ITSMS网络配置安全策略
网络设备安全策略
网络设备安全策略 一. 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。只有网络中所有结点都安全了,才能说整个网络状况是安全的。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。对网络设备进行安全加固的目的是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性,往往会成为攻击目标。 二. 设备的安全脆弱性分析如下 (1)提供不必要的网络服务,提高了攻击者的攻击机会 (2)存在不安全的配置,带来不必要的安全隐患 (3)不适当的访问控制 (4)存在系统软件上的安全漏洞 (5)物理上没有安全存放,遭受临近攻击(close-in attack) 三. 针对网络设备存在的安全弱点,采取的方法和策略。(1)禁用不必要的网络服务 (2)修改不安全的配置 (3)利用最小权限原则严格对设备的访问控制 (4)及时对系统进行软件升级 (5)提供符合IPP要求的物理保护环境 四. 网络设备安全服务控制 利用IP 地址欺骗控制其他主机,共同要求Router提供的某种服务,导致Router 利用率升高。就可以实现DDOS攻击。防范措施是关闭某些默认状态下开启的服务,以节省内存并防止安全破坏行为/攻击。 (1)禁止CDP协议 (2)禁止其他的TCP、UDP Small服务 (3)禁止Finger服务
(4)建议禁止http server服务。 (5)禁止bootp server服务 (6)禁止代理ARP服务 (7)过滤进来的ICMP的重定向消息 (8)建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤 (9)如果没必要则禁止WINS和DNS服务 (10) 根据公司的业务需求对适合不同业务的网络协议端口进行相应的开放和封闭策略 五. 网络设备运行监控 对重要的网络设备,如核心交换机,防火墙,路由器等进行时时的监控和报警措施,及时做好预防措施,保证公司网络设备的安全运行.
服务器安装方案
一、实施计划方案 实施方案和计划进度 针对本次的项目实施,我公司将组建项目实施小组,按客户的要求和相应的设计方案,完成设备采购要求的伴随服务中的安装调试环节,实施过程采用项目管理方式进行管理和运作。 在项目组成员的选择上,我公司会选择经验丰富的项目管理人员出任项目经理,并挑选各类资深认证工程师及商务、物流接口人组成专门的项目组。 人员构成 团队组成 岗位人员职责 发起人高青负责项目运作的监控和变更审批 负责项目质量定义和实施检查 项目经理刘庆负责项目整体运作、客户接口及合作方协调工作 负责项目计划实施、流程规范执行管理 负责跟踪项目执行和服务质量监控 负责协调人员到场及货物交接 负责组织验收、客户回访 负责项目执行成本进度分析和控制 资深工程师A 孟亮负责整体项目架构的构建和实施指导 配合及测试验收工作 资深工程师B 陈警负责现场环境考察、客户需求沟通 负责实施方案撰写 负责现场部分实施工作及测试验收工作 项目实施进度计划 针对客户项目的设计和实施需求,安装实施项目大致可分为以下阶段一、立项、启动和计划阶段控制过程 主要完成以下工作: ●任命项目经理,召开项目启动会 ●项目实施计划、项目流程管理规范、执行文档模板的撰写 ●项目资源规划及落实 ●建立顺畅的沟通渠道和机制 二、考察、咨询、方案设计阶段 主要完成以下工作: ●客户安装现场环境考察 ●客户需求沟通,并提供安装、调试及系统架构相关技术咨询 ●项目实施技术方案撰写
●实施方案完善并提交客户审核 ●提交现场环境需求书和整改建议 三、订货跟踪阶段 此阶段神码将指定专人进行跟踪。及时跟踪产品订货的各项环节,及时汇报进展程度和进度预期。项目组将对可能发生的延误风险进行及时的处理,以避免和缓解影响。 