2023年11月27日发(作者:)
计算机科学与技术学院
题 目: 服务器的搭建
网站建设与管理论文
I
毕业设计(论文)原创性声明和使用授权说明
原创性声明
本人郑重承诺:所呈交的毕业设计(论文),是我个人在指导教
师的指导下进行的研究工作及取得的成果。尽我所知,除文中特别加
以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研
究成果,也不包含我为获得 及其它教育机构的学位或学历
而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体,
均已在文中作了明确的说明并表示了谢意。
作 者 签 名: 日 期:
指导教师签名: 日 期:
使用授权说明
本人完全了解 大学关于收集、保存、使用毕业设计(论
文)的规定,即:按照学校要求提交毕业设计(论文)的印刷本和电
子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供
目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制
手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分
或全部内容。
作者签名: 日 期:
II
学位论文原创性声明
本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研
究所取得的研究成果。除了文中特别加以标注引用的内容外,本论文
不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研
究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完
全意识到本声明的法律后果由本人承担。
作者签名: 日期: 年 月 日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,
同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,
允许论文被查阅和借阅。本人授权 大学可以将本学位
论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩
印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
作者签名: 日期: 年 月 日
导师签名: 日期: 年 月 日
III
注 意 事 项
1.设计(论文)的内容包括:
1)封面(按教务处制定的标准封面格式制作)
2)原创性声明
3)中文摘要(300字左右)、关键词
4)外文摘要、关键词
5)目次页(附件不统一编入)
6)论文主体部分:引言(或绪论)、正文、结论
7)参考文献
8)致谢
9)附录(对论文支持必要时)
2.论文字数要求:理工类设计(论文)正文字数不少于1万字(不包括图纸、程
序清单等),文科类论文正文字数不少于万字。
3.附件包括:任务书、开题报告、外文译文、译文原文(复印件)。
4.文字、图表要求:
1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错
别字,不准请他人代写
2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所
有图纸应符合国家技术标准规范。图表整洁,布局合理,文字注释必须使用
工程字书写,不准用徒手画
3)毕业论文须用A4单面打印,论文50页以上的双面打印
4)图表应绘制于无格子的页面上
5)软件工程类课题应有程序清单,并提供电子文档
5.装订顺序
1)设计(论文)
2)附件:按照任务书、开题报告、外文译文、译文原文(复印件)次序装
订
IV
摘要
由于计算机技术的飞速发展,计算机网络的应用也越来越广泛。然而随之而
来的各种病毒的困扰及黑客行为的不断升级,网络安全已经成为了一个非常重要
而且是必须考虑的问题之一了。通过对计算机网络安全存在的问题进行深入剖
析,并提出了相应的安全防范技术措施。
近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越
广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要
起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性
和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和
其它不轨行为的攻击。为确保信息的安全与网络畅通,研究计算机网络的安全与
防护措施已迫在眉捷。本人结合实际经验,对计算机网络安全与防护措施进行了
探讨。
关键词 服务器;web;流媒体;邮件;VPN
V
Abstract
Due to the rapid development of computer technology, the computer network is
applied more and more extensively. However, the ensuing viral distress and hacking is
ceaseless upgrade, network security has become a very important and must be
considered one of the problems. Through the computer network security problems
in-depth analysis, and put forward the corresponding security measures.
In recent years, with the rapid development of computer network technology,
especially Internet applications become more and more widely, in brought hitherto
unknown mass of information at the same time, computer network security has
become increasingly important, due to computer network connection form multiplicity,
terminal distribution inhomogeneity, network openness and network the sharing of
resources and other factors, resulting in the computer network vulnerable to virus,
hackers, malicious software and other misconduct of the attack. In order to ensure the
information safety and network unimpeded, study the computer network security and
protective measures already approach is in eyebrow nimble. Combining with the
practical experience, the computer network security and protective measures are
discussed.
