[计算机硬件及网络]XXX企业局域网网络服务器的搭建.doc

学院毕业设计（论文）题 目：公司网络服务器的构建系 别：信息工程系专 业：计算机网络技术班 级：计网学生姓名：指导教师：完成日期：20年月日山东职业学院毕业设计（论文）任务书班 级计网XX学生姓名XXX指导教师XXX设计题目XXX公司网络服务器的搭建主要研究内容1. 企业需求分析2. 网络规划与拓扑、设备的选型3. 网络服务器的构建和优化4. 系统及数据的安全主要技术指标或研究目标1.网络操作系统的安装2. DHCP、DNS、Web、Mail、NAT、VPN等服务的规划与实现3. 电子邮件服务器的加密或数字签名4. Intranet与Internet互联5. 系统状态的备份与还原基本要求1. 调查企业现状，搜集用户需求，确定需求分析。2. 全面深入地设计XXX公司的拓扑结构，并给出网络中IP地址规划。4. 网络中必须搭建DHCP、DNS、Web、电子邮件等网络服务器。5. 网络服务器的操作系统可以自由选择。6. 服务器的优化管理。7. 全面规划XXX公司网络接入，明确是否使用NAT地址转换。8. 构建VPN服务器，使Internet中的用户能够访问局域网中的资源。9. 全面规划XXX公司网络安全措施，如各种网络服务器的安全、数据安全、备份与还原方案、防火墙技术等措施。10.构建的局域网应易于扩展和维护，具备对系统的保护及还原措施，考虑负载均衡和容错，具有一定的可靠性和安全性。主要参考资料及文献1 Windows Server 2003配置管理项目实训教程2 计算机网络构建技术3 基于虚拟专用网(VPN)的局域网的远程访问4 局域网内部邮件服务器的构建5 企业办公内部局域网规划与组建6 浅谈企业局域网的构建7 中小规模企业局域网组建方案的设计与实施摘 要作为一个生产类型的中小型企业，XXX公司设有财务部、行政人事部、物流采购及供应部、生产部、市场销售部及客服部等六个部门。本文主要写了该公司内部的网络服务器的搭建，以及如何保证该公司安全、有效、合理地工作。我给XXX公司设置了两台网络服务器，分别为服务器A和服务器B，两台服务器均是以Windows Server 2003为操作系统。两台服务器承担了邮件服务、路由服务、DHCP服务、WEB服务、VPN服务以及NAT服务等六个服务器角色，并对其进行了明确的IP地址分配、网络位置安置及附和实际情况的配置，使其之间能够相互协同的工作。为了能使两台服务器充当路由器角色，在服务器A上安装了七块网卡，分别对应着六个部门的网关和服务器本身的IP地址；在服务器B上安装了两块网卡，对应着介入外网的链接和与服务器A相连的链接。服务器A上配有路由、DNS、邮件服务，服务器B上配有VPN、NAT、DHCP、路由、WEB服务。同时为了企业的安全性，NAT服务器上还开启了基本防火墙功能。当然，这些工作及设备都是放在硬件防火墙内侧的。关键字：局域网服务器中小型企业计算机目 录1引言11.1企业局域网概述11.2客户机/服务器网络结构12需求分析33网络规划43.1网络拓扑图43.2IP地址分配44服务器的配置64.1服务器A 的配置64.1.1路由服务的安装与配置74.1.2DNS服务的安装与配置84.1.3邮件服务的安装与配置114.2服务器B的配置144.2.1DHCP服务的安装与配置144.2.2WEB服务的安装与配置174.2.3NAT服务的配置204.2.4VPN服务的安装与配置215网络安全性的配置245.1备份及还原245.2密码安全策略255.3财务部安全性的配置255.4企业防火墙的配置26总 结28致 谢29参考文献30301引言随着计算机网络技术的发展与普及和企业经济的发展，越来越多的企业大量使用计算机来处理各种业务。好多企业都在组建自己的局域网以优化办公环境，提高工作效率。1.1企业局域网概述企业局域网是指在企业的某一去局内有多台计算机互联成的计算机组，一般是方圆几千米以内。企业局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室的两台计算机组成，也可以由一个公司内的上千计算机组成。