四、实施准备阶段 针对项目实施所用到的工具、设备、介质和其他资源进行检测,确保完好可用 完成初步的实施、维护、使用及测试验收文档模板 五、到货交付阶段 ●完成内部货物入库,销售、出库、运输流程 ●协调人员进行现场货物交接和签收 ●对交付中产生的问题进行记录,并尽快积极解决,达到合同要求 六、安装、调试阶段 ●项目经理跟踪项目执行和服务质量监控 ●相关现场人员对到场设备拆除包装上架 ●对现场环境进行复查检测,已确认符合安装规范要求 ●协同工作进行拓扑连接、上电验机 ●按客户规划要求和实施方案指导进行硬件、软件安装调试 ●项目组成员共同处理安装调试时发生的异常情况 ●责任人对实施、维护、使用及测试验收文档进行最终的完善 ●物流负责人对运输、拆箱安装现场环境进行清理和复原 七、初验、监控阶段 ●按照计划安排和认可的测试流程进行设备功能性测试 ●对测试中遇到的问题和故障进行处理 ●提交实施、维护、使用及测试验收文档 ●在监控期安排工程师职守随时处理问题 八、终验阶段 ●进行最终产品配置功能测试完成验收主要环节 ●对于实施、维护、使用及测试验收文档验证及及最后的修正 ●组织相关技术人员针对客户使用、维护等相关问题进行技术咨询解答 ●客服人员对项目组成员工作进行客户回访和满意度调查 ●项目经理对项目执行成本进度分析(内部)
计算机网络常用服务器的安装与配置
实验指导书_lly 实验三、计算机网络常用服务器的安装与配置 1.实验目的 ●在Windows 2003下进行DNS服务器的配置 ●在Windows 2003下进行DHCP服务器的配置 ●在Windows XP下进行FTP服务器的配置 ●在Windwos XP下进行代理服务器的配置 2.实验环境 ●PC个人计算机一台 ●Windows 2003和Windows XP两个操作系统 3.实验步骤及内容 内容一:DNS服务器的配置 【示例】某页面服务器(或称网站)的网址为“https://www.360docs.net/doc/699572950.html,”,其对应的IP地址为“192.168.0.100”。如何在Windows Server 2003操作系统中配置DNS服务器? 【解析】 DNS服务器的配置主要是两方面的配置:创建正向搜索区域,即根据域名“https://www.360docs.net/doc/699572950.html,”解析IP地址“192.168.0.100”;创建反向搜索区域,即根据IP地址解析域名,即根据IP地址“192.168.0.100”解析出“https://www.360docs.net/doc/699572950.html,”。本实验内容主要是创建正向搜索区域。 【步骤】 1)在Windows 2003下进行DNS服务器的安装 单击“开始”——〉“控制面板”——〉“添加或者删除程序”。单击“添加或者删除Windows 组件”,在“组件”列表中,单击“网络服务”,然后单击“详细信息”按钮。选中“域名系统”复选框(注:也可以全部选中)。如图3-1所示。
单击“网 络服务” 图3-1 安装DNS服务器 2)在Windows 2003下进行DNS服务器的配置 启动DNS服务管理器,创建域名服务器。单击“开始”——〉“程序”——〉“管理工具”——〉“DNS”选项。弹出一个对话框,如图3-2所示,在域名服务管理器的主窗口中,用鼠标右键单击用户的新服务器并选择“配置服务器”,出现“配置DNS服务器向导”对话框。 图3-2 启动DNS服务器 3)创建一个域“https://www.360docs.net/doc/699572950.html,” 如图3-3所示,为BBS服务器、邮件服务器和Web服务器创建一个新的域“https://www.360docs.net/doc/699572950.html,”。
信息安全管理制度-网络安全设备配置规范v1
网络安全设备配置规范 网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
完整版服务器安装说明
完整版服务器安装说明(车辆定位+人员定位) 一、“完整版服务器”安装要求 1. 操作系统要求:Windows Server 2003 操作系统 2. 数据库要求:SQL Server2000 / 2005 / 2008 3.“GPS监控服务器”需要打开的端口:89、1501、6969、6767、2099 “人员定位服务器”需要打开的端口:89、1504、7979、7878 二、下载“完整版服务器”安装程序 登录EXLIVE主网站,在“下载中心—> 服务器端—> 完整安装包”中,点击“完整安装包”下载安装程序(如图1)。
图1 三、安装“完整版服务器” 下载完成后,双击,进入安装界面(如图2、3) 图2
图3 点击,进入“许可证协议”(如图4) 图4 仔细阅读协议后,点击进入客户信息界面,如图5
