web服务器网站建设与管理服务器的搭建毕业论文.doc 46页

'web服务器网站建设与管理服务器的搭建毕业论文摘要IAbstractII第1章web服务器11.1web服务器的工作原理11.2web服务器的安全性问题11.2.1Web服务器面临的威胁11.2.2IIS的安全配置31.2.3Web服务器与操作系统31.2.4SSL安全机制41.3web服务器的配置过程4第2章流媒体服务器112.1流媒体服务器定义及特点112.2流媒体服务器的功能112.3流媒体服务器的安全问题112.3.1流媒体服务的特点112.3.2RTSP协议漏洞122.3.3流媒体服务DoS、DDoS攻击的防御策略122.4流媒体服务器的配置12第3章邮件服务器的搭建223.1邮件服务器工作原理及协议223.2比较几种邮件服务器软件的优缺点223.3常见的邮件服务器的安全问题243.4配置邮件服务器25第4章VPN服务器284.1VPN的原理及工作过程284.1.1vpn的概述284.1.2VPN基本原理284.2VPN服务器的意义294.3VPN服务器的安全问题并提出解决方法304.4VPN服务器的配置32总结44参考文献45第45页（共23页） 第1章web服务器WEB服务器也称为WWW(WORLDWIDEWEB)服务器，主要功能是提供网上信息浏览服务。WWW是Internet的多媒体信息查询工具，是Internet上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来Internet迅速发展，且用户数量飞速增长。Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型）。服务器使用HTTP（超文本传输协议）进行信息交流，这就是人们常把它们称为HTTPD服务器的原因。　　Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。1.1web服务器的工作原理Web是一种典型的基于浏览器/服务器（Browser/Server，简称B/S）的体系结构。典型的B/S结构将计算机应用分成三个层次，即客户端浏览器层、Web服务器层和数据库服务器层。B/S结构有许多优点，它简化了客户端的维护，所有的应用逻辑都是在Web服务器上配置的。B/S结构突破了传统客户机/服务器（Client/Server，简称C/S）结构中局域网对计算机应用的限制，用户可以在任何地方登录Web服务器，按照用户角色执行自己的业务流程。Web通过HTTP协议实现客户端浏览器和Web服务器的信息交换。1.2web服务器的安全性问题1.2.1Web服务器面临的威胁现在，Web服务器面临许多威胁，大部分威胁与您在系统中配置的应用程序、操作系统和环境有关。在这里，我仅归纳了最常见的服务器威胁。拒绝服务拒绝服务（DoS）是一种“老牌”服务器攻击。这种攻击很简单，通常由技术水平较低的被称为脚本小子（scriptkiddies）的年轻人发动此类攻击。总体而言，DoS攻击通过一个系统攻击另一个系统，其目的是消耗后者的所有资源（比如带宽和处理器时间），从而无法进行合法请求。通常，我们认为这是一种无聊的攻击，但您一定不要因此放松警惕，因为它造成的许多问题会让您半夜睡不着觉。分布式拒绝服务分布式拒绝服务（DDoS）攻击是DoS攻击的增强版，因为它更加恶劣、更加恼人。DDoS攻击的目标和DoS一样，但它的规模更大，也更加复杂。在DDoS攻击中，攻击者不是通过一个系统攻击另一个系统，而是使用多个系统攻击另一个系统，有时这种发出攻击的系统甚至多达几十万个。如果说DoS攻击仅会让人感觉讨厌的话，那么DDoS攻击则是致命的，因为它能迅速使服务器离线。不过，实施DDoS攻击需要很高明的技术。第45页（共23页） 比较常见的DDoS攻击包括：FTP跳转攻击。文件传输协议（FTP）跳转攻击指攻击者向有漏洞的FTP服务器上传一个结构特殊的文件，然后该服务器将这个文件转发到其他位置（通常是组织内的另一个服务器）。被转发的文件通常包含某些代码，其目的是在最终服务器上完成攻击者希望做的事情。端口扫描攻击。端口扫描攻击通过对主机进行系统的结构化扫描来实现。例如，某人可能扫描您的Web服务器，其目的是找到暴露的服务或其他可以利用的漏洞。只要具有可从Internet上免费获得的众多端口扫描器之一，任何人都可以轻松实现这种攻击。这也是最常见的攻击之一，因为它很容易实现，脚本小子通常利用它窃取服务器的主机名或IP地址（不过，他们通常不知道如何解析获得的结果）。