中小型企业网络构建计算机网络课程设计.doc

1、 目 录第1章 中小型企业网络构建31.1 中小企业背景31.2 中小企业网络需求31.3 网络拓扑结构设计41.4 组网方案设计61.4.1基本配置方案61.4.2信息化企业内网建设81.4.3办公自动化121.5 具体参数设置131.6 网络设计小结15第2章 网络操作系统设计152.1 Windows server NT 简介152.2 Windows server NT 安装162.3 Windows server 2003 安全原理172.4 Windows server 2003 安全策略实施182.5 DHCP的安装与配置192.6 IIS的安装与配置232.7 网络操作系统小结

2、29第3章 数据库系统安装与设置303.1 SQL servers数据库简介303.2 SQL Server2005数据库的安装303.3 SQL server 2005 数据库系统的设置333.4 数据库设置小结38第4章 设计心得39第1章 中小型企业网络构建1.1 中小企业背景 中小企业通常是指规模在500人以下的企业，如果进一步细分，又可分为100人以下的小型企业、100250人的中小型企业，以及250人以上的中型企业。从广义的角度，又可以将同等规模的政府、科研及教育等单位也作为中小企业来看待。为了加快某企业的信息化建设，在充分利用现有资源、不需要很大投资的基础上，构建适合自身情况、满

3、足实际需求的网络系统是非常必要的，也是切实可行的。企业拟将网络建设成能够支撑办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通信、信息发布及查询等内部业务的，同时还能支撑供应链管理的网络基础设施，为了确保关键系统的稳定、安全运行，要求本企业的网络具有如下功能：（1）采用先进的网络通信技术完成企业内网的建设，实现公司的信息化；（2）在整个企业内实现所有部门的办公自动化，提高工作效率和管理服务水平；（3）在整个企业内实现资源共享，实施新闻发布；（4）在整个企业内实现财务电算化；（5）在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；1.2 中小企业网络需求根据中小企业的规模

4、、网络系统的复杂程度、网络应用的程度，用户对于网络的需求也各不相同，从简单的文件共享、办公自动化，到复杂的电子商务、ERP等等。中小企业网络对性能的要求因应用不同而千差万别，应根据实际需求进行网络功能选型。中小企业网络通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大。许多中小企业网络技术人员较少，而对网络的依赖性却很高，因此需要网络尽可能简单、可靠、易用，降低网络的使用和维护成本显得尤为重要。网络需求：（1）在接入层采用二层交换机，并且要采取一定方式分隔广播域；（2）核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换

5、机，由三层交换机实现VLAN之间的路由；（3）2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽；（4）接入交换机的access端口上实现对允许连接数量的控制，以提高网络的安全性；（5）为了提高网络的可靠性，整个网络中存在大量环路，要避免环路可能造成的广播风暴；（6）三层交换机配置路由接口，实现全网互通；（7）企业网由静态路由连接到Internet。1.3 网络拓扑结构设计 组建的企业网络将采用分层结构模式。分层格局是当今网络设计的基本原则，将通信任务划分为若干部分，每部分完成各自特殊的子任务，并通过明确的途径与其他部分相互作用。而且分层结构中通信各部分的设计和测试相对简单，因

6、为各部分不涉及整个体系结构。网络体系结构的优劣将直接影响总线、接口和网络的性能，而网络体系结构的关键要素恰恰就是协议和拓扑。图1是组网过程中的分层网络体系结构的设计。图1 网络分层结构 根据图1可知组网采用分层结构模式，各个网络层有其明确的定义和功能。所以企业网络的组建采用的拓扑结构为树形结构，网络中除最低层节点及其连线外，任一节点或连线的故障均影响其所在支路网络的正常工作。所以在某些网络中采用冗余网络结构，如上图1所示在核心交换机1和核心交换机2之间设计了冗余网络，即使其中一个设备故障也不会使整个网络瘫痪。 使用层次化设计具有以下优点： 1.使用层次化网络审计方法可以设计一中模块化的拓扑结构

