù)... 28
方案小結(jié)... 31
項(xiàng)目需求
企業(yè)名稱:萬通網(wǎng)絡(luò)廣告公司
員工人數(shù):9人
企業(yè)部門:總經(jīng)理:一人
策劃部:設(shè)計(jì)一人,文案一人
客服部:業(yè)務(wù)員五人
財(cái)務(wù)部:出納員一人兼內(nèi)勤
建設(shè)資金:十萬
實(shí)現(xiàn)功能
一、對外實(shí)現(xiàn)功能
建立企業(yè)網(wǎng)站介紹企業(yè)信息,打造企業(yè)形象、利用互相網(wǎng)獨(dú)有宣傳方式與優(yōu)勢(低成本、高效益),增加市場宣傳軌道,擴(kuò)大行業(yè)影響力。
客戶可以到網(wǎng)站訪問,查閱企業(yè)信息,根據(jù)需要與本公司聯(lián)系,網(wǎng)站同時(shí)通過提供優(yōu)質(zhì)的客戶服務(wù),使客戶可以通過網(wǎng)站的查詢服務(wù)功能跟蹤并了解客戶對其滿意程度,提升客戶對公司的信任度,讓客戶滿意公司的服務(wù),提高企業(yè)服務(wù)檔次。
通過網(wǎng)站建立在線反饋與在線調(diào)查, 加強(qiáng)企業(yè)與外界的聯(lián)系,充分利用客戶的資源為企業(yè)獻(xiàn)策。
建立客戶檔案系統(tǒng),根據(jù)系統(tǒng)建立穩(wěn)定可靠的管理制度,讓公司高層可以實(shí)時(shí)通過管理系統(tǒng)監(jiān)控公司的客戶與業(yè)務(wù)情況,保證客戶不因業(yè)務(wù)人員的流動而流失。
二、內(nèi)部實(shí)現(xiàn)功能
資源共享功能:網(wǎng)絡(luò)內(nèi)的各個桌面用戶可共享數(shù)據(jù)庫,實(shí)現(xiàn)辦公自動化系統(tǒng)中的各項(xiàng)功能。
通信服務(wù)功能:最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問。
多媒體功能: 支持多媒體組播,具有卓越的服務(wù)質(zhì)量保證功能。
遠(yuǎn)程VPN撥入訪問功能:系統(tǒng)支持遠(yuǎn)程PPTP接入,外地員工可利用INTERNET遠(yuǎn)程訪問公司資源。
企業(yè)網(wǎng)辦公功能
一、 數(shù)據(jù)共享
業(yè)務(wù)相關(guān)部門(客戶部,策劃部,財(cái)務(wù)部)之間可以共享有關(guān)數(shù)據(jù)。對于重要數(shù)據(jù),要通過權(quán)限的設(shè)置,只有賦予一定權(quán)限的單位或部門才能使用和訪問,不能超越權(quán)限使用。
二、 報(bào)文傳遞
有關(guān)資料、圖紙或從外部網(wǎng)絡(luò)發(fā)來的傳真、電子郵件可以通過網(wǎng)絡(luò)傳遞;領(lǐng)導(dǎo)可以在網(wǎng)絡(luò)上審批文件,又稱為電子簽名。在外工作人員可以通過此功能與企業(yè)總部實(shí)現(xiàn)信息交流,實(shí)現(xiàn)無紙辦公。
三、決策信息支持
通過網(wǎng)絡(luò)可以隨時(shí)查詢國際、國內(nèi)市場及相關(guān)信息。企業(yè)內(nèi)的“中心信息庫”可以保存和管理全公司各方面的資料和信息,并保存為HTML格式,供企業(yè)的有效站點(diǎn)瀏覽、查詢有關(guān)信息和資料。
企業(yè)網(wǎng)管理功能
一、實(shí)時(shí)控制與監(jiān)督
一些部門訪問機(jī)要部門被控制,上班期間電腦訪問受限。企業(yè)總部或客戶,業(yè)務(wù)員也可以通過網(wǎng)絡(luò)隨時(shí)向上級匯報(bào)工作。
二、網(wǎng)絡(luò)安全與管理
專業(yè)的網(wǎng)絡(luò)管理是工作人員負(fù)責(zé)網(wǎng)系統(tǒng)的運(yùn)行和數(shù)據(jù)安全、數(shù)據(jù)備份等工作,對業(yè)務(wù)應(yīng)用人員進(jìn)行權(quán)限設(shè)定和網(wǎng)絡(luò)設(shè)備的管理、維護(hù)工作。
拓?fù)鋱D
建設(shè)目標(biāo)與規(guī)劃
網(wǎng)絡(luò)廣告的目標(biāo)
隨著網(wǎng)絡(luò)廣告越來越多的被企業(yè)所認(rèn)同,不少企業(yè)都邁入了網(wǎng)絡(luò)廣告的領(lǐng)域。但是,對于不同的企業(yè)不同階段在進(jìn)行網(wǎng)絡(luò)廣告時(shí),側(cè)重會有不少區(qū)別。
四個目標(biāo):一、建立品牌 許多廣告主漸漸從“產(chǎn)品營銷”的模式走向“品牌營銷”之路。網(wǎng)絡(luò)廣告已經(jīng)被證明在建立品牌上效果甚佳,它能促使消費(fèi)大眾對廣告主的品牌或服務(wù)產(chǎn)生相當(dāng)認(rèn)同。
二、搜集名單
幾乎所有廣告主都希望建立有效的顧客名單或潛在消費(fèi)者的名單,以便進(jìn)行進(jìn)一步的營銷活動。
三、執(zhí)行銷售 廣告的最終目的多半是增加產(chǎn)品銷售量,但是通過傳統(tǒng)媒體廣告所增加的銷售量幾乎無法評估,因?yàn)閺V告與銷售的動作通常無法一氣呵成。就像收集潛在顧客名單一樣,網(wǎng)絡(luò)的互動性使廣告主有機(jī)會借所謂的“電子商務(wù)”機(jī)制讓消費(fèi)者直接在互聯(lián)網(wǎng)上交易。
四、吸引瀏覽者網(wǎng)絡(luò)廣告吸引瀏覽者的方式有二:
一是吸引網(wǎng)友到廣告主的網(wǎng)站造訪,
二是吸引消費(fèi)者到廣告主的零售點(diǎn)去參觀選購。
網(wǎng)絡(luò)廣告公司的規(guī)劃
一、確定需求:
(1)作為9人的小型辦公環(huán)境來說,最多的就是文件資料的傳遞和共享訪問互聯(lián)網(wǎng)的應(yīng)用;網(wǎng)絡(luò)帶寬要求不是很高,聯(lián)網(wǎng)設(shè)備的選擇上可以考慮夠用就行的原則;而共享互聯(lián)網(wǎng),申請ADSL寬帶也能足夠應(yīng)付。目前寬帶服務(wù)提供商針對小型辦公網(wǎng)絡(luò)用戶提供了多種資費(fèi)可供選擇,價(jià)格也相當(dāng)實(shí)惠。
(2)規(guī)模及規(guī)劃:作為一家小型的網(wǎng)絡(luò)廣告公司,為了實(shí)現(xiàn)其基本的功能,初步規(guī)劃公司投入10萬元,建設(shè)時(shí)間估計(jì)在一個月左右,建設(shè)運(yùn)行后達(dá)到企業(yè)初級網(wǎng)絡(luò)。隨著業(yè)務(wù)的不斷拓展,規(guī)模會不斷擴(kuò)大.