注意，高级的攻击者将利用端口扫描挖掘信息。ping洪水（flooding）攻击。ping洪水攻击是一种简单的DDoS攻击。在这种攻击中，一个计算机向另一个系统发送一个包（ping），以找到关于服务或系统的信息。对于低级的攻击，ping流可用于偷偷地查找信息，但是如果要截取向目标发送的包，则要求系统离线或停机。这种攻击虽然是“老牌攻击”，但它仍然很有活力，因为很多现代的操作系统都容易受到这种攻击。Smurf攻击。这种攻击类似于ping洪水攻击，但它能巧妙地修改进程。在Smurf攻击中，首先向中间网络发送一个 ping 命令，然后在自身得到增强之后转发到攻击目标。以前的“点滴”流量现在变成了巨大的流量。幸运的是，这种攻击现在很少见。SYN洪水（flooding）攻击。这种攻击要求了解TCP/IP协议—即整个通信流程是如何工作的。通过一个类比就能够很好地解释这种攻击。这种攻击类似于向某人发送一封需要回复的信件，但是信封使用虚假的回信地址。收信人回复了信件并等待您的回复，但永远不能收到回信，因为它在某个地方被阻止了。只要针对系统的SYN请求足够多，攻击者就能够使用系统上的所有连接，从而阻止任何东西通过。P分片(fragmentation)攻击。在这种攻击中，攻击者凭借高级的TCP/IP协议知识将包分成更小的片段（即分片），从而绕过许多入侵检测系统。在比较严重的情况下，这种攻击会造成挂起、锁定、重启和蓝屏等。不过，这种攻击不是一般人能实施的。SimpleNetworkManagementProtocol(SNMP)攻击。SNMP攻击的主要目标是SNMP服务（用于管理网络及其上的设备）。因为SNMP用于管理网络设备，所以通过攻击该服务，攻击者能够详细了解网络的结构，从而为以后的攻击做准备。Web页面更改攻击在Internet上经常可以看到Web页面被更改。顾名思义，Web页面更改源于攻击者利用Web服务器的不良配置修改Web页面，其原因有很多，比如为了捉弄别人或推行某种政治主张。第45页（共23页） 1.2.2IIS的安全配置1.删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。2.删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁，例如Internet服务管理器(HTML)、SMTPService和NNTPService、样本页面和脚本，我们可以根据自己的需要决定是否删除。3.为IIS中的文件分类设置权限除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。4.删除不必要的应用程序映射ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。　在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。5.保护日志安全日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。修改IIS日志的存放路径默认情况下，IIS的日志存放在%WinDir%\System32\LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。修改日志访问权限，设置只有管理员才能访问1.2.3Web服务器与操作系统要创建一个安全可靠的Web服务器，必须要实现Windowsserver和IIS的双重安全，因为IIS的用户同时也是Windowsserver的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windowsserver操作系统的安全1.使用NTFS文件系统，以便对文件和目录进行管理。　　2.关闭默认共享　　3.修改共享权限　　建立新的共享后立即修改Everyone的缺省权限，不让Web第45页（共23页） 服务器访问者得到不必要的权限。4.为系统管理员账号更名，避免非法用户攻击。5.禁用TCP/IP上的NetBIOS6.TCP/IP上对进站连接进行控制　　鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]，在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮，只填入80端口。　　7.修改注册表，减小拒绝服务攻击的风险。　　