7、，限制路由器的数量，从而可以减少路由器之间的通信和大量的路由公告。 2.使用层次化设计可以帮助降低网络成本。可以为层次化结构中的每层购买适当的网络网络互联设备，从而避免为每层中不必要的特性花费过多的资金，并且层次化设计模型的模块化特性允许在层次结构的每一层内进行精确的容量规划，从而减少带宽浪费。网络管理职责和网络管理系统可以分布在模块化网络结构的不同层次上，从而控制管理成本。 3.模块化可以使每个设计元素简化并却易于理解，同时降低网络设计费用，降低网络管理、运维人员的培训费等。由于针对每一层都清楚定义了功能特性，使网络的测试也变得非常容易实现。网络技术人员能很容易地识别出网络中层与层之间的交界

8、点，便于网络的故障隔离，方便网络管理和维护。 4.层次化设计使得网络的改变也更容易。当网络中的一个网元需要改变时，升级的成本限制在整个网络的一个很小子集中。再一个大型平面或网状网络体系结构中，由于网络连接复杂，更换一台设备可能会影响网络系统的许多部分。 5.层次化网络设计便于实现的可扩展性，模块化设计能够产生在网络扩展时可复制的设计元素。因为某卡uizhongde每个实例都是一致的，所以很容易规划和实施扩展。6.当今网络互联的快速收敛路由选择协议都是针对层次化拓扑结构设计的。开放最短路径优先（OSPF）、边界网关协议（BGP）和增强型内部网关路由选择协议（Enhanced IGRP）等都应用了

9、模块化层次结构来控制路由选择开销和带宽消耗。结合层次化拓扑结构设计的优点，同时也为了满足客户的商业和技术目标，我们采用许多相关组件组成的网络拓扑，使各组件单独处理，并按层次进行设计。其中核心层的高端路由器和交换机用于优化可用性和性能、汇聚层的路由和交换机用于执行策略，接入层通过低端交换机和无线访问节点连接用户。由于中型企业接入点大约2000左右，所以为了节省成本，而且企业网中大部分的用户数据来自对业务应用系统的访问，因此整个网络采用了两层结构，省去汇聚层，仅有接入层跟核心层。企业网络的应用主要分为两部分：一部分是基础网络的应用，它包括内部文件共享、办公自动化系统、邮件和网站服务等；另一部分是企

10、业的业务应用系统。由于业务系统对可靠性有很高的要求，因此，整体网络结构应采用冗余配置，避免单点故障。1.4 组网方案设计1.4.1基本配置方案一、 局域网端局域网需要连接的计算机节点一般都在60台以上，并且各节点之间的距离也较远，一般都会超过100m甚至更远，若此时企业办公环境对网络的性能要求较高。对网络的传输速度也有一定的要求，可以使用光纤介质来连接整个企业冈区的主干网络。局域网可以采用两层结构，即中心交换机层和供各个节点连入的桌面交换机层。中心交换机可以采用一台高档的企业级交换机，提供多个千兆网络端口。各个节点的桌面交换机连接到中心交换机上。 局域网端则是对内接到企业用户的线路，有些路由器

11、本身有局域网端El，可下接交换机；有的网管则会将路由器先接到骨干交换机再向下接到一般的交换机。以上这两种作法均可，后者适合较大的吞吐量的应用情况，一般的企业应用，路由器的局域端I=1是可以随着带宽转发的。因此在硬件配置，这是较为简单的。经验指出要进行一个好的安全网络的配置，IP的管理是十分重要的。IP就是计算机在互联网的地址，因此要能有效管理地址，才能预防攻击或针对有问题的计算机加以管制。对于网管而言，在IP管理方面要注意的事项，主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目。二、分布式办公 分布式办公是指企业在一个较大的范围内具有多处

12、办公地点，适合采用分布式网络连接方式。由于各个办公点间的连接距离通常大于100m所以需要采用同轴电缆或光纤进行布线。分布式网络通常具有网络中心及楼宇接人节点两个层次，如果楼宁规模较大还可能出现第三个层次楼层间接入设备。此外。部分企业对网络连接的可靠性和稳定性要求很高。此时可以采用生成树、端1：3聚合等技术，而中心交换机还可以用双电源冗余的方式来提高安全性。当主链路发生故障时，便可以自动接通备份链路，确保网络正常工作。端I=1聚合则可以将多条链路聚合为一组干路还可以提高网络带宽，更重要的是，端口聚合可以实现负载均衡，从而可大大提高网络的可靠性。三、广域网端 广域网端就是路由器对外接到网络运营商的