(3)組網(wǎng)方式:實(shí)現(xiàn)局域網(wǎng)到互聯(lián)網(wǎng)的共享訪問,而且考慮到成本問題,所以這里采用“ADSLModem+寬帶路由器+交換機(jī)+客戶機(jī)”的模式。寬帶路由器就相當(dāng)于一臺共享上網(wǎng)服務(wù)器,客戶機(jī)通過這臺“共享上網(wǎng)服務(wù)器”即可實(shí)現(xiàn)互聯(lián)網(wǎng)共享。
二、確定網(wǎng)絡(luò)設(shè)備
根據(jù)前面確定的網(wǎng)絡(luò)模式,需要添置的網(wǎng)絡(luò)設(shè)備主要為寬帶路由器和交換機(jī)。因?yàn)锳DSLModem在安裝寬帶時(shí)服務(wù)商會免費(fèi)提供,而網(wǎng)卡一般計(jì)算機(jī)都已自帶,當(dāng)然還需要支持10/100M自適應(yīng)適度的網(wǎng)線,來將所有的網(wǎng)絡(luò)設(shè)備與計(jì)算機(jī)相
寬帶路由器:為了獲得良好的共享速度及穩(wěn)定的性能,我們選擇了合適的寬帶路由器
(2)交換機(jī):為局域網(wǎng)的升級留有一定的剩余端口,我們選擇了24口交換機(jī):DES-1024R。這是一款具有高靈活性的非網(wǎng)管10/100Mbps工作組交換機(jī),能夠無縫地集成10BASE-T和100BASE-TX的設(shè)備,使之共處于一個網(wǎng)絡(luò)內(nèi)而無須更改網(wǎng)絡(luò)結(jié)構(gòu);為普通辦公網(wǎng)絡(luò)提供了一種經(jīng)濟(jì)、有效的快速以太網(wǎng)解決方案。
三、局域網(wǎng)類型
目前在局域網(wǎng)建設(shè)中,由于以太網(wǎng)性能優(yōu)良、價(jià)格低廉、升級和維護(hù)方便,結(jié)合公司的規(guī)模,所以我們選擇百兆位以太網(wǎng)。
四、局域網(wǎng)的網(wǎng)絡(luò)分布架構(gòu)
(1)因?yàn)楣臼切⌒偷木钟蚓W(wǎng),在設(shè)計(jì)上常常分為核心層和接入層兩層考慮,物理上使用一組或一臺交換機(jī)連接所有的入網(wǎng)節(jié)點(diǎn)即可。
(2)局域網(wǎng)的帶寬:一般而言,百兆位以太網(wǎng)足能夠滿足網(wǎng)絡(luò)數(shù)據(jù)流量不是很大的中小型局域網(wǎng)的需要,所以我們?yōu)榘僬孜灰蕴W(wǎng)。
(3)網(wǎng)絡(luò)主干設(shè)備:考慮到公司的類型,我們的局域網(wǎng)的網(wǎng)絡(luò)核心層設(shè)備選擇具備二層交換功能的高性能主干交換機(jī),若以后公司規(guī)模擴(kuò)大,可選擇具備第三層交換機(jī)功能的高性能交換機(jī),分布層或接入層的網(wǎng)絡(luò)設(shè)備類型,選擇普通交換機(jī)即可。
五、局域網(wǎng)布線方案設(shè)計(jì)
作為一家小型的網(wǎng)絡(luò)廣告公司,我們采用星型的拓?fù)浣Y(jié)構(gòu)。因?yàn)榻尤刖钟蚓W(wǎng)的節(jié)點(diǎn)計(jì)算機(jī)不多,我們采用從一個接入層節(jié)點(diǎn)直接連接所有入網(wǎng)節(jié)點(diǎn)的設(shè)計(jì)。
六、局域網(wǎng)操作系統(tǒng)和服務(wù)器
網(wǎng)絡(luò)操作系統(tǒng):根據(jù)公司局域網(wǎng)的規(guī)模、所采用的應(yīng)用軟件、網(wǎng)絡(luò)技術(shù)人員與管理的水平、網(wǎng)絡(luò)建設(shè)機(jī)構(gòu)的投入等多種因素,我們采用微軟公司的Windows 2000系統(tǒng)
服務(wù)器:因?yàn)槭欠?wù)于六臺計(jì)算機(jī)的小型局域網(wǎng),數(shù)據(jù)流量不大,所以工作組級的服務(wù)器基本上就可以滿足要求。
七、局域網(wǎng)服務(wù)設(shè)施
一個局域網(wǎng)建成后能夠正常運(yùn)行,還需要相應(yīng)服務(wù)設(shè)施支持。為了保障小型局域網(wǎng)服務(wù)器的安全運(yùn)行,我們還配備了不間斷電源設(shè)備。
八、網(wǎng)絡(luò)應(yīng)用需求
在建成的小型局域網(wǎng)后,達(dá)到數(shù)據(jù)共享的功能,且有足夠的寬帶保證,能夠正常傳輸圖片、圖像、動畫等。
九、綜合考慮因素
1、可升級性
(1)在布線方面,我們考慮到公司人員在未來都會有不同程度的增加,所以我們在布線時(shí)留有一定量的網(wǎng)絡(luò)接口。
(2)在拓?fù)浣Y(jié)構(gòu)方面,我們采用星型的結(jié)構(gòu),適用于同一層的小型以太網(wǎng),這樣在用戶增加時(shí),能靈活拓展,添加設(shè)備,改變網(wǎng)絡(luò)層次結(jié)構(gòu)。
2、性能均衡性
在組網(wǎng)時(shí)我們注重考慮了服務(wù)器、核心交換機(jī)等關(guān)鍵設(shè)備和匯聚層以下的網(wǎng)絡(luò)設(shè)備的性能,使組建的網(wǎng)絡(luò)性能保持均衡。
3、性價(jià)比
性價(jià)比越高,適用型越強(qiáng)。所以在組網(wǎng)時(shí),我們根據(jù)公司的規(guī)模選擇了合適的網(wǎng)絡(luò)設(shè)備,既保證了網(wǎng)絡(luò)的實(shí)用性,又不會造成網(wǎng)絡(luò)投資浪費(fèi)。
4、網(wǎng)絡(luò)設(shè)計(jì)原則
我們依據(jù)實(shí)用性、性能超前性、可擴(kuò)展性、高可靠性、高安全性、易管理性、低成本的原則,組建了這個滿足萬通網(wǎng)絡(luò)廣告公司的小型局域網(wǎng),為該企業(yè)的運(yùn)行提供的一個可操作的網(wǎng)絡(luò)資源,保證了公司的網(wǎng)絡(luò)正常運(yùn)行。
SWOT分析
競爭優(yōu)勢
1、方案靈活,擴(kuò)展性極強(qiáng),得到顧客普遍認(rèn)可
2、操作簡單,系統(tǒng)速度快
3、內(nèi)部資源共享,囊括的信息比較廣闊,利于信息交換,增加信息量
4、目標(biāo)明確,可實(shí)行較強(qiáng)。
5、 方案清晰明確,有條理
競爭劣勢
建設(shè)目標(biāo)不夠詳細(xì),需要更細(xì)致更準(zhǔn)確的調(diào)查。
可行性比較弱。
網(wǎng)絡(luò)共享功能局限化
操作能力要求比較強(qiáng)
競爭機(jī)會
中小型企業(yè)靈活性較強(qiáng),
建設(shè)的方案有很強(qiáng)的前景
方案市場開拓性比較強(qiáng)
中小型網(wǎng)絡(luò),其操作性比較簡單。
競爭威脅
資金短缺,缺少必要的技術(shù)支持。
硬件設(shè)備及軟件設(shè)備比較簡單
中小型網(wǎng)絡(luò),難以抵抗大規(guī)模的電腦病毒入侵
面對成型的大規(guī)模網(wǎng)絡(luò),其弱點(diǎn)一目了然。
總結(jié)分析
由于企業(yè)的整體性和競爭優(yōu)勢來源的廣泛性,必須從整個價(jià)值鏈的每個環(huán)節(jié)上,將企業(yè)與競爭對手做詳細(xì)的對比。企業(yè)在維持競爭優(yōu)勢過程中,必須深刻認(rèn)識自身的資源和能力,采取適當(dāng)?shù)拇胧员WC其資源的持久競爭優(yōu)勢。
資源的持久競爭優(yōu)勢受到兩方面因素的影響:企業(yè)資源的競爭性價(jià)值和競爭優(yōu)勢的持續(xù)時(shí)間。因此采取以下戰(zhàn)略:
SO戰(zhàn)略:
建立適合顧客需求的網(wǎng)站,加強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)。開拓網(wǎng)絡(luò)信息化,滿足中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)。
WO戰(zhàn)略:
明細(xì)網(wǎng)站的建設(shè)目標(biāo)及規(guī)劃,加強(qiáng)網(wǎng)站的可行性建設(shè),使網(wǎng)絡(luò)有規(guī)有序。認(rèn)真探討網(wǎng)絡(luò)的共享,使網(wǎng)絡(luò)在共享上得到發(fā)展。
ST戰(zhàn)略
加強(qiáng)網(wǎng)站靈活性建設(shè),深思中小型局域網(wǎng)的網(wǎng)絡(luò)前景,網(wǎng)絡(luò)應(yīng)依據(jù)于市場的發(fā)展需要。
設(shè)備清單
設(shè)備名稱 | 型號 | 價(jià)格 | 數(shù)量 | 產(chǎn)品類型 |
服務(wù)器 | 正睿 I2436132S-E | 6990元 | 1 | 最大支持處理器數(shù)目:2 | 標(biāo)配內(nèi)存容量:2048 | |
無線路由貓 | 華為HG522 ADSL Modem 帶54M | 170元 | 1 | |
寬帶路由器 | D-LINK di-504m | 75元 | 1 | |
交換機(jī) | D-Link DES-1024R 24口百兆以太網(wǎng)交換機(jī) | 550元 | 1 | |
電腦 | 聯(lián)想 揚(yáng)天T4900V(E5300/1G/160G) | 2300元 | 6 | 商用臺式機(jī) | 內(nèi)存大小:1GB | 硬盤容量:160GB | |
打印機(jī) | 聯(lián)想 | 12800元 | 1 | 處理器 64位四核英特爾®至強(qiáng)TM處理器, 5310 1.6GHZ |
彩色噴墨打印機(jī) | 聯(lián)想5510 | 499元 | 1 | 超高打印質(zhì)量、高速打印性能 |
電話 | 西門子 辦公電話5020 | 290元 | 3 | |
掃描儀 | 佳能 CanoScan LiDE 100 | 480元 | 1 | 掃描方式:CIS | 光學(xué)分辨率:2400×4800 dpi |
數(shù)據(jù)庫 | 微軟 SQL server 2008 15user | 32000元 | 1 | 降低了管理數(shù)據(jù)時(shí)所有用戶的成本 |
雙絞線 | TCL 超五類屏蔽雙絞線 | 600元 | 2箱 | |
RJ—45水晶頭 | TCL RJ45水晶頭 | 1元 | 30個 |
硬件設(shè)備:37464元
軟件設(shè)備:32000元
總價(jià):69464元
內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的組建:
網(wǎng)絡(luò)類型為:服務(wù)器/工作站型;
網(wǎng)絡(luò)結(jié)構(gòu):采用星型拓?fù)浣Y(jié)構(gòu)
3,布線方式:用雙絞線作為傳輸介質(zhì)。連接著諸如交換機(jī)、寬帶路由器、電腦等硬件設(shè)備。并將網(wǎng)絡(luò)設(shè)備放在合適的位置,彼此之間的位置要壓縮在100米之內(nèi),