如图1.1所示。图1.1局域网示意图1.2客户机/服务器网络结构当网络规模达到一定程度时，对等式网络的管理工作量就会大到无法接受的程度，这时就需要采取客户机/服务器网络，也称主从式网络，如图1.2所示。在客户机/服务器网络中，有专门的服务器提供服务，充当服务器角色，其余的计算机则是客户机，管理相对容易。客户机/服务器网络对服务器的硬件要求较高，也需要专门的网络管理员，成本较高。图1.2客户机/服务器网络结构2需求分析要保证一个中小型企业的日常工作需要的正确、有序、安全地进行，局域内的各个网络服务器之间，部门与部门之间一定要分工明细，以方便管理员管理。通常，一个正常化的中小型企业所应具备的服务器有DHCP服务器、WEB服务器、DNS服务器、邮件服务器等，还应具备VPN、NAT及防火墙，以加强企业的安全性和方便性。为了使得各个网段之间的安全通信，应当有些服务器充当路由器的角色。XXX公司设有财务部（两人）、行政人事部（两人）、物流采购及供应部（20人）、生产部（30人）、市场销售部（30人）及客服部（5人）等部门。目前，财务部和行政人事部各有计算机两台；物流采购及供应部有20台计算机；生产部有20台；市场销售部有30台；客服部每人一台计算机。为了达到安全的工作，财务部的信息是不应被其他部分所任意访问的。而对于市场销售部和客服部，不但可以访问到公司内部资源，同时也应当可以访问Internet以便于与客户交流。另外，为了能保证在外出差或者在家工作的员工访问公司内部资源，还应当设置VPN服务器，并由管理员为其添加用户。针对以上基本需求，我对XXX公司做出了下一配置。3网络规划3.1网络拓扑图各个部门的办公室或者车间将整个公司划分成为六个部门，要完成合理的网络规划，硬件交换机或者路由器是必不可少的。本文所关心的只是网络服务器的搭建，而合理的网络服务器的搭建必须由合理的网络规划开始。整个公司的网络结构如图3.1所示。图3.1网络结构示意图3.2IP地址分配IP地址的分配在网络搭建中是至关重要的，地址的分配必须合理、合法，这就要求六个部门要占用六个不同的网段。同时，还要保证企业规模的可扩展性，当企业人数或者计算机数增加时，可以很方便的让其归入到所在的部门。所以，每个网段必须留有空闲的IP地址。表3.1给出的是XXX公司所有部门及各个部门计算机台数，以及IP地址网段。可以看出，市场销售部和客服部都是在192.168.5.0网段中，这是为了使得能够接入Internet的两个部门明显起来。但是，为了区分这两个部门，我又将192.168.5.0网段分成了192.168.5.64/26和192.168.5.128/26两个子网段。部门计算机台数所在网段/子网掩码财务部2台192.168.1.0/24行政人事部2台192.168.2.0/24物流采购及供应部20台192.168.3.0/24生产部20台192.168.4.0/254市场销售部30台192.168.5.64/26客服部5台192.168.5.128/26表3.1企业部门及各部门IP地址分配4服务器的配置在一般网络环境中，响应客户机应用程序要求的设备所扮演的角色就是服务器角色。服务器通常是指为多个客户机提供信息共享的计算机。要安装和配置服务器，首要选择并安装在服务器上运行的操作系统软件。在这里我所选择的Windows Server 2003操作系统。其次是要解决如何在操作系统中安装、配置各种服务器平台，如图3.1中两台服务器所包含的服务：路由服务、DNS服务、邮件服务、Web服务、DHCP服务、VPN服务、NAT服务等。4.1服务器A 的配置图4.1服务器A服务器A属于最内层的服务器，主要负责把各个部门的网段分隔开来，以及DNS域名解析。将服务器A放大后可得到图4.1所示（1-6网卡地址为各部门的网关，0网卡地址为服务器A的地址，其中1192.168.5.190/26； 2192.168.5.126/26； 3192.168.2.254/24； 4192.168.4.254/24； 5192.168.1.254/24； 6192.168.3.254/24； 0191.168.6.1/24）。