1、1广播电视大学网络管理与维护综合实训课程实训报告2012 年 5 月2实训 1 网络用户与资源管理实训目的 、理解权限的分类及其作用。、掌握用户名管理和权限管理的基本操作和测试实训环境1. 两台 PC 裸机,确保硬件满足安装 Windows Server 2003 的最小需求;2. Windows Server 2003 标准版安装光盘;3. 同时确保网络连接正常。实训内容1在 Windows Server 2003 中添加用户,设置用户密码,用新用户登录系统。2为用户设置不同的访问系统的权限。两部门共享一台打印机,实训要求1掌握网络用户帐户的创建2掌握设置用户权限设置3掌握管理共享资源技术4
2、完成项目设计报告项 目 设 计 报 告设计方案:设置网络邻居 进行文件夹共享1. 对于一个用户,根据不同的文件夹分别给予不同的权限。2、对于同一个共享文件夹不同的用户具有不同的权限。实施步骤:一、创建用户及权限设置 、双击我的电脑右键单击希望共享的文件夹(如: D:、共享文件)选择共享和安全,在出现的对话框中选中 共享此文件夹。然后,根据需要设置以下选项:单击权限,出现一个对话框。从该对话框可以看出:默认时 Everyone 组对共享文件夹的访问权限为“读取” 、当需要以共享文件夹的权限进行修改时,单击添加 按钮,然后在打开的对话框中输入希望添加的用户名, (如市场部)再单击确定 按钮。同上再
3、添加(如技术部) 。 、在所示的对话框组和用户名 中选中这个用户帐户,然后为其选定某个权限(如:完全控制) ,再单击确定按钮。 、再单击一次确定按钮,这样便完成了共享文件夹的工作。 二、 、配置共享打印机 、单击开始 设置打印机和传真,在出现的“打印机与传真”对话框,右键单击要设置权限的打印机,选择属性 ,这时出现“打印机和传真 属性”对话框,单击安全 。单击 添加,这时将出现“选择用户或组”对话框,单击 高级,则会出现“选择用户或组”对话框中,单击立即查找 ,在搜索结果中选择“技术部”与“市场部” ,然后单击确定,这时会出现“选择用户和组”对话框。单击 确定,出现“共享打印机 属性”对话框,
4、选中“市场部” ,并在市场部权限中,对 打印权限选择 允许,(同上设置“技术部” ) ,然后单击应用 。 、在“共享打印机 属性”对话框单击高级 设置“ 使用时间从 8.30:00 到:30”3然后单击确定。实训 2 企业级用户管理实训目的 实现企业级用户对资源的访问控制管理实训环境两台服务器级裸机,确保硬件满足安装 Windows Server 2003 的最小需求。Windows Server 2003 标准版安装光盘。同时确保网络连接正常。实训内容创建 Windows Server 2003 活动目录域,并把客户端计算机加入域。在域中实现 AGDLP 法则。实训要求1掌握通过 Windo
5、ws 活动目录实现用户帐户及权限的管理;2完成项目设计报告。项 目 设 计 报 告设计方案:首先进行计算机 用户帐户的一些设置,其次通过实现 AGDLP 法则,获得访问权限,实现用户管理。实施步骤:一、设置、在开始-运行-dcpromo 打开 Active Directory 安装向导在出现的 Active Directory 安装向导窗口中,单击【下一步】按钮。、出现操作系统兼容窗口,单击【下一步】按钮。、出现域控制器类型窗口,选中【新域的域控制器】 ,单击【下一步】按钮。、出现选择创建域的类型窗口,选中【在新林中的域】 ,单击【下一步】按钮。、出现新建域名窗口,键入要创建的域的域名,单击【
6、下一步】按钮。、出现域 NetBIOS 名窗口,键入域的 NetBIOS 名,单击【下一步】按钮,向导会自动创建。、出现数据库和日志文件窗口,保持默认位置即可,单击【下一步】按钮。 、出现共享的系统卷窗口,注意,文件夹所在分区必须是 NTFS 分区,保持默认位置即可,单击【下一步】按钮。、如果当前设置的 DNS 无法解析的话,会出现一个 DNS 注册诊断的窗口,可以选择第二项,把本机装成 DNS 服务器,单击【下一步】按钮。10:在弹出的权限窗口中,保持默认选项即可,单击【下一步】按钮。11:出现要输入目录还原模式的管理员密码,此密码用于【目录服务还原模式】下,单击【下一步】按钮。12、出现的
