萬通網(wǎng)絡(luò)廣告公司組網(wǎng)方案

目錄

項(xiàng)目需求... 2

實(shí)現(xiàn)功能... 2

一、對外實(shí)現(xiàn)功能... 2

二、內(nèi)部實(shí)現(xiàn)功能... 3

企業(yè)網(wǎng)辦公功能... 3

一、 數(shù)據(jù)共享... 3

二、 報(bào)文傳遞... 3

三、決策信息支持... 3

企業(yè)網(wǎng)管理功能... 4

一、實(shí)時(shí)控制與監(jiān)督... 4

二、網(wǎng)絡(luò)安全與管理... 4

拓?fù)鋱D... 4

建設(shè)目標(biāo)與規(guī)劃... 5

網(wǎng)絡(luò)廣告的目標(biāo)... 5

網(wǎng)絡(luò)廣告公司的規(guī)劃... 5

一、確定需求:. 5

二、確定網(wǎng)絡(luò)設(shè)備... 6

三、局域網(wǎng)類型... 6

四、局域網(wǎng)的網(wǎng)絡(luò)分布架構(gòu)... 6

五、局域網(wǎng)布線方案設(shè)計(jì)... 6

六、局域網(wǎng)操作系統(tǒng)和服務(wù)器... 7

七、局域網(wǎng)服務(wù)設(shè)施... 7

八、網(wǎng)絡(luò)應(yīng)用需求... 7

九、綜合考慮因素... 7

SWOT分析... 8

競爭優(yōu)勢... 8

競爭劣勢... 8

競爭機(jī)會... 8

競爭威脅... 8

總結(jié)分析... 9

設(shè)備清單... 9

內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的組建：... 11

局域網(wǎng)測試... 11

活動目錄... 12

一、項(xiàng)目背景... 12

二、需求分析... 12

三、項(xiàng)目規(guī)劃... 12

設(shè)置服務(wù)器IIS. 13

一、對IIS的安裝：... 13

局域網(wǎng)服務(wù)器配置... 14

設(shè)置WWW服務(wù)器... 14

設(shè)置FTP服務(wù)器... 15

WWW服務(wù)器和FTP的訪問途徑... 16

服務(wù)器安裝... 17

建立第一個Web站點(diǎn)... 17

添加更多的Web站點(diǎn)... 17

對服務(wù)的遠(yuǎn)程管理... 18

打印機(jī)的安裝... 18

安裝其他操作系統(tǒng)所需要的打印機(jī)驅(qū)動程序... 19

打印機(jī)共享... 19

打印機(jī)使用注意事項(xiàng)... 19

打印機(jī)的簡單故障處理... 20

打印機(jī)維護(hù)與保養(yǎng)... 20

DNS務(wù)器... 20

用DHCP服務(wù)器有效管理局域網(wǎng)... 21

網(wǎng)絡(luò)安全... 21

1、防火墻技術(shù)... 26

2、數(shù)據(jù)加密技術(shù)... 26

3、智能卡技術(shù)... 28

方案小結(jié)... 31

項(xiàng)目需求

企業(yè)名稱：萬通網(wǎng)絡(luò)廣告公司

員工人數(shù)：9人

企業(yè)部門：總經(jīng)理：一人

策劃部：設(shè)計(jì)一人，文案一人

客服部：業(yè)務(wù)員五人

財(cái)務(wù)部：出納員一人兼內(nèi)勤

建設(shè)資金：十萬

實(shí)現(xiàn)功能

一、對外實(shí)現(xiàn)功能

建立企業(yè)網(wǎng)站介紹企業(yè)信息，打造企業(yè)形象、利用互相網(wǎng)獨(dú)有宣傳方式與優(yōu)勢（低成本、高效益），增加市場宣傳軌道，擴(kuò)大行業(yè)影響力。

客戶可以到網(wǎng)站訪問，查閱企業(yè)信息，根據(jù)需要與本公司聯(lián)系，網(wǎng)站同時(shí)通過提供優(yōu)質(zhì)的客戶服務(wù)，使客戶可以通過網(wǎng)站的查詢服務(wù)功能跟蹤并了解客戶對其滿意程度，提升客戶對公司的信任度，讓客戶滿意公司的服務(wù)，提高企業(yè)服務(wù)檔次。

通過網(wǎng)站建立在線反饋與在線調(diào)查, 加強(qiáng)企業(yè)與外界的聯(lián)系，充分利用客戶的資源為企業(yè)獻(xiàn)策。

建立客戶檔案系統(tǒng)，根據(jù)系統(tǒng)建立穩(wěn)定可靠的管理制度，讓公司高層可以實(shí)時(shí)通過管理系統(tǒng)監(jiān)控公司的客戶與業(yè)務(wù)情況，保證客戶不因業(yè)務(wù)人員的流動而流失。

二、內(nèi)部實(shí)現(xiàn)功能

資源共享功能：網(wǎng)絡(luò)內(nèi)的各個桌面用戶可共享數(shù)據(jù)庫，實(shí)現(xiàn)辦公自動化系統(tǒng)中的各項(xiàng)功能。

通信服務(wù)功能：最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問。

多媒體功能： 支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。

遠(yuǎn)程VPN撥入訪問功能：系統(tǒng)支持遠(yuǎn)程PPTP接入，外地員工可利用INTERNET遠(yuǎn)程訪問公司資源。

企業(yè)網(wǎng)辦公功能

一、 數(shù)據(jù)共享

業(yè)務(wù)相關(guān)部門(客戶部，策劃部，財(cái)務(wù)部)之間可以共享有關(guān)數(shù)據(jù)。對于重要數(shù)據(jù)，要通過權(quán)限的設(shè)置，只有賦予一定權(quán)限的單位或部門才能使用和訪問，不能超越權(quán)限使用。

二、 報(bào)文傳遞

有關(guān)資料、圖紙或從外部網(wǎng)絡(luò)發(fā)來的傳真、電子郵件可以通過網(wǎng)絡(luò)傳遞；領(lǐng)導(dǎo)可以在網(wǎng)絡(luò)上審批文件，又稱為電子簽名。在外工作人員可以通過此功能與企業(yè)總部實(shí)現(xiàn)信息交流，實(shí)現(xiàn)無紙辦公。

三、決策信息支持

通過網(wǎng)絡(luò)可以隨時(shí)查詢國際、國內(nèi)市場及相關(guān)信息。企業(yè)內(nèi)的“中心信息庫”可以保存和管理全公司各方面的資料和信息，并保存為HTML格式，供企業(yè)的有效站點(diǎn)瀏覽、查詢有關(guān)信息和資料。

企業(yè)網(wǎng)管理功能

一、實(shí)時(shí)控制與監(jiān)督

一些部門訪問機(jī)要部門被控制，上班期間電腦訪問受限。企業(yè)總部或客戶，業(yè)務(wù)員也可以通過網(wǎng)絡(luò)隨時(shí)向上級匯報(bào)工作。

二、網(wǎng)絡(luò)安全與管理

專業(yè)的網(wǎng)絡(luò)管理是工作人員負(fù)責(zé)網(wǎng)系統(tǒng)的運(yùn)行和數(shù)據(jù)安全、數(shù)據(jù)備份等工作，對業(yè)務(wù)應(yīng)用人員進(jìn)行權(quán)限設(shè)定和網(wǎng)絡(luò)設(shè)備的管理、維護(hù)工作。

拓?fù)鋱D

建設(shè)目標(biāo)與規(guī)劃

網(wǎng)絡(luò)廣告的目標(biāo)

隨著網(wǎng)絡(luò)廣告越來越多的被企業(yè)所認(rèn)同，不少企業(yè)都邁入了網(wǎng)絡(luò)廣告的領(lǐng)域。但是，對于不同的企業(yè)不同階段在進(jìn)行網(wǎng)絡(luò)廣告時(shí)，側(cè)重會有不少區(qū)別。
四個目標(biāo)：一、建立品牌　　許多廣告主漸漸從“產(chǎn)品營銷”的模式走向“品牌營銷”之路。網(wǎng)絡(luò)廣告已經(jīng)被證明在建立品牌上效果甚佳，它能促使消費(fèi)大眾對廣告主的品牌或服務(wù)產(chǎn)生相當(dāng)認(rèn)同。
二、搜集名單
　　幾乎所有廣告主都希望建立有效的顧客名單或潛在消費(fèi)者的名單，以便進(jìn)行進(jìn)一步的營銷活動。

三、執(zhí)行銷售　　廣告的最終目的多半是增加產(chǎn)品銷售量，但是通過傳統(tǒng)媒體廣告所增加的銷售量幾乎無法評估，因?yàn)閺V告與銷售的動作通常無法一氣呵成。就像收集潛在顧客名單一樣，網(wǎng)絡(luò)的互動性使廣告主有機(jī)會借所謂的“電子商務(wù)”機(jī)制讓消費(fèi)者直接在互聯(lián)網(wǎng)上交易。
四、吸引瀏覽者網(wǎng)絡(luò)廣告吸引瀏覽者的方式有二：
一是吸引網(wǎng)友到廣告主的網(wǎng)站造訪，
二是吸引消費(fèi)者到廣告主的零售點(diǎn)去參觀選購。

網(wǎng)絡(luò)廣告公司的規(guī)劃

一、確定需求:

（1）作為9人的小型辦公環(huán)境來說，最多的就是文件資料的傳遞和共享訪問互聯(lián)網(wǎng)的應(yīng)用；網(wǎng)絡(luò)帶寬要求不是很高，聯(lián)網(wǎng)設(shè)備的選擇上可以考慮夠用就行的原則；而共享互聯(lián)網(wǎng)，申請ADSL寬帶也能足夠應(yīng)付。目前寬帶服務(wù)提供商針對小型辦公網(wǎng)絡(luò)用戶提供了多種資費(fèi)可供選擇，價(jià)格也相當(dāng)實(shí)惠。

（2）規(guī)模及規(guī)劃：作為一家小型的網(wǎng)絡(luò)廣告公司，為了實(shí)現(xiàn)其基本的功能，初步規(guī)劃公司投入10萬元,建設(shè)時(shí)間估計(jì)在一個月左右，建設(shè)運(yùn)行后達(dá)到企業(yè)初級網(wǎng)絡(luò)。隨著業(yè)務(wù)的不斷拓展,規(guī)模會不斷擴(kuò)大.

