企业网中网络应用服务搭建及安全规划 论文

企业网中网络应用服务搭建及安全规划

第一章 总体概述

1. 课题研究的背景和意义

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

本课题的研究意义在于研究企业网络的安全解决方案以及实际的应用方法，是整个企业网络安全设计的指南，是为公司做出一套正确有效的网络安全方案的重点。本需求的阅读者是公司企业网络管理方面的决策人，操作应用人员。

2. 企业网络发展前景

随着现代科技的发展及计算机技术与通讯技术的结合，人们已不再满足原有的办公方式，办公自动化、网络化的需求逐日增加。办公局域网营造了一个现代化的高效、快捷、安全的办公环境，也使计算机的功能得到了充分的发挥。组建局域网时可能遇到一些问题，包括组点、方法、步骤和一些具体的网络应用。在企业办公室中，有多台计算机，同时还可能有其他的硬件设备，如打印机、扫描仪或传真机等。让所有的这些计算机和设备，共享文件、文件夹和Internet连接，是一个理想的方案。通过组建办公网络，可以共享企业内部各种软、硬件资源，节约资金投入，提高了设备的利用率。通过共享Internet连接，使得网络中所有的用户都可以享受到高速、稳定而又廉价的Internet接入。实现各种资源的共享可以说是局域网的一个最基本的

1

中国石油大学胜利学院本科毕业设计（论文）

应用。随着Internet技术的不断发展，计算机已经逐渐应用到企业中的各个关键部分，极大的提高了企业的工作效。

3. 网络安全概述

网络安全问题伴随着网络的产生而产生，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。为了防范这些网络安全事故的发生，每个计算机用户，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。要保护计算机和网络免受网络上威胁的攻击，就需要我们采取措施来保护自己的环境免受威胁。防火墙即是其中的一种最好的安全设施。

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解传输层甚至应用层的信息以进行取舍。

2

中国石油大学胜利学院本科毕业设计（论文）

第二章 需求分析

1. Linux环境的搭建

就目前中小公司而言服务器上安装的操作系统以windows系统为主，但是稍微有些经验管理员认识到在稳定性和安全性linux操作系统比windows要强很多。因此越来越多的网络管理员开始建议公司使用unix或linux系统来担当服务器重任。现在就搭建Linux平台环境做个简单的介绍。

首先开机按DEL键进入BIOS，在BIOS设置界面中将操作系统的启动方式设置为光驱。

其次重新启动计算机，将第一张安装光盘放入光驱。启动时将出现安装模式选择界面，我们可以在图形化安装界面与字符模式之间进行选择，当然对于我们这些想省事又是初次安装的用户来说还是使用图形化界面安装更方便，直接按回车键即可。

再次就通过Linux的图形界面进行安装启动计算机，进入引导后，回车进入到检测安装光盘。

2. 系统性能需求

（1）为了保证系统能够长期、安全、稳定、可靠、高效的运行，企业网络安全方案应该满足以下需求：

系统处理的全面性和及时性

方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网络攻击，做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救，保证企业网络的正常运行。

系统方案的可扩充性

在方案的设计过程中，应该充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良好条件。

系统的易用性和易维护性

在完成这套方案之后，只需要技术人员在硬件上做好管理措施、系统上及时更新升级，以及做好备份工作。

方案的标准性

3

中国石油大学胜利学院本科毕业设计（论文）

方案在设计过程中，要涉及很多计算机硬件、软件。所有这些都要符合主流国际、国家和行业标准。列如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。

（2）实际网络的特点及目前企业网络优缺点分析 目前企业网络优缺点分析如图2-1所示。

图2-1 公司的原拓扑图

上图为一玩具企业的大概网络拓扑图，经过分析，公司网络主要分为4个部分，一部分为工厂生产网络，一部分是负责销售、网站维护和构想玩具工作等的写字楼办公网络，另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高，共享性强,适合于一点发送、多点接收的场合，容易扩展网络，使用的电缆少，且安装容易。缺点是安全行不高，维护不方便，分支节点出现故障会影响整个网络。

其网络的交换机路由器已经经过一部分设置与设备NAT技术，使公司内部合理通信访问，工厂办公地点不能上网，员工办公阶段时间性的上网，领导办公没有。这都有效提高了公司的工作质量与安全性，我们在这基础上，再设置一些安全措施，设计出一套完整的安全解决方案。

（3）设计目标

根据实际情况，全方面的找出并解决企业存在的各方面安全问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级（QOS技术）、以及数

4

中国石油大学胜利学院本科毕业设计（论文）

据的加密传输、签名认证和远程专用网络，以及合理应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。

注：NAT技术

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

QOS技术

QoS的英文全称为\"Quality of Service\"，中文名为\"服务质量\"。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。QoS不是创造带宽，而是管理带宽，因此它能应用得更为广泛，能满足更多的应用需求。QoS的目标是要提供一些可预测性的质量级别，以及控制超过目前IP网络最大服务能力的服务。

3. 网络环境分析

（1）内部网络环境

局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、设计子网、中心服务器子网、办公子网等。

（2）外部网络环境分析

随着Internet网络的急剧扩大和上网用户的迅速增加，网络安全风险变得更加严重和复杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全的认识不足，这些风险正日益严重。

针对局域网中存在的安全隐患，在进行安全方案设计时，病毒入侵的安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。

病毒传播具体有以下几种：病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；病毒先传染工作站，在工作站内存驻留运行网络盘内程序时再传染给服务器；病毒先传染工作站，在工作站内存驻留，病毒运行时直接通过映像路径传染到服务器中；如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中。一旦

5

中国石油大学胜利学院本科毕业设计（论文）

病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大、可激发性、潜在性。

（3）系统漏洞带来的安全隐患

系统漏洞并不是病毒，但是它往往为病毒所利用，成为入侵系统影响安全的“快速路”。

下面谈谈我对系统漏洞的一些了解。 什么是系统漏洞

漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。系统漏洞又称安全缺陷，对用户造成的不良后果如下所述：