7、摘要对话框中的内容如果没有错误,则单击 下一步按钮。从该对4话框中可以看到第一个域的域名 就是这个新目录林的名称。13、重新启动计算机即可。二、加入域、首先需要在希望加入域的计算机上,指定维护的 DNS 服务器。设置步骤为:右击网上邻居 ,选择 属性 本地连接 属性 Internet 协议(TCP/IP) 属性首选 DNS 服务器,然后输入维护该域的 DNS 服务器的 IP 地址。由于维护域的 DNS 服务器通常在域控制器上建立,所以这里可以输入要加入域控制器的 IP 地址。、右击我的电脑,选择 属性 计算机名-更改。在出现的对话框中,输入希望加入的域名,然后单击 确定 。、在出现的对话框中
8、,输入一个具有把计算机加入域的权利的用户名称和空码。然后点击 确定按钮。在出现的对话框时,表示已经成功地把计算机加入到域中,单击确定 按钮。然后系统会要求重新启动该计算机。三、AGDLP 原则为了便于对用户的访问域中资源的工作进行管理,同时也为了减轻网络维护的负担,可以使用“AGDLP 原则” ,AGDLP 原则就是先将用户帐户(A)加入到全局组(G)中,再将全局组加入到本地组( DL)中,最后给本地域组分配对某个资源(如:文件或文件夹)的权限(P) 。这样,用户帐户便可以获得对资源的访问权限了。实训 3 互联网应用服务管理实训名称 网络应用服务管理实训内容在网络中配置 WWW 服务,并利用主
9、机头标识 Web 站点。在网络中配置 FTP 服务,并禁止匿名访问。在网络中配置 DHCP 和 DNS 服务,使客户端可以访问 WWW 和 FTP 服务器。实训要求、掌握安装 FTP 服务器、掌握对 FTP 服务器设置、掌握如何使用 Sevr-U 架设 FTP 服务器实训环境两台服务器级裸机,确保硬件满足安装 Windows Server 2003 的最小需求;一台客户端裸机,确保硬件满足安装 Windows XP 的最小需求。Windows Server 2003 标准版安装光盘、Windows XP Professional 安装光盘。同时确保网络连接正常。5项 目 设 计 报 告设计方案
10、:FTP,文件传输协议的简称。用于互联网上的控制文件的双向传输。同时,它也是一个应用程序(Application) 。用户可以通过它把自己的 PC 机与世界各地所有运行FTP 协议的服务器相连,访问服务器上的大量程序和信息。正如其名所示:FTP 的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着 FTP 服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。Sevr-U 是一种被广泛运用的 FTP 服务器端软件,支持 3X/9X/ME/NT/2K 等全Windows 系列。可以设定多个 FTP 服务器,限定登录用户的权限
11、、登录主目录及空间大小等,功能非常完备。它具有非常完备的安全特性,支持 SSIFTP 传输,支持在多个 Sevr-U 和 FTP 客户端通过 SSL 加密连接保护您的数据安全等。实施步骤:一、安装 IIS 组件、单击“开始设置控件面板添加删除程序” ;、选则“配置 Windows”,单击“组件”按钮,添加 IIS 组件;二、设置 FTP、单击“开始程序管理工具Internte 服务管理器” ;、在 Internte 服务器管理单元中选中默认 FTP 服务器;、在“属性” 对话框中单击 “主目录”选项卡,然后指定主目录位置(缺省值 :c:inetpubftproot,端口号 21)三、用 FTP