Keywords server; web; Streaming media; Mail; VPN
VI
摘要............................................................................................................................... II
Abstract ........................................................................................................................ VI
第1章 web服务器 ...................................................................................................... 1
1.1 web服务器的工作原理 .................................................................................. 1
1.2 web服务器的安全性问题 .............................................................................. 1
Web 服务器面临的威胁...................................................................................... 1
1.2.2 IIS的安全配置 ..................................................................................... 3
1.2.3 Web服务器与操作系统 ...................................................................... 3
安全机制........................................................................................................ 4
1.3 web服务器的配置过程 .................................................................................. 4
第2章 流媒体服务器 ............................................................................................... 11
流媒体服务器定义及特点.................................................................................. 11
2.2 流媒体服务器的功能................................................................................... 11
流媒体服务器的安全问题.................................................................................. 11
流媒体服务的特点...................................................................................... 11
协议漏洞...................................................................................................... 12
流媒体服务DoS、DDoS攻击的防御策略 .............................................. 12
流媒体服务器的配置.......................................................................................... 12
第3章 邮件服务器的搭建 ....................................................................................... 22
邮件服务器工作原理及协议.............................................................................. 22
比较几种邮件服务器软件的优缺点.................................................................. 22
常见的邮件服务器的安全问题.......................................................................... 24
配置邮件服务器.................................................................................................. 25
第4章VPN服务器 ................................................................................................... 28
4.1 VPN的原理及工作过程 ............................................................................... 28
4.1.1 vpn的概述.......................................................................................... 28