管理方式:采用集中式管理
設(shè)置一個ftp服務(wù)器
IP 地址分配:采用B類網(wǎng)絡(luò)
要設(shè)定相關(guān)人員的權(quán)限和存放目錄,對于財(cái)務(wù)部,使用部門服務(wù)器,存放重要數(shù)據(jù),并運(yùn)行防火墻程序,屏蔽非法的訪問。而普通部門的集線器可以直接與中心的交換機(jī)連接。
對連接的測試:IP地址配置完成之后,我們還要對計(jì)算機(jī)的連通性進(jìn)行測試,這主要采用PING命令完成。
局域網(wǎng)測試
一、連通性測試
二、網(wǎng)速測試
三、數(shù)據(jù)通訊量測試
四、地址測試
(由于正式的局域網(wǎng)還沒成型,所以對局域網(wǎng)的測試大體將從這幾方面進(jìn)行測試)
活動目錄
一、項(xiàng)目背景
公司簡介:萬通網(wǎng)絡(luò)廣告公司是一家剛剛起步的公司,規(guī)模較小,員工數(shù)在9人左右.為了滿足公司的發(fā)展和運(yùn)作的需求,公司決定部署一個由六臺計(jì)算機(jī)組成的小型的局域網(wǎng),用于完成企業(yè)數(shù)據(jù)通信和資源共享。
二、需求分析
帳戶管理:
公司對員工帳戶的需求如下:
(1)員工(除內(nèi)勤和普通業(yè)務(wù)員外)一人一個帳戶
(2)所有帳戶集中存儲管理
(3)按職責(zé)管理帳戶
(4)帳戶密碼長度不小于8
(5)密碼不能為簡單密碼,如12345678等
(6)對個別員工試探別人密碼的行為要有所防范。
(7)員工的權(quán)限級別有3種:經(jīng)理、專門人員、普通員工,他們在訪問網(wǎng)絡(luò)資源時(shí)權(quán)限不同。
文件管理:
公司對文件和文件夾管理的需求如下:
(1)公司所有的常用軟件的安裝文件共享到一臺文件服務(wù)器上。
(2)員工工作文檔需要可靠存儲、方便訪問。經(jīng)理可讀取和修改全公司文檔。專門人員可讀取和修改部門文檔。普通員工可讀取本部門的文檔和修改自己的文檔。
(3)在文件服務(wù)器上的重要文檔有定期備份。
(4)審核員工登陸和訪問文檔的行為。
訪問internet
(1)員工可以上網(wǎng)查資料
(2)監(jiān)控員工上網(wǎng)行為
三、項(xiàng)目規(guī)劃
規(guī)劃IP地址
IP地址采用192.168.1.2——192.168.1.21網(wǎng)段。 計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)為192.168.1.2-192.168.1.7之間的IP,客戶機(jī)占用192.168.1.7以上的IP。具體分配方案見下表。
IP地址分配表
計(jì)算機(jī)名稱 | IP地址 | 子網(wǎng)掩碼 | 首選DNS服務(wù)器地址 |
DC | 192.168.1.2 | 255.255.255.0 | 192.168.1.2 |
Filesvr | 192.1681.3 | 255.255.255.0 | 192.168.1.2 |
Printsvr1 | 192.168.1.4 | 255.255.255.0 | 192.168.1.2 |
Printsvr2 | 192.168.1.5 | 255.255.255.0 | 192.168.1.2 |
Printsvr3 | 192.168.1.6 | 255.255.255.0 | 192.168.1.2 |
Printsvr4 | 192.168.1.7 | 255.255.255.0 | 192.168.1.2 |
客戶機(jī) | 192.168.1.X | 255.255.255.0 | 192.168.1.2 |
規(guī)劃域
根據(jù)網(wǎng)絡(luò)規(guī)模及集中管理和結(jié)構(gòu)簡單原則采用單域結(jié)構(gòu),域名為wtatt.com(其中wt代表萬通,att為廣告advertisement的簡寫)。域多域結(jié)構(gòu)相比,實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理,并保障管理上的簡單性和低成本。
在域內(nèi)按照職責(zé)劃分組織單位(OU),即創(chuàng)建4個組織單位,分別是經(jīng)理,文案寫作人員,設(shè)計(jì)人員,客戶經(jīng)理,用于存儲和管理專職人員的用戶帳戶、組及打印機(jī)等資源。整個域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實(shí)現(xiàn)資源的層次管理。
設(shè)置服務(wù)器IIS
一、對IIS的安裝:
(1)準(zhǔn)備好Windows 2000安裝光盤,放置于光盤驅(qū)動器中。
(2)單擊【開始】|【設(shè)置】|【控制面板】命令,打開【控制面板】窗口,然后再打開【添加/刪除程序】對話框。
(3)單擊【添加/刪除 Windows組件】按鈕,彈出【W(wǎng)indows組件向?qū)А俊N覀儗⒁惭b的是“Internet信息服務(wù)(IIS)”。
(4)用鼠標(biāo)選中“Internet信息服務(wù)(IIS)”,然后單擊右下角的【詳細(xì)信息】按鈕。
為建立起動態(tài)交互Web網(wǎng)站,需要選擇公用文件、文檔、FrontPage2000服務(wù)擴(kuò)展、Internet服務(wù)管理工具、Internet服務(wù)管理工具(HTML)、World WideWeb服務(wù)器這些組件。
下面為了能讓我們網(wǎng)站提供強(qiáng)大上傳下載功能或提供郵件列表功能,我們還需要文件傳輸協(xié)議(FTP)服務(wù)器、SMTP服務(wù)這些組件。
(5)確認(rèn)所有必需的組件前都已打勾后,單擊【確定】按鈕,回到【添加/刪除Windows組件】窗口,單擊【下一步】按鈕,這時(shí)安裝程序開始從Windows安裝光盤復(fù)制所需的文件到硬盤上。
(6)安裝完成后,顯示如圖所示的成功安裝信息,單擊【完成】按鈕,完成對IIS的安裝。
二、對IIS的配置
成功安裝IIS后,系統(tǒng)自動建立了兩個默認(rèn)的Web站點(diǎn)。下面進(jìn)行IIS的配置:
(1)單擊【開始】|【程序】|【管理工具】|【Internet服務(wù)管理器】命令,打開【Internet信息服務(wù)】窗口
(2)選擇【默認(rèn)Web站點(diǎn)】,單擊鼠標(biāo)右鍵,打開快捷菜單,選擇【屬性】,在打開的默點(diǎn)Web站點(diǎn)【屬性】對話框中選擇【W(wǎng)eb站點(diǎn)】選項(xiàng)卡,設(shè)置IP地址。如果是內(nèi)網(wǎng),則使用分配給你的IP地址,我們這里是在配置內(nèi)網(wǎng)使用的Web服務(wù)器,所指定的內(nèi)網(wǎng)IP為10.10.10.100,WEB站點(diǎn)默認(rèn)的端口號為80。
(3)切換到【主目錄】選項(xiàng)卡,設(shè)置站點(diǎn)文件夾路徑。把站點(diǎn)文件夾放到d:sd-web,通過【瀏覽】按鈕,指定為本地路徑。
(4)切換到【文檔】選項(xiàng)卡,輸入站點(diǎn)首頁文件名,作為站點(diǎn)的啟動文檔。當(dāng)瀏覽者訪問站點(diǎn)時(shí),首先打開這一頁面。
(5)設(shè)置站點(diǎn)的目錄安全性。匿名訪問和驗(yàn)證控制功能,在這里選擇允許匿名訪問我的Web站點(diǎn),可以讓大家直接訪問該目錄的內(nèi)容。
IP地址及域名限制功能,利用IP地址或域名來限制訪問我的Web站點(diǎn)。
(6)服務(wù)器擴(kuò)展選項(xiàng)
服務(wù)器擴(kuò)展選項(xiàng)是設(shè)置服務(wù)器的一些重要選項(xiàng),這里要改變的是性能項(xiàng)和客戶腳本項(xiàng)。為了得到最佳的性能,將“性能”項(xiàng)改為少于100網(wǎng)頁;而“客戶腳本”設(shè)為VBScript。
(7)有關(guān)虛擬目錄
我們將創(chuàng)建一個虛擬目錄,把我們的的web站點(diǎn)放在虛擬目錄中,使用虛擬目錄相對比較安全,因?yàn)橛脩舨恢牢募?shí)際上位于服務(wù)器的什么位置,甚至不能確定文件是否真的存在于該服務(wù)器上,所以便無法使用這些信息來對我的站點(diǎn)進(jìn)行破壞。
局域網(wǎng)服務(wù)器配置
WWW和FTP
設(shè)置WWW服務(wù)器
可以將它的根目錄設(shè)置到C:Inetpubwwwroot下操作:開始菜單→程序→管理工具→Internet服務(wù)管理器→Internet信息服務(wù)→windows2000 sever→默認(rèn)Web站點(diǎn)→右鍵→屬性。
其中:(1)“Web站點(diǎn)”中,“IP地址”選“192.168.0.1”。
(2)“主目錄”中,“本地路徑”填寫:C:Inetpubwwwroot;或通過“瀏覽”完成對些目錄的選擇。
(3)“文檔”中,可修改瀏覽器默認(rèn)調(diào)用的文件名及調(diào)用順序。
設(shè)置FTP服務(wù)器
FTP應(yīng)用環(huán)境:windows域。
服務(wù)器系統(tǒng):windows server 2000
解決問題:小型公司的日常辦公文件高效、規(guī)范、可靠的安全存儲。
用戶需求:1、存儲權(quán)限集中管理。
2、針對不通部門和員工級別設(shè)置不同的存儲權(quán)限。
3、限制員工的存儲空間,部門經(jīng)理略高,總經(jīng)理最大。
4、限制上傳文件類型,只能存儲辦公文檔(word、excel、PPT)
5、用戶可以單點(diǎn)登陸,便捷訪問。
6、高度的可靠性,7*24小時(shí)無故障存儲。
文件夾權(quán)限設(shè)置
文件夾名 | 共享權(quán)限 | NTFS權(quán)限 |
D:software | Everyone讀取 | Everyone讀取 |
D:share | Everyone完全控制 | Everyone列出文件夾目錄,總經(jīng)理完全控制 |
D:share設(shè)計(jì)人員 | 無 | 全局組caiwu讀取、本部門經(jīng)理和總經(jīng)理完全控制 |
D:share文案人員 | 無 | 全局組xiaoshou讀取、本部門經(jīng)理和總經(jīng)理完全控制 |
D:share客戶經(jīng)理 | 無 | 全局組shichang讀取、本部門經(jīng)理和總經(jīng)理完全控制 |
可以將它的根目錄設(shè)置到C:Inetpubftproot下操作:默認(rèn)FTP站點(diǎn)→右鍵→屬性其中:(1)“FTP站點(diǎn)”中,“IP地址”選“192.168.0.1”。
(2)“安全帳號”中,選中“允許IIS控制密碼”。
(3)“消息”中,“歡迎”處輸入FTP連接成功后欲顯示的話;“退出”處輸入FTP斷開時(shí)欲顯示的話。