12、 向导新建一个 FTP 站点、选中 FTP 服务器,右键单击“新建一 FTP 站点” ;、单击向导“下一步” ,在说明中输入 FTP 名称;、在站点 IP 地址栏中输入服务器的 IP 地址和端口值;、输入新站点的主目录路径,可用浏览的方法;、设置访问 FTP 的方式。四、测试新建的网站、单击“开始程序管理工具Internte 服务管理器” ,打开 internet 信息服务单元,选中“默认 FTP 站点” ,打开快捷菜单的“停止” ,这样先关闭原来的 FTP 网站;、选中“youngmei”ftp 站点,打开快捷菜单的“启动” ;、在客户端打开 IE 浏览器,访问新建网站,单击向导“下一步”在
13、说明中输入该站的网站名称。五、设置虚拟目录目录作用是在地址栏中除了输入主机名外,还用“目录名”来进一步指向某个子目录或网面文件、单击“开始程序管理工具Internte 服务管理器” , 打开 internet 信息服务单元,选中准备新建虚拟目录的网站“默认 FTP 站点” ,打开快捷菜单的“新建一虚拟目录” 。、在向导的提示下输入别名,即虚拟目录名,如“my virtual directory”.、在向导的提示下输入网页文件的真实路径。实际路径的文件夹甚至可以在别的主机上,可以通过“浏览”查找。、除了在客户端打开 IE 外,也可以直接在当前服务器上查看。输入网址http:/localhost/
14、myvirtual directory.六、用 Sevr-U 架设 FTP 服务器6、安装 Sevr-U、运行 Sevr-U,提示定义域、提示无用户,添加用户,设置用户名,密码,FTP 文件夹、通过 IE 浏览器访问建立的网站,在弹出的对话框内输入设置的用户和密码小结:通过这次试验,深入理解了关于 FTP 的知识,对 FTP 有了深一层的认识。能够将自己的东西放到网上进行访问和下载,另外还学会了在 Windows Server2003 上分别用 IIS 和 Sevr-U 安装和配置 FTP 服务器,然后使用自己配置的服务器进行文件传输。希望在以后的试验过程中能够有更多的体验机会。实训 4 邮件
15、应用服务管理实训目的 在企业网络环境中实现邮件服务实训环境两台服务器级裸机,确保硬件满足安装 Windows Server 2003 的最小需求;一台客户端裸机,确保硬件满足安装 Windows XP 的最小需求。Windows Server 2003 标准版安装光盘、Windows XP Professional 安装光盘。同时确保网络连接正常。实训内容在网络中安装并配置邮件服务器。在网络中配置邮件客户端,实现邮件通讯。实训要求1掌握邮件服务器的管理配置;2完成项目设计报告。项 目 设 计 报 告 设计方案:邮件服务器就像普通的信函需要邮局来传送一样,邮件也需要网络中的邮局-邮件服务器来完成
16、信息的提交、存储、转发等一系列过程。邮件服务器是一台配置好邮件的计算机,例如在 Windows 2003 的机器上装上 Exchange 软件或 Imail 等其它第三方软件后,此服务器就可以提供邮件服务了。邮件服务器必须具有邮件存储的能力,还必须具有邮件发送与接收其它邮件服务传来的邮件的能力,也就是说必须支持网络上通用的邮件传输协议。下面就介绍二种 SMTP :简单邮件传输协议(Simple Mail Transfer Protocol) ,是一组用于由源地址到目的地址传送邮件的协议,控制信件的中转方式,属于TCP/IP 协议族。即可以把信件寄到收信人的服务器上。 POP3 : 邮局协议(P
17、ost Office Protocol) ,是一种供用户从邮件服务器接收邮件的协议。局限在于用户在读取邮件前必须一次将全部邮件下载到自己的电脑中。7实施步骤:一、安装 POP3 和 SMTP 服务组件以系统管理员身份登录 Windows Server 2003 系统。依次进入“控件面板添加删除程序添加、删除 Windows 组件” ,在弹出的“Windows 组件向导 ”对话框中选中“电子邮件服务”选项,点击“详细信息”按钮,可以看到该选项包括两部分内容:“POP3 服务 WEB 管理” 。二、安装 SMTP 服务组件(一) 、选中“应用程序服务器”选项,点击“详细信息”按钮,接着在“Inte