（3）組網(wǎng)方式：實(shí)現(xiàn)局域網(wǎng)到互聯(lián)網(wǎng)的共享訪問，而且考慮到成本問題，所以這里采用“ADSLModem+寬帶路由器+交換機(jī)+客戶機(jī)”的模式。寬帶路由器就相當(dāng)于一臺共享上網(wǎng)服務(wù)器，客戶機(jī)通過這臺“共享上網(wǎng)服務(wù)器”即可實(shí)現(xiàn)互聯(lián)網(wǎng)共享。

二、確定網(wǎng)絡(luò)設(shè)備

根據(jù)前面確定的網(wǎng)絡(luò)模式，需要添置的網(wǎng)絡(luò)設(shè)備主要為寬帶路由器和交換機(jī)。因?yàn)锳DSLModem在安裝寬帶時(shí)服務(wù)商會免費(fèi)提供，而網(wǎng)卡一般計(jì)算機(jī)都已自帶，當(dāng)然還需要支持10/100M自適應(yīng)適度的網(wǎng)線，來將所有的網(wǎng)絡(luò)設(shè)備與計(jì)算機(jī)相

寬帶路由器：為了獲得良好的共享速度及穩(wěn)定的性能,我們選擇了合適的寬帶路由器

（2）交換機(jī)：為局域網(wǎng)的升級留有一定的剩余端口，我們選擇了24口交換機(jī)：DES-1024R。這是一款具有高靈活性的非網(wǎng)管10/100Mbps工作組交換機(jī)，能夠無縫地集成10BASE-T和100BASE-TX的設(shè)備，使之共處于一個網(wǎng)絡(luò)內(nèi)而無須更改網(wǎng)絡(luò)結(jié)構(gòu)；為普通辦公網(wǎng)絡(luò)提供了一種經(jīng)濟(jì)、有效的快速以太網(wǎng)解決方案。

三、局域網(wǎng)類型

目前在局域網(wǎng)建設(shè)中，由于以太網(wǎng)性能優(yōu)良、價(jià)格低廉、升級和維護(hù)方便，結(jié)合公司的規(guī)模，所以我們選擇百兆位以太網(wǎng)。

四、局域網(wǎng)的網(wǎng)絡(luò)分布架構(gòu)

（1）因?yàn)楣臼切⌒偷木钟蚓W(wǎng)，在設(shè)計(jì)上常常分為核心層和接入層兩層考慮，物理上使用一組或一臺交換機(jī)連接所有的入網(wǎng)節(jié)點(diǎn)即可。
（2）局域網(wǎng)的帶寬：一般而言，百兆位以太網(wǎng)足能夠滿足網(wǎng)絡(luò)數(shù)據(jù)流量不是很大的中小型局域網(wǎng)的需要，所以我們?yōu)榘僬孜灰蕴W(wǎng)。

（3）網(wǎng)絡(luò)主干設(shè)備：考慮到公司的類型，我們的局域網(wǎng)的網(wǎng)絡(luò)核心層設(shè)備選擇具備二層交換功能的高性能主干交換機(jī)，若以后公司規(guī)模擴(kuò)大，可選擇具備第三層交換機(jī)功能的高性能交換機(jī)，分布層或接入層的網(wǎng)絡(luò)設(shè)備類型，選擇普通交換機(jī)即可。

五、局域網(wǎng)布線方案設(shè)計(jì)

作為一家小型的網(wǎng)絡(luò)廣告公司，我們采用星型的拓?fù)浣Y(jié)構(gòu)。因?yàn)榻尤刖钟蚓W(wǎng)的節(jié)點(diǎn)計(jì)算機(jī)不多，我們采用從一個接入層節(jié)點(diǎn)直接連接所有入網(wǎng)節(jié)點(diǎn)的設(shè)計(jì)。

六、局域網(wǎng)操作系統(tǒng)和服務(wù)器

網(wǎng)絡(luò)操作系統(tǒng)：根據(jù)公司局域網(wǎng)的規(guī)模、所采用的應(yīng)用軟件、網(wǎng)絡(luò)技術(shù)人員與管理的水平、網(wǎng)絡(luò)建設(shè)機(jī)構(gòu)的投入等多種因素，我們采用微軟公司的Windows 2000系統(tǒng)
服務(wù)器：因?yàn)槭欠?wù)于六臺計(jì)算機(jī)的小型局域網(wǎng)，數(shù)據(jù)流量不大，所以工作組級的服務(wù)器基本上就可以滿足要求。

七、局域網(wǎng)服務(wù)設(shè)施

一個局域網(wǎng)建成后能夠正常運(yùn)行，還需要相應(yīng)服務(wù)設(shè)施支持。為了保障小型局域網(wǎng)服務(wù)器的安全運(yùn)行，我們還配備了不間斷電源設(shè)備。

八、網(wǎng)絡(luò)應(yīng)用需求

在建成的小型局域網(wǎng)后，達(dá)到數(shù)據(jù)共享的功能，且有足夠的寬帶保證，能夠正常傳輸圖片、圖像、動畫等。

九、綜合考慮因素

1、可升級性

（1）在布線方面,我們考慮到公司人員在未來都會有不同程度的增加,所以我們在布線時(shí)留有一定量的網(wǎng)絡(luò)接口。

（2）在拓?fù)浣Y(jié)構(gòu)方面,我們采用星型的結(jié)構(gòu),適用于同一層的小型以太網(wǎng),這樣在用戶增加時(shí),能靈活拓展,添加設(shè)備,改變網(wǎng)絡(luò)層次結(jié)構(gòu)。

2、性能均衡性

在組網(wǎng)時(shí)我們注重考慮了服務(wù)器、核心交換機(jī)等關(guān)鍵設(shè)備和匯聚層以下的網(wǎng)絡(luò)設(shè)備的性能，使組建的網(wǎng)絡(luò)性能保持均衡。

3、性價(jià)比

性價(jià)比越高，適用型越強(qiáng)。所以在組網(wǎng)時(shí)，我們根據(jù)公司的規(guī)模選擇了合適的網(wǎng)絡(luò)設(shè)備，既保證了網(wǎng)絡(luò)的實(shí)用性，又不會造成網(wǎng)絡(luò)投資浪費(fèi)。

4、網(wǎng)絡(luò)設(shè)計(jì)原則

我們依據(jù)實(shí)用性、性能超前性、可擴(kuò)展性、高可靠性、高安全性、易管理性、低成本的原則，組建了這個滿足萬通網(wǎng)絡(luò)廣告公司的小型局域網(wǎng)，為該企業(yè)的運(yùn)行提供的一個可操作的網(wǎng)絡(luò)資源，保證了公司的網(wǎng)絡(luò)正常運(yùn)行。

SWOT分析

競爭優(yōu)勢

1、方案靈活，擴(kuò)展性極強(qiáng)，得到顧客普遍認(rèn)可

2、操作簡單，系統(tǒng)速度快

3、內(nèi)部資源共享，囊括的信息比較廣闊，利于信息交換，增加信息量

4、目標(biāo)明確，可實(shí)行較強(qiáng)。

5、 方案清晰明確，有條理

競爭劣勢

建設(shè)目標(biāo)不夠詳細(xì)，需要更細(xì)致更準(zhǔn)確的調(diào)查。

可行性比較弱。

網(wǎng)絡(luò)共享功能局限化

操作能力要求比較強(qiáng)

競爭機(jī)會

中小型企業(yè)靈活性較強(qiáng)，

建設(shè)的方案有很強(qiáng)的前景

方案市場開拓性比較強(qiáng)

中小型網(wǎng)絡(luò)，其操作性比較簡單。

競爭威脅

資金短缺，缺少必要的技術(shù)支持。

硬件設(shè)備及軟件設(shè)備比較簡單

中小型網(wǎng)絡(luò)，難以抵抗大規(guī)模的電腦病毒入侵

面對成型的大規(guī)模網(wǎng)絡(luò)，其弱點(diǎn)一目了然。

總結(jié)分析

　　由于企業(yè)的整體性和競爭優(yōu)勢來源的廣泛性，必須從整個價(jià)值鏈的每個環(huán)節(jié)上，將企業(yè)與競爭對手做詳細(xì)的對比。企業(yè)在維持競爭優(yōu)勢過程中，必須深刻認(rèn)識自身的資源和能力，采取適當(dāng)?shù)拇胧员ＷC其資源的持久競爭優(yōu)勢。

資源的持久競爭優(yōu)勢受到兩方面因素的影響：企業(yè)資源的競爭性價(jià)值和競爭優(yōu)勢的持續(xù)時(shí)間。因此采取以下戰(zhàn)略：

SO戰(zhàn)略：

建立適合顧客需求的網(wǎng)站，加強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)化建設(shè)。開拓網(wǎng)絡(luò)信息化，滿足中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)。
WO戰(zhàn)略：
明細(xì)網(wǎng)站的建設(shè)目標(biāo)及規(guī)劃，加強(qiáng)網(wǎng)站的可行性建設(shè)，使網(wǎng)絡(luò)有規(guī)有序。認(rèn)真探討網(wǎng)絡(luò)的共享，使網(wǎng)絡(luò)在共享上得到發(fā)展。

ST戰(zhàn)略

加強(qiáng)網(wǎng)站靈活性建設(shè)，深思中小型局域網(wǎng)的網(wǎng)絡(luò)前景，網(wǎng)絡(luò)應(yīng)依據(jù)于市場的發(fā)展需要。

設(shè)備清單

硬件設(shè)備：37464元

軟件設(shè)備：32000元

總價(jià)：69464元

內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的組建：

網(wǎng)絡(luò)類型為：服務(wù)器/工作站型； 

網(wǎng)絡(luò)結(jié)構(gòu)：采用星型拓?fù)浣Y(jié)構(gòu)