如漏洞被恶意用户利用，会造成信息泄漏，如黑客攻击网站即利用网络服务器操作系统的漏洞。对用户操作造成不便，如不明原因的死机和丢失文件等。综上所述，仅有堵住系统漏洞，用户才会有一个安全和稳定的工作环境。

如何处理系统中的漏洞

Windows操作系统的漏洞，某些由于软件设计失误而产生，另一些则由于用户设置不当所引发，均会严重影响系统安全。针对两种不同的错误需采用不同的方式加以解决，如下所述：

针对设计错误，微软公司会及时推出补丁程序，用户只需及时下载并安装即可，因此建仪户经常浏览微软的安全公告，并及时下载补丁，官方网址为：

http://www.update.microsoft.com/windowsupdate/v6/default.aspx。 总而言之，随着网络的不断发展，全球信息化已成为人类发展的大趋势。尽管网络也会受到病毒、黑客、怪客、恶意软件和其他不轨行为的攻击，但我们不能不用电脑，我们也不能不用网络，只是我们今天更需要安全的电脑网络。

4. 网络安全需求分析

通过前面我们对这个企业内外部网络环境分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒以及系统漏洞的维护上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到： 防止黑客从外部攻击，入侵检测与监控，

6

中国石油大学胜利学院本科毕业设计（论文）

病毒防护，数据安全保护，数据备份与恢复，修补系统漏洞。针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：

（1）大幅度地提高系统的安全性（重点是可用性和可控性）；

（2）保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；

（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； （4）尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展； （5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用。 基于以上的分析，我们认为这个局域网网络系统安全应该实现以下目标：建立一套完整可行的网络安全与网络管理策略，将内部网络、公开服务器网络和进行有效隔离，避免与外部网络的直接通信，建立网站各主机和服务器的安全保护措施，保证他们的系统安全，对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝，加强合法用户的访问认证，同时将用户的访问权限控制在最低限度，全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为，加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志，备份与灾难恢复，强化系统备份，实现系统快速恢复，加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。

7

中国石油大学胜利学院本科毕业设计（论文）

第三章 服务器的安装和配置

1. Samba的安装、配置和应用

为了能够使windows用户通过“网上邻居”等熟悉的方式直接访问Linux上的资源，也能使linux利用SMB客户端程序访问Windows的共享资源，公司配置了一台samba服务器。Samba很好的使网络上各台主机之间能够共享文件、打印机等资源。

（1）Samba的安装

首先是查看是否安装好了samba服务器，可以在Linux的终端程序中运行rpm –q sambas，如图所示，表明已经安装好了。安装samba服务器如图3-1所示。

图3-1 安装samba服务器图

（2）Samba的配置和应用

要使其能够正常的工作，在进行配置以前要先对检查相关的netbios端口是不是打开了，运行命令vi /etc/services查看，如图3-1所示看到端口是打开的，那么接下来就对服务器进行配置如图3-2所示。

图3-2 查看netbios协议中的端口是否打开

运行命令vi/etc/samba/smb.conf来编辑和配置该服务，它主要有2部分组成，Global Setting(针对所有共享文件有效)和Share Definitions(只对当前共享有效)。作为初学者，只需要掌握其中一小部分选项的设置就可以配置所需要的Samba服务器了。在了解基本配置的基础上，就能很快架设一个基本的Samba服务器。在基本配置文件中，也只用到其中一小部分命令选项。全局参数的配置在[global]字段中，没有

8

中国石油大学胜利学院本科毕业设计（论文）

出现（或被注释）的参数，Samba采用的是默认配置。

开始配置smb.conf

#cp /etc/samba/smb.conf /etc/samba/smb.conf.bak//备份一份配置文件,以防出错时可以恢复

vi /etc/samba/smb.conf//编辑文件 may wish to enable

NOTE: Whenever you modify this file you should run the command \"testparm\" to check that you have not made any basic syntactic errors.

=[global]

workgroup = NT-Domain-Name or Workgroup-Name 设置SAMBA服务器所属的群组名称或windows的域名。

workgroup = MYGROUP

workgroup = WORKGROUP 设置samba服务器的工作组为WORKGROUP。

server string is the equivalent of the NT Description field设置samba的简要说明

server string = Samba Server

server string = This my first sambaserver

This option is important for security. It allows you to restrict connections to machines which are on your local network. The following example restricts access to two C class networks and the \"loopback\" interface. For more examples of the syntax see the smb.conf man page 设置可访问samba服务器的主机，子网或域

hosts allow = 192.168.1.0设置samba服务器允许192.168.1．*网段内所有主机的访问。

if you want to automatically load your printer list rather than setting them up individually then you'll need this 如要您在服务器上实现了打印服务，那么也得配置打印服务。 printcap name = /etc/printcap

当samba启动时,将自动加载打印机配置文件。

9

中国石油大学胜利学院本科毕业设计（论文）

load printers = yes

设置是否允许打印配置文件中的所有打印机开机时自动加载。

It should not be necessary to spell out the print system type unless yours is non-standard. Currently supported print systems include: bsd, sysv, plp, lprng, aix, hpux, qnx; printing = cups

This option tells cups that the data has already been rasterized cups options = raw

otherwise the user \"nobody\" is used; guest account = pcguest 设置guest帐户名

this tells Samba to use a separate log file for each machine that connects log file = /var/log/samba/%m.log all log information in one file log file = /var/log/samba/smbd.log

Put a capping on the size of the log files (in Kb). max log size = 50

Security mode. Most people will want user level security. See security_level.txt for details. security = user

2. Dhcp的安装、配置和应用

为了更加有效的对ip地址的使用和合理的管理网络于是公司配置了DHCP服务器。DHCP是基于c/s模式的，当客户启动时。它会自动的与服务器建立连接并且完成相关的操作，它是以地址租约的方式为DHCP客户端提供服务的，提供的方式主要有两种。

