winserver服务器搭建毕业论文.docx
《winserver服务器搭建毕业论文.docx》由会员分享,可在线阅读,更多相关《winserver服务器搭建毕业论文.docx(46页珍藏版)》请在冰点文库上搜索。
winserver服务器搭建毕业论文
呼伦贝尔学院
计算机科学与技术学院
建设与管理论文
题目:
服务器的搭建
学生:
于洋
学号:
2011121136
专业班级:
2011级计算机科学与技术一班
指导教师:
仁山
完成时间:
2014年6月7日
摘要
由于计算机技术的飞速发展,计算机网络的应用也越来越广泛。
然而随之而来的各种病毒的困扰及黑客行为的不断升级,网络安全已经成为了一个非常重要而且是必须考虑的问题之一了。
通过对计算机网络安全存在的问题进行深入剖析,并提出了相应的安全防技术措施。
近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。
为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷。
本人结合实际经验,对计算机网络安全与防护措施进行了探讨。
关键词服务器;web;流媒体;;VPN
Abstract
Duetotherapiddevelopmentofputertechnology,theputernetworkisappliedmoreandmoreextensively.However,theensuingviraldistressandhackingisceaselessupgrade,networksecurityhasbeeaveryimportantandmustbeconsideredoneoftheproblems.Throughtheputernetworksecurityproblemsin-depthanalysis,andputforwardthecorrespondingsecuritymeasures.
Inrecentyears,withtherapiddevelopmentofputernetworktechnology,especiallyInternetapplicationsbeemoreandmorewidely,inbroughthithertounknownmassofinformationatthesametime,puternetworksecurityhasbeeincreasinglyimportant,duetoputernetworkconnectionformmultiplicity,terminaldistributioninhomogeneity,networkopennessandnetworkthesharingofresourcesandotherfactors,resultingintheputernetworkvulnerabletovirus,hackers,malicioussoftwareandothermisconductoftheattack.Inordertoensuretheinformationsafetyandnetworkunimpeded,studytheputernetworksecurityandprotectivemeasuresalreadyapproachisineyebrownimble.biningwiththepracticalexperience,theputernetworksecurityandprotectivemeasuresarediscussed.
Keywordsserver;web;Streamingmedia;Mail;VPN
第1章web服务器
WEB服务器也称为(WORLDWIDEWEB)服务器,主要功能是提供网上信息浏览服务。
是Internet的多媒体信息查询工具,是Internet上近年才发展起来的服务,也是发展最快和目前用的最广泛的服务。
正是因为有了工具,才使得近年来Internet迅速发展,且用户数量飞速增长。
Web服务器是指驻留于因特网上某种类型计算机的程序。
当Web浏览器(客户端)连到服务器上并请求文件时,服务器将处理该请求并将文件发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。
服务器使用HTTP(超文本传输协议)进行信息交流,这就是人们常把它们称为HTTPD服务器的原因。
Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。
1.1web服务器的工作原理
Web是一种典型的基于浏览器/服务器(Browser/Server,简称B/S)的体系结构。
典型的B/S结构将计算机应用分成三个层次,即客户端浏览器层、Web服务器层和数据库服务器层。
B/S结构有许多优点,它简化了客户端的维护,所有的应用逻辑都是在Web服务器上配置的。
B/S结构突破了传统客户机/服务器(Client/Server,简称C/S)结构中局域网对计算机应用的限制,用户可以在任何地方登录Web服务器,按照用户角色执行自己的业务流程。
Web通过HTTP协议实现客户端浏览器和Web服务器的信息交换。
1.2web服务器的安全性问题
1.2.1Web服务器面临的威胁
现在,Web服务器面临许多威胁,大部分威胁与您在系统中配置的应用程序、操作系统和环境有关。
在这里,我仅归纳了最常见的服务器威胁。
拒绝服务