邮件域名为mail.rosion.com，web域名为www.rosion.com，这是需要在DNS服务器上添加新的主机资源的。4.1.1路由服务的安装与配置路由器这个角色在XXX公司中是很重要的一个角色，承担着分隔部门及过滤数据包的重要责任。其中，过滤数据包的方法将在本文的5.1.1章节详细说明。分隔六个部门的方法如下文所示。首先要在服务器A上安装7个网卡，如图4.1所示，编号分别为0到6。这七块网卡分别作为六个部门的网关和本机的IP地址，并设置好各自的IP地址。将 1-6的网卡分别连接到各部门的交换机上。使用管理员权限的用户登录服务器A，打开“路由和远程访问”管理控制台。在左侧的树中右击要配置并开启路由服务的计算机，在弹出的菜单中选择“配置并启用路由和远程访问”命令。图4.2“配置”页面图4.3“请求拨号连接”页面在弹出的“路由和远程访问服务器安装向导”对话框中单击“下一步”按钮，将出现“配置”页面，在此页面中可以选择将配置的服务器类型，选择“两个专有网络之间的安全连接”，如图4.2所示。 “请求拨号连接”页面可以设置是否启用请求拨号的功能。在本设计中，后面将会有VPN的配置，这里无需启用拨号功能，单击“否”单选按钮即可，如图4.3所示。 “完成”页面关闭后，系统将重启该“路由器”，之后即启用了路由和远程访问服务。启用成功后系统自动返回“路由和远程访问”管理控制台，如图3.4所示。右击已经配置并启用路由服务的计算机，在弹出的菜单中选择“属性命令”，将打开路由及属性对话框，在“常规”选项卡中可以看到该计算机已配置为路由器，如图4.5所示。图4.4“路由和远程访问”控制台图4.5“常规”选项卡为了测试一下“路由器”的连通性，可在某个部门选择任一台计算机，由于还没有配置DHCP服务，所以此时手动配置所在网段的IP地址即可。用ping命令在客户端计算机的命令提示符中测试部门与部门之间的连通性。在路由器控制台中检查路由表，如图4.6所示。图4.6路由表内容4.1.2DNS服务的安装与配置DNS服务在XXX公司中起着一个“地基”的作用，之后的WEB服务、Mail服务以及DHCP服务都是需要建立在DNS域名解析上的。打开“配置您的服务器向导”，点击两次“下一步”后将出现“服务器角色”对话框，如图4.7所示，此时可以看到之前所配置的“远程访问/VPN服务器”后面变为了“是”。这里再选中“DNS服务器”选项，将该服务器配置为DNS服务器。图4.7“服务器角色”页面图4.8配置DNS服务器向导”对话框DNS组建安装完毕，将自动打开“配置DNS服务器向导”对话框（图4.8），单击“DNS清单”按钮，可以查看“Microsoft管理控制台”，获取对DNS服务器规划、配置等方面的帮助信息。图4.9“选择配置操作”页面图4.10“主服务器位置”页面之后进入“选择配置类型”页面（图4.9）。XXX公司是一个中小型的企业，所以在此页面选中“创建正向查找区域（适合小型网络使用）”即可。在“主服务位置”页面中选中，由于该服务器是企业中唯一一台DNS服务器，所以选中“这台服务器维护该区域”单选按钮，可以将该DNS服务器配置为主DNS服务器，如图4.10所示。在“区域名称”页面（图4.11）中输入该企业的域名，我设计的域名为“rosion.com”。区域名称用于指定DNS名称空间的部分，之后的电子邮箱地址（mail.rosion.com）和WEB网站地址(www.rosion.com)都是基于此域名的。图4.11 “区域名称”页面图4.12 “区域文件”页面在“区域文件”页面（如图4.12所示）中选中“创建新文件，文件名为”单选按钮，在这里采用系统默认的文件名保存区域文件即可。在“动态更新”页面（图4.13）中选中“不允许动态更新”单选按钮，不接受资源记录的动态更新，以安全的手动更新方式更新DNS记录。我没有给XXX公司设计辅助DNS服务器，在“转发器”页面（如图4.14所示）中也无需转发查询，所以在此选中“否，不向前转发查询”单选按钮即可。安装和配置完成后，系统提示该服务器已经成为DNS服务器。