13、线路。若是发生掉线或是拥塞，则企业的宽带接入就会中断。因此广域网端在安全的首要思维。就是如何确保线路的稳定，维持企业在各种情况下的运作。大部份中小企业，由于上网人数较少、或是经费有限，因此大多采用单线ADSL。企业对带宽的需要较大，或是对于网络要求较高的，例如服务业或是外贸行业，则可能采用相对费用较高的光纤。根据经验，发现以下情况，较倾向采用多WAN线路的配置：（1）需要大量上下载 申请两条线路：一般情况下两条线路都开放作为用户上网用；保留特定的线路给大量上下载的工作，以确保重要的数据能准时传送。（2）有跨网问题 企业的各个分部与总部建立VPN联机。可采用多WAN路由器解决，即总部同时接人A运

14、营商及B运营商的线路，A运营商线路的外点从A运营商的入口建立VPNB运营商的外点则从B运营商线路建VPN，这样即可解决跨网带宽小或不稳定的情况。（3）需要备援 多WAN线路的另一个优点是提供备援功能。在A运营商线路或机房发生问题时，可以B运营商线路替代。（4）带宽不足 根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小，在这种情况下利用多WAN路由器汇聚多条ADSL线路，不失为即可行又省钱的方法。四、内部建置公开服务器 以前或许只有较大的企业才会设置公开的服务器，让外部的用户存取。但是信息化的普及让中小企业也可能架设不同的公开服务器给外部的用户

15、。例如图文件交换、技术更新信息、报告缴交等都可通过架设公开服务器的方式达成。 企业要提供公开的服务，必须要有一个固定的地址让互联网用户建立在服务器地址栏。一般的方式是使用IP地址或是域名来作为辨别但是这两种方法对于中小企业都较为昂贵，每个月的费用较高。此时也可选择DDNS(动态域名服务)，可允许企业用动态IP即使使用ADSL取得动态IP也可让用户以记忆域名的方式来存取服务器。1.4.2信息化企业内网建设一、地址规划 在编址的过程中以层次化方式分配地址块，以培养良好的扩展性和可用性。由于公司部门较多网络数据通信绝多数是再部门内进行，而且为了管理方便和提高部门内部的信息访问速度，我们用子网掩码把各

16、个单位单独划分成一个子网，并分配网络号，通过IP地址与子网掩码的运算而得出该IP地址是再局域网上，还是再远程网上。如果是在局域网上信息就直接送往集线器或交换机，如果在远程网上信息就被送到路由器，路由器转发到远程网。这样提高了子网内部的数据传输和寻址的效率，而子网之间通信可以通过路由器或3层交换机进行。因此我们采用子网掩码的方式对网段进行划分。在子网划分过程中我们采用层次化方式分配地址块，同时考虑到各部门的PC机使用数量，我们为每个部门划分不同的IP网段，但尽量让规划简单，以便有尽可能多的人能够理解它，即容易实现又方便维护，也再地址规划中不给路由器资源增加很大负担。二、命名模式在网络管理和使用方

17、面具有简短而有意义的名字也是非常重要的，名字在满足客户应用性目标方面起到了非常关键的作用，同样简单而有意义的名字也可以简化网络管理。一个好的命名模型还可以增强网络的性能和可用性。一个好的命名模式应该允许用户通过名字而不是通过地址透明的访问服务。因为网络协议需要通过地址才能工作，因此用户系统应提供名字和地址的映射功能。将名字映射到地址的方法可以是使用某种命名协议的动态方法，可以是静态方法。虽然动态命名协议会引起额外的网络流，但通常还是建议优先采用动态命名方法。对系统进行分布式授权最明显的有点是，没有任何一个部门需要分担分配并维护所有名字的工作压力。当然还包括性能和可扩展性。如果每个名字服务器都只

18、管理一部分名字空间而不是整个名字空间，那么对服务器内存和处理能力的要求就会减少。另外，如果客户机能够访问本地名字服务器而不依赖于中心服务器，那么可以再本地将许多名字解析为地址，这样就不会再互联网络中引起任何流量。本地服务器可以高速缓存远端设备的信息。为了方便地使用名字，命名的原则是名字应该简短、有意义、无歧义并且清晰的，并且用户应该能很容易的根据名字识别出对应的设备。在命名中尽量避免特殊字符，包括连字符、下划线、星号等，也要尽量不区分大小写和空格以免引起用户的困惑，名字也尽量为8个字符或者小于8个字符。如果网络中的一个设备有多个接口和多个地址，应该将所有的地址都映射到同一个相同的名字上去，这样

