信息系統(tǒng)設(shè)計(jì)平臺(tái)課程設(shè)計(jì)

1、哈爾濱理工大學(xué)管理學(xué)院信息系課程設(shè)計(jì)報(bào)告（信息系統(tǒng)平臺(tái)） 2014 年 6 月 27 日第1章 中小企業(yè)網(wǎng)絡(luò)構(gòu)建1.1 中小企業(yè)背景 為了加快某企業(yè)的信息化建設(shè)，企業(yè)擬將網(wǎng)絡(luò)建設(shè)成能夠支撐辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會(huì)議、遠(yuǎn)程通信、信息發(fā)布及查詢等內(nèi)部業(yè)務(wù)的，同時(shí)還能支撐供應(yīng)鏈管理的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為了確保關(guān)鍵系統(tǒng)的穩(wěn)定、安全運(yùn)行，要求本企業(yè)的網(wǎng)絡(luò)具有如下功能：（1）采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成企業(yè)內(nèi)網(wǎng)的建設(shè)，實(shí)現(xiàn)公司的信息化；（2）在整個(gè)企業(yè)內(nèi)實(shí)現(xiàn)所有部門的辦公自動(dòng)化，提高工作效率和管理服務(wù)水平；（3）在整個(gè)企業(yè)內(nèi)實(shí)現(xiàn)資源共享，實(shí)施新聞發(fā)布；（4）在整個(gè)企業(yè)內(nèi)實(shí)現(xiàn)財(cái)務(wù)電算化；（

2、5）在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶服務(wù)關(guān)系管理系統(tǒng)；1.2中小企業(yè)網(wǎng)絡(luò)需求（1）在接入層采用二層交換機(jī)，并且要采取一定方式分隔廣播域；（2）核心交換機(jī)采用高性能的三層交換機(jī)，且采用雙核心互為備份的形勢(shì)，接入層交換機(jī)分別通過(guò)2條上行鏈路連接到2臺(tái)核心交換機(jī)，由三層交換機(jī)實(shí)現(xiàn)VLAN之間的路由；（3）2臺(tái)核心交換機(jī)之間也采用雙鏈路連接，并提高核心交換機(jī)之間的鏈路帶寬；（4）接入交換機(jī)的access端口上實(shí)現(xiàn)對(duì)允許連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性；（5）為了提高網(wǎng)絡(luò)的可靠性，整個(gè)網(wǎng)絡(luò)中存在大量環(huán)路，要避免環(huán)路可能造成的廣播風(fēng)暴；（6）三層交換機(jī)配置路由接口，實(shí)現(xiàn)全網(wǎng)互通；（7）企

3、業(yè)網(wǎng)由靜態(tài)路由連接到Internet。1.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 根據(jù)企業(yè)的實(shí)際情況，考慮到結(jié)構(gòu)化布線、所采用的交換技術(shù)以及將來(lái)便于向ATM技術(shù)過(guò)渡等因素，企業(yè)網(wǎng)建設(shè)采用易于布線、管理和維護(hù)的星形拓?fù)浣Y(jié)構(gòu)分層網(wǎng)絡(luò)設(shè)計(jì)方法，網(wǎng)絡(luò)拓?fù)涞姆謱咏Y(jié)構(gòu)包括核心層、分布層和接入層。分層結(jié)構(gòu)的優(yōu)點(diǎn)為：流量從接入層流向核心層時(shí)，被發(fā)散到低速鏈接上，基于這個(gè)特點(diǎn)，接入層路由器交換機(jī)可以采用較低檔的設(shè)備，它們交換數(shù)據(jù)包需要較少的時(shí)間，具備了更快的執(zhí)行網(wǎng)絡(luò)策略的處理能力。網(wǎng)絡(luò)拓?fù)鋱D如下：1.4組網(wǎng)方案設(shè)計(jì) 主干網(wǎng)技術(shù)的選擇，根據(jù)需求分析中用戶方網(wǎng)絡(luò)規(guī)模大小、網(wǎng)上傳輸信息的種類和用戶方可投入的資金等因素來(lái)考慮。一般而言，主

4、干網(wǎng)用來(lái)連接建筑群和服務(wù)器群，可能會(huì)容納網(wǎng)絡(luò)上5080的信息流，是網(wǎng)絡(luò)大動(dòng)脈。連接建筑群的主干網(wǎng)一般以光纜做傳輸介質(zhì)，典型的主干網(wǎng)技術(shù)主要有100Mbps-FX以太網(wǎng)、l 000Mbps以太網(wǎng)、ATM、FDDI等。下面對(duì)四種方案做了比較：快速以太網(wǎng)FDDIATM千兆以太網(wǎng)傳輸速率100M100M155M/622M1000M訪問(wèn)方式CSMA/CD,碰撞TOKEN PROTOCOL, 無(wú)碰撞QoS信元交換帶優(yōu)先級(jí)的CSMA/CD，碰撞介質(zhì)類型雙絞線多模光纖單模光纖雙絞線（CDDI）多模光纖單模光纖雙絞線多模光纖單模光纖雙絞線多模光纖單模光纖產(chǎn)品標(biāo)準(zhǔn)化程度高程度高實(shí)現(xiàn)方案接近標(biāo)準(zhǔn)實(shí)現(xiàn)方案標(biāo)準(zhǔn)價(jià)格低高

