1、<p>　　重慶航天職業(yè)技術學院</p><p><b>　　畢業(yè)設計（論文）</b></p><p>　　畢業(yè)設計題目：企業(yè)內部網接入設計與網絡規(guī)劃 </p><p>　　系 別： 計算機工程系 </p><p>　　專業(yè)班級： 10051061

2、 </p><p>　　學生學號： 20100127 </p><p>　　學生姓名： </p><p>　　指導教師： </p><p>　　2013 年 4 月 30 日 </p><

3、p><b>　　摘 要</b></p><p>　　伴隨著Internet的日益普及，網絡應用的蓬勃發(fā)展，網絡信息資源的安全備受關注。企業(yè)網網絡中的主機可能會受到非法入侵者的攻擊，網絡中的敏感數據有可能泄露或被修改，保證網絡系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網絡拓撲結構和組網技術對企業(yè)網網絡進行搭建，通過物理、數據等方面的設計對網絡安全進行完善是

4、解決上述問題的有效措施。</p><p>　　針對一個企業(yè)網絡應用與管理的現狀，將企業(yè)網進行升級，建設一個智能、安全、覆蓋整個企業(yè)的網絡，實現用戶管理、數據管理、信息管理、信息服務、網上辦公、安全管理等全方位網絡應用的要求，使企業(yè)的管理達提升到一個新的臺階。</p><p>　　關鍵詞：企業(yè)網，網絡設計，網絡安全</p><p><b>　　ABSTRAC

5、T</b></p><p>　　Along with the growing popularity of the Internet, the vigorous development of network applications, network information resources security concern. Enterprise network host may be illega

6、l intruders, sensitive data may leak or modified to ensure the the network system confidentiality, integrity, availability, controllability, may review the terms of its important significance. By the network topology and

7、 network technology on the enterprise network structures, through the design of the physical, </p><p>　　The status of the application and management of an enterprise network, enterprise network upgrade, buil

8、ding a smart, secure, enterprise-wide network and user management, data management, information management, information services, online office, security management, such as full network the management of enterprise appl

9、ication requirements, so Dati rose to a new level.</p><p>　　Keywords: enterprise，network design，network security</p><p><b>　　目錄</b></p><p><b>　　1 需求分析1</b>&

10、lt;/p><p><b>　　1.1建設背景1</b></p><p>　　1.2 建設目標1</p><p><b>　　1.3建網需求2</b></p><p>　　2 企業(yè)網總體結構設計3</p><p>　　2.1網絡整體規(guī)劃3</p><

11、p>　　2.2網絡整體結構的設計3</p><p>　　2.2.1 主干網設計3</p><p>　　2.2.2 二級樓宇的網絡設計4</p><p>　　3 企業(yè)網詳細設計5</p><p>　　3.1網絡設備的選擇5</p><p>　　3.1.1 路由器5</p><p&

12、gt;　　3.1.2 交換機6</p><p>　　3.2網絡拓撲圖8</p><p><b>　　4 組建網絡10</b></p><p>　　4.1 IP地址的劃分10</p><p>　　4.2配置命令10</p><p>　　4.2.1 宿舍區(qū)交換機的配置10</p&

13、gt;<p>　　4.2.2 辦公區(qū)和會議室交換機的配置11</p><p>　　4.2.3 核心交換機的配置12</p><p>　　4.2.4 路由器的配置14</p><p>　　5 服務器配置與調試16</p><p>　　5.1 windows 2003 server 企業(yè)版的安裝16</p&g

14、t;<p>　　5.2 服務器應用程序的安裝和配置18</p><p>　　5.2.1 IIS信息服務器構建18</p><p>　　5.2.2 配置與管理FTP服務器23</p><p>　　5.2.3 DHCP服務器配置與管理29</p><p>　　5.2.4 DNS服務器配置與管理33</p&g

15、t;<p>　　5.2.5 E-mail服務器配置與管理36</p><p>　　6 企業(yè)內部安全管控39</p><p>　　6.1 企業(yè)網絡安全的主要技術39</p><p>　　6.1.1 防火墻技術39</p><p>　　6.1.2 入侵檢測技術39</p><p>　　6.1

16、.3 網絡防毒、防蠕蟲技術40</p><p>　　6.1.4 加密技術40</p><p>　　6.1.5 PKI技術40</p><p>　　6.1.6 虛擬專用網技術40</p><p>　　6.1.7安全隔離40</p><p>　　6.1.8.安全認證管理系統(tǒng)41</p>&

17、lt;p>　　6.2 協議安全性配置41</p><p>　　6.2.1 協議優(yōu)先級設置41</p><p>　　6.2.2 隊列定制41</p><p>　　6.2.3 訪問控制列表42</p><p>　　6.2.4 局域網內ARP防御44</p><p>　　6.2.5 TCP/IP洪水

18、攻擊防御45</p><p>　　6.2.6 ICMP協議的防御47</p><p>　　6.2.7 DHCP服務器的防御48</p><p>　　6.2.8 DNS的防御48</p><p>　　6.2.9 FTP的防御50</p><p>　　6.2.10 RIP協議的防御50</p&g

19、t;<p>　　7 設備的維護52</p><p>　　7.1日常安全與維護52</p><p>　　7.1.1網絡監(jiān)控52</p><p>　　7.1.2數據備份52</p><p>　　7.1.3用戶權限的管理52</p><p><b>　　8 總結53</b>&l