18、rne 信息服务 IIS”选项中查看详细信息,选中“SMTP Server”选项,最后点击“确定”按钮。此外,如果用户需要对邮件服务器进行远程 WEB 管理,一定要选中“万维网服务”中的“远程管理(HTML) ”组件。完成以上设置后,点击“下一步”按钮,系统就开始安装配置 POP3 和 SMTP 服务了。(二) 、配置 POP3 服务器1、点击“开始管理工具POP3 服务” ,弹出 POP3 服务控制台窗口。选中左栏中的 POP3 服务器后,点击右栏中的“新域” ,弹出“添加域”对话框,接着在“域名”栏中输入邮件服务器的域名,也就是邮件地址“”后面的部分,如“”,最后点击“确定”按钮。其中“”
19、为在 Interne 上注册的域名,并且该域名在 DNS 服务器中设置了 MX 邮件交换记录,解析到 Windows Server 2003 邮件服务器 IP 地址上。、创建用户邮箱选中刚才新建的“”域,在右栏中点击“添加邮箱” ,弹出添加邮箱对话框,在“邮箱名”栏中输入邮件用户名,然后设置用户密码,最后点击“确定”按钮,完成邮箱的创建。3、删除邮箱(1)打开“POP3 服务”控制台,选择欲删除邮箱所在的电子邮件域,然后选中欲删除的邮箱,并单击鼠标右键,选择其中的“删除”菜单项(或者在选中了要删除的邮箱后,直接单击“删除邮箱”连接) 。将显示“删除邮箱”对话框,以询问是否“同时也删除与此邮箱相
20、关联的用户账户” 。如果选中该复选框,则Users 组中的该用户同时被删除。这也就是说,将同时剥夺该用户访问发送电子服务器和登录至域的权限。(2)单击“是”按钮,删除该邮箱成功,同时也将删除该邮箱的邮件存储目录以及该目录中存储的所有电子邮件。4、锁定解除锁定邮箱在“POP3 服务”控制台窗口中右击要锁定的信箱,并在弹出的快捷菜单中选择“锁定”子菜单,即可锁定该信箱。若要解除对该邮箱锁定,只需在弹出的快捷菜单中选择“解除锁定”子菜单即可。(三)配置 SMTP 服务器完成 POP3 服务器的配置后,就可以配置 SMTP 服务器了。点击“开始程序管理工具Internet 信息服务 IIS 管理器”
21、,在“IIS 管理器”窗口中右键点击“默认 SMTP 虚拟服务器”选项,在弹出的菜单中选中“属性” ,进入“默认SMTP 虚拟服务器”窗口,切换到“常规”标签页,在“IP 地址”下拉列表框中8选中邮件服务器的 IP 地址即可。点击“确定”按钮,这样一个简单的邮件服务器就架设完成了。完成以上设置后,用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作了。在设置邮件客户端软件的 SMTP 和 POP3 服务器地址时,输入邮件服务器的域名“” ,即可。(四)远程 WEB 管理Windows Server 2003 还支持对邮件服务器的远程 WEB 管理,在远端客户机中,运行IE 浏览器,在地址
22、栏中输入“https/服务器 IP 地址 8098”,将会弹出连接对话框,输入管理员用户名和密码,点击“确定”按钮,即可登录 WEB 管理界面。(五)在邮件服务器客户端软件中配置邮件账号Outlook Express 电子邮件配置方法:、 启动 Outlook Express、 点击菜单项中的“工具”栏,在下拉菜单中选择“账号” ,以便建立邮箱账号。、 执行后在出现的界面中,选择右上角的“添加”按钮出现三个选项,选择“邮件” 。、 按提示输入名字,可以是你的姓名或 hello 点击下一步。、 输入你的邮件地址, 如添入 并点击下一步。、 这里要求输入邮件服务器的名称,请正确填写。如网易的邮件