限定租约：当客户端向服务器申请到IP后，客户端可以使用一段时间，当租约快要到期时，服务器将收回IP,客户端又要和服务器重新建立新的地址租约,这是一种动态的分配方式，可以很好的解决IP地址不够用的问题。

永久租约：当dhcp客户端向dhcp服务器租用到ip后，这个地址就会永久的分配给这个客户端，不过采用这种方式有个前提就是要求企业或单位有足够的ip地址，以便很好分配，采用这种方式是一种静态的方式，这样的话就可以使网络内不需要不间断的发出请求和建立租约，更使网络得到优化。

10

中国石油大学胜利学院本科毕业设计（论文）

不管是windows下建立的服务器还是Linux中其实它们的工作过程和原理都是一样的。

（1）向Dhcp服务器索取新的ip地址

当一个尚未分配ip的客户启动的时候，只有建立的相关的连接和请求才有新的ip获取，这也就是进行一系列的步骤来获取其TCP/IP的配置信息，并得到IP地址的租约，主要的过程可以通过图解来分析，如图3-3所示。

图3-3 dhcp工作的过程图

过程分析：

dhcpdiscover：该过程中客户端开始建立请求，以0.0.0.0作为自己的ip地址而以255.255.255.255（广播地址）作为服务器的地址，如果在本网络中有这样的服务器那么当dhcp服务器收到这样的请求后会做出响应，在Linux中服务器是以守护进程的方式来响应客户的请求的，如果没有服务来建立请求，那么Linux中服务器以后台的方式等待请求，如果客户发起的请求没有响应那么，客户端将在一定的时间段内重复以上的操作，直到有得到一个应答。

dhcpoffer：当网络中的dhcp服务器收到dhcpdiscover信息后，对自身进行检查，要是有可提供的ip地址，就从该服务器的地址池中随机的取出一个ip广播的方式发送给客户端，在还没有将ip正式的给客户前，服务器会先把这个地址隔离起来，以免其他的客户申请的时候再次被分配而产生冲突，服务器发送给请求客户机的信息中主要包含了ip地址、子网掩码、租约和提供dhcp服务的服务器的ip。

dhcprequset：当dhcp客户收到服务器的返回信息后，就以广播的方式发送一个

11

中国石油大学胜利学院本科毕业设计（论文）

dhcp请求信息给本网络中的存在或不存在的其他的dhcp服务器，该信息中包含了已选择的dhcp服务器的ip地址。

dhcpack：一旦被选中的dhcp收到客户端的请求信息后，就将以保留的这个ip标识为以租用，然后广播的方式发送一个dhcpack信息给dhcp客户端，当客户端收到了确认信息后就完成了整个的获取ip的过程。

（2）Dhcp的安装

运行rpm –q dhcp查看该服务是否配置好(或者//查看系统是否安装了dhcp软件包：rpm -qa | grep dhcp)。

把第二张光盘放入光驱中，自动加载后运行安装命令。 （3）Dhcp的配置和应用

Dhcp服务是以dhcpd守护进程来实现的，是按/etc目录中的配置文件dhcpd.conf进行配置运行的。

安装成功后，进行配置和设置，因为在开始没有配置所以配置文件需要手动进行配置，为了简便配置在/usr/share/doc/下有个模板页，复制为/etc/dhcpd.conf,然后对其进一步的修改(这样可以简单的实现)。如图3-4所示。

图3-4 配置的摸板页面图

rpm -ql dhcp察看包里dhcpd.conf.sample模版文件存放位置；

通过该操作可看出其摸板页：/usr/share/doc/dhcp-3.0pll/dhcp.conf.sample. 把该文件拷贝到/etc目录下：#cp /usr/share/doc/dhcp-3.0pl1/dhcpd.conf. sample /etc/dhcpd.conf对dhcpd.conf文件进行编辑：#vi /etc/dhcp.conf。

12

中国石油大学胜利学院本科毕业设计（论文）

//将配置文件根据实际需要做相应修改；在这个实验中就假设本网段有一个192.168.1.0的C类网络，那么相关的配置和说明如图3-5所示。

图3-5 Linux中dhcp运行环境

模拟环境设置：

在这个LAN中有100个可以用来分配的ip地址，地址段是192.168.1.1-192. 168.1.100，子网掩码是：255.255.255.0，其中ip192.168.1.1-192.168.1.4分配给三层交换机的，192.168.1.7和192.168.1.8分配给固定的pc1、pc2主机的，dhcp和dns的ip看图示还有就是NIS和其他服务也存在(在本实验中没有进行配置了)。

//对服务器进行全局参数的设置和地址池的建立

ddns-update-style interim;//定义所支持的动态更新类型 allow/ignore client-updates;//允许/忽略客户机更新DNS记录 subnet 192.168.1.0 netmask 255.255.255.0{ //定义作用域指定为网络192.168.1.0

range 192.168.1.9 192.168.1.100//设置地址池； range 192.168.1.110 192.168..1.120//可以定义多个地址池 //接下来的选项就是客户机的ip选项，对其做相关的定义 --- default gateway

option routers 192.168.1.254//为dhcp客户设置网关； option subnet-mask255.255.255.0;//为dhcp客户设置子网掩码；

13

中国石油大学胜利学院本科毕业设计（论文）

option nis-domain\"test.com\";//为dhcp客户设置nis域； option domain-name\"test.cn\";//为dhcp客户设置dns域；

option domain-name-servers192.168.1.6，218.76.138.90，218.76.138.66; //为dhcp客户设置dns服务器地址；