20、t;/p><p><b>　　參考文獻54</b></p><p><b>　　1 需求分析</b></p><p><b>　　1.1建設背景</b></p><p>　　在現有企業(yè)中，普遍存在著資金不足，信息基礎薄弱，技術人員匱乏等特點。使得他們不能有效地將自身的傳統(tǒng)業(yè)務與信

21、息系統(tǒng)很好的結合起了，以至于常常出現投資不見效果的情況。究其原因，在于企業(yè)信息化觀念的不夠，信息系統(tǒng)沒有總體設計原則。信息化能夠有效減少重復度和加強協作，從而提高效率。</p><p>　　企業(yè)要實現信息化管理，首要的條件就是建立企業(yè)局域網，然后在該系統(tǒng)的基礎上開發(fā)應用各種基礎和專業(yè)基礎和專業(yè)軟件。網絡化可以有效地實現企業(yè)內部的資源共享、信息發(fā)布、技術交流、生產組織、此外，還可以通過這個網絡連接到世界上其它計算機

22、上。使得企業(yè)能夠方便地實現與外部的交流。 </p><p>　　隨著我國計算機網絡技術尤其是Internet技術的高速發(fā)展，加快對企業(yè)局域網研究顯得迫在眉睫。本論文主要研究了企業(yè)網建設的幾個方面體現在：網絡拓撲規(guī)劃，網絡設備的選材及配置、網絡操作系統(tǒng)與應用軟件的選項等</p><p><b>　　1.2 建設目標</b></p><p>　　企

23、業(yè)局域網的最終目標是建設覆蓋整個單位的互連、統(tǒng)一、高效、實用、安全的局域網絡，近期可支持上百個，遠期至少可支持上千個并發(fā)用戶，提供廣泛的資源共享（包括硬件、軟件；軟、硬件結合良好，滿足單位或公司日常辦公需要，方便資源共享、瀏覽；有良好的兼容性和可擴展性，具備單位局域網與其他單位局域網五連，并根據具體需求實現網上視頻信號傳輸的能力。）</p><p><b>　　1.3建網需求</b><

24、/p><p>　　1、實用性——網絡建設從應用實際需求出發(fā)，堅持為領導決策服務，為經營管理服務，為生產建設服務。另外，如果是對現有網絡升級改造，還應該充分考慮如何利用現有資源，盡量發(fā)揮設備效。</p><p>　　2、適度先進性——規(guī)劃局域網，不但要滿足用戶當前的需求，還應該有一定技術前瞻性和用戶需求預見性，考慮到能夠滿足未來幾年內用戶對網絡功能和帶寬的需要。采用成熟的先進技術，兼顧未來的發(fā)展

25、趨勢，即量力而行，又適當超前，留有發(fā)展余地。 </p><p>　　3、經濟性——要求價格適中，設備及耗材要求采用質量過硬，物美價廉。 </p><p>　　4、安全可靠性——確保網絡可靠運行，在網絡的關鍵部分應具有容錯能力，提供公共網絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。 </p><p>　　5、開放性——采用國際標準通信協議、標準操作系統(tǒng)、標準網管軟

26、件、采用符合標準的設備，保證整個系統(tǒng)具有開發(fā)特點，增強與異種機。異構網的互連能力。 </p><p>　　6、可擴展性——系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性。 </p><p>　　7、安全保密性——為了保證網上信息的安全和各種應用系統(tǒng)的安全，在規(guī)劃時就需求為局域網考慮一個周全的安全保密方案。</p><p>　　2 企業(yè)網總體結構設計</

27、p><p><b>　　2.1網絡整體規(guī)劃</b></p><p>　　由于考慮到企業(yè)資金問題,并且企業(yè)的應用水平較參差不齊，某些系統(tǒng)即使安裝了也利用不起來，因此，在企業(yè)網的建設過程中，系統(tǒng)建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則。</p><p>　　由于寬帶網的特性要求，建議寬帶IP企業(yè)網整個網絡的建設和實現選用基本組網的技

28、術。同時根據實際的需要，考慮最終節(jié)點的容量，交換節(jié)點的性能，路由拓撲的余度，骨干路由節(jié)點的性能，交換接點的端口密度等等，建議整個網絡規(guī)劃 參照Internet骨干路由的方法進行設計，再層次上采用3層構架；即企業(yè)網主干層，分布層，訪問層。并分別有企業(yè)網與外網邊界處設置邊界路由，主干帶3層路由功能的交換機，企業(yè)網二層匯集交換機及終端用戶等主要設備構成。</p><p>　　這種層次性結構一方面保證了IP架構的完整和其

29、它網絡的對接性（實現寬帶IP網，保證將來的擴容能力，和異種網的對接能力等等）。另一方面保證了整個系統(tǒng)的控制能力：如路由的控制、流量的控制、系統(tǒng)的冗余等等。</p><p>　　2.2網絡整體結構的設計</p><p>　　整個網絡結構設計主要包括兩個方面：</p><p>　　2.2.1 主干網設計</p><p>　　主干網絡，是指以光纖

30、通信和新的數據封裝技術為核心的高速、大容量計算機網絡。企業(yè)網主干網高速轉發(fā)數據，實現策略由及管理控制流量，其設備的主要工作是交換、轉發(fā)數據包。為滿足現代化應用的要求，主干網絡技術必須基于交換和虛擬網絡技術。</p><p>　　2.2.2 二級樓宇的網絡設計</p><p>　　二級樓宇的網絡設計的目標是給用戶提供一個高速接入環(huán)境，以保證多媒體信息高速傳輸。采用模塊化結構，易于擴充。&l