拒绝服务(DoS)是一种“老牌”服务器攻击。
这种攻击很简单,通常由技术水平较低的被称为脚本小子(scriptkiddies)的年轻人发动此类攻击。
总体而言,DoS攻击通过一个系统攻击另一个系统,其目的是消耗后者的所有资源(比如带宽和处理器时间),从而无法进行合法请求。
通常,我们认为这是一种无聊的攻击,但您一定不要因此放松警惕,因为它造成的许多问题会让您半夜睡不着觉。
分布式拒绝服务
分布式拒绝服务(DDoS)攻击是DoS攻击的增强版,因为它更加恶劣、更加恼人。
DDoS攻击的目标和DoS一样,但它的规模更大,也更加复杂。
在DDoS攻击中,攻击者不是通过一个系统攻击另一个系统,而是使用多个系统攻击另一个系统,有时这种发出攻击的系统甚至多达几十万个。
如果说DoS攻击仅会让人感觉讨厌的话,那么DDoS攻击则是致命的,因为它能迅速使服务器离线。
不过,实施DDoS攻击需要很高明的技术。
比较常见的DDoS攻击包括:
FTP跳转攻击。
文件传输协议(FTP)跳转攻击指攻击者向有漏洞的FTP服务器上传一个结构特殊的文件,然后该服务器将这个文件转发到其他位置(通常是组织的另一个服务器)。
被转发的文件通常包含某些代码,其目的是在最终服务器上完成攻击者希望做的事情。
端口扫描攻击。
端口扫描攻击通过对主机进行系统的结构化扫描来实现。
例如,某人可能扫描您的Web服务器,其目的是找到暴露的服务或其他可以利用的漏洞。
只要具有可从Internet上免费获得的众多端口扫描器之一,任何人都可以轻松实现这种攻击。
这也是最常见的攻击之一,因为它很容易实现,脚本小子通常利用它窃取服务器的主机名或IP地址(不过,他们通常不知道如何解析获得的结果)。
注意,高级的攻击者将利用端口扫描挖掘信息。
ping洪水(flooding)攻击。
ping洪水攻击是一种简单的DDoS攻击。
在这种攻击中,一个计算机向另一个系统发送一个包(ping),以找到关于服务或系统的信息。
对于低级的攻击,ping流可用于偷偷地查找信息,但是如果要截取向目标发送的包,则要求系统离线或停机。
这种攻击虽然是“老牌攻击”,但它仍然很有活力,因为很多现代的操作系统都容易受到这种攻击。
Smurf攻击。
这种攻击类似于ping洪水攻击,但它能巧妙地修改进程。
在Smurf攻击中,首先向中间网络发送一个 ping 命令,然后在自身得到增强之后转发到攻击目标。
以前的“点滴”流量现在变成了巨大的流量。
幸运的是,这种攻击现在很少见。
SYN洪水(flooding)攻击。
这种攻击要求了解TCP/IP协议—即整个通信流程是如何工作的。
通过一个类比就能够很好地解释这种攻击。
这种攻击类似于向某人发送一封需要回复的信件,但是信封使用虚假的回信地址。
收信人回复了信件并等待您的回复,但永远不能收到回信,因为它在某个地方被阻止了。
只要针对系统的SYN请求足够多,攻击者就能够使用系统上的所有连接,从而阻止任何东西通过。
P分片(fragmentation)攻击。
在这种攻击中,攻击者凭借高级的TCP/IP协议知识将包分成更小的片段(即分片),从而绕过许多入侵检测系统。
在比较严重的情况下,这种攻击会造成挂起、锁定、重启和蓝屏等。
不过,这种攻击不是一般人能实施的。
SimpleNetworkManagementProtocol(SNMP)攻击。
SNMP攻击的主要目标是SNMP服务(用于管理网络及其上的设备)。
因为SNMP用于管理网络设备,所以通过攻击该服务,攻击者能够详细了解网络的结构,从而为以后的攻击做准备。
Web页面更改攻击
在Internet上经常可以看到Web页面被更改。
顾名思义,Web页面更改源于攻击者利用Web服务器的不良配置修改Web页面,其原因有很多,比如为了捉弄别人或推行某种政治主。
1.2.2IIS的安全配置
1.删除不必要的虚拟目录
IIS安装完成后在root下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2.删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如Internet服务管理器(HTML)、SMTPService和NNTPService、样本页面和脚本,我们可以根据自己的需要决定是否删除。
3.为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。
一个好的设置策略是:
为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。
例如:
静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4.删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在上都很少用到。
在“Internet服务管理器”中,右击目录,选择“属性”,在目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。
如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。
这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态库来解析。
5.保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