19、网络管理软件也就不会把该多端口设备当成是多台设备。三、网络技术与协议的运用（1）NAT技术的应用 企业网络的组建中，在边界路由器上运用NAT技术，如图2由于中小企PC40-100台，而为了节省成本公司只申请了一个合法的公共IP，所以在此次组网中采用复用NAT技术。在边界路由器上配置内外接口，进行地址转换。 图2 企业网络中复用NAT（2） ADSL接入配置PPPoE方式的ADSL连接方法是从ADSL MODEM直接连接以太双绞线电缆到路由器的以太接口上，而PPPoA方式的ADSL连接方法是把ISP，直接连到路由器的ATM模块上，不管是路由器的以太接口或是ATM模块，都不是能够进行拨号的接口（能

20、拨号的有BRI接口、直接连接电话线的接口等），以太接口和ATM接口不能完成ADSL拨号工作，Cisco路由器使用虚拟接口的方式解决这一问题。首先需要在路由器上虚拟一个Dialer接口，对于路由器来说，它视虚拟接口如同实际接口一样，在虚拟的Dialer接口上可以配置ADSL的拨号，然后将实际连接ADSL线路的物理接口和这个虚拟接口绑定，这样就可以使用Cisco路由器完成ADSL拨号了。图3 ADSL配置如图3将在边界路由器上实现ADSL技术，用以实现远程访问，自动获取IP地址，并实现Telnet远程管理。（3） RIP路由协议RIP路由协议属于距离矢量路由协议，具有原理简单、应用方便的特性。所以

21、，虽然它不适合大规模路由网络应用，但是在小规模网络中，应用还是比较普遍。（4） OSPF路由协议首先，组建的网络属于中型企业网络，OSPF路由协议是一个开放式的路由协议，该路由协议可以被大多数的网络设备厂商支持。其次，OSPF路由协议的配置和维护也比较简单，实施方便，维护人员也能够比较容易掌握其原理。另外OSPF路由协议分区域的网络设计，能够最大限度的限制网络故障对整个路由网络的冲击，其能够控制网络故障所影响的范围，尽量保证网络的正常运行，所以在网络中使用OSPF路由协议，并对路由网络划分区域，是比较符合本小组这个网络组建的要求的。图4 企业网络组建中OSPF的应用如图4所示，本小组将在这个网

22、络中的边界路由器、外部路由器、核心交换机和三层交换机中实现对OSPF协议的应用。小组在边界路由器中，小组将OSPF进程号定义为10，将网段190.10.10.254划分到区域0，网段202.10.10.254划分区域1，网段172.19.0.254划分为区域2。在外部路由器中，将OSPF进程号定义为11，将网段202.10.10.254划分区域1。在核心交换机1中，OSPF进程号定义为12，将该交换机中的所有网段划分为区域0。在核心交换机2中，OSPF进程号定义为13，将该交换机中的所有网段划分为区域0。三层交换机中，由于总的交换机并不是很多，没有超过20台，所以将这部分OSPF协议的区域划分

23、都划分为区域0，给予不同交换机OSPF不同的进程号。（5） 访问控制列表 网络的组建中，也将大量运用访问控制列表，由于实际的办公要求，某些部门之间是不能互访的，例如：投资部、财务部、人事部、信息部等，所以要在核心交换机1和核心交换机2中利用访问控制列表限制要求的各个网段之间的互访，即过滤掉某些网段的数据包。（6） VLAN技术 VLAN能够提供全部传统的LAN所能够提供的特性，如可扩展性、安全性（VLAN之间不通过路由器不能互访）、网络的管理等。VLAN之间通过路由器可以互访，二层交换机不能让VLAN互访。VLAN依靠路由提供广播过滤、安全性和数据流量的管理。网络的管理者可以在对网络的物理结构