31、t;/p><p>　?、偎奚釁^(qū)：一層樓20個寢室，每一個寢室接入一根網線，一共3層樓的宿舍需要60個口，加上連接核心交換機的端口一共63口，由于交換機是12口和24口的模塊，所以綜上所述，需要3臺24口的交換機才能夠滿足需求，因此，每層樓安裝一臺交換機。</p><p>　　②辦公區(qū)：一層樓有6個辦公室，要求每個辦公室遷入一根網線， 辦公區(qū)一共有3層樓，因此。只需1臺交換機就足夠。</p

32、><p>　　③會議室區(qū)：由于會議室對網絡的要求較高，需要一些多媒體設備以便會議的展開，同時還要考慮會議期間每人需要使用電腦等原因，因此，會議室單獨使用1臺樓棟交換機。</p><p>　　綜上所述，企業(yè)一共只需要1臺核心交換機， 5臺二層交換機。并在每根網線上打好每個寢室的標記，以便以后的維護。</p><p><b>　　3 企業(yè)網詳細設計</b&g

33、t;</p><p>　　企業(yè)網安全的第一步則是設備的物理安全，因此設備的選型尤為重要。鑒于此，我選擇了以下設備，如表3-1所示：</p><p><b>　　表3-1設備選型表</b></p><p>　　3.1網絡設備的選擇</p><p><b>　　3.1.1 路由器</b></p&g

34、t;<p>　?。?）路由器相關參數如表3-2所示：</p><p>　　表3-2路由器相關參數</p><p>　　3.1.2 交換機</p><p>　　(1) 核心交換機相關參數如表3-3所示：</p><p>　　CISCO WS-C6509-E</p><p>　　（2） 二層交換機相關參數如

35、表3-4所示：</p><p><b>　　3.2網絡拓撲圖</b></p><p>　　企業(yè)網路拓撲圖如圖3-1所示：</p><p><b>　　圖3-1網絡拓撲圖</b></p><p><b>　　4 組建網絡</b></p><p>　　4.1

36、 IP地址的劃分</p><p>　　IP地址的劃分如表4-1所示：</p><p>　　表4-1IP地址劃分</p><p><b>　　4.2配置命令</b></p><p>　　4.2.1 宿舍區(qū)交換機的配置</p><p>　　Switch>en </p><p

37、>　　Switch#conf t </p><p>　　Switch(config)#hostname Louceng1 #這里是給不同的設備命名，數字可以是2、3等等，根據每層樓的序號不同而變化</p><p>　　Louceng1(config)#interface vlan 2 #創(chuàng)建VLAN并進入VLAN</p><p>　　Lo

38、uceng1(config)#ip address 192.168.2.1 255.255.255.0</p><p>　　Louceng1(config)#no shutdown #啟用此VLAN</p><p>　　Louceng1(config)#exit </p><p>　　Louceng1#conf</p><p>　　L

39、ouceng1(config)#int f0/1 #進入f0/1</p><p>　　#根據每個教室或者寢室不同編號改變端口號</p><p>　　Louceng1(config-if)#switchport access vlan 2 #將此VLAN加入此端口</p><p>　　同時對一個交換機上的不同端口劃分VLAN，劃好后ping對方ip地址

40、發(fā)現不通，如圖4-1所示：</p><p>　　圖4-1不同VLAN不能互通</p><p>　　Louceng1(config-if)#switchport mode trunk #設置此端口的屬性</p><p>　　Louceng1(config-if)#switchpr trunk encapsulation dot1q #封裝trunk

41、屬性</p><p>　　Louceng1(config-if)#switchport trunk allowed vlan all #允許所有VLAN訪問</p><p>　　Louceng1(config-if)#exit</p><p>　　Louceng1(config)#end</p><p>　　Louceng1(confi

42、g)#Copy Run Start #保存并重啟</p><p>　　4.2.2 辦公區(qū)和會議室交換機的配置</p><p>　　Switch>en </p><p>　　Switch#conf t </p><p>　　Switch(config)#hostname Bangongqu1</p><p&g

43、t;　　Bangongqu1 (config)#interface vlan 100</p><p>　　Bangongqu1 (config)#ip address 192.168.100.1 255.255.255.0</p><p>　　Bangongqu1 (config)#no shutdown</p><p>　　Bangongqu1 (config)#

44、exit </p><p>　　Bangongqu1#conf</p><p>　　Bangongqu1 (config)#int f0/1 </p><p>　　#根據每層樓不同編號改變端口號</p><p>　　Bangongqu1 (config-if)#switchport mode trunk</p><

45、;p>　　Bangongqu1 (config-if)#switchpr trunk encapsulation dot1q </p><p>　　Bangongqu1 (config-if)#switchport trunk allowed vlan all</p><p>　　Bangongqu1 (config-if)#exit </p><p>

46、　　Bangongqu1 (config)#line vty 0 4</p><p>　　Bangongqu1 (config)#password 123</p><p>　　Bangongqu1 (config)#login</p><p>　　Bangongqu1 (config)#line console 0</p><p>　　Ban

47、gongqu1 (config)#password 321</p><p>　　Bangongqu1 (config)#enable secret 321</p><p>　　Bangongqu1 (config)#service password-encryption</p><p>　　Bangongqu1 (config)#end</p><

48、;p>　　Bangongqu1 (config)#Copy Run Start</p><p>　　4.2.3 核心交換機的配置</p><p>　　Switch>en </p><p>　　Switch#conf t </p><p>　　Switch(config)#hostname Hexin1</p>&l