修改IIS日志的存放路径默认情况下,IIS的日志存放在%WinDir%\\System32\\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。
在“Internet服务管理器”中,右击目录,选择“属性”,在目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
修改日志访问权限,设置只有管理员才能访问
1.2.3Web服务器与操作系统
要创建一个安全可靠的Web服务器,必须要实现Windowsserver和IIS的双重安全,因为IIS的用户同时也是Windowsserver的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windowsserver操作系统的安全
1.使用NTFS文件系统,以便对文件和目录进行管理。
2.关闭默认共享
3.修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
4.为系统管理员账号更名,避免非法用户攻击。
5.禁用TCP/IP上的NetBIOS
6.TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。
选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。
单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。
7.修改注册表,减小拒绝服务攻击的风险。
打开注册表:
将HKLM\\System\\CurrentControlSet\\Services\\Tcpip\\Parameter的值修改为2,使连接对超时的响应更快
1.2.4SSL安全机制
SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。
SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。
使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道
IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外,还有一种安全性更高的认证:
通过SSL(SecuritySocketLayer)安全机制使用数字证书。
1.建立步骤
启动ISM并打开Web站点的属性页;
选择“目录安全性”选项卡;
单击“密钥管理器”按钮;
通过密钥管理器生成密钥对文件和请求文件;
从身份认证权限中申请一个证书;
通过密钥管理器在服务器上安装证书;
激活Web站点的SSL安全性
1.3web服务器的配置过程
以Windowsserver2008系统为例首先要准备好自己提前做好的网页
1.安装web服务器
在服务器管理器中在角色选项中添加角色选择web服务器(IIS)然后安装以下图示为安装过过程
图1-1点击下一步
图1-2将安全性里的选项全部勾选
图1-3点击安装
图1-4安装成功
2.在电脑磁盘里新建一个文件夹将事先做好的网页放进新建文件夹里
图2-1网页文件位置
3.建立web站点
打开管理工具找到安装好的iis(internet信息服务器)管理器
图3-1internet信息服务管理器
4.右击点击新建如图1-3
图4-1
5依照图5-1配置web服务器
图5-1配置
6.建成结果为图1-4
图6-1一个能用的web建成
7验证是否能访问输入网址192.168.33.130打开网页图7-1为打开网页的结果
图7-1验证成功
第2章流媒体服务器
2.1流媒体服务器定义及特点
流媒体指以流方式在网络中传送音频、视频和多媒体文件的媒体形式。
相对于下载后观看的网络播放形式而言,流媒体的典型特征是把连续的音频和视频信息压缩后放到网络服务器上,用户边下载边观看,而不必等待整个文件下载完毕。
由于流媒体技术的优越性,该技术广泛应用于视频点播、视频会议、远程教育、远程医疗和在线直播系统中。
作为新一代互联网应用的标志,流媒体技术在近几年得到了飞速的发展。
而流媒体服务器又是流媒体应用的核心系统,是运营商向用户提供视频服务的关键平台。
其主要功能是对媒体容进行采集、缓存、调度和传输播放,流媒体应用系统的主要性能体现都取决于媒体服务器的性能和服务质量。
因此,流媒体服务器是流媒体应用系统的基础,也是最主要的组成部分。
2.2流媒体服务器的功能
流媒体服务器的主要功能是以流式协议(RTP/RTSP、MMS、RTMP等)将视频文件传输到客户端,供用户在线观看;也可从视频采集、压缩软件接收实时视频流,再以流式协议直播给客户端。
典型的流媒体服务器有微软的WindowsMediaService(WMS),它采用MMS协议接收、传输视频,采用WindowsMediaPlayer(WMP)作为前端播放器;RealNetworks公司的HelixServer,采用RTP/RTSP协议接收、传输视频,采用RealPlayer作为播放前端;Adobe公司的FlashMediaServer,采用RTMP(RTMPT/RTMPE/RTMPS)协议接收、传输视频,采用FlashPlayer作为播放前端。
值得注意的是,随着Adobe公司的Flash播放器的普及(根据Adobe官方数据,Flash播放器装机量已高达99%以上),越来越多的网络视频开始采用Flash播放器作为播放前端,因此,越来越多的企业开始采用兼容Flash播放器的流媒体服务器,而开始淘汰其他类型的流媒体服务器。