5、中中拓?fù)浣Y(jié)構(gòu)星型結(jié)構(gòu)雙環(huán)結(jié)構(gòu)星型結(jié)構(gòu)星型結(jié)構(gòu)以上從幾個(gè)方面分析比較了快速以太網(wǎng)、FDDI、ATM和千兆以太網(wǎng)的性能。千兆以太網(wǎng)的速度快，服務(wù)質(zhì)量保證，價(jià)格適中，標(biāo)準(zhǔn)已經(jīng)統(tǒng)一。根據(jù)公司的實(shí)際需求，綜合考慮主干網(wǎng)性能、服務(wù)質(zhì)量（Quos）、易移植性、成熟性、先進(jìn)性和可擴(kuò)展性的角度考慮，園區(qū)主干連接為1000Mbps，建筑物內(nèi)部的用戶局域網(wǎng)提供到桌面的100Mbps網(wǎng)絡(luò)帶寬。 匯聚層設(shè)計(jì) 采用1000兆以太網(wǎng)技術(shù)，實(shí)現(xiàn)核心層與匯聚層的互連，采用100兆以太網(wǎng)技術(shù)，實(shí)現(xiàn)匯聚層與接入層的互連，匯聚層主要負(fù)責(zé)連接接入層接點(diǎn)和核心層中心，匯集分散接入點(diǎn)，擴(kuò)大核心層設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實(shí)

6、現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心網(wǎng)絡(luò)以星型結(jié)構(gòu)連接各匯聚層節(jié)，匯聚層負(fù)責(zé)將各種接入業(yè)務(wù)集中起來(lái)，除了進(jìn)行局部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)以外，通過(guò)高速接口將數(shù)據(jù)輸送到核心層去，在更大的范圍內(nèi)進(jìn)行數(shù)據(jù)的路由以及處理。接入層設(shè)計(jì) 采用100兆以太網(wǎng)技術(shù)，實(shí)現(xiàn)會(huì)聚層與接入層的互連同樣采用10/100Mbps自適應(yīng)交換到桌面，傳輸介質(zhì)是五類雙絞線，接入層選用可堆疊交換機(jī)作為用戶的接入。主要功能就是實(shí)現(xiàn)每個(gè)合法用戶的安全接入。因此，對(duì)于接入層而言，其關(guān)鍵安全要素就是用戶的安全認(rèn)證、管理和快速接入功能。Internet的接入 企業(yè)網(wǎng)的廣域網(wǎng)將通過(guò)電信提供的專線接路由器上，實(shí)現(xiàn)企業(yè)網(wǎng)向Internet訪問(wèn)。在路由器與中心

7、交換機(jī)間配置一臺(tái)防火墻，保障內(nèi)部網(wǎng)絡(luò)安全。對(duì)外的信息服務(wù)器接到非軍事區(qū)DMZ上。服務(wù)器上安裝對(duì)外的域名服務(wù)DNS系統(tǒng)、郵件中繼服務(wù)等。內(nèi)外部之間設(shè)置防火墻進(jìn)行隔離。對(duì)外的Internet服務(wù)器由于完成多種服務(wù)，所以不但速度要快，I/O能力也必須很強(qiáng)，選擇1臺(tái)或多臺(tái)高性能服務(wù)器作為外部Internet服務(wù)器 。外部網(wǎng)段服務(wù)器中的配置信息和數(shù)據(jù)在內(nèi)部網(wǎng)段做備份，萬(wàn)一這些服務(wù)器受到攻擊或故障，系統(tǒng)和數(shù)據(jù)能夠快速恢復(fù)，不影響對(duì)外宣傳。1.5具體參數(shù)設(shè)計(jì)IP規(guī)劃與VLAN部門VLAN IP 子網(wǎng)掩碼網(wǎng)關(guān)地址服務(wù)器區(qū)192168120/2454辦公樓119

8、2168130/2454辦公樓192168150/2454生產(chǎn)樓192168160/2454生產(chǎn)樓192168170/2454生產(chǎn)樓192168220/2454科研樓192168250/2454倉(cāng)庫(kù)樓192168260/2454宿舍樓19216818

9、0/2454宿舍樓2 192168190/24541.6網(wǎng)絡(luò)設(shè)計(jì)小結(jié)隨著網(wǎng)絡(luò)的逐步普及，企業(yè)網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化發(fā)展、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。而企業(yè)網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來(lái)建設(shè)與管理的，其主要包括局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet的應(yīng)用、網(wǎng)絡(luò)安全等

10、。因此本畢業(yè)設(shè)計(jì)課題將主要以企業(yè)局域網(wǎng)絡(luò)建設(shè)過(guò)程可能用到的技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為企業(yè)網(wǎng)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。第二章 網(wǎng)絡(luò)操作系統(tǒng)設(shè)計(jì)2.1 windows server NT簡(jiǎn)介Windows server NT是在1993年推出的面向工作站、網(wǎng)絡(luò)服務(wù)器和大型計(jì)算機(jī)的網(wǎng)絡(luò)操作系統(tǒng)，也可做PC操作系統(tǒng)。它與通信服務(wù)緊密集成，基于OS/2 NT基礎(chǔ)編制。OS/2由微軟和IBM聯(lián)合研制，分為微軟的Microsoft OS/2 NT與IBM的IBM OS/2。協(xié)作后來(lái)不歡而散，IBM繼續(xù)向市場(chǎng)提供先前的OS/2版本，微軟則把自己的OS/2 NT的名稱改為Windows NT，即第一代的W

