在计算机技术管理工作中,服务器的配置与管理发挥着重要的作用。下面是小编为大家整理的服务器配置与管理论文,供大家参考。
人们或许都有这样一个困惑:计算机在网络上通讯时本来只能识别如“123.123.123.123”之类的数字地址,那么为什么当我们打开浏览器,在地址栏中输入域名dns.qy.com.cn后,就能看到我们所需要的页面呢?
其实,只是一个ip地址和域名相互“翻译”的过程。前者得建立一个指向相应ip地址的域名映射记录;对于后者,此记录已经建立并且在生效了。而这种“翻译”记录的建立,则需要用到同一种被称之为“dns服务器”的计算机。
dns服务器用于tcp/ip网络中,它用来通过用户友好的名称代替难记的ip地址以定位计算机和服务。因此,只要你需要用到某个域名的地方,你都得首先确保已为此名字在dns服务器中作好了相应的和ip地址的映射工作。
本文将以windows2003自带的dns服务为例,谈下如何在局域网中完成这个“翻译系统”的组建工作。
一、添加dns服务
当你安装好win2003之后,dns服务并没有被添加进去。依次打开“开始→控制面板→添加/删除程序→添加/删除windows组件,单击添加或删除windows组件。在组件列表中,单击网络服务(但不要选中或清除该复选框),然后单击详细信息。单击已选中域名系统(dns),然后单击确定。
单击下一步,得到提示后,将windowsserver2003cd-rom插入计算机的驱动器。安装完成时,在完成windows组件向导页上单击完成。
二、配置dns服务器
要使用microsoft管理控制台(mmc)中的dns管理单元配置dns,请按照下列步骤操作:单击开始,指向程序,指向管理工具,然后单击dns。右击正向搜索区域,然后单击新建区域。当“新建区域向导”启动后,单击下一步。接着将提示您选择区域类型。
区域类型包括:
主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns文本文件中。
辅助区域:标准辅助区域从它的主dns服务器复制所有信息。主dns服务器可以是为区域复制而配置的active directory区域、主要区域或辅助区域。辅助dns服务器上的区域数据无法修改。所有数据都是从主dns服务器复制而来。
存根区域:存根区域只包含标识该区域的权威dns服务器所需的资源记录。这些资源记录包括名称服务器(ns)、起始授权机构(soa)和可能的glue主机(a)记录。
active directory中还有一个用来存储区域的选项。此选项仅在dns服务器是域控制器时可用。
新的正向搜索区域必须是主要区域或active directory集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步。
新区域包含该基于active directory的域的定位器记录。区域名称必须与基于active directory的域的名称相同,或者是该名称的逻辑dns容器。例如,如果基于active directory的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”,接受新区域文件的默认名称。
如何移除根dns区域
运行windowsserver2003的dns服务器在它的名称解析过程中遵循特定的步骤。首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。
默认情况下,microsoft dns服务器连接到internet以便用根提示进一步处理dns请求。当使用dcpromo工具将服务器提升为域控制器时,域控制器需要dns。如果在提升过程中安装dns,会创建一个根区域。这个根区域向您的dns服务器表明它是一个根internet服务器。因此,您的dns服务器在名称解析过程中并不使用转发器或根提示。