49、t;p>　　Hexin1(config)#interface vlan 1</p><p>　　Hexin1(config)#ip add 192.168.1.1 255.255.255.0</p><p>　　Hexin1(config)#no shutdown</p><p>　　Hexin1(config)#intface f1/0/1 </

50、p><p>　　#這里根據每棟樓的編號不同而改變端口</p><p>　　Hexin1(config-if)#switchport mode trunk</p><p>　　Hexin1(config-if)#switchpr trunk encapsulation dot1q </p><p>　　Hexin1(config-if)#swi

51、tchport trunk allowed vlan all</p><p>　　Hexin1(config-if)#exit </p><p>　　Hexin1(config)# line vty 0 4</p><p>　　Hexin1(config)#password 123</p><p>　　Hexin1(config)#login

52、</p><p>　　Hexin1(config)#line console 0</p><p>　　Hexin1(config)#password 321</p><p>　　Hexin1(config)#enable secret 321</p><p>　　Hexin1(config)#service password-encrypti

53、on</p><p>　　Hexin1(config)#router rip</p><p>　　Hexin1(config)#version 2</p><p>　　Hexin1(config)#network 192.168.1.0 255.255.255.0</p><p>　　#將剩余所有相連的交換機的ip地址以上面的命令公布<

54、/p><p>　　Hexin1(config)#ip dhcp pool vlan2</p><p>　　Hexin1(config)#network 192.168.2.0 255.255.255.0</p><p>　　Hexin1(config)#default-router 192.168.2.1</p><p>　　Hexin1(con

55、fig)#dns-server 61.128.128.68</p><p>　　Hexin1(config)#lease 7</p><p>　　配置完成后在終端上可以看到如圖4-2下配置：</p><p>　　圖4-2DHCP分配地址</p><p>　　4.2.4 路由器的配置</p><p><b>

56、　　Router>en</b></p><p>　　Router#conf t</p><p>　　Router(config)#host R1</p><p>　　R1(config)#int f0/0</p><p>　　R1(config-if)#no shut</p><p>　　R1(con

57、fig-if)#int f0/0.1</p><p>　　R1(config-subif)#encapsulation dot1Q 1 </p><p>　　R1(config-subif)#ip address 192.168.1.1 255.255.255.0</p><p>　　R1(config-subif)#exit</p><p&g

58、t;　　對其他的端口同樣設置以上配置，完成后就可以互相訪問了，如圖4-3所示：</p><p>　　圖4-3局域網內可以互通</p><p>　　R1(config)#int s1</p><p>　　R1(config-if)#ip addr 202.101.98.66 255.255.255.0 R1(config-if)#no shut</p>

59、<p>　　R1(config-if)#end</p><p>　　R1#config t</p><p>　　R1(config)#ip nat pool Internet 202.101.98.66 202.101.98.66 prefix-length 24</p><p>　　R1(config)#ip nat inside source list

60、 1 pool Internet overload</p><p>　　R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #其他剩余的ip地址同樣的配置</p><p>　　R1(config)#int f0/0</p><p>　　R1(config-if)#ip nat inside

61、</p><p>　　R1(config-if)#int s1/0</p><p>　　R1(config-if)#ip nat outside</p><p>　　R1(config-if)#end</p><p>　　完成以上配置就可以進行對外網訪問。</p><p>　　5 服務器配置與調試</p>

62、<p>　　5.1 windows 2003 server 企業(yè)版的安裝</p><p><b>　　安裝步驟如下：</b></p><p>　　1.啟動虛擬機并創(chuàng)建windows 2003 server，并插入windows 2003 server的IOS鏡像文件；</p><p>　　2.啟動電源，虛擬機會自動安裝window

63、s 2003 server，如下圖5-1和5-2所示：</p><p>　　圖5-1 服務器的啟動安裝</p><p>　　圖5-2 服務器正在安裝</p><p>　　安裝完成后的界面如圖5-3：</p><p>　　圖5-3 服務器安裝完成</p><p>　　5.2 服務器應用程序的安裝和配置</p>

64、;<p>　　5.2.1 IIS信息服務器構建</p><p>　?。?）安裝IIS信息服務器：</p><p>　　一般情況下，Windows Server 2003服務器的默認安裝，沒有安裝IIS6.0組件。因此，IIS6.0需要另外單獨安裝。安裝方法如下：</p><p>　　第1步：依次選擇【開始】→【設置】→【控制面板】→【添加/刪除程序】

65、。</p><p>　　第2步：在“添加/刪除程序”對話框中選擇【添加/刪除Windows組件】，就會彈出的“Windows組件向導”對話框，在Windows 組件向導對話框中選擇“應用程序服務器”，單擊【詳細信息】，在其中選擇“Internet 信息服務（IIS）”，單擊【確定】。</p><p>　　第3步：回到 “Windows 組件向導”對話框中，單擊【下一步】。這時，需要在光驅中

66、放入Windows Server 2003的系統(tǒng)安裝盤，之后會安裝IIS。</p><p>　　第4步：安裝完畢后，依次選擇【開始】→【設置】→【控制面板】→【管理工具】→【Internet信息服務（IIS）管理器】，就會出現如圖所示的“Internet信息服務”對話框，如圖5-4所示。</p><p>　　圖5-4 IIS服務器安裝完成</p><p>　　第5步

67、：在IE瀏覽器的地址欄中輸入“http://localhost”或者“http://你的計算機名字” 或者“http://127.0.0.1”。回車后，如果出現“建設中”字樣即表示IIS安裝成功。</p><p>　?。?）IIS的配置與管理：</p><p>　　基本Web站點的配置，操作步驟如下：</p><p>　　第1步：依次選擇【開始】→【設置】→【控制面