Option broadcast-address 192.168.1.255//客户端的广播地址； //接下来就配置租约和其他选项

option time-offset -18000;# Eastern Standard Time//设置与格林威治时间的偏移；

option ntp-servers 210.72.145.44;//为dhcp客户设置ntp服务器地址； option netbios-name-servers 192.168.1.253;//为dhcp客户设置wins服务器地址；

option netbios-node-type 2;//为dhcp客户设置wins节点类型； max-lease-time 43200;//设置最长地址租约(即是12小时)； //设置主机生命；

host pc1 {//定义保留地址给主机pc1

option host-name pc1.test1.com;//为dhcp客户指定主机名； fixed-address 192.168.1.7;//设置为其分配的地址；} host pc2{//定义保留地址给主机pc2

option host-name pc1.test2.com;//为dhcp客户指定主机名；

hardware ethernet;00-50-56-C0-00-01 //指定客户端的接口类型及mac地址； fixed-address 192.168.1.8; //设置为其分配的地址； }}

（4）复杂环境建立Dhcp中继服务器

在比较简单的网络中都是分配给同一网段中的pc机，但是在现实的企业或是公司里，有的时候是需要一台服务器给多个子网提供服务的，这样的话一个规模比较大的物理网络中就有多个ip子网了，要是只是小型的就可以在每个子网中都建立一台dhcp服务器，这样的话有个前提就是要企业或是公司有足够的设备，如果是这样那么从节约的角度出发的话就有些不合理了，一般也不这样做，而是用一台服务器来给多个子网提供服务，这样的话就要使用到DHCP中继代理功能。Dhcp中继代理(dhcrelay)允许

14

中国石油大学胜利学院本科毕业设计（论文）

将无dhcp服务器的子网提供的requset做出响应，在windows环境中虽然也可以实现这样的功能，但是没有在Linux中那样的简便和灵活，在Linux中需要添加其他的额外的设备，而在Linux中只要简单的加上几块网卡并对个网卡设备做一下简单的配置就可以了，这也是为什么在很多的环境中都选择Linux系统的一个方面。

在多个子网中又是这样工作的。假设有个一环境如图3-6所示。

图3-6 中继dhcp服务器的搭建图

在这个网络中有2台服务器，其中有一台是上面类型的dhcp的服务器，而另一台是装有3块网卡的Linux下的dhcrelay服务器，如图3-6所示。

现在对dhcp服务器进行改进，对dhcpd.conf文件进行编辑： Ddns-update-style interim； Ignore client-updates； Shared-network mynetwork{

Option subnet-mask 255.255.255.0； Option domain-name “test.com”；

Option domain-name-servers 192.168.1.6,218.76.138.90； Option broadcast-address 192.168.1.255； Default-lease-time 800； Max-lease-time 172800；

Subnet 192.168.1.0 netmask 255.255.255.0 {

15

中国石油大学胜利学院本科毕业设计（论文）

Range 192.168.1.9 192.168.1.100 Option routers 192.168.1.1

host pc1{//定义保留地址给主机pc1 option host-name pc1.test1.com；为dhcp客户指定主机名；

hardware ethernet 00-50-56-C0-00-08//指定客户端的接口类型及}

host pc2{//定义保留地址给主机pc2 option host-name pc1.test2.com;为dhcp客户指定主机名；

hardware ethernet;00-50-56-C0-00-01//指定客户端的接口类型及mac地址； fixed-address 192.168.1.8;//设置为其分配的地址； }

Subnet 192.168.2.0 netmask 255.255.255.0{ Range 192.168.2.2 192.168.1.100 Option routers 192.168.2.1}

Subnet 192.168.1.0 netmask 255.255.255.0{ Range 192.168.3.2 192.168.3.100 Option routers 192.168.3.1 }}

因为有很多东西3个子网的设置都是一样的，这部分配置就可以放到外面去，也就定义为全局参数，这样就不需要为每个子网都进行配置了。配置好了dhcp后就配置dhcrelay了，其实很简单只要在装有3块网卡的那台计算机上安装dhcp服务，因为在安装的过程中也就把中继代理安装好了。不过有个地方需要注意点，一般情况下dhcrelay监听所有接口的请求，也可以指定接口，通过上面的拓扑可以看出eht0上本在dhcp服务器所在网段就不需要进行中继了，所以可以对其进行指定，方法是：编辑/etc/sysconfig/dhcrelay配置文件。

编辑设置后为：192.168.1.4为dhcp的ip。

保存好配置文件。这样的话单子网和多子网中DHCP的配置基本完成了。如果在公司和企业有dhcp/bootp中继功能的router也可以完成同样的操作。配置完成后关闭、启动和重启检查配置是否成功和其效。

（5）Dhcp客户端的配置

16

中国石油大学胜利学院本科毕业设计（论文）

有2种情况一种是Linux的客户机一种是windows下的客户机。 Linux下的客户机配置

直接编辑文件/etc/sysconfig/network-script/ifcfg-eth0,把”bootproto=none”,修改为”BOOTPROTO=dhcp”即可。

然后重新启动网卡，通过命令ifdown eth0; ifup eth0或者ifconfig eht0 down;ifconfig eht0 up。

Windows下的客户机的配置

在windows下就比较简单了，“网上邻居”—“属性”—“本地连接”--只要将TCP/IP选项中设置为自动获取就可以了。

通过命令ifconfig /all查看当前的配置； 通过命令ifconfig /release释放当前的参数； 通过命令ifconfig /renew获取新的TCP/IP参数。

3. DNS的安装、配置和应用

DNS是指：域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS 服务很好的解决了因为ip难以记忆的好处，该系统用于命名组织到域层次结构中的计算机和网络服务。

（1）DNS的安装

在终端上运行命令查看服务是否配置好，并且版本是9.2.1-16要是没有安装就把第二张光盘放入光驱中，自动加载进行安装。如果没有安装就进行安装。

（2）DNS的配置

配置主文件区域，对named.conf文件进行编辑，并建立相关的区域和记录，相关的记录和区域数据，如图3-7所示。

17

中国石油大学胜利学院本科毕业设计（论文）

图3-7 配置区域文件

辅助文件区域

辅助名称服务器也可以用来想客户端提供域名的解析作用，但它和主名称服务器还是有些区别，它的一些记录和文件都是从主服务器中复制过来的，它是一个副本，可以提供冗余的作用，主要的配置和相关设置如图3-8所示。