3，布線方式：用雙絞線作為傳輸介質(zhì)。連接著諸如交換機(jī)、寬帶路由器、電腦等硬件設(shè)備。并將網(wǎng)絡(luò)設(shè)備放在合適的位置，彼此之間的位置要壓縮在100米之內(nèi)，

管理方式：采用集中式管理

設(shè)置一個ftp服務(wù)器

IP 地址分配：采用B類網(wǎng)絡(luò)

要設(shè)定相關(guān)人員的權(quán)限和存放目錄，對于財(cái)務(wù)部，使用部門服務(wù)器，存放重要數(shù)據(jù)，并運(yùn)行防火墻程序，屏蔽非法的訪問。而普通部門的集線器可以直接與中心的交換機(jī)連接。

對連接的測試：IP地址配置完成之后，我們還要對計(jì)算機(jī)的連通性進(jìn)行測試，這主要采用PING命令完成。

局域網(wǎng)測試

　　一、連通性測試

　　二、網(wǎng)速測試

　　三、數(shù)據(jù)通訊量測試

四、地址測試

（由于正式的局域網(wǎng)還沒成型，所以對局域網(wǎng)的測試大體將從這幾方面進(jìn)行測試）

活動目錄

一、項(xiàng)目背景

公司簡介：萬通網(wǎng)絡(luò)廣告公司是一家剛剛起步的公司,規(guī)模較小,員工數(shù)在9人左右.為了滿足公司的發(fā)展和運(yùn)作的需求,公司決定部署一個由六臺計(jì)算機(jī)組成的小型的局域網(wǎng),用于完成企業(yè)數(shù)據(jù)通信和資源共享。

二、需求分析

帳戶管理：

公司對員工帳戶的需求如下：

(1)員工(除內(nèi)勤和普通業(yè)務(wù)員外)一人一個帳戶

(2)所有帳戶集中存儲管理

(3)按職責(zé)管理帳戶

(4)帳戶密碼長度不小于8

(5)密碼不能為簡單密碼，如12345678等

(6)對個別員工試探別人密碼的行為要有所防范。

(7)員工的權(quán)限級別有3種：經(jīng)理、專門人員、普通員工，他們在訪問網(wǎng)絡(luò)資源時(shí)權(quán)限不同。

文件管理：

公司對文件和文件夾管理的需求如下：

(1)公司所有的常用軟件的安裝文件共享到一臺文件服務(wù)器上。

(2)員工工作文檔需要可靠存儲、方便訪問。經(jīng)理可讀取和修改全公司文檔。專門人員可讀取和修改部門文檔。普通員工可讀取本部門的文檔和修改自己的文檔。

(3)在文件服務(wù)器上的重要文檔有定期備份。

(4)審核員工登陸和訪問文檔的行為。

訪問internet

(1)員工可以上網(wǎng)查資料

(2)監(jiān)控員工上網(wǎng)行為

三、項(xiàng)目規(guī)劃

規(guī)劃IP地址

IP地址采用192.168.1.2——192.168.1.21網(wǎng)段。 計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)為192.168.1.2-192.168.1.7之間的IP，客戶機(jī)占用192.168.1.7以上的IP。具體分配方案見下表。

IP地址分配表

規(guī)劃域

根據(jù)網(wǎng)絡(luò)規(guī)模及集中管理和結(jié)構(gòu)簡單原則采用單域結(jié)構(gòu)，域名為wtatt.com(其中wt代表萬通，att為廣告advertisement的簡寫)。域多域結(jié)構(gòu)相比，實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理，并保障管理上的簡單性和低成本。

在域內(nèi)按照職責(zé)劃分組織單位（OU），即創(chuàng)建4個組織單位，分別是經(jīng)理，文案寫作人員，設(shè)計(jì)人員，客戶經(jīng)理，用于存儲和管理專職人員的用戶帳戶、組及打印機(jī)等資源。整個域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實(shí)現(xiàn)資源的層次管理。

設(shè)置服務(wù)器IIS

一、對IIS的安裝：

(1)準(zhǔn)備好Windows 2000安裝光盤，放置于光盤驅(qū)動器中。

　　(2)單擊【開始】|【設(shè)置】|【控制面板】命令，打開【控制面板】窗口，然后再打開【添加/刪除程序】對話框。

(3)單擊【添加/刪除 Windows組件】按鈕，彈出【W(wǎng)indows組件向?qū)А俊Ｎ覀儗⒁惭b的是“Internet信息服務(wù)(IIS)”。

(4)用鼠標(biāo)選中“Internet信息服務(wù)(IIS)”，然后單擊右下角的【詳細(xì)信息】按鈕。

為建立起動態(tài)交互Web網(wǎng)站，需要選擇公用文件、文檔、FrontPage2000服務(wù)擴(kuò)展、Internet服務(wù)管理工具、Internet服務(wù)管理工具(HTML)、World WideWeb服務(wù)器這些組件。

下面為了能讓我們網(wǎng)站提供強(qiáng)大上傳下載功能或提供郵件列表功能，我們還需要文件傳輸協(xié)議(FTP)服務(wù)器、SMTP服務(wù)這些組件。

(5)確認(rèn)所有必需的組件前都已打勾后，單擊【確定】按鈕，回到【添加/刪除Windows組件】窗口，單擊【下一步】按鈕，這時(shí)安裝程序開始從Windows安裝光盤復(fù)制所需的文件到硬盤上。

(6)安裝完成后，顯示如圖所示的成功安裝信息，單擊【完成】按鈕，完成對IIS的安裝。

二、對IIS的配置

成功安裝IIS后，系統(tǒng)自動建立了兩個默認(rèn)的Web站點(diǎn)。下面進(jìn)行IIS的配置:

(1)單擊【開始】|【程序】|【管理工具】|【Internet服務(wù)管理器】命令，打開【Internet信息服務(wù)】窗口

(2)選擇【默認(rèn)Web站點(diǎn)】，單擊鼠標(biāo)右鍵，打開快捷菜單，選擇【屬性】，在打開的默點(diǎn)Web站點(diǎn)【屬性】對話框中選擇【W(wǎng)eb站點(diǎn)】選項(xiàng)卡，設(shè)置IP地址。如果是內(nèi)網(wǎng)，則使用分配給你的IP地址，我們這里是在配置內(nèi)網(wǎng)使用的Web服務(wù)器，所指定的內(nèi)網(wǎng)IP為10.10.10.100，WEB站點(diǎn)默認(rèn)的端口號為80。

(3)切換到【主目錄】選項(xiàng)卡，設(shè)置站點(diǎn)文件夾路徑。把站點(diǎn)文件夾放到d:sd-web，通過【瀏覽】按鈕，指定為本地路徑。

(4)切換到【文檔】選項(xiàng)卡，輸入站點(diǎn)首頁文件名，作為站點(diǎn)的啟動文檔。當(dāng)瀏覽者訪問站點(diǎn)時(shí)，首先打開這一頁面。

(5)設(shè)置站點(diǎn)的目錄安全性。匿名訪問和驗(yàn)證控制功能，在這里選擇允許匿名訪問我的Web站點(diǎn)，可以讓大家直接訪問該目錄的內(nèi)容。

IP地址及域名限制功能，利用IP地址或域名來限制訪問我的Web站點(diǎn)。

(6)服務(wù)器擴(kuò)展選項(xiàng)

　服務(wù)器擴(kuò)展選項(xiàng)是設(shè)置服務(wù)器的一些重要選項(xiàng)，這里要改變的是性能項(xiàng)和客戶腳本項(xiàng)。為了得到最佳的性能，將“性能”項(xiàng)改為少于100網(wǎng)頁;而“客戶腳本”設(shè)為VBScript。

(7)有關(guān)虛擬目錄

我們將創(chuàng)建一個虛擬目錄，把我們的的web站點(diǎn)放在虛擬目錄中，使用虛擬目錄相對比較安全，因?yàn)橛脩舨恢牢募?shí)際上位于服務(wù)器的什么位置，甚至不能確定文件是否真的存在于該服務(wù)器上，所以便無法使用這些信息來對我的站點(diǎn)進(jìn)行破壞。

局域網(wǎng)服務(wù)器配置

WWW和FTP

設(shè)置WWW服務(wù)器

可以將它的根目錄設(shè)置到C:Inetpubwwwroot下操作：開始菜單→程序→管理工具→Internet服務(wù)管理器→Internet信息服務(wù)→windows2000 sever→默認(rèn)Web站點(diǎn)→右鍵→屬性。
其中：(1)“Web站點(diǎn)”中，“IP地址”選“192.168.0.1”。
(2)“主目錄”中，“本地路徑”填寫：C:Inetpubwwwroot；或通過“瀏覽”完成對些目錄的選擇。
(3)“文檔”中，可修改瀏覽器默認(rèn)調(diào)用的文件名及調(diào)用順序。

設(shè)置FTP服務(wù)器

FTP應(yīng)用環(huán)境：windows域。

服務(wù)器系統(tǒng)：windows server 2000

解決問題：小型公司的日常辦公文件高效、規(guī)范、可靠的安全存儲。

用戶需求：1、存儲權(quán)限集中管理。

2、針對不通部門和員工級別設(shè)置不同的存儲權(quán)限。

3、限制員工的存儲空間，部門經(jīng)理略高，總經(jīng)理最大。

4、限制上傳文件類型，只能存儲辦公文檔（word、excel、PPT）

5、用戶可以單點(diǎn)登陸，便捷訪問。

6、高度的可靠性，7*24小時(shí)無故障存儲。

文件夾權(quán)限設(shè)置

可以將它的根目錄設(shè)置到C:Inetpubftproot下操作：默認(rèn)FTP站點(diǎn)→右鍵→屬性其中：（1）“FTP站點(diǎn)”中，“IP地址”選“192.168.0.1”。
（2）“安全帳號”中，選中“允許IIS控制密碼”。
（3）“消息”中，“歡迎”處輸入FTP連接成功后欲顯示的話；“退出”處輸入FTP斷開時(shí)欲顯示的話。
（4）“主目錄”中，“本地路徑”填寫：C:Inetpubftproot；或通過“瀏覽”完成對些目錄的選擇。