支持Flash播放器的流媒体服务器,除了AdobeFlashMediaServer,还有sewise的流媒体服务器软件和UltrantFlashMediaServer流媒体服务器软件,以及基于Java语言的开源软件Red5。
2.3流媒体服务器的安全问题
面对流媒体服务的巨大需求,在进一步提高服务性能、保证质量的同时,流媒体服务的安全性也成为亟待考虑的问题。
由于流媒体服务具有连续性、实时性要求,且媒体服务双方自愿消耗相差悬殊,拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)攻击对流媒体服务的危害具有明显的放大作用。
针对传统DoS、DDoS的攻击问题,许多学着已经在不同方面给出了比较有效的防御策略
2.3.1流媒体服务的特点
与大多数Internet应用相比,流媒体服务具有以下特点:
1.服务器与用户消耗资源相差悬殊,使得针对流媒体应用的Dos、DDos攻击效果更加明显。
2.2.流媒体服务具有媒体实时性、连续性的要求,用户体验要求高,即使瞬时的Dos、DDos攻击也能对流媒体的服务质量造成破坏。
3.流媒体服务采用RTSP作为用户与服务器之间的交互协议。
RTSP存在一些“漏洞”,可以被攻击者利用,成为直接或者间接攻击流媒体服务的有效武器。
以上特性使得传统的Dos、DDos防御策略不在有效
2.3.2RTSP协议漏洞
RTSP定义了一对所应用程序如何有效的通过ip网络传输多媒体数据,其中包括11个命令。
针对这些命令编写了一套攻击工具攻击方法分为一下几类:
1.泛洪攻击。
例如Describe Flood,这类攻击通过向目标主机发送大量无用的RTSP请求,导致目标主机计算资源消耗在处理这些RTSP请求上。
2.全连接攻击。
例如Setup Attack和Play Attack,这类攻击具有持续性和放大性,需要消耗服务器更多的传输带宽、存等资源。
3.异常请求攻击。
例如攻击者将请求的消息体长度Content-Length 设置很大,导致服务器必须构建较大的缓存来保留整个消息体,造成存资源的大量消耗。
2.3.3流媒体服务DoS、DDoS攻击的防御策略
针对流媒体服务的DoS、DDoS攻击特点、将防御方案分成分成攻击检测和攻击反应2部分,他们针对playattack这类的攻击根据受信任ip地址列表与单个ip最大会话数的限制,检测为攻击的会话将被强行终止。
检测为合法的会话将被继续服务。
此时整个系统处于ddos攻击防御状态。
除以上3类攻击反应策略以外。
系统还设定了主动防御策略:
当流媒体服务已经接近满负荷运行时,系统将主动进入“伪”攻击防御状态。
这时流媒体服务将不再为新来的未受信任ip提供服务,只尝试为受信任的ip提供新的会话请求服务
2.4流媒体服务器的配置
以windowsserver2008系统为例首先要安装相应的流媒体插件Windows6.1-KB963697-x64.msu安装完成后要在服务器管理器中添加流媒体服务的角色然后在配置相应的流媒体服务的配置具体过程如下
1.添加流媒体服务角色勾选下图1-1中的流媒体服务选项,然后按照默认的配置进行安装安装完成后在服务器管理器中会出现相应的windowsmedia服务选项
图2-1添加角色
2.
添加完成后在服务器管理器中打开windowsmedia服务选项出现图1-2界面对流媒体进行配置
图2-2配置
然后选择添加发布点(向导)出现下图所示建立一个点播发布点
图2-3配置
添加发布点名称
图2-4配置
图2-5配置
图2-6配置
图2-7配置
图2-8配置
图2-9配置
图2-10配置
图2-11配置
进入“单播公布向导”
图2-12配置
选择要播放的文件
图2-13配置
图2-14配置
图2-15配置
图2-16配置
最后验证文件是否能播放打开windowsmediaplayer打开文件添加url确定后会播放此文件如下两个图所示可知建立流媒体服务器成功
图2-17配置
图2-18配置
第3章服务器的搭建
3.1服务器工作原理及协议
服务器的工作原理服务器采用的是客户端服务器模式其工作过程如图3-1所示
图3-1演示
一个电子系统有三个主要构件组成用户代理客户端应用程序服务器发送和接收协议
1发件人用户代理撰写电子点击“发送”发送的工作交个用户代理来完成用户代理用SMTP协议发给发送方
服务器用户代理充当SMTP客户发送服务器充当SMTP服务器发送之前建立TCP连接。
2SMTP服务器收到客户端发送来的将其放到缓冲队列中等待发送到接收发的服务器中。
3发送服务器的SMTP客户端与接收服务器的SMTP服务器建立TCP连接然后把缓冲队列中的发到目的服务器。
4运行在接收方服务器的SMTP服务器进程收到后把发如收件人信箱等待读取。
5收件人打开计算机运行客户端软件使用POP3IMAP协议读取。
3.2比较几种服务器软件的优缺点
服务器软件有很多下面简单介绍其中的10种服务器软件
1.EQMail
集成企业公告、电子、手机短信、文件存储、日程共享、网络书签等多重功能于一体的高效协同通信平台,具备反垃圾/防病毒安全功能。
2.U-Mail
独一无二的全球收发保证功能(服务器的IP在对方的垃圾黑中,照发不误,接近了众多企业用户在发送海外时存在的问题)。
3.微软
微软ExchangeServer是一个设计完备的服务器产品,提供了通常所需要的全部服务功能。
除了常规的SMTP/POP协议服务之外,它还支持IMAP4、LDAP
升级会员 