打开注册表：将HKLM\System\CurrentControlSet\Services\Tcpip\Parameter的值修改为2，使连接对超时的响应更快1.2.4SSL安全机制SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外，还有一种安全性更高的认证：通过SSL（SecuritySocketLayer）安全机制使用数字证书。1.建立步骤启动ISM并打开Web站点的属性页；选择“目录安全性”选项卡；单击“密钥管理器”按钮；通过密钥管理器生成密钥对文件和请求文件；从身份认证权限中申请一个证书；通过密钥管理器在服务器上安装证书；激活Web站点的SSL安全性1.3web服务器的配置过程以Windowsserver2008系统为例首先要准备好自己提前做好的网页1.安装web服务器在服务器管理器中在角色选项中添加角色选择web服务器(IIS)然后安装以下图示为安装过过程第45页（共23页） 图1-1点击下一步第45页（共23页） 图1-2将安全性里的选项全部勾选第45页（共23页） 图1-3点击安装图1-4安装成功1.在电脑磁盘里新建一个文件夹将事先做好的网页放进新建文件夹里第45页（共23页） 图2-1网页文件位置1.建立web站点打开管理工具找到安装好的iis(internet信息服务器)管理器图3-1internet信息服务管理器4.右击网站点击新建网站如图1-3第45页（共23页） 图4-15依照图5-1配置web服务器图5-1配置6.网站建成结果为图1-4第45页（共23页） 图6-1一个能用的web网站建成7验证网站是否能访问输入网址http://192.168.33.130打开网页图7-1为打开网页的结果图7-1验证成功第45页（共23页） 第2章流媒体服务器2.1流媒体服务器定义及特点流媒体指以流方式在网络中传送音频、视频和多媒体文件的媒体形式。相对于下载后观看的网络播放形式而言，流媒体的典型特征是把连续的音频和视频信息压缩后放到网络服务器上，用户边下载边观看，而不必等待整个文件下载完毕。由于流媒体技术的优越性，该技术广泛应用于视频点播、视频会议、远程教育、远程医疗和在线直播系统中。作为新一代互联网应用的标志，流媒体技术在近几年得到了飞速的发展。而流媒体服务器又是流媒体应用的核心系统，是运营商向用户提供视频服务的关键平台。其主要功能是对媒体内容进行采集、缓存、调度和传输播放，流媒体应用系统的主要性能体现都取决于媒体服务器的性能和服务质量。因此，流媒体服务器是流媒体应用系统的基础，也是最主要的组成部分。2.2流媒体服务器的功能流媒体服务器的主要功能是以流式协议（RTP/RTSP、MMS、RTMP等）将视频文件传输到客户端，供用户在线观看；也可从视频采集、压缩软件接收实时视频流，再以流式协议直播给客户端。典型的流媒体服务器有微软的WindowsMediaService（WMS），它采用MMS协议接收、传输视频，采用WindowsMediaPlayer（WMP）作为前端播放器；RealNetworks公司的HelixServer，采用RTP/RTSP协议接收、传输视频，采用RealPlayer作为播放前端；Adobe公司的FlashMediaServer,采用RTMP(RTMPT/RTMPE/RTMPS)协议接收、传输视频，采用FlashPlayer作为播放前端。值得注意的是，随着Adobe公司的Flash播放器的普及（根据Adobe官方数据，Flash播放器装机量已高达99%以上），越来越多的网络视频开始采用Flash播放器作为播放前端，因此，越来越多的企业开始采用兼容Flash播放器的流媒体服务器，而开始淘汰其他类型的流媒体服务器。支持Flash播放器的流媒体服务器，除了AdobeFlashMediaServer，还有sewise的流媒体服务器软件和UltrantFlashMediaServer流媒体服务器软件，以及基于Java语言的开源软件Red5。2.3流媒体服务器的安全问题面对流媒体服务的巨大需求，在进一步提高服务性能、保证质量的同时，流媒体服务的安全性也成为亟待考虑的问题。由于流媒体服务具有连续性、实时性要求，且媒体服务双方自愿消耗相差悬殊，拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)攻击对流媒体服务的危害具有明显的放大作用。针对传统DoS、DDoS的攻击问题，许多学着已经在不同方面给出了比较有效的防御策略2.3.1流媒体服务的特点与大多数Internet应用相比，流媒体服务具有以下特点：1.