网站建设完全手册(下)
信息安全对网络系统来说,是一个非常重要又非常严重的问题,它涉及到从硬件到软件、从单机到网络的各个方面的安全性机制。而网络操作系统的安全性是整个网络系统安全体系中的基础环节。
1. Windows 2000下的用户管理和安全
网络和单个系统在Windows 2000下要远比Windows NT 4更加安全。但是,全面利用Windows 2000的安全性意味着必须使用活动目录服务Active Directory,并且需要相当重视管理并进行必要的培训。
当完成Windows 2000的安装以后,系统会自动建立Administrator(系统管理员)和Guest(来宾)账号。Windows 2000 Server首次启动是以系统管理员登录的,要更改系统管理员的密码(系统初值是没有密码),可以用Ctrl+Alt+Del三个键调出任务列表窗口,选择其中的“更改密码”更改管理员的密码。要注意,管理员密码修改后要妥善保存、记忆,一旦遗忘密码就再不能以系统管理员身份登录了。
要注意管理用户权限,不同的用户具有不同的权限。Windows 2000用户分为:(^53200018c^)
认证——确定用户是否已经在Windows 2000中经受了彻底检查。如果你拒绝采用Active Directory,Windows 2000 Server仍然支持NTLM(Windows NT LAN Manager,Windows NT局域网管理器)协议,因而能够对原有的客户进行认证,不过Active Directory还提供了对Kerberos 5的支持。Kerberos最大的好处是单次登录,登录后客户不需要重新认证就能访问网络中的其它Windows 2000服务器。
2. Linux中的用户管理和安全
* 用户磁盘配额管理
普通用户和用户组加入磁盘配额限制
Linux的quoto程序允许为系统上每一用户或用户组指定所能使用的配额。quota的具体设置步骤:
①编辑系统初始脚本(RedHat是/etc/rc.d/rc.sysinit,别的发行版可能有所不同)让它检查并激活quota。
# Check quota and then turn quota on.
if [ -x /usr/sbin/quotacheck ]
then
echo ″Checking quotas. This may take some time.″
/usr/sbin/quotacheck -avug
echo ″Done.″
fi
if [ -x /usr/sbin/quotaon ]
then
echo ″Turning on quota.″
/usr/sbin/quotaon -avug
fi
在RedHat 7.0版的/etc/rc.d/rc.sysinit文件中已包含了以上语句,请检查你自己的系统初始脚本文件,根据具体情况进行添加。注意必须让其在/etc/fstab之中。
②编辑 /etc/fstab。你的 /etc/fstab 文件可能会是这样的:
/dev/hda1 / ext2 defaults 1 1
/dev/hda2 /home ext2 defaults 1 1
选择用户所在分区所在行的第四个域,为用户加入 quota支持,如下:
/dev/hda1 / ext2 defaults 1 1
/dev/hda2 /home ext2 defaults,usrquota 1 1
如为用户组加入quota支持,可将usrquota替换为grpquota。
如两者兼而有之,可将这两项一并写入,如下:
/dev/hda1 / ext2 defaults 1 1
/dev/hda2 /home ext2 defaults,usrquota,grpquota 1 1
③建立quota记录文件quota.user和quota.group。进入用户所在分区根目录,如上例中打入cd /home即可,按下面命令建立文件:
touch quota.user
touch quota.group
chmod 600 quota.user quota.group
完成上面几步以后,重新启动计算机以使设置生效。
④为用户或用户组设置磁盘配额限制。假设在你的系统上有一名为picker 的用户,现在想给他10MB的硬盘配额限制,他所拥有的最大文件数不得超过100个。执行edquota -u dquo,系统将进入编辑环境(具体编辑环境视editor变量设置而定),添加如下三行:
Quotas for user picker:
/dev/hda2: blocks in use: 14,limits (soft=0,hard=10240) /*用户已使用块的大小*/
inodes in use: 12, limits (soft=0, hard=100)/* 用户现有文件的大小*/
有时想给一批用户加上同样的限制,比方说,给系统上所有100个用户加上与picker同样的限制,可手工先给picker加上限制,然后执行下面命令:
edquota -p picker ′awk -F: ′$3 > 499 {print $1}′/etc/passwd′
给用户组设置磁盘配额限制与普通用户类似,假设有一用户组game,执行 edquota -g game即可。
*控制用户的登录地点
文件/etc/secruity/access.conf可控制用户登录地点,为了使用access.conf,必须在文件/etc/pam.d/login中加入下面行:
account required /lib/security/pam-access.so
access.conf文件的格式:
permission : users : origins
其中:
permission:可以是 “+”或“-”,表示允许或拒绝。
user:可以是用户名、用户组名,如果是all则表示所有用户。
origins:登录地点。local表示本地,all表示所有地点,console表示控制台。另外,origins也可以是某一网络。
后面两个域中加上 except是“除了”的意思。例如:除了用户wheel、shutdown、sync禁止所有的控制台登录:“-:ALL EXCEPT wheel shutdown sync:console”。
root账户的登录地点不在access.conf文件中控制,而是由/etc/securetty文件控制。
#1 (六)路由器
1. 路由器介绍
路由器(Router)用于连接多个逻辑上分开的网络——一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器来完成。路由器需要具有判断网络地址和选择路径的功能,它能在多网络互联环境中,建立比较灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。它不关心各子网使用的硬件设备,但要求运行与网络层协议相一致的软件。
一般说来,异种网络互联与多个子网互联都应采用路由器来完成。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的地点。选择最佳路径的策略即路由算法是路由器的关键所在。
在路由器中保存着各种传输路径的相关数据——路径表(RoutingTable),供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。由系统管理员事先设置好固定的路径表称之为静态(static)路径表,一般是在系统安装时就根据网络的配置情况预先设定的,当网络结构改变时需管理员手工改动相应的表项;动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议(RoutingProtocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
2. 将Windows 2000 Server配置成路由器
Microsoft Windows 2000 Server 的“路由和远程访问”服务是一个全功能的软件路由器和一个开放式路由和互联网络平台。它为局域网 (LAN) 和广域网 (WAN) 环境中的商务活动,或使用安全虚拟专用网络 (VPN) 连接的 Internet 上的商务活动提供路由选择服务。“路由和远程访问”服务通过多种硬件平台和数以百计的网卡,提供了很多经济功能和工作。“路由和远程访问”服务可以通过应用程序编程接口 (API) 进行扩展,开发人员可以使用 API 创建客户网络连接方案,新供应商可以使用 API 参与到不断增长的开放互联网络商务中。
要安装和配置 Windows 2000 路由器,硬件需求为:
* 带有合格网络驱动器接口规范 (NDIS) 驱动程序的 LAN 或 WAN 适配器。
* 一个或多个兼容的调制解调器和一个可用的 COM 端口。
* 带有多远程连接的可接受性能的多端口适配器。
* X.25 智能卡(如果使用 X.25 网络)。
* ISDN 适配器(如果使用 ISDN 专线)。
当安装 Windows 2000 服务器时,将自动安装路由组件,但“路由和远程访问服务”是处于“禁用状态”的。
* 使用“路由和远程访问”服务 如果此服务器是 Windows 2000 Active Directory 域成员,需要将此服务器的计算机帐户添加到的“RAS 和 IAS 服务器”安全组,此服务器是该域中的成员;通过使用 Active Directory 用户和计算机或使用 netsh ras add registeredserver 命令,域管理员可以将计算机帐户添加到“RAS 和 IAS 服务器”安全组;打开路由和远程访问;默认状态下,将本地计算机列出为服务器;要添加其他服务器,请在控制台目录树中,右键单击“服务器状态”,然后单击“添加服务器”;在“添加服务器”对话框中,单击适当的选项,然后单击“确定”;在控制台目录树中,右键单击要启用的服务器,然后单击“配置并启用路由和远程访问”;按照“路由选择和远程访问向导”中的指示进行操作。
