中小企业局域网建设和Web服务器配置.docx
《中小企业局域网建设和Web服务器配置.docx》由会员分享,可在线阅读,更多相关《中小企业局域网建设和Web服务器配置.docx(22页珍藏版)》请在冰点文库上搜索。
中小企业局域网建设和Web服务器配置
毕业设计(论文)
(2011届)
题目中小企业局域网建设和Web服务器配置
系别
专业
班级
学号
姓名
指导教师
2011年5月30日
目录
第1章前言4
1.论文背景4
1.1局域网设计方案的意义5
1.2局域网涉及主要网络技术5
第2章局域网建设目标6
2.1建设目标6
2.2设计原则7
第3章需求分析7
3.1局域网需求7
3.1.1从企业对信息的需求来看7
3.1.2从企业的管理角度来看7
3.1.3从企业的业务角度来看7
3.2网络应用需求7
3.3局域网技术需求8
3.4局域网功能需求8
3.5局域网需求挑战9
第4章局域网方案设计10
4.1网络拓朴设计10
4.2IP编址及VLAN划分10
4.3设计方案设备选型12
第5章网络安全设计14
5.1物理层安全14
5.2系统安全15
5.3网络层安全15
5.4应用层安全16
5.5管理层安全16
第6章系统安装和WEB服务器配置17
6.1系统安装、系统安全策略配置17
6.1.1Windows2003安装策略17
6.2安装Web服务19
6.3配置虚拟目录19
结束语22
参考文献23
感言24
中小企业局域网建设和Web服务器配置
【摘要】21世纪将是知识经济时代,以知识和信息的生产、传播和应用为基础的知识经济将占世界经济发展的主导地位。
随着现代科学技术的飞速发展,世界范围内的信息化浪潮势不可挡。
国际互联网(Internet)上相连的计算机已近达数亿万台,全球有数亿人在Internet上进行信息交换和各种业务处理。
Internet上积累了大量信息资源,这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息,成为信息时代全球可共享的最大信息基地。
越来越多的企业都开始组建自己的局域网,通过局域网与世界相连,通过局域网和Web服务器使得企业内部信息共通。
【关键词】局域网;Internet;web服务器;
第1章前言
1.论文背景
某企业为了适应现代化办公需要,决定建设自己的局域网和web服务器。
服务器部分:
WEB服务器是Intranet(企业内部网)网站的核心,便于组建企业内部信息交流平台。
局域网部分:
该企业厂区分为A区、B区、C区以及D区。
A区为核心区域,严格控制其它区域访问控制。
B区、C区和D区在建造时采用相同的设计结构。
1.1局域网设计方案的意义
从厂商的角度讲,他们追求的是价格最贵化,设备最好化,简度冗余化。
总体上来说就是追求整体方案的最大利润化。
而从厂家的角度讲,他们追求的是成本控制严格,尽量满足需求,提供投资保护。
简言之就是:
整体方案以满足企业需求为目的。
所以说他们的出发点是不一样的,很明显最终的设计方案就不一样。
当然,我们是站在企业的角度来提出建网设计方案的。
所以,能否设计出既能满足企业网络需求,又能购买到性价比高的设备至关重要。
而组网方案又为我们提供了很好的参考,其意义不言而喻。
1.2局域网涉及主要网络技术
路由技术:
在通信子网间路由数据包,具有在网络中传递数据选择最佳路径的能力,利用访问控制列表,路由器还可以完成路由器为中心的流量控制和过滤功能。
交换技术:
在通信子网间分离冲突域,实现端口化最小冲突域,减小数据包在网络中传输时引发的碰撞与冲突,达到快速转发数据包的目的。
虚拟网技术:
解决交换机在进行局域网互连时无法限制广播的问题,把一个LAN划分成多个逻辑的VLAN,VLAN间则不能直接互通,广播报文被限制在一个VLAN内。
冗余技术:
通过配置HSRP,在主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
远程访问技术:
可以为家庭办公用户和出差在外的员工提供移动接入服务。
防火墙技术:
防火墙(英文:
firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。
也有以防火墙为名的电影。
虚拟路由器技术:
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。
控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。
一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。
使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。
VRRP包封装在IP包中发送。
VPN技术:
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
第2章局域网建设目标
2.1建设目标
●高速、安全、可靠、可扩充网络系统,充分满足企业内部的交互及管理需求;
●实现企业与Internet安全互联、对外发布应用服务器、提供移动用户的接入访问;
●企业实现全部信息化、无纸化办公,改变传统工作方式,提高工作效率;
●实现业务信息综合分析,提供领导决策,更好的组织生产与经营企业。
