设计一个网络安全方案 完全没有思路，不懂为什么会出这样的题目，对linux，防火墙，和服务器都不熟

防火墙应用方案
时间：2007-4-21 15:53:27 点击：191
核心提示：防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。由于防火墙处于网络系统中的敏感位置，自身还要面对各种安全威胁，因
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。
由于防火墙处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此，通过防火墙构建一套安全、稳定和可靠的网络访问控制机制，其重要性不言而喻。
建立安全、稳定和可靠的防火墙访问控制系统必须考虑以下内容：
· 防火墙自身安全、可靠
· 内部系统运行稳定
· 内部处理性能高效
· 功能灵活、满足不同用户需求
· 防火墙配置方便
· 支持多种管理方式
· 防攻击能力强
· 多种用户鉴别方法
· 具有可扩展性、可升级性
方案设计
典型的防火墙访问控制方案拓扑如图。该方案能够提供内部网络用户通过防火墙作地址转换访问外部网，公开的WEB服务器和邮件服务器通过防火墙的端口映射对外提供网页浏览和邮件收发功能。网络的所有合法有效地址都设置在防火墙上，进出的数据包通过防火墙的规则校验以及攻击检验后提交给实际访问主机，内部网络配置对外部网络透明。
通常，防火墙提供三个连接端口，分别连接边界路由器、内部主干交换机和对外服务器交换机上，通过串联提供网 络之间互相访问的唯一通道。对外服务区通过在防火墙上限定开放特定的端口，只对允许的网络访问方式进行授权并建立连接，并通过日志系统对访问进行监控，杜绝系统的非法访问和安全漏洞。内部网对外部不提供网络服务，通过在防火墙上限定单向内部到外部的访问模式，确保内部网络访问的安全性、可靠性。
防火墙的所采用的网络安全技术
防 火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时 也承担着繁重的通信任务。为了提供一个安全、稳定和可靠的防火墙防护体系，采用了多种的安全技术和措施：
· 专有系统平台以及系统冗余
在安全的 *** 作系统基础上开发的自主版权产品保证了系统自身的安全性，硬件采用专用硬件平台对电源等关键部件提供硬件冗余，保证系统硬件的稳定运行，通过双机热备保证防火墙在电信、证券等关键性业务领域保证不间断工作。
· 高效的数据包转发性能
防火墙通过采用优化的专有 *** 作系统内核，摒弃了与安全访问控制无关的系统进程，通过专有硬件平台使系统的处理能力达到最大。采用状态检测技术使防火墙的安全与性能达到最优化，在国家信息安全测评认证中心测试中，百条规则加载时系统性能下降不超过4%。
· 系统配置灵活、适应用户不同网络需求
防火墙在网络中可以配置为网桥模式、路由模式、网桥和路由混合模式、代理模式，多种网络模式的灵活搭配使安装防火墙对用户原有系统的影响降到最低。可根据双向IP地址对IP数据包进行转换，并可以对外部地址提供针对主机的地址映射和针对服务的端口映射，满足用户的网络需求。
· 强大的访问控制功能
可以根据IP地址、地址转化、应用代理、登录用户、用户组、时间等多种手段对访问进行控制，通过应用代理可以对常用高层应用（>一、简介

