校园局域网的组建
图3-3 局域网中PC机自动获得的IP图
第四章 校园网服务器配置
4.1 WWW服务器配置
WWW是建立在客户机/服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页,这些信息页既可放置在同一主机上,也可放置在不同地理位置的主机上;本链路由统一资源定位器(URL)维持,WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。
Internet采用超文本和超媒体的信息组织方式,将信息的链接扩展到整个Internet上。目前,用户利用WWW不仅能访问到Web Server的信息,而且可以访问到FTP、Telnet等网络服务。因此,它已经成为Internet 上应用最广和最有前途的访问
19
校园局域网的组建
工具,并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器(Browser),它是用来浏览Internet上WWW主页的软件。目前,最流行的浏览器软件主要有Netscape communicator 和Microsoft Internet Explorer。 WWW浏览提供界面友好的信息查询接口,用户只需提出查询要求,至于到什么地方查询,如何查询则由WWW自动完成。因此WWW为用户带来的是世界范围的超级文本服务。用户只要操纵鼠标,就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径,而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。 局域网WWW服务器的配置如图4-1所示:
图4-1 局域网WWW服务器配置图
4.2 DNS服务器配置
DNS服务器在互联网的作用是:把域名转换成为网络可以识别的ip地址。首先,
20
校园局域网的组建
要知道互联网的网站都是一台一台服务器的形式存在的,但是我们怎么去到要访问的网站服务器呢?这就需要给每台服务器分配IP地址,互联网上的网站无穷多,我们不可能记住每个网站的IP地址,这就产生了方便记忆的域名管理系统DNS,他可以把我们输入的好记的域名转换为要访问的服务器的IP地址.
简单的说,就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址,DNS服务器就应运而生,提供将域名解析为IP的服务,从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。
局域网内DNS服务器的配置如图4-2所示:
图4-2 局域网DNS服务器的配置
第五章 校园网络的管理与安全
5.1 网络管理
随着校园网的不断发展和应用,网络管理和安全防范问题也越来越复杂。为此,我
21
校园局域网的组建
校专门设立了网络管理中心,负责网络管理系统的建立和应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时,利用网管中心,可以方便地采取各种安全性措施,控制通信,购买硬件防火墙,即时下载系统漏洞,实施新的安全技术,数据备份等提高网络可靠和安全性能水平。
校园网管理的主要目的是保障网络运行的品质,如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理,内容可分为下列6项:
(1)系统管理随时掌握网络内任何设备的增减与变动,管理所有网络设备的设置参数。当故障发生时,管理人员得以重设或改变网络设备的参数,维持网络的正常运作。 (2)故障管理为确保网络系统的高稳定性,在网络出现问题时,必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。
(3)效率管理在于评估网络系统的运作,统计网络资源的运用及各种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。
(4)安全管理为防范不被授权的用户擅自使用网络资源,以及用户蓄意破坏网络系统的安全,要随时做好安全措施,如合法的设备存取控制与加密等。
(5)计费管理了解网络使用时间,能针对各个局部网络做使用统计。一则可作为使用网络计费的依据,更可作为日后网络升级或更新规划的参考。
(6)信息管理网络上的信息分成两部分,一是由管理员放置的信息,它们的品质一般较高;另一部分是由用户放置的,可能会有一些问题,要对这部分信息进行管理。 (7)人员培训
要真正提高校园网的应用水平,就必须坚持不懈地在教学和学习中应用网络,以切实提高教学水平、管理水平和学习水平,其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班,对校园网的四类实用人员,即学校领导、系统维护人员、课件制作人员和应用系统使用人员,分期分批进行网络培训,以提高全体师生的网络应用水平,并促进校园网的健康发展。
5.2 网络安全
主机安全技术:加强网络上结点计算机的安全,包括:系统防火墙的规则设置、更新。系统漏洞补丁升级更新,在人们的潜意识里增加安全防范意识等等。
身份认证技术:身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前,可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务(IIS提供的)身份
22
校园局域网的组建
验证方法来控制对网站和FTP站点的访问。(包括下列信息:网站验证:介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证:介绍符合您验证用户FTP站点访问要求的身份验证方法。)
访问控制技术:对信息的权限的控制,阻止了非授权用户进行的信息的浏览,修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能,您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问,从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象(如文件或文件夹)关联的规则,用于控制哪些帐户可以获得对象的访问权限。
防火墙技术:要主的技术有数据包过滤技术、应用网关和代理服务等;防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络(Dmz 安全区)中。连接外网的包过滤路由器主要用来防止外网的攻击。并管理外网对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据,负责管理Dmz和内网之间的访问。这样对外网,内部网是不可见的。同理对于内网外网是不可见的,内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机,内部路由器才能入侵到内网中。到目前可以认为是最安全的。
安全审计技术:安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问。(可供审核的活动包括:用户成功和失败的登录。用户试图访问受到限制的帐户。用户试图执行受到限制的命令。) 5.2.1 NAT
网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。
23