23、接收服务器为: 发送邮件的服务器为:,确认填写无误后,点击下一步。、 这一步请选择默认的登录方式,在“账号名”中输入邮件账号,此处添为hello,密码不用添写,以便以后接收邮件时提示输入密码,增强邮件的保密性。输入完毕后点击下一步。以上是建立一个邮件账号的步骤,若要在同一个 Outlook 软件中建立多个邮箱账号,只需按以上步骤新建邮箱即可。如果按照上面的方法添加邮件以后能收邮件但不能发邮件的话,请按下面的设置步骤进行。、 点击菜单项中的“工具”栏,在下拉菜单中选择“账号” 。出现对话框后选择“邮件”选项卡。、 选择一个电子邮件账号并按“属性”按钮。、 在对话框中选中选择“服务器”选项卡,出现
24、另一个对话框、 在对话框中选中“我的服务器要求身份验证(V ) ”,并按“设置”按钮,出现另一个对话框、 请选择“使用与接收邮件服务器相同的设置(U ) ”复选框,按“确定”按钮后再选择“连接”选项卡,出现另一个、 选中“连接此账号时总是使用”复选框,并选择局域网。按“确定”就可以正常收发电子邮件了。四、注意事项、认真填写实验报告、遵守实验室各项制度,服从实验指导教师的安排、按规定的时间完成实验9实训 5 网络代理服务管理实训目的 在企业网络中实现代理服务实训环境两台服务器级裸机,确保硬件满足安装 Windows Server 2003 的最小需求;一台客户端裸机,确保硬件满足安装 Windo
25、ws XP 的最小需求。Windows Server 2003 标准版安装光盘、Windows XP Professional 安装光盘。同时确保网络连接正常实训内容在网络安装并配置代理服务器,为客户端提供 Proxy 及 DHCP 服务。配置客户端使用代理服务器访问网络。实训要求1实现网络访问的共享;2自动分配 IP 地址,实现 DHCP 服务;3管理网络访问服务;4完成项目设计报告。项 目 设 计 报 告设计方案: Internet 大家已经不在陌生,现在已经迈进了广大工薪阶层的家庭。越来越多的公司也纷纷将自己的内部网络接入了 Internet。当然接入 Internet 的方式有很多,对
26、于普通老百姓来说,就是买一个 MODEM 利用 PSTN(公众服务电话网络)接入 Internet。而一些公司一般是利用 DDN 或 ISDN 接入,利用租月的方式。当然了个人不可能承担起租月的费用,那么如何利用一条电话线使多人上网呢?这就牵扯到了 Proxy Server(代理服务器)以及如何使用代理服务器的问题。 Proxy 是什么呢,是代理。普通的因特网访问是一个典型的客户机与服务器结构:用户利用计算机上的客户端程序,如浏览器发出请求,远端 WWW 服务器程序响应请求并提供相应的数据。而 Proxy 处于客户机与服务器之间,对于服务器来说,Proxy 是客户机,Proxy 提出请求,服务
27、器响应;对于客户机来说,Proxy 是服务器,它接受客户机的请求,并将服务器上传来的数据转给客户机。它的作用很象现实生活中的代理服务商。因此 Proxy Server 的中文名称就是代理服务器。 Proxy Server 的工作原理是:当客户在浏览器中设置好 Proxy Server 后,你使用浏览器访问所有 WWW 站点的请求都不会直接发给目的主机,而是先发给代理服务器,代理服务器接受了客户的请求以后,由代理服务器向目的主机发出请求,并接受目的主机的数据,存于代理服务器的硬盘中,然后再由代理服务器将客户要求的数据发给客户。10实施步骤:代理服务器的设置: 要设置代理服务器,必须先知道代理服务
28、器地址和端口号,然后在 IE 或 NC 的代理服务器设置栏中填入相应地址和端口号就可以了。假设我们有一个代理服务器的地址是P,端口号是 3000,在 IE 中的配置方法是使用查看菜单的 Internet 选项/连接/代理服务器,然后在通过代理服务器访问 Internet 选项前面的复选框中打上钩,在地址框中填入代理服务器地址,如本例中假设代理服务器地址是 ,再在端口框中填上端口号 3000,点一下最下方的应用按钮,再点确定,设置完成。下次再使用 IE时用户就会发现,无论你浏览什么网站,IE 总是先与代理服务器连接。用 NC 的话,设置稍繁一点。使用 edit 菜单下的 Preferences