* 查看远程访问服务器的属性 右键单击要查看属性的服务器名,然后单击“属性”。
* 打开路由和远程访问 要打开路由和远程访问,请单击“开始”,指向“程序”,指向“管理工具”,然后单击“路由和远程访问”。
* 创建静态 IP 地址池 打开路由和远程访问;右键单击要创建静态 IP 地址池的服务器名,然后单击“属性”;在“IP”选项卡,单击“静态地址池”,然后单击“添加;在“起始 IP 地址”中,键入起始 IP 地址,然后在“结束 IP 地址”中键入结束 IP 地址的范围或在“地址数”的范围中键入 IP 地址数;单击“确定”,然后重复与需要添加范围相同次数的步骤。
这样,我们就可以创建静态路由了。TCP/IP通讯时,使用IP和netmask来确定机器所在的子网,如果是同子网的机器间通讯,就直接用广播的方法传过去。
路由分为动态路由和静态路由。其中静态路由是很简单的,就是在网络中从源地址到任意的目的地址都只要一条固定的传送路线;动态路由也就可以有好几条传送路线,动态路由的好处在于如果一条路线不通了还可以使用另外一条路线。
3. 将Linux配置为路由器
Linux 做路由是很容易的,不过要分析清楚不同的情况。
只要清楚运行的路由协议就可以了,如果是静态路由的话,先设置好你的网卡,使得你做路由的机器可以ping通外面和里面子网。Redhat 的设置比较简单,只要用netconfig加上就可以了,这时候路由就算配置好了,不过要注意的是,Redhat上的IpForwarding(IP地址转发)的开关缺省是关上的,需要在netconfig里面设为打开,也可以手工修改/etc/sysconfig/network文件和/etc/sysconfig/network-script目录下的if-eth(?代表0,1,2等,为网卡编号)等文件。
#1 (七)防火墙
1. 认识防火墙
防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。防火墙是一个系统,主要用来执行两个网络之间的访问控制策略。它可为各类企业网络提供必要的访问控制,但又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业的关键资源。
防火墙在内部网与外部网之间起两个作用:
(1)IP包过滤——保护作用。
(2)路由——网络互连作用。
防火墙是一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问,逼使各连接点的通过能得到检查和评估。
从诞生到现在,防火墙已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙,像NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件很多,除了下面要专门介绍的IPCHAINS外,还有很多,如:Sinus Firewall、Jfwadmin等。
2. RedHat Linux防火墙的安装——IPCHAINS
IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求,或从外部通往内部网的请求,都进行监听、检查、评估、转发、拒绝等动作。RedHat Linux 7.0中防火墙的安装:
* 手工修改 /proc/sys/net/ipv4/ipforward文件,将其内容置为1。
* 在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件。
* 在/etc/rc.d/目录下的rc.local文件中加上下面这段代码。if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;
以后所有的IPCHAINS的配置命令都将在rc.ipfwadm文件里修改。
IPCHINS对机器的管理是通过对机器的IP地址作为标志的。你的局域网的机器的IP地址已经分配好,并且你对之相当熟悉。
IPCHAINS的配置规则一般是围绕着input、output、ipforward这三个规则进行的,其中input是指对内连接请求的过滤规则,output是指对外连接请求的过滤规则,ipforward是指对内部与外部通讯包的转发。
IPCHAINS的命令格式一般是:
ipchains [ADC] ipchains规则 [ipchains 选项]。
现在假定企业的内部网网段为192.168.0.1~192.168.0.255.其中防火墙的主机的IP地址为:192.168.0.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。