24、不做或者少做调整的前提下对用户进行组织和优化。VLAN具有以下优点：可以容易地添加、移动网络中的主机，可以容易地改变LAN的配置，还可以简单地控制网络中的数据流量和增进安全性。（7） 干道技术在组建网络时，用到了两个三层交换机做核心交换机，在这两个核心交换机中一共划分了7个VLAN，要实现多个VLAN可以传递数据流量，所以本小组将引入干道技术实现交换机之间的连接。（8） 路由热备份技术目前，在网络中大量应用热备份技术，以提供网络的冗余能力。一般常见的热备份技术主要有：设备模块的热备份、路由的热备份（包括路由器的热备份、多层交换机的热备份、防火墙的热备份等）、服务器的热备份等。 在企业网络组建时

25、主要是在三层交换机1和2中应用路由热备份技术。（9） VPN技术 企业只需要租用本地的数据专线，连接上本地的Internet各地的机构就可以互相传递信息。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，将会成为今后企业网络发展的趋势。采用远程访问的公司提前支付了购买和支持整个远程访问基础结构的全部费用。公司能利用无处不在的Internet，通过单一网络结构，为职员和商业伙伴和提供无缝和安全连接。对于企业基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系。电话公司通过开展拨号VPN服务可以减轻终端阻塞。1.4.3办公自动化 目前国内常用的信息化办公自

26、动化软件有ERP，金蝶等，以财务为核心作业展开的无纸化办公比较盛行。中小型企业也可根据自身实际情况自行开发自己的自动化办公系统。一、公文流转支持WEB方式自定义表单;支持在浏览器上修改Word, Excel文档,实现痕迹保留,数字签名,电子印章等权限管理系统中的所有文档都可以很方便地设定相应的权限实行管理,只有具有相应权限的人才能够查看,使用这些资料,其他人则看不到.这样既方便各种文件在系统内的统一管理又保证安全,可以有效的避免信息泄漏的风险,有效保护核心资料,保护企业利益;也有利于员工责任明确,权限分明,具体事务落实到人,查有所依,杜绝推脱,扯皮现象。二、知识管理全面引入知识管理思想,不仅可

27、以分类整理单位的公共资料显性信息,更可通过工作日志,知识中心等模块挖掘员工掌握的各类技术技巧,隐性知识,更快更深入的积累知识,利于长远发展。三、安全性严格的身份认证与权限控制,未授权人员无法做相应操作;支持SSL,对在网络上传输的信息加密,防止信息被截获泄密;强大的日志功能,记录用户的各种重要操作,记录系统的异常信息.系统还可集成数字证书,进一步确认用户身份。四、先进的开发技术主要采用PHP/JSP技术开发;PHP是业界领先的开发技术,国内外大量的大中型应用系统采用PHP开发,运行在关键部门,服务于关键业务;系统灵活高效,满足频繁访问需求;多处采用缓存技术,提高系统整体性能.Web服务器在遇到

28、访问JSP网页的请求时,首先执行其中的程序片段,然后将执行结果以HTML格式返回给客户.所有程序操作都在服务器端执行,网络上传送给客户端的仅是得到的结果,对客户浏览器的要求最低.。1.5 具体参数设置一、IP地址规划和命名该中小企业网的IP地址规划和命名如下：表1：核心交换机1表2核心交换机2二、网络传输介质设计一个计算机网络，无论采用何种技术，网络规模如何，都必须使网络中各个设备都能够互相连接。为了实现设备间的相互相互连接，就必须选择一种通信线路，把传输媒体结合成一个整体。常见的传输线有同轴电缆、双绞线、光纤、和无线网络。本小组组网中将主要用到的是双绞线，部分地方用到无线连接。选择双绞线是因

29、其已经应用的非常广泛，且成本低、速度高、可靠性高等特点，双绞线分为屏蔽双绞线和非屏蔽双绞线。无线网络是目前非常流行的一种网络传输方式，它利用电磁波或光波来传输信息，不用铺设缆线就可以把网络连接起来。三、交换机交换机分为两个级别，二层交换机和三层交换机，二层交换机用CISCO Catalyst 2960型号，它的传输速率为10/100Mbps,DRAM内存为64MB，FLASH内存为32MB，端口数为26个，非模块化端口结构。三层交换机使用的型号为CISCO WS-C35560V2-24TS-S，包转发率为6.5Mpps，传输速率为10/100Mbps,端口数26个，Flash内存为32MB，交