29、菜单项,再选择 Advanced 下的Proxies,此时在右侧 Proxies 选项中选择第二项 Manral Proxy configuration,再点其右边的 View按钮,就会出现代理服务器的配置界面,在代理服务器地址和端口号栏中填入相应的内容,点击 OK,退回到参数设置窗口,再点击 OK,代理服务器的设置工作就完成了。当客户再次浏览网页时,就会自动向你设定的代理服务器发出申请,并得到数据,在浏览网站时,无论是 IE 或是 NC 都可以在浏览器状态栏中清楚地看到先连代理服务器,再连目标网站的过程。 在 Windows 下一般使用 IE 作为 Web 浏览器,下面就以配置 Window
30、s XP 的 IE 60 为例来说明具体的操作步骤。 (1)打开在 IE 浏览器中,选择【工具】菜单的【Internet 选项】子菜单。在出现的【Internet 选项】对话框中选择 【连接】选项卡,然后单击【局域网设置】按钮,如图所示。 (2)在出现的【局域网设置】对话框中,选中【为 LAN 使用代理服务器】复选框,然后输入代理服务器正确的 IP 地址及端口号,如图所示。11 (3)若需要为不同协议设置不同代理服务器,则选择【高级】按钮,打开如图所示对话框,分别设置不同协议所使用的代理服务器。12实训 6 VPN 应用服务实训目的 在企业网络中实现 VPN 服务实训环境两台服务器级裸机,确保
31、硬件满足安装 Windows Server 2003 的最小需求,其中一台安装双网卡;一台客户端裸机,确保硬件满足安装 Windows XP 的最小需求。Windows Server 2003 标准版安装光盘、Windows XP Professional 安装光盘。同时确保网络连接正常。实训内容在网络中配置 VPN 服务器在网络中配置 DHCP 服务,为 VPN 客户端分配 IP 地址。在网络中配置 VPN 客户端,访问 VPN 服务器。实训要求1实现 VPN 连接,访问网络资源;2完成项目设计报告。项 目 设 计 报 告设计方案:VPN 服务器需要有两个网络接口,一个连接因特网,一个连接公
32、司局域网。所以决定在局域网的代理服务器上进行 VPN 服务的配置。实施步骤:一、配置 VPN 服务、单击“开始程序管理工具路由和远程访问” ,右键单击服务器,并选则“配置并启用路由器和远程访问” 。、在“欢迎使用路由器和远程访问服务器安装向导”画面中单击下一步 按钮。、在接下来的画面中选择远程访问(拨号或 VPN),然后单击下一步 按钮。、选择VPN,然后单击下一步按钮。、选择用来连接 Internet 的网络接口、可以设置这台 VPN 服务器为客户机分配 IP 地址的方法。如果在公司局域网中已经有DHCP 服务器在工作,那么可以让 DHCP 服务器为 VPN 客户机分配局域网中的 IP 地址
33、,为此选择自动,然后单击 下一步 按钮。如果在公司局域网中没有 DHCP 服务器,那么可以在 VPN 服务器上建立一个静态的 IP 地址范围,这些 IP 地址是用来分配给 VPN 客户机的,为此选择来自一个指定的地址范围 ,并在单击下一步按钮后设置一个 IP 地址范围,然后在单击下一步按钮。、直接单击下一步按钮即可。二、为外出的业务经理添加用户账户,并为其分配远程访问的权限。在远程访问服务器上,右键单击我的电脑 ,选择 管理系统工具本地用户和组用户,双击需要设置的用户账户,单击拨入选项卡,选择允许访问,最后单击确定按钮。三、配置 VPN 客户机。、右键单击网上邻居,单击属性,单击新建连接向导。