11、indows NT 3.1。微軟公司從數(shù)字設(shè)備公司（Digital Equipment Corporation）雇傭了一批人員來(lái)開發(fā)這個(gè)新系統(tǒng)。“NT”所指的便是“新技術(shù)”（New Technology）之意?！癗T”除了可以解釋為“新技術(shù)”之外，有另一個(gè)版本指“NT”是來(lái)自微軟在i860上開發(fā)NT時(shí)所使用的模擬器“N10”（N-Ten）。2.2 windows server NT安裝Dell支持三種NT的安裝方式：1、快速安裝（Express Setup）,即由DELL Open Manage Server Assistant（綠色光盤）啟動(dòng)安裝。此種方式將破壞硬盤上原有的分區(qū)及數(shù)據(jù)。2、W

12、indows NT 光盤啟動(dòng)安裝。3、三張啟動(dòng)軟盤啟動(dòng)安裝。（具體安裝方法與NT 光盤啟動(dòng)安裝相同。）制作三張啟動(dòng)盤方法是：在DOS環(huán)境下,運(yùn)行NT CD下i386WINNT/OX，按提示制作三張磁盤。DELL服務(wù)器不支持 winnt /b 方式安裝（即Copy安裝文件到硬盤的方式） 快速安裝1、用DELL Open Manage Server Assistant（以下簡(jiǎn)稱DOSA）啟動(dòng)服務(wù)器。2、選擇語(yǔ)言并接受許可協(xié)議后，在瀏覽器界面頂端選擇快速安裝圖標(biāo)（左數(shù)第三個(gè)）。3、選擇服務(wù)器安裝4、設(shè)置時(shí)區(qū)和時(shí)間后選擇開始服務(wù)器安裝（Start Server Setup）。5、在配置磁盤陣列卡（Co

13、nfig RAID controller）頁(yè)面，選擇不改變（No Change），按繼續(xù)（Continue）。磁盤陣列的出廠默認(rèn)配置為兩個(gè)邏輯磁盤，第一個(gè)4GB，用來(lái)安裝操作系統(tǒng)，剩余空間為第二個(gè)邏輯盤。6、在選擇操作系統(tǒng)（Select Operating System）頁(yè)面，選擇Microsoft Windows NT 4.0 Server，按保存信息（Save Information）。7、選擇啟動(dòng)分區(qū)的文件系統(tǒng)（FAT/NTFS）和大小，按配置硬盤繼續(xù)（Configure Hard-Disk Drive）。8、輸入操作系統(tǒng)相關(guān)的配置信息，其中產(chǎn)品編號(hào)（Product ID）是NT光盤的C

14、D KEY。按保存配置信息（Save configuration Information）繼續(xù)。9、 按開始操作系統(tǒng)安裝（Start Operating System Installation）并按提示插入NT光盤。10、 系統(tǒng)將根據(jù)您輸入的信息自動(dòng)完成NT的安裝。NT光盤啟動(dòng)安裝一、安裝SCSI和RAID卡驅(qū)動(dòng)程序1、根據(jù)服務(wù)器的具體配置，制作相應(yīng)的驅(qū)動(dòng)程序軟盤。方法詳見本文制作驅(qū)動(dòng)程序和下載驅(qū)動(dòng)程序部分。 2、用Windows NT Server 4.0光盤啟動(dòng)，按F6加載驅(qū)動(dòng)程序。（若用軟盤啟動(dòng)安裝NT, 則不需按F6）系統(tǒng)自檢結(jié)束后，您將看到一行信息(白色文本, 黑色屏幕背景)：“Se

15、tup is inspecting your computers hardware configuration (安裝程序正在檢測(cè)硬件配置)”馬上按 <F6>，(此時(shí)只有1/2秒的時(shí)間)。該屏之后屏幕將變?yōu)樗{(lán)色出現(xiàn)一行文本：“Windows NT Setup.”3、屏幕提示按 <S> 鍵指定其他存儲(chǔ)設(shè)備，即：Specify Additional Device選擇 Others 并按 <Enter>.。在軟驅(qū)中插入SCSI驅(qū)動(dòng)盤，根據(jù)服務(wù)器的具體配置選擇加載相應(yīng)的SCSI卡驅(qū)動(dòng)程序。4、若該Dell服務(wù)器配置有RAID磁盤陣列，則在軟驅(qū)中插入RAID 驅(qū)動(dòng)盤。