68、板】→【管理工具】→【Internet信息服務（IIS）管理器】，展開“TEST（本地計算機）”（其中TEST為服務器的名稱），然后展開“網站”，如圖所示。</p><p>　　第2步：右鍵單擊“默認網站”，然后單擊“屬性”。</p><p>　　第3步：單擊“主目錄”選項卡。如果想使用存儲在本地計算機上的網站內容，則單擊“此計算機上的目錄”，然后在“本地路徑”框中鍵入你想要的路徑。例如，

69、默認路徑為C:\Inetpub\wwwroot。注意，為了增加安全性，一般不在根目錄下創(chuàng)建Web內容文件夾。如果要使用存儲在另一臺計算機上的Web內容，則單擊“另一計算機上的共享”，然后在顯示的網絡目錄框中鍵入所需位置；如果要使用存儲在另一個Web地址的Web內容，則單擊“重定向到URL”，然后在“重定向到”框中鍵入所需位置。在“客戶端將定向到”下，選中相應的復選框，如圖5-5所示：</p><p>　　圖5-5

70、 IIS的配置</p><p>　　第4步：單擊“文檔”選項卡，該選項卡用于設置網站的默認啟動文檔。如圖所示。請注意可由IIS用作默認啟動文檔的文檔列表。如果你要使用xxx.htm作為啟動文檔，就必須添加它。添加方法是：單擊【添加】，在“添加默認文檔”對話框中，鍵入“xxx.htm”，單擊【確定】→【上移】，直到xxx.htm顯示在列表的頂部，如圖5-6所示：</p><p>　　圖5-6

71、 添加網站文本</p><p>　　第5步：單擊【確定】，關閉“默認網站”對話框。</p><p>　　第6步：右鍵單擊“默認網站”，然后單擊“權限”，對話框顯示在此Web站點上具有操作權限的用戶帳戶。單擊【添加】，可以添加其它可操作此Web站點的用戶帳戶。</p><p>　　第7步：點擊【確定】，返回到“Internet 信息服務（IIS）服務器”窗口。<

72、/p><p><b>　?。?）發(fā)布站點：</b></p><p>　　發(fā)布已經制作好的網站。例如，現在我們已經制作好一個網站，所有的網站文件存放于C:\WyWeb目錄中。操作步驟如下：</p><p>　　第1步：依次選擇【開始】→【設置】→【控制面板】→【管理工具】→【Internet信息服務（IIS）管理器】，展開“TEST（本地計算機）”（

73、其中TEST為服務器的名稱），然后展開“網站”。右鍵單擊“示例網站”，停止示例網站的運行，這是因為需要釋放示例網站已經占用的80號端口。當然，也可以直接將示例網站刪除。</p><p>　　第2步：在“Internet信息服務（IIS）管理器”窗口中，右鍵單擊“網站”，依次選擇【設置】→【控制面板】，彈出“網站創(chuàng)建向導”，在“描述”一欄中，根據實際寫入對你要發(fā)布網站的描述。 </p><p&g

74、t;　　第3步：在圖7-16中單擊【下一步】，進入“IP地址和端口設置”窗口。其中，在“網站IP地址”下拉框中選擇分配到的IP地址，其它選項使用默認設置即可，如圖5-7所示：</p><p>　　圖5-7 網站IP地址設置</p><p>　　第4步：在圖7-17中單擊【下一步】，進入“網站主目錄”窗口。在“路徑”一欄中，單擊【瀏覽】，選擇已經制作好的網站文件所在目錄，這里為“D:\MyW

75、eb”。根據實際需要，選擇是否勾選“允許匿名訪問網站”復選框，一般應該選擇允許。</p><p>　　第5步：在圖7-18中單擊【下一步】，進入“網站訪問權限”窗口，一般采用默認設置即可。</p><p>　　第6步：在圖7-19中單擊【下一步】，進入“已成功完成網站創(chuàng)建向導”窗口。</p><p>　　第7步：在圖7-20中單擊【完成】，即完成網站的發(fā)布，如圖5-

76、8所示：</p><p>　　圖5-8 網站建設好后測試成功</p><p>　　5.2.2 配置與管理FTP服務器</p><p>　　（1）安裝FTP服務器：</p><p>　　一般情況下，Windows Server 2003服務器的默認安裝，沒有安裝FTP服務。因此，FTP服務需要另外單獨安裝。安裝方法如下：</p>

77、<p>　　第1步：依次選擇【開始】→【設置】→【控制面板】→【添加/刪除程序】，然后在“Windows組件向導”對話框中，選中“應用服務器”單擊【詳細信息】，在“應用服務器”對話框中，選中“Internet信息服務（IIS）”，單擊【詳細信息】，選中“文件傳輸協議（FTP）服務”單擊【確定】。</p><p>　　第2步：成功安裝FTP組件后，依次選擇【開始】→【設置】→【控制面板】→【管理工具】→

78、【Internet信息服務（IIS）管理器】，展開“TEST（本地計算機）”，會發(fā)現多出“FTP站點”一項，如圖5-9所示：</p><p>　　圖5-9 FTP安裝完成</p><p>　?。?）創(chuàng)建新的FTP站點：</p><p>　　第1步：依次選擇【開始】→【設置】→【控制面板】→【管理工具】→【Internet信息服務（IIS）管理器】，展開“TEST（本