30、换方式为存储-转发，支持全双工的传输模式，也是非模块化的端口结构。四、路由器在组建网络时，要用到两个路由器如图15，其中一个作为边界路由器，另一个做外部路由器，还要使用一个家庭PC连接用的无线路由器。边界路由器和外部路由器都将使用CISCO 2811型号，局域网端口2个，两个固定的USB1.1端口，传输速率10/100Mbps，最大DRAM760MB，内置防火墙。五 服务器对于服务器的选择我们主要从服务器的功用，稳定性，性价比三个因素来选择。对于中小型企业来说，服务器主要是共享数据，提高核心业务的执行效率。不需要功能强大的服务器，只要满足工作所需即可，所以价格相对较低。综合起来，选择了IBM

31、System x3650 M3服务器，它属于机架式，内存为4GB DDR3,CPU频率为2.13GHz。最大CPU数量2颗。1.6 网络设计小结 随着计算机网络技术的不断发展和日益普及，计算机网络的应用已渗透到社会的各个领域，其功能也得到不断发展，归纳起来，计算机网络的功能主要有以下几个方面，数据通信，资源共享，提高计算机的可靠性和可用性，促进分布式计算与协同工作。目前局域网技术发展非常迅速，计算机网络已经渗透到社会生活的方方面面，成为现代信息社会中人与人之间传递信息的一个重要工具。企业建设局域网可以实现企业内部资源共享，降低企业的经营成本，提高企业的运作效率。建立企业局域网，可实现企业内部的

32、文件与资源共享，可以加速内部信息传播速度，实现硬件设备如打印机共享，可以使用企业的硬件设备获得更加充分的利用，有助于降低企业经营成本。 近年来随着企业信息化建设的深入，企业的运作越来越融入到计算机网络中，企业的沟通、应用、财务、决策和会议等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便”高品质企业网络，已成为企业信息化建设成功的关键基石。 因此设计的总体目标，一是使系统互通互连，最大限度地实现信息资源共享；二是电子信息的传递取代纸面文件、材料的传送，逐渐实现“无纸办公”，改变传统的工作方式，进一步提高工作效率；三是利用各种业务信息的综合分析，为各级领导提供决策支持，更好地组织

33、生产和经营。第2章 网络操作系统设计 2.1 Windows server NT 简介网络操作系统主要是指运行在各种服务器上的操作系统，目前主要有UNIX、Linux、Windows系统及Netware系统等。各种操作系统都有其各自的优势。而在组建网络时，选择的网络操作系统为Windows Server 2003,因为它是一种简单易用的操作系统，适合中小企业。 Windows NT(New Technology)是Microsoft在1993年推出的面向工作站、网络服务器和大型计算机的网络操作系统，也可做PC操作系统。它与通信服务紧密集成，基于OS/2 NT基础编制。OS/2由微软和IBM联合

34、研制，分为微软的Microsoft OS/2 NT与IBM的IBM OS/2。协作后来不欢而散，IBM继续向市场提供先前的OS/2版本，微软则把自己的OS/2 NT的名称改为Windows NT，即第一代的Windows NT 3.1。微软公司从数字设备公司（Digital Equipment Corporation）雇佣了一批人员来开发这个新系统。“NT”所指的便是“新技术”（New Technology）之意。“NT”除了可以解释为“新技术”之外，有另一个版本指“NT”是来自微软在i860上开发NT时所使用的模拟器“N10”（N-Ten）。 Windows NT Server专为服务器进行

35、了优化，配置要求较高。最多支持32个处理器。可以充当网络服务器，可无限制连入客户机，完成繁重的网络任务。最多可支持多达256个远程客户存取。支持Macintosh文件及打印，具备磁盘容错功能。 Windows NT是Microsoft推出的面向工作站、网络服务器和大型计算机的网络操作系统，也可做PC操作系统。它与通信服务紧密集成，提供文件和打印服务，能运行客户机服务器应用程序，内置了InternetIntranet功能，已逐渐成为企业组网的标准平台。（7）配置DHCP服务器。 2.2 Windows server NT 安装一、软盘安装或无软盘安装 Windows NT除安装用的CDROM盘外

36、，还包含三张软盘，利用这些软盘安装Windows NT，不需要在硬盘驱动器上有操作系统。这种方法对于只安装Windows NT的裸机最为适用，不需要安装DOS或Windows操作系统；但如果此台机器还要安装另外的操作系统，如Windows，就不再适用。 使用方法：用软盘启动计算机后，按提示进行即可。若三张软盘损坏了，还可用Windows NT的CDROM安装盘，重新生成它们，方法是：Winnt/ox。 另外，为加快安装速度，可以把Windows NT的安装文件从CDROM拷贝到硬盘的某一个目录，采取从硬盘安装的方式，如：D:i386Winnt/b。二、网络安装 为网络中的多台计算机安装Wind

