服务器管理方案.docx

服务器管理方案.docx

《服务器管理方案.docx》由会员分享，可在线阅读，更多相关《服务器管理方案.docx（33页珍藏版）》请在冰点文库上搜索。

服务器管理方案

服务器管理工作必须规范严谨，尤其在不是只有一位管理员的时候，日常管理工作包括：

1．服务器的定时重启。

每台服务器保证每周重新启动一次。

重新启动之后要进行复查，确认服务器已经启动了，确认服务器上的各项服务均恢复正常。

对于没有启动起来或服务未能及时恢复的情况要采取相应措施。

前者可请求托管商的相关工作人员帮忙手工重新启动，必要时可要求让连接上显示器确认是否已启动起来；后者需要远程登陆上服务器进行原因查找并根据原因尝试恢复服务。

2．服务器的安全、性能检查，每服务器至少保证每周登陆两次粗略检查两次。

每次检查的结果要求进行登记在册。

如需要使用一些工具进行检查，可直接在e:

tools中查找到相关工具。

对于临时需要从网络上找的工具，首先将IE的安全级别调整到高，然后在网络上进行查找，不要去任何不明站点下载，尽量选择如华军、天空等大型网站进行下载，下载后确保当前杀毒软件已升级到最新版本，升级完毕后对下载的软件进行一次杀毒，确认正常后方能使用。

对于下载的新工具对以后维护需要使用的话，将该工具保存到e:

tools下，并在该目录中的readme.txt文件中做好相应记录，记录该工具的名称，功能，使用方法。

并且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份，设置解压密码。

3．服务器的数据备份工作，每服务器至少保证每月备份一次系统数据，系统备份采用ghost方式，对于ghost文件固定存放在e:

ghost文件目录下，文件名以备份的日期命名，如0824.gho，每服务器至少保证每两周备份一次应用程序数据，每服务器至少保证每月备份一次用户数据，备份的数据固定存放在e:

databak文件夹，针对各种数据再建立对应的子文件夹，如serv-u用户数据放在该文件夹下的servu文件夹下，iis站点数据存放在该文件夹下的iis文件夹下。

4．服务器的监控工作，每天正常工作期间必须保证监视所有服务器状态，一旦发现服务停止要及时采取相应措施。

对于发现服务停止，首先检查该服务器上同类型的服务是否中断，如所有同类型的服务都已中断及时登陆服务器查看相关原因并针对该原因尝试重新开启对应服务。

5．服务器的相关日志操作，每服务器保证每月对相关日志进行一次清理，清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。

所有的日志文件统一保存在e:

logs下，应用程序日志保存在e:

logsapp中，系统程序日志保存在e:

logssys中，安全日志保存在e:

logssec中。

对于另外其他一些应用程序的日志，也按照这个方式进行处理，如ftp的日志保存在e:

logsftp中。

所有的备份日志文件都以备份的日期命名，如20050824.evt。

对于不是单文件形式的日志，在对应的记录位置下建立一个以日期命名的文件夹，将这些文件存放在该文件夹中。

6．服务器的补丁修补、应用程序更新工作，对于新出的漏洞补丁，应用程序方面的安全更新一定要在发现的第一时间给每服务器打上应用程序的补丁。

7．服务器的隐患检查工作，主要包括安全隐患、性能等方面。

每服务器必须保证每月重点的单独检查一次。

每次的检查结果必须做好记录。

8．不定时的相关工作，每服务器由于应用软件更改或其他某原因需要安装新的应用程序或卸载应用程序等操作必须知会所有管理员。

9．定期的管理密码更改工作，每服务器保证至少每两个月更改一次密码，对于SQL服务器由于如果SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。

相关建议：

对每服务器设立一个服务器管理记载，管理员每次登陆系统都应该在此中进行详细的记录，共需要记录以下几项：

登入时间，退出时间，登入时服务器状态[包含不明进程记录，端口连接状态，系统帐号状态，内存/CPU状态]，详细操作情况记录[详细记录下管理员登陆系统后的每一步操作。

无论是远程登陆操作还是物理接触操作都要进行记录，然后将这些记录按照各服务器归档，按时间顺序整理好文档。

对于数据备份、服务器定时重启等操作建议将服务器分组，例如分成四组，每月的周六晚备份一组服务器的数据，每周的某一天定时去重启一组的服务器，这样对于工作的开展比较方便，这些属于固定性的工作。