配置IPCHAINS防火墙规则一般有两种方式:首先允许所有的包,然后在禁止有危险的包通过防火墙;首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。比较而言,第二种方式的做法更为安全。
下面是是一个rc.ipfwadm的文件内容:
/sbin/depmod -a /*自动加载所需模块,如果觉得这样有危险,需手动指定安装模块,可以如下面这一小段就是手动指定加载模块*/
#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_ftp /*加载ip伪装的ftp模块*/
#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc /*加载ip伪装的irc模块*/
#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio
#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_user
#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw
/sbin/modprobe -a -t /lib/modules/2.2.10/ipv4/ip_masq* /*自动加载ip伪装的相关模块*/
ipchains -F /*刷新所有的ipchains规则*/
ipchains -P forward DENY /*拒绝转发所有的ip包*/
/*下面允许特定的包通过*/
/*开设权限比较高的主机*/
ipchains -A forward -s 192.168.0.100/32 -j MASQ /*允许内部的192.168.0.10主机不受限制访问。比如老板*/
ipchains -A forward -s 192.168.0.12/32 -j MASQ /*允许内部的192.168.0.12主机不受限制访问。比如系统管理员,在依次添加*/
/*某些机器,因需要不能对外连接*/
ipchains -A forward -s 192.168.0.3/32 -j DENY /*此机器为内部文档专用机,不能访问外部*/
/*设置内部普通用户能访问的站点*/
ipchains -A forward -d 61.128.128.68 -j MASQ # FJ-DNS /*这是上网的DNS服务器*/
/*以下是普通用户能访问的站点,根据需要可以对其增删改*/
ipchains -A forward -d 61.128.128.108 32 -j MASQ
/* www.public.cta.cq.cn*/
……
#1 五、网站主流服务DIY
Internet的发展发展非常迅速,其所能提供的服务也越来越多,日益渗透到人们的生活中,成为日常交流中不可缺少的一部分。一般说来,一个企业网络所提供的典型服务应该由以下几个方面构成:
#1 (一) WWW服务—主页发布
1.WWW简介
WWW(Word Wide Web)是目前Internet上最热,使用最广的服务。
实现WWW的基础是HTTP(HyperText Transfer Protocol,超文本传输协议)和HTML(HyperText Makeup Language,超文本标记语言)。HTTP是Web进行信息交换的标准,它是一种快速,适用,用于分布式、协作的超媒体信息系统的应用层协议。HTML由普通文本、图像等和一些标记格式信息的符号标记所组成,它不仅可以显示文本,还可以显示图像、声音等多媒体信息以及以多种方式进行网上交互,而且,通过建立超级链接,可以使文本之间方便的进行导航——这是WWW的最大的优点之一。符合HTML标准的超文本文件组成了Internet上的Web页面,它是规范的结构化文件,可用多种简便的编辑工具进行开发,具有功能强大,开发简单,使用方便的特点,是理想的网上信息发布方式。
WWW是通过一种可扩展的客户/服务器方式实现的。客户端即客户端软件称为浏览器(如IE、Netscape等),它安装在每一个需要查看信息的计算机上,负责提出页面请求,解释页面和显示页面内容。服务器端即HTTP服务器,它负责监视HTTP请求,根据客户端请求发送页面文件和组织发布内容文档。常见的HTTP服务器有Microsoft的IIS,还有世界第一占有率的Apache服务器等。
2.Windows 2000 Server 操作系统
Windows 2000中内建的IIS 5.0是一个应用非常广泛的WWW信息发布工具。作为一个强大的Web服务程序,IIS 5.0不仅具有一般的WWW服务器程序所应有的功能,还可以通过多种方式来增强WWW的应用功能:
(1)通过CGI(通用网关接口)和ISAPI(Internet Server API)扩展Web服务器功能。