裸金属相关功能是由机房控制器、物理机控制器、IPMI控制器和noVNC控制器组成基础的自动化支持。

机房控制器：提供交换机网络的自动化支持，交换机出口聚合层需要预先设置网络。

物理机控制器：提供存储镜像、执行自动化重装、破解密码和救援系统的功能。

IPMI控制器：提供开、关机、重启和获取IPMI 信息的功能。

noNVC控制: 提供web端直接访问Java KVM控制台的功能。

二、部署方式

所有ZKEYS（ 官网 ）控制器都提供一键安装脚本自行部署，部署后按照指引在平台的控制器管理设置对应的控制器

控制器管理位置在： 首页/生产/资源管理/控制器管理

平台的可用区管理功能相当于机房的概念，需在可用区选择该可用区使用的控制器

可用区管理位置在： 首页/生产/资源管理/可用区管理 如下图

每个可用区（机房）都需要按需配置以上4个控制器

三、部署方案

方案一：简单网络方案

描述：用于整个机房有明确的网络布局，不依赖网络自动化。裸金属网络中只有一个或多个VLAN ，若PXE和服务器不在同一个网络时，需要设置DHCP中继。

控制器：IPMI控制器，物理机控制器，可选noVNC控制器。

方案二：复杂网络方案

说明：用于网络自动化，带宽控制、端口开关、子网IP配置和多VLAN等，交换机需要支持自动化。若交换机未适配，请提交适配

控制器：机房控制器，IPMI控制器，物理机控制器，可选noVNC控制器

四、服务器硬件要求

PXE控制器

IPMI和noVNC控制器

机房控制器

注意：资源紧张可把机房控制器、IPMI和noVNC控制器部署为一台服务器。

五、注意事项

1、PXE网络：确保PXE网络内无其他DHCP服务器。

2、IPMI网络：被管理的服务器必须具备IPMI功能， 并且能被IPMI控制器访问。

3、机房控制：交换机必须是三层的管理型交换机，若无法满足请采用简单网络方案。

以上是裸金属服务器的部署须知详情可查看相关文档

如何做一台文件服务器
假如你是某公司的系统管理员，现在公司要做一台文件服务器。公司购买了一台某品牌的服务器，在这台服务器内插有三块硬盘。
公司有三个部门---销售，财务，技术。每个部门有三个员工，其中一名是其部门经理（另两名是副经理）1 在三块硬盘上共创建三个分区（盘符）,并要求在创建分区的时候，使磁盘实现容错的功能；
2 在服务器上创建相应的用户帐号和组；
命名规范，如：用户名：sales-1，sales-2……；组名：sale，tech……
要求用户帐号只能从网络访问服务器，不能在服务器本地登录
3 在文件服务器上创建三个文件夹分别存放各部门的文件，并要求只有本部门的用户能访问其部门的文件夹（完全控制的权限），每个部门的经理和公司总经理可以访问所有文件夹（读取），另创建一个公共文件夹，使得所有用户都能在里面查看和存放公共的文件；
4 每个部门的用户可以在服务器上存放最多100M的文件；
5 做好文件服务器的备份工作以及灾难恢复的备份工作；
发送给我的好友 提醒我回答有更新
你可以把这个生意经分享给旺旺，MSN或QQ上的好友
当这个生意经的回答有更新时，您可以及时收到提醒
发送给好友
生意经链接：
窗体顶端
发送描述：
窗体底端
郁闷啦!看看这个问题，你一定要帮我啊！