图4.13 “动态更新”页面图4.14 “转发器”页面在“DNS管理控制台”中展开本机服务器，展开“正向查找区域”，右击“rosion.com”，选择“属性”。在“属性”对话框中的“区域复制”选项卡中，选中“允许区域复制”，并选中“只允许到下列服务器”单选按钮，让将本机地址192.168.6.1添加，点击“确定”。右击“反向查找区域”，选择“新建域”命令，单击“下一步”，将各个网段添加到“反向查找区域内”，如图4.15所示。DNS服务器配置完成。图4.15 创建反向查找区域4.1.3邮件服务的安装与配置邮件服务器配置前，要必须在DNS服务器上创建主机资源。打开“DNS控制管理台”，展开左边树中的“正向查找”，右击“rosion.com”，选择“新建主机”命令，如图4.16所示，添加mail.rosion.com主机。IP地址依然是服务器A的地址。在“正向查找区域”下的“rosion.com”新建邮件交换器。在弹出的“新建资源记录”对话框中，在“邮件服务器的完全合格的域名（FQDN）”处单击“浏览”按钮，逐层找到mail.rosion.com。完成邮件服务器在DNS部分的配置。图4.16 添加主机图4.17 新建资源记录打开“配置POP3服务”对话框，指定电子邮件域名为rosion.com，如图4.18所示。安装服务（该过程需要Windows Server 2003的安装光盘），直至出现“该服务器现在是邮件服务器”页面，单击“完成”按钮，即完成邮件服务器的安装。添加邮箱。为了方便管理和分辨起见，规定XXX公司员工的用户名格式为“部门首字母组合+三个数字”，如财务部人员申请用户名为“cw001”，市场销售部用户名为“scxs905”等；初始密码则与用户名一致。打开“POP3服务控制台”，选中侧树中右击“rosion.com”。在右侧工作区中单击“添加邮箱”命令，弹出“添加邮箱”对话框，键入要添加的用户及密码，如图4.19所示。依次为其他每个部门个添加一个邮箱。图4.18 配置POP3服务图4.19 添加邮箱邮箱添加完成后，需要使用客户端软件收发邮件来测试邮件服务器是否配置成功，以及邮箱申请是否成功。在这里，财务部的用户cw001往市场销售部的用户scxs905发送邮件，测试机所使用的系统分别为Windows Server 2003（财务部）和Windows 7（市场销售部）。在Outlook Express主窗口的主菜单中单击“工具”“账户”，将打开“Internet账户”对话框，以添加财务部用户的用户名。图4.20 “Internet电子邮件地址”页面图4.21 “电子邮件服务器名”对话框打开“Internet连接向导”对话框的“您的姓名”页面，输入发送电子邮件时显示的姓名，可以是cw001。接下来在“Internet电子邮件地址”页面，输入用户邮箱的名称， cw001rosion.com。如图4.20所示。在“电子邮件服务器名”对话框中，根据该企业DNS服务器的情况，填写如图4.21所示。下一步则是在 “Internet邮件登录”页面中输入完整的发信人用户名cw001rosion.com。如图4.22所示。图4.22 “Internet邮件登录”页面点击“下一步”按钮，打开“完成”提示页面。单击“完成”按钮将返回“Internet账户”对话框；单击“关闭”，返回Outlook Express主窗口。创建一个收信人为scxs905rosion.com的新邮件，输入邮件主题和内容。如图4.23所示，由财务部发送到市场销售部。点击“发送”按钮即可将邮件发送给scxs905。此时打开邮件服务器的管理控制台，也可以看到邮箱列表里cw001用户后面的邮件大小值已经发生了变化。图4.23 cw001用户端新邮件图4.24 scxs905用户端收邮件邮件发送成功后，就可以在市场销售部人员的计算机上测试能否成功接收到由财务部发送来的邮件了。以同样的方式登录scxs905用户，在“收件箱”中即可查看到由cw001发送来的test邮件。如图4.24所示。邮件服务器配置成功。4.2服务器B的配置服务器B是XXX公司的外围服务器，直接与Internet相连，故应该有路由服务及VPN服务（路由服务安装与配置详见4.1.1节）。