FTP服務(wù)器的架設(shè) 

目前FTP服務(wù)器作為文件的傳輸和共享工具得到廣泛應(yīng)用。FTP服務(wù)器在文件的傳輸上性能穩(wěn)定，占用系統(tǒng)資源小，而且傳輸速度快，現(xiàn)在網(wǎng)上已經(jīng)有很多的FTP服務(wù)器可供使用，而自己架設(shè)一個FTP服務(wù)器也很容易，我們采用的是IIS的架設(shè)方式 

微軟的IIS功能非常強(qiáng)大，它除了提供WWW服務(wù)之外，還提供FTP的服務(wù)，利用它一樣很容易就能架設(shè)一個功能卓越的FTP服務(wù)器。 

設(shè)置IIS來架設(shè)FTP服務(wù)器的幾個步驟：

 第一步：啟動IIS，并啟動IIS上的FTP服務(wù)。在默認(rèn)的情況下，此時(shí)你的FTP服務(wù)器已經(jīng)搭建好，并且可以立即登錄，但是該FTP中沒有任何文件。 

第二步：鼠標(biāo)右擊IIS中的“默認(rèn)FTP站點(diǎn)”項(xiàng)，選擇“屬性”菜單

 第三步：選擇“主目錄”的標(biāo)簽，在FTP站點(diǎn)目錄的“本地路徑”處填上要設(shè)置的共享文件路徑。默認(rèn)情況下，此處的文件夾位置為“C:InetpubFtproot”，如果臨時(shí)想改變共享目錄，隨時(shí)都可在此處修改，以后別人登錄公司的FTP服務(wù)器時(shí)顯示的文件列表就是在這個目錄中。 

第四步：在“主目錄”的標(biāo)簽處，還可設(shè)置FTP服務(wù)器的文件訪問權(quán)限，分別有讀取、寫入和日志訪問，安全起見，這里的寫入權(quán)限一般不選，保證匿名用戶不能隨意對公司的文件進(jìn)行操作。 

第五步：設(shè)置登錄的用戶。如果愿意提供“匿名”的訪問權(quán)限，還需在“安全標(biāo)簽”處選擇上“允許匿名連接。此外，還可從Windows系統(tǒng)帳號中選擇FTP服務(wù)器的特殊帳號，當(dāng)然也可以自己任意設(shè)置用戶名和密碼。 

第六步：在“消息”標(biāo)簽處，有“歡迎”、“退出”和“最大連接數(shù)”3個輸入框，分別代表別人在登錄、退出時(shí)FTP服務(wù)器上給出的提示信息可根據(jù)公司的需要設(shè)置。此外，最大連接數(shù)是設(shè)置同時(shí)連接本地FTP的最大主機(jī)臺數(shù)六臺。 

第七步：在“FTP站點(diǎn)”的標(biāo)簽處設(shè)置FTP標(biāo)識，包括說明、IP地址和端口，這里一般不需要改動，按照默認(rèn)選擇即可。此外，在“C：WinntSystem32Logfiles”目錄中還可以看到連接上FTP的IP、時(shí)間等日志信息。 

此時(shí)，利用IE或者任何一款FTP的客戶端軟件即可登錄公司架設(shè)好的FTP站點(diǎn)。

WWW服務(wù)器和FTP的訪問途徑

WWW的訪問都可使用IE或其他瀏覽器來實(shí)現(xiàn)

直接利用IE登錄FTP?，F(xiàn)在我們正在使用的IE也可作為登錄FTP的工具了，跟瀏覽網(wǎng)頁一樣，只需要將地址前面的HTTP改為FTP即可，例如訪問自己的FTP，可以在瀏覽器中輸入ftp://localhost，這時(shí)是匿名訪問方式，如果用IE登錄FTP時(shí)需用戶名和密碼，則可以右鍵調(diào)出登錄的菜單，在對話框中輸入用戶名和密碼即可。IE登錄FTP服務(wù)器之后，F(xiàn)TP服務(wù)器上的文件跟本機(jī)上的文件一樣，可以對其進(jìn)行復(fù)制和粘貼等操作。 

目錄服務(wù)器的規(guī)劃：因?yàn)橛辛_電腦，所以我們有設(shè)置六個賬號和密碼

服務(wù)器安裝

建立第一個Web站點(diǎn)

比如本機(jī)的IP地址為192.168.0.1，自己的網(wǎng)頁放在D:Wy目錄下，網(wǎng)頁的首頁文件名為Index.htm，現(xiàn)在想根據(jù)這些建立好自己的Web服務(wù)器。

對于此Web站點(diǎn)，我們可以用現(xiàn)有的“默認(rèn)Web站點(diǎn)”來做相應(yīng)的修改后，就可以輕松實(shí)現(xiàn)。請先在“默認(rèn)Web站點(diǎn)”上單擊右鍵，選“屬性”，以進(jìn)入名為“默認(rèn)Web站點(diǎn)屬性”設(shè)置界面。

1．修改綁定的IP地址：轉(zhuǎn)到“Web站點(diǎn)”窗口，再在“IP地址”后的下拉菜單中選擇所需用到的本機(jī)IP地址“192.168.0.1”。

2．修改主目錄：轉(zhuǎn)到“主目錄”窗口，再在“本地路徑”輸入（或用“瀏覽”按鈕選擇）好自己網(wǎng)頁所在的“D:Wy”目錄。

3．添加首頁文件名：轉(zhuǎn)到“文檔”窗口，再按“添加”按鈕，根據(jù)提示在“默認(rèn)文檔名”后輸入自己網(wǎng)頁的首頁文件名“Index.htm”。

4．添加虛擬目錄：比如你的主目錄在“D:Wy”下，而你想輸入“192.168.0.1/test”的格式就可調(diào)出“E:All”中的網(wǎng)頁文件，這里面的“test”就是虛擬目錄。請?jiān)凇澳J(rèn)Web站點(diǎn)”上單擊右鍵，選“新建→虛擬目錄”，依次在“別名”處輸入“test”，在“目錄”處輸入“E:All”后再按提示操作即可添加成功。

5．效果的測試：打開IE瀏覽器，在地址欄輸入“192.168.0.1”之后再按回車鍵，此時(shí)就能夠調(diào)出你自己網(wǎng)頁的首頁，則說明設(shè)置成功！

添加更多的Web站點(diǎn)

1．多個IP對應(yīng)多個Web站點(diǎn)如果本機(jī)已綁定了多個IP地址，想利用不同的IP地址得出不同的Web頁面，則只需在“默認(rèn)Web站點(diǎn)”處單擊右鍵，選“新建→站點(diǎn)”，然后根據(jù)提示在“說明”處輸入任意用于說明它的內(nèi)容（比如為“我的第二個Web站點(diǎn)”）、在“輸入Web站點(diǎn)使用的IP地址”的下拉菜單處選中需給它綁定的IP地址即可；當(dāng)建立好此Web站點(diǎn)之后，再按上步的方法進(jìn)行相應(yīng)設(shè)置。

2．一個IP地址對應(yīng)多個Web站點(diǎn)當(dāng)按上步的方法建立好所有的Web站點(diǎn)后，對于做虛擬主機(jī)，可以通過給各Web站點(diǎn)設(shè)不同的端口號來實(shí)現(xiàn)，比如給一個Web站點(diǎn)設(shè)為80，一個設(shè)為81，一個設(shè)為82……，則對于端口號是80的Web站點(diǎn)，訪問格式仍然直接是IP地址就可以了，而對于綁定其他端口號的Web站點(diǎn)，訪問時(shí)必須在IP地址后面加上相應(yīng)的端口號，也即使用如“http://192.168.0.1:81”的格式。

很顯然，改了端口號之后使用起來就麻煩些。如果你已在DNS服務(wù)器中將所有你需要的域名都已經(jīng)映射到了此惟一的IP地址，則用設(shè)不同“主機(jī)頭名”的方法，可以讓你直接用域名來完成對不同Web站點(diǎn)的訪問。

比如你本機(jī)只有一個IP地址為192.168.0.1，你已經(jīng)建立（或設(shè)置）好了兩個Web站點(diǎn)，一個是“默認(rèn)Web站點(diǎn)”，一個是“我的第二個Web站點(diǎn)”，現(xiàn)在你想輸入“www.enanshan.com”可直接訪問前者，輸入“www.popunet.com”可直接訪問后者。其操作步驟如下：

請確保已先在DNS服務(wù)器中將你這兩個域名都已映射到了那個IP地址上；并確保所有的Web站點(diǎn)的端口號均保持為80這個默認(rèn)值。

再依次選“默認(rèn)Web站點(diǎn)→右鍵→屬性→Web站點(diǎn)”，單擊“IP地址”右側(cè)的“高級”按鈕，在“此站點(diǎn)有多個標(biāo)識下”雙擊已有的那個IP地址（或單擊選中它后再按“編輯”按鈕），然后在“主機(jī)頭名”下輸入“www.enanshan.com”再按“確定”按鈕保存退出。

接著按上步同樣的方法為“我的第二個Web站點(diǎn)”設(shè)好新的主機(jī)頭名為“www.popunet.com”即可。

最后，打開你的IE瀏覽器，在地址欄輸入不同的網(wǎng)址，就可以調(diào)出不同Web站點(diǎn)的內(nèi)容了。

3．多個域名對應(yīng)同個Web站點(diǎn)

你只需先將某個IP地址綁定到Web站點(diǎn)上，再在DNS服務(wù)器中，將所需域名全部映射向你的這個IP地址上，則你在瀏覽器中輸入任何一個域名，都會直接得到所設(shè)置好的那個網(wǎng)站的內(nèi)容。

對服務(wù)的遠(yuǎn)程管理

1．在“管理Web站點(diǎn)”上單擊右鍵，選“屬性”，再進(jìn)入“Web站點(diǎn)”窗口，選擇好“IP地址”。

2．轉(zhuǎn)到“目錄安全性”窗口，單擊“IP地址及域名限制”下的“編輯”按鈕，點(diǎn)選中“授權(quán)訪問”以能接受客戶端從本機(jī)之外的地方對IIS進(jìn)行管理；最后單擊“確定”按鈕。