2.2设计原则
●在网络规划方面,采用统一的IP应用、网络设计及管理的国际标准;
●在软硬件选择方面,所选产品必须遵循标准化原则,方便升级及管理;
●在安全方面,具有良好的安全性与保密性,受攻击时有可追溯性;
●在投资保护方面,做到资源共享与保护,满足现状时具有强扩展性。
第3章需求分析
3.1局域网需求
3.1.1从企业对信息的需求来看
●信息就是金钱时代
●单机应用到多机互联的应用
●手工管理方式及手段急需改变
3.1.2从企业的管理角度来看
●领导更全面的掌握企业的运作信息
3.1.3从企业的业务角度来看
●内部及外部间沟通更加顺畅
●无纸化、自动化办法时代
●提高工作效率、降低运营成本
3.2网络应用需求
·实现企业局域网与其他各网络之间的安全、高速数据访问交换
·采用Internet代理服务,实现企业所有站点通过电脑网络高速访问Internet。
·建web服务器,实现企业在Internet和Intranet上的信息发布,使公司内外的人员能够即使了解公司的最新信息。
·建立邮件服务器,实现企业工作人员与上级机构、分支机构等的电子信息的传递。
·构建起企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。
公司Internet应用是作为我们设计网络一期的依据,因此,我们从公司Internet应用及应用发展入手,分析目前及未来发展的公司Internet应用,并根据这些应用的自身特点,从带宽需求、传输时延、传输的可靠性、传输的安全性等因素来分析,综合考虑并总结出公司Internet应用的发展需求。
天河科技有限公司Internet应用主要有:
◆Internet信息交流:
实现资源高度共享,为销售、研发、人力资源管理等提供Internet接入服务
◆视频会议系统:
实现对视频和音频数据的多路组播和广播
◆WEB信息发布
◆电子邮件、公告牌、电视会议和产品信息查询等服务
3.3局域网技术需求
Ø主干网络采用速率为1000Mbps的交换技术。
作为公司主干的支撑网络,要求安全可靠,并可实现主干网络冗余、链路容错等功能。
Ø系统各层网络之间良好互联。
Ø千兆交换机与主机服务器之间良好互联。
Ø具有良好便捷网络管理平台。
网管系统是开放式网管平台,并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。
Ø网络骨干设备具有较高的可靠性;核心设备支持热插拔,具有容错设计。
Ø网络设备具有较好的扩展性,系统能够平滑升级及扩充。
3.4局域网功能需求
◆资源共享功能:
网络的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各功能。
◆通信服务功能:
最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。
◆多媒体功能:
支持多媒体组播,具有卓越的服务质量保证功能。
◆远程VPN拨入访问功能:
系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。
3.5局域网需求挑战
Ø高性能、高安全。
Ø满足需求、稳定、可靠。
Ø低成本、投资保护。
第4章局域网方案设计
4.1网络拓朴设计
4.2IP编址及VLAN划分
该企业使用私有IP地址来规划内网IP地址,选择172.16.0.0/16地址。
IP地址规划分为四块:
用户地址、设备互联地址、设备管理地址以及服务器地址。
Ø用户IP地址:
172.16.10.0/24—172.16.20.0/24
Ø设备管理IP地址:
172.16.9.0/24
Ø设备互联IP地址:
172.16.8.0/24
Ø服务器IP地址:
172.16.7.0/24
◆终端设备IP地址规划
终端设备IP以及Vlan规划
区域
网段
默认网关
vlan号
Vlan名
A区
172.16.10.0/24
172.16.10.1
1
area-A
窗体顶端
窗体底端
B区
172.16.11.0/25
172.16.11.1
2
area-B
窗体顶端
窗体底端
C区
172.16.11.128/25
172.16.11.128
3
area-C
窗体顶端
窗体底端
D区
172.16.12.0/25
172.16.12.1
4
area-D
server1
172.16.7.1/30
172.16.7.2
server2
172.16.7.5/30
172.16.7.6
sever3
172.16.7.9/30
172.16.7.10
DMZ-server
172.16.7.13/30
172.16.7.14
◆设备管理IP地址规划
设备管理IP地址规划
区域
管理IP/32
设备命名
A区
172.16.9.1
Switch-A1
172.16.9.2
Switch-A2
172.16.9.3
Switch-A3
172.16.9.4
Switch-A4
窗体顶端
窗体底端
172.16.9.5
Switch-A5
窗体顶端
窗体底端
B区
172.16.9.6
Switch-B1
窗体顶端
窗体底端
172.16.9.7
Switch-B2
172.16.9.8
Switch-B3
C区
172.16.9.9
Switch-C1
172.16.9.10
Switch-C2
172.16.9.11