Web服务则提供Internet用户访问该公司的官网，应当建立在外网的IP地址上，VPN亦如此。DHCP服务是为了给内部网络分配IP地址的，应设在内网上，即192.168.6.2网卡上。服务器B的拓扑放大后如图4.25所示。图4.25 服务器B 4.2.1DHCP服务的安装与配置DHCP的功能就是给员工分配IP地址，使得员工不必手动配置，方便了管理员和用户。在配置DHCP服务的时候，是需要用到DNS服务的，所以服务器A必须保证开机。当然，作为服务器，服务器A和服务器B应当是每天24小时开机运行的。以管理员权限的用户登录Server B计算机后，选择“开始”“管理工具”“管理您的计算机”命令，在弹出的页面中单击“添加或删除角色”，出现“预备步骤”对话框。单击“下一步”按钮，出现“服务器角色”对话框，选中“DHCP服务器”选项，如图4.26所示。添加“财务部”DHCP服务：在出现的“作用域名”对话框（如图4.27）中指定该DHCP服务器作用域的名称，财务部。图4.26 “服务器角色”对话框图4.27 “作用域名”对话框在“IP地址范围”对话框中设置由该DHCP服务器分配的IP地址范围，即IP地址池，并设置子网掩码或掩码长度。如图4.28所示。进入“添加排除”对话框，在本案例中不要求保留IP地址，直接进行下一步即可。在“租约期限”页面中设置租约时间为系统默认的8天，如图4.29。在“配置DHCP选项”页面中选中“是，我想现在配置这些选项”。在“路由器（默认网关）”对话框（如图4.30）中添加财务部的默认网关IP地址。点击“下一步”，弹出“域名称和DNS服务器”对话框，在此对话框中的“父域”中键入“rosion.com”，在下面的“服务器名”中进入服务器A的主机名称，然后点击“解析”按钮，即会在后面的“IP地址”栏中显出服务器A的IP地址，如图4.31所示。图4.28 IP地址池的设置图4.29 租约期限点击“添加”后，再点击“下一步”，将弹出“激活作用域”对话框，选中“是，我想现在激活此作用域”单选按钮，即激活了此DHCP服务。在“DHCP管理控制台”，以同样的方法依次添加行政人事部、物流采购及供应部、生产部、市场销售部、客服部等其他部门的IP地址池作用域。完成后如图4.32。图4.30 “路由器（默认网关）”对话框图4.31 “域名称和DNS服务器”对话框在如图4.32的“DHCP管理控制台”中，右击计算机名“serverii-ae17b9 10.12.11.13”，选择“新建超级作用域”，将这六个部门的作用域归到一个超级作用域中，以方便管理员对作用域的管理。超级作用域的名称为“ROSION” 如图4.33所示。图4.32 所有作用域图4.33 “超级作用域名”页面在“选择作用域”页面中选中全部作用域，如图4.34。完成后页面将返回“DHCP管理控制台”，此时在左侧的树中即可以看到超级作用域了。如图4.35所示。测试时，把员工计算机上的IP地址获取方式换成“自动获取”即可。在命令提示符中使用“ipconfig/release”和“ipconfig/renew”来自动获得本部门的IP地址。图4.34 “选择作用域”对话框图4.35 超级作用域4.2.2WEB服务的安装与配置WEB网站必须有IIS的支持才可以发布到Internet。XXX公司的网络服务器为Windows Server 2003操作系统，该系统自带了IIS6.0版本，只需安装启用即可，安装过程需要Windows Server 2003系统光盘。在“控制面板”中打开“添加或删除程序”窗口，单击“添加或删除Windows组件”按钮，显示“Windows组件向导”对话框。在“组件列表”中一次选择“应用程序服务”“详细信息”选项，显示“应用程序服务器”对话框，选中“ASP.NET”复选框，如图4.36。图4.36 选择安装IIS组件图4.37 “万维网服务”对话框选中“Internet信息服务（IIS）”复选框，然后单击“详细信息”按钮，在弹出的对话框中选中“文件传输协议（FTP）”，同时选中“万维网服务”复选框，并单击“详细信息”按钮，在打开的“万维网”对话框中选中“Active Server Pages”复选框，如图4.37所示。