这时可以选择将根dns区域移除。单击开始,指向管理工具,然后单击dns。展开server name,其中serve name是服务器的名称,单击属性,然后展开正向搜索区域。右击“。”区域,然后单击删除即可。
如何配置转发器
windowsserver2003可以充分利用dns转发器。该功能将dns请求转发到外部服务器。如果dns服务器无法在其区域中找到资源记录,可以将请求发送给另一台dns服务器,以进一步尝试解析。一种常见情况是配置到您的isp的dns服务器的转发器。
单击开始,指向管理工具,然后单击dns。右击server name,其中server name是服务器的名称,然后单击转发器选项卡。单击dns域列表中的一个dns域。或者单击新建,在dns域框中键入希望转发查询的dns域的名称,然后单击确定。
在所选域的转发器ip地址框中,键入希望转发到的第一个dns服务器的ip地址,然后单击添加。。
dns是internet上使用的核心名称解析工具,负责主机名称和internet地址之间的解析。进行必要的合理的设置,会使我们的工作达到事半功倍的效果。
摘要: 网络安全管理是网络管理的重中之重,特别是学校校园网的安全直接关系到教育教学活动的正常进行,必须引起人们的高度重视。对安全问题的来源进行分析,有针对性地预防,可以提高校园网的安全水平。
关键词:网络安全;规划设计;系统安全
随着高校信息化进程的推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。外部网主要实现校园网与internet 的基础接入。校园网络拥有着大规模的、高速的、开放的网络环境;支撑着复杂的网上应用和业务类型;拥有着活跃的、不同使用水平的用户群体。因此,安全风险的防御问题也就变得较为严重和复杂。
1 安全问题来源分析
1.1病毒入侵严重
目前,网络病毒层出不穷,传播速度快、破坏性强、传播范围广,时刻威胁着校园网的安全。大量病毒以电子邮件、网络共享、网页浏览、即时通信或主动扫描等方式,感染校园网的服务器和客户机,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
1.2网络的先天性不足
校园网络一般基于internet 技术构建,并与internet 相连。internet 的互联性和开放性给社会带来极大效益的同时,入侵者也得到了更多的机会。[2]因为internet 本身缺乏相应的安全机制,不对机密信息和敏感信息提供保护。web的精华是交互性,这也正是它的致命弱点。
1.3软件系统的漏洞
没有十全十美的软件产品,系统中的安全漏洞和“后门”不可避免地存在。正是由于漏洞的存在,才让黑客有了可乘之机。目前,在操作系统、通信协议、网络应用软件中均不同程度地存在安全漏洞或安全缺陷。
2 配置安全服务器
2.1端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响主机的安全。一般来说,仅打开必须的端口是最明智的安全做法,配置方法是在“网卡属性→tcp/ip协议→高级→选项、→tcp/ip筛选”中启用“tcp/ip筛选”。
2.2iis
iis是微软组件中迄今为止发现漏洞最多的一个,特别是它的默认安装、此处应重点进行配置;其一、彻底删除系统盘(一般是c盘)的inetpub目录、到其它盘新建一个目录、而且起名最好不是inetpub。
再到iis管理器中将主目录指向这个新建的非系统盘目录。
其二,删除iis安装时默认的scripts等虚拟目录、它们很容易暴露出本地网页物理路径。需要什么权限的目录就自己建立一个,权限也一定要注意,特别是写权限和执行程序的权限。
其三,在iis管理器中删除必须之外的任何无用映射,必须指出的是asp、asa和其它需用到的文件类型%在iis管理器中右击“主机→属性→www服务编辑→主目录→配置→应用程序映射” ,接着开始单独删除即可。[3]然后到应用程序调试标签内将脚本错误消息更改为发送文本。
