《网络通信安全管理员第4章_服务器系统安全配置》由会员分享,可在线阅读,更多相关《网络通信安全管理员第4章_服务器系统安全配置(53页珍藏版)》请在金锄头文库上搜索。
1、第四章 服务器系统安全配置,Windows 服务器安全配置,DNS server配置以及管理 Web server配置以及管理 ftp server配置以及管理 E-mail server配置以及管理,域名空间结构,根域 顶级域 组织域 国家或地区域 反向域 二级域 主机名 FQDN:(Fully Qualified Domain Name)完全合格域名,DNS服务的作用,将域名解析为IP地址 客户机向DNS服务器发送域名查询请求 DNS服务器告知客户机Web服务器的IP地址 客户机与Web服务器通信,DNS查询过程,DNS客户机,本地域名服务器,根DNS服务器,cn,C,2,3,4,6,7,
2、1,递归查询,迭代查询,Web服务器,5,DNS查询类型,从查询方式上分 递归查询 要么做出查询成功响应,要么作出查询失败的响应 迭代查询 以最佳结果作答 从查询内容上分 正向查询由域名查找IP地址 反向查询由IP地址查找域名,配置DNS服务器,需求条件 安装DNS服务 创建区域 创建正向查找区域 创建反向查找区域 主要资源记录 使用转发器,DNS必要条件,有固定的IP地址 安装并启动DNS服务 下列条件之一 有区域文件 配置转发器 配置根提示,区域文件,DNS服务器,安装DNS服务器,DNS服务器的类型(角色),主要区域 特定DNS区域的官方服务器,具有唯一性 负责维护该区域内所有域名-IP
3、地址的映射记录 辅助区域 存放区域内所有主机的数据副本 其维护的 域名-IP地址记录 来源于主域名服务器 存根区域 区域副本,只包含权威系统所需的资源记录 起始授权机构(SOA),名称服务器(NS),粘连A记录组成,新建正向查找区域,主要资源记录,区域文件中包含资源记录,新建资源记录,新建主机记录 新建别名 如果还有另外一个名字如 可以在区域中新建别名记录,转发器,将本地DNS服务器无法解析的查询转发给网络上的其他DNS 服务器,该 DNS 服务器即被指定为转发器 转发给转发器的查询为递归查询 配置转发器 假设本地DNS服务器的IP地址为192.168.1.2 转发器的IP地址为192.168
4、.1.11 则在本地DNS服务器上配置,配置静态DNS服务器地址,动态获得DNS服务器地址,在DHCP服务器上,配置作用域选项,域名解析顺序,解析域名顺序 本机DNS缓存 本机Hosts文件 DNS服务器 本机DNS缓存 Ipconfig /displaydns Ipconfig /flushdns 本机Hosts文件 Hosts文件%SystemRoot%system32driversetc Hosts文件格式,域名解析排错2-1,客户机设置 检查客户机的首选DNS服务器是否配置 配置的DNS服务器的IP地址是否正确 DNS服务器上的资源记录 检查DNS服务器上有没有正确的区域名及要查找的主
5、机记录 使用nslookup DNS服务是否启动,WWW服务,WWW服务,即万维网服务 在网上发布的,并可以通过浏览器观看的图形化页面的服务 常用的WWW服务软件 在Windows系统中是IIS,IIS概述,IIS主要提供WWW、 FTP、SMTP、NNTP等服务,安装IIS 6.0,1,2,3,4,5,6,配置默认网站,右击【默认网站】|【属性】,IP地址和默认端口,给被管理的网站起个好记的名称,连接超时和保持HTTP连接,阶段练习,背景 alading公司需要在办公网络内部配置一个Web网站 员工访问Web网站的方式为http:/Web服务器的IP 已知服务器的IP为192.168.1.2
6、,网页的本地路径是c:webroot,首页文件名为default.htm 目标 安装WWW服务 配置默认网站 使用浏览器访问Web网站,虚拟目录概念,物理目录:实际存放在主目录的子文件夹 虚拟目录:能将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中,使用虚拟目录的优点 将数据分散保存到不同的磁盘或者计算机上,便于分别开发与维护 当数据移动到其他物理位置时,不会影响到Web网站的逻辑结构,创建虚拟目录,创建完成的虚拟目录,配置虚拟目录,右击【products】|【属性】,虚拟目录的首页,访问虚拟目录,在浏览器地址栏输入“http:/IP地址/虚拟目录名” 通过在网页中的链接访问Web
7、网站,什么是FTP,文件传输协议(File Transfer Protocol) 利用FTP可以给用户提供上传和下载文件的服务 采用客户机/服务器方式,建 立 连 接,传 输 请 求,给 予 响 应,安装FTP服务,1,2,3,4,5,6,配置默认FTP站点,配置的内容有 FTP站点 安全帐户 消息 主目录 目录安全性,FTP站点,该站点的说明文字,决定了能同时连接到服务器的客户端连接的数量,可以使用日志文件记录用户访问FTP站点的操作,安全帐户,主目录,下载权限,上传权限,记录用户操作,目录安全性,FTP访问方式,1.WEB浏览器 ftp:/ip ftp:/user:passwordip 2
8、.FTP软件 3.命令行 ftp ip,什么是邮件系统 一种能够书写、发送、存储和接收信件的电子通信系统 邮件系统一般分为2个组成部分 邮件用户代理(MUA) 邮件传输代理(MTA),邮件系统概述,常见的邮件协议,常见的邮件系统,规划邮件系统2-1,规划活动目录 决定如何扩展活动目录架构信息 确定Exchange组织的管理员 确定各个部门公用文件夹的管理权限 规划部署途径 全新安装 升级安装,Exchange 2003安装,安装要求 准备工作 安装Exchange 2003 更新安全补丁,Exchange 2003安装要求,硬件要求 Intel X86 133MHz以上CPU 最低128MB内
9、存 500MB以上可用磁盘空间 操作系统要求 Windows 2000 SP3 or SP4 Windows 2003 文件系统要求 NTFS,使用Exchange部署工具3-1,启动Exchange部署工具,使用Exchange部署工具3-2,选择Exchange安装过程,使用Exchange部署工具3-3,选择安装环境,安装Exchange,操作系统要求确认 安装并启用Windows服务 安装Windows支持工具 运行DCDiag 运行NETDiag 运行ForestPrep(林准备) 运行DomainPrep(域准备) 运行Exchange 2003安装,使用Exchange客户端访问
10、邮件服务,Outlook(OL) Outlook Express(OE) Outlook Web Access(OWA),E-mail安全,1、E-mail漏洞 2、匿名转发 3、E-mail欺骗 4、垃圾邮件,E-mail安全防范,1、服务器安全防范 及时更新操作系统 安全杀毒软件和邮件网关 设立安全Checklist IP地址限制 2、客户端安全防范 查 看 堵 加密,WEB安全防范,1、安全隐患 跨站脚本漏洞 注入漏洞 恶意文件 直接对象引用 。,WEB安全防范,1.操作系统漏洞 2.HTTP协议安全漏洞(明文) 3.WEB服务本身安全性,IIS安全机制,1.专机专用 2.控制安全 匿名用户 一般用户 3.登录认证安全 匿名访问 基本验证 Windows NT 请求/响应方式 4.访问权限控制 WEB主目录权限 NTFS权限 5.IP地址限制,安全性总结,当客户机访问网站时,服务器验证步骤 客户机IP地址是否授权 用户帐户和密码是否正确 主目录是否设置了“读取”权限 网站文件的NTFS权限 只有以上检查都通过,才可以访问网站内容,知识回顾Knowledge Review,