79、地計算機）”，用鼠標右鍵單擊“FTP站點”，從彈出的快捷菜單中選擇依次【新建】→【FTP站點】，打開“歡迎使用FTP站點創(chuàng)建向導”對話框，單擊【下一步】，彈出“FTP站點描述”對話框。在“描述”文本框中，根據實際情況輸入站點的說明文字，例如，輸入“FTP下載站點”，單擊【下一步】。</p><p>　　第2步：打開“IP地址和端口設置”對話框，在“輸入FTP站點使用的IP地址”下拉列表中，選擇或者直接輸入IP地址

80、，并設定TCP端口的值為“21”，單擊【下一步】。</p><p>　　第3步：打開“FTP用戶隔離”對話框，FTP用戶隔離支持三種隔離模式，每一種模式都會啟動不同的隔離和驗證等級。根據實際需要選擇一種隔離模式，單擊【下一步】。</p><p>　　第4步：彈出“FTP站主目錄”對話框，在“路徑”文本框中輸入主目錄的路徑或者單擊【瀏覽】按鈕選定主目錄的路徑，單擊【下一步】。</p&g

81、t;<p>　　第5步：打開“FTP站點訪問權限”對話框，FTP站點只有兩種訪問權限：讀取和寫入。前者對應下載權限，后者對應上傳權限，單擊【下一步】在最后彈出的對話框中單擊【完成】，完成FTP站點的創(chuàng)建。</p><p>　　第6步：完成“FTP下載站點”的建立以后，依次選擇【開始】→【設置】→【控制面板】→【管理工具】→【Internet信息服務（IIS）管理器】，再依次展開“TEST（本地計算機

82、）”、“FTP站點”，會出現“FTP下載站點”。，如圖5-10所示：</p><p>　　圖5-10 FTP服務器安裝完成</p><p>　?。?）FTP服務器驗證：</p><p>　　測試“FTP下載站點”是否正常運行可以先打開IE瀏覽器，在地址欄輸入：ftp://192.168.179.128（FTP服務器的IP地址），檢查是否能夠訪問“FTP下載站點”。如

83、圖5-11所示，即表示“FTP下載站點”運行正常。</p><p>　　圖5-11 FTP站點假設完成并測試</p><p>　?。?）創(chuàng)建虛擬目錄：</p><p>　　主目錄是存儲站點文件的主要位置，虛擬目錄以在主目錄中映射文件夾的形式存儲數據，可以更好地拓展FTP服務器的存儲能力。操作步驟如下：</p><p>　　第1步：用鼠標右鍵單

84、擊要建立虛擬目錄的FTP站點，例如，右鍵單擊“FTP下載站點”，在彈出菜單中選擇【新建】→【虛擬目錄】。</p><p>　　第2步：打開虛擬目錄創(chuàng)建向導并單擊【下一步】，在“虛擬目錄別名”對話框中的“別名”文本欄中指定虛擬目錄別名（如指定為“資料下載”），單擊【下一步】。</p><p>　　第3步：在“FTP站點內容目錄”對話框中，單擊【瀏覽】，設定虛擬目錄所對應的實際路徑。</

85、p><p>　　第4步：在“訪問權限”對話框中，設定虛擬目錄允許的用戶訪問權限，可以選擇“讀取”或者“寫入”權限，單擊【下一步】，完成虛擬目錄的設置。</p><p>　　第5步：測試“FTP下載站點”的“新建 文本文檔.txt”虛擬目錄是否正常運行。打開IE瀏覽器，在地址欄輸入：ftp://192.168.179.128/新建 文本文檔.txt/，檢查是否能夠訪問“新建 文本文檔.txt”虛

86、擬目錄。如圖5-12所示，即表示“FTP下載站點”的“新建 文本文檔.txt”虛擬目錄運行正常。</p><p>　　圖5-12 在FTP服務器上添加文檔</p><p>　　（5）站點的維護與管理：</p><p><b>　　1）查看連接用戶：</b></p><p>　　第1步：右鍵單擊“FTP下載站點”，從彈出菜

87、單中選擇【屬性】，打開“FTP站點”選項卡。這里，可以對站點說明、IP地址和TCP端口號等內容進行配置，在“FTP站點連接”中可以設定同時連接到該站點的最大并發(fā)連接數。</p><p>　　第2步：單擊【當前會話】，打開“FTP用戶會話”對話框。這里，可以查看當前連接到FTP站點的用戶列表。從列表中選擇用戶，單擊【斷開】，斷開當前用戶的連接。</p><p>　　2）設定FTP站點消息：&

88、lt;/p><p>　　設置 FTP 站點時，可以向FTP客戶端發(fā)送站點的信息消息。該消息可以是用戶登錄時歡迎用戶到 FTP 站點的問候消息、用戶注銷時的退出消息、通知用戶已達到最大連接數的消息或者標題消息。默認情況下，這些消息是空白的。FTP 站點設置完成后，單擊【完成】。</p><p><b>　　3）配置匿名登錄：</b></p><p>

89、　　右鍵單擊FTP站點，從彈出菜單中選擇【屬性】，單擊選擇“安全帳戶”選項卡。在默認狀態(tài)下，當前站點是允許匿名訪問的。</p><p>　　4）修改主目錄文件夾：</p><p>　　選擇“主目錄”選項卡，在這里可以使用“主目錄”屬性來改變FTP站點的主目錄并修改其屬性。單擊【瀏覽】，改變FTP站點的主目錄文件夾存儲的位置。如果打算改變主目錄讀寫權限改變，可以選擇是否允許“讀取”和“寫入”