4.1.2 VPN基本原理 .................................................................................... 28
第1章 web服务器
WEB服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供网上信息
浏览服务。 WWW 是 Internet的多媒体信息查询工具,是 Internet 上近年才
发展起来的服务,也是发展最快和目前用的最广泛的服务。正是因为有了WWW
工具,才使得近年来 Internet 迅速发展,且用户数量飞速增长。
Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器(客
户端)连到服务器上并请求文件时,服务器将处理该请求并将文件发送到该浏览
器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。服务器使用
HTTP(超文本传输协议)进行信息交流,这就是人们常把它们称为HTTPD服务器
的原因。
Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基
础上运行脚本和程序。
web服务器的工作原理
Web是一种典型的基于浏览器/服务器(Browser/Server,简称B/S)的体
系结构。典型的B/S结构将计算机应用分成三个层次,即客户端浏览器层、Web
服务器层和数据库服务器层。B/S结构有许多优点,它简化了客户端的维护,所
有的应用逻辑都是在Web服务器上配置的。B/S结构突破了传统客户机/服务器
(Client/Server,简称C/S)结构中局域网对计算机应用的限制,用户可以在
任何地方登录Web服务器,按照用户角色执行自己的业务流程。Web通过HTTP
协议实现客户端浏览器和Web服务器的信息交换。
1.2 web服务器的安全性问题
Web 服务器面临的威胁
现在,Web 服务器面临许多威胁,大部分威胁与您在系统中配置的应用程序、
操作系统和环境有关。在这里,我仅归纳了最常见的服务器威胁。
拒绝服务
拒绝服务(DoS)是一种 “老牌” 服务器攻击。这种攻击很简单,通常由
技术水平较低的被称为脚本小子(script kiddies)的年轻人发动此类攻击。总
体而言,DoS 攻击通过一个系统攻击另一个系统,其目的是消耗后者的所有资源
(比如带宽和处理器时间),从而无法进行合法请求。通常,我们认为这是一种
无聊的攻击,但您一定不要因此放松警惕,因为它造成的许多问题会让您半夜睡
不着觉。
分布式拒绝服务
分布式拒绝服务(DDoS)攻击是 DoS 攻击的增强版,因为它更加恶劣、更
加恼人。DDoS 攻击的目标和 DoS 一样,但它的规模更大,也更加复杂。在 DDoS
攻击中,攻击者不是通过一个系统攻击另一个系统,而是使用多个系统攻击另一
个系统,有时这种发出攻击的系统甚至多达几十万个。如果说 DoS 攻击仅会让
人感觉讨厌的话,那么 DDoS 攻击则是致命的,因为它能迅速使服务器离线。不
第1页(共23页)
过,实施 DDoS 攻击需要很高明的技术。
比较常见的 DDoS 攻击包括:
FTP 跳转攻击。
文件传输协议(FTP)跳转攻击指攻击者向有漏洞的 FTP 服务器上传一个结
构特殊的文件,然后该服务器将这个文件转发到其他位置(通常是组织内的另一
个服务器)。被转发的文件通常包含某些代码,其目的是在最终服务器上完成攻
击者希望做的事情。
端口扫描攻击。
端口扫描攻击通过对主机进行系统的结构化扫描来实现。例如,某人可能扫
描您的 Web 服务器,其目的是找到暴露的服务或其他可以利用的漏洞。只要具
有可从 Internet 上免费获得的众多端口扫描器之一,任何人都可以轻松实现这
种攻击。这也是最常见的攻击之一,因为它很容易实现,脚本小子通常利用它窃
取服务器的主机名或 IP 地址(不过,他们通常不知道如何解析获得的结果)。
注意,高级的攻击者将利用端口扫描挖掘信息。
ping 洪水(flooding)攻击。
ping 洪水攻击是一种简单的 DDoS 攻击。在这种攻击中,一个计算机向另
一个系统发送一个包(ping),以找到关于服务或系统的信息。对于低级的攻击,
ping 流可用于偷偷地查找信息,但是如果要截取向目标发送的包,则要求系统
离线或停机。这种攻击虽然是 “老牌攻击”,但它仍然很有活力,因为很多现
代的操作系统都容易受到这种攻击。
Smurf 攻击。
这种攻击类似于 ping 洪水攻击,但它能巧妙地修改进程。在 Smurf 攻击
中,首先向中间网络发送一个 ping 命令,然后在自身得到增强之后转发到攻
击目标。以前的 “点滴” 流量现在变成了巨大的流量。幸运的是,这种攻击现
在很少见。
SYN 洪水(flooding)攻击。
这种攻击要求了解 TCP/IP 协议 — 即整个通信流程是如何工作的。通过一
个类比就能够很好地解释这种攻击。这种攻击类似于向某人发送一封需要回复的
信件,但是信封使用虚假的回信地址。收信人回复了信件并等待您的回复,但永
远不能收到回信,因为它在某个地方被阻止了。只要针对系统的 SYN 请求足够
多,攻击者就能够使用系统上的所有连接,从而阻止任何东西通过。
P 分片(fragmentation)攻击。
在这种攻击中,攻击者凭借高级的 TCP/IP 协议知识将包分成更小的片段
(即分片),从而绕过许多入侵检测系统。在比较严重的情况下,这种攻击会造
成挂起、锁定、重启和蓝屏等。不过,这种攻击不是一般人能实施的。
Simple Network Management Protocol (SNMP) 攻击。
SNMP 攻击的主要目标是 SNMP 服务(用于管理网络及其上的设备)。因为
SNMP 用于管理网络设备,所以通过攻击该服务,攻击者能够详细了解网络的结
构,从而为以后的攻击做准备。
Web 页面更改攻击
在 Internet 上经常可以看到 Web 页面被更改。顾名思义,Web 页面更改
源于攻击者利用 Web 服务器的不良配置修改 Web 页面,其原因有很多,比如为
了捉弄别人或推行某种政治主张。
第2页(共23页)
1.2.2 IIS的安全配置