最后,还可以使用iis的备份功能,将上述的设定备份以便随时恢复iis的安全配置。如果担心iis负荷过大而导致服务器死机的话,可以在性能中打开cpu限制,将其使用率限制为80%。
2.3帐号安全
windows 2000 server默认安装后允许任何用户通过139端口的空连接得到系统所有账号名称及共享列表。本来这是为方便校园局域网用户共享文件设计的,但远程用户同样也能得到这些敏感信息,从而使暴力破解用户密码成为可能。
打开注册表编辑器,在“开始→运行”中填入“regedit”并确定,找到hkey_local_machines\svstem\cnrrentcontrolset\control\lsa_restrictanonymous、令其值为“1",这样即可禁止139端口的空连接访问。
2.4安全日志
默认情况下windows 2000 server未打开任何安全审核,所以必须打开“本地安全策略”→审核策略下的“审核”进行如下的设置:账户管理――(成功、失败),登录事件――(成功、失败),对象访问――(失败), 策略更改――(成功、失败),特权使用――(失败),系统事件――(成功、失败),目录服务访问――(失败),账户登录事件――(成功、失败)。同时在“账户策略→密码策略”中也要设置:密码复杂性――启用,密码长度最小值――6位,强制密码历史――5次,最长存留期――30天;还要在“账户策略→账户锁定策略”中设置:账户锁定――3次错误登录,锁定时间――20分钟,复位锁定计数――20分钟。[4]
3 网络病毒的防护
为保证服务器的安全,除了服务器端的工作外,对网络用户的客户端也采取了相应措施,从有害攻击的源头抓起,对每个网络用户负责。
针对网络时代病毒新的特点,在校园网上布置诺顿网络防病毒系统,网络中心安装诺顿防病毒服务器,每个校园网用户可方便下载、安装客户端软件,整个系统自动、快速升级,实现实时防毒控制。[5]这样,有效地控制了造成重大危害的蠕虫病毒在校园网上的传播。
校园网设置防病毒、垃圾邮件网关,对进出的邮件实时扫描、过滤,滤除有害的病毒邮件、垃圾邮件,并可设置灵活的针对特殊关键字的过滤,滤除有害信息。
4 管理员的安全意识
4.1管理模式
从网络管理角度来看,在网络管理中应实施“a-c-s 角色管理模型”,即a:administrator 系统管理员,负责承担日常的例行维护,他是管理计算机系统的主要人员;c :configuation manager 配置管理员,负责进行计算机设备的资产管理、网络参数( 如网络地址子网掩码)的分配和登记;s:security consultant安全管理员,负责评估和审核计算机系统的安全状况,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。上述三角色各有分工又相互协作,系统管理员接受安全管理员在安全方面的监督,接纳其安全建议;配置管理员统管网络资源分配,进行整个网络的调整,向系统管理员和安全管理员提供网络参数;安全管理员必须及时通知系统管理员相关的安全操作。
4.2坚持“最小授权”原则
网络管理员要经常性地查看服务器打开的服务端口和服务器的运行状态,关闭无需的服务端口。此外,管理员要经常性地总结经验,通过查看服务器性能及运行状态,判断服务器是否存在可能的危险,关闭不清楚的或不知的进程,尽可能地做到防微杜渐。[6]“最小授权”原则还要求网络中帐号设置、服务配置、主机间信任关系配置等,应该设为网络正常运行所需的最小限度。
4.3口令安全策略
大多数黑客入侵,就是通过各种途径取得管理员口令,因此,校园网管理员的口令安全策略显得尤其重要。管理员口令安全策略主要有:
(1)不要使用比较容易猜的口令,最好使用字符和数字的混合口令。
(2)定期更换管理员口令。
(3 )设置系统安全策略,限制用户错误口令登录次数,防止用户枚举性地试探猜测管理员口令。
参考文献:
[1] 龚静. 高校校园网的安全与防护[j]. 教育信息化 ,2005,(04) .
[2] 董慧娟. 校园网的网络安全策略[j]. 无锡职业技术学院学报 ,2005,(02) .