服务器与用户消耗资源相差悬殊，使得针对流媒体应用的Dos、DDos攻击效果更加明显。2.2.流媒体服务具有媒体实时性、连续性的要求，用户体验要求高，即使瞬时的Dos、DDos攻击也能对流媒体的服务质量造成破坏。第45页（共23页） 3.流媒体服务采用RTSP作为用户与服务器之间的交互协议。RTSP存在一些“漏洞”，可以被攻击者利用，成为直接或者间接攻击流媒体服务的有效武器。以上特性使得传统的Dos、DDos防御策略不在有效2.3.2RTSP协议漏洞RTSP定义了一对所应用程序如何有效的通过ip网络传输多媒体数据，其中包括11个命令。针对这些命令编写了一套攻击工具攻击方法分为一下几类：1.泛洪攻击。例如Describe Flood，这类攻击通过向目标主机发送大量无用的RTSP请求，导致目标主机计算资源消耗在处理这些RTSP请求上。2.全连接攻击。例如Setup Attack和Play Attack，这类攻击具有持续性和放大性，需要消耗服务器更多的传输带宽、内存等资源。3.异常请求攻击。例如攻击者将请求的消息体长度Content-Length 设置很大，导致服务器必须构建较大的缓存来保留整个消息体，造成内存资源的大量消耗。2.3.3流媒体服务DoS、DDoS攻击的防御策略针对流媒体服务的DoS、DDoS攻击特点、将防御方案分成分成攻击检测和攻击反应2部分，他们针对playattack这类的攻击根据受信任ip地址列表与单个ip最大会话数的限制，检测为攻击的会话将被强行终止。检测为合法的会话将被继续服务。此时整个系统处于ddos攻击防御状态。除以上3类攻击反应策略以外。系统还设定了主动防御策略：当流媒体服务已经接近满负荷运行时，系统将主动进入“伪”攻击防御状态。这时流媒体服务将不再为新来的未受信任ip提供服务，只尝试为受信任的ip提供新的会话请求服务2.4流媒体服务器的配置以windowsserver2008系统为例首先要安装相应的流媒体插件Windows6.1-KB963697-x64.msu安装完成后要在服务器管理器中添加流媒体服务的角色然后在配置相应的流媒体服务的配置具体过程如下1.添加流媒体服务角色勾选下图1-1中的流媒体服务选项，然后按照默认的配置进行安装安装完成后在服务器管理器中会出现相应的windowsmedia服务选项第45页（共23页） 图2-1添加角色1.添加完成后在服务器管理器中打开windowsmedia服务选项出现图1-2界面对流媒体进行配置第45页（共23页） 图2-2配置然后选择添加发布点(向导)出现下图所示建立一个点播发布点图2-3配置添加发布点名称图2-4配置第45页（共23页） 图2-5配置图2-6配置第45页（共23页） 图2-7配置图2-8配置第45页（共23页） 图2-9配置图2-10配置第45页（共23页） 图2-11配置进入“单播公布向导”图2-12配置选择要播放的文件第45页（共23页） 图2-13配置图2-14配置第45页（共23页） 图2-15配置图2-16配置最后验证文件是否能播放打开windowsmediaplayer打开文件添加url确定后会播放此文件如下两个图所示可知建立流媒体服务器成功第45页（共23页） 图2-17配置图2-18配置第45页（共23页） 第3章邮件服务器的搭建3.1邮件服务器工作原理及协议邮件服务器的工作原理邮件服务器采用的是客户端服务器模式其工作过程如图3-1所示图3-1演示一个电子邮件系统有三个主要构件组成用户代理客户端应用程序邮件服务器邮件发送和邮件接收协议 1发件人用户代理撰写电子邮件点击“发送邮件”发送邮件的工作交个用户代理来完成用户代理用SMTP协议发给发送方 服务器用户代理充当SMTP客户发送服务器充当SMTP服务器发送之前建立TCP连接。 2SMTP服务器收到客户端发送来的邮件将其放到邮件缓冲队列中等待发送到接收发的服务器中。 3发送服务器的SMTP客户端与接收服务器的SMTP服务器建立TCP连接然后把缓冲队列中的邮件发到目的服务器。 4运行在接收方服务器的SMTP服务器进程收到邮件后把邮件发如收件人信箱等待读取。 5收件人打开计算机运行客户端软件使用POP3IMAP协议读取邮件。3.2比较几种邮件服务器软件的优缺点邮件服务器软件有很多下面简单介绍其中的10种邮件服务器软件第45页（共23页） 1.EQMail集成企业公告、电子邮件、手机短信、文件存储、日程共享、网络书签等多重功能于一体的高效协同通信平台，具备反垃圾邮件/防病毒安全功能。2.U-Mail独一无二的全球收发保证功能（服务器的IP在对方的垃圾邮件黑名单中，邮件照发不误，接近了众多企业用户在发送海外时存在的问题）。