Switch-C3
D区
172.16.9.12
Switch-D1
172.16.9.13
Switch-D2
172.16.9.14
Switch-D3
4.3设计方案设备选型
Catalyst4506
千兆三层交换机
●线速三层交换,L4~L7流分类
●SUP En V-10GE引擎
●背板/转发:
136Gbit/s/102Mpps
●基于软件的容错以及1+1电源冗余
●模块化结构,提供投资保证
设备应用
●只能园区网汇聚/接入
●中小企业汇聚/核心
●中小分支机构核心
●配线间
Catalyst2960
●千兆上行,二层线速
●提供访问控制列表和增强安全特性
●双介质上行链路提供千兆链路灵活性
●实现了网络控制和带宽优化
●多种验证方法,实现网络安全性
设备应用
●小型配线间
●小型分支机构
●桌面/工作组交换机
Cisco3640
园区和分支接入路由器
●集成了多服务平台
●高密度ISDNPRI功能
●预配置的PRI和BRI调制解调器捆绑
●完美的VPN支持
●模块化、可伸缩的设计
●提供性能、可伸缩性、灵活性和投资保护
设备应用
●园区网广域网接入
●中小企业分支接入
●配线间
第5章网络安全设计
企业网内的用户数量较大,局域网络数目较多,经过分析可以总结出天河科技企业网面临着如下的安全威胁:
⏹各种操作系统以及应用系统自身的漏洞带来的安全威胁;
⏹Internet网络用户对企业网存在非法访问或恶意入侵的威胁;
⏹来自企业网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入企业内网。
内部职工可能由于使用盗版介质将病毒带入内网;
⏹内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网;
⏹内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;
⏹可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全,带来企业网的威胁;
上述分析的几点是当今企业网普遍面临的安全隐患。
企业网络的应用水平也在不断提高。
规模的壮大和运用水平的提高就决定了网络面临的隐患也相应加剧。
那么就及上述分析我们应从物理、系统、网络、应用及管理五个层设计适合于本网络的安全方案。
5.1物理层安全
物理层的安全主要包括环境、设备及线路的安全。
系统中心或机房的建设应遵照:
GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。
在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。
同时,要注意保护线路的安全,防止用户的搭线窃听行为。
5.2系统安全
系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。
解决的技术手段主要有以下几种:
●采用主机加固手段加固主机,如升级、及时打补丁、关闭不需要的端口和服务等;
●对系统重要文件进行及时备份、加密来保障系统文件的安全;
●及时更新杀毒软件,定时扫描漏洞保障系统安全;
●严格控制权限加强对主机的访问控制;
●使用强密码帐号保障系统帐号的安全;
●日志分析,及时发现异常;
5.3网络层安全
网络中局域网数目较多,根据需要多个网络可能要互相联接。
正是这种多网的互联,使我们对网络层的安全要极度重视。
定义一个网络或各网络内不同安全等级的部分为不同的安全域。
安全域之间的连接处叫网络边界。
下面主要几方面的网络层安全防护:
⏹划分安全子网。
如果同一局域网内有不同等级的安全域,可以通过划分子网及VLAN的方法加以访问控制。
⏹加强网络边界的访问控制。
安全等级差别较大的边界需要采用防火墙来控制。
如内网、外网和Internet之间,利用防火墙进行访问控制和内容过滤。
可有效地解决需求中提到的多种威胁。
⏹防止内外的攻击威胁。
在每个安全域内或多个安全域之间安装入侵检测系统(IDS),可有效地防止来自网络内外的攻击。
⏹定期的网络安全性检测实现持续安全。
利用漏洞扫描器(Scanner),定期对系统进行安全性评估,及时发现安全隐患并实施修补,可达到网络的相对持续安全。
⏹建立网络防病毒系统。
在企业网中安装网络版的防毒系统,集中控制、管理查杀网络中服务器、终端的病毒,保护全网不被病毒侵害。
5.4应用层安全
应用层的安全措施主要有以下几点:
◆加载邮件过滤系统,过滤垃圾邮件;
◆各应用系统自身的加固;
◆建立身份认证系统,对各用户进行严格身份认证;
◆建立安全审计系统,进行安全审计;
◆建立备份系统,及时备份重要文件;
5.5管理层安全
实现管理层的安全主要注意以下几点:
Ø建立安全管理平台。
主要是指将各种安全系统或设备集中控管、综合分析。
Ø建立、健全安全管理体制。
内网用户较多,一定要建立一套合理可行的安全管理制度。
只有制度和设备的完美结合才能真正提高校园网的安全水平。
Ø机房重地要重点保护,闲人不得随意进入。
Ø提高全员的安全意识适当进行安全培训。
第6章系统安装和WEB服务器配置
6.1系统安装、系统安全策略配置
使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。