(4)“主目錄”中,“本地路徑”填寫:C:Inetpubftproot;或通過“瀏覽”完成對些目錄的選擇。
FTP服務(wù)器的架設(shè)
目前FTP服務(wù)器作為文件的傳輸和共享工具得到廣泛應(yīng)用。FTP服務(wù)器在文件的傳輸上性能穩(wěn)定,占用系統(tǒng)資源小,而且傳輸速度快,現(xiàn)在網(wǎng)上已經(jīng)有很多的FTP服務(wù)器可供使用,而自己架設(shè)一個FTP服務(wù)器也很容易,我們采用的是IIS的架設(shè)方式
微軟的IIS功能非常強(qiáng)大,它除了提供WWW服務(wù)之外,還提供FTP的服務(wù),利用它一樣很容易就能架設(shè)一個功能卓越的FTP服務(wù)器。
設(shè)置IIS來架設(shè)FTP服務(wù)器的幾個步驟:
第一步:啟動IIS,并啟動IIS上的FTP服務(wù)。在默認(rèn)的情況下,此時(shí)你的FTP服務(wù)器已經(jīng)搭建好,并且可以立即登錄,但是該FTP中沒有任何文件。
第二步:鼠標(biāo)右擊IIS中的“默認(rèn)FTP站點(diǎn)”項(xiàng),選擇“屬性”菜單
第三步:選擇“主目錄”的標(biāo)簽,在FTP站點(diǎn)目錄的“本地路徑”處填上要設(shè)置的共享文件路徑。默認(rèn)情況下,此處的文件夾位置為“C:InetpubFtproot”,如果臨時(shí)想改變共享目錄,隨時(shí)都可在此處修改,以后別人登錄公司的FTP服務(wù)器時(shí)顯示的文件列表就是在這個目錄中。
第四步:在“主目錄”的標(biāo)簽處,還可設(shè)置FTP服務(wù)器的文件訪問權(quán)限,分別有讀取、寫入和日志訪問,安全起見,這里的寫入權(quán)限一般不選,保證匿名用戶不能隨意對公司的文件進(jìn)行操作。
第五步:設(shè)置登錄的用戶。如果愿意提供“匿名”的訪問權(quán)限,還需在“安全標(biāo)簽”處選擇上“允許匿名連接。此外,還可從Windows系統(tǒng)帳號中選擇FTP服務(wù)器的特殊帳號,當(dāng)然也可以自己任意設(shè)置用戶名和密碼。
第六步:在“消息”標(biāo)簽處,有“歡迎”、“退出”和“最大連接數(shù)”3個輸入框,分別代表別人在登錄、退出時(shí)FTP服務(wù)器上給出的提示信息可根據(jù)公司的需要設(shè)置。此外,最大連接數(shù)是設(shè)置同時(shí)連接本地FTP的最大主機(jī)臺數(shù)六臺。
第七步:在“FTP站點(diǎn)”的標(biāo)簽處設(shè)置FTP標(biāo)識,包括說明、IP地址和端口,這里一般不需要改動,按照默認(rèn)選擇即可。此外,在“C:WinntSystem32Logfiles”目錄中還可以看到連接上FTP的IP、時(shí)間等日志信息。
此時(shí),利用IE或者任何一款FTP的客戶端軟件即可登錄公司架設(shè)好的FTP站點(diǎn)。
WWW服務(wù)器和FTP的訪問途徑
WWW的訪問都可使用IE或其他瀏覽器來實(shí)現(xiàn)
直接利用IE登錄FTP?,F(xiàn)在我們正在使用的IE也可作為登錄FTP的工具了,跟瀏覽網(wǎng)頁一樣,只需要將地址前面的HTTP改為FTP即可,例如訪問自己的FTP,可以在瀏覽器中輸入ftp://localhost,這時(shí)是匿名訪問方式,如果用IE登錄FTP時(shí)需用戶名和密碼,則可以右鍵調(diào)出登錄的菜單,在對話框中輸入用戶名和密碼即可。IE登錄FTP服務(wù)器之后,F(xiàn)TP服務(wù)器上的文件跟本機(jī)上的文件一樣,可以對其進(jìn)行復(fù)制和粘貼等操作。
目錄服務(wù)器的規(guī)劃:因?yàn)橛辛_電腦,所以我們有設(shè)置六個賬號和密碼
服務(wù)器安裝
建立第一個Web站點(diǎn)
比如本機(jī)的IP地址為192.168.0.1,自己的網(wǎng)頁放在D:Wy目錄下,網(wǎng)頁的首頁文件名為Index.htm,現(xiàn)在想根據(jù)這些建立好自己的Web服務(wù)器。
對于此Web站點(diǎn),我們可以用現(xiàn)有的“默認(rèn)Web站點(diǎn)”來做相應(yīng)的修改后,就可以輕松實(shí)現(xiàn)。請先在“默認(rèn)Web站點(diǎn)”上單擊右鍵,選“屬性”,以進(jìn)入名為“默認(rèn)Web站點(diǎn)屬性”設(shè)置界面。
1.修改綁定的IP地址:轉(zhuǎn)到“Web站點(diǎn)”窗口,再在“IP地址”后的下拉菜單中選擇所需用到的本機(jī)IP地址“192.168.0.1”。
2.修改主目錄:轉(zhuǎn)到“主目錄”窗口,再在“本地路徑”輸入(或用“瀏覽”按鈕選擇)好自己網(wǎng)頁所在的“D:Wy”目錄。
3.添加首頁文件名:轉(zhuǎn)到“文檔”窗口,再按“添加”按鈕,根據(jù)提示在“默認(rèn)文檔名”后輸入自己網(wǎng)頁的首頁文件名“Index.htm”。
4.添加虛擬目錄:比如你的主目錄在“D:Wy”下,而你想輸入“192.168.0.1/test”的格式就可調(diào)出“E:All”中的網(wǎng)頁文件,這里面的“test”就是虛擬目錄。請?jiān)凇澳J(rèn)Web站點(diǎn)”上單擊右鍵,選“新建→虛擬目錄”,依次在“別名”處輸入“test”,在“目錄”處輸入“E:All”后再按提示操作即可添加成功。
5.效果的測試:打開IE瀏覽器,在地址欄輸入“192.168.0.1”之后再按回車鍵,此時(shí)就能夠調(diào)出你自己網(wǎng)頁的首頁,則說明設(shè)置成功!
添加更多的Web站點(diǎn)
1.多個IP對應(yīng)多個Web站點(diǎn)如果本機(jī)已綁定了多個IP地址,想利用不同的IP地址得出不同的Web頁面,則只需在“默認(rèn)Web站點(diǎn)”處單擊右鍵,選“新建→站點(diǎn)”,然后根據(jù)提示在“說明”處輸入任意用于說明它的內(nèi)容(比如為“我的第二個Web站點(diǎn)”)、在“輸入Web站點(diǎn)使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可;當(dāng)建立好此Web站點(diǎn)之后,再按上步的方法進(jìn)行相應(yīng)設(shè)置。
2.一個IP地址對應(yīng)多個Web站點(diǎn)當(dāng)按上步的方法建立好所有的Web站點(diǎn)后,對于做虛擬主機(jī),可以通過給各Web站點(diǎn)設(shè)不同的端口號來實(shí)現(xiàn),比如給一個Web站點(diǎn)設(shè)為80,一個設(shè)為81,一個設(shè)為82……,則對于端口號是80的Web站點(diǎn),訪問格式仍然直接是IP地址就可以了,而對于綁定其他端口號的Web站點(diǎn),訪問時(shí)必須在IP地址后面加上相應(yīng)的端口號,也即使用如“http://192.168.0.1:81”的格式。
很顯然,改了端口號之后使用起來就麻煩些。如果你已在DNS服務(wù)器中將所有你需要的域名都已經(jīng)映射到了此惟一的IP地址,則用設(shè)不同“主機(jī)頭名”的方法,可以讓你直接用域名來完成對不同Web站點(diǎn)的訪問。
比如你本機(jī)只有一個IP地址為192.168.0.1,你已經(jīng)建立(或設(shè)置)好了兩個Web站點(diǎn),一個是“默認(rèn)Web站點(diǎn)”,一個是“我的第二個Web站點(diǎn)”,現(xiàn)在你想輸入“www.enanshan.com”可直接訪問前者,輸入“www.popunet.com”可直接訪問后者。其操作步驟如下:
請確保已先在DNS服務(wù)器中將你這兩個域名都已映射到了那個IP地址上;并確保所有的Web站點(diǎn)的端口號均保持為80這個默認(rèn)值。
再依次選“默認(rèn)Web站點(diǎn)→右鍵→屬性→Web站點(diǎn)”,單擊“IP地址”右側(cè)的“高級”按鈕,在“此站點(diǎn)有多個標(biāo)識下”雙擊已有的那個IP地址(或單擊選中它后再按“編輯”按鈕),然后在“主機(jī)頭名”下輸入“www.enanshan.com”再按“確定”按鈕保存退出。
接著按上步同樣的方法為“我的第二個Web站點(diǎn)”設(shè)好新的主機(jī)頭名為“www.popunet.com”即可。
最后,打開你的IE瀏覽器,在地址欄輸入不同的網(wǎng)址,就可以調(diào)出不同Web站點(diǎn)的內(nèi)容了。
3.多個域名對應(yīng)同個Web站點(diǎn)
你只需先將某個IP地址綁定到Web站點(diǎn)上,再在DNS服務(wù)器中,將所需域名全部映射向你的這個IP地址上,則你在瀏覽器中輸入任何一個域名,都會直接得到所設(shè)置好的那個網(wǎng)站的內(nèi)容。
對服務(wù)的遠(yuǎn)程管理
1.在“管理Web站點(diǎn)”上單擊右鍵,選“屬性”,再進(jìn)入“Web站點(diǎn)”窗口,選擇好“IP地址”。
2.轉(zhuǎn)到“目錄安全性”窗口,單擊“IP地址及域名限制”下的“編輯”按鈕,點(diǎn)選中“授權(quán)訪問”以能接受客戶端從本機(jī)之外的地方對IIS進(jìn)行管理;最后單擊“確定”按鈕。
3.則在任意計(jì)算機(jī)的瀏覽器中輸入如“http://192.168.0.1:3598”(3598為其端口號)的格式后,將會出現(xiàn)一個密碼詢問窗口,輸入管理員帳號名(Administrator)和相應(yīng)密碼之后就可登錄成功,現(xiàn)在就可以在瀏覽器中對IIS進(jìn)行遠(yuǎn)程管理了!在這里可以管理的范圍主要包括對Web站點(diǎn)和FTP站點(diǎn)進(jìn)行的新建、修改、啟動、停止和刪除等操作。
打印機(jī)的安裝
1、開始——設(shè)置——打印機(jī)——添加打印機(jī)。
2、出現(xiàn)“歡迎使用添加打印機(jī)向?qū)А睂υ捒颉獑螕簟跋乱徊健薄?/pre>3、選取“本地打印機(jī)”——選取打印設(shè)備所連接的端口,一般都是連接在LPT1端口 ——單擊“下一步”。4、選取“打印機(jī)制造商”和“打印機(jī)型號”——單擊“下一步”。5、輸入“打印機(jī)名”——單擊“下一步”。6、出現(xiàn)“打印機(jī)共享”對話框,若想讓其它用戶使用打印機(jī)請將此共享,并設(shè)備共 享名,否則“下一步”。7、出現(xiàn)的打印機(jī)位置和注釋等一些說明性文字。8、詢問是打印打印機(jī)測試頁,單擊“是”——“下一步”。將現(xiàn)在有打印機(jī)設(shè)為共享打印機(jī):開始——設(shè)置——打印機(jī)——打印機(jī)名——鼠標(biāo)右鍵——共享——確定。安裝其他操作系統(tǒng)所需要的打印機(jī)驅(qū)動程序
開始——設(shè)置——打印機(jī)——打印機(jī)名——鼠標(biāo)右鍵——屬性——共享——其他驅(qū)動程序——選定所需打印機(jī)驅(qū)動程序——確定。
打印機(jī)共享