3.微软微软ExchangeServer是一个设计完备的邮件服务器产品，提供了通常所需要的全部邮件服务功能。除了常规的SMTP/POP协议服务之外，它还支持IMAP4、LDAP和NNTP协议。4.FoxmailFoxmail邮件客户端软件，是中国最著名的软件产品之一，中文版使用人数超过400万，英文版的用户遍布20多个国家，列名“十大国产软件”，被太平洋电脑网评为五星级软件。5.Magic安全易用全功能的邮件服务器软件，它既可以作为局域网邮件服务器、互联网邮件服务器，也可以作为拨号ISDN、ADSL宽带、FTTB、有线通(CableModem)等接入方式的邮件服务器和邮件网关。6.MerakMerakEmailServer邮件服务器，功能强大、安全、快速，支持SMTP/ESMTP/POP3协议，个人用户编辑、支持防毒系统，你梦想的功能尽在掌握。新版本增加了对远程SMTP账户病毒检查、为用户设定信任度，修正了备份系统的问题，增加了取消邮件预览功能。7.MDaemonMDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统，由美国Alt-N公司开发。它提供完整的邮件服务器功能，保护用户不受垃圾邮件的干扰，实现网页登陆收发邮件，支持远程管理，并且当与MDaemonAntiVirus插件结合使用时，它还保护系统防御邮件病毒。8.亿邮亿邮邮件服务器提供强大的多媒体邮件支持：内置HTML邮件、语音邮件、视频邮件功能，能处理INLINE格式的附件，确保HTML格式邮件的正确显示。9.RelayfaxRelayFax可以定时的在一天中的任一时间收集邮件，还可以在其他指定的邮件服务器上检查接受POP3邮件。RelayFax通过在指定的特殊时间接受邮件优化了性能，提高了可利用的带宽。10.WinProxy通过架设Proxy在局域网共享一个Internet连接,支持一HTTP,SecureSocketsTunneling,FTP(CERNandSocks),Telnet,NNTP,SMTP,POP3,Dial-Up-Networking,Blacklisting,LocalandRemoteLogging,RemoteAdministration等。第45页（共23页） 3.3常见的邮件服务器的安全问题电子邮件作为企业较常用到的网络通信方式，一直是企业关注的焦点，企业日常办公、商务交流等很大程度上依赖于邮件系统的助益。然而企业在使用邮件系统过程中也遇到不少困扰，其中安全问题最为突出，最让企业担心。今天我们就来梳理一下，邮件系统安全最常见的几个安全问题：1、用户密码猜测——据国外学者调查发现，现今用户密码设置普遍存在不安全因素，不法分子利用用户贪图方便设置弱口令的漏洞，对邮箱账户密码进行破解。比如网上搜寻、截获邮件地址等方式获取账户名称，再打开其企业邮箱界面，尝试输入猜测密码，一经得手，进入账户，盗取、删除、复制、转发等邮件操作。2、垃圾病毒邮件——众所周知，木马病毒肆虐一直是网络安全的重大威胁，而电子邮件是病毒传播的主要途径。用户的邮箱一旦被垃圾邮件进驻，占用大量空间和删除时间外，难免会错失一些重要邮件，如果被病毒邮件感染，造成账号密码曝光、机密邮件失窃、大量转发垃圾邮件、甚至有些病毒经邮件扩散到整个电脑系统，窃取其它账号信息等等严重后果也再所难免。3、黑客攻击——在利益链条的驱使下，世界各国时常发生黑客攻击、后门植入等攻击事件，引起网民的严重恐慌。据今年2月初消息报道，一家名为SwaggSec的黑客组织攻破富士康内网，曝光了所以邮箱账号和密码，其中包括CEO总裁邮箱账户。4、系统漏洞——不管是电脑系统还是邮件系统，在设计或是配置上都有漏洞存在的可能性，而这些漏洞、后门正是黑客攻破系统的站点。据悉，在拉斯韦加斯举行的“黑帽”和Defcon两场黑客大会上就公布了一些很惊人的研究。比如：专业研究公司NSS实验室发现了德国西门子公司工业控制系统中的一个“后门”，它可以让黑客摧毁核电站、油气管道、水处理系统、制药厂以及其他关键设施。而全世界其他工业设施所使用的老旧电脑系统中也存在诸多的系统弱点。在如此多的安全威胁下，电子邮箱的实时防护不得不提到日程前头，而用户如此重视，作为邮件服务商是不是更该重视邮箱安全问题呢？答案当然是肯定的。U-Mail邮件系统（www.comingchina.com）对于邮箱安全问题，就采取了一系列有效的保护措施，以降低用户邮箱遭受威胁几率，U-Mail防御安全问题的几大策略：1）密码安全问题，U-Mail采用邮件IP封锁、强密码保护账户安全。