图3-8 辅助服务器的设置

启动dns服务，配置好了相关的服务后，就可以启动配置进行测试了。

4. Ｗeb的安装、配置和应用

为了使公司宣传企业，树立品牌和形象，建立企业与外界的商务往来和信息交流,公司建立了web服务器，使之能够通过访问公司的网站。

18

中国石油大学胜利学院本科毕业设计（论文）

（1）Web组件的安装

在windows系统下web服务器可以通过iis来进行安装和配置，其实在现在的Internet中用的最多还是Apahce服务器，几乎所有的大型网站所提供的www服务都是基于Apache的，下面就其在Linux中的安装和配置进行说明。并且在现在大多数的Linux都捆绑了Apache,red hat linux也不列外。

运行rpm –q httd,查看是否配置。 （2）WWW服务的配置和应用

在安装好的bind中，默认的目录是/var/www/html,为了检测看是否安装成功可以通过http://192.168.1.245(本计算机的IP)访问下。

Apache的主配置文件是httpd.conf,主要格式是有3部分组成，全局环境(Section 1:Global Environment)、主服务器配置文件和虚拟主机。主要的配置也就是对其配置文件进行编辑,运行vi /etc/httpd/conf/httpd.conf.

DocumentRoot “/home/www” //设置主目录的路径为/home/www DirectoryIndex index.html default.html //设置默认文档 Listen 80

ErrorLog logs/error_log //设置错误日志存放位置 CustomLog logs/access_log //设置访问日志存放的位置 ServerAdmin hulihua87@163.com //设置管理员Email地址 ServerName 192.168.1.245 //设置服务器主机名称

AddDefaultCharset GB2312 //设置默认字符集，防止访问出现乱码 Alias /icons/ “/var/www/icons(manual)”//自带的2个虚拟目录 和设置目录的权限 （3）虚拟目录

使用虚拟目录，也叫虚拟主机技术，利用这个技术可以把一台真正的主机分成许多“虚拟”的主机，从而实现多用户对硬件资源、网络资源共享，大幅度的降低了用户的建站成本。

要使用虚拟目录技术，就要创建虚拟目录所要分配的目录，并且指定它文件夹的权限，增加站点的安全性。

在虚拟技术中有多多种实现的方法，有基于ip的和基于域名的，基于ip的就要

19

中国石油大学胜利学院本科毕业设计（论文）

为该服务器的网络接口添加多个ip地址。

基于域名的就要为该虚拟目录建立多个映射关系，并且在DNS中建立相关的记录。

5. FTP的安装、配置和应用

为了使公司员工能够共享公司的公共资料以及在网络上的有自己存储空间与实现文件传输和文件共享，公司搭建了FTP服务器。

绝大多数的Linux发行套装中都有Washington University FTP（Wu－Ftpd）在此就使用red hat自带的prue-ftpd，这是一个性能优秀的服务器软件，由于它具有众多强大功能和超大的吞吐量，Internet上的FTP服务器有60％以上采用了它。它的工作过程是客户端在系统上自动分配一个1024-65536上的端口和ftp服务器上的21端口建立一个连接，成功后客户端的一个端口和服务器的20端口建立数据seesion.

安装与运行，以下我们以 RedHat Linux为例。 （1）FTP的安装

首先检查看是否安装好了pure-ftpd。根据服务对象的不同，FTP服务可以分为两类：一类是系统FTP服务器，它只允许系统上的合法用户使用；另一类是匿名FTP服务器，它允许任何人登录到FTP服务器，和服务器连接后，在登录提示中输入Anonymous，即可访问服务器。针对这两种服务，可以通过RedHat的第二张光盘安装pure-ftpd的RPM包。

（2）FTP的基本配置选项

/etc/vsftpd/vsftpd.conf：vsftpd服务器的主配置文件。

/etc/vsftpd.ftpusers：在该文件中列出的用户清单将不能访问FTP服务器。 /etc/vstpd.user_list

：

当

/etc/vsftpd/vsftpd.conf

文

件

中

的

“userlist_enable”和“userlist_deny”的值都为YES时，在该文件中列出的用户不能访问FTP服务器。当/etc/vsftpd/vsftpd.conf文件中的“userlist_enable”的取值为YES而“userlist_deny”的取值为NO时，只有/etc/vstpd.user_list文件中列出的用户才能访问FTP服务器。

登录及对匿名用户的设置

anonymous_enable=YES：设置是否允许匿名用户登录FTP服务器。 local_enable=YES：设置是否允许本地用户登录FTP服务器。 write_enable=YES：全局性设置，设置是否对登录用户开启写权限。

20

中国石油大学胜利学院本科毕业设计（论文）

local_umask=022：设置本地用户的文件生成掩码为022。则对应权限为755（777-022＝755）。

anon_umask=022：设置匿名用户新增文件的umask掩码。

anon_upload_enable=YES：设置是否允许匿名用户上传文件，只有在write_enable的值为yes时，该配置项才有效。

anon_mkdir_write_enable=YES：设置是否允许匿名用户创建目录，只有在write_enable的值为yes时，该配置项才有效。

anon_other_write_enable=NO：若设置为YES，则匿名用户会被允许拥有多于上传和建立目录的权限，还有删除和更名的权限。默认值为NO。

ftp_username=ftp：设置匿名用户的帐户名称，默认值为ftp。

no_anon_password=YES：设置匿名用户登录时是否询问口令。设置为YES，则不询问。

用户登录FTP服务器成功后，服务器可以向登录用户输出预设置的欢迎信息。 ftpd_banner=Welcome to blah FTP service：设置登录FTP服务器时显示的信息。 banner_file=/etc/vsftpd/banner：设置用户登录时，将要显示banner文件中的内容，该设置将覆盖ftpd_banner的设置。

dirmessage_enable=YES：设置进入目录时是否显示目录消息。若设置为YES，则用户进入目录时，将显示该目录中由message_file配置项指定文件（.message）中的内容。

message_file=.message：设置目录消息文件的文件名。如果dirmessage_enable的取值为YES，则用户在进入目录时，会显示该文件的内容。

