服务器系统安全配置

《服务器系统安全配置》由会员分享，可在线阅读，更多相关《服务器系统安全配置（52页珍藏版）》请在金锄头文库上搜索。

1、阿拉丁计算机国际认证培训中心 http:/第四章 服务器系统安全配置阿拉丁计算机国际认证培训中心 http:/Windows 服务器安全配置服务器安全配置 DNS serverDNS server配置以及管理配置以及管理Web serverWeb server配置以及管理配置以及管理ftp serverftp server配置以及管理配置以及管理E-mail serverE-mail server配置以及管理配置以及管理阿拉丁计算机国际认证培训中心 http:/“Root”“Root”eduedugovgovcomcomorgorgmilmilcncnCiscoCiscoMicrosoftMi

2、crosoftIBMIBMFTPFTPNENEWWS S域名空域名空间结构构根域根域顶级域顶级域n组织域组织域n国家或地区域国家或地区域n反向域反向域二级域二级域主机名主机名FQDN:(Fully Qualified FQDN:(Fully Qualified Domain Name)Domain Name)完全合格域名完全合格域名顶级域顶级域 说明说明 govgov 政府部门政府部门 comcom 商业部门商业部门 eduedu教育部门教育部门 orgorg民间团体组织民间团体组织 netnet网络服务机构网络服务机构 milmil军事部门军事部门 顶级域顶级域国别国别/ /地区地区cncn

3、中国中国jpjp日本日本ukuk英国英国auau澳大利亚澳大利亚hkhk中国香港中国香港将将IPIP地址映射到名称地址映射到名称 “in-addr.arpa”二级域下可以扩展主机和子域二级域下可以扩展主机和子域主机名主机名.DNS.DNS后缀后缀=FQDN=FQDN阿拉丁计算机国际认证培训中心 http:/DNSDNS服服务的作用的作用将域名解析为将域名解析为IP地址地址n客户机向客户机向DNSDNS服务器发送域名查服务器发送域名查询请求询请求nDNSDNS服务器告知客户机服务器告知客户机WebWeb服务器服务器的的IPIP地址地址n客户机与客户机与WebWeb服务器通信服务器通信阿拉丁计算机

4、国际认证培训中心 http:/DNSDNS查询过程程DNSDNS客户机客户机客户机客户机本地域名服务器本地域名服务器本地域名服务器本地域名服务器根根根根DNSDNSDNSDNS服务器服务器服务器服务器cncnCC递归查询递归查询递归查询递归查询迭代查询迭代查询迭代查询迭代查询WebWeb服务器服务器服务器服务器阿拉丁计算机国际认证培训中心 http:/DNSDNS查询类型型从查询方式上分从查询方式上分n递归查询递归查询q要么做出查询成功响应，要么作出查询失败的响应要么做出查询成功响应，要么作出查询失败的响应 n迭代查询迭代查询q以最佳结果作答以最佳结果作答 从查询内容上分从查询内容上分 n正向

5、查询由域名查找正向查询由域名查找IPIP地址地址 n反向查询由反向查询由IPIP地址查找域名地址查找域名阿拉丁计算机国际认证培训中心 http:/配置配置DNSDNS服服务器器需求条件需求条件安装安装DNS服务服务创建区域创建区域n创建正向查找区域创建正向查找区域n创建反向查找区域创建反向查找区域主要资源记录主要资源记录使用转发器使用转发器阿拉丁计算机国际认证培训中心 http:/DNSDNS必要条件必要条件有固定的有固定的IPIP地址地址安装并启动安装并启动DNSDNS服务服务下列条件之一下列条件之一n有区域文件有区域文件n配置转发器配置转发器n配置根提示配置根提示区域文件区域文件区域文件区

6、域文件根根根根DNSDNS服务器服务器服务器服务器其他其他其他其他DNSDNS服务器服务器服务器服务器DNSDNSDNSDNS服务器服务器服务器服务器阿拉丁计算机国际认证培训中心 http:/安装安装DNSDNS服服务器器阿拉丁计算机国际认证培训中心 http:/DNSDNS服服务器的器的类型（角色）型（角色）主要区域主要区域n特定特定DNSDNS区域的官方服务器，具有唯一性区域的官方服务器，具有唯一性n负责维护该区域内所有域名负责维护该区域内所有域名-IP-IP地址的映射记录地址的映射记录辅助区域辅助区域n存放区域内所有主机的数据副本存放区域内所有主机的数据副本n其维护的其维护的 域名域名-