第一步:將打印機(jī)連接至主機(jī),打開打印機(jī)電源,通過主機(jī)的“控制面板”進(jìn)入到“打印機(jī)和傳真”文件夾,在空白處單擊鼠標(biāo)右鍵,選擇“添加打印機(jī)”命令,打開添加打印機(jī)向?qū)Т翱凇_x擇“連接到此計(jì)算機(jī)的本地打印機(jī)”,并勾選“自動檢測并安裝即插即用的打印機(jī)”復(fù)選框。
第二步:此時(shí)主機(jī)將會進(jìn)行新打印機(jī)的檢測,很快便會發(fā)現(xiàn)已經(jīng)連接好的打印機(jī),根據(jù)提示將打印機(jī)附帶的驅(qū)動程序光盤放入光驅(qū)中,安裝好打印機(jī)的驅(qū)動程序后,在“打印機(jī)和傳真”文件夾內(nèi)便會出現(xiàn)該打印機(jī)的圖標(biāo)了。
第三步:在新安裝的打印機(jī)圖標(biāo)上單擊鼠標(biāo)右鍵,選擇“共享”命令,打開打印機(jī)的屬性對話框,切換至“共享”選項(xiàng)卡,選擇“共享這臺打印機(jī)”,并在“共享名”輸入框中填入需要共享的名稱,例如CompaqIJ,單擊“確定”按鈕即可完成共享的設(shè)定。
打印機(jī)使用注意事項(xiàng)
1.萬一打印機(jī)產(chǎn)生發(fā)熱,冒煙,有異味,有異常聲音等情況,請馬上切斷電源與信息人員聯(lián)系。
2.打印機(jī)上禁止放其它物品。打印機(jī)長時(shí)間不用時(shí),請把電源插頭從電源插座中拔出。
3.為防萬一,當(dāng)附近打雷時(shí),將電源插頭從插座中拔出。如果插著的話,有可能機(jī)器受到損壞。
4.打印紙及色帶盒未設(shè)置時(shí),禁止打印。打印頭和打印輥會受到損傷。
5.打印頭處于高溫狀態(tài)。在溫度下降之前禁止接觸。防止?fàn)C傷,受傷。
6.請勿觸摸打印電纜接頭及打印頭的金屬部分。打印頭工作的時(shí)候,不可觸摸打印頭。
7.打印頭工作的時(shí)候,禁止切斷電源。
8.請不要隨意拆卸、搬動、拖動,如有故障,請與信息人員聯(lián)系。
9.禁止異物(訂書針,金屬片,液體等)進(jìn)入本機(jī),否則會造成觸電或機(jī)器故障。
10.在確保打印機(jī)電源正常、數(shù)據(jù)線和計(jì)算機(jī)連接時(shí)方可開機(jī)。
11.打印機(jī)在打印的時(shí)候請勿搬動、拖動、關(guān)閉打印機(jī)電源。
12.對于打印同樣重復(fù)的檔,請不要超過5份,超過5份時(shí)應(yīng)拿到前臺復(fù)印機(jī)上復(fù)印。
13.在打印量過大時(shí),應(yīng)讓打印量保持在30份以內(nèi)使打印機(jī)休息5-10分鐘,以免打印機(jī)過熱而損壞。
14.在打印檔的時(shí)候,不允許使用厚度過高(超過80g)的紙、不允許使用有皺紋、折疊過的紙。
15.如打印機(jī)在出現(xiàn)嚴(yán)重物理損壞、人為損壞或不按上述操作規(guī)范而使打印機(jī)損壞時(shí)將會追究其責(zé)任人。
打印機(jī)的簡單故障處理
打印機(jī)不進(jìn)紙時(shí)的簡單故障處理
1,打開頂蓋,把打印頭撥到最左邊,按住面板三個鍵開機(jī),聽到響聲后,將頂蓋蓋上。
2.連續(xù)按兩下ST1鍵,等聽到蜂鳴聲的時(shí)候,將A4紙放進(jìn)去,按ST2鍵一下,A4紙進(jìn)取后,又出來。
3.等A4紙出來后,再重新放入機(jī)器,此時(shí),打印機(jī)就會打印一組參數(shù)出來。
4.重新啟動PR2E存折打印機(jī)。
打印機(jī)維護(hù)與保養(yǎng)
打印機(jī)是辦公設(shè)備重要的一類,提倡主動維修,使機(jī)器的停機(jī)時(shí)間處于最小,從而獲得最佳使用效率和價(jià)值。復(fù)印機(jī)、打印機(jī)、傳真機(jī)、證卡機(jī)等等……是集光學(xué)、機(jī)械、電子技術(shù)為一體的精密辦公設(shè)備,通過使用顆小的靜電墨粉,利用靜電原理,在感光材料上形成靜電潛像,使微小的墨粉附在感光材料上,再將其轉(zhuǎn)印到紙上從而得到需要副本。這個工序是利用靜電的特性進(jìn)行的。因此,在機(jī)器內(nèi)部的傳動部件、光學(xué)部件以及高壓部件上容易附著紙屑、漂浮的墨粉等,但這些的存在只會影響復(fù)印的質(zhì)量。若放任不管,會增加機(jī)器的驅(qū)動負(fù)荷,妨礙熱量的排除,說不定也可能是造成機(jī)器故障的原因。
DNS務(wù)器
公司因?yàn)樯暇W(wǎng)人員只有6人,所以首先將服務(wù)器安裝windows2000 sever和PC機(jī)分別為A、B、C、D、E、F工作組都為WORKGROUP,均安裝windows 2000 professional版本在自帶的服務(wù)管理里面有.選擇配置服務(wù)器,DNS服務(wù)器,有關(guān)DNS服務(wù)器直接安裝在WINDOWS 2000 SERVER上即可,系統(tǒng)默認(rèn)就是自動獲取DNS服務(wù)器地址。并且,因?yàn)楣旧婕吧暇W(wǎng)人數(shù)較少,所以DNS服務(wù)器不需二級、三級域名。用DHCP服務(wù)器有效管理局域網(wǎng)
需要用到DHCP服務(wù)(動態(tài)主機(jī)配置協(xié)議),來動態(tài)處理客戶端的IP地址配置
公司最多6人同時(shí)上線,采用固定網(wǎng)絡(luò)參數(shù)。所以,我們選擇了普通的C類局域網(wǎng)私有IP地址 網(wǎng)段192.168.1.2——192.168.1.21。把前面15個留給固定網(wǎng)絡(luò)參數(shù)的用戶,并預(yù)留192.168.1.17——192.168.1.21這段IP地址不作為DHCP分配用。這樣就不會搶占固定用戶網(wǎng)絡(luò)的IP地址,避免了IP地址沖突的發(fā)生。
網(wǎng)絡(luò)安全
在當(dāng)今網(wǎng)絡(luò)化的世界中,計(jì)算機(jī)信息和資源很容易遭到各方面的攻擊。一方面,來源于Internet,Internet給企業(yè)網(wǎng)帶來成熟的應(yīng)用技術(shù)的同時(shí),也把固有的安全問題帶給了企業(yè)網(wǎng);另一方面,來源于企業(yè)內(nèi)部,因?yàn)槭瞧髽I(yè)內(nèi)部的網(wǎng)絡(luò),主要針對企業(yè)內(nèi)部的人員和企業(yè)內(nèi)部的信息資源,因此,企業(yè)網(wǎng)同時(shí)又面臨自身所特有的安全問題。網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時(shí),也使得網(wǎng)絡(luò)很容易遭受到攻擊,而攻擊的后果是嚴(yán)重的,諸如數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。因此我們公司為萬通網(wǎng)絡(luò)公司制定了一些網(wǎng)絡(luò)安全防范措施。
一.網(wǎng)絡(luò)安全技術(shù)
1.VLAN(虛擬局域網(wǎng))技術(shù)
選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò),它依靠用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng),劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點(diǎn)的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實(shí)施MAC幀過濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個網(wǎng)絡(luò)的信息。2.網(wǎng)絡(luò)分段技術(shù)
企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng),任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包,可以被處在同一以太網(wǎng)上的任何一個節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接人以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包,對其進(jìn)行解包分析,從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問的目的。
3.硬件防火墻技術(shù)
任何企業(yè)安全策略的一個主要部分都是實(shí)現(xiàn)和維護(hù)防火墻,因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣,這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離,并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡化網(wǎng)絡(luò)的安全管理。
4.入侵檢測技術(shù)
入侵檢測方法較多,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實(shí)現(xiàn)。病毒檢測技術(shù):可以在防火墻、代理服務(wù)器或網(wǎng)絡(luò)服務(wù)器上安裝病毒過濾軟件,或者在企業(yè)局域網(wǎng)上安裝網(wǎng)絡(luò)版殺毒軟件,檢查和清除病毒。
5.加密技術(shù)
網(wǎng)絡(luò)數(shù)據(jù)的加密技術(shù)可以分為3類,即對稱型加密、不對稱型加密和不可逆加密,其中不可逆加密算法不存在密鑰保管和分發(fā)問題,適用于分布式網(wǎng)絡(luò)系統(tǒng),但是其加密算法相當(dāng)可觀,所以通常在數(shù)據(jù)量有限的情形下使用。計(jì)算機(jī)系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來,隨著計(jì)算機(jī)系統(tǒng)性能的不斷提高,不可逆加密算法的應(yīng)用逐漸增加。
6.VPN(虛擬專網(wǎng))技術(shù)`
VPN技術(shù)的核心是采用隧道技術(shù),將內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)加密封裝后,通過虛擬的公網(wǎng)隧道進(jìn)行傳輸,從而防止敏感數(shù)據(jù)的被竊。VPN可以在Internet、服務(wù)提供商的IP網(wǎng)、幀中繼網(wǎng)或ATM網(wǎng)上建立,網(wǎng)絡(luò)用戶通過Internet等公網(wǎng)建立VPN,就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建設(shè)周期、投入資金和維護(hù)費(fèi)用卻大大降低,同時(shí)還為遠(yuǎn)程用戶和移動用戶提供了安全的網(wǎng)絡(luò)接人。