21

中国石油大学胜利学院本科毕业设计（论文）

第四章 服务器的集群和容错

1. 服务器的容错功能的实现

SFT技术

服务器系统容错这个特性允许你为一个系统提供硬件冗余。容错是更一般的术语。Novell公司用SFT来描述NetWare中的容错特征。SFT允许你安装两个硬盘，并且在辅硬盘上的内容是主硬盘内容的映像(参见“磁盘映像和磁盘双工”)。如果主硬盘发生故障，辅硬盘就 接替他的工作。磁盘控制器也能双份，或双工工作以进一步防止硬件发生故障。SFT Level Ⅲ(可选)通过双工整个服务器而进一步提供了冗余性。如果主服务器停机时，辅服务器无间断地接替他的工作。

SFT需要的工作环境

一台服务节点，运行Redhat Linux 9.0 ，设置两块Intel 千兆网卡，分别为eth0，eth1 ，其中至少一块是服务器网卡，用的是intel82545EM，并将两块网卡分别接到两台交换机上，交换机的 STP 要启动。

具体配置

（1）修改/etc/rc.local insmod ians ifconfig eth0 down ifconfig eth1 down ianscfg -c team1 ianscfg -s

ifconfig vadapt1 192.168.1.1 netmask 255.255.255.0 ifconfig vadapt2 192.168.1.1 netmask 255.255.255.0 （2）修改/etc/sysconfig/network-scripts/ifcfg-eth0 [root@localhost network-scripts]# cat ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=static

22

中国石油大学胜利学院本科毕业设计（论文）

IPADDR=192.168.1.1 NETMASK=255.255.255.0

（3）修改/etc/sysconfig/network-scripts/ifcfg-eth1 [root@localhost network-scripts]# cat ifcfg-eth1 DEVICE=eth1 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.1.1 NETMASK=255.255.255.0

（4）注意 eth0 和 eth1 一定要设置IP地址。 （5）用ianscfg ?s 能查看其状态。

（6）拔掉一根网线，再看状态，可见两块网卡和交换机互为热备。

2. 服务器负载均衡功能的实现

（1）集群(Cluster)和负载均衡的关系

所谓集群是指一组的计算机系统构成的多处理器系统，每台服务器都具有等价的地位，它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送，实现分布式计算机。集群也是指多台计算机共同协作运行一个应用。

负载均衡就是集群功能其中的一种。即把负载压力根据某种算法合理分配到集群中的每一台计算机上，以减轻主服务器的压力，降低对主服务器的硬件和软件要求。负载均衡是指将计算请求分配到集群中以使集群中的计算机的计算负载均衡。

（2）在RedHat Linux上实现ipvs

在RedHat 7.3/8.0已经预先打了ipvs的补丁，在预安装的内核中已将ipvs编译成模块，如果你能在目录/lib/modules/2.4.18-*/kernel/net/ipv4/ipvs中看到ip_vs_*文件，就证明你的系统已经支持ipvs。

得到内核源码和相关的软件包

这里需要强调的是由于RedHat 7.3/8.0的内核源码中已经预先打了ipvs的补丁，所以在安装ipvs时不能使用RedHat光盘中的Kernel Source，而是需要去下载标准的内核。对于RedHat 9.0，虽然内核中没有预编译ipvs，但我还是提倡使用standard kernel，因为所有的ipvs的补丁包都是为标准内核开发的。从kernel ftp site得到

23

中国石油大学胜利学院本科毕业设计（论文）

standard kernel linux-2.4.18.tar.gz（RedHat 7.3/8.0）, linux-2.4.20.tar.gz (RedHat 9.0), 从lvs homepage 得到ipvs-1.0.9.tar.gz、ipvsadm-1.21.tar.gz。(在下面的阐述中都以内核linux-2.4.18.tar.gz为例，对于内核linux-2.4.20.tar.gz做法是完全相同的)。

把ipvs补丁Patch到内核源码中

把linux-2.4.18.tar.gz解压到/usr/src目录，生成了/usr/src/linux目录；如果生成的是/usr/src/linux-2.4.18*目录，则要在/usr/src下建立一个连接 ln –s linux-2.4.18* linux，因为在ipvs-1.0.9中的makefile文件中默认指定Kernel Source的路径为：KERNELSOURCE = /usr/src/linux。

把ipvs-1.0.9.tar.gz解压缩到某个目录，如/usr/src/source，生成了/usr/src/source/ipvs-1.0.9目录；进入/usr/src/source/ipvs-1.0.9，依次执行如下命令：make patchkernel、make installsource,将ipvs的Patch加载到kernel的source中。当然您也可以用linux-2.4.20-ipvs-1.0.9.patch.gz直接patch到内核中，在/usr/src执行 gzip -cd linux-2.4.20-ipvs-1.0.9.patch.gz，然后进入/usr/src/linux执行patch -p1 < ../linux-2.4.20-ipvs-1.0.9.patch。

重新编译支持ipvs的内核

进入/usr/src/linux目录，分别执行： make mrproper 为创建新的内和配置做好准备； make menuconfig 进行配置；

主界面-->Networking options选项-->IP:Virtual Server Configuration选项IP:Virtual Server Configuration中的选项设定都用M；

make dep 检测是否有相关的软件包被使用； make clean 为新内核结构准备源目录树； make bzImage 创建内核引导映像；

make modules、make modules_install 生成模块。 启用新内核

mkinitrd /boot/initrd-2.4.18ipvs.img 2.4.18 创建initrd映像； cp /usr/src/linux/arch/i386/boot/bzImage /boot/vmlinuz-2.4.18ipvs cd /boot