7、IP-IP地址记录地址记录 来源于主域名服务器来源于主域名服务器存根区域存根区域n区域副本，只包含权威系统所需的资源记录区域副本，只包含权威系统所需的资源记录n起始授权机构（起始授权机构（SOASOA）, ,名称服务器（名称服务器（NSNS）, ,粘连粘连A A记录组成记录组成阿拉丁计算机国际认证培训中心 http:/新建正向新建正向查找区域找区域 阿拉丁计算机国际认证培训中心 http:/主要主要资源源记录 资源源记录说明明SOA(SOA(起始授权机构起始授权机构) ) 定义了该区域中的哪个名称服务器是权威名称服务器定义了该区域中的哪个名称服务器是权威名称服务器 NS(NS(名称服务器名称服

8、务器) ) 表示该区域的权威服务器和表示该区域的权威服务器和SOASOA中指定的该区域的主服务中指定的该区域的主服务器和辅助服务器器和辅助服务器 A(A(主机主机) ) 列出了区域中列出了区域中FQDNFQDN到到IPIP地址的映射地址的映射 PTR(PTR(指针指针) ) PTRPTR记录把记录把IPIP地址映射到地址映射到FQDN FQDN MXMX邮件交件交换器器记录，向指定，向指定邮件交件交换主机提供消息路由主机提供消息路由（在后（在后续课程使用）程使用） SRV(SRV(服务位置服务位置) ) 列出了哪些服务器正在提供特定的服务列出了哪些服务器正在提供特定的服务 区域文件中包含资源记

9、录区域文件中包含资源记录阿拉丁计算机国际认证培训中心 http:/新建新建资源源记录 新建主机记录新建主机记录新建别名新建别名n如果如果还有另外一个名字如还有另外一个名字如n可以在区域可以在区域中新建别名记录中新建别名记录阿拉丁计算机国际认证培训中心 http:/转发器器 将本地将本地DNSDNS服务器无法解析的查询转发给网络上的其他服务器无法解析的查询转发给网络上的其他DNS DNS 服务器，该服务器，该 DNS DNS 服务器即被指定为转发器服务器即被指定为转发器 转发给转发器的查询为递归查询转发给转发器的查询为递归查询 配置转发器配置转发器n假设本地假设本地DNSDNS服务器的服务器的I

10、PIP地址为地址为192.168.1.2192.168.1.2n转发器的转发器的IPIP地址为地址为192.168.1.11192.168.1.11n则在本地则在本地DNSDNS服务器上配置服务器上配置 阿拉丁计算机国际认证培训中心 http:/配置静配置静态DNS服服务器地址器地址阿拉丁计算机国际认证培训中心 http:/动态获得得DNS服服务器地址器地址在在DHCPDHCP服务器上，配置作用域选项服务器上，配置作用域选项阿拉丁计算机国际认证培训中心 http:/域名解析域名解析顺序序 解析域名顺序解析域名顺序n本机本机DNSDNS缓存缓存n本机本机HostsHosts文件文件nDNSDNS

11、服务器服务器本机本机DNSDNS缓存缓存nIpconfig /displaydnsIpconfig /displaydnsnIpconfig /flushdnsIpconfig /flushdns本机本机HostsHosts文件文件nHostsHosts文件文件%SystemRoot%system32driversetc%SystemRoot%system32driversetcnHostsHosts文件格式文件格式阿拉丁计算机国际认证培训中心 http:/域名解析排域名解析排错2-12-1客户机设置客户机设置 n检查客户机的首选检查客户机的首选DNSDNS服务器是否配置服务器是否配置n配置的