摘要:本文主要以典型企业网络结构出发,具体介绍了cisco路由器上如何配置dhcp服务器,及针对多个vlan环境下dhcp中继的配置,并讨论如何管理dhcp服务器以提高网络的安全性能。
关键词:dhcp 路由器 vlan snooping
随着信息化技术的飞速发展,企业不断加强自身信息化建设,网络规模日趋庞大。大规模的电脑分布,复杂的子网设置,dhcp服务器毋庸置疑是企业网络管理员科学管理局域网ip地址及配置的首选。有了dhcp服务器后,使得我们的网络管理工作变得游刃有余。本文通过对一个企业典型的网络系统案例,把相关的知识点综合应用上来,以实现一个安全完整的动态主机配置服务系统。
1 企业网络结构介绍
企业网络结构拓扑图如下:
说明:本实例选用在路由器上配置dhcp服务,为三层交换机下面vlan10和vlan20的电脑分别分配192.168.10.0/24和192.168.20.0/24两网段的地址。
2 配置dhcp服务器
在router路由器上面配置dhcp服务:
2.1 开启dhcp 功能
router(config)#service dhcp
2.2 配置dhcp 地址池
router(config)#ip dhcp pool vlan1 //地址池名为vlan1
router(dhcp-config)#network 192.168.10.0 255.255.255.0 //vlan1客户端使用的地址段
router(dhcp-config)#default-router 192.168.10.1 //网关地址
router(dhcp-config)#dns-server 61.144.56.100 //dns地址
router(dhcp-config)#lease 2 12 30 //租期为2天12小时30分(默认为一天)
router(config)#ip dhcp pool vlan2 //地址池名为vlan2
router(dhcp-config)#network 192.168.20.0 255.255.255.0 //vlan2客户端使用的地址段
router(dhcp-config)#default-router 192.168.20.1 //网关地址
router(dhcp-config)#dns-server 61.144.56.100 //dns地址
router(dhcp-config)# lease 2 //租期为2天
2.3 保留ip地址
因为有些ip 地址我们要用作特殊用途,不希望分配给客户端。比如:网关地址或一些需要固定给某一台电脑使用的ip等。所以我们要保留这些地址,这样服务器就不会将这些地址分配给客户端使用。
router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10//保留192.168.10.1到192.168.10.10
router(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.10
以上就是路由器上开启dhcp服务以及如何配置服务器的具体方法,如果客户端直接连接路由器端口就可以申请到对应端口网段的ip地址了。但现在客户端电脑是通过三层交换机来连接路由器的,这样客户端是无法顺利申请到ip地址的,因为客户端的dhcp请求到达交换机以后不知道向路由器申请。因此我们接下来配置三层交换机上的dhcp中继,来实现dhcp请求顺利到达路由器上。
3 配置三层交换机
企业为了局域网内部的管理及控制广播风暴,通常在计算机数量比较多的情况下采用基于端口的方法来划分vlan(虚拟局域网),我们把f0/2、f0/3分别加入vlan10、vlan20(其它端口默认属于vlan1)。
3.1 配置vlan及相应接口信息
switch(config)#vlan 10 //创建vlan10
switch(config-vlan)#exit
switch(config)#int vlan 10 //设置vlan10的ip地址
switch(config-if)#ip address 192.168.10.1 255.255.255.0
switch(config-if)#exit
switch(config)#int f0/2 //配置端口f0/2,把该端口加入vlan10
switch(config-if)#switchitchport mode access
switch(config-if)#switchitchport access vlan 10
switch(config-if)#exit
同理,创建vlan20,设vlan20的ip地址为192.168.20.1/24,把f0/3加入vlan20。
3.2 配置dhcp中继
配置dhcp中继通常在交换机、路由器或服务器版操作系统上配置,这些设备通常处在dhcp服务器与dhcp客户端中间,使得dhcp客户端的请求广播不能到达对应dhcp服务器,从而使得客户端的申请失败。而配置dhcp中继就是让客户端的广播包单播发向对应的dhcp服务器,我们通过ip help-address功能来实现。
switch(config)#int vlan 10
switch(config-if)#ip helper-address 192.168.0.1 //单播前转dhcp 广播到192.168.0.1