图5 填写客户信息,如:用户名,公司名称,序列号(默认即可)等,点击,进入目的地文件夹选择界面(如图6) 图6 选择安装位置后,点击,系统自动生成EXLIVE定位服务平台文件夹,如图7
图7 点击,进入安装状态(如图8) 图8 待服务器程序安装完成(如图9);
图9 点击,进入“EXLIVE定位服务平台系统配置” 界面(如图10)。 四、配置“EXLIVE定位服务平台系统”参数 1.数据库连接参数配置(如图10) >> 数据库类型:根据客户服务器数据库安装程序不同,选择不同数据库类型SQL Server 2000 / 2005 / 2008 >> 服务器地址:数据库所在服务器的IP地址 >> 数据库名称:默认gserver_synth(车辆定位数据库),pgps(人员定位数据库) >> 登录用户,密码:连接数据库的账号及密码 >> 附加数据库:是否将数据库模板附加到用户数据库中,第一次安装,必须选择该项 >> 启动服务器(车辆、人员):选中此项,服务器安装成功后,程序会自动启动车辆定位服务器和人员定位服务器。
网络安装服务器
(Dhcp+nfs+tftp+ks ) 如何大规模的部署RedHat Linux操作系统,避免了手工安装的繁琐? 在安装RedHat Linux企业版的过程中,我们都知道它允许通过NFS、HTTP或FTP协议来进行网络安装。但是在一般情况下我们需要有一个安装引导介质(引导光盘、引导软盘、U盘等),有没有一种方法不通过引导光盘方式来安装呢,而直接通过网络来进行安装?答案是有,即通过PXE技术实现。 一、基本原理: PXE到底是什么东东? PXE(Pre-boot Execution Environment)是由Intel设计的协议,它可以使计算机通过网络启动。协议分为client和server两端,PXE client在网卡的ROM中,当计算机引导时,BIOS把PXE client调入内存执行,并显示出命令菜单,经用户选择后,PXE client将放置在远端的操作系统通过网络下载到本地运行。 既然是通过网络传输,就需要IP地址;也就是说在其启动过程中,客户端请求服务器分配IP地址,之后PXE Client使用TFTP Client 通过TFTP(Trivial File Transfer Protocol)协议下载启动安装程序所需的文件。 简单地说PXE网络安装,客户机通过支持PXE的网卡向网络中发送请求DHCP信息的广播请求IP地址等信息,DHCP服务器给客户端提供IP地址和其它信息(TFTP服务器、启动文件等),之后请求并下载安装需要的文件。
1:客户端网卡在主机启动初始化时通过网卡内置的PXE芯片启动DHCP进程向server获取ip地址,网卡获取到ip地址后,server会提供给client一个下载bootloader的指令,就是dhcp 服务器中dhcpd.conf配置文件中filename这个选项。 2:网卡PXE芯片中已经包含了tftp client程序,获取到ip地址后,网卡会启动tftp服务去向tftp server请求传输这个bootloader文件PXElinux.0。当Bootloader加载后我们可以看到主机屏幕上有信息显示,而这个画面就是我们在用光驱装linux的时候看到的第一个画面。画面提示选择图形 界面安装还是linux text字符界面安装等信息。如果在server端的tftpboot目录下只有这个文件,那么客户机会一直停留在boot这个地方,因为没有default这个bootloader配置文件告诉机器下一步加载哪个系统内核,default配置文件的作用是告诉主机从哪里去加载操作系统内核,这个时候如果我们按照正常光碟装机时会看到提示:输入回车或者linux text等信息。Bootloader会去调用default配置文件中的操作系统内核文件。 3:default 文件配置好之后,接着就是指定内核文件,这个在default文件最后。就是vmlinuz,initrd.img *.msg 这几个文件。 4:到这一步加载成功后,系统就按照我们平常光碟装系统看到的过程一模一样了,选择语言,鼠标,键盘等,但因为有了KS这个自动安装脚步,这些都不要我们手工去指定,全部会自动完成。 5:到这里为止,也许有人会问,那我们从哪里去加载安装的镜像。且慢,不是有个ks安装脚本吗,就是这个脚本里面我们可以指定安装镜像在哪里。 6:现在就考虑系统镜像的传输,这里我们选用linux特有的NFS网络文件系统进行镜像的传输。 二、配置安装 可以分为如下步骤: 1、配置服务器端的DHCP,用于给客户端提供IP地址及其它信息 2、配置服务器端TFTP服务器,用于提供客户端PXE引导所必须的文件 3、配置服务器端NFS服务器,用于存放安装树 4、配置服务器端Kickstart,用于自动应答安装 5、使用PXE功能引导客户机 1、DHCP安装和配置 1)DHCP的安装