1. 删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、
IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2. 删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器
(HTML)、SMTP Service和NNTP Service、样本页面和脚本,我们可以根据自己
的需要决定是否删除。
3. 为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为
它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目
录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP
脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文
件在网站上都很少用到。 在“Internet服务管理器”中,右击网站目录,选择
“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出
“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如
果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,
再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文
件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,
文件存在后才会去调用程序映射中定义的动态链接库来解析。
5. 保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体
安全性。
修改IIS日志的存放路径默认情况下,IIS的日志存放
在%WinDir%System32LogFiles,黑客当然非常清楚,所以最好修改一下其存
放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目
录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击
旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中
输入日志存放路径即可。修改日志访问权限,设置只有管理员才能访问
1.2.3 Web服务器与操作系统
要创建一个安全可靠的Web服务器,必须要实现Windows server和IIS的双
重安全,因为IIS的用户同时也是Windows server的用户,并且IIS目录的权限
依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确
保Windows server操作系统的安全
1.使用NTFS文件系统,以便对文件和目录进行管理。
2. 关闭默认共享
3. 修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得
到不必要的权限。
第3页(共23页)
4. 为系统管理员账号更名,避免非法用户攻击。
5. 禁用TCP/IP 上的NetBIOS
6. TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连
接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表
中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添
加]按钮,只填入80端口。
7. 修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLMSystemCurrentControlSetServicesTcpipParameter
的值修改为2,使连接对超时的响应更快
1.2.4SSL安全机制
SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器
之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥
基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相
应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器
把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从
服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务
器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端
就建立了一个惟一的安全通道
IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,
还有一种安全性更高的认证:通过SSL(Security Socket Layer)安全机制使用数
字证书。
1. 建立步骤
启动ISM并打开Web站点的属性页;
选择“目录安全性”选项卡;
单击“密钥管理器”按钮;
通过密钥管理器生成密钥对文件和请求文件;
从身份认证权限中申请一个证书;
通过密钥管理器在服务器上安装证书;
激活Web站点的SSL安全性
1.3 web服务器的配置过程
以Windows server 2008 系统为例 首先要准备好自己提前做好的网页
1. 安装web服务器
在服务器管理器中在角色选项中添加角色 选择web服务器(IIS)然后安装以下
图示为安装过过程
第4页(共23页)
图1-1 点击下一步
第5页(共23页)
图1-2 将安全性里的选项全部勾选
第6页(共23页)
图1-3 点击安装
图1-4 安装成功
2. 在电脑磁盘里新建一个文件夹将事先做好的网页放进新建文件夹里
第7页(共23页)
图2-1 网页文件位置
3. 建立web站点