12、配置的DNSDNS服务器的服务器的IPIP地址是否正确地址是否正确DNSDNS服务器上的资源记录服务器上的资源记录n检查检查DNSDNS服务器上有没有正确的区域名及要查找的主机记录服务器上有没有正确的区域名及要查找的主机记录 n使用使用nslookupnslookupDNSDNS服务是否启动服务是否启动 阿拉丁计算机国际认证培训中心 http:/WWWWWW服服务 WWWWWW服务，即万维网服务服务，即万维网服务在网上发布的，并可以通过浏览器观看的图形化页面的服务在网上发布的，并可以通过浏览器观看的图形化页面的服务常用的常用的WWWWWW服务软件服务软件n在在WindowsWindows系统中

13、是系统中是IISIIS阿拉丁计算机国际认证培训中心 http:/IIS概述概述组件名称组件名称功能功能万维网（万维网（WWWWWW）服务）服务使用使用HTTPHTTP协议向客户提供信息浏览服务协议向客户提供信息浏览服务文件传输协议文件传输协议（FTPFTP）服务）服务使用使用FTPFTP协议向客户提供上传和下载文件的服务协议向客户提供上传和下载文件的服务SMTP ServiceSMTP Service简单邮件传输协议服务，支持电子邮件的传输简单邮件传输协议服务，支持电子邮件的传输NNTPNNTP服务服务网络新闻传输协议服务网络新闻传输协议服务Internet Internet 信息服务信息服务

14、管理器管理器IISIIS的管理界面的的管理界面的MicrosoftMicrosoft管理控制台管理单元管理控制台管理单元InternetInternet打印打印提供基于提供基于WebWeb的打印机管理，并能够通过的打印机管理，并能够通过HTTPHTTP打印到打印到共享打印机共享打印机IISIIS主要提供主要提供WWWWWW、FTPFTP、SMTPSMTP、NNTPNNTP等服务等服务 阿拉丁计算机国际认证培训中心 http:/安装安装IIS6.0IIS6.0阿拉丁计算机国际认证培训中心 http:/配置默配置默认网站网站 右击右击【默认网站默认网站】| |【属性属性】 IP地址和默认端口地址和

15、默认端口给被管理的网站起个给被管理的网站起个好记的名称好记的名称 连接超时和保持连接超时和保持HTTP连接连接阿拉丁计算机国际认证培训中心 http:/阶段段练习背景背景Jaladingalading公司需要在办公网络内部配置一个公司需要在办公网络内部配置一个WebWeb网站网站J员工访问员工访问WebWeb网站的方式为网站的方式为http:/Webhttp:/Web服务器的服务器的IPIPJ已知服务器的已知服务器的IPIP为为192.168.1.2192.168.1.2，网页的本地路径是，网页的本地路径是c:webrootc:webroot，首页，首页文件名为文件名为default.htmd

16、efault.htm目标目标J安装安装WWWWWW服务服务J配置默认网站配置默认网站J使用浏览器访问使用浏览器访问WebWeb网站网站阿拉丁计算机国际认证培训中心 http:/虚虚拟目目录概念概念 物理目录：实际存放在主目录的子文件夹物理目录：实际存放在主目录的子文件夹虚拟目录：能将一个网站的文件分散存储在同一计算机的不虚拟目录：能将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中同路径和其他计算机中使用虚拟目录的优点使用虚拟目录的优点n将数据分散保存到不同的磁盘或者计算机上，便于分别开发与维护将数据分散保存到不同的磁盘或者计算机上，便于分别开发与维护n当数据移动到其他物理位置时，不

17、会影响到当数据移动到其他物理位置时，不会影响到WebWeb网站的逻辑结构网站的逻辑结构 阿拉丁计算机国际认证培训中心 http:/创建虚建虚拟目目录 创建完成的虚拟目录创建完成的虚拟目录阿拉丁计算机国际认证培训中心 http:/配置虚配置虚拟目目录 右击右击【products】| |【属性属性】 虚拟目录的首页虚拟目录的首页 阿拉丁计算机国际认证培训中心 http:/访问虚虚拟目目录 在浏览器地址栏输入在浏览器地址栏输入“http:/IPhttp:/IP地址地址/ /虚拟目录名虚拟目录名” ” 通过在网页中的链接访问通过在网页中的链接访问WebWeb网站网站 阿拉丁计算机国际认证培训中心 ht