switch(config-if)#exit
switch(config)#int vlan 20
switch(config-if)#ip helper-address 192.168.0.1
同样,如果现实中这三层交换机是路由器,我们也是在路由器接客户端的接口上设置ip helper-address来实现dhcp中继。
3.3 配置路由器上的路由
配置基本完成,最后一定要记得配置路由,让dhcp服务器能与客户端通信。
router (config)#ip route 192.168.10.0 255.255.255.0 192.168.0.2
router (config)#ip route 192.168.20.0 255.255.255.0 192.168.0.2
通过以上几步配置,vlan10里的电脑pc1便能获得地址192.168.10.11,vlan20里的电脑pc2便能获得地址192.168.20.11。为什么不同vlan之间能获得各自网段的ip地址呢?因为三层交换机收到pc1的dhcp广播包后,将giaddr的参数改成了192.168.10.1,收到pc2的dhcp广播包后,将giaddr的参数改成了192.168.20.1,所以最后dhcp服务器能够根据giaddr=192.168.10.1的包,把192.168.10.0/24的有效地址分配给pc1。根据giaddr=192.168.20.1的包,把192.168.20.0/24的有效地址分配给pc2。
4 管理dhcp服务器
4.1 绑定ip与mac地址
在企业日常维护中,常有一些ip地址需要固定给某一台客户机。cisco路由器上可以通过单独创建一个地址池host pool,然后通过client-identifier来实现ip地址与mac地址的绑定。比如一个主机网卡mac地址为0013.77b9.2774,要绑定ip地址192.168.10.100/24。实现如下:
router(config)#ip dhcp pool client1
router(dhcp-config)#host 192.168.10.100 255.255.255.0
router(dhcp-config)#client-identifier 0100.1377.b927.74 //前面新增的01表示走的ethernet,后面接mac
4.2 禁止非法dhcp服务器欺骗
在企业网络中,难免某一个子网中多出一个带dhcp服务功能的服务器或路由器,结果导致客户端电脑获取到一个非法的ip地址配置信息,导致电脑无法正常使用。其原因是dhcp客户端发出的dhcp请求是以广播形式发出的,在同一个广播域,也就是说同一个vlan里所有的设备都会收到。事实上,非法的dhcp报文在该子网的传播要比合法的dhcp报文快,用户必将先获取到非法dchp服务器所提供的ip地址。其实防止非法dhcp服务器,可以通过交换机上的dhcp-snooping功能来实现。dhcp snooping技术是一种通过在交换机上建立dhcp snooping binding数据库,过滤非信任的dhcp消息,从而保证网络安全的特性。
本案例具体可以在三层交换机上配置如下:
switch(config)#ip dhcp snooping //开启dhcp snooping
switch(config)#ip dhcp snooping vlan 1,10,20 //在vlan1、10和20中开启dhcp snooping功能
默认情况下开启dhcp snooping功能后,相应的端口全部为不可信任的,只要把对应dhcp服务器的连接端口设为信任端口就可以了。
switch(config)#int f0/1
switch(config-if)#ip dhcp snooping trust //设f0/1为信任端口。
通过以上配置,三层交换机上f0/1接口的设备才能应答dhcp请求,其它接口过来的dhcp应答将会被丢弃。同时要注意的是,配置了dhcp snooping 的交换机默认会产生中继效果,会将dhcp 请求包的giaddr 的参数改成了0.0.0.0,而且交换机的这种中继效果是无法关闭的。当服务器收到giaddr 设置为0.0.0.0 而不是ip 地址的请求包时,默认是要丢弃该数据包而不作应答的,所以dhcp 服务器将丢弃该请求数据包。要想让客户端能够正常收到dhcp 提供的ip 地址,就应该让dhcp 服务器对即使giaddr 为0.0.0.0的请求包也作出应答。配置如下:
router (config-if)#ip dhcp relay information trusted
5 结束语
在cisco设备上配置dhcp服务是即经济又有效的办法,不仅仅节省了资源,同时能更加稳定的给整个网络分配ip地址和网络参数。本文通过对企业内典型局域网的dhcp服务器设计,完整的把cisco设备上dhcp服务器的配置及日常管理作了一次详细的总结,相信能给大家在日常网络管理中提供帮助。
1.浅谈企业网络管理论文
2.网络技术与安全管理论文
3.网络管理论文
4.浅议计算机管理与维护论文
5.多媒体教室计算机管理论文
上一篇:成本费用管理论文
下一篇:最新的国有资产管理论文