34、、在出现“欢迎使用新建连接向导”画面时,单击下一步按钮。13、选择连接到我的工作场所的网络。、选择虚拟专用网络连接。、为这个 VPN 连接取一个名称,然后单击下一步按钮。、选择不拨初始连接。、输入希望访问的 VPN 服务器的主机名或 IP 地址,然后单击下一步按钮。如果输入 IP地址,则应该输入 VPN 服务器连接 Internet 的网络接口的 IP 地址。、可以设置是只有用户自己可以使用这个 VPN 连接,还是让所用登录者都可以使用,然后单击下一步。、在出现“正在完成新建连接向导”画面是,单击完成按钮。也可以选择在桌面建立一个该连接方式。、右键单击网上邻居并选择属性,右键单击这个 VPN
35、连接,然后选择连接。、输入用了访问 VPN 服务器的用户账户与密码,然后单击连接按钮。当用户连接成功后,就可以访问 VPN 服务器及其所连局域网中的资源。实训 7 网络安全的监控与维护实训目的 在企业网络中实施安全监控实训环境三台服务器级裸机,确保硬件满足安装 Windows Server2003 最小需要,其中一台安装双网卡;一台客户机裸机,确保硬件满足安装 WindowsXP 的最小需求。Windows Server2003 标准安装光盘、WindowsXP 安装光盘,ISA Server 中文企业版安装光盘。同时确保网络连接正常。实训内容在网络中安装并配置防火墙,在防火墙上启用监控功能。
36、配置防火墙客户端,确保内网可以访问外网。在防火墙上监控网络连接及使用情况。实训要求1查看网络连接及资源使用情况;2掌握防火墙的设置;3完成项目设计报告。项 目 设 计 报 告设计方案14防火墙所在的服务器上要有双网卡,分别用于连接外部网络(IP 为 172.168.1.3)和内部网络(IP 为 192.168.1.1),防火墙软件使用 ISA Server,防火墙客户端使用SecureNAT 客户端,通过在 ISA Server 中配置访问规则实现内网对外网的访问。实施步骤一、在 DNS 服务器上为 WEB 服务器添加域名解析,域名为 对应的 IP 为172.168.1.1。1、在 PC 上
37、安装 DNS 服务器,其方法为:“开始”“设置”“控制面板”“添加或删除程序”“添加或删除 Windows 组件”选择 “网络服务”单击“详细信息”按钮 选中“域名系统(DNS)”。然后,开始安装。2、打开 DNS 管理控制台,其方法为:单机“开始”“管理工具”“DNS”。3、创建 DNS 区域,其方法为:右键单击“正向查找区域”“新建区域”选择“主要区域”在“区域名称”中输入“”两次单机【下一步】单击【完成】。4、创建主机记录,其方法为:右键单击区域“” “新建主机” 在“名称”中输入“www”,在“IP 地址”中输入“172.168.1.1” 单击【添加主机】。二、在服务器上配置内外部网卡
38、的信息,安装 ISA Server 防火墙软件。步骤如下:1、为了使用方便,将两台计算机的两个网卡名称分别命名为:“LAN”和“WAN”。2、设置这台计算机的两个网卡的 IP 地址,假设企业内部网络的网络 IP 为:192.168.1.0,子网掩码为:255.255.255.0。那么,可以把名称为“LAN”的网卡的 IP 地址设置为:192.168.1.200;此外,假设企业已经申请了一个公共 IP 地址,假设为:131.107.1.200(子网掩码:255.255.0.0),那么可以把名称为“WAN ”的网卡的 IP 地址设置为:131.107.1.200。153、将防火墙软件 CD 放入光
39、驱中,以便自动启动安装程序,或者直接执行 CD 内的ISAAutorun.exe 程序。4、单击:“安装 ISA Server 防火墙软件”5、在“欢迎使用 Microsoft ISA Server 防火墙软件的安装向导 ”中,单击【下一步】。6、在“许可协议”画面中选择“我接受许可协议中的条款”,单击【下一步】。7、在“客服信息”画面中输入“用户名”、“单位”和“产品序列号”后,单击【下一步】8、在“安装类型”中,选择“典型,单击【下一步】。9、在“内部网络”画面中,需要添加内部网络的 IP 地址范围,由于 ISA Server 需要知道哪些 IP 地址的范围是内部,即需要被保护的,所以,在