(2)Internet数据库连接器(IDC,Internet Database Connection),以实现对数据库的查询和更新,使用方便但功能有限。
(3)ASP技术,实际上是Web服务器端的语言开发环境,是开发动态的、交互的、高性能的Web服务应用程序的强大工具。
WWW站点管理根本上取决于管理员的能力,但还是可以使用一些基本的工具和步骤来应付普通的管理任务和突发事件。WWW服务器的配置包括以下特性表的配置:
(1)Web站点选项卡 选择一个名称来描述该站点,指定该站点的IP地址。在“高级…”对话框中,还可以进一步的设定该站点的IP地址,TCP端口号(端口号是必需的,它是区分网络服务的一个重要标志)以及主机名称等。如果采用安全套接字层 (SSL) 加密,要指定SSL使用的端口号。在连接项中,指定访问WWW站点的最大连接数和系统超时的情况。如果需要记录站点的访问情况,选择启用日志记录。
(2)操作员选项卡 指定在Windows 2000的用户帐号中指定对站点拥有操作权的用户帐号。不一定是系统管理员组的成员,操作员只具有站点管理权限。
(3)性能选项卡 根据站点的具体情况设定每天访问站点的人数,相应的调整WWW站点所占用的系统内存的大小。此外,为了保证网络的可用性,我们可以通过启用带宽限制来限制WWW站点所能够使用的带宽,这样,在一台运行了多个服务的服务器上,其它服务也能享用一定的带宽。
(4)ISAPI 筛选器选项卡 ISAPI 筛选器是当 WWW 服务器接收到 HTTP 请求时进行响应的程序。它们与应用程序的不同之处在于它们是靠 WWW 服务器事件驱动而不是客户请求驱动的。可以使 ISAPI 筛选器与特定 WWW 服务器事件关联;其后,每次关联事件发生时都将通知筛选器。例如,当读或写事件发生时将通知筛选器并由其对返回到客户端的原始数据进行加密。如果客户通过浏览器提出的HTTP请求触发了一个筛选器为之注册的事件,则筛选器将接收到包含在请求中的数据,不管该请求是针对文件、CGI 应用程序或是 ISAPI 扩展名。
(5)主目录选项卡 WWW站点必须有一个主目录(发布的网页的中央位置)。主目录可以是本计算机上的目录或另一计算机上的共享位置(必须在本计算机上能够通过本地网络访问),指定共享位置的方法是选定“另一计算机上的共享位置”,然后在“网络位置”框中按照“\\服务器\共享名”的格式输入服务器名称和共享名称。共享需要网络目录的安全身份验证,则可单击“连接为…”,在“网络目录安全身份验证凭据”对话框中输入用户名和密码。确定了主目录的位置之后,可以设定用户在该目录的权限(读取、写入、脚本资源访问、目录浏览、日志访问索)。
(6)文档选项卡 默认文档的设定。默认文档是当来访问的客户只指定了浏览目录,而没有具体指定浏览的哪个页面(如filename.htm)时所显示的默认页面。在此特性表中,启动文档页脚,需要指定一个 HTML 格式的页脚文档,附加到 Web 服务器所发送的每个文档中,请选择该选项。页脚文件不应是一个完整的 HTML 文档,而应该只包括需用于格式化页脚内容外观和功能的 HTML 标签。
(7)操作员选项卡 指定在Windows 2000的用户帐号中指定对站点拥有操作权的用户帐号。
(8)目录安全性选项卡 设定匿名访问和安全控制、IP地址和域名控制和安全通信。WWW站点通常采用匿名访问机制。对匿名访问的设置,可以单击“匿名访问和验证控制”旁边的“编辑…”,在验证方法对话框中,单击“编辑”来指定一个Windows 2000的用户帐号,使所有网站的访问者使用该帐号以匿名方式登录,这样,就可以通过指定该帐号的访问权限来保证用户访问的安全性。允许或阻止特定用户、计算机、计算机组或域访问该 Web 站点、目录或文件,请单击IP地址和域名控制框中的“编辑…”。其中,允许访问将会向除用户指定的地址之外的所有客户授予访问权;禁止访问将禁止除用户指定地址之外的所有客户的访问。电子商务站点都必须采取“安全机制”来保证安全的可靠性。单击“服务器证书”,进入IIS的“Web服务器证书向导”。安装有效服务器证书后才能使用 Web 服务器的安全通信功能。安全通信是一个比较复杂的内容,如果你需要建立电子商务站点,可以向有关机构申请安全证书,安装后,即可使用安全通信。
(9)自定义HTTP标题选项卡 将用户自己编写的HTTP标题发送给客户浏览器;还可以根据站点提供的内容定义内容分级,在HTTP标题中加入内容级别,使客户可以在浏览器端选择过滤不接受的内容。
(10)自定义错误信息选项卡 自定义发送给客户的 HTTP 错误信息;服务器扩展选项卡 设置 FrontPage 扩展站点的发布控件。
在Internet服务管理器中,选定要配置的WWW服务器,单击右键,选择“新建”、“虚拟目录”,则启动虚拟目录创建向导;选择“新建”、“站点”,则启动WWW站点创建向导。按照向导的要求填写和选择必要的目录,即可创建虚拟主机和虚拟目录。
3.Linux操作系统