6.1.1Windows2003安装策略
1、系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如DNS、DHCP,不需要的服务和协议一律不安装;只保留TCP/IP一项并禁用NETBOIS;安装Windows2003最新补丁和防病毒软件。
2、关闭windows2003不必要的服务。
关闭ComputerBrowser、Taskscheduler、RoutingandRemoteAccess、Removablestorage、RemoteRegistryService、PrintSpooler、IPSECPolicyAgent、DistributedLinkTrackingClient、Com+EventSystem、Alerter、ErrorReportingService、Messenger、Telnet服务。
3、设置磁盘访问权限。
系统磁盘只赋予administrators和system权限,系统所在目录(默认时为Windows)要加上users的默认权限,以保障ASP和ASPX等应用程序正常运行。
其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。
4、注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD值RestrictAnonymous的键值改为1,禁止Windows系统进行空连接。
5、关闭不需要的端口、更改远程连接端口。
本地连接→属性→Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性→把勾打上,添加需要的端口(如:
21、80)。
更改远程连接端口:
开始→>运行→>输入regedit 查找3389:
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号并重新启动服务器。
6、编写批处理文件delshare.bat并在组策略中应用,以关闭默认共享的空连接。
(以服务器有4个逻辑驱动器为例)
netshareC$/delete
netshareD$/delete
netshareE$/delete
netshareF$/delete
netshareadmin$/delete
将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。
运行gpedit.msc组策略编辑器,用户配置→Windows设置→脚本(登录/注销)→登录→“登录属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入delshare.bat→“确定”按钮→重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。
7、限制匿名访问本机用户。
“开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举SAM帐号和共享”→“确定”。
8、限制远程用户对光驱或软驱的访问。
“开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(E)”→“确定”。
9、限制远程用户对NetMeeting的共享,禁用NetMeeting远程桌面共享功能。
运行“gpedit.msc”→“计算机配置”→“管理模板”→“Windows组件”→“NetMeeting”→“禁用远程桌面共享”→右键→在单选按钮中选择“启用(E)”→“确定”。
10、限制用户执行Windows安装程序,防止用户在系统上安装软件。
方法同(9)。
11、删除C:
\WINDOWS\WEB\printers目录,避免溢出攻击(此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击)。
12、删除C:
\WINDOWS\system32\inetsrv\iisadmpwd,此目录在管理IIS密码时使用(如因密码不同步造成500错误时使用OWA或Iisadmpwd修改同步密码),当把账户策略>密码策略>密码最短使用期限设为0天[即密码不过期时,可避免IIS密码不同步问题。
这里就可删掉此目录。
13、修改注册表防止小规模DDOS攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建"DWORD值"名为"SynAttackProtect"数值为"1"
6.2安装Web服务
开始→设置→控制面板→添加/删除Windows组件→出现“Windows组件向导”→选择“Internet信息服务(IIS)”组件→详细信息→出现“Internet信息服务(IIS)”对话框,勾选“WorldWideWeb服务器”→确定→下一步→完成Web服务器的安装。
6.3配置虚拟目录
开始→程序→管理工具→Internet服务管理器→右击“默认的Web网站”,在弹出的菜单中选择“新建”→“虚拟目录”,如图6.3.1所示→下一步→输入虚拟目录别名,在这里我输入“jsj”,如图6.3.2所示→选择Web站点内容目录,如图6.3.3所示→设置权限→完成虚拟目录的配置,如图6.3.4所示。
图6.3.1
、
图6.3.2
图
升级会员 