40、这里必须指定内部网络的IP 地址范围。请单击【添加】。10、添加内部网络的 IP 地址范围的方法有多种,在这里单击【添加适配器】,这样就可以直接通过选中该计算机连接内部网络的网卡,从而让系统自动把该网卡所连接的内部网络地址范围添加进去。11、在“选择网络适配器”画面中,选中该计算机连接内部网络的网卡名称,即LAN,然后,单击【确定】。12、这时,就会显示出根据所选网络适配器而自动构建的网络的 IP 地址范围,单击【确定】。13、单击【下一步】14、在“防火墙客户端连接”画面中,选择是否支持早期版本的防火墙客服端。ISA Server2000 之后的防火墙客服端支持数据加密,安全性更好。因此,如
41、果在内部网络中16不存在早期版本的防火墙客服端,请不要选择“允许不加密的防火墙客服端连接”,而是直接单击【下一步】。15、在随后的“服务警告”画面中,显示将要被重启和禁用的服务,单击【下一步】。16、在“可以安装程序了”画面中,单击【安装】。17、出现“安装向导完成”画面时,单击【完成】。三、在内网的客户机上配置 SecureNAT 客户端,步骤如下:1、客户机 IP 为 192.168.1.10,子网掩码 255.255.255.02、将客户机网关设为内网网卡 IP 地址 192.168.1.13、DNS 服务器为 172.168.1.2四、在 ISA Server 上创建访问规则,操作为
42、“允许”,协议为“所有出站通讯”,访问源为“内部”,访问目标为“外部”,用户集为“所有用户”。1、单击左窗格中的“防火墙策略”,然后单击任务窗格的“任务”选项卡,接着单击“创建访问规则”。2、在“欢迎使用新建访问规则向导”画面中输入访问规则的名称,然后单击【下一步】。3、在“规则操作”窗口中,选择“允许”,然后单击【下一步】。4、在“协议”窗口中,单击下拉式箭头,可以看到 3 个选项。如果选择“所有出站通讯”,则意味着 ISA Server 将允许所有由内部网络到 Internet 的访问流量。如果选择“所选的协议”,那么还需要单击【添加】按钮来添加协议,ISA Server 将只允许被添17
43、加的协议流量可以传出;显然,如果允许传出的协议数量较少时,建议选择此项。如果选择“除选择以外的所有出站通讯”,那么还需要单击【添加】按钮来添加协议,不过ISA Server 将禁止这些协议流量的传出而开放其他协议流量的传出;显然,如果禁止传出的协议数量较少时,建议选择此项。5、单击【添加】按钮来添加协议,然后单击“通用协议”中选择“PING”,然后单击【添加】按钮。如果还需要添加其他协议,则可以继续选择协议,然后单击【添加】按钮,否则按【关闭】按钮。接着单击【下一步】。6、在“访问规则源”的画面中,选择发送方,请单击【添加】按钮。单击“网络”,从中选择“内部”,然后单击【添加按钮】。如果还需要
44、添加其他网络对象,可以再选择网络对象,继续单击【添加】按钮,否则按【关闭】按钮。接着,在左图中单击【下一步】。7、在“访问规则目标”的画面中,选择接收方,请单击【添加】按钮。单击“网络”,从中选择“内部”,然后单击【添加按钮】。如果还需要添加其他网络对象,可以再选择网络对象,继续单击【添加】按钮,否则按【关闭】按钮。接着,在左图中单击【下一步】。8、在“用户集”的画面中,可以选择特定的用户从而仅允许指定的用户账户可以访问。默认时,已经选择了“所有用户”,这意味着:允许 S 额 cure NAT 客户端上的匿名用户使用 PING 命令访问 Internet。如果希望限定用户身份,请单击【添加】按钮,在右图选择已有的用户集,或者在右图中单击“新建”从而新创建一个满足要求的用户集。接着,在左图中单击【下一步】。9、在“正在完成新建访问规则向导”画面中,单击【完成】。10、在弹出的警告窗口中,单击【应用】按钮,使该访问规则生效。18