24

中国石油大学胜利学院本科毕业设计（论文）

rm vmlinuz

ln –s vmlinuz-2.4.18ipvs vmlinuz

cp /usr/src/linux/System.map /boot/System.map-2.4.18ipvs cd /boot rm System.map

ln –s System.map-2.4.18ipvs System.map vi /etc/lilo.conf 添加启动选项：

image=/boot/vmlinuz-2.4.18ipvs label=linux-ipvs

initrd=/boot/initrd-2.4.18ipvs.img read-only root=/dev/hda3 lilo

然后重新启动，选择新内核就可支持最新的ipvs 安装ipvs管理工具ipvsadm

当使用了支持ipvs的内核后，就可以安装ipvsadm，ipvsadm是设置ipvs转发方式和调度算法的工具。

tar xzvf ipvsadm-1.21.tar.gz cd ./ipvsadm-1.21 make

make install

安装完成后，执行ipvsadm命令。

25

中国石油大学胜利学院本科毕业设计（论文）

第五章 网络安全规划

1. 物理设备安全

（1）容灾备份

从广义上讲，任何提高系统可用性的努力，都可称之为容灾（或容灾备份）。本地容灾就是主机集群，当某台主机出现故障，不能正常工作时，其他的主机可以替代该主机，继续进行正常的工作。当一处系统因灾难而停止工作时，整个应用系统可以切换到另一处，使得该系统可以继续正常工作。

在建立容灾备份系统时会涉及到多种技术，如：远程镜像技术、基于IP的SAN（存储区域网络）的互连技术、快照技术等。远程镜像技术就是远程同步复制技术，指通过远程镜像软件，将本地数据以完全同步的方式复制到异地。通过镜像把数据备份到远程存储系统中，再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。基于IP的SAN的远程数据容灾备份技术，是将主数据中心SAN中的信息通过现有的TCP/IP网络，远程复制到备援中心SAN中。当备援中心存储的数据量过大时，可利用快照技术将其备份到磁带库或光盘库中。

（2）防盗和防毁

当计算机系统或设备被盗、被毁时，除了设备本身丢失或毁损带来的损失外，更多的损失则是失去了有价值的程序和数据。因此，防盗、防毁是计算机防护的一个重要内容。通常采取的防盗、防毁措施主要有：设置报警器——在机房周围空间放置侵入报警器，侵入报警的形式主要有光电、微波、红外线和超声波；锁定装置——在计算机设备中，特别是在个人计算机中设置锁定装置，以防犯罪盗窃；计算机保险——在计算机系统受到侵犯后，可以得到损失的经济补偿，但是无法补偿失去的程序和数据，为此应设置一定的保险装置。

（3）防止电磁泄漏发射

计算机主机及其附属电子设备如视频显示终端、打印机等在工作时不可避免地会产生电磁波辐射，这些辐射中携带有计算机正在进行处理的数据信息。抑制计算机中信息泄漏的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是

26

中国石油大学胜利学院本科毕业设计（论文）

抑制一切有用信息的外泄。物理抑制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽，以阻止电磁波的外泄传播。抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源。

（4）防电磁干扰

电磁干扰是指当电子设备辐射出的能量超过一定程度时，就会干扰设备本身以及周围的其他电子设备的现象。计算机与各种电子设备和广播、电视、雷达等无线设备及电子仪器等都会发出电磁干扰信号，计算机要在这样复杂的电磁干扰环境中工作，其可靠性、稳定性和安全性将受到严重影响。因此，实际使用中需要了解和考虑计算机的抗电磁干扰问题，即电磁兼容性问题。

（5）媒介安全

包括媒介数据的安全以及媒介本身的安全。对于存放重要数据的计算机设备，要有定期数据备份计划，用磁盘、光盘等介质及时备份数据，妥善存档保管。也要有数据恢复方案，在系统瘫痪或出现严重故障时，能够进行数据恢复。

（6）保密技术

计算机系统的保密主要是指存放于磁盘上的文件、数据库等数据存储的保密措施，应用于这方面的技术主要有访问控制、数据加密等。可用加密系统有数据加/解密卡、数据加密机、数据采编加密系统、抗辐射干扰器、电子印章系统等。

2. 通过局域网进行VPN连接

（1）进入计算机，要想连接到VPN服务器，则需要先安装\"虚拟专用网络\"服务。在控制面板的\"网络\"下，进入\"通讯\"即可找到此项并添加上去。安装完成之后再根据提示重启动计算机。

（2）重新启动之后，在控制面板的\"网络\"中就有了\"Microsoft 虚拟私人网络适配器\"，即说明VPN服务已安装成功。

（3）还需要建立到VPN服务器的连接。首先进入我的电脑的\"拨号网络\"中，双击\"建立新连接\"，然后在\"请键入对方计算机的名称\"中输入连接名，比如\"局域网内的VPN连接\"，在\"选择设备\"选中\"Microsoft VPN Adapter\"项，再按\"下一步\"。

（4）接着出现\"请输入VPN服务器的名称或IP地址\"，在其下的文字框中输入Win2K服务器的名字或IP地址，比如此处为\"192.168.0.1\"，再根据提示操作即可建立成功。

（5）然后在\"拨号网络\"中双击刚才建立好的\"局域网内的VPN连接\"图标，再输入

27

中国石油大学胜利学院本科毕业设计（论文）

相应的用户名(需具有拨入服务器的权限)和密码，再按\"连接\"按钮。

（6）如果成功连接到了VPN服务器，此时就会像普通拨号上网成功一样，在任务栏右下角会出现两个小电脑的图标，双击它即可出现连接状态小窗口，在其中可以看到。

3. 通过Internet进行VPN连接

（1）首先得确保服务器已经连入了Internet，用ipconfg测出其在Internet上合法的IP地址。

（2）在Win98客户机端参照本节上文相关内容建立一个新的VPN连接，在相应处输入服务器在Internet上合法的IP地址，然后将客户机端也拨入Internet，再双击所建立的VPN连接，输入相应用户名和密码，再点\"连接\"按钮。

