网络安全员培训-4服务器系统安全配置

第四章服务器系统安全配置Windows服务器安全配置DNSserver配置以及管理Webserver配置以及管理ftpserver配置以及管理E-mailserver配置以及管理“Root”edugovcomorgmilcnCiscoMicrosoftIBMFTPNEWS域名空间结构根域顶级域组织域国家或地区域反向域二级域主机名FQDN:(FullyQualifiedDomainName)完全合格域名顶级域说明gov政府部门com商业部门edu教育部门org民间团体组织net网络服务机构mil军事部门顶级域国别/地区cn中国jp日本uk英国au澳大利亚hk中国香港将IP地址映射到名称“in-addr.arpa”二级域下可以扩展主机和子域主机名.DNS后缀=FQDNDNS服务的作用将域名解析为IP地址客户机向DNS服务器发送域名查询请求DNS服务器告知客户机Web服务器的IP地址客户机与Web服务器通信DNS服务器客户机Web服务器1312DNS查询过程DNS客户机本地域名服务器根DNS服务器cnCom.cnalading.com.cn递归查询迭代查询Web服务器查询类型从查询方式上分递归查询要么做出查询成功响应，要么作出查询失败的响应迭代查询以最佳结果作答从查询内容上分正向查询由域名查找IP地址反向查询由IP地址查找域名配置DNS服务器需求条件安装DNS服务创建区域创建正向查找区域创建反向查找区域主要资源记录使用转发器DNS必要条件有固定的IP地址安装并启动DNS服务下列条件之一有区域文件配置转发器配置根提示alading.com.cn区域文件根DNS服务器其他DNS服务器DNS服务器安装DNS服务器DNS服务器的类型（角色）主要区域特定DNS区域的官方服务器，具有唯一性负责维护该区域内所有域名-IP地址的映射记录辅助区域存放区域内所有主机的数据副本其维护的域名-IP地址记录来源于主域名服务器存根区域区域副本，只包含权威系统所需的资源记录起始授权机构（SOA）,名称服务器（NS）,粘连A记录组成新建正向查找区域主要资源记录资源记录说明SOA(起始授权机构)定义了该区域中的哪个名称服务器是权威名称服务器NS(名称服务器)表示该区域的权威服务器和SOA中指定的该区域的主服务器和辅助服务器A(主机)列出了区域中FQDN到IP地址的映射PTR(指针)PTR记录把IP地址映射到FQDNMX邮件交换器记录，向指定邮件交换主机提供消息路由（在后续课程使用）SRV(服务位置)列出了哪些服务器正在提供特定的服务区域文件中包含资源记录新建资源记录新建主机记录新建别名如果可以在区域alading.net中新建别名记录转发器将本地DNS服务器无法解析的查询转发给网络上的其他DNS服务器，该DNS服务器即被指定为转发器转发给转发器的查询为递归查询配置转发器假设本地DNS服务器的IP地址为192.168.1.2转发器的IP地址为192.168.1.11则在本地DNS服务器上配置配置静态DNS服务器地址动态获得DNS服务器地址在DHCP服务器上，配置作用域选项域名解析顺序解析域名顺序本机DNS缓存本机Hosts文件DNS服务器本机DNS缓存Ipconfig/displaydnsIpconfig/flushdns本机Hosts文件Hosts文件%SystemRoot%\system32\drivers\etcHosts文件格式域名解析排错2-1客户机设置检查客户机的首选DNS服务器是否配置配置的DNS服务器的IP地址是否正确DNS服务器上的资源记录检查DNS服务器上有没有正确的区域名及要查找的主机记录使用nslookupDNS服务是否启动服务，即万维网服务在网上发布的，并可以通过浏览器观看的图形化页面的服务常用的服务软件在Windows系统中是IISIIS概述组件名称功能万维网（）服务使用HTTP协议向客户提供信息浏览服务文件传输协议（FTP）服务使用FTP协议向客户提供上传和下载文件的服务SMTPService简单邮件传输协议服务，支持电子邮件的传输NNTP服务网络新闻传输协议服务Internet信息服务管理器IIS的管理界面的Microsoft管理控制台管理单元Internet打印提供基于Web的打印机管理，并能够通过HTTP打印到共享打印机IIS主要提供、FTP、SMTP、NNTP等服务安装IIS6.0配置默认网站右击【默认网站】|【属性】IP地址和默认端口给被管理的网站起个好记的名称连接超时和保持HTTP连接阶段练习背景alading公司需要在办公网络内部配置一个Web网站员工访问