U-Mail邮件系统建议用户设置强密码，且管理员可登陆系统后台导出用户，查看是否有弱密码用户，进行提醒；同时U-Mail默认的密码输入错误次数是3次（用户可自行修改），一旦超出，系统将自动封锁该邮件IP客户端，直至用户到系统后台解封方可正常登陆。2）为真正拦截垃圾邮件、病毒邮件，U-Mail采取多管齐下、共同防御的措施来应对，像关键字过滤技术、基于规则的评分技术、动态黑白名单技术等都能起到很好的垃圾邮件拦截效果。同时24小时不间断病毒扫描，一旦发现病毒痕迹，立即采取隔离、清除或进行内容过滤后发送。再加上U-Mail拥有全球最大的垃圾病毒代码库，同步更新，能及时发现垃圾病毒，对用户邮箱进行实时防护。第45页（共23页） 3）多重综合安全网关防止黑客病毒源攻击。U-Mail邮件服务器安全网关具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。全天候有频率检测系统，一旦发现安全隐患和漏洞，及时作出堵截反应，终止同一来源的多个连接点的攻击，拒绝服务攻击，并利用网关内的指纹识别技术、可疑邮件意图分析等全面防范黑客通过各种渠道入侵用户系统。3.4配置邮件服务器本例以foxmail软件搭建邮件服务器并且在windowsserver2008操作系统平台上搭建邮件服务器安装过程如下列图示所示：1.安装foxmail软件（1）安装foxmail软件图3-1配置邮件服务器图3-2配置邮件服务器（2）配置软件第45页（共23页） 图3-3配置邮件服务器图3-4配置邮件服务器第45页（共23页） 图3-5配置邮件服务器（3）服务器配置成功图3-6验证成功第45页（共23页） 第4章VPN服务器4.1VPN的原理及工作过程4.1.1vpn的概述VPN（VirtualPrivateNetwork，虚拟专用网）。“虚拟”（Virtual）指的是一种逻辑连接，“专用或私有”（Private）指的是排他性的连接，“网络”（Network）指按某种协议进行通信的计算机集合。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN是对在公共通信基础设施上构建的“虚拟专用或私有网”连接技术的总称。VPN与真实网络的差别在于VPN以隔离方式通过公用网，VPN外的节点不能与VPN内的节点通信。基本信息处理过程如下图4-1所示图4-1SSLVPN方案4.1.2VPN基本原理VPN的基本思想很容易理解，假设公司有两个网络，相距很远，要用VPN连接，由两个VPN设备建立专用通道，数据传输过程如下图所示：第45页（共23页） 图4-2vpn基本工作原理1主机A建立分组，将其IP地址作为源地址，将主机B的IP地址作为目标地址，将分组发送到VPN设备1，通常是网关。2分组到达VPN设备1，VPN设备1在分组中增加一新头。在此分组中，将分组的源IP地址写为自己的IP地址V1，目标地址写为对等VPN设备2的IP地址V2，然后发送。3分组通过Internet到达VPN设备2，VPN设备2能够识别新增的头部，对其进行拆除，从而得到第1步由主机A生成的原分组，然后根据分组的IP地址信息，进行正常的转发。4.2VPN服务器的意义VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。第45页（共23页） 图4-3vpn的意义　　为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。　　在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用dsn（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet)进入企业的局域网，而这样必然带来安全上的隐患。　　虚拟专用网的提出就是来解决这些问题：　　⑴使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。　　⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。　　⑶连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。　　⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。4.3VPN服务器的安全问题并提出解决方法4.3.1vpn的用户认证用户认证是VPN的特点之一。