16、屏幕提示按 <S> 鍵指定其他存儲(chǔ)設(shè)備，即：Specify Additional Device選擇 Others 并按 <Enter>.。根據(jù)服務(wù)器的具體配置選擇加載相應(yīng)的RAID卡驅(qū)動(dòng)程序。5、按<Enter>繼續(xù), 看到 Welcome to Setup 屏。6、系統(tǒng)提示是否加載其它設(shè)備驅(qū)動(dòng)程序（中文界面），因驅(qū)動(dòng)程序已經(jīng)加載，按Enter繼續(xù)。7、在顯示NT 安裝分區(qū)時(shí)，NT SETUP 程序只能識(shí)別最大8G 的硬盤空間，且安裝分區(qū)最大只能4G。余下的硬盤空間在NT安裝完成后，用NT的磁盤管理器（Disk Administrator）對(duì)其進(jìn)行分區(qū)和格式

17、化后，即可識(shí)別和管理。8、當(dāng)系統(tǒng)提示插入Adaptec 7800 Family Manager Set for Windows NT 4.0，在軟驅(qū)中插入SCSI驅(qū)動(dòng)盤。9、若系統(tǒng)中有RAID卡，系統(tǒng)提示插入DELL PERCNT 4.0 Device Drivers，在軟驅(qū)中插入RAID卡驅(qū)動(dòng)盤。二、安裝網(wǎng)卡驅(qū)動(dòng)程序1、當(dāng)系統(tǒng)提示安裝網(wǎng)絡(luò), 請(qǐng)手工加載網(wǎng)卡驅(qū)動(dòng)程序。千萬(wàn)不要讓NT 自動(dòng)檢測(cè)或選擇NT default driver（Intel 82557-based）, 否則將導(dǎo)致NT藍(lán)屏。2、選擇從列表中選擇（Select from list），選擇從磁盤安裝（Have Disk），選擇A盤

18、，根據(jù)服務(wù)器的具體配置在列表中選擇相應(yīng)的網(wǎng)卡類型。三、安裝顯卡驅(qū)動(dòng)程序1、必須安裝NT Service Pack 4或更高版本后,再安裝顯卡驅(qū)動(dòng)。2、在控制面板（Control Panel）中雙擊顯示（Display），選擇設(shè)置（Setting）。3、選擇顯示類型（Display Type），選擇更改（Change）。4、選擇從磁盤安裝（Have Disk），選擇A盤，根據(jù)服務(wù)器的具體配置在列表中選擇相應(yīng)的顯卡類型。四、安裝磁帶機(jī)1、NT BACKUP程序只能支持普通的磁帶設(shè)備。如果您使用的是自動(dòng)裝填器（Auto Loader）或磁帶庫(kù)（Tape Liberay），請(qǐng)使用專門的備份軟件，如CA

19、 ARCServe或Veritas Backup EXEC等。2、如果要使用NT BACKUP，請(qǐng)安裝磁帶機(jī)驅(qū)動(dòng)程序。2.3 windows server 2003安全原理我們將從入侵者入侵的各個(gè)環(huán)節(jié)來(lái)作出對(duì)應(yīng)措施一步步的加固windows系統(tǒng).1.端口限制2.設(shè)置ACL權(quán)限3.關(guān)閉服務(wù)或組件4.包過(guò)濾5.審計(jì)我們現(xiàn)在開始從入侵者的第一步開始.對(duì)應(yīng)的開始加固已有的windows系統(tǒng).1.掃描這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務(wù).對(duì)應(yīng)措施:端口限制，以下所有規(guī)則.都需要選擇鏡像,否則會(huì)導(dǎo)致無(wú)法連接我們需要作的就是打開服務(wù)所需要的端口.而將其他的端口一律屏蔽2.下載信息這里主要是通

20、過(guò)URL SCAN.來(lái)過(guò)濾一些非法請(qǐng)求，對(duì)應(yīng)措施:過(guò)濾相應(yīng)包我們通過(guò)安全URL SCAN并且設(shè)置urlscan.ini中的DenyExtensions字段來(lái)阻止特定結(jié)尾的文件的執(zhí)行3.上傳文件入侵者通過(guò)這步上傳WEBSHELL,提權(quán)軟件,運(yùn)行cmd指令等等.對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能,設(shè)置ACL權(quán)限，如果有條件可以不使用FSO的.通過(guò) regsvr32 /u c:windowssystem32scrrun.dll來(lái)注銷掉相關(guān)的DLL.如果需要使用.那就為每個(gè)站點(diǎn)建立一個(gè)user用戶對(duì)每個(gè)站點(diǎn)相應(yīng)的目錄.只給這個(gè)用戶讀,寫,執(zhí)行權(quán)限,給administrators全部權(quán)限安裝殺毒軟件.實(shí)時(shí)殺除

21、上傳上來(lái)的惡意代碼.4.WebShell入侵者上傳文件后.需要利用WebShell來(lái)執(zhí)行可執(zhí)行程序.或者利用WebShell進(jìn)行更加方便的文件操作.對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能5.執(zhí)行SHELL入侵者獲得shell來(lái)執(zhí)行更多指令，對(duì)應(yīng)措施:設(shè)置ACL權(quán)限windows的命令行控制臺(tái)位于WINDOWSSYSTEM32CMD.EXE，我們將此文件的ACL修改為某個(gè)特定管理員帳戶(比如administrator)擁有全部權(quán)限.其他用戶.包括system用戶,administrators組等等.一律無(wú)權(quán)限訪問(wèn)此文件.6.利用已有用戶 入侵者通過(guò)利用修改已有用戶或者添加windows正式用戶.向獲取管理

