halo~我是bay_Tong桐小白
本文内容是桐小白个人对所学知识进行的总结和分享,知识点会不定期进行编辑更新和完善,了解最近更新内容可参看更新日志,欢迎各位大神留言、指点
【学习网络安全知识,维护绿色网络环境】
【步入网络安全第一步,了解《中华人民共和国网络安全法》。从自身做起,做一名努力贡献绵力的红白帽】
Windows环境下公司局域网的简单模拟部署
【更新日志】
最近更新:
- 暂无编辑记录,持续更新中……
部署需求
在虚拟网络环境内实现简单的共享部署,实现如下功能
- 虚拟网络内部能进行通信
- 有内部的文件共享环境
- 有内部的多个可访问的静态网站且可被指定管理员进行更新维护
解决方案
根据需求进行针对性解决部署
- 通信——手动配置ip、子网掩码等或动态配置(通过DHCP)
- 文件共享——SMB、ftp、用户与组管理、NTFS权限
- 可访问网站——http、DNS
- 可被指定管理员进行更新维护——telnet、RDP
实施规划
【为方便操作本实践选用WindowsXP与Windows2003 Server进行模拟】
具体部署
【PS:本模拟部署实践在VMware虚拟机环境下进行,虚提前将虚拟机均连接到同一个局域网(如vmnet1)下,为方便实验暂时不考虑防火墙,将防火墙关闭】
【虚拟机内部有内置DHCP服务器会影响实验,实验时需先将其去除】
服务器静态配置ip地址
服务器需要手动静态配置,设网段统一为192.168.0.0/255.255.255.0
首先检查自身网卡配置,使用ping命令检测回环地址127.0.0.1可检查网卡配置是否有故障
手动配置ip与子网掩码:右击“网上邻居”点击“属性” → 右击“本地连接”点击“属性” → 双击“Internet协议(TCP/IP)” → 进行ip地址与子网掩码的手动配置
【该实验使用两台服务器,ip地址分别手动配置为192.168.0.1与192.168.0.2,根据上文的实施规划,192.168.0.1服务器计划配置DNS、DHCP、SMB服务,192.168.0.2服务器计划配置DNS、http、ftp服务】
两台服务器ip手动配置步骤一致,均完成后使用ping命令查验两服务器的通信连接情况
DHCP服务部署与动态配置ip地址
安装DHCP服务插件(关于DHCP服务的安全可见本栏文章《Windows基本服务安全》)
使用netstat -an命令查看服务端口号(67/68)是否正常开启
新建作用域
设置地址池及租约(地址池设置为192.168.0.101至192.168.0.254,使得服务器与PC处于同一网段,地址192.168.0.100之前留给服务器手动配置使用,192.168.0.0通常为网段地址,192.168.0.255通常为广播地址)
激活作用域
开启winxp1与winxp2,进行ip动态配置,以winxp1为例,右击“网上邻居”点击“属性” → 右击“本地连接”点击“属性” → 双击“Internet协议(TCP/IP)” → 进行ip地址与子网掩码的动态配置
使用 ipconfig 命令与 ipconfig -all 命令查看网络配置信息
使用ping命令查验winxp与两台服务器(192.168.0.1与192.168.0.2)的连接通信情况
在DHCP服务器端也可查看地址租用和使用连接情况
使用ipconfig -release命令可手工释放ip地址,使用ipconfig -renew可手工向DHCP服务器刷新请求
同样步骤可完成winxp2的ip地址动态配置,如此完成了以下功能:
DNS服务部署
安装DNS服务插件(关于DNS服务的安全可见本栏文章《Windows基本服务安全》)
使用netstat -an命令查看服务端口号(53)是否正常开启
新建正向域名解析区域
新建主机
新建反向域名解析区域
新建指针
将winxp1的默认DNS地址手动指向配置好的DNS服务器地址
使用winxp1主机通过nslookup命令进行手工域名解析或者使用ping命令也可查看解析是否成功
使用ipconfig -displaydns命令可查看本地dns解析缓存,使用ipconfig -flushdns命令可刷新本地dns解析缓存
相同方法可将另一台服务器也完成DNS服务部署
NTFS权限设置
此实验模拟winxp1为管理员,winxp2为普通用户,可通过服务共享权限与NTFS权限配合设置实现管理
http服务部署
安装http服务插件(关于http服务的安全可见本栏文章《Windows基本服务安全》)
使用netstat -an命令查看服务端口号(80/81)是否正常开启
在本地磁盘上创建文件夹,书写并存放静态网站代码(html、css、javascript)(D盘存放local.com,E盘存放root.com)
停止默认网站
新建网站
绑定网站所架设在的服务器ip
绑定网站文件根目录
设置访问权限
对网站进行默认页面的显示设置
在winxp1主机端使用浏览器通过ip地址进行网页访问
在DNS服务器完成对此站点进行域名解析的配置(如www.root.com)后,即可通过域名来访问
假设同一台服务器上假设多个网站,则可进行ip的高级配置
ip完成添加后,即可在本机上继续假设网站,ip地址配置为新添加的ip地址
同样,完成默认页面的设置与DNS域名解析的添加,在winxp1主机端使用浏览器即可通过ip地址或域名进行网站访问浏览
ftp服务部署
安装ftp服务插件(关于ftp服务的安全可见本栏文章《Windows基本服务安全》)
使用netstat -an命令查看服务端口号(21/20)是否正常开启
与http类似,先新添加ip地址,然后新建ftp站点进行站点架设
(访问ftp时权限取ftp权限与NTFS安全权限的交集,因此为方便操作管理这里直接设置ftp权限全部勾选,即访问权限取决于具体的NTFS安全权限)
建立完成后要取消匿名访问连接
使用主机winxp1进行连接访问(需要使用服务器本地用户身份)
smb服务部署
开启文件共享server服务(windows操作系统此服务默认为开启状态,关于此协议服务的安全可见本栏文章《Windows基本服务安全》)
两台服务器只设一台开启SMB服务,另一台关闭该服务
使用netstat -an命令查看服务端口号(445)是否正常开启(当此服务关闭时,445端口号仍然会显示开放状态,但服务已被停止)
服务开启后,打开服务器本地磁盘,创建文件夹,存放文件
打开文件共享并设置共享权限(远程访问时权限取共享权限与NTFS安全权限的交集,因此为方便操作管理这里直接设置共享权限为everyone完全控制,即访问权限取决于具体的NTFS安全权限)
使用主机winxp1进行连接访问(需要使用服务器本地用户身份)
完善配置
根据实施规划,将192.168.0.1配置为DNS(local) + DHCP + SMB服务器,将192.168.0.2配置为DNS(root) + http + ftp服务器
检查http的配置(两个静态网站local.com与root.com的架设)
配置完善DNS解析域(localDNS设置转发器到rootDNS,两主机winxp1与winxp2的默认DNS设为localDNS192.168.0.1)
localDNS服务器:
rootDNS服务器:
使用主机winxp1进行网站访问
服务设置不同用户账户与NTFS文件安全权限,将管理员账号给winxp1,普通用户账号给winxp2
最终效果
持续更新中……
我是桐小白,一个摸爬滚打的计算机小白