7.系統(tǒng)備份和恢復(fù)技術(shù)
防范手段不可能設(shè)計(jì)得面面俱到,突發(fā)性事件會給計(jì)算機(jī)系統(tǒng)帶來不可預(yù)知的災(zāi)難。因此,必須建立系統(tǒng)的備份與恢復(fù),以便在災(zāi)難發(fā)生后保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行。備份方案有多種類型,其最終目標(biāo)是保證系統(tǒng)連續(xù)運(yùn)行,其中網(wǎng)絡(luò)通信、主機(jī)系統(tǒng)、業(yè)務(wù)數(shù)據(jù)是保證系統(tǒng)連續(xù)運(yùn)行不可缺少的環(huán)節(jié),在選擇備份方案時(shí)應(yīng)把對數(shù)據(jù)的備份作為重點(diǎn)。日常備份制度是系統(tǒng)備份方案的具體實(shí)施細(xì)則,在制定完畢后,應(yīng)嚴(yán)格按照制度進(jìn)行日常備份,否則將無法達(dá)到備份方案的目標(biāo)。系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù),還要備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息。
二.制定安全策略的原則
所謂的網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。網(wǎng)絡(luò)的安全策略就是針對網(wǎng)絡(luò)的實(shí)際情況(被保護(hù)信息價(jià)值、被攻擊危險(xiǎn)性、可投入的資金),在網(wǎng)絡(luò)管理的整個過程,具體對各種網(wǎng)絡(luò)安全措施進(jìn)行取舍。網(wǎng)絡(luò)的安全策略可以說是在一定條件下的成本和效率的平衡。雖然網(wǎng)絡(luò)的具體應(yīng)用環(huán)境不同,但我們在制定安全策略時(shí)應(yīng)遵循一些總的原則。
1.適應(yīng)性原則:安全策略是在一定條件下采取的安全措施。我們制定的安全策略必須是和網(wǎng)絡(luò)的實(shí)際應(yīng)用環(huán)境相結(jié)合的。通常,在一種情況下實(shí)施的安全策略到另一環(huán)境下就未必適合。例如:校園網(wǎng)環(huán)境就必須允許匿名登錄,而一般的企業(yè)網(wǎng)絡(luò)的安全策略不允許匿名登錄。
2.動態(tài)性原則:安全策略又是在一定時(shí)期采取的安全措施。由于用戶在不斷增加,網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大,網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快,而安全措施是防范性的、持續(xù)不斷的,所以制定的安全措施必須不斷適應(yīng)網(wǎng)絡(luò)發(fā)展和環(huán)境的變化。
3.簡單性原則:網(wǎng)絡(luò)用戶越多,網(wǎng)絡(luò)管理人員越多,網(wǎng)絡(luò)拓?fù)湓綇?fù)雜,采用網(wǎng)絡(luò)設(shè)備種類和軟件種類越多,網(wǎng)絡(luò)提供的服務(wù)和捆綁的協(xié)議越多,出現(xiàn)安全漏洞的可能性就越大,出現(xiàn)安全問題后找出問題原因和責(zé)任者的難度就越大。安全的網(wǎng)絡(luò)是相對簡單的網(wǎng)絡(luò)。例如:最不安全的網(wǎng)絡(luò)可以說是Internet。
4.系統(tǒng)性原則:網(wǎng)絡(luò)的安全管理是一個系統(tǒng)化的工作,必須考慮到整個網(wǎng)絡(luò)的方方面面。也就是在制定安全策略時(shí),應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備、各種情況,有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略。任何一點(diǎn)疏漏都會造成整個網(wǎng)絡(luò)安全性的降低。
三.安全策略
1. 網(wǎng)絡(luò)規(guī)劃時(shí)的安全策略
網(wǎng)絡(luò)的安全性最好在網(wǎng)絡(luò)規(guī)劃階段就要考慮進(jìn)去,一些安全策略在網(wǎng)絡(luò)規(guī)劃時(shí)就要實(shí)施。
明確網(wǎng)絡(luò)安全的責(zé)任人和安全策略的實(shí)施者。人是制定和執(zhí)行網(wǎng)絡(luò)安全策略的主體。對于小型網(wǎng)絡(luò)來說網(wǎng)絡(luò)管理員可以是網(wǎng)絡(luò)安全責(zé)任人。
0+網(wǎng)絡(luò)上所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備,設(shè)置物理上的安全措施(防火、防盜)和環(huán)境上的安全措施(供電、溫度)。對小型的局域網(wǎng)最好將網(wǎng)絡(luò)上的公用服務(wù)器和主交換設(shè)備安置在一間中心機(jī)房內(nèi)集中放置。
網(wǎng)絡(luò)規(guī)劃應(yīng)考慮容錯和備份。安全策略不可能保證網(wǎng)絡(luò)絕對安全和硬件不出故障。我們的網(wǎng)絡(luò)應(yīng)允許網(wǎng)絡(luò)出現(xiàn)的一些故障,并且可以很快從災(zāi)難中恢復(fù)。網(wǎng)絡(luò)的主備份系統(tǒng)應(yīng)位于中心機(jī)房。
如果你的網(wǎng)絡(luò)與Internet有固定連接(靜態(tài)的IP地址),只要資金允許最好在網(wǎng)絡(luò)和Internet之間安裝防火墻。
網(wǎng)絡(luò)使用代理服務(wù)器訪問Internet。不僅可以降低訪問成本,而且隱藏了網(wǎng)絡(luò)規(guī)模和特性,加強(qiáng)了網(wǎng)絡(luò)的安全性。
2.網(wǎng)絡(luò)管理員的安全策略
對于小型網(wǎng)絡(luò)來說網(wǎng)絡(luò)管理員一般承擔(dān)安全管理員的角色。網(wǎng)絡(luò)管理員采取的安全策略,最重要的是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。
網(wǎng)絡(luò)管理員必須了解整個網(wǎng)絡(luò)中的重要公共數(shù)據(jù)(限制寫)和機(jī)密數(shù)據(jù)(限制讀)分別是哪些,它在哪兒,哪些人使用,屬于哪些人,丟失或泄密會造成怎樣的損失。這些重要數(shù)據(jù)集中至位于中心機(jī)房的務(wù)器上,置于有安全經(jīng)驗(yàn)的專人管理之下。
定期對各類用戶進(jìn)行安全培訓(xùn)。
服務(wù)器上只安裝NT。不要安裝Windows9x和DOS,確保服務(wù)器只能從NT啟動。
服務(wù)器上所有的卷全部使用NTFS。
使用最新的Service Pack升級你的NT。
設(shè)置服務(wù)器的BIOS,不允許從可移動的存儲設(shè)備(軟驅(qū)、光驅(qū)、ZIP、SCIS設(shè)備)啟動。確保服務(wù)器從NT啟動置于NT安全機(jī)制管理之下。
通過BIOS設(shè)置軟驅(qū)無效,并設(shè)置BIOS口令。防止非法用戶利用控制臺獲取敏感數(shù)據(jù),以及由軟驅(qū)感染病毒到服務(wù)器。
取消服務(wù)器上不用的服務(wù)和協(xié)議種類。網(wǎng)絡(luò)上的服務(wù)和協(xié)議越多安全性越差。
將服務(wù)器注冊表HKEY_LOCAL_ MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogon項(xiàng)中的Don't Display Last User Name串?dāng)?shù)據(jù)修改為1,隱藏上次登陸控制臺的用戶名。
不要將服務(wù)器的Windows NT設(shè)置為自動登錄,應(yīng)使用NT Security對話框(Ctrl+Alt+Del)注冊。
C/S軟件的服務(wù)器端如果是用戶模式運(yùn)行的(即需要從服務(wù)器端登錄),用NT Resource Kit中的Autoexnt將設(shè)為啟動時(shí)自動運(yùn)行形式。
系統(tǒng)文件和用戶數(shù)據(jù)文件分別存儲在不同的卷上。方便日常的安全管理和數(shù)據(jù)備份。
修改默認(rèn)“Administrator”用戶名,加上“強(qiáng)口令”(多于10個字符且必須包括數(shù)字和符號),最好再創(chuàng)建一個具有“強(qiáng)口令”的管理員特權(quán)的賬號,使網(wǎng)絡(luò)管理員賬號不易被攻破。
管理員賬號僅用于網(wǎng)絡(luò)管理,不要在任何客戶機(jī)上使用管理員賬號。對屬于Administrator組和備份組的成員用戶要特別慎重。
記住口令文件保存在\WINNT SYSTEM32CONFIG目錄的SAM文件中,\WINNTREPAIR目錄中有SAM備份。對SAM文件寫入、更改權(quán)限等進(jìn)行審計(jì)。
鼓勵用戶將數(shù)據(jù)保存到服務(wù)器上。DOS和Windows9x客戶機(jī)沒有NT提供的安全性,所以不建議用戶在本地硬盤上共享文件。
限制可以登錄到有敏感數(shù)據(jù)的服務(wù)器的用戶數(shù)。這樣在出現(xiàn)問題時(shí)可以縮小懷疑范圍。
利用Windows9x的“系統(tǒng)策略編輯器”建立策略文件,存入服務(wù)器,控制的Windows9x客戶機(jī)的注冊表。建議打開計(jì)算機(jī)策略中的“需要使用Network for WindowsAccess進(jìn)行驗(yàn)證”、“登錄到WindowsNT”/“禁用域口令緩沖”,控制Windows9x用戶必須首先注冊到網(wǎng)上。這樣可以防止用戶通過“放棄”使用Windows9x降低客戶機(jī)安全。
通過“系統(tǒng)策略編輯器”可以進(jìn)一步控制一般用戶或組在Windows9x客戶機(jī)上的行為。
不允許一般用戶在服務(wù)器上擁有除讀/執(zhí)行以外的權(quán)限。NT本身不支持用戶空間限制,這一點(diǎn)對校園網(wǎng)安全特別重要。
限制Guest賬號的權(quán)限,最好不允許使用Guest賬號。不要在Everyone組增加任何權(quán)限,因?yàn)镚uest也屬于該組。
一般不直接給用戶賦權(quán),而通過用戶組分配用戶權(quán)限。
新增用戶時(shí)分配一個口令,并控制用戶“首次登錄必須更改口令”,最好進(jìn)一步設(shè)置成口令的不低于6個字符,杜絕安全漏洞。