22、員權(quán)限邁進(jìn)，對(duì)應(yīng)措施:設(shè)置ACL權(quán)限.修改用戶，將除管理員外所有用戶的終端訪問(wèn)權(quán)限去掉.限制CMD.EXE的訪問(wèn)權(quán)限.限制SQL SERVER內(nèi)的XP_CMDSHELL7.登陸圖形終端入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,獲取許多圖形程序的運(yùn)行權(quán)限.由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的.所以這步是每個(gè)入侵WINDOWS的入侵者都希望獲得的對(duì)應(yīng)措施:端口限制入侵者可能利用3389或者其他的木馬之類的獲取對(duì)于圖形界面的訪問(wèn).我們?cè)诘谝徊降亩丝谙拗浦?對(duì)所有從內(nèi)到外的訪問(wèn)一律屏蔽也就是為了防止反彈木馬.所以在端口限制中.由本地訪問(wèn)外部網(wǎng)絡(luò)的端口越少越好

23、.如果不是作為MAIL SERVER.可以不用加任何由內(nèi)向外的端口.阻斷所有的反彈木馬.8.擦除腳印入侵者在獲得了一臺(tái)機(jī)器的完全管理員權(quán)限后，就是擦除腳印來(lái)隱藏自身.2.4 windows server 2003安全策略實(shí)施1. 正確劃分文件系統(tǒng)格式，選擇穩(wěn)定的操作系統(tǒng)安裝盤為了提高安全性，服務(wù)器的文件系統(tǒng)格式一定要?jiǎng)澐殖蒒TFS（新技術(shù)文件系統(tǒng)）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過(guò)它來(lái)配置文件的安全性，磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS   /V 來(lái)把FAT3

24、2轉(zhuǎn)換成NTFS格式。正確安裝Windows 2003 server，可以直接網(wǎng)上升級(jí)，我們安裝時(shí)盡量只安裝我們必須要用的組件，安裝完后打上最新的補(bǔ)丁，到網(wǎng)上升級(jí)到最新版本！保證操作系統(tǒng)本身無(wú)漏洞。2.正確設(shè)置磁盤的安全性，具體如下（虛擬機(jī)的安全設(shè)置，我們以asp程序?yàn)槔樱┲攸c(diǎn)：（1）系統(tǒng)盤權(quán)限設(shè)置（2）網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置（比如網(wǎng)站在E盤）（3）數(shù)據(jù)備份盤數(shù)據(jù)備份盤最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限。比如F盤為數(shù)據(jù)備份盤，我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限。（4）其它地方的權(quán)限設(shè)置請(qǐng)找到c盤的這些文件，把安全性設(shè)置只有特定的管理員有完全操作權(quán)限。（5）刪除c:inetpub

25、目錄，刪除iis不必要的映射，建立陷阱帳號(hào)，更改描述。3.禁用不必要的服務(wù)，提高安全性和系統(tǒng)效率。Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Task scheduler 允許程序在指定時(shí)間運(yùn)行Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)

26、ISAKMP/OakleyIKE）和IP安全驅(qū)動(dòng)程序Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序。4.修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯。（1）隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏（2）啟動(dòng)

27、系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。（3）防止SYN洪水攻擊（4）禁止響應(yīng)ICMP路由通告報(bào)文（5）防止ICMP重定向報(bào)文的攻擊（6）不支持IGMP協(xié)議（7） 修改終端服務(wù)端口（8）禁止IPC空連接（9）更改TTL值（10）刪除默認(rèn)共享（11）禁止建立空連接5.其它安全手段。（1）禁用TCP/IP上的NetBIOS網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議（TCP/IP）屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無(wú)法用nbtstat命令來(lái)讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。（2）

28、賬戶安全首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶，不過(guò)是什么權(quán)限都沒(méi)有的那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來(lái)破密碼吧！破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶，看你崩潰不？創(chuàng)建2個(gè)管理員用帳號(hào)，雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)收信以及處理一些*常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理（3）更改C:WINDOWSHelpiis

29、Helpcommon404b.htm內(nèi)容改為這樣，出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁(yè)。（4）安全日志我遇到過(guò)這樣的情況，一臺(tái)主機(jī)被別人入侵了，系統(tǒng)管理員請(qǐng)我去追查兇手，我登錄進(jìn)去一看：安全日志是空的，倒，請(qǐng)記?。篧in2000的默認(rèn)安裝是不開任何安全審核的！那么請(qǐng)你到本地安全策略->審核策略中打開相應(yīng)的審核。（5） 運(yùn)行防毒軟件我見過(guò)的Win2000/Nt服務(wù)器從來(lái)沒(méi)有見到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了。（6） 6.sqlserver數(shù)據(jù)庫(kù)服務(wù)器安全和serv-u ft