另外有些工作可以同步进行，如每月一次的数据备份、安全检查和管理员密码修改工作，先进行数据备份，然后进行安全检查，再修改密码。

对于需要的即时操作如服务器补丁程序的安装、服务器不定时的故障维护等工作，这些属于即时性的工作，但是原则上即时性的工作不能影响固定工作的安排。

用Win2003架设邮件服务器方案

2007-01-2322:

03:

10|  分类：

默认分类|  标签：

|字号大中小 订阅

很多企业局域网内都架设了邮件服务器，用于进行公文发送和工作交流。

但使用专业的企业邮件系统软件需要大量的资金投入，这对于很多企业来说是无法承受的。

其实我们可以通过WindowsServer2003提供的POP3服务和SMTP服务架设小型邮件服务器来满足我们的需要。

　　一、安装POP3和SMTP服务组件

　　WindowsServer2003默认情况下是没有安装POP3和SMTP服务组件的，因此我们要手工添加。

　　1.安装POP3服务组件

　　以系统管理员身份登录WindowsServer2003系统。

依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子邮件服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：

POP3服务和POP3服务Web管理。

为方便用户远程Web方式管理邮件服务器，建议选中“POP3服务Web管理”。

　　2.安装SMTP服务组件

　　选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTPService”选项，最后点击“确定”按钮。

此外，如果用户需要对邮件服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。

完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。

　　二、配置POP3服务器

　　1.创建邮件域

　　点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。

选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入邮件服务器的域名，也就是邮件地址“@”后面的部分，如“”，最后点击“确定”按钮。

其中“”为在Internet上注册的域名，并且该域名在DNS服务器中设置了MX邮件交换记录，解析到WindowsServer2003邮件服务器IP地址上。

　　2.创建用户邮箱

　　选中刚才新建的“”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入邮件用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建。

　　三、配置SMTP服务器

　　完成POP3服务器的配置后，就可开始配置SMTP服务器了。

点击“开始→程序→管理工具→Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中邮件服务器的IP地址即可。

点击“确定”按钮，这样一个简单的邮件服务器就架设完成了。

　　完成以上设置后，用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作了。

在设置邮件客户端软件的SMTP和POP3服务器地址时，输入邮件服务器的域名“”即可。

　　四、远程Web管理

　　WindowsServer2003还支持对邮件服务器的远程Web管理。

在远端客户机中，运行IE浏览器，在地址栏中输入“https：

//服务器IP地址：

8098”，将会弹出连接对话框，输入管理员用户名和密码，点击“确定”按钮，即可登录Web管理界面。

第一章项目背景及意义

1.1E-Mail背景

1.2E-Mail的安全隐患

1.2.1邮件的隐私性

1.2.2邮件的真实性  

1.2.3邮件的认证性  

1.2.4邮件的安全性  

第二章先决条件和组织准备  

2.1邮件服务器的运行环境  

2.2邮件服务器的安装架设  

第三章邮件安全管理与分析  

3.1WinMailServer身份认证  

3.2WinMailServer传输加密  

3.2.1PGP  17

3.2.2S/MIME  

3.3垃圾邮件过滤  

3.4邮件病毒过滤  

3.5安全审计  

3.5.1日志的审计  

3.5.2主机的审计  

3.5.3网络的审计  

第四章个人心得  

第五章结语  

参考文献  

第一章项目背景及意义

    随着网络通讯技术的不断发展，E-mail使用得越来越频繁，它是Internet中最为流行的一种通信形式，是一种通过网络与其他用户进行联系的简便、迅速、廉价的现代通讯方式。

它不但可以传送文本，还可以传递多媒体信息，如图像、声音等.但是，同时也带来了它的安全问题，垃圾邮件，邮件病毒，数据侦听，身份认证等问题日益严重，甚至导致公司或企业严重的经济损失。

所以，我们必须在邮件服务器上做好防备工作，让邮件发送的过程中不会插入第三者。

电子邮件同其它通信形式一样。

通过电子邮件发送任何机密信息之前先要进行判断，这点很重要。

因为在收到电子邮件之前，它经过了许多服务器传送，他人很可能拦截并阅读您的电子邮件。

因此，我们要使用安全性措施来保护电子邮件的机密性和安全性。

  电子邮件的普及和应用，伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。

我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。

病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法，使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。