打开管理工具 找到安装好的iis(internet 信息服务器)管理器
图3-1 internet 信息服务管理器
4.右击网站点击新建网站 如图1-3
第8页(共23页)
图4-1
5依照图5-1配置web服务器
图5-1配置
6 .网站建成 结果为图 1-4
第9页(共23页)
图6-1 一个能用的web网站建成
7 验证网站是否能访问输入网址 打开网页 图7-1为打开网页的结果
图7-1 验证成功
第10页(共23页)
第2章 流媒体服务器
流媒体服务器定义及特点
流媒体指以流方式在网络中传送音频、视频和多媒体文件的媒体形式。
相对于下载后观看的网络播放形式而言,流媒体的典型特征是把连续的音频
和视频信息压缩后放到网络服务器上,用户边下载边观看,而不必等待整个文件
下载完毕。由于流媒体技术的优越性,该技术广泛应用于视频点播、视频会议、
远程教育、远程医疗和在线直播系统中。
作为新一代互联网应用的标志,流媒体技术在近几年得到了飞速的发展。而
流媒体服务器又是流媒体应用的核心系统,是运营商向用户提供视频服务的关键
平台。其主要功能是对媒体内容进行采集、缓存、调度和传输播放,流媒体应用
系统的主要性能体现都取决于媒体服务器的性能和服务质量。因此,流媒体服务
器是流媒体应用系统的基础,也是最主要的组成部分。
2.2 流媒体服务器的功能
流媒体服务器的主要功能是以流式协议(RTP/RTSP、MMS、RTMP等)将视频
文件传输到客户端,供用户在线观看;也可从视频采集、压缩软件接收实时视频
流,再以流式协议直播给客户端。典型的流媒体服务器有微软的Windows Media
Service(WMS),它采用MMS协议接收、传输视频,采用Windows Media Player
(WMP)作为前端播放器;RealNetworks公司的Helix Server,采用RTP/RTSP
协议接收、传输视频,采用Real Player作为播放前端;Adobe公司的Flash Media
Server,采用RTMP(RTMPT/RTMPE/RTMPS)协议接收、传输视频,采用Flash Player
作为播放前端。值得注意的是,随着Adobe公司的Flash播放器的普及(根据
Adobe官方数据,Flash播放器装机量已高达99%以上),越来越多的网络视频开
始采用Flash播放器作为播放前端,因此,越来越多的企业开始采用兼容Flash
播放器的流媒体服务器,而开始淘汰其他类型的流媒体服务器。支持Flash播放
器的流媒体服务器,除了Adobe Flash Media Server,还有sewise的流媒体服
务器软件和Ultrant Flash Media Server流媒体服务器软件,以及基于Java
语言的开源软件Red5。
2.3流媒体服务器的安全问题
面对流媒体服务的巨大需求,在进一步提高服务性能、保证质量的同时,流
媒体服务的安全性也成为亟待考虑的问题。由于流媒体服务具有连续性、实时性
要求,且媒体服务双方自愿消耗相差悬殊,拒绝服务攻击(DoS)和分布式拒绝服
务攻击(DDoS)攻击对流媒体服务的危害具有明显的放大作用。针对传统DoS、
DDoS的攻击问题,许多学着已经在不同方面给出了比较有效的防御策略
2.3.1流媒体服务的特点
与大多数Internet应用相比,流媒体服务具有以下特点:
1. 服务器与用户消耗资源相差悬殊,使得针对流媒体应用的Dos、DDos攻
击效果更加明显。
2. 2.流媒体服务具有媒体实时性、连续性的要求,用户体验要求高,即使
瞬时的Dos、DDos攻击也能对流媒体的服务质量造成破坏。
第11页(共23页)
3. 流媒体服务采用RTSP作为用户与服务器之间的交互协议。RTSP存在一
些“漏洞”,可以被攻击者利用,成为直接或者间接攻击流媒体服务的有效
武器。
以上特性使得传统的Dos、DDos防御策略不在有效
2.3.2RTSP协议漏洞
RTSP定义了一对所应用程序如何有效的通过ip网络传输多媒体数据,其中
包括11个命令。针对这些命令编写了一套攻击工具 攻击方法分为一下几类:
1. 泛洪攻击。例如Describe Flood,这类攻击通过向目标主机发送大量无用
的RTSP请求,导致目标主机计算资源消耗在处理这些RTSP请求上。
2. 全连接攻击。例如Setup Attack和Play Attack,这类攻击具有持续性和放
大性,需要消耗服务器更多的传输带宽、内存等资源。
3. 异常请求攻击。例如攻击者将请求的消息体长度Content-Length 设置很
大,导致服务器必须构建较大的缓存来保留整个消息体,造成内存资源的大量消
耗。
2.3.3流媒体服务DoS、DDoS攻击的防御策略
针对流媒体服务的DoS、DDoS攻击特点、将防御方案分成分成攻击检测和
攻击反应2部分,他们针对play attack这类的攻击根据受信任ip地址列表与单
个ip最大会话数的限制,检测为攻击的会话将被强行终止。检测为合法的会话
将被继续服务。此时整个系统处于ddos攻击防御状态。
除以上3类攻击反应策略以外。系统还设定了主动防御策略:当流媒体服务
已经接近满负荷运行时,系统将主动进入“伪”攻击防御状态。这时流媒体服务
将不再为新来的未受信任ip提供服务,只尝试为受信任的ip提供新的会话请求
服务
2.4流媒体服务器的配置
以windows server 2008系统为例 首先要安装相应的流媒体插件 安装完成
后要在服务器管理器中添加流媒体服务的角色然后在配置相应的流媒体服务的
配置 具体过程如下
1. 添加流媒体服务角色 勾选下图1-1中的流媒体服务选项,然后按照默认的配
置进行安装 安装完成后 在服务器管理器中会出现相应的windows media
服务选项
第12页(共23页)
图2-1 添加角色
2. 添加完成后在服务器管理器中打开windows media服务选项出现图1-2
界面 对流媒体进行配置
图2-2 配置
然后选择添加发布点(向导)出现下图所示 建立一个点播发布点
图2-3 配置
添加发布点名称
图2-4 配置
第14页(共23页)
图2-5 配置
图2-6配置
第15页(共23页)
图2-7配置
图2-8配置
第16页(共23页)
图2-9配置
图2-10配置
第17页(共23页)
图2-11配置
进入“单播公布向导”
图2-12配置
选择要播放的文件
第18页(共23页)