依次点击“确定”按钮，返回“Windows组件”对话框，并单击“下一步”按钮，插入Windows Server 2003安装光盘，直至出现完成提示。即可安装成功。以上为IIS6.0版本的安装过程，安装完成后需要对其进行配置，包括指定网站首页、网站目录、网站权限等等图4.38 简易网页图4.39默认网站属性作为一个正常运行的企业，是必须有一个专门的网站作为企业的官方网站。该网站对外提供本公司的基本介绍、最新动态、最近事件等信息，使得外界可以了解公司的情况。同时，也需要接受外界的信息，例如评论、留言、咨询等等。这些功能的实现是需要专业的网站开发人员来实现的，在这里我暂且用一段如图4.38的简单代码做一个简单的网页来代替XXX公司官方网站的主页。代码完成后，将该文本文档另存为文件名为“index.html”的网页文件，并将此网页放于“C:Documents and SettingsAdministratorMy DocumentsRosion”目录下。图4.40 “主目录”选项卡配置图4.41 “文档”选项卡配置打开“管理工具”中的“Internet信息服务管理器”，在IIS管理器窗口中，展开左侧的目录树，打开默认网站的属性，显示如图4.39所示的“默认网站属性”对话框。并按照图中所示进行配置。在“主目录”选项卡下，本地路径选择为之前存放index.html的路径，即C:Documents and SettingsAdministratorMy DocumentsRosion。如图4.42所示。图4.42 权限设置图4.43 添加主机在“文档”选项卡中，将index.html网页添加到“启用默认内容文档”的列表中（注意：这里的文件名一定要与新建的网页文档名完全一致），并移至最顶端。如图4.41所示。这时就指定了当用户访问XXX公司时展现的首页了，可是测试时由于权限的问题并不能访问成功。这时我对这个网站进行了如下的权限配置：在“IIS管理控制台”中打开“默认网站”的“权限”，添加Everyone用户，并将其权限设置为“完全控制”，如图4.42。到现在为止，就可以正常访问网站了。然而我们访问网站是输入的IP地址，在如图4.39中并未指定IP地址，在浏览器中输入服务器B的任何一个网卡地址都是可以访问到该网页的。这对于企业而言是不安全的，对于外界来说也是不方便的。所以要在DNS服务器上创建网站的域名。在服务器A上打开“DNS管理控制台”，右击左侧树中的“rosion.com”，选择“新建主机”，添加一个名称为“www”的主机，并指定IP地址。如图4.43所示。测试时可在某一个部门的任一台已经获得IP地址的计算机的IE浏览器的地址栏中输入“www.rosion.com”进行测试。如图4.44所示，表示Web服务配置成功。图4.44 测试网页4.2.3NAT服务的配置NAT位于使用装用地址的Intranet和使用公用地址的Internet之间，也就是服务器B的“外网”网卡上。从Intranet传出的数据包由NAT将它们的装用地址转换为公用地址，从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。这样在内网中计算机使用未注册的专用IP地址，而在与外部网络通信时使用注册的公用IP地址，大大降低了连接成本。同时NAT也起到将内部网络隐藏起来，保护内部网络的作用，也达到了安全性的目的。由于在之前安装路由协议时，已经安装了NAT服务，所以这时可以直接进行配置。图4.45 “NAT的新接口”对话框图4.46 “外网 属性”对话框打开服务器B的“路由和远程访问管理控制台”，依次展开左侧目录树中的“SERVERII-AE17B9（本地）”“IP路由选择”，右击“NAT/基本防火墙”，选择“新增接口”，在弹出的“网络地址转换（NAT）的新接口”对话框中选择“外网”，如图4.45所示。点击“确定”按钮，进入下一步的配置。在“网络地址转换- 外网 属性”对话框的“NAT/基本防火墙”选项卡中，选中“公用接口连接到Internet”单选按钮，并选中“在此接口上启用NAT”复选按钮，如图4.46所示。