本论文通过电子邮件形成技术过程、安全技术现状、电子邮件安全因素、技术提高安全性的主要途径等方面来研究一下。

1.1E-Mail背景

  电子邮件，简称电邮，来自英文单词Electronicmail（即E-mail），是指通过网络传输介质电子通讯系统进行书写、发送和接收的信件。

电子邮件是Internet上最早使用的服务之一，在互联网日益发展的今天，E-mail已经成为了现在企业界不可少的沟通工具。

下面是E-Mail的简单通讯过程。

（图1.1）

1.2E-Mail的安全隐患

1.2.1邮件的隐私性

   电子邮件是通过网络介质来传播的，当你在internet上发送邮件的时候，它是通过明文封装来传输的，很容易受到来自网络上的监听。

攻击者只要使用简单的监测软件（如超级网管）就能截获网络上传输的数据包，获得邮件的内容，这使我们的隐私受到了威胁。

1.2.2邮件的真实性

   电子邮件在发送过程中如果被人截取到了，那就意味着你的电子邮件真实性的问题，会不会是被人改了再发送过来的，而且攻击者这样做往往是有目的的，这样有时候会给双方造成很大的误会和损失。

1.2.3邮件的认证性

   既然黑客能够截取并修改我们的电子邮件，那么，他会不会把发信人的名字改成别人的名字呢，例如：

A发给B一封信，C是黑客，他想让B不知道这封信是A发的，就改了发信人的名字为D，当B接到信的时候，往往就会认为这封信是D发给他的。

这个例子也说明了，邮件如果没有身份认证有可能会产生张冠李戴的事情，这样有时也会造成重大损失。

1.2.4邮件的安全性

     所有邮件都是通过邮件服务器来转发的，因此，邮件服务器的安全问题变得严峻起来，黑客的攻击、病毒的感染、发件人的群发，乱发（垃圾邮件）等等问题都要求邮件服务器必需要有一个安全稳定的运行环境。

随着网络技术的快速发展，这些问题都上升为邮件系统的核心技术问题。

第二章先决条件和组织准备

2.1邮件服务器的运行环境

每一种邮件服务器都有它运作的需求，Winmail、U-mail、Send-mail、Exchange等都有它们不同的运行平台需求，需求的程度和Mail服务器的功能有关，下面以WinMail来说明一下,WinMailServer是大多数中、小企业所使用的Mail服务器，最新版本为WinMailServer4.4，它的功能比较全，也支持Webmail访问方式，要安装Winmail必需具备以下条件：

1．  要用来做Mail服务器的服务器最少要达到中等服务器需求。

2．  Mail服务器必需运行Windows操作系统。

3．  该操作系统必需安装IIS6.0或以上版本。

4．  该操作系统最好安装.NETFramework2.0或以上版本。

5．  该操作系统必需安装PHP扩展访问。

6．  该操作系统时间必需和internet上的时间相同。

2.2邮件服务器的安装架设

当邮件服务器的运行环境符合需求之后，就可以开始安装WinMailServer了，安装过程如图：

图2.2.1软件会检测系统是否符合WinMailServer的安

图2.2.2

图2.2.3接受条款

图2.2.4运行说明

图2.2.5填写用户名

图2.2.6选择目录

图2.2.7选择组件

图2.2.8选择任务

图2.2.9按安装完成安装 

安装完成之后，把光标移到任务管理器上，会显示WinMailMailServerisrunning。

这说明邮件服务器已经在运行，双击可以打开邮件服务器管理工具：

如图（2.2.10）

图2.2.10邮件服务器管理器

图2.2.11 登录后能看到各项功能

第三章邮件安全管理与分析

3.1WinMailServer身份认证

   原来安装好的Winmail用WEB浏览器浏览的效果如下图：

（3.1.1）

图3.1.1

数字签名采用具有法律意义的传统签名的数字形式，它使用的技术是公开密钥加密技术和报文分解函数相结合,提供的安全功能包括有：

1.  身份认证

2.  认可性

3.  数据完整性

   CA是CertificateAuthority的缩写，是认证中心的意思。

为了保证客户之间的网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，就需要对客户的身份真实性进行验证。