图2-13配置
图2-14配置
第19页(共23页)
图2-15配置
图2-16配置
最后验证文件是否能播放 打开windows media player 打开文件添加url确定
后会播放此文件 如下两个图所示 可知建立流媒体服务器成功
第20页(共23页)
图2-17配置
图2-18配置
第21页(共23页)
第3章 邮件服务器的搭建
邮件服务器工作原理及协议
邮件服务器的工作原理 邮件服务器采用的是客户端服务器模式其工作过程如
图3-1所示
图3-1演示
一个电子邮件系统有三个主要构件组成用户代理客户端应用程序邮件
服务器邮件发送和邮件接收协议
1 发件人用户代理撰写电子邮件点击“发送邮件”发送邮件的工作
交个用户代理来完成用户代理用SMTP协议发给发送方
服务器用户代理充当SMTP客户发送服务器充当SMTP服务器发送
之前建立TCP连接。
2 SMTP服务器收到客户端发送来的邮件将其放到邮件缓冲队列中
等待发送到接收发的服务器中。
3 发送服务器的SMTP客户端与接收服务器的SMTP服务器建立TCP
连接然后把缓冲队列中的邮件发到目的服务器。
4 运行在接收方服务器的SMTP服务器进程收到邮件后把邮件发如
收件人信箱等待读取。
5 收件人打开计算机运行客户端软件使用POP3IMAP协议
读取邮件。
比较几种邮件服务器软件的优缺点
邮件服务器软件有很多下面简单介绍其中的10种邮件服务器软件
第22页(共23页)
1. EQMail
集成企业公告、电子邮件、手机短信、文件存储、日程共享、网络书签等多
重功能于一体的高效协同通信平台,具备反垃圾邮件/防病毒安全功能。
2. U-Mail
独一无二的全球收发保证功能(服务器的IP在对方的垃圾邮件黑名单中,
邮件照发不误,接近了众多企业用户在发送海外时存在的问题)。
3. 微软
微软Exchange Server是一个设计完备的邮件服务器产品, 提供了通常所
需要的全部邮件服务功能。除了常规的 SMTP/POP 协议服务之外,它还支持
IMAP4 、LDAP 和 NNTP 协议。
4. Foxmail
Foxmail邮件客户端软件,是中国最著名的软件产品之一,中文版使用人数
超过400万,英文版的用户遍布20多个国家,列名“十大国产软件”,被 太平
洋电脑网评为五星级软件。
5. Magic
安全易用全功能的邮件服务器软件,它既可以作为局域网邮件服务器、互联
网邮件服务器,也可以作为拨号ISDN、ADSL宽带、FTTB、有线通(CableModem)
等接入方式的邮件服务器和邮件网关。
6. Merak
Merak Email Server邮件服务器,功能强大、安全、快速,支持
SMTP/ESMTP/POP3 协议,个人用户编辑、支持防毒系统,你梦想的功能尽在
掌握。新版本增加了对远程 SMTP 账户病毒检查、为用户设定信任度,修正了
备份系统的问题,增加了取消邮件预览功能。
7. MDaemon
MDaemon是一款著名的标准 SMTP/POP/IMAP邮件服务系统,由美国Alt-N
公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现
网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用
时,它还保护系统防御邮件病毒。
8. 亿邮
亿邮邮件服务器提供强大的多媒体邮件支持:内置HTML邮件、语音邮件、
视频邮件功能,能处理INLINE格式的附件,确保HTML格式邮件的正确显示。
9. Relayfax
RelayFax可以定时的在一天中的任一时间收集邮件,还可以在其他指定的邮
件服务器上检查接受POP3邮件。RelayFax通过在指定的特殊时间接受邮件优化
了性能,提高了可利用的带宽。
10. WinProxy
通过架设 Proxy 在局域网共享一个 Internet 连接, 支持一HTTP, Secure
Sockets Tunneling, FTP (CERN and Socks), Telnet,NNTP, SMTP,
POP3,Dial-Up-Networking, Blacklisting, Local and Remote Logging, Remote
Administration 等。
第23页(共23页)
电子邮件作为企业较常用到的网络通信方式,一直是企业关注的焦点,企业
日常办公、商务交流等很大程度上依赖于邮件系统的助益。然而企业在使用邮件
系统过程中也遇到不少困扰,其中安全问题最为突出,最让企业担心。今天我们
就来梳理一下,邮件系统安全最常见的几个安全问题:
1、用户密码猜测——据国外学者调查发现,现今用户密码设置普遍存在不
安全因素,不法分子利用用户贪图方便设置弱口令的漏洞,对邮箱账户密码进行
破解。比如网上搜寻、截获邮件地址等方式获取账户名称,再打开其企业邮箱界
面,尝试输入猜测密码,一经得手,进入账户,盗取、删除、复制、转发等邮件
操作。
2、垃圾病毒邮件——众所周知,木马病毒肆虐一直是网络安全的重大威胁,
而电子邮件是病毒传播的主要途径。用户的邮箱一旦被垃圾邮件进驻,占用大量
空间和删除时间外,难免会错失一些重要邮件,如果被病毒邮件感染,造成账号
密码曝光、机密邮件失窃、大量转发垃圾邮件、甚至有些病毒经邮件扩散到整个
电脑系统,窃取其它账号信息等等严重后果也再所难免。
3、黑客攻击——在利益链条的驱使下,世界各国时常发生黑客攻击、后门
植入等攻击事件,引起网民的严重恐慌。据今年2月初消息报道,一家名为
SwaggSec的黑客组织攻破富士康内网,曝光了所以邮箱账号和密码,其中包括
CEO总裁邮箱账户。
4、系统漏洞——不管是电脑系统还是邮件系统,在设计或是配置上都有漏
洞存在的可能性,而这些漏洞、后门正是黑客攻破系统的站点。据悉,在拉斯韦
加斯举行的“黑帽”和Defcon两场黑客大会上就公布了一些很惊人的研究。比如:
专业研究公司NSS实验室发现了德国西门子公司工业控制系统中的一个“后门”,
它可以让黑客摧毁核电站、油气管道、水处理系统、制药厂以及其他关键设施。
而全世界其他工业设施所使用的老旧电脑系统中也存在诸多的系统弱点。
在如此多的安全威胁下,电子邮箱的实时防护不得不提到日程前头,而用户
如此重视,作为邮件服务商是不是更该重视邮箱安全问题呢?答案当然是肯定
的。U-Mail邮件系统()对于邮箱安全问题,就采取了一系列有效的保护措施,