在Red Hat Linux 7.0中,Apache将自己的所有配置文件和日志文件放在了“/etc/httpd”目录下,其中“/etc/httpd/conf”下为配置文件,“/etc/httpd/log”下为日志文件。同时,它将建立“/home/httpd”目录,并在其下建立三个子目录:“html/”:在这个目录下存放HTML(主页)文件;“cgi-bin/”:在这个目录下可以存放一些CGI程序;“icons/”:在这个目录下是服务器自带的一些图标。
Apache服务器软件的配置文件主要有:“access.conf”:用于设置系统中的存取方式和环境;“httpd.conf”:用于设置服务器启动的基本环境;“srm.conf”:主要用于做文件资源上的设定;“mime.type”:记录Apache服务器所能识别的MIME格式。
#1 (二)电子邮件服务
在Internet上,可用于E-mail服务(包括E-mail的传输和分发)的有几种协议,但最广泛使用的是简单邮件传输协议(SMTP)。常用的有关电子邮件的服务器端软件有基于Windows NT/2000平台的IIS里边的SMTP服务和Microsoft Exchange Server等和基于UNIX/LINUX平台的Sendmail、Postfix和Qmail等。电子邮件服务中经常用到的通讯协议有SMTP,POP3和IMAP。
1.SMTP(Simple Mail Transfer Protocol)
SMTP是一组规则,用于由源地址至目的地址传送电子邮件。一般所使用的邮件地址如下:lk@xuanze.net,在@符号前面的字符串“lk”指定邮箱名称,@后面的字符串“xuanze.net”指定主机名。在lk@xuanze.net的邮件地址中,“lk”是给定的主机“xuanze.net”上的邮箱名。E-mail服务器一般使用SMTP协议发送和接收邮件。要发送邮件的用户通过E-mail服务器的用户引擎部分和本地邮件系统(如Outlook Express、Foxmail等)相互作用,邮件被存放在发送方SMTP服务器的邮件输出邮箱中。发送服务器周期地轮询输出邮箱,当它在邮箱中找到一条邮件信息时,与邮件要被发送到的目的主机(收件人邮件地址中@后面指定的主机名)建立一个连接。然后通过该连接,将邮件发送到目的主机上面,放入指定用户的邮箱中。接收邮件的用户则通过和E-mail服务器的相互作用,使用诸如POP3的一个邮件协议来接收邮件。SMTP希望接收邮件的目的主机是联机的,否则,就不能和目的主机建立一个连接。
2.Windows 2000 Server操作系统
Windows 2000 Server的SMTP服务是IIS组件的一部分,可以通过Internet服务管理器(ISM)非常方便地来管理SMTP服务器。
首先,需要配置一个本地(默认)域。默认域用于标记来自于该域的地址的消息。一个 SMTP 虚拟服务器有一个默认域。该默认域不能被删除。默认域是在“控制面板”、“网络”中配置TCP/IP属性时指定的。
我们通过Internet服务管理器访问SMTP服务的特性表来配置SMTP服务器:
(1)常规选项卡 主要用来设置基本的连接参数。这些参数包括指定使用那个端口(端口是用来区分Internet应用的)连接,指定同时能够连接的数目,决定每个连接的时间长度,超时的时间,启用或者关闭SMTP站点的日志记录等等。
(2)访问选项卡 可以配置客户机对 SMTP服务器的访问以及建立相应的传输安全机制。使用“访问控制”,可以配置SMTP服务来允许匿名访问或者选择一个或多个身份验证方法,提示用户在使用SMTP服务时输入用户名和密码。一旦授予访问权限,“安全通讯”使您能为虚拟服务器设置安全性,并且“连接控制”允许您授权或拒绝特定的用户或组对虚拟服务器的使用。若要防止处理不必要的邮件,可以使用“通讯…”里边的“连接控制”阻止某些计算机对SMTP服务器的访问。
(3)邮件选项卡用来限制邮件的传输要求和限制,其中包括限制邮件大小、会话大小、每个连接的邮件数、每个邮件的收件人数和未发送报告和死信目录的指定等等。
(4)传递选项卡 用来设置所有的发送和路由选项。其中包括设置发送邮件的重试间隔,限制发送时到服务器的跳跃总数,以及确定用来代替发件人原始域名的虚拟域名。在“出站安全”中,可以配置 SMTP 服务器提供接收服务器要求的身份验证凭据,也可以要求使用“传输层安全”(TLS) 对会话进行加密。
(5)LDAP路由选项卡 用来指定用于该 SMTP服务器的目录服务服务器的标识和属性。该目录服务将存储有关邮件客户及其信箱的信息。SMTP 虚拟服务器使用“轻便目录存取协议”(LDAP) 来与该目录服务进行通讯。可以配置 SMTP服务器来参考 LDAP服务器辨识发件人和收件人。例如:可以将 Windows 2000 的Active Directory 用作 LDAP 服务器,并使用“Active Directory 用户和计算机”来创建一个可在 SMTP服务器上自动扩展的组邮寄名单。