至少對用戶“登錄和注銷”網(wǎng)絡(luò)、“重新啟動、關(guān)機(jī)及系統(tǒng)”、“安全規(guī)則更改”活動進(jìn)行審計(jì),但不要忘了過多的審計(jì)將影響系統(tǒng)性能。
3.針對提供Internet訪問服務(wù)網(wǎng)絡(luò)的策略
25.文件服務(wù)器不與Internet直接連接,設(shè)專用代理服務(wù)器;不允許客戶機(jī)通過Modem連到Internet,形成在防火墻內(nèi)的連接。
26.可以利用“TCP/IP安全”對話框,關(guān)閉Internet上機(jī)器不用的TCP/UDP端口,過濾流入服務(wù)器的請求,特別是限制使用TCP/UDP的137、138、139端口。
27.可以考慮將對外的Web服務(wù)器放在防火墻之外,隔離外界對內(nèi)的訪問以保護(hù)內(nèi)部的敏感數(shù)據(jù)。
28.對只提供內(nèi)部訪問的服務(wù)器和客戶機(jī)可以采用非TCP/IP協(xié)議實(shí)現(xiàn)連接,這樣可以隔離Internet訪問。
29.利用端口掃描工具,定期在防火墻外對網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶進(jìn)行端口掃描。
4.以下的策略針對提供遠(yuǎn)程訪問服務(wù)情況
30.不允許除NT的RAS以外的機(jī)器應(yīng)答遠(yuǎn)程訪問請求。最好設(shè)專門的遠(yuǎn)程訪問服務(wù)器,并將該服務(wù)器置于中心機(jī)房。
31.對于偶爾使用遠(yuǎn)程訪問可以采用人工控制RAS服務(wù)的啟動和停止。
32.對固定的用戶最好采取回叫的方式實(shí)現(xiàn)遠(yuǎn)程連接。
33.通過RAS服務(wù)器的IP地址分配,限制遠(yuǎn)程用戶的IP地址,進(jìn)而利用防火墻控制和隔離遠(yuǎn)程訪問客戶。
34.對于遠(yuǎn)程訪問的口令采取某種加密鑒別(如:MS-CHAP),以保證用戶口令在遠(yuǎn)程線路上安全傳送。
5.網(wǎng)絡(luò)用戶的安全策略
網(wǎng)絡(luò)的安全不僅僅是網(wǎng)絡(luò)管理員的事,網(wǎng)絡(luò)上的每一個用戶都有責(zé)任。網(wǎng)絡(luò)用戶應(yīng)該了解下列安全策略:
用一個長且難猜的口令。不要將自己的口令告訴任何人。
清楚自己私有數(shù)據(jù)存儲的位置,知道如何備份和恢復(fù)。
定期參加網(wǎng)絡(luò)知識和網(wǎng)絡(luò)安全的培訓(xùn),了解網(wǎng)絡(luò)安全知識,養(yǎng)成注意安全的工作習(xí)慣。
盡量不要在本地硬盤上共享文件,因?yàn)檫@樣做將影響自己的機(jī)器安全。最好將共享文件存放在服務(wù)器上,既較安全又方便了他人隨時(shí)使用文件。
設(shè)置客戶機(jī)的BIOS,不允許從軟驅(qū)啟動。
通過“系統(tǒng)策略編輯器/注冊表編輯器”控制在Windows9x工作站上“不顯示最后一次登錄的用戶名”和“禁止使用口令緩存”。防止口令從緩存中被獲取和最后一次登錄的用戶被利用。
設(shè)置有顯示的(即非黑屏,防止誤認(rèn)為關(guān)機(jī))屏幕保護(hù),并且加上口令保護(hù)。
當(dāng)你較長時(shí)間離開機(jī)器時(shí)一定要退出網(wǎng)絡(luò)。
安裝啟動時(shí)病毒掃描軟件。雖然絕大多數(shù)病毒對NT服務(wù)器不構(gòu)成威脅,但會通過NT網(wǎng)在客戶端很快傳播開來。
6.Internet有權(quán)用戶需要了解的安全策略
由于Internet是在網(wǎng)絡(luò)外部的,訪問Internet有可能將機(jī)器至于不安全的環(huán)境,需要在上述安全策略基礎(chǔ)上進(jìn)一步采取下述的安全策略:
確認(rèn)你的機(jī)器沒有安裝“文件和打印機(jī)共享”服務(wù)。因?yàn)镮nternet上的黑客,有機(jī)會通過這個服務(wù)獲取和共享文件,從而可能造成對局部數(shù)據(jù)及網(wǎng)絡(luò)安全的威脅。
不要通過Modem直接連接Internet。
不要下載安裝未經(jīng)安全認(rèn)證的軟件和插件。
WEB頁面中的ActiveX,Java小應(yīng)用、腳本可能泄漏你的秘密,可以禁止其在瀏覽。
1、防火墻技術(shù)
“防火墻”是一種形象的說法,其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( ScurityGateway),而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。所謂防火墻就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。防火墻有二類,標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻系統(tǒng)包括一個UNIX工作站,該工作站的兩端各接一個路由器進(jìn)行緩沖。其中一個路由器的接口是外部世界,即公用網(wǎng);另一個則聯(lián)接內(nèi)部網(wǎng)。標(biāo)準(zhǔn)防火墻使用專門的軟件,并要求較高的管理水平,而且在信息傳輸上有一定的延遲。雙家網(wǎng)關(guān)(DualHome Gateway) 則是標(biāo)準(zhǔn)防火墻的擴(kuò)充,又稱堡壘主機(jī)(Bation Host) 或應(yīng)用層網(wǎng)關(guān)(ApplicationsLayerGateway),它是一個單個的系統(tǒng),但卻能同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能。其優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用,同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆,可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò),反之亦然。
隨著防火墻技術(shù)的進(jìn)步,雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置,一種是隱蔽主機(jī)網(wǎng)關(guān),另一種是隱蔽智能網(wǎng)關(guān)(隱蔽子網(wǎng))。隱蔽主機(jī)網(wǎng)關(guān)是當(dāng)前一種常見的防火墻配置。顧名思義,這種配置一方面將路由器進(jìn)行隱蔽,另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機(jī)。堡壘主機(jī)裝在內(nèi)部網(wǎng)上,通過路由器的配置,使該堡壘主機(jī)成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進(jìn)行通信的唯一系統(tǒng)。目前技術(shù)最為復(fù)雜而且安全級別最商的防火墻是隱蔽智能網(wǎng)關(guān),它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問,同時(shí)阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問。一般來說,這種防火墻是最不容易被破壞的。
2、數(shù)據(jù)加密技術(shù)
與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外,從技術(shù)上分別在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同,數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。
(1)數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動加密,并進(jìn)入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當(dāng)這些信息一旦到達(dá)目的地,被將自動重組、解密,成為可讀數(shù)據(jù)。
2)數(shù)據(jù)存儲加密技術(shù)
目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密,可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn);后者則是對用戶資格、格限加以審查和限制,防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。
(1)數(shù)據(jù)傳輸加密技術(shù)
目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動加密,并進(jìn)入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當(dāng)這些信息一旦到達(dá)目的地,被將自動重組、解密,成為可讀數(shù)據(jù)。
2)數(shù)據(jù)存儲加密技術(shù)
目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密,可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn);后者則是對用戶資格、格限加以審查和限制,防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。
(3)數(shù)據(jù)完整性鑒別技術(shù)
目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別,系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。
(4) 密鑰管理技術(shù)
為了數(shù)據(jù)使用的方便,數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。
3、智能卡技術(shù)
與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權(quán)用戶所持有并由該用戶賦與它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當(dāng)口令與身份特征共同使用時(shí),智能卡的保密性能還是相當(dāng)有效的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)達(dá)些防范措施都有一定的限度,并不是越安全就越可靠。因而,在看一個內(nèi)部網(wǎng)是否安全時(shí)不僅要考察其手段,而更重要的是對該網(wǎng)絡(luò)所采取的各種措施,其中不光是物理防范,還有人員的素質(zhì)等其他“軟”因素,進(jìn)行綜合評估,從而得出是否安全的結(jié)論。