Web网站的方式为已知服务器的IP为192.168.1.2，网页的本地路径是c:\webroot，首页文件名为default.htm目标安装服务配置默认网站使用浏览器访问Web网站虚拟目录概念物理目录：实际存放在主目录的子文件夹虚拟目录：能将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中使用虚拟目录的优点将数据分散保存到不同的磁盘或者计算机上，便于分别开发与维护当数据移动到其他物理位置时，不会影响到Web网站的逻辑结构创建虚拟目录创建完成的虚拟目录配置虚拟目录右击【products】|【属性】虚拟目录的首页访问虚拟目录在浏览器地址栏输入“地址/虚拟目录名”通过在网页中的链接访问Web网站什么是FTP文件传输协议（FileTransferProtocol）利用FTP可以给用户提供上传和下载文件的服务采用客户机/服务器方式FTP服务器客户机建立连接传输请求给予响应安装FTP服务配置默认FTP站点配置的内容有FTP站点安全帐户消息主目录目录安全性FTP站点该站点的说明文字决定了能同时连接到服务器的客户端连接的数量可以使用日志文件记录用户访问FTP站点的操作安全帐户主目录下载权限上传权限记录用户操作目录安全性FTP访问方式1.WEB浏览器@ip2.FTP软件3.命令行ftpip什么是邮件系统一种能够书写、发送、存储和接收信件的电子通信系统邮件系统一般分为2个组成部分邮件用户代理（MUA）邮件传输代理（MTA）发信人收信人乙地邮局甲地邮局MUAMUAMTAMTA邮件系统概述常见的邮件协议协议中文名称协议内容RFC822RFC822邮件格式RFC822定义了用于电子邮件报文的格式SMTP简单邮件传输协议SMTP是Internet上传输电子邮件的标准协议，用于提交和传输电子邮件POP3邮局协议第3版POP3是一种离线邮件协议，采用客户端/服务器工作模式IMAP4网际消息访问协议第4版IMAP4允许用户使用多台计算机上的邮件客户端同时访问邮件服务器上的邮箱MIME多用途的网际邮件扩展MIME增强了在RFC822中定义的电子邮件报文的交换能力，允许传输二进制数据常见的邮件系统邮件服务器产品生产厂商应用范围应用实例Exchange企业SendmailQmailPostfixISPLotusNotes政府机关规划邮件系统2-1规划活动目录决定如何扩展活动目录架构信息确定Exchange组织的管理员确定各个部门公用文件夹的管理权限规划部署途径全新安装升级安装Exchange2003安装安装要求准备工作安装Exchange2003更新安全补丁Exchange2003安装要求硬件要求IntelX86133MHz以上CPU最低128MB内存500MB以上可用磁盘空间操作系统要求Windows2000SP3orSP4Windows2003文件系统要求NTFS使用Exchange部署工具3-1启动Exchange部署工具通过Exchange部署工具完成Exchange安装使用Exchange部署工具3-2选择Exchange安装过程选择“部署第一台Exchange2003服务器”使用Exchange部署工具3-3选择安装环境选择安装全新的Exchange2003安装Exchange操作系统要求确认安装并启用Windows服务安装Windows支持工具运行DCDiag运行NETDiag运行ForestPrep（林准备）运行DomainPrep（域准备）运行Exchange2003安装使用Exchange客户端访问邮件服务Outlook（OL）OutlookExpress（OE）OutlookWebAccess（OWA）E-mail安全1、E-mail漏洞2、匿名转发3、E-mail欺骗4、垃圾邮件E-mail安全防范1、服务器安全防范•及时更新操作系统•安全杀毒软件和邮件网关•设立安全Checklist•IP地址限制2、客户端安全防范•查•看•堵•加密WEB安全防范1、安全隐患•跨站脚本漏洞•注入漏洞•恶意文件•直接对象引用•。。。。。。WEB安全防范1.操作系统漏洞2.HTTP协议安全漏洞（明文）3.WEB服务本身安全性IIS安全机制1.专机专用2.控制安全匿名用户一般用户3.登录认证安全匿名访问基本验证WindowsNT请求/响应方式4.访问权限控制WEB主目录权限NTFS权限5.IP地址限制安全性总结当客户机访问网站时，服务器验证步骤客户机IP地址是否授权用户帐户和密码是否正确主目录是否设置了“读取”权限网站文件的NTFS权限只有以上检查都通过，才可以访问网站内容