90、權限。</p><p><b>　　5）安全訪問：</b></p><p>　　單擊選擇“目錄安全性”選項卡，可以通過限制具有某些IP地址的FTP客戶端，用以控制訪問FTP服務器的計算機。選擇“授予訪問”或者“拒絕訪問”選項，可以用來調整如何處理這些IP地址。單擊【添加】，可以進行IP 地址的添加操作，從而可以控制來自安全的IP地址的訪問。</p>&l

91、t;p>　　5.2.3 DHCP服務器配置與管理</p><p>　?。?）安裝DHCP服務：</p><p>　　第1步：在添加DHCP服務器角色之前，需要檢查服務器的IP地址配置是否正確，檢查登錄所用的用戶帳戶是否有合適的權限。</p><p>　　第2步：在“管理你的服務器”窗口中，單擊【添加或者刪除角色】。</p><p>　

92、　第3步：在“配置你的服務器向導”中，選擇【DHCP Server】。</p><p>　　第4步：在“新建作用域向導”中，單擊【Cancel】，取消建立作用域的操作。</p><p>　　第5步：在“配置你的服務器向導”中，單擊【完成】，完成后如圖5-13所示。</p><p>　　圖5-13 DHCP服務器安裝完成</p><p>　?。?/p>

93、2）授權DHCP服務器：</p><p>　　第1步：打開DHCP管理控制臺。</p><p>　　第2步：在控制臺的樹狀菜單中，右鍵單擊“管理授權服務器”。</p><p>　　第3步：在管理授權的服務器對話框中，單擊【授權】。</p><p>　　第4步：在授權DHCP服務器對話框中輸入要授權的DHCP服務器的名稱或者IP地址，然后，單擊

94、【確定】。</p><p>　　第5步：在確認授權對話框中，檢查服務器的名稱和IP地址是否正確。然后，單擊【確定】。</p><p>　?。?）配置DHCP作用域：</p><p>　　作用域是指DHCP服務器定義的，可用于租約分配給客戶端計算機的有效IP地址范圍，指分配給DHCP客戶端的IP地址池。</p><p>　　第1步：打開DHCP

95、控制臺程序。</p><p>　　第2步：在樹狀菜單中點擊可用的DHCP服務器。</p><p>　　第3步：右鍵單擊【服務器】→【新建作用域】。</p><p>　　第4步：在“新建作用域向導”中，單擊【下一步】。</p><p>　　第5步：在作用域名中，輸入名稱和描述。</p><p>　　第6步：在“IP地址范

96、圍”中，輸入起始IP地址、結束IP地址和子網掩碼，如圖5-14所示：</p><p>　　圖5-14 設置IP地址范圍</p><p>　　第7步：根據實際需要，則在“添加排除”頁中，配置起始IP地址和結束IP地址。如果要排除單個IP地址，只需在“起始IP地址”輸入地址。</p><p>　　第8步：在“租約期限”窗口中，設置租約的期限，默認為8天</p>

97、;<p>　　第9步：在“正在完成新建作用域向導”頁面中，單擊【結束】。</p><p>　　第10步：在控制臺菜單中，右鍵單擊要激活的作用域并在右鍵菜單中，單擊“激活”，完成后如圖5-15所示：</p><p>　　圖5-15 激活啟用DHCP服務器</p><p>　?。?）DHCP 設置后的驗證：</p><p>　　將任

98、何一臺本網內的工作站的網絡屬性中設置成“自動獲得IP地址”，并讓DNS服務器設為“禁用”，網關欄保持為空，重新啟動成功后，運行 “ipconfig”，就可以看到各項已分配成功。</p><p>　　5.2.4 DNS服務器配置與管理</p><p>　?。?）安裝DNS服務：</p><p>　　如果用戶在安裝Windows Server 2003時沒有安裝DNS

99、服務，可仿照DHCP安裝步驟來安裝DNS服務,如圖5-16所示：</p><p>　　圖5-16 DNS服務器安裝</p><p>　?。?）配置DNS服務器：</p><p>　　以下設置均對應于IP 地址192.168.0.1的兩個域名：www.test.com和ftp.test.com。</p><p>　　第1步：打開DNS控制臺，依

100、次選擇【開始菜單】→【程序】→【管理工具】→【DNS】。</p><p>　　第2步：建立“com”區(qū)域。依次選擇【DNS】→【Win2003（你的服務器名）】→【正向搜索區(qū)域】→【右鍵】→【新建區(qū)域】，然后，根據提示選“標準主要區(qū)域”、在“名稱”處輸入“com”，如圖5-17所示：</p><p>　　圖5-17 DNS域名建設</p><p>　　第3步：建立“

101、test”域。依次選擇【com】→【右鍵】→【新建域】，在“鍵入新域名”處輸入“test”。</p><p>　　第4步：建立“www”主機。依次選擇【test】→【右鍵】→【新建主機】，在“名稱”處輸入“www”，在“IP 地址”處輸入“192.168.179.128”，再按“添加主機”，如圖5-18所示：</p><p>　　圖5-18 添加主機</p><p>

102、;　　（3）DNS設置后的驗證：</p><p>　　為了測試所進行的設置是否成功，通常采用 Windows Server 2003 自帶的ping命令來完成，格式如：ping www. test.com，也可以直接使用瀏覽器輸入域名進行測試。成功的測試如圖5-19和5-20所示：</p><p>　　圖5-19 測試域名連通性</p><p>　　圖5-20 用瀏