30、p服務(wù)器安全配置，更改默認(rèn)端口，和管理密碼（7） 設(shè)置ip篩選、用blackice禁止木馬常用端口（8） 本地安全策略和組策略的設(shè)置2.5 DHCP的安裝于配置設(shè)置DHCP服務(wù)器的（TCP/IP）屬性安裝好DHCP 服務(wù)器授權(quán)DHCP授權(quán)成功，箭頭變成綠色的新建作用域設(shè)置作用域名配置作用域地址范圍指定要排除的IP設(shè)定租約期限配置服務(wù)器選項(xiàng)，它具有全局意義，對(duì)所有作用域有效設(shè)置全局選項(xiàng)的DNS服務(wù)項(xiàng)設(shè)置作用域的選項(xiàng)，它只對(duì)本作用域有效設(shè)置作用域的網(wǎng)關(guān)選項(xiàng)等所有設(shè)置完成后再啟動(dòng)作用域，以防止客戶機(jī)獲取到不完整的信息以下為設(shè)置好的作用域參數(shù)2.6 IIS的安裝與配置打開控制面板中的添加刪除程序：（即

31、 開始à設(shè)置à控制面板à添加刪除程序）點(diǎn)擊添加刪除windows組件勾選internet（信息服務(wù)iis）點(diǎn)擊詳細(xì)信息按鈕如果要安裝web服務(wù)器軟件，請(qǐng)安裝internet信息服務(wù)管理單元、公共文件、萬(wàn)維網(wǎng)服務(wù)。如果要安裝FTP服務(wù)器軟件，請(qǐng)安裝internet信息服務(wù)管理單元、公共文件、文件傳輸協(xié)議（ftp）服務(wù)。點(diǎn)擊確定后，點(diǎn)擊下一步，開始安裝（在安裝過(guò)程中需要指定iis安裝軟件存放位置）安裝結(jié)束配置iis服務(wù)器中web服務(wù)和ftp服務(wù)。打開IIS管理界面（步驟：開始à設(shè)置à控制面板à管理工具à Internet 信息服

32、務(wù)）2、配置web服務(wù)，首先展開網(wǎng)站3、單擊右鍵選屬性4、在網(wǎng)站選項(xiàng)卡中，a、描述一項(xiàng)中輸入自己網(wǎng)站名字。B、在ip地址中選擇自己ip地址，如果沒(méi)有ip可以寫。未來(lái)打開網(wǎng)站時(shí)輸入的就是這里的ip地址。C、tcp端口默認(rèn)為80即可。其他不用改變維持默認(rèn)。5、在主目錄選項(xiàng)卡中設(shè)置這個(gè)網(wǎng)站的地址，維持原來(lái)設(shè)置也可，如果網(wǎng)站在其他路徑可以點(diǎn)擊瀏覽修改，但要注意路徑中不能有中文。6、選擇文檔選項(xiàng)卡，在這里添加自己網(wǎng)站首頁(yè)文件名，比如index.asp，并把它排列到最上邊，這里可以添加的文件擴(kuò)展名為 .asp .htm .html 如果安裝 .net軟件。這里可以添加 .aspx7、we

33、b設(shè)置完成，未說(shuō)明的選項(xiàng)卡請(qǐng)維持默認(rèn)。8、設(shè)置ftp請(qǐng)展開ftp選中ftp單擊右鍵選屬性10、選擇ftp站點(diǎn)，設(shè)置 a、描述中為ftp起名字。 B、在ip地址中選擇自己ip地址，如果沒(méi)有ip可以寫。未來(lái)打開ftp時(shí)輸入的就是這里的ip地址。C、tcp端口默認(rèn)為21即可。其他不用改變維持默認(rèn)。安全帳戶選項(xiàng)卡中顯示匿名登陸和管理員帳戶情況，建議不更改。11、在消息選項(xiàng)卡中設(shè)置，登陸ftp時(shí)的消息標(biāo)題、歡迎信息和退出信息。還有允許同時(shí)多少人鏈接ftp（如不設(shè)置即最大連接數(shù)）。12、主目錄選項(xiàng)卡可以設(shè)置ftp在登錄是的目錄，和允許使用的權(quán)限13、ftp設(shè)置完成，其他為介紹的選項(xiàng)請(qǐng)維持

34、默認(rèn)。最后重啟IIS服務(wù)器關(guān)于網(wǎng)站和ftp在電腦中的位置（默認(rèn)情況下在c:inetpub中）其中ftproot是ftp登陸是的位置。Wwwroot是網(wǎng)站打開時(shí)在計(jì)算機(jī)的位置。2.7網(wǎng)絡(luò)操作系統(tǒng)小結(jié) 網(wǎng)絡(luò)操作系統(tǒng)是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的核心。也可以說(shuō)，網(wǎng)絡(luò)操作系統(tǒng)是提供共享資源管理和其它網(wǎng)絡(luò)功能的系統(tǒng)軟件。網(wǎng)絡(luò)操作系統(tǒng)是控制和管理計(jì)算機(jī)系統(tǒng)的硬件和軟件資源、合理地組織工作流程以及方便用戶的程序集合。是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，管理一臺(tái)或多臺(tái)主機(jī)的硬軟件資源，支持網(wǎng)絡(luò)通信，提供網(wǎng)絡(luò)服務(wù)的軟件集合。網(wǎng)絡(luò)操作系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)不可缺少的系統(tǒng)，一個(gè)網(wǎng)絡(luò)操作是一個(gè)復(fù)雜的計(jì)算機(jī)程序集，它提供網(wǎng)絡(luò)操作過(guò)程的協(xié)議或行為準(zhǔn)則。