以降低用户邮箱遭受威胁几率,U-Mail防御安全问题的几大策略:
1)密码安全问题,U-Mail采用邮件IP封锁、强密码保护账户安全。U-Mail
邮件系统建议用户设置强密码,且管理员可登陆系统后台导出用户,查看是否有
弱密码用户,进行提醒;同时U-Mail默认的密码输入错误次数是3次(用户可
自行修改),一旦超出,系统将自动封锁该邮件IP客户端,直至用户到系统后台
解封方可正常登陆。
2)为真正拦截垃圾邮件、病毒邮件,U-Mail采取多管齐下、共同防御的措
施来应对,像关键字过滤技术、基于规则的评分技术、动态黑白名单技术等都能
起到很好的垃圾邮件拦截效果。同时24小时不间断病毒扫描,一旦发现病毒痕
迹,立即采取隔离、清除或进行内容过滤后发送。再加上U-Mail拥有全球最大
的垃圾病毒代码库,同步更新,能及时发现垃圾病毒,对用户邮箱进行实时防护。
3)多重综合安全网关防止黑客病毒源攻击。U-Mail邮件服务器安全网关具
有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。全天
候有频率检测系统,一旦发现安全隐患和漏洞,及时作出堵截反应,终止同一来
源的多个连接点的攻击,拒绝服务攻击,并利用网关内的指纹识别技术、可疑邮
第24页(共23页)
件意图分析等全面防范黑客通过各种渠道入侵用户系统。
本例以foxmail软件搭建邮件服务器 并且在windows server 2008 操作
系统平台上搭建邮件服务器安装过程如下列图示所示:
(1)安装foxmail软件
图3-1配置邮件服务器
图3-2配置邮件服务器
(2)配置软件
第25页(共23页)
图3-3配置邮件服务器
图3-4配置邮件服务器
第26页(共23页)
图3-5配置邮件服务器
(3)服务器配置成功
图3-6验证成功
第27页(共23页)
第4章VPN服务器
4.1 VPN的原理及工作过程
vpn的概述
VPN(Virtual Private Network,虚拟专用网)。“虚拟” (Virtual)指的是一
种逻辑连接,“专用或私有”(Private)指的是排他性的连接,“网络”(Network)
指按某种协议进行通信的计算机集合。虚拟专用网络可以实现不同网络的组件和
资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基
础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。VPN是对
在公共通信基础设施上构建的“虚拟专用或私有网”连接技术的总称。VPN与真
实网络的差别在于VPN以隔离方式通过公用网,VPN外的节点不能与VPN内
的节点通信。基本信息处理过程如下图4-1所示
图4-1 SSL VPN方案
VPN基本原理
VPN的基本思想很容易理解,假设公司有两个网络,相距很远,要用VPN
连接,由两个VPN设备建立专用通道,数据传输过程如下图所示:
第28页(共23页)
图4-2 vpn基本工作原理
1 主机A建立分组,将其IP地址作为源地址,将主机B的IP地址作为目
标地址,将分组发送到VPN设备1,通常是网关。
2 分组到达VPN设备1,VPN设备1在分组中增加一新头。在此分组中,
将分组的源IP地址写为自己的IP地址V1,目标地址写为对等VPN设备2的IP
地址V2,然后发送。
3 分组通过Internet到达VPN设备2,VPN设备2能够识别新增的头部,
对其进行拆除,从而得到第1步由主机A生成的原分组,然后根据分组的IP地
址信息,进行正常的转发。
VPN服务器的意义
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如
公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访
问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设
一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外
地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务
器作为跳板进入企业内网。
第29页(共23页)
图4-3vpn的意义
为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处
理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,
就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用
链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上
封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中
办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么
VPN在企业中应用得如此广泛。
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租
用dsn(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯
/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨
号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的提出就是来解决这些问题:
⑴使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通
信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远
程访问设备。
⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技
术,保证连接用户的可靠性及传输数据的安全和保密性。
⑶连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双