     安装CA证书服务使用户无法冒充他人发信，安装流程如下：

打开控制面板——添加或删除程序——添加/删除Windows组件——钩上证书服务——下一步开始安装

图3.1.2选择企业根

图3.1.3写上CA的公用名称

图3.1.4证书数据库路径

图3.1.5点“是”

图3.1.6放入系统光盘，安装过程中

图3.1.7到此安装完成

图3.1.8

图3.1.9

要使用E-mail服务器WEB页面通过SSL安全通道来访问，要在IIS是安装服务器证书！

选择安装证书后会生成一个txt文件，如图

图3.1.10

图3.1.11

在CA服务器上申请一个证书，把刚刚生成的certreq.txt内容写到证书申请上

图3.1.12点提交申请，这时CA服务器上会有一个挂起的证书

图3.1.13点颁发证书，我们就可以在证书首页下载到我们的服务器证书了

图3.1.14接着到IIS上导入证书，这样以后要访问邮件服务器就必需通过安全通道来访问了如下图:

图3.1.15

登录邮件服务器，试发一下邮件，同时开着超级网管侦测软件

图3.1.16开始发送邮件

图3.1.17

会得到像这样的乱码文件！

SSL加密能不让第三者侦听到我们所发邮件的内容！

    我们也可以用WinMail自带的SSL证书，在管理工具可以找到，如图：

图3.1.18

3.2WinMailServer传输加密

     安全电子邮件技术是指在源和目标计算机之间建立一条逻辑链路连接，其中经过的线路不予考虑，保证了邮件在从发出到接收的整个过程中，内容保密，无法修改，并且不可否认（privacy，integrity，non－repudiation），其减少了邮件传递过程中环节，保证了电子邮件的安全性。

目前，在Internet上，有两套成型的端到端的安全电子邮件标准：

PGP和S/MIME。

3.2.1PGP

PGP是PrettyGoodPrivacy 的简称，是一种长期在学术界和技术圈内得到广泛使用的邮件安全标准。

其特点是通过单向散列算法对邮件进行签名，以保证邮件内容无法修改，使用公钥和私钥技术保证邮件内容保密并且不可否认。

发信人与收信人的公钥都放在公开的地方，如FTP,WEB站点，而公钥本身地权威性，则可以由第三方、特别是收信人很熟悉或信任的第三方进行签名和认证，没有统一的集中的机构进行公钥和私钥的签发。

即在PGP系统中，信任刚是双方之间的直接关系，或是通过第三者、第四者等的间接关系，但任意两方之间全都是对等的，整个信任关系构成网状的结构，这就是所谓的WebofTrust了。

PGP加密发E-Mail

图3.2.1先用PGP生成自己的密钥对

图3.2.2密钥对已生成

图3.2.3导出公钥

图3.2.4用收件人的公钥进行数字签名。

这样，就可以通过发件箱上的插入数字签名选项来发送邮件了。

3.2.2S/MIME

S/MIME是SecureMulti－PartInterMailExtension地简称。

它是PEM（PrivacyEnhancedMail）和MIME（Internet邮件地附件标准）发展来的。

和PGP一样，S/MIME也利用单向散列算法和私钥与公钥的加密体系。

与PGP不同主要有两点：

1，它的认证机制依赖层次结构的证书和认证机构，所以下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间是相互认证的，整个信任关系基本是树形状的，这就是TreeofTrust。

其次，S/MIME将信件内容加密签名后作为特殊的附件传送。

S/MIME的证书格式也采用X.509，但与一般浏览器网上购物使用的SSL证书还有一定差异，支持的厂商相对少一些。

在国外，Derision免费向个人提供S/MIME电子邮件证书；在国内也有公司提供支持该标准的产品。

而在客户端这，NetscapeMessenger和MicrosoftOutlook都是支持S/MIME在WinMail中起用S/MIME这样也可以通过S/MIME发邮件！