18、tp:/什么是什么是FTPFTP文件传输协议（文件传输协议（File Transfer ProtocolFile Transfer Protocol）利用利用FTPFTP可以给用户提供上传和下载文件的服务可以给用户提供上传和下载文件的服务采用客户机采用客户机/ /服务器方式服务器方式 FTPFTP服务器服务器服务器服务器客户机客户机客户机客户机建建建建 立立立立 连连连连 接接接接传传传传 输输输输 请请请请 求求求求给给给给 予予予予 响响响响 应应应应阿拉丁计算机国际认证培训中心 http:/安装安装FTPFTP服服务阿拉丁计算机国际认证培训中心 http:/配置默配置默认FTPFTP站点

19、站点配置的内容有配置的内容有n FTPFTP站点站点n安全帐户安全帐户n消息消息n主目录主目录n目录安全性目录安全性阿拉丁计算机国际认证培训中心 http:/FTPFTP站点站点 该站点的说明文字该站点的说明文字 决定了能同时连接决定了能同时连接到服务器的客户端到服务器的客户端连接的数量连接的数量 可以使用日志文件可以使用日志文件记录用户访问记录用户访问FTP站点的操作站点的操作 阿拉丁计算机国际认证培训中心 http:/安全安全帐户阿拉丁计算机国际认证培训中心 http:/主目主目录下载权限下载权限 上传权限上传权限 记录用户操作记录用户操作 阿拉丁计算机国际认证培训中心 http:/目目录

20、安全性安全性阿拉丁计算机国际认证培训中心 http:/FTPFTP访问方式方式1.WEB1.WEB浏览器浏览器nftp:/ipftp:/ipnftp:/user:passwordipftp:/user:passwordip2.FTP2.FTP软件软件3.3.命令行命令行n ftp ipftp ip阿拉丁计算机国际认证培训中心 http:/什么是邮件系统什么是邮件系统n一种能够书写、发送、存储和接收信件的电子通信系统一种能够书写、发送、存储和接收信件的电子通信系统 n邮件系统一般分为邮件系统一般分为2 2个组成部分个组成部分q邮件用户代理（邮件用户代理（MUAMUA）q邮件传输代理（邮件传输代理

21、（MTAMTA）发信人收信人乙地邮局甲地邮局MUAMUAMTAMTA邮件系件系统概述概述阿拉丁计算机国际认证培训中心 http:/常常见的的邮件件协议协 议中文名称中文名称协议内容内容RFC 822RFC 822RFC 822RFC 822邮件格式件格式RFC 822RFC 822定定义了用于了用于电子子邮件件报文的格式文的格式SMTPSMTP简单邮件件传输协议SMTPSMTP是是InternetInternet上上传输电子子邮件的件的标准准协议，用于提交和用于提交和传输电子子邮件件POP3POP3邮局局协议第第3 3版版POP3POP3是一种离是一种离线邮件件协议，采用客，采用客户端端/ /

22、服服务器器工作模式工作模式IMAP4IMAP4网网际消息消息访问协议第第4 4版版IMAP4IMAP4允允许用用户使用多台使用多台计算机上的算机上的邮件客件客户端端同同时访问邮件服件服务器上的器上的邮箱箱MIMEMIME多用途的网多用途的网际邮件件扩展展MIMEMIME增增强强了在了在RFC 822RFC 822中定中定义的的电子子邮件件报文的文的交交换能力，允能力，允许传输二二进制数据制数据阿拉丁计算机国际认证培训中心 http:/常常见的的邮件系件系统邮件服件服务器器产品品生生产厂商厂商应用范用范围应用用实例例ExchangeExchange企企业SendmailSendmailQmail

23、QmailPostfixPostfixISPISPLotus NotesLotus Notes政府机关政府机关阿拉丁计算机国际认证培训中心 http:/规划划邮件系件系统2-12-1规划活动目录规划活动目录n决定如何扩展活动目录架构信息决定如何扩展活动目录架构信息n确定确定ExchangeExchange组织的管理员组织的管理员n确定各个部门公用文件夹的管理权限确定各个部门公用文件夹的管理权限 规划部署途径规划部署途径n全新安装全新安装n升级安装升级安装阿拉丁计算机国际认证培训中心 http:/Exchange 2003安装安装 安装要求安装要求准备工作准备工作安装安装Exchange 200