35、沒(méi)有網(wǎng)絡(luò)操作系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)就無(wú)法工作。在選擇網(wǎng)絡(luò)操作系統(tǒng)是，從它對(duì)當(dāng)前所建的網(wǎng)絡(luò)的適應(yīng)性和總體性能方面考慮，包括系統(tǒng)效率、可靠性、安全性、可維護(hù)性、可擴(kuò)展性、管理的簡(jiǎn)單方便及應(yīng)用前景等。 第3章 數(shù)據(jù)庫(kù)系統(tǒng)安裝與設(shè)計(jì)3.1 SQL server數(shù)據(jù)庫(kù)簡(jiǎn)介SQL是Structured Query Language(結(jié)構(gòu)化查詢語(yǔ)言)的縮寫。SQL是專為數(shù)據(jù)庫(kù)而建立的操作命令集，是一種功能齊全的數(shù)據(jù)庫(kù)語(yǔ)言。在使用它時(shí)，只需要發(fā)出“做什么”的命令，“怎么做”是不用使用者考慮的。SQL功能強(qiáng)大、簡(jiǎn)單易學(xué)、使用方便，已經(jīng)成為了數(shù)據(jù)庫(kù)操作的基礎(chǔ)，并且現(xiàn)在幾乎所有的數(shù)據(jù)庫(kù)均支持SQL。3.2 SQL ser

36、ver數(shù)據(jù)庫(kù)的安裝硬件需求：CPU：Pentium III 兼容處理器或更高速度的處理器，最低：600 MHz，建議：1 GHz或更高。RAM：最小512 MB，建議1 GB或更大。SQL安裝盤共有兩個(gè)，分別對(duì)應(yīng)CD1和CD2目錄，運(yùn)行SQL2005目錄的CD1目錄的Setup開始安裝。安裝過(guò)程截圖如下，重點(diǎn)部分注明了注意事項(xiàng)：如果Windows沒(méi)有安裝IIS組件，會(huì)提示警告信息，SQL Server 20005 Reporting Services組件需要IIS服務(wù)，但EMS數(shù)據(jù)庫(kù)不需要安裝此組件，所以可以忽略此警告直接進(jìn)行下一步。為了減輕服務(wù)器負(fù)擔(dān)，只安裝EMS數(shù)據(jù)庫(kù)所需的最小組件。單擊“

37、高級(jí)”按鈕，進(jìn)入高級(jí)功能選擇界面，選擇安裝如下組件：數(shù)據(jù)庫(kù)服務(wù)客戶端組件（只需連接工具、管理工具）文檔、示例和示例數(shù)據(jù)庫(kù)（只需SQL Server聯(lián)機(jī)叢書）要選擇混合模式，密碼使用netnumen，EMS數(shù)據(jù)庫(kù)腳本需要使用此密碼。到此為止，SQL Server 數(shù)據(jù)庫(kù)安裝完成3.3 SQL Server 數(shù)據(jù)庫(kù)系統(tǒng)的設(shè)置使用osql程序與SQL Server連接，命令格式為：osql /U sa /P其中：/U說(shuō)明登錄到SQL Server數(shù)據(jù)庫(kù)系統(tǒng)所使用的登錄帳戶，sa(系統(tǒng)管理員)是SQL Server數(shù)據(jù)庫(kù)系統(tǒng)創(chuàng)建的一個(gè)超級(jí)用戶，默認(rèn)時(shí)其口令為空，所以/P后無(wú)參數(shù)。如果用戶已經(jīng)修改了sa

38、的口令，則應(yīng)在/P后加上相應(yīng)的口令字符串。（）輸入Transact-SQL語(yǔ)句檢索數(shù)據(jù)庫(kù)信息。例如，執(zhí)行下列語(yǔ)句檢索SQL Server數(shù)據(jù)庫(kù)服務(wù)器的名稱：SELECT servernameGO這時(shí)應(yīng)顯示出服務(wù)器名稱。如：Shaoly執(zhí)行下面語(yǔ)句檢查所安裝的SQL Server數(shù)據(jù)庫(kù)系統(tǒng)的版本信息：SELECT versionGO如果SQL Server服務(wù)器軟件正確安裝，上面語(yǔ)句的執(zhí)行結(jié)果為：Microsoft SQL Server 8.00 - 8.00.817 (Intel X86)Sep 27 2002 22:20:07Copyright (c) 1988-2000 Microsoft

39、 Corporation如果以上步驟均能正確執(zhí)行，則說(shuō)明SQL Server已安裝成功。這時(shí)，輸入exit命令退出osql；否則說(shuō)明SQL Server數(shù)據(jù)庫(kù)系統(tǒng)安裝有誤，應(yīng)根據(jù)執(zhí)行過(guò)程中出現(xiàn)的錯(cuò)誤提示信息查找錯(cuò)誤原因，并加以排除。指定系統(tǒng)管理員口令在安裝SQL Server之后，自動(dòng)創(chuàng)建的登錄標(biāo)識(shí)符只有系統(tǒng)管理員sa帳號(hào)和BUILTINAdministrators，并且沒(méi)有為sa帳號(hào)指定口令。這意味著任何得知這個(gè)SQL Server的存在的人都可以登錄到SQL Server上，并且可以在這個(gè)SQL Server上做任何操作。為防止這一點(diǎn)，你需要在安裝SQL Server之后盡可能快地給系統(tǒng)管