（3）连接成功之后可以看到，双方的任务栏右侧均会出现两个拨号网络成功运行的图标，其中一个是到Intenet的连接，另一个则是VPN的连接了，如图5-1所示。

图5-1 通过Internet进行VPN连接

（5）当双方建立好了通过Internet的VPN连接后，即相当于又在Internet上建立好了一个双方专用的虚拟通道，而通过此通道，双方可以在网上邻居中进行互访，也就是说相当于又组成了一个局域网络！这个网络是双方专用的，而且具有非常好的保密性能。

（6）VPN建立成功之后，双方便可以通过IP地址或\"网上邻居\"来达到互访的目的，当然也就可以使用对方所共享出来的资源了。

4. 服务器的安全

近些年来，服务器遭受的风险比以前更大了。越来越多的病毒，心怀不轨的黑客都将服务器作为了自己的目标。很明显，服务器的安全问题是不容忽视的。在这里谈

28

中国石油大学胜利学院本科毕业设计（论文）

谈企业维护服务器安全的方法。

（1）将磁盘分区转换成NTFS格式

当服务器上的资料都存在于一个FAT的磁盘分区的时候，即使安装上世界上所有的安全软件也不会对你有多大帮助的。因为这个原因，你需要从基本做起。你需要将服务器上所有包含了敏感资料的磁盘分区都转换成NTFS格式的。

（2）构建安全的工作站

加强工作站的安全能够提高整个网络的安全性，我们建议初步所有工作站上使用Windows2000，Windows2000是一个非常安全的操作系统，如果不这样做，那么至少也要安装Windows NT.然后可以锁定站，让没有安全访问权的人不能获得网络配置信息。

（3）建立严格的用户权限

严格控制用户的权限，让用户在访问整个网络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母，数字和特殊字符组成的密码，并及时更新过时密码。

（4）安装更新软件设备

在服务器上安装入侵检测系统和报警系统，弥补防火墙上的功能，达到监控网络、执行立即的拦截工作以及分析过滤封包的动作，当有窃取者入侵的时候便可以立刻有效终止。要对这些设备软件及时检查更新，达到最好的效果。

5. 防火墙配置

配置过程：

在防火墙NAT策略下面，新增NAT，如图5-2所示。

图5-2 新增企业防火墙策略示意图

源域：untrust； 源地址对象：any； 目的域：trust；

29

中国石油大学胜利学院本科毕业设计（论文）

目的地址对象：any；

在全局安全策略设置里面如图5-3所示。

图5-3 企业防火墙策略配置示意图

可以设置全局下面访问策略，以及域内和域间的访问策略。这里我们设置，内部网络为信任区域（trust），Inteneter为不信任区域（untrust），服务器区域为DMZ区域。动作包括permit允许，拒绝deny，以及其他的特定的服务。这里允许内部访问外部和DMZ区域，而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。

要配置3个以太网接口为up，安全区域分别为eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接的eth0工作模式为路由模式，其余接DMZ和内部的都为NAT模式。如图5-4所示。

图5-4 以太网接口配置示意图

同时为他们配好相应的网络地址，eth0为58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

30

中国石油大学胜利学院本科毕业设计（论文）

第六章 防火墙测试

1. NAT配置测试

通过配置NAT后，即使客户端是内外地址，也是可以正常上网，如图6-1所示。

图6-1 NAT配置测试

2. 安全性测试

通过配置防火墙后，主机无法扫描到内部主机，极大提高了网络的安全性。 用192.168.1.44模拟外部主机地址，192.168.1.43模拟防火墙内一台DMZ里面具有系统漏洞的主机。

在未开启防火墙之前，用x-scan进行扫描，发现漏洞，如图6-2所示。

图6-2 安全性测试

31

中国石油大学胜利学院本科毕业设计（论文）

这样黑客就可以通过漏洞进行主机的攻击。 开启防火墙之后，如图6-3所示。

图6-3 防火墙开启

黑客根本无法发现这台主机的存在，更扫描不了漏洞，极大提高了安全性。

32

中国石油大学胜利学院本科毕业设计（论文）

结 论

此毕业设计的规划定位为Linux下服务器配置但在论文了过程中只对其中的重要部分做了详细的叙述，但是所有的配置和操作都是目前Internet网中很实用的东西，特别的在比较复杂的网络中占很重要的地位。

本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。

33

中国石油大学胜利学院本科毕业设计（论文）

参考文献

[1] 林天峰.Linux服务器架设指南[M].北京:清华大学出版社，2010. [2] 张勤.Linux服务器配置实录[M].北京:人民邮电出版社，2010. [3] 张保通.网络路由交换与远程访问[M].北京:清华大学出版社，2009. [4] Sandra K.Linux服务器性能调整[M].北京:清华大学出版社，2009.

[5] 黄骁.Windows Server 2008服务器配置与管理[M].山东:海洋出版社，2009. [6] Windows Server 2003服务器架设详解[M].北京:人民邮电出版社，2008. [7] 王达.网管员必读—服务器与数据存储[M].北京:电子工业，2007. [8] 扬卫东.网络系统集成与工程设计[M].北京:人民邮电出版社，2007. [9] 徐超汗.计算机网络安全实用技术[M].北京:电子工业出版社，2008. [10] 万博技术部.网络系统集成行业使用方案[M].山东:海洋出版社，2007. [11] 郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社，2009. [12] 沈伟峰.基于linux的防火墙的构建[J].北京:微型电脑应用，2009. [13] 何海宾.基于linux防火墙技术[J].北京:电子科技大学学报，2007.

34

中国石油大学胜利学院本科毕业设计（论文）

致 谢

在本次毕业设计中，我衷心感谢我的指导老师——贾志强老师从他身上学到了很多东西。使我得到很大的提高，我还要感谢在这两年来对我有所教导的老师和对我帮助过的同学，他们孜孜不倦的教诲不但让我学到了很多知识，还让我学会做人的道理。相信这都会对自己以后的学习工作有很大的帮助。是他们给与我无私帮助和悉心的教导，使我的毕业设计得以顺利地按时完成。

35