在远程访问只有通过认证的远程用户才能穿越Internet不受限制地利用内部网资源。这种认证机制主要由PPP功能实现，方法也有多种。RADIUS是为接入服务器开发的认证系统，具有统一管理多个访问用户的用户数据库功能如图所示。1.PPP认证方式图1-1主要的PPP认证方式第45页（共23页） 在链路建立的第2个阶段进行用户验证，最常用的认证协议有口令验证协议PAP和挑战-握手协议CHAP。1口令验证协议PAP。口令验证协议PAP是一种简单的明文验证方式。网络接入服务器NAS(Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。因此PAP无法提供避免受到第三方攻击的保障措施2.挑战-应答验证协议CHAPCHAP是安全性比PAP更高的认证协议，在网上传递的不是口令而是一次性的随机数。CHAP采取了挑战应答认证方式，下图显示了认证流程图4-4vpn的认证流程3基于服务器的认证方式—RADIUSRADIUS（RemoteAuthenticationDialInUserService）由朗讯开发，1997年1月以RFC2085公布了第一版规范。原先的目的是为拨号用户进行认证和计费，后来经过多次改进，形成了一项通用的认证计费协议。RADIUS是为了接入服务器开发的认证系统，它具有集中管理远程访问“拨号用户”的数据库功能。换句话说，RADIUS是存放使用者的“用户名”及“口令”的数据库。接受远程用户访问请求的接入服务器向RADIUS服务器查询该用户是否为合法用户第45页（共23页） 图4-5RADIUS用户认证的体系结构RADIUS的基本工作原理用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行校验，必要时可以提出一个challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Require数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问4.4VPN服务器的配置以windowsserver2008操作系统为平台搭建vpn服务器图5-1搭建vpn服务器第45页（共23页） 图5-2搭建vpn服务器图5-3搭建vpn服务器第45页（共23页） 图5-4搭建vpn服务器图5-5搭建vpn服务器第45页（共23页） 图5-6搭建vpn服务器图5-7搭建vpn服务器第45页（共23页） 图5-8搭建vpn服务器图5-9搭建vpn服务器第45页（共23页） 图5-10搭建vpn服务器图5-11搭建vpn服务器第45页（共23页） 图5-12搭建vpn服务器图5-13搭建vpn服务器图5-14搭建vpn服务器第45页（共23页） 图5-15搭建vpn服务器图5-16搭建vpn服务器第45页（共23页） 图5-17搭建vpn服务器图5-18搭建vpn服务器第45页（共23页） 图5-19搭建vpn服务器图5-20搭建vpn服务器第45页（共23页） 图5-21搭建vpn服务器图5-22搭建vpn服务器第45页（共23页） 图5-23测试vpn服务器图5-24一个端口活跃第45页（共23页） 总结总之，服务器搭建是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。第45页（共23页） 参考文献[1]崔宝江．信息安全实验指导．北京：国防工业出版社，2005[2]蔡红柳，何新华，信息安全技术及应用实验．北京：科学出版社，2004[3]荆继武，信息安全技术教程.北京：中国人民公安大学出版社，2007年[4]庞南，信息安全管理教程.北京：中国人民公安大学出版社，2007年[5]杨永川，信息安全.北京：中国人民公安大学出版社，2007年[6]李冬静，信息对抗.北京：中国人民公安大学出版社，2007年[7]蒋平，电子数据.北京：中国人民公安大学出版社，2007年[8]闫强，电子商务安全管理.北京：机械工业出版社，2007年[9]石淑华，计算机网络安全.北京：人民邮电出版社，2005年[10]邵波，计算机安全技术及应用.北京：电子工业出版社，2005年[11]石志国，信息安全概论.北京：清华大学出版社，2007年[12]信息对抗与网络安全贺雪晨编著，清华大学出版社，2006年[13]朱建军，网络安全防范手册.北京：人民邮电出版社，2007年[14]闫宏生，计算机网络安全与防护.北京：电子工业出版社，2007年第45页（共23页）'