40、理員帳號(hào)指定口令?？梢园凑找韵虏襟E為系統(tǒng)管理員指定口令：（）啟動(dòng)企業(yè)管理器，展開企業(yè)管理器中的SQL Server樹形結(jié)構(gòu)，查看登錄標(biāo)識(shí)符（Logins）。（）單擊Logins圖標(biāo)，查看所有當(dāng)前存在的登錄標(biāo)識(shí)符，系統(tǒng)管理員帳號(hào)應(yīng)該包含在這個(gè)列表中。（）在sa上單擊鼠標(biāo)右鍵，然后選擇Properties，出現(xiàn)SQL Server Login Properties對(duì)話框。（）Password一欄中包含一系列的星號(hào)，這并不意味著系統(tǒng)管理員有口令，這些只是用于填充?？梢栽谶@一欄中輸入要分配給系統(tǒng)管理員帳號(hào)的口令。在你輸入口令時(shí)，原有的星號(hào)將被新的星號(hào)所代替。（）在輸入口令之后，單擊“確定”按鈕，出現(xiàn)C

41、onfirm Password對(duì)話框。在這個(gè)對(duì)話框中重新輸入口令，再單擊OK按鈕關(guān)閉該對(duì)話框，到此，你已經(jīng)為系統(tǒng)管理員帳號(hào)指定了口令。配置SQL Server的用戶連接啟動(dòng)企業(yè)管理器，在樹形結(jié)構(gòu)中單擊你打算查看和修改配置選項(xiàng)的SQL Server服務(wù)器名，在彈出式菜單中選擇SQL Server Properties對(duì)話框的“Connections”選項(xiàng)卡。這個(gè)設(shè)置選項(xiàng)控制著SQL Server可以支持多少同時(shí)的用戶連接。缺省的設(shè)置為0，即無(wú)限制。按照購(gòu)買的數(shù)據(jù)，我們應(yīng)該設(shè)置用戶連接數(shù)。在設(shè)置后，用戶連接數(shù)將無(wú)法超過(guò)這個(gè)數(shù)量，例如，我們?cè)O(shè)置為15，那么如果你試圖建立第16個(gè)用戶連接，將會(huì)被SQL

42、 Server拒絕。增加用戶連接數(shù)的難點(diǎn)在于每個(gè)用戶連接都占用37KB RAM，這是SQL Server的總體開銷的一部分，相應(yīng)減少了其他緩存可以使用的內(nèi)存。無(wú)論是否真正建立了用戶連接這37KB都會(huì)被占用，所以必須選擇一個(gè)足以容納所需的所有用戶連接的用戶連接數(shù)，但是又不能配置得過(guò)高，以免浪費(fèi)內(nèi)存。首先對(duì)所需要的用戶連接數(shù)進(jìn)行估算，根據(jù)估算值進(jìn)行設(shè)置?？梢允褂眯阅鼙O(jiān)視器來(lái)監(jiān)控用戶連接數(shù)，以確定估算的值是否接近實(shí)際需要，再按照監(jiān)控的結(jié)果來(lái)調(diào)整設(shè)置。使用Transact-SQL語(yǔ)句創(chuàng)建數(shù)據(jù)庫(kù)創(chuàng)建數(shù)據(jù)庫(kù)時(shí)使用的Transact-SQL語(yǔ)句是CREATE DATABASE，以下是CREATE DATAB

43、ASE的完整語(yǔ)法：CREATE DATABASE database_nameON PRIMARY <filespec> ,.n <filegroup>,.nLOG ON <filespec> ,.nFOR LOAD | FOR ATTACH例如創(chuàng)建一個(gè)名為library的數(shù)據(jù)庫(kù)：USE masterGOCREATE DATABASE libraryONPRIMARY (NAME=library_data,FILENAME='c:mssql2000datalibrary.mdf',SIZE=50MB,MAXSIZE=70MB,FILEGROWT

44、H=1MB)LOG ON(NAME=library_log,FILENAME='c:mssql2000datalibrary.ldf',SIZE=15MB,MAXSIZE=20MB,FILEGROWTH=1MB)使用Transact-SQL語(yǔ)句創(chuàng)建表在創(chuàng)建數(shù)據(jù)庫(kù)之后，通常下一步就是添加所需的表來(lái)存儲(chǔ)數(shù)據(jù)。創(chuàng)建表時(shí)使用的Transact-SQL語(yǔ)句是CREATE TABLE。缺省情況下，只有系統(tǒng)管理員或者數(shù)據(jù)庫(kù)的dbo（數(shù)據(jù)庫(kù)屬主）可以創(chuàng)建一個(gè)新表。但是系統(tǒng)管理員或者數(shù)據(jù)庫(kù)的dbo可以授權(quán)其他人來(lái)完成這個(gè)任務(wù)。以下是“CREATE TABLE”語(yǔ)句的語(yǔ)法：CREATE TABLE table_name(column_name c