这个东东太实用了，看完记得收藏哦！

旺旺浮出提醒好友
生意经的地址已经复制
您可以粘帖到MSN或者邮件发给您的好友
收藏成功，回答有更新时旺旺会浮出提醒你哦！现在就去查看我的收藏
网友回答
(1) 学会安装和配置文件服务器。
(2) 学会服务器端共享文件夹的配置和管理。
(3) 学会客户端访问共享文件夹的方法。
(4) 学会分布式文件系统的设置方法。
(5) 实验学时：2
2 实验相关理论与知识
计算机网络的基本功能是在计算机间共享信息，文件共享可以说是最基本、最普遍的一种网络服务。虽然越来越多的用户购置专用文件服务器(如NAS)，但是通用 *** 作系统提供的文件服务器功能也非常实用，完全能满足一般的文件共享需求，下面主要介绍Windows Server 2003文件服务器的配置、管理和应用。
文件服务器负责共享资源的管理和传送接收，管理存储设备(硬盘、光盘、磁带)中的文件，为网络用户提供文件共享服务，也称文件共享服务器。除了文件管理功能之外，文件服务器还要提供配套的磁盘缓存、访问控制、容错等功能。部署文件服务器，主要要考虑以下3个因素。
·存取速度：快速存取服务器上的文件，例如可提供磁盘缓存加速文件读取。
·存储容量：要有足够的存储空间以容纳众多网络用户的文件，可使用磁盘阵列。
·安全措施：实现网络用户访问控制，确保文件共享安全。
文件服务器主要有两类解决方案，一类是专用文件服务器，另一类是使用PC服务器或PC计算机组建的通用文件服务器。
专用文件服务器是专门设计成文件服务器的专用计算机，以前主要是运行 *** 作系统、提供网络文件系统的大型机、小型机，现在的专用文件服务器则主要指具有文件服务器的网络存储系统，如NAS和 SAN。NAS独立于 *** 作系统平台，可支持多种 *** 作系统和网络文件系统，提供集中化的网络文件服务器和存储环境，比一般的文件服务器的功能更强大，可看作是专用存储服务器，可为那些访问和共享大量文件系统数据的用户提供高效、性能价格比优异的解决方案。SAN全称存储区域网络，是一种用户存储服务的特殊网络，通常由磁盘阵列、光盘库、磁带库和光纤交换机组成。NAS可作为独立的文件服务器，提供文件级的数据访问功能，更适合文件共享。而SAN提供数据块级的数据访问功能，更适合数据库和海量数据。
目前一般用户使用PC服务器或PC计算机，通过网络 *** 作系统来提供文件服务，UNIX、Linux、Novell、 Windows等 *** 作系统都可提供文件共享服务。Windows网络 *** 作系统，如Windows NT Server、Windows2000 Server和最新的Windows Server 2003由于 *** 作管理简单、功能强大，在中小用户群中的普及率非常高，许多文件服务器都运行Windows网络 *** 作系统。下面将重点以Windows Server 2003为例介绍文件服务器的配置、管理和应用。
3 实验环境与设备
C/S模式的网络环境，包括一台Windows XP客户机和一台Windows Server 2003服务器。
两种可选的物理拓扑（交叉线连接或通过集线器/交换机用直连线连接）。
4 实验内容与步骤
40 服务器的基本网络配置，包括IP地址为"192168105XX"、网关为"192168105254"等。(注："XX"代表你配置机器的主机编号，"nXX"代表你的服务器主机名，例如你坐在5号机上则"XX"代表"05"，"1XX"代表"105"，配置此机的IP地址为"1921681055"、主机名为"n05"，下同)。
41 安装和配置文件服务器
文件服务器提供网络上的中心位置，可供存储文件并通过网络与用户共享文件。当用户需要重要文件时，可以访问文件服务器上的文件，而不必在各自独立的计算机之间传送文件。如果网络用户需要对相同文件和可通过网络访问的应用程序的访问权限，就要将该计算机配置为文件服务器。默认情况下，在安装Windows Server 2003系统时，将自动安装"Microsoft网络的文件和打印共享"网络组件。如果没有该组件，可通过网络连接属性对话框安装。
1．准备工作
在部署文件服务器之前，应当做好以下准备工作。
·划出专门的硬盘分区(卷)用于提供文件共享服务，而且要保证足够的存储空间，必要时使用磁盘阵列。
·磁盘分区(卷)使用NTFS文件系统，因为FAT32缺乏安全性，而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限等重要特性。
提示：使用Windows Server 2003自带的工具即可将FAT32转换成NTFS格式。该工具名为Convertexe，位于Windows安装目录下的System32目录中。在命令行状态运行该工具即可，如Convert E:/FS:NTFS。
·确定是否要启用磁盘配额，以限制用户使用的磁盘存储空间。
·确定是否要使用索引服务，以提供更快速、更便捷的搜索服务。
2．配置文件服务器
只要将Windows Server 2003计算机上的某个文件夹共享出来，就会自动安装文件服务器，也可通过"配置您的服务器向导"工具来安装文件服务器角色。这两种方法的差别是，第二种方法提供更多的选项，并在程序菜单中提供文件服务器管理台工具。这里介绍采用第二种方法的基本步骤。
(1) 启动"配置您的服务器向导"工具。默认情况下，登录Windows Server 2003时将自动启动"管理您的服务器"(也可从控制面板中选择管理工具→管理您的服务器)，单击添加或删除角色。另一种方法是直接从控制面板中选择管理工具→管理您的服务器→配置您的服务器向导。单击下一步按钮。
(2) 在配置选项界面中选择自定义配置，单击下一步按钮。
(3) 在服务器角色界面中，如果文件服务器的已配置状态为"否"，就单击文件服务器，然后单击下一步。
注意：如果文件服务器的已配置状态为"是"，就单击文件服务器，再单击下一步按钮打开角色删除确认界面，并选择删除文件服务器角色复选框，即可删除文件服务器角色，这样该服务器上的文件和文件夹就不再共享，依赖于这些共享资源的网络用户、程序或宿主都将无法与它们连接。
(4) 出现文件服务器磁盘配额对话框中，为服务器上所有NTFS分区设置默认的磁盘配额。勾选为此服务器的新用户设置默认磁盘空间配额和拒绝将磁盘空间给超过配额限制的用户。单击下一步按钮。默认情况下是没有启用磁盘配额。
(5) 出现文件服务器索引服务对话框，确定是否要使用索引服务。单击下一步按钮。一般情况下不需索引服务，只有在用户要经常搜索该服务器上的文件内容时才启用它。
(6) 出现选择总结对话框，查看和确认已经选择的选项，单击下一步按钮。
本例中有"设置默认磁盘配额"、"安装文件服务器管理"和"运行共享文件夹向导来添加一个新的共享文件夹或共享已有文件夹"等选项。
(7) 自动完成相关配置后，出现共享文件夹向导，根据提示配置共享文件夹以供其他用户共享。只有配置了共享文件夹之后，文件服务器才能建立。
(8) 单击下一步按钮，出现文件夹路径对话框，指定要共享的文件夹路径。可通过浏览在C盘目录下新建一个FileShare作为共享目录，此时文件夹路径输入框中将出现C:FileShare（如果C盘中已经建立过此文件夹，才可以在此输入框中直接输入）。
(9)单击下一步按钮，出现名称、描述和设置对话框，指定共享名。
(10) 单击下一步按钮，出现权限对话框，指定共享权限为管理员有完全访
问权限；其他用户有只读访问权限，单击完成按钮。这里提供了几种预置的权限，也可以自定义权限。
(11)共享成功对话框中显示共享成功，给出新建共享文件夹的信息。如果要继续设置其他共享文件夹，则选中下面的复选框。单击关闭按钮，完成。
至此文件服务器配置就完成了。接下来可执行各项文件管理任务。
3．文件服务器管理工具（以下方法至少掌握一种）
Windows Server 2003提供了用于文件服务器配置管理的多种工具。
·文件服务器管理控制台：打开"管理您的服务器"工具，在文件服务器区域单击管理此文件服务器，打开该控制台。要使用"配置您的服务器向导"工具安装文件服务器，可从程序菜单中选择管理工具→文件服务器管理命令打开该控制台。
·"共享文件夹"管理工具：也可通过"计算机管理"工具中的"共享文件夹"管理工具来执行共享文件夹的配置管理，从程序菜单中选择管理工具→计算机管理，展开共享文件夹节点即可。
·Windows资源管理器：可直接将文件夹配置为共享文件夹。
·命令行工具：如net share可显示有关本地计算机上全部共享资源的信息。