37、ows NT，采用网络安装可能是最好的办法。依据笔者的经验，这也是最快的安装方法。平时，采用CDROM或是把文件拷到硬盘上进行安装，一般要用40分钟到一个小时，采用网络安装方法，用20分钟即可完成（10M网络）。使用这种方法要注意的是：（1）计算机必须事先连接到网络，在某台计算机上有Windows NT的安装文件，并且将包含这些文件的目录共享。（2）如果网络中已存在Windows NT服务器，要安装Windows NT的计算机不一定必须连接到网络，可以在服务器上产生网络安装软盘，利用软盘连接到网络后再进行安装。（3）若已连接到网络或选择使用简单的Windows NT安装，或者不希望把文件服务器

38、的硬盘空间用于安装文件，也可以选择从网络中的共享光驱中安装。三、无人值守安装 为大批计算机安装Windows NT，虽然可用网络安装来加快安装速度，但是，你还是不得不等待响应安装程序的各种提示。无人值守的安装方法，使得在安装Windows NT时，不需要响应来自安装程序的任何提示，就可完成安装。 使用Windows NT安装CDROM上的Unattend.txt文件，允许你用简单的配置安装Windows NT，使用方法是，在Winnt后加上/u的参数，如E：i386Winnt/b/u：c：Unattend.txt。若希望对更加复杂的Windows NT安装制作安装文件，需要使用Computer

39、 Profile Setup或Setup Manager实用程序。本文介绍常用的Setup Manager。可在Windows NT安装CDROM中的SupportDeptoolsI386子目录中找到该程序。执行后，可配置无人值守的安装文件的General Setup、Networking Setup和Advance Setup,利用它们可生成需要的复杂Windows NT安装无人值守文件。 除非对安装过程有很深入的了解，并需要进行非通用式安装，否则不要更改这些设置。但如果你要使用NTFS分区，可复选此项，可使Windows NT的安装分区转换为NTFS分区。以上是Windows NT的不同安

40、装方法，选择合适的安装方法，可节省大量的时间和工作量，起到事半功倍的效果。 2.3 Windows server 2003 安全原理Windows Server 2003服务器系统由于其出色的性能和良好的稳定性，在服务器操作系统中受到了广泛的使用。然而由于缺乏对其安全性的研究，windows server 2003的巨大优势受到了严重抑制。在微软以往的服务器操作系统中，如Windows NT Server或是Windows 2000 Server，这些产品的缺省配置并不是最安全的。虽然微软提供了很多安全机制，但是依然需要你来实现它们。然而当微软发布Windows Server 2003的时候，

41、作为一款真正的面向对象的操作系统, 其出色的系统性能和稳定性能业界得到了普遍的肯定。而且更为重要的是它改变了微软以往的哲学体系和理念。新的理念是，服务器缺省就应该是安全的。 2.4 Windows server 2003 安全策略实施一、 安全漏洞问题 Windows Server 2003 的安全漏洞主要来自两个方面。一方面由于系统提供极其丰富的网络服务功能，这些服务之间，尤其是服务交叉点上常常会和Windows 2000 一样存在安全漏洞，成为攻击的突破口。例如Microsoft的RPC在通过基于TCP/IP协议处理信息交换时总存在多个远程堆缓冲区溢出问题，远程攻击者可以利用这些漏洞在系统

42、上执行任意指令，很有可能使网络服务器遭到致命的打击。另一方面来自应用程序所提供的服务。许多基于Windows 环境下的服务程序比如FTP 、Serv-U、FTPServer、E-mail、SQLServer 等, 其本身的安全性远没有操作系统的安全性高，因此更容易成为网络攻击主要对象。由于应用程序的增多，隐患也越来越大。二、 系统服务的安全问题 Windows在设计之初，重视操作的便利性和功能的扩展性的策略使其在市场上迅速占据了巨大优势。然而这样的设计也埋下了安全的隐患。许多系统正常运作的关键文件都可以由其它应用程序来修改。这种开放性特征经常被攻击者利用，同时也使病毒的传播变得非常容易，对Wi