3．則在任意計(jì)算機(jī)的瀏覽器中輸入如“http://192.168.0.1:3598”（3598為其端口號）的格式后，將會出現(xiàn)一個密碼詢問窗口，輸入管理員帳號名（Administrator）和相應(yīng)密碼之后就可登錄成功，現(xiàn)在就可以在瀏覽器中對IIS進(jìn)行遠(yuǎn)程管理了！在這里可以管理的范圍主要包括對Web站點(diǎn)和FTP站點(diǎn)進(jìn)行的新建、修改、啟動、停止和刪除等操作。

打印機(jī)的安裝

1、開始——設(shè)置——打印機(jī)——添加打印機(jī)。

2、出現(xiàn)“歡迎使用添加打印機(jī)向?qū)А睂υ捒颉獑螕簟跋乱徊健薄?/pre>
3、選取“本地打印機(jī)”——選取打印設(shè)備所連接的端口，一般都是連接在LPT1端口 ——單擊“下一步”。
4、選取“打印機(jī)制造商”和“打印機(jī)型號”——單擊“下一步”。
5、輸入“打印機(jī)名”——單擊“下一步”。
6、出現(xiàn)“打印機(jī)共享”對話框，若想讓其它用戶使用打印機(jī)請將此共享，并設(shè)備共 享名，否則“下一步”。
7、出現(xiàn)的打印機(jī)位置和注釋等一些說明性文字。
8、詢問是打印打印機(jī)測試頁，單擊“是”——“下一步”。
將現(xiàn)在有打印機(jī)設(shè)為共享打印機(jī)：
開始——設(shè)置——打印機(jī)——打印機(jī)名——鼠標(biāo)右鍵——共享——確定。
安裝其他操作系統(tǒng)所需要的打印機(jī)驅(qū)動程序
開始——設(shè)置——打印機(jī)——打印機(jī)名——鼠標(biāo)右鍵——屬性——共享——其他驅(qū)動程序——選定所需打印機(jī)驅(qū)動程序——確定。
打印機(jī)共享
　　第一步:將打印機(jī)連接至主機(jī)，打開打印機(jī)電源，通過主機(jī)的“控制面板”進(jìn)入到“打印機(jī)和傳真”文件夾，在空白處單擊鼠標(biāo)右鍵，選擇“添加打印機(jī)”命令，打開添加打印機(jī)向?qū)Т翱凇＿x擇“連接到此計(jì)算機(jī)的本地打印機(jī)”，并勾選“自動檢測并安裝即插即用的打印機(jī)”復(fù)選框。
　　第二步:此時(shí)主機(jī)將會進(jìn)行新打印機(jī)的檢測，很快便會發(fā)現(xiàn)已經(jīng)連接好的打印機(jī)，根據(jù)提示將打印機(jī)附帶的驅(qū)動程序光盤放入光驅(qū)中，安裝好打印機(jī)的驅(qū)動程序后，在“打印機(jī)和傳真”文件夾內(nèi)便會出現(xiàn)該打印機(jī)的圖標(biāo)了。
　　第三步:在新安裝的打印機(jī)圖標(biāo)上單擊鼠標(biāo)右鍵，選擇“共享”命令，打開打印機(jī)的屬性對話框，切換至“共享”選項(xiàng)卡，選擇“共享這臺打印機(jī)”，并在“共享名”輸入框中填入需要共享的名稱，例如CompaqIJ，單擊“確定”按鈕即可完成共享的設(shè)定。
打印機(jī)使用注意事項(xiàng)
　　1.萬一打印機(jī)產(chǎn)生發(fā)熱，冒煙，有異味，有異常聲音等情況，請馬上切斷電源與信息人員聯(lián)系。
　　2.打印機(jī)上禁止放其它物品。打印機(jī)長時(shí)間不用時(shí)，請把電源插頭從電源插座中拔出。
　　3.為防萬一，當(dāng)附近打雷時(shí)，將電源插頭從插座中拔出。如果插著的話，有可能機(jī)器受到損壞。
　　4.打印紙及色帶盒未設(shè)置時(shí)，禁止打印。打印頭和打印輥會受到損傷。
　　5.打印頭處于高溫狀態(tài)。在溫度下降之前禁止接觸。防止?fàn)C傷，受傷。
　　6.請勿觸摸打印電纜接頭及打印頭的金屬部分。打印頭工作的時(shí)候，不可觸摸打印頭。
　　7.打印頭工作的時(shí)候，禁止切斷電源。
　　8.請不要隨意拆卸、搬動、拖動，如有故障，請與信息人員聯(lián)系。
　　9.禁止異物(訂書針，金屬片，液體等)進(jìn)入本機(jī)，否則會造成觸電或機(jī)器故障。
　　10.在確保打印機(jī)電源正常、數(shù)據(jù)線和計(jì)算機(jī)連接時(shí)方可開機(jī)。
　　11.打印機(jī)在打印的時(shí)候請勿搬動、拖動、關(guān)閉打印機(jī)電源。
　　12.對于打印同樣重復(fù)的檔，請不要超過5份，超過5份時(shí)應(yīng)拿到前臺復(fù)印機(jī)上復(fù)印。
　　13.在打印量過大時(shí)，應(yīng)讓打印量保持在30份以內(nèi)使打印機(jī)休息5-10分鐘，以免打印機(jī)過熱而損壞。
　　14.在打印檔的時(shí)候，不允許使用厚度過高（超過80g）的紙、不允許使用有皺紋、折疊過的紙。
　　15.如打印機(jī)在出現(xiàn)嚴(yán)重物理損壞、人為損壞或不按上述操作規(guī)范而使打印機(jī)損壞時(shí)將會追究其責(zé)任人。
打印機(jī)的簡單故障處理
打印機(jī)不進(jìn)紙時(shí)的簡單故障處理
　　1，打開頂蓋，把打印頭撥到最左邊，按住面板三個鍵開機(jī)，聽到響聲后，將頂蓋蓋上。
　　2.連續(xù)按兩下ST1鍵，等聽到蜂鳴聲的時(shí)候，將A4紙放進(jìn)去，按ST2鍵一下，A4紙進(jìn)取后，又出來。
　　3.等A4紙出來后，再重新放入機(jī)器，此時(shí)，打印機(jī)就會打印一組參數(shù)出來。
　　4.重新啟動PR2E存折打印機(jī)。
打印機(jī)維護(hù)與保養(yǎng)
　　打印機(jī)是辦公設(shè)備重要的一類，提倡主動維修，使機(jī)器的停機(jī)時(shí)間處于最小，從而獲得最佳使用效率和價(jià)值。復(fù)印機(jī)、打印機(jī)、傳真機(jī)、證卡機(jī)等等……是集光學(xué)、機(jī)械、電子技術(shù)為一體的精密辦公設(shè)備，通過使用顆小的靜電墨粉，利用靜電原理，在感光材料上形成靜電潛像，使微小的墨粉附在感光材料上，再將其轉(zhuǎn)印到紙上從而得到需要副本。這個工序是利用靜電的特性進(jìn)行的。因此，在機(jī)器內(nèi)部的傳動部件、光學(xué)部件以及高壓部件上容易附著紙屑、漂浮的墨粉等，但這些的存在只會影響復(fù)印的質(zhì)量。若放任不管，會增加機(jī)器的驅(qū)動負(fù)荷，妨礙熱量的排除，說不定也可能是造成機(jī)器故障的原因。
DNS務(wù)器
公司因?yàn)樯暇W(wǎng)人員只有6人，所以
首先將服務(wù)器安裝windows2000 sever和PC機(jī)分別為A、B、C、D、E、F 
工作組都為WORKGROUP，均安裝windows 2000 professional版本
在自帶的服務(wù)管理里面有.
選擇配置服務(wù)器,DNS服務(wù)器，有關(guān)DNS服務(wù)器直接安裝在WINDOWS 2000 SERVER上即可，系統(tǒng)默認(rèn)就是自動獲取DNS服務(wù)器地址。
并且，因?yàn)楣旧婕吧暇W(wǎng)人數(shù)較少，所以DNS服務(wù)器不需二級、三級域名。
用DHCP服務(wù)器有效管理局域網(wǎng)
需要用到DHCP服務(wù)(動態(tài)主機(jī)配置協(xié)議)，來動態(tài)處理客戶端的IP地址配置
公司最多6人同時(shí)上線，采用固定網(wǎng)絡(luò)參數(shù)。所以，我們選擇了普通的C類局域網(wǎng)私有IP地址 網(wǎng)段192.168.1.2——192.168.1.21。把前面15個留給固定網(wǎng)絡(luò)參數(shù)的用戶，并預(yù)留192.168.1.17——192.168.1.21這段IP地址不作為DHCP分配用。這樣就不會搶占固定用戶網(wǎng)絡(luò)的IP地址，避免了IP地址沖突的發(fā)生。
網(wǎng)絡(luò)安全
在當(dāng)今網(wǎng)絡(luò)化的世界中，計(jì)算機(jī)信息和資源很容易遭到各方面的攻擊。一方面，來源于Internet，Internet給企業(yè)網(wǎng)帶來成熟的應(yīng)用技術(shù)的同時(shí)，也把固有的安全問題帶給了企業(yè)網(wǎng)；另一方面，來源于企業(yè)內(nèi)部，因?yàn)槭瞧髽I(yè)內(nèi)部的網(wǎng)絡(luò)，主要針對企業(yè)內(nèi)部的人員和企業(yè)內(nèi)部的信息資源，因此，企業(yè)網(wǎng)同時(shí)又面臨自身所特有的安全問題。網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時(shí)，也使得網(wǎng)絡(luò)很容易遭受到攻擊，而攻擊的后果是嚴(yán)重的，諸如數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。因此我們公司為萬通網(wǎng)絡(luò)公司制定了一些網(wǎng)絡(luò)安全防范措施。
一.網(wǎng)絡(luò)安全技術(shù)
1.VLAN(虛擬局域網(wǎng))技術(shù)