3.3垃圾邮件过滤

     设置SMTP过滤限制

防止无限制转发。

所谓无限制转发，就是任何人都可以使用您的服务器发送邮件。

邮件系统安装完成后，一定要检查是否已经启用了发信认证功能，以防止别人借用您的机器来转发邮件。

在“SMTP设置”->“基本参数”中设置。

发件人和认证用户必须一致：

发件人和认证用户必须是同一邮箱帐号。

可以有效防止系统内没有权限外发的用户借用有权限外发的帐号来发邮件。

图3.3.1发件人/收件人过滤

图3.3.2

1）  SMTP高级过滤

图3.3.3

2）  邮件过滤

过滤规则过滤。

用户可以根据实际收到的邮件情况，来决定对某些邮件进行过滤。

可以通过分析邮件中发件人，收件人，抄送，主题，Received，邮件头，邮件内容是否满足设定的规则。

用户可以通过WebMail来增加，删除及修改自己的过滤规则。

在用户WebMail的“配置箱”->“邮件过滤”中设置。

图3.3.4

SpamAssassin过滤。

SpamAssassin使用匹配规则来标识可能是垃圾邮件的邮件，采用了一种概率统计的、基于分数的方法来对消息分类，SpamAssassin还使用了称为自动筛选（auto-whitelisting）的统计技术，来了解您收到邮件的特征，并使用它来调整垃圾邮件的分数。

点击启用垃圾邮件过滤功能，邮件系统将会启用SpamAssassin来检查接收到的邮件，如果被判断为垃圾邮件的邮件会自动将其转存“垃圾邮件”邮

图3.3.5

     垃圾邮件隔离 垃圾邮件隔离为被标识为垃圾邮件的邮件和不应传递到组织内用户邮箱的邮件提供临时存储位置。

垃圾邮件隔离功能在内容筛选处理期间是可用的。

被标识为垃圾邮件的邮件在未送达报告（NDR）中反转，并在组织内传递到垃圾邮件隔离邮箱。

管理员可以管理传递到垃圾邮件隔离邮箱的邮件，也可以采取适当的操作，例如，删除邮件，或在反垃圾邮件筛选中允许标记为误报的邮件路由到他们的预期收件人。

例如Exchange2007环境启用两层反垃圾邮件隔离功能。

第一，管理员可以访问位于外围网络的反垃圾邮件隔离邮箱。

通过使用Outlook，管理员可以访问垃圾邮件隔离邮箱来搜索邮件、将邮件发送到预期收件人或拒绝并删除邮件。

具有管理员定义为边界线的SCL分级的邮件可以被发送到Outlook中用户的垃圾邮件文件夹。

将边界线邮件转换为纯文本以便获得额外保护，然后再将其发送到用户的垃圾邮件文件夹。

收件人筛选 使用WinMail服务，现在可以启用收件人筛选代理来执行收件人查询，从而可以阻止发送到不存在的用户或仅内部通讯组列表的邮件。

另外，在WinMailServer中，可以在每个入站接收连接器上配置缓送间隔。

发件人ID 发件人ID通过检查发件人IP地址并将该IP地址与发件人公共域名系统（DNS）服务器中的发件人ID记录进行比较，验证是否每个电子邮件都来自邮件声称来自的Internet域。

发件人的公共DNS服务器上的发件人ID记录是发送方策略框架（SPF）记录。

SPF定义IP地址，该

IP地址被授权可为SPF记录驻留的域发送邮件。

接收系统查询SPF记录并返回"Pass"状态时，接收系统有不会被合法发件人欺骗的更高保证。

可以指定发件人ID代理如何处理临时错误，例如，执行SPF查询时出现的DNS故障。

发件人信誉 发件人信誉使用专利Microsoft技术来计算未知发件人的可信度。

发件人信誉从简单邮件传输协议（SMTP）会话、邮件内容、发件人ID验证和一般发件人行为收集分析数据，并创建发件人特征的历史记录。

发件人信誉使用该知识来确定是否应该将发件人临时添加到阻止发件人列表中。

IP信誉服务 由WinMail向客户提供的IP阻止列表。

除了其他实时阻止列表服务，管理员可以选择实现并使用IP信誉服务。

3.4邮件病毒过滤

     WinMail能与操作系统上装的杀毒软件（支持几乎所有的杀毒引擎）进行整合，扫描来往邮件，有效的隔离和清除带毒邮件。

也可以“防病毒设置”->“防病毒引擎”中设置使用何种方式来检测试病毒邮件。

图3.4.1

在使用命令行程序的下面，可以选中操作系统里安装的杀毒软件的程序。

图3.4.2

图3.4.3

利用ISA防火墙进行过滤，

安全套接层（