方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了
虚拟专用网之后,只需双方配置安全连接信息即可。
⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全
掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设
置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
vpn的用户认证
用户认证是VPN的特点之一。在远程访问只有通过认证的远程用户才能穿
越Internet不受限制地利用内部网资源。这种认证机制主要由PPP功能实现,方
法也有多种。RADIUS是为接入服务器开发的认证系统,具有统一管理多个访问
用户的用户数据库功能如图所示。
1.PPP认证方式
图1-1主要的PPP认证方式
在链路建立的第2个阶段进行用户验证,最常用的认证协议有口令验证协议
第30页(共23页)
PAP和挑战-握手协议CHAP。
1口令验证协议PAP。口令验证协议PAP是一种简单的明文验证方式。网络
接入服务器NAS (Network Access Server)要求用户提供用户名和口令,PAP以
明文方式返回用户信息。这种验证方式的安全性较差,第三方可以很容易的获取
被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有
资源。因此PAP无法提供避免受到第三方攻击的保障措施
2.挑战-应答验证协议CHAP
CHAP是安全性比PAP更高的认证协议,在网上传递的不是口令而是一次
性的随机数。CHAP采取了挑战应答认证方式,下图显示了认证流程
图4-4vpn的认证流程
3 基于服务器的认证方式—RADIUS
RADIUS(Remote Authentication Dial In User Service)由朗讯开发,1997年
1月以RFC2085公布了第一版规范。原先的目的是为拨号用户进行认证和计费,
后来经过多次改进,形成了一项通用的认证计费协议。
RADIUS是为了接入服务器开发的认证系统,它具有集中管理远程访问“拨
号用户”的数据库功能。换句话说, RADIUS是存放使用者的“用户名”及“口
令”的数据库。接受远程用户访问请求的接入服务器向RADIUS服务器查询该
用户是否为合法用户
第31页(共23页)
图4-5 RADIUS用户认证的体系结构
RADIUS的基本工作原理
用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用
户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双
方使用共享密钥,这个密钥不经过网络传播; RADIUS服务器对用户名和密码
的合法性进行校验,必要时可以提出一个challenge,要求进一步对用户认证,也
可以对NAS进行类似的认证;如果合法,给NAS返回Access-Require数据包,
允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问
以windows server 2008操作系统为平台 搭建vpn服务器
图5-1搭建vpn服务器
第32页(共23页)
图5-2搭建vpn服务器
图5-3搭建vpn服务器
第33页(共23页)
图5-4搭建vpn服务器
图5-5搭建vpn服务器
第34页(共23页)
图5-6搭建vpn服务器
图5-7搭建vpn服务器
第35页(共23页)
图5-8搭建vpn服务器
图5-9搭建vpn服务器
第36页(共23页)
图5-10搭建vpn服务器
图5-11搭建vpn服务器
第37页(共23页)
图5-12搭建vpn服务器
图5-13搭建vpn服务器
图5-14搭建vpn服务器
第38页(共23页)
图5-15搭建vpn服务器
图5-16搭建vpn服务器
第39页(共23页)
图5-17搭建vpn服务器
图5-18搭建vpn服务器
第40页(共23页)
图5-19搭建vpn服务器
图5-20搭建vpn服务器
第41页(共23页)
图5-21搭建vpn服务器
图5-22搭建vpn服务器
第42页(共23页)
图5-23测试vpn服务器
图5-24一个端口活跃
第43页(共23页)
总结
总之,服务器搭建是一个综合性的课题,涉及技术、管理、使用等许多方
面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术
只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,
需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个
方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断
发展的产业。
第44页(共23页)
参考文献
[1] 崔宝江.信息安全实验指导.北京:国防工业出版社,2005
[2] 蔡红柳,何新华,信息安全技术及应用实验.北京:科学出版社,2004
[3] 荆继武,信息安全技术教程. 北京:中国人民公安大学出版社, 2007 年
[4]庞南,信息安全管理教程. 北京:中国人民公安大学出版社, 2007 年
[5] 杨永川,信息安全.北京: 中国人民公安大学出版社, 2007 年
[6] 李冬静,信息对抗. 北京: 中国人民公安大学出版社, 2007 年
[7]蒋平,电子数据. 北京: 中国人民公安大学出版社, 2007 年
[8]闫强,电子商务安全管理.北京:机械工业出版社, 2007 年
[9]石淑华,计算机网络安全. 北京:人民邮电出版社, 2005 年
[10]邵波,计算机安全技术及应用. 北京:电子工业出版社, 2005 年
[11]石志国,信息安全概论.北京:清华大学出版社, 2007 年
[12]信息对抗与网络安全贺雪晨编著,清华大学出版社, 2006 年
[13]朱建军,网络安全防范手册.北京:人民邮电出版社, 2007 年
[14]闫宏生,计算机网络安全与防护.北京:电子工业出版社, 2007 年
第45页(共23页)
发布评论