　　選擇VLAN技術(shù)可較好地從鏈路層實(shí)施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)，它依靠用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點(diǎn)的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實(shí)施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息。
2.網(wǎng)絡(luò)分段技術(shù)
企業(yè)網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包，可以被處在同一以太網(wǎng)上的任何一個節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接人以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。
　
3.硬件防火墻技術(shù)
任何企業(yè)安全策略的一個主要部分都是實(shí)現(xiàn)和維護(hù)防火墻，因此防火墻在網(wǎng)絡(luò)安全的實(shí)現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。
4.入侵檢測技術(shù)
　入侵檢測方法較多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實(shí)現(xiàn)。病毒檢測技術(shù)：可以在防火墻、代理服務(wù)器或網(wǎng)絡(luò)服務(wù)器上安裝病毒過濾軟件，或者在企業(yè)局域網(wǎng)上安裝網(wǎng)絡(luò)版殺毒軟件，檢查和清除病毒。
5.加密技術(shù)
網(wǎng)絡(luò)數(shù)據(jù)的加密技術(shù)可以分為3類，即對稱型加密、不對稱型加密和不可逆加密，其中不可逆加密算法不存在密鑰保管和分發(fā)問題，適用于分布式網(wǎng)絡(luò)系統(tǒng)，但是其加密算法相當(dāng)可觀，所以通常在數(shù)據(jù)量有限的情形下使用。計(jì)算機(jī)系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來，隨著計(jì)算機(jī)系統(tǒng)性能的不斷提高，不可逆加密算法的應(yīng)用逐漸增加。
6.VPN(虛擬專網(wǎng))技術(shù)`
　　VPN技術(shù)的核心是采用隧道技術(shù)，將內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)加密封裝后，通過虛擬的公網(wǎng)隧道進(jìn)行傳輸，從而防止敏感數(shù)據(jù)的被竊。VPN可以在Internet、服務(wù)提供商的IP網(wǎng)、幀中繼網(wǎng)或ATM網(wǎng)上建立，網(wǎng)絡(luò)用戶通過Internet等公網(wǎng)建立VPN，就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣，享有較高的安全性、優(yōu)先性、可靠性和可管理性，而其建設(shè)周期、投入資金和維護(hù)費(fèi)用卻大大降低，同時(shí)還為遠(yuǎn)程用戶和移動用戶提供了安全的網(wǎng)絡(luò)接人。
7.系統(tǒng)備份和恢復(fù)技術(shù)
　　防范手段不可能設(shè)計(jì)得面面俱到，突發(fā)性事件會給計(jì)算機(jī)系統(tǒng)帶來不可預(yù)知的災(zāi)難。因此，必須建立系統(tǒng)的備份與恢復(fù)，以便在災(zāi)難發(fā)生后保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行。備份方案有多種類型，其最終目標(biāo)是保證系統(tǒng)連續(xù)運(yùn)行，其中網(wǎng)絡(luò)通信、主機(jī)系統(tǒng)、業(yè)務(wù)數(shù)據(jù)是保證系統(tǒng)連續(xù)運(yùn)行不可缺少的環(huán)節(jié)，在選擇備份方案時(shí)應(yīng)把對數(shù)據(jù)的備份作為重點(diǎn)。日常備份制度是系統(tǒng)備份方案的具體實(shí)施細(xì)則，在制定完畢后，應(yīng)嚴(yán)格按照制度進(jìn)行日常備份，否則將無法達(dá)到備份方案的目標(biāo)。系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù)，還要備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息。
二.制定安全策略的原則 
所謂的網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。網(wǎng)絡(luò)的安全策略就是針對網(wǎng)絡(luò)的實(shí)際情況(被保護(hù)信息價(jià)值、被攻擊危險(xiǎn)性、可投入的資金)，在網(wǎng)絡(luò)管理的整個過程，具體對各種網(wǎng)絡(luò)安全措施進(jìn)行取舍。網(wǎng)絡(luò)的安全策略可以說是在一定條件下的成本和效率的平衡。雖然網(wǎng)絡(luò)的具體應(yīng)用環(huán)境不同，但我們在制定安全策略時(shí)應(yīng)遵循一些總的原則。
1.適應(yīng)性原則：安全策略是在一定條件下采取的安全措施。我們制定的安全策略必須是和網(wǎng)絡(luò)的實(shí)際應(yīng)用環(huán)境相結(jié)合的。通常，在一種情況下實(shí)施的安全策略到另一環(huán)境下就未必適合。例如:校園網(wǎng)環(huán)境就必須允許匿名登錄,而一般的企業(yè)網(wǎng)絡(luò)的安全策略不允許匿名登錄。
2.動態(tài)性原則：安全策略又是在一定時(shí)期采取的安全措施。由于用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快，而安全措施是防范性的、持續(xù)不斷的，所以制定的安全措施必須不斷適應(yīng)網(wǎng)絡(luò)發(fā)展和環(huán)境的變化。
3．簡單性原則：網(wǎng)絡(luò)用戶越多，網(wǎng)絡(luò)管理人員越多，網(wǎng)絡(luò)拓?fù)湓綇?fù)雜，采用網(wǎng)絡(luò)設(shè)備種類和軟件種類越多，網(wǎng)絡(luò)提供的服務(wù)和捆綁的協(xié)議越多，出現(xiàn)安全漏洞的可能性就越大，出現(xiàn)安全問題后找出問題原因和責(zé)任者的難度就越大。安全的網(wǎng)絡(luò)是相對簡單的網(wǎng)絡(luò)。例如:最不安全的網(wǎng)絡(luò)可以說是Internet。
4．系統(tǒng)性原則：網(wǎng)絡(luò)的安全管理是一個系統(tǒng)化的工作，必須考慮到整個網(wǎng)絡(luò)的方方面面。也就是在制定安全策略時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備、各種情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略。任何一點(diǎn)疏漏都會造成整個網(wǎng)絡(luò)安全性的降低。
三.安全策略 
1. 網(wǎng)絡(luò)規(guī)劃時(shí)的安全策略 
網(wǎng)絡(luò)的安全性最好在網(wǎng)絡(luò)規(guī)劃階段就要考慮進(jìn)去，一些安全策略在網(wǎng)絡(luò)規(guī)劃時(shí)就要實(shí)施。
明確網(wǎng)絡(luò)安全的責(zé)任人和安全策略的實(shí)施者。人是制定和執(zhí)行網(wǎng)絡(luò)安全策略的主體。對于小型網(wǎng)絡(luò)來說網(wǎng)絡(luò)管理員可以是網(wǎng)絡(luò)安全責(zé)任人。
0+網(wǎng)絡(luò)上所有的服務(wù)器和網(wǎng)絡(luò)設(shè)備，設(shè)置物理上的安全措施（防火、防盜）和環(huán)境上的安全措施（供電、溫度）。對小型的局域網(wǎng)最好將網(wǎng)絡(luò)上的公用服務(wù)器和主交換設(shè)備安置在一間中心機(jī)房內(nèi)集中放置。
網(wǎng)絡(luò)規(guī)劃應(yīng)考慮容錯和備份。安全策略不可能保證網(wǎng)絡(luò)絕對安全和硬件不出故障。我們的網(wǎng)絡(luò)應(yīng)允許網(wǎng)絡(luò)出現(xiàn)的一些故障，并且可以很快從災(zāi)難中恢復(fù)。網(wǎng)絡(luò)的主備份系統(tǒng)應(yīng)位于中心機(jī)房。