103、覽器測試域名</p><p>　　5.2.5 E-mail服務器配置與管理</p><p>　?。?）安裝POP3組件：</p><p>　　第1步：以系統(tǒng)管理員身份登錄Windows Server 2003 系統(tǒng)。依次選擇【開始】→【設置】→【控制面板】→【添加/刪除程序】，在彈出的“Windows組件向導”對話框中選中“電子郵件服務”選項，如圖5-21所示：&

104、lt;/p><p>　　圖5-21郵件服務器的安裝</p><p>　　第2步：單擊【下一步】，Windows將安裝郵件服務器直至完成，完成后單擊【完成】。</p><p>　?。?）安裝SMTP服務組件：</p><p>　　依次選擇【開始】→【設置】→【控制面板】→【添加/刪除程序】，然后在“Windows組件向導”對話框中，選中“應用服務器

105、”。單擊【詳細信息】，在“應用服務器”對話框中，選中“Internet信息服務（IIS）”，單擊【詳細信息】，選中“SMTP Service”，單擊【確定】。</p><p>　　此外，如果用戶需要對郵件服務器進行遠程Web管理，一定要選中“萬維網服務”中的“遠程管理（HTML）”組件。</p><p>　?。?）配置POP3服務器：</p><p>　　第1步：創(chuàng)

106、建郵件域。依次選擇【開始】→【設置】→【控制面板】→【管理工具】→【POP3服務】，彈出POP3服務控制臺窗口。</p><p>　　第2步：選中左欄中的POP3服務后，展開服務器（這里為TEST），點擊右欄中的“新域”，彈出“添加域”對話框，接著在“域名”欄中輸入郵件服務器的域名，例如“mail.com”，單擊【確定】。</p><p>　　第3步：創(chuàng)建用戶郵箱。選中剛才新建的“mail

107、.com”域，在右欄中點擊“添加郵箱”，彈出添加郵箱對話框，在“郵箱名”欄中輸入郵箱用戶名，然后設置用戶密碼，最后單擊【確定】，完成郵箱的創(chuàng)建。例如，創(chuàng)建的郵箱名為jacky@mail.com，密碼為：123456，如圖5-21所示：</p><p>　　圖5-21 添加郵箱</p><p>　?。?）配置SMTP服務器：</p><p>　　完成POP3服務器配置

108、后，就可開始配置SMTP服務器了。依次選擇【開始】→【設置】→【控制面板】→【管理工具】→【Internet信息服務(IIS)管理器】。在“Internet信息服務（IIS）管理器”窗口中右鍵點擊“默認SMTP虛擬服務器”選項，在彈出的菜單中選中【屬性】，進入“默認SMTP虛擬服務器”對話框。選擇“常規(guī)”選項卡，在“IP地址”下拉列表框中選中郵件服務器的IP地址即可，單擊【確定】，如圖5-22所示：</p><p&g

109、t;　　圖5-22 完成SMTP配置</p><p>　　（5）E-mail服務器驗證：</p><p>　　完成以上設置后，用戶就可以使用郵件客戶端軟件連接郵件服務器進行郵件收發(fā)工作了，只需在郵件客戶端軟件的接受郵件服務器POP3和發(fā)送郵件服務器SMTP處輸入郵件服務器的IP地址即可。例如，使用郵件客戶端軟件Outlook Express。</p><p>　　6

110、 企業(yè)內部安全管控</p><p>　　內網安全已經成為信息安全的新熱點，其技術和標準也在成熟和演進過程中，我們有理由相信，隨著用戶對內網安全認識的加深，用戶內網安全管理制度的完善，整體一致的內網安全解決方案和體系建設將成為內網安全的主要發(fā)展趨勢。</p><p>　　6.1 企業(yè)網絡安全的主要技術</p><p>　　6.1.1 防火墻技術</p>

111、<p>　　網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。企業(yè)網的一些信息不能公布于眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網網絡的訪問管理，杜絕敏感信息的泄漏。

112、通過防火墻，嚴格控制外來用戶對校園網網絡的訪問，對非法訪問進行嚴格拒絕。由于校園網訪問Internet流量日益增大以及安全防護需求也來越復雜，所以要求防火墻不僅要具備策略執(zhí)行，通過防火墻做NAT轉換，在Internet網絡出口配置病毒過濾網關，對外應用服務器部署在防火墻的DMZ區(qū)域，記錄和統(tǒng)計網絡利用數據以及非法使用數據，保護脆弱的服務等基本的功能外，還應具備高帶寬、高性能的端口以及支持雙防火墻冗余，使得整個網絡具有安全性、冗余性。 &

113、lt;/p><p>　　6.1.2 入侵檢測技術</p><p>　　入侵檢測技術主要通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 </p><p>　　6.1.3 網絡防毒、防蠕蟲技術</p><p>　　目前，從計算機病毒的發(fā)展趨勢來看，蠕蟲類的病毒越來越多

114、。與普通感染可執(zhí)行文件的文件型病毒不同，此類程序通常不感染正常的系統(tǒng)文件，而是將自身作為系統(tǒng)的一部分安裝到系統(tǒng)中。相對來說，此類病毒的隱蔽性更強一些，更不容易被使用者發(fā)覺。</p><p>　　6.1.4 加密技術 </p><p>　　6.1.5 PKI技術</p><p>　　PKI（Public Key Infrastructure）技術就是利用公鑰理論

115、和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。 </p><p>　　6.1.6 虛擬專用網技術</p><p>　　虛擬專用網(Virtual Private Network，VPN)是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術。現代企業(yè)越來越多地利用Internet資源來進行促銷、銷售、售后服務，乃至培訓、合作等活動。