43、ndows操作系统的安全构成重大威胁。另外，由于多数Windows服务的运行安全等级是比管理员权力还高的LocalSystem,一旦某个服务的安全问题遭到攻击者利用，便可以利用LocalSystem提升权利，通过记录在SAM（安全账户管理器）数据库中的用户账号信息，破解出所有Windows 用户的密码。从而进行破坏，导致整个系统崩溃等严重问题。例如：DDE 服务问题。该服务能够在用户登录之前由系统运行，这也是木马喜欢的运行方式。尽管Windows Server2003中，这样的一些服务已被禁用，但是仍然有一些不必要危险服务（如Remote Registry 服务、SNMP 服务等）在运行，这些

44、服务常常被攻击者利用。三、 基于密码的身份验证的安全问题 身份验证是系统决定一个使用者是否有权限登陆本系统并使用特定资源的过程。它需要用户提交的用户名和相应密码。密码是抵御系统非法访问的第一道防线，它保证了网络安全中最基本的安全。尽管人们也提出过利用生物技术和智能卡技术来进行身份验证，但生物技术涉及个人隐私，而智能卡仍然需要一个Pin口令以防止遗失。因此基于密码的身份验证在未来一段时间内将继续作为身份验证的一项重要手段使用。但是由于安全的密码具有很强的随机性，并经常更换。这样的密码不利于用户记忆，在实际生活中用户倾向于写下文本密码或者在多个系统中使用相同的密码，这都给系统安全造成隐患。攻击者可

45、以使用软件破戒的方式进行非法获取。密码破解软件一般使用下面三种方法之一：巧妙猜测、词典攻击和自动尝试字符的各种可能的组合。只要有足够时间，这种自动方法可以破解任何密码。四、默认访问控制列表的安全问题 访问控制是实现用户、组和计算机访问网络上的对象的安全机制。权限是访问控制的重要概念, 权限定义了授予用户或组对某个对象或对象属性的访问类型。在默认的情况下大多数的文件夹对Everyone 组是完全控制的( Full Control) 如果系统的管理员不进行修改, 则系统的安全性将非常薄弱共享权限的使用在方便管理的同时, 也容易导致安全问题尤其是系统的默认共享( 比如IPC$、C$、ADMIN$等)

46、 常常被用来作为入侵通道利用。总之, 影响Windows 2003 安全的因素还有很多, 这些都需要我们采取相应措施来保证Windows 2003 服务器系统安全的。五、 网络传输过程中的安全问题Internet 从建立开始就缺乏总体的安全构想和设计，而TCP/IP 协议却是在可信的环境下专门为网络互联设计的，缺乏安全措施的考虑。目前大多数IP 通信都是以明文格式出现的，容易被攻击者窃听。如果没有采取适当的安全措施，网络和数据就可能会遭到某种攻击。有些攻击是被动的，因为它们只是监视敏感信息（比如用户登录账号和密码等）。而另一些攻击却是主动的，它们旨在通过毁坏数据或网络本身来更改信息。 2.5

47、DHCP的安装与配置一、安装DHCP服务 （1）打开“网络和拨号连接”，或者打开控制面板（“开始”“设置”“控制面板”“添加/删除程序”“添加/删除Windows 组件”“网络服务”）。如图5所示：图5 （2）单击“添加网络组件”，选中“网络服务”，打开“详细信息”。如图6所示：图6 （3）选中“动态主机配置协议（DHCP）”，单击“确定”，单击“下一步”。如图7所示：图7 （4）开始安装，安装完成后在“开始”-“程序”-“管理工具”下多了一个“DHCP”选项。二、DHCP配置 （1）打开DHCP管理器。选“开始菜单程序管理工具DHCP”，默认的，里面已经有了你的服务器的FQDN（ Fully Qualified Domain Name，完全合格域名），比如“”。如图8所示：图8（2）如果列表中还没有任何服务器，则需添加DHCP服务器。选“DHCP右键添加服务器”，选“此服务器”，再按“浏览”选择（或直接输入）服务器名“wy”（即你的服务器的名字）。（3）打开作用域的设置窗口。先选中FQDN名字，再按“右键新建作用域”。（4）设置作用域名。此地的“名称”项只是作提示用，可填任意内容。如图9所示：图9 （5）设置可分配的IP地址范围：比