如果你的網(wǎng)絡(luò)與Internet有固定連接（靜態(tài)的IP地址），只要資金允許最好在網(wǎng)絡(luò)和Internet之間安裝防火墻。
網(wǎng)絡(luò)使用代理服務(wù)器訪問Internet。不僅可以降低訪問成本，而且隱藏了網(wǎng)絡(luò)規(guī)模和特性，加強(qiáng)了網(wǎng)絡(luò)的安全性。
2.網(wǎng)絡(luò)管理員的安全策略 
對于小型網(wǎng)絡(luò)來說網(wǎng)絡(luò)管理員一般承擔(dān)安全管理員的角色。網(wǎng)絡(luò)管理員采取的安全策略，最重要的是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。 
網(wǎng)絡(luò)管理員必須了解整個網(wǎng)絡(luò)中的重要公共數(shù)據(jù)(限制寫)和機(jī)密數(shù)據(jù)(限制讀)分別是哪些，它在哪兒，哪些人使用，屬于哪些人，丟失或泄密會造成怎樣的損失。這些重要數(shù)據(jù)集中至位于中心機(jī)房的務(wù)器上，置于有安全經(jīng)驗(yàn)的專人管理之下。
定期對各類用戶進(jìn)行安全培訓(xùn)。 
服務(wù)器上只安裝NT。不要安裝Windows9x和DOS，確保服務(wù)器只能從NT啟動。 
服務(wù)器上所有的卷全部使用NTFS。 
使用最新的Service Pack升級你的NT。
設(shè)置服務(wù)器的BIOS，不允許從可移動的存儲設(shè)備(軟驅(qū)、光驅(qū)、ZIP、SCIS設(shè)備)啟動。確保服務(wù)器從NT啟動置于NT安全機(jī)制管理之下。
通過BIOS設(shè)置軟驅(qū)無效，并設(shè)置BIOS口令。防止非法用戶利用控制臺獲取敏感數(shù)據(jù)，以及由軟驅(qū)感染病毒到服務(wù)器。
取消服務(wù)器上不用的服務(wù)和協(xié)議種類。網(wǎng)絡(luò)上的服務(wù)和協(xié)議越多安全性越差。 
將服務(wù)器注冊表HKEY_LOCAL_ MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogon項(xiàng)中的Don't Display Last User Name串?dāng)?shù)據(jù)修改為1，隱藏上次登陸控制臺的用戶名。
不要將服務(wù)器的Windows NT設(shè)置為自動登錄，應(yīng)使用NT Security對話框(Ctrl+Alt+Del)注冊。
C/S軟件的服務(wù)器端如果是用戶模式運(yùn)行的(即需要從服務(wù)器端登錄)，用NT Resource Kit中的Autoexnt將設(shè)為啟動時(shí)自動運(yùn)行形式。
系統(tǒng)文件和用戶數(shù)據(jù)文件分別存儲在不同的卷上。方便日常的安全管理和數(shù)據(jù)備份。
修改默認(rèn)“Administrator”用戶名,加上“強(qiáng)口令”(多于10個字符且必須包括數(shù)字和符號)，最好再創(chuàng)建一個具有“強(qiáng)口令”的管理員特權(quán)的賬號，使網(wǎng)絡(luò)管理員賬號不易被攻破。
管理員賬號僅用于網(wǎng)絡(luò)管理，不要在任何客戶機(jī)上使用管理員賬號。對屬于Administrator組和備份組的成員用戶要特別慎重。
記住口令文件保存在\WINNT SYSTEM32CONFIG目錄的SAM文件中，\WINNTREPAIR目錄中有SAM備份。對SAM文件寫入、更改權(quán)限等進(jìn)行審計(jì)。
鼓勵用戶將數(shù)據(jù)保存到服務(wù)器上。DOS和Windows9x客戶機(jī)沒有NT提供的安全性，所以不建議用戶在本地硬盤上共享文件。
限制可以登錄到有敏感數(shù)據(jù)的服務(wù)器的用戶數(shù)。這樣在出現(xiàn)問題時(shí)可以縮小懷疑范圍。
利用Windows9x的“系統(tǒng)策略編輯器”建立策略文件，存入服務(wù)器，控制的Windows9x客戶機(jī)的注冊表。建議打開計(jì)算機(jī)策略中的“需要使用Network for WindowsAccess進(jìn)行驗(yàn)證”、“登錄到WindowsNT”/“禁用域口令緩沖”，控制Windows9x用戶必須首先注冊到網(wǎng)上。這樣可以防止用戶通過“放棄”使用Windows9x降低客戶機(jī)安全。
通過“系統(tǒng)策略編輯器”可以進(jìn)一步控制一般用戶或組在Windows9x客戶機(jī)上的行為。
不允許一般用戶在服務(wù)器上擁有除讀/執(zhí)行以外的權(quán)限。NT本身不支持用戶空間限制，這一點(diǎn)對校園網(wǎng)安全特別重要。
限制Guest賬號的權(quán)限，最好不允許使用Guest賬號。不要在Everyone組增加任何權(quán)限，因?yàn)镚uest也屬于該組。
一般不直接給用戶賦權(quán)，而通過用戶組分配用戶權(quán)限。
新增用戶時(shí)分配一個口令，并控制用戶“首次登錄必須更改口令”，最好進(jìn)一步設(shè)置成口令的不低于6個字符，杜絕安全漏洞。
至少對用戶“登錄和注銷”網(wǎng)絡(luò)、“重新啟動、關(guān)機(jī)及系統(tǒng)”、“安全規(guī)則更改”活動進(jìn)行審計(jì)，但不要忘了過多的審計(jì)將影響系統(tǒng)性能。
3.針對提供Internet訪問服務(wù)網(wǎng)絡(luò)的策略
25．文件服務(wù)器不與Internet直接連接，設(shè)專用代理服務(wù)器；不允許客戶機(jī)通過Modem連到Internet，形成在防火墻內(nèi)的連接。
26．可以利用“TCP/IP安全”對話框，關(guān)閉Internet上機(jī)器不用的TCP/UDP端口，過濾流入服務(wù)器的請求，特別是限制使用TCP/UDP的137、138、139端口。
27．可以考慮將對外的Web服務(wù)器放在防火墻之外，隔離外界對內(nèi)的訪問以保護(hù)內(nèi)部的敏感數(shù)據(jù)。
28．對只提供內(nèi)部訪問的服務(wù)器和客戶機(jī)可以采用非TCP/IP協(xié)議實(shí)現(xiàn)連接，這樣可以隔離Internet訪問。
29．利用端口掃描工具，定期在防火墻外對網(wǎng)絡(luò)內(nèi)所有的服務(wù)器和客戶進(jìn)行端口掃描。
4.以下的策略針對提供遠(yuǎn)程訪問服務(wù)情況
30．不允許除NT的RAS以外的機(jī)器應(yīng)答遠(yuǎn)程訪問請求。最好設(shè)專門的遠(yuǎn)程訪問服務(wù)器，并將該服務(wù)器置于中心機(jī)房。
31．對于偶爾使用遠(yuǎn)程訪問可以采用人工控制RAS服務(wù)的啟動和停止。
32．對固定的用戶最好采取回叫的方式實(shí)現(xiàn)遠(yuǎn)程連接。
33．通過RAS服務(wù)器的IP地址分配，限制遠(yuǎn)程用戶的IP地址，進(jìn)而利用防火墻控制和隔離遠(yuǎn)程訪問客戶。
34．對于遠(yuǎn)程訪問的口令采取某種加密鑒別(如:MS-CHAP)，以保證用戶口令在遠(yuǎn)程線路上安全傳送。
5.網(wǎng)絡(luò)用戶的安全策略 
網(wǎng)絡(luò)的安全不僅僅是網(wǎng)絡(luò)管理員的事，網(wǎng)絡(luò)上的每一個用戶都有責(zé)任。網(wǎng)絡(luò)用戶應(yīng)該了解下列安全策略：
用一個長且難猜的口令。不要將自己的口令告訴任何人。
清楚自己私有數(shù)據(jù)存儲的位置，知道如何備份和恢復(fù)。 
定期參加網(wǎng)絡(luò)知識和網(wǎng)絡(luò)安全的培訓(xùn)，了解網(wǎng)絡(luò)安全知識，養(yǎng)成注意安全的工作習(xí)慣。
盡量不要在本地硬盤上共享文件，因?yàn)檫@樣做將影響自己的機(jī)器安全。最好將共享文件存放在服務(wù)器上，既較安全又方便了他人隨時(shí)使用文件。
設(shè)置客戶機(jī)的BIOS，不允許從軟驅(qū)啟動。 
通過“系統(tǒng)策略編輯器/注冊表編輯器”控制在Windows9x工作站上“不顯示最后一次登錄的用戶名”和“禁止使用口令緩存”。防止口令從緩存中被獲取和最后一次登錄的用戶被利用。
設(shè)置有顯示的(即非黑屏，防止誤認(rèn)為關(guān)機(jī))屏幕保護(hù)，并且加上口令保護(hù)。
當(dāng)你較長時(shí)間離開機(jī)器時(shí)一定要退出網(wǎng)絡(luò)。 
安裝啟動時(shí)病毒掃描軟件。雖然絕大多數(shù)病毒對NT服務(wù)器不構(gòu)成威脅，但會通過NT網(wǎng)在客戶端很快傳播開來。
 