这个是因为你启用了NAT/基本防火墙，打开路由和远程访问管理器，点击IP路由选择，右击NAT/基本防火墙－属性，看看公用接口连接到Internet,去掉在此接口上启用基本防火墙的小勾，确定退出，然后重启路由和远程服务；
如果还是不行，在管理器中删除现有的路由和远程服务器，重新配置路由和远程服务器，在选择NAT Internet连接页面时，去掉通过设置基本防火墙来在对选择的接口进行保护前的小勾即可；
具体请参考以下网址或谷歌百度“Windows server 2003 NAT配置
”：
这里的NAT/基本防火墙不是指 *** 作系统自带的防火墙，而是路由和远程服务通过自定义实现的一组控制网络访问的规则， 类似于普通防火墙的网络访问控制功能，符合规定的允许访问或者不允许访问，可以起到控制网络访问的作用。如果想实现既能做WEB服务器又能做NAT路由，必须取消这个NAT/基本防火墙。

网络管理，英文名称：Network Management，定义：监测、控制和记录电信网络资源的性能和使用情况，以使网络有效运行，为用户提供一定质量水平的电信业务。

网络管理的目的

1、故障管理

故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时，网络管理器必须迅速查找到故障并及时排除，网络故障管理包括故障检测、隔离和纠正三方面。

2、计费管理

计费管理记录网络资源的使用，目的是控制和监测网络 *** 作的费用和代价。

3、配置管理

配置管理初始化网络、并配置网络，以使其提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能，目的是为了 实现某个特定功能或使网络性能达到最优。

4、性能管理

性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。

5、安全管理(Security Management)

网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理，另外还要维护和检查安全日志。

6、上网行为管理

小草网管软件综合智能动态带宽保障，服务器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网络性能、质量、安全等方面为客户提供完整的解决方案。

参考资料来源：百度百科—网络管理

---