拒絕服務(wù)攻擊是最常見的一類網(wǎng)絡(luò)攻擊類型。在這一攻擊原理下,他又派生了許多種不同的攻擊方式。正確了解這些不同的拒絕攻擊方式,就能為正確、系統(tǒng)地為自己所在企業(yè)部署完善的安全防護(hù)系統(tǒng)。
入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為。要有效的進(jìn)行反攻擊,首先必須了解入侵的原理和工作機(jī)理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的拒絕服務(wù)攻擊原理進(jìn)行簡要分析,并提出相應(yīng)的對策。
四.拒絕服務(wù)攻擊和防御
1.死亡之Ping(Ping ofdeath)攻擊
由于在早期的階段,路由器對包的最大大小是有限制的,許多操作系統(tǒng)TCP/IP棧規(guī)定ICMP包的大小限制在64KB以內(nèi)。在對ICMP數(shù)據(jù)包的標(biāo)題頭進(jìn)行讀取之后,是根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。當(dāng)大小超過64KB的ICMP包,就會出現(xiàn)內(nèi)存分配錯誤,導(dǎo)致TCP/IP堆棧崩潰,從而使接受方計(jì)算機(jī)宕機(jī)。這就是這種“死亡之Ping”攻擊的原理所在。根據(jù)這一攻擊原理,黑客們只需不斷地通過Ping命令向攻擊目標(biāo)發(fā)送超過64KB的數(shù)據(jù)包,就可使目標(biāo)計(jì)算機(jī)的TCP/IP堆棧崩潰,致使接受方宕機(jī)。
防御方法:目前所有的標(biāo)準(zhǔn)TCP/IP協(xié)議都已具有對付超過64KB大小數(shù)據(jù)包的處理能力,并且大多數(shù)防火墻能夠通過對數(shù)據(jù)包中的信息和時(shí)間間隔分析,自動過濾這些攻擊。視窗系統(tǒng)98、視窗系統(tǒng) NT 4.0(SP3之后 )、視窗系統(tǒng) 2000/XP/Server 2003、Linux、Solaris和MacOS等系統(tǒng)都已具有抵抗一般“Ping ofdeath”拒絕服務(wù)攻擊的能力。此外,對防火墻進(jìn)行設(shè)置,阻斷ICMP及所有未知協(xié)議數(shù)據(jù)包,都能防止此類攻擊發(fā)生。
2.淚滴(teardrop)攻擊
對于一些大的IP數(shù)據(jù)包,往往需要對其進(jìn)行拆分傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的需求。比如,一個6000字節(jié)的IP包,在MTU為2000的鏈路上傳輸?shù)臅r(shí)候,就需要分成三個IP包。在IP報(bào)頭中有一個偏移字段和一個拆分標(biāo)志(MF)。如果MF標(biāo)志設(shè)置為1,則表面這個IP包是個大IP包的片斷,其中偏移字段指出了這個片斷在整個IP包中的位置。例如,對一個6000字節(jié)的IP包進(jìn)行拆分(MTU為2000),則三個片斷中偏移字段的值依次為:0,2000,4000。這樣接收端在全部接收完IP數(shù)據(jù)包后,就能根據(jù)這些信息重新組裝這幾個分次接收的拆分IP包。在這里就又一個安全漏洞能利用了,就是如果黑客們在截取IP數(shù)據(jù)包后,把偏移字段設(shè)置成不正確的值,這樣接收端在收后這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重合這些拆分的數(shù)據(jù)包,但接收端會不斷償試,這樣就可能致使目標(biāo)計(jì)算朵操作系統(tǒng)因資源耗盡而崩潰。
淚滴攻擊利用修改在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些操作系統(tǒng)(如SP4以前的視窗系統(tǒng)NT 4.0)的TCP/IP在收到含有重疊偏移的偽造分段時(shí)將崩潰,不過新的操作系統(tǒng)已基本上能自己抵御這種攻擊了。
防御方法:盡可能采用最新的操作系統(tǒng),或在防火墻上設(shè)置分段重組功能,由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包,然后完成重組工作,而不是直接轉(zhuǎn)發(fā)。因?yàn)榉阑饓ι夏茉O(shè)置當(dāng)出現(xiàn)重疊字段時(shí)所采取的規(guī)則。
3.TCP SYN洪水(TCP SYNFlood)攻擊
TCP/IP棧只能等待有限數(shù)量ACK(應(yīng)答)消息,因?yàn)槊颗_計(jì)算機(jī)用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。如果這一緩沖區(qū)充滿了等待響應(yīng)的初始信息,則該計(jì)算機(jī)就會對接下來的連接停止響應(yīng),直到緩沖區(qū)里的連接超時(shí)。
TCPSYN洪水攻擊正是利用了這一系統(tǒng)漏洞來實(shí)施攻擊的。攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個連接(SYN)請求。目標(biāo)系統(tǒng)在接收到請求后發(fā)送確認(rèn)信息,并等待回答。由于黑客們發(fā)送請示的IP地址是偽造的,所以確認(rèn)信息也不會到達(dá)所有計(jì)算機(jī),當(dāng)然也就不會有所有計(jì)算機(jī)為此確認(rèn)信息作出應(yīng)答了。而在沒有接收到應(yīng)答之前,目標(biāo)計(jì)算機(jī)系統(tǒng)是不會主動放棄的,繼續(xù)會在緩沖區(qū)中保持相應(yīng)連接信息,一直等待。當(dāng)達(dá)到一定數(shù)量的等待連接后,緩區(qū)部內(nèi)存資源耗盡,從而開始拒絕接收所有其他連接請求,當(dāng)然也包括本來屬于正常應(yīng)用的請求,這就是黑客們的最終目的。
防御方法:在防火墻上過濾來自同一主機(jī)的后續(xù)連接。不過“SYN洪水攻擊”還是非常令人擔(dān)憂的,由于此類攻擊并不尋求響應(yīng),所以無法從一個簡單高容量的傳輸中鑒別出來。防火墻的具體抵御TCPSYN洪水攻擊的方法將在本書的第三章最后有周詳介紹。
4.Land攻擊
這類攻擊中的數(shù)據(jù)包源地址和目標(biāo)地址是相同的,當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí),不知道該怎么處理,或循環(huán)發(fā)送和接收該數(shù)據(jù)包,以此來消耗大量的系統(tǒng)資源,從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。
防御方法:這類攻擊的檢測方法相對來說比較容易,因?yàn)樗苤苯訌呐袛嗑W(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同得出是否屬于攻擊行為。反攻擊的方法當(dāng)然是適當(dāng)?shù)卦O(shè)置防火墻設(shè)備或包過濾路由器的包過濾規(guī)則。并對這種攻擊進(jìn)行審計(jì),記錄事件發(fā)生的時(shí)間,源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址,從而能有效地分析并跟蹤攻擊者的來源。
5.Smurf 攻擊
這是一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。Smurf攻擊利用多數(shù)路由器中具有同時(shí)向許多計(jì)算機(jī)廣播請求的功能。攻擊者偽造一個合法的IP地址,然后由網(wǎng)絡(luò)上所有的路由器廣播需求向受攻擊計(jì)算機(jī)地址做出回答的請求。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請求,因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個地址做出回答,最終結(jié)果可導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞,這也就達(dá)到了黑客們追求的目的了。這種Smurf攻擊比起前面介紹的“Ping ofDeath”洪水的流量高出一至兩個數(shù)量級,更容易攻擊成功。更有些新型的Smurf攻擊,將源地址改為第三方的受害者(不再采用偽裝的IP地址),最終導(dǎo)致第三方雪崩。
防御方法:關(guān)閉外部路由器或防火墻的廣播地址特性,并在防火墻上設(shè)置規(guī)則,丟棄掉ICMP協(xié)議類型數(shù)據(jù)包。
6.Fraggle攻擊
Fraggle攻擊只是對Smurf攻擊作了簡單的修改,使用的是UDP協(xié)議應(yīng)答消息,而不再是ICMP協(xié)議了(因?yàn)楹诳蛡兦逦鶸DP協(xié)議更加不易被用戶全部禁止)。同時(shí)Fraggle攻擊使用了特定的端口(通常為7號端口,但也有許多使用其他端口實(shí)施Fraggle攻擊的),攻擊和Smurf攻擊基本類似,不再贅述。
防御方法:關(guān)閉外部路由器或防火墻的廣播地址特性。在防火墻上過濾掉UDP報(bào)文,或屏蔽掉一些常被黑客們用來進(jìn)行Fraggle攻擊的端口。
7.電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一,通過設(shè)置一臺計(jì)算機(jī)不斷地向同一地址發(fā)送大量電子郵件來達(dá)到攻擊目的,此類攻擊能夠耗盡郵件接受者網(wǎng)絡(luò)的帶寬資源。
防御方法:對郵件地址進(jìn)行過濾規(guī)則設(shè)置,自動刪除來自同一主機(jī)的過量或重復(fù)的消息。
方案小結(jié)
該方案是本公司根據(jù)企業(yè)需求分析以及SWOT分析,建設(shè)的一個小型局域網(wǎng)。組建成一個局域網(wǎng)總共花費(fèi)10萬元左右的人民幣。當(dāng)然為了做好后期網(wǎng)絡(luò)維護(hù)工作,我公司決定投資30萬元在局域網(wǎng)組建與維護(hù)方面。
該方案從企業(yè)需求分析、建設(shè)目標(biāo)與規(guī)劃、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)配件以及企業(yè)SWOT分析方面來考慮如何組建局域網(wǎng)。其中建設(shè)目標(biāo)與規(guī)劃,拓?fù)浣Y(jié)構(gòu)分析以及硬件設(shè)備的選擇則是我們組建局域網(wǎng)的側(cè)重的方面。同時(shí)我們還寫出了具體的組網(wǎng)過程。該方案本著經(jīng)濟(jì),實(shí)用的原則,綜合各種因素,為華威電器有限公司搭建了一個實(shí)用性,經(jīng)濟(jì)型的局域網(wǎng)。
愛華網(wǎng)