NAT服务的配置完成。4.2.4VPN服务的安装与配置VPN属于远程访问，目的是为了满足在外出差或者在家工作的员工访问公司内部资源的需求。在4.2.3章节中，已经做了NAT，这就使得在公司外的计算机无法正常访问到公司内部资源，这就需要一条专用网络，也就是VPN来满足这个需求了。首先需要在服务器上创建VPN用户权限。返回到服务器B的“路由和远程访问管理控制台”，右击“SERVERII-AE17B9（本地）”选择“属性”，弹出“SERVERII-AE17B9（本地）属性”对话框，选中“远程访问服务器”复选框（图4.47所示），点击“确定”。图4.47 “本地属性”对话框图4.48 “新用户”对话框打开服务器B的“计算机管理”，新建一个名为“VPN_USER”的新用户，其密码为：rosion，如图4.48所示。点击“创建”，创建成功。返回“计算机管理”窗口，在左侧树中选中“用户”文件夹，打开新建用户 “VPN_USER”的“属性”。在“VPN_USER 属性”对话框的“拨入”选项卡中，进行如图4.49的配置。点击“确定”，完成VPN用户的配置。打开“路由和远程访问管理控制台”，右击“远程和访问策略”，选择“新建访问远程策略”，在弹出“策略配制方法”对话框中，输入“策略名”：VPN，如图4.50所示。 “访问方法”选中“VPN”单选按钮。按照系统默认的配置，点击“下一步”，直至出现“完成”页面。图4.49 “拨入”选项卡图4.50 “策略配置方法”对话框此时返回“路由和远程访问管理控制台”，可以看到刚刚创建的“VPN”访问策略。右击访问策略，选择“属性”，在弹出的“VPN 属性”对话框的“设置”选项卡中，选中最下方的“授予远程访问权限”单选按钮，单击“确定”。之后就是在VPN客户端进行访问测试了。测试之前要进行新建一个VPN连接（客户端是Windows 7操作系统）。右击“网络”图标选择“属性”，打开“网络和共享中心”窗口。在“更改网络设置”出单击“设置新的连接或网络”。图4.51 “设置连接或网络”对话框图4.52 “您想如何连接”对话框在“设置连接或网络”对话框（图4.51）中选中“连接到工作区”。点击“下一步”，在“您想如何连接”对话框中点击“使用我的Internet连接（VPN）”，如图4.52所示。“键入要连接的Internet地址”对话框（图4.53所示），在“Internet地址”中键入企业的“外网”IP地址，并选中“现在不连接”复选框。点击“下一步”按钮。在“键入您的用户名和密码”对话框中的“用户名”处，键入在服务器B上创建的VPN用户，“密码”出进入此用户的密码：rosion。图4.53 “Internet地址”对话框图4.54 “连接VPN”窗口单击“创建”按钮，即可在客户端创建一个VPN连接。在客户端的“网络连接”中可以看到新建的VPN连接。双击后输入用户名及密码，如图4.54所示。点击“连接”，即可连接到企业内部网络。连接成功后，可在服务器B的“路由和远程访问管理控制台”中的“远程访问客户端”里也可以看到用户VPN_USER的访问记录。5网络安全性的配置如果一个企业正常运转的话，安全性是少不了的，XXX公司也不例外。当然，没有绝对的安全，只有相对的安全。安全性的实现也可以通过硬件来实现，也可以通过软件来实现，即系统的安全策略。在这里，我从备份及还原、密码策略、财务部的安全性以及基本防火墙四个方面来简单阐述一下网络的安全性配置。当然，Windows Server 2003操作系统提供的安全策略远远不止以下所列出的这些，在今后的企业运行中如果需要其他安全策略的话完全可以再添加。5.1备份及还原企业的资源是非常重要的，对其进行定期的备份也是非常有必要的。作为网络管理人员，备份和还原也是必须要做的工作之一。当企业遭到轻微的破坏时，可以方便快捷的恢复到最近时刻的安全状态。两台服务器都要定期的做备份，在这里以服务器A为例。图5.1“备份工具”对话框图5.2“备份作业信息”对话框执行“开始”“程序”“附件”“系统工具”“备份”命令，打开“备份或还原向导”对话框。