24、3Exchange 2003更新安全补丁更新安全补丁阿拉丁计算机国际认证培训中心 http:/Exchange2003Exchange2003安装要求安装要求硬件要求硬件要求nIntel X86 133MHzIntel X86 133MHz以上以上CPUCPUn最低最低128MB128MB内存内存n500MB500MB以上可用磁盘空间以上可用磁盘空间操作系统要求操作系统要求nWindows 2000 SP3 or SP4Windows 2000 SP3 or SP4nWindows 2003Windows 2003文件系统要求文件系统要求nNTFSNTFS阿拉丁计算机国际认证培训中心 http

25、:/使用使用Exchange部署工具部署工具3-1 启动启动ExchangeExchange部署工具部署工具 通过通过Exchange部署工具完成部署工具完成Exchange安装安装阿拉丁计算机国际认证培训中心 http:/使用使用Exchange部署工具部署工具3-2 选择选择ExchangeExchange安装过程安装过程 选择选择“部署第一台部署第一台Exchange 2003服务器服务器”阿拉丁计算机国际认证培训中心 http:/使用使用Exchange部署工具部署工具3-3 选择安装环境选择安装环境 选择安装全新的选择安装全新的Exchange 2003阿拉丁计算机国际认证培训中心

26、http:/安装安装Exchange 操作系统要求确认操作系统要求确认安装并启用安装并启用WindowsWindows服务服务安装安装WindowsWindows支持工具支持工具运行运行DCDiag DCDiag 运行运行NETDiag NETDiag 运行运行ForestPrepForestPrep（林准备）（林准备）运行运行DomainPrepDomainPrep（域准备）（域准备）运行运行Exchange 2003Exchange 2003安装安装阿拉丁计算机国际认证培训中心 http:/使用使用ExchangeExchange客客户端端访问邮件服件服务OutlookOutlook（OL

27、OL）Outlook ExpressOutlook Express（OEOE）Outlook Web AccessOutlook Web Access（OWAOWA）阿拉丁计算机国际认证培训中心 http:/E-mailE-mail安全安全1 1、E-mailE-mail漏洞漏洞2 2、匿名转发、匿名转发3 3、E-mailE-mail欺骗欺骗4 4、垃圾邮件、垃圾邮件阿拉丁计算机国际认证培训中心 http:/E-mailE-mail安全防范安全防范1 1、服务器安全防范、服务器安全防范及时更新操作系统及时更新操作系统安全杀毒软件和邮件网关安全杀毒软件和邮件网关设立安全设立安全Checklis

28、tChecklistIPIP地址限制地址限制 2 2、客户端安全防范、客户端安全防范查查看看堵堵加密加密阿拉丁计算机国际认证培训中心 http:/WEBWEB安全防范安全防范1 1、安全隐患、安全隐患跨站脚本漏洞跨站脚本漏洞注入漏洞注入漏洞恶意文件恶意文件直接对象引用直接对象引用。阿拉丁计算机国际认证培训中心 http:/WEBWEB安全防范安全防范1.1.操作系统漏洞操作系统漏洞2.HTTP2.HTTP协议安全漏洞（明文）协议安全漏洞（明文）3.WEB3.WEB服务本身安全性服务本身安全性阿拉丁计算机国际认证培训中心 http:/IISIIS安全机制安全机制1.1.专机专用专机专用2.2.控

29、制安全控制安全 匿名用户匿名用户 一般用户一般用户3.3.登录认证安全登录认证安全 匿名访问匿名访问 基本验证基本验证 Windows NT Windows NT 请求请求/ /响应方式响应方式4.4.访问权限控制访问权限控制 WEBWEB主目录权限主目录权限 NTFSNTFS权限权限5.IP5.IP地址限制地址限制阿拉丁计算机国际认证培训中心 http:/安全性安全性总结 当客户机访问网站时，服务器验证步骤当客户机访问网站时，服务器验证步骤n客户机客户机IPIP地址是否授权地址是否授权n用户帐户和密码是否正确用户帐户和密码是否正确n主目录是否设置了主目录是否设置了“读取读取”权限权限n网站文件的网站文件的NTFSNTFS权限权限只有以上检查都通过，才可以访问网站内容只有以上检查都通过，才可以访问网站内容