(6)安全选项卡 可以指定能对SMTP站点访问的用户帐号列表。
Windows 2000中的SMTP服务器的访问安全性主要表现在几个层次上面:首先,你可以授权或拒绝来自特定的计算机或者网络的访问。其次,对于允许访问SMTP服务器的计算机,你能够要求对发送到服务器的邮件进行TLS加密。最后,你能够授权或拒绝来自特定的用户帐号的访问。你能够通过确定SMTP服务器性能所要达到的目标来选择你所应该采取的安全措施。在SMTP服务的设置中,有两个特性表和安全性设置相关。在安全特性表中,你能够对特定的帐号指定权限。在传送特性表中,提供了对于特定的计算机和以及对于TLS加密的设置。
要监控Windows 2000 Server的SMTP服务可以通过查看传输日志记录文件来跟踪一个邮件的传输,包括接收时间、发送到本地邮箱和收件人的访问等等。可以在SMTP服务的常规特性表中指定四种记录格式之一来跟踪SMTP 服务的使用情况。缺省的日志格式是Microsoft IIS格式。
3.RedHat Linux 7操作系统
RedHat Linux 7安装光盘中自带的缺省邮件服务器软件为Sendmail 8.11.0。
Sendmail是发展历史悠久的邮件服务器软件,在可移植性、稳定性及确保没有bug方面有一定的保证。Sendmail在发展过程中产生了一批经验丰富的Sendmail管理员,并且Sendmail有大量完整的文档资料,网络上有大量的教程、FAQ和其他的资源。Sendmail有很多的商业支持,而且由于大量的用户群,在互联网上有大量的潜在技术支持。
在基本网络设置做好的情况下,在RedHat Linux 7下,可以利用netconf工具(有文本形式的,也有Xwindow 下面)来对E-mail服务器进行配置。
#1 (三)FTP服务—上传下载
1.FTP简介
FTP(File Transfer Protocol)服务也是网络提供的基本服务之一,通过FTP传输协议,用户通过网络将一台机器上的文件传送到另一台机器上。从远程计算机拷贝文件至自己的计算机上,称之为“ 下载”(download)文件。若将文件从自己的计算机中拷贝至远程计算机上,则称之为“上传”(upload)文件。FTP的实现要有两个方面,一是FTP服务器,另一个就是FTP客户。
2.Windows 2000 Server操作系统
FTP服务随着IIS组件安装后,自动设置的FTP服务的默认主目录Ftproot。主目录Ftproot是FTP服务的目录树结构的起始位置,如果不指定主目录,FTP服务就无效。FTP服务的主目录又被称为FTP服务的根目录,可以在FTP站点的属性主目录特性表中配置它的具体位置。一般情况下,该主目录及其内部创建的所有子目录对所有用户都有效,在此主目录中的子目录可以很容易地用来组织内容、实施管理。
配置FTP服务主要是通过Internet服务管理器访问其特性表:
(1)FTP站点选项卡 控制对FTP服务的访问,可以设定连接超时,设定最大连接数和日志设定以及监控会话等等。
(2)安全帐号选项卡 可以设置站点是否允许匿名用户(anonymous)登录和指定此FTP站点的操作员。
(3)消息选项卡 配置欢迎信息、退出信息和最大连接数信息。
(4)主目录选项卡 为用户配置主目录路径、设定访问权限和目录风格等。
(5)目录安全选项卡 让IIS同意或者拒绝来自特定IP地址的FTP访问。
在Internet服务管理器中,选定要配置的FTP服务器,单击右键,选择“新建”、“虚拟目录”,则启动虚拟目录创建向导;选择“新建”、“站点”,则启动FTP站点创建向导。按照向导的要求填写和选择必要的目录,即可创建虚拟主机和虚拟目录。
在FTP服务中,注释文件有时被用来概括特定目录的描述。FTP服务器的每个目录中均可以包含一个注释文件。当用户查看目录列表时,该注释文件自动显示在Web浏览器上面。创建注释文件的步骤:
(1)创建一个名为ftpsvc.ckm的文件,并把它放入想要注释的目录中。
(2)将它修改为隐藏文件。
(3)运行Regedit,在注册表编辑器中选择HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\MSFTPSVC\Parameters,在编辑器的右边单击右键,选择“新建”、“双字节值”,然后输入键名“AnnotateDirectories”,然后编辑双字节值,修改数值数据为1,意为启用目录注释。
3.RedHat Linux 7操作系统
Linux环境下有许多ftp服务器软件可供选择,但是目前最常见的仍然是wu-Ftpd服务器。RedHat Linux 7.0中内建的FTP服务程序是wu-ftpd。
wu-ftpd的指令有ftpshut(关闭ftp服务)和ftprestart(重新启动ftp服务)。wu-ftpd总共有6个配置文件,它们都位于/etc子目录下。(^53200018d^)