6.Internet有權(quán)用戶需要了解的安全策略 
 　　由于Internet是在網(wǎng)絡(luò)外部的，訪問Internet有可能將機(jī)器至于不安全的環(huán)境，需要在上述安全策略基礎(chǔ)上進(jìn)一步采取下述的安全策略：
確認(rèn)你的機(jī)器沒有安裝“文件和打印機(jī)共享”服務(wù)。因?yàn)镮nternet上的黑客，有機(jī)會通過這個服務(wù)獲取和共享文件，從而可能造成對局部數(shù)據(jù)及網(wǎng)絡(luò)安全的威脅。
不要通過Modem直接連接Internet。 
不要下載安裝未經(jīng)安全認(rèn)證的軟件和插件。 
WEB頁面中的ActiveX，Java小應(yīng)用、腳本可能泄漏你的秘密，可以禁止其在瀏覽。
1、防火墻技術(shù)
　　“防火墻”是一種形象的說法，其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)( ScurityGateway)，而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。所謂防火墻就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。防火墻有二類，標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻系統(tǒng)包括一個UNIX工作站，該工作站的兩端各接一個路由器進(jìn)行緩沖。其中一個路由器的接口是外部世界，即公用網(wǎng)；另一個則聯(lián)接內(nèi)部網(wǎng)。標(biāo)準(zhǔn)防火墻使用專門的軟件，并要求較高的管理水平，而且在信息傳輸上有一定的延遲。雙家網(wǎng)關(guān)(DualHome Gateway) 則是標(biāo)準(zhǔn)防火墻的擴(kuò)充，又稱堡壘主機(jī)(Bation Host) 或應(yīng)用層網(wǎng)關(guān)(ApplicationsLayerGateway)，它是一個單個的系統(tǒng)，但卻能同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能。其優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用，同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)，反之亦然。
　　隨著防火墻技術(shù)的進(jìn)步，雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置，一種是隱蔽主機(jī)網(wǎng)關(guān)，另一種是隱蔽智能網(wǎng)關(guān)(隱蔽子網(wǎng))。隱蔽主機(jī)網(wǎng)關(guān)是當(dāng)前一種常見的防火墻配置。顧名思義，這種配置一方面將路由器進(jìn)行隱蔽，另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機(jī)。堡壘主機(jī)裝在內(nèi)部網(wǎng)上，通過路由器的配置，使該堡壘主機(jī)成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進(jìn)行通信的唯一系統(tǒng)。目前技術(shù)最為復(fù)雜而且安全級別最商的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問。一般來說，這種防火墻是最不容易被破壞的。
2、數(shù)據(jù)加密技術(shù)
　　與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。
　　(1)數(shù)據(jù)傳輸加密技術(shù)
　　目的是對傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，被將自動重組、解密，成為可讀數(shù)據(jù)。
　　2)數(shù)據(jù)存儲加密技術(shù)
　　目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。
　　(1)數(shù)據(jù)傳輸加密技術(shù)
　　目的是對傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，被將自動重組、解密，成為可讀數(shù)據(jù)。
　　2)數(shù)據(jù)存儲加密技術(shù)
　　目是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。
　　(3)數(shù)據(jù)完整性鑒別技術(shù)
　　目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。
　　(4) 密鑰管理技術(shù)
　　為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。
　　3、智能卡技術(shù)
　　與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦與它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)達(dá)些防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一個內(nèi)部網(wǎng)是否安全時(shí)不僅要考察其手段，而更重要的是對該網(wǎng)絡(luò)所采取的各種措施，其中不光是物理防范，還有人員的素質(zhì)等其他“軟”因素，進(jìn)行綜合評估，從而得出是否安全的結(jié)論。
拒絕服務(wù)攻擊是最常見的一類網(wǎng)絡(luò)攻擊類型。在這一攻擊原理下，他又派生了許多種不同的攻擊方式。正確了解這些不同的拒絕攻擊方式，就能為正確、系統(tǒng)地為自己所在企業(yè)部署完善的安全防護(hù)系統(tǒng)。
入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為。要有效的進(jìn)行反攻擊，首先必須了解入侵的原理和工作機(jī)理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的拒絕服務(wù)攻擊原理進(jìn)行簡要分析，并提出相應(yīng)的對策。
四．拒絕服務(wù)攻擊和防御
1.死亡之Ping（Ping ofdeath）攻擊
由于在早期的階段，路由器對包的最大大小是有限制的，許多操作系統(tǒng)TCP/IP棧規(guī)定ICMP包的大小限制在64KB以內(nèi)。在對ICMP數(shù)據(jù)包的標(biāo)題頭進(jìn)行讀取之后，是根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。當(dāng)大小超過64KB的ICMP包，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，從而使接受方計(jì)算機(jī)宕機(jī)。這就是這種“死亡之Ping”攻擊的原理所在。根據(jù)這一攻擊原理，黑客們只需不斷地通過Ping命令向攻擊目標(biāo)發(fā)送超過64KB的數(shù)據(jù)包，就可使目標(biāo)計(jì)算機(jī)的TCP/IP堆棧崩潰，致使接受方宕機(jī)。
防御方法：目前所有的標(biāo)準(zhǔn)TCP/IP協(xié)議都已具有對付超過64KB大小數(shù)據(jù)包的處理能力，并且大多數(shù)防火墻能夠通過對數(shù)據(jù)包中的信息和時(shí)間間隔分析，自動過濾這些攻擊。視窗系統(tǒng)98、視窗系統(tǒng) NT 4.0（SP3之后 ）、視窗系統(tǒng) 2000/XP/Server 2003、Linux、Solaris和MacOS等系統(tǒng)都已具有抵抗一般“Ping ofdeath”拒絕服務(wù)攻擊的能力。此外，對防火墻進(jìn)行設(shè)置，阻斷ICMP及所有未知協(xié)議數(shù)據(jù)包，都能防止此類攻擊發(fā)生。
2.淚滴（teardrop）攻擊
對于一些大的IP數(shù)據(jù)包，往往需要對其進(jìn)行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的需求。比如，一個6000字節(jié)的IP包，在MTU為2000的鏈路上傳輸?shù)臅r(shí)候，就需要分成三個IP包。在IP報(bào)頭中有一個偏移字段和一個拆分標(biāo)志（MF）。如果MF標(biāo)志設(shè)置為1，則表面這個IP包是個大IP包的片斷，其中偏移字段指出了這個片斷在整個IP包中的位置。例如，對一個6000字節(jié)的IP包進(jìn)行拆分（MTU為2000），則三個片斷中偏移字段的值依次為：0，2000，4000。這樣接收端在全部接收完IP數(shù)據(jù)包后，就能根據(jù)這些信息重新組裝這幾個分次接收的拆分IP包。在這里就又一個安全漏洞能利用了，就是如果黑客們在截取IP數(shù)據(jù)包后，把偏移字段設(shè)置成不正確的值，這樣接收端在收后這些分拆的數(shù)據(jù)包后就不能按數(shù)據(jù)包中的偏移字段值正確重合這些拆分的數(shù)據(jù)包，但接收端會不斷償試，這樣就可能致使目標(biāo)計(jì)算朵操作系統(tǒng)因資源耗盡而崩潰。
淚滴攻擊利用修改在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些操作系統(tǒng)（如SP4以前的視窗系統(tǒng)NT 4.0）的TCP/IP在收到含有重疊偏移的偽造分段時(shí)將崩潰，不過新的操作系統(tǒng)已基本上能自己抵御這種攻擊了。
防御方法：盡可能采用最新的操作系統(tǒng)，或在防火墻上設(shè)置分段重組功能，由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包，然后完成重組工作，而不是直接轉(zhuǎn)發(fā)。因?yàn)榉阑饓ι夏茉O(shè)置當(dāng)出現(xiàn)重疊字段時(shí)所采取的規(guī)則。
3.TCP SYN洪水（TCP SYNFlood）攻擊
TCP/IP棧只能等待有限數(shù)量ACK（應(yīng)答）消息，因?yàn)槊颗_計(jì)算機(jī)用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。如果這一緩沖區(qū)充滿了等待響應(yīng)的初始信息，則該計(jì)算機(jī)就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接超時(shí)。
TCPSYN洪水攻擊正是利用了這一系統(tǒng)漏洞來實(shí)施攻擊的。攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個連接（SYN）請求。目標(biāo)系統(tǒng)在接收到請求后發(fā)送確認(rèn)信息，并等待回答。由于黑客們發(fā)送請示的IP地址是偽造的，所以確認(rèn)信息也不會到達(dá)所有計(jì)算機(jī)，當(dāng)然也就不會有所有計(jì)算機(jī)為此確認(rèn)信息作出應(yīng)答了。而在沒有接收到應(yīng)答之前，目標(biāo)計(jì)算機(jī)系統(tǒng)是不會主動放棄的，繼續(xù)會在緩沖區(qū)中保持相應(yīng)連接信息，一直等待。當(dāng)達(dá)到一定數(shù)量的等待連接后，緩區(qū)部內(nèi)存資源耗盡，從而開始拒絕接收所有其他連接請求，當(dāng)然也包括本來屬于正常應(yīng)用的請求，這就是黑客們的最終目的。
防御方法：在防火墻上過濾來自同一主機(jī)的后續(xù)連接。不過“SYN洪水攻擊”還是非常令人擔(dān)憂的，由于此類攻擊并不尋求響應(yīng)，所以無法從一個簡單高容量的傳輸中鑒別出來。防火墻的具體抵御TCPSYN洪水攻擊的方法將在本書的第三章最后有周詳介紹。
4.Land攻擊
這類攻擊中的數(shù)據(jù)包源地址和目標(biāo)地址是相同的，當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該怎么處理，或循環(huán)發(fā)送和接收該數(shù)據(jù)包，以此來消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。
防御方法：這類攻擊的檢測方法相對來說比較容易，因?yàn)樗苤苯訌呐袛嗑W(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同得出是否屬于攻擊行為。反攻擊的方法當(dāng)然是適當(dāng)?shù)卦O(shè)置防火墻設(shè)備或包過濾路由器的包過濾規(guī)則。并對這種攻擊進(jìn)行審計(jì)，記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址，從而能有效地分析并跟蹤攻擊者的來源。
5.Smurf 攻擊
這是一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。Smurf攻擊利用多數(shù)路由器中具有同時(shí)向許多計(jì)算機(jī)廣播請求的功能。攻擊者偽造一個合法的IP地址，然后由網(wǎng)絡(luò)上所有的路由器廣播需求向受攻擊計(jì)算機(jī)地址做出回答的請求。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請求，因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個地址做出回答，最終結(jié)果可導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，這也就達(dá)到了黑客們追求的目的了。這種Smurf攻擊比起前面介紹的“Ping ofDeath”洪水的流量高出一至兩個數(shù)量級，更容易攻擊成功。更有些新型的Smurf攻擊，將源地址改為第三方的受害者（不再采用偽裝的IP地址），最終導(dǎo)致第三方雪崩。
防御方法：關(guān)閉外部路由器或防火墻的廣播地址特性，并在防火墻上設(shè)置規(guī)則，丟棄掉ICMP協(xié)議類型數(shù)據(jù)包。
6.Fraggle攻擊
Fraggle攻擊只是對Smurf攻擊作了簡單的修改，使用的是UDP協(xié)議應(yīng)答消息，而不再是ICMP協(xié)議了（因?yàn)楹诳蛡兦逦鶸DP協(xié)議更加不易被用戶全部禁止）。同時(shí)Fraggle攻擊使用了特定的端口（通常為7號端口，但也有許多使用其他端口實(shí)施Fraggle攻擊的），攻擊和Smurf攻擊基本類似，不再贅述。
防御方法：關(guān)閉外部路由器或防火墻的廣播地址特性。在防火墻上過濾掉UDP報(bào)文，或屏蔽掉一些常被黑客們用來進(jìn)行Fraggle攻擊的端口。
7.電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺計(jì)算機(jī)不斷地向同一地址發(fā)送大量電子郵件來達(dá)到攻擊目的，此類攻擊能夠耗盡郵件接受者網(wǎng)絡(luò)的帶寬資源。
防御方法：對郵件地址進(jìn)行過濾規(guī)則設(shè)置，自動刪除來自同一主機(jī)的過量或重復(fù)的消息。
方案小結(jié)
該方案是本公司根據(jù)企業(yè)需求分析以及SWOT分析，建設(shè)的一個小型局域網(wǎng)。組建成一個局域網(wǎng)總共花費(fèi)10萬元左右的人民幣。當(dāng)然為了做好后期網(wǎng)絡(luò)維護(hù)工作，我公司決定投資30萬元在局域網(wǎng)組建與維護(hù)方面。
該方案從企業(yè)需求分析、建設(shè)目標(biāo)與規(guī)劃、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)配件以及企業(yè)SWOT分析方面來考慮如何組建局域網(wǎng)。其中建設(shè)目標(biāo)與規(guī)劃，拓?fù)浣Y(jié)構(gòu)分析以及硬件設(shè)備的選擇則是我們組建局域網(wǎng)的側(cè)重的方面。同時(shí)我們還寫出了具體的組網(wǎng)過程。該方案本著經(jīng)濟(jì)，實(shí)用的原則，綜合各種因素，為華威電器有限公司搭建了一個實(shí)用性，經(jīng)濟(jì)型的局域網(wǎng)。
  
網(wǎng)絡(luò)組網(wǎng)方案 







愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101014/210937.html