在该会话框中使用“高级模式”进行备份。打开备份选项卡（图5.2所示）。服务器的重要内容基本上都在C盘里，包括服务的配置、用户及密码、活动目录等等，只需将需要备份的内容选中，并选择一个合法的路径，点击“开始备份”之后弹出“备份作业信息”对话框。由于是第一次备份，所以选中“用备份替换媒体上的数据”选项，以后备份时也可以选这一项，如图5.3所示。此时点击“开始备份”，系统进入备份状态。当系统需要进行数据还原时，在“备份或还原向导”出直接单击“下一步”，选择“还原文件及设置”即可导入上次备份文件。在企业的正常运行中，要保证资源的可靠性和完整性，同时又要考虑到管理的方便性，执行完第一次的正常备份后，要每天一次增量备份。5.2密码安全策略图5.3“本地安全策略设置”窗口计算机密码是最基本的安全策略了，指的是服务器登录密码的复杂度和密码的使用期限等。同样以服务器A为例：在“管理工具”中打开“本地安全策略”，在弹出的“本地安全策略设置”窗口中打开“账户策略”“密码策略”。在右侧的工具区可以看到所有的策略方案。如果想设置某一策略，双击即可设置，如图5.3所示。需要解释的是，密码的复杂度如果开启了，设置的密码必须满足一下要求（如Pssw0rd）：1.不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分；2.至少有六个字符长；3.包含大写英文字母、小写英文字母、10个基本数字、非字母字符中的三类。5.3财务部安全性的配置在前文已经说过，财务部的信息是不允许对外公开的，即不可以被企业内部的其他部门任意访问，但是财务部的用户却需要访问到企业其他部门或者公用资源，这就需要在服务器A上的路由服务上进行进一步的配置了，而且已经知道，财务部所对应的网卡是“本地连接5”。以拥有管理员权限的用户登录服务器A后，打开“路由和远程访问控制管理台”。展开“2003-7255023006（本地）”“IP路由选择”，点击“常规”，在右侧的工作区内将会显示出本台服务器所有的本地连接。右击财务部对应的网卡“本地连接 5”后，打开“本地连接 5 属性”对话框。点击“入站筛选器”，进入“入站筛选器”对话框，准备新建一个入站筛选器。图5.4 “添加IP筛选器”对话框如图5.4所示，在“添加IP筛选器”对话框中，选中“源网络”，先将行政人事部的网段加入入站站筛选器中，使得行政人事部访问财务部时的数据包在此处被过滤掉。依照同样的方法依次将物流采购及供应部门的192.168.3.0/24网段、生产部门的192.168.4.0/24网段、市场销售部门的192.168.5.64/26网段以及客服部门的192.168.5.128/26网段依次添加到入站筛选器里进行数据包的过滤。添加完成后，就达到了财务部禁止其他部分访问的安全性目的了。此时，可以在其他部门的用户计算机上使用ping命令测试与财务部的连通性。5.4企业防火墙的配置之前我也说过，这里所指的防火墙是添加在NAT服务器上的基本防火墙，所以应该在企业的外围服务器上的链接Internet的网卡上进行配置。在第四章中可以知道，在服务器B的“外部”网卡上已经启用了NAT/基本防火墙服务，但之前只配置了NAT服务，所以现在要添加上基本防火墙服务。以具有管理员权限的用户登录服务器B后打开 “路由和远程访问控制管理台”，展开左侧树中的“SERVERII-AE17B9（本地）”“IP路由选择”，选中“NAT/基本防火墙”，在右侧工作区内右击“外网”，选择“属性”。在“外网 属性”对话框中的“NAT/基本防火墙”选项卡中，选中“在此接口上启用基本防火墙”复选框。点击“确定”按钮，即可完成防火墙的配置。总 结用两台操作系统为Windows Server 2003的计算机充当XXX公司的网络服务器，完成了邮件服务、路由服务、DHCP服务、WEB服务、VPN服务以及NAT服务等六个服务器角色的安装，以及对XXX公司的网络安全管理。需要指出的是，我没有设计FTP服务，因为我觉得作为一个企业，使用FTP的并不是很方便的，仅仅使用局域网网盘就可以实现很多功能。通过这段时间的努力，在指导老师和