#1 (四)网络数据库服务
数据库的主要产品有Oracle数据库(Oracle)、DB2数据库(IBM)、Sybase 数据库(Sybase)、MS SQL数据库(微软)、Informix数据库(Informix)、MySQL数据库和Postgres数据库等等。
在网络数据库应用方面,目前应用得较多的是MySQL数据库系统。MySQL具有很高的性价比,具有很好的开发扩展性。由于网络数据库在容量要求和反馈速度上要求很高,MySQL作为海量数据库完全有能力替代其他数据库产品。MySQL是一个精巧的SQL数据库管理系统,虽然它不是开放源代码的产品,但在某些情况下你可以自由使用。由于它的强大功能、灵活性、丰富的应用编程接口(API)以及精巧的系统结构,受到了广大自由软件爱好者甚至是商业软件用户的青睐,特别是与Apache和PHP/PERL结合,为建立基于数据库的动态网站提供了强大动力。MySQL在Windows 平台下面有共享版本,在 Linux平台下面有免费版本。
Windows 2000 Server 是一种强有力的数据库应用程序服务器,集成了网络操作系统和 Internet 服务。由于具有较高的系统度量功能、支持巨大物理内存,还有高水平的系统可靠性和安全性,Windows 2000 Server 成为理想的工作平台,适用于精深的数据库工作,包括各种业务、电子商务和数据仓库的解决方案。
Windows 2000 不需要进一步配置,但是,您需要安装数据库服务器以便充分利用 Windows 2000 的数据库性能。
在安装了操作系统后,就可以用ASP(Windows 2000中)、HPH/Perl等脚本语言编写Web数据库应用程序了,为网站增添高级交互能力。
#1 (五)CA认证服务——网络护照
数字证书是用于在Internet上建立人们身份和电子资产的数据文件,保证了安全、加密的在线通信并常常被用于电子商务中保护在线交易。数字证书由被称为认证中心(CA)的可信赖的第三方来发放。CA认证证书持有者的身份并“签署”证书来证明证书不是伪造的或没有以任何方式篡改。
一台Web服务器用来向用户浏览器证实自己真实性的证书也可以使用公共密钥。当用户打算向Web服务器发送保密信息(如用于一次在线交易信用卡号)时,用户浏览器将索取服务器数字证书中的公共密钥来证实Web站点的身份。
当一个证书由CA进行数字签署时,其持有者可以使用它作为证明自己身份的电子护照。它可以向Web站点、网络或要求安全访问的个人出示。内嵌在证书中的身份信息包括持有者的姓名和电子邮件地址、发证CA的名称、序列号以及证书的有效或失效期。当一位用户的身份由CA所确认后,证书使用持有者的公共密钥用来保护这一数据。
Windows 2000 Server中的Certificate Service服务器安装了之后,必须配置好了才能运行。点击配置,启动“证书服务安装向导”;选择“独立根 CA”(如果选择从属的根CA,则其证书必须由其他的CA颁发);填写标识信息以及有效期限;指定证书数据库位置和共享文件夹位置;则开始正式安装认证服务的组件(如果正在运行IIS 服务,则必须事先将它停止)。配置好认证服务器之后,认证服务器已经开始运行。
电子商务站点都必须采取“安全机制”来保证安全的可靠性。要激活 Web 服务器的 SSL 5.0 安全功能,必须获得并安装有效的服务器证书。服务器证书即为数字标识,其中包含关于 Web 服务器以及赞助服务器 Web 内容的机构的信息。服务器证书使用户可以验证您的服务器,检查 Web 内容的合法性,并建立安全连接。服务器证书还包含“公用密钥”,它用于创建客户端和服务器之间的安全连接。在Windows 2000 Server的Internet服务管理器中,在“目录安全性”选项卡的“安全通信”下单击“服务器证书”,可利用 Web 服务器证书向导设置并更改有关证书的设置。
SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。实现SSL站点的具体步骤如下:启动ISM并打开Web站点的选项卡;选择“目录安全性”选项卡;单击“服务器证书……”按钮;通过密钥管理器生成密钥对文件和请求文件;从身份认证权限中申请一个证书;通过密钥管理器在服务器上安装证书;激活Web站点的SSL安全性。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入https://,而不是http://。使用SSL安全机制,将增大系统开销,增加服务器CPU的负担,从而降低系统性能,在规划时建议仅考虑为高敏感度的Web目录使用。
安全通信是一个比较复杂的内容,如果你需要建立电子商务站点,可以向有关机构申请安全证书,安装后,即可使用安全通信。
除了上面说到的应用服务之外,还有新闻组服务、Media媒体服务器、RAS远程访问服务器、Index索引服务器等服务。