卡巴斯基网络版安装及配置说明(非Server的系统)
卡巴斯基网络版安装及配置说明(非Server的系统) 服务端安装在非Server的系统之上,如果安装在Server系统之上,管理工具可以正常运行,但卡巴斯基杀毒软件就不能安装了。 安装步骤: 1、安装MSDE。(详见安装手册) 2、安装卡巴斯基反病毒windows网络版-管理工具。(详见安装手册) 2.1策略的导入: 下载地址: https://www.360docs.net/doc/699572950.html,/admin/NetDataDir/lcedu/NetContentInfo/Att achments/07030714431846131_策略任务模板.rar 在组下面的策略中点击右键->所有任务->输入导入两个策略:工作站策略、服务器策略 在组下面的任务中点击右键->所有任务->输入导入四个任务:服务器更新任务、服务器扫描任务、工作站更新任务、工作站扫描任务 在授权许可上面的这个任务中点击右键->所有任务->输入导入一个任务:管理工具下载更新任务 3、制作卡巴斯的工作站的代理软件和杀毒软件。 3.1工作站代理软件的制作: 打开卡巴安装目录下的Kaspersky Lab\Kaspersky Administration Kit\Share\Packages\NetAgent 1.0,全部选中里面的文件后,按右键选择“添加到压缩文件(A)…”
在压缩选项中,选择“创建自解压格式的压缩文件” 然后选择“高级”中“自解压选项”
在常规中的“解压后运行”中,输入 setup.exe /s(注意:setup.exe和/s 中间有一个空格) 模式中的参数设置如下图所示:
如下图所示的:NetAgent 1.0.exe就是制作好的工作站代理软件。 3.2工作站杀毒软件的制作: 打开管理工具,在“远程安装”中,点击右键新建->安装程序包
服务器、网络设备以及安全设备日常维护管理制度
服务器、网络设备以及安全设备日常维护管理制度 第一条 服务器、网络设备及安全设备的安全、性能检查。每台服务器、网络设备及安全设备至少保证每周检查两次,每次检查的结果要求进行登记记录。 第二条 数据备份工作。定期对服务器、网络设备、安全设备的配置文件进行备份,每次更改配置、策略后,都要及时更新备份文件,保证当前为备份最新数据。 第三条 服务器、网络设备及安全设备的监控工作。每天正常工作期间必须保证监视所有服务器、网络设备及安全设备状态,一旦发现服务器、网络设备或安全设备异常,要及时采取相应措施。 第四条 服务器、网络设备及安全设备的相关日志操作。每台服务器、网络设备及安全设备保证每周或依据数据情况对相关日志进行整理,整理前对应的各项日志如应用程序日志、安全日志、系统日志等应进行保存。 第五条 要及时做好服务器的补丁升级和漏洞修复工作。对于新发布的漏洞补丁和应用程序方面的安全更新,要及时分发给每台服务器。 第六条 服务器、网络设备及安全设备的安全检查主要包括CPU利用率、运行状态、性能、网络流量等方面。安全管理员必须保证对服务器、网络设备及安全设备每月进行一次安全检查。每次的检查结果必须做好记录,并生成检查报告。 第七条 不定时的相关工作。每台服务器如有应用软件更改、需要安装新的应用程序或卸载应用程序等操作,应提前告知所有管理员。 第八条 密码定期更改工作。每台服务器、网络设备及安全设备保证至少每一个月更改一次密码,密码长度不少于8位,且要满足复杂度要求。
第九条 系统管理人员要定时对系统服务器进行病毒检查,发现病毒要及时处理。 第十条 未经许可,任何人不得在服务器上安装新软件,若确实需要安装,安装前应得到授权并进行病毒例行检查。 第十一条 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 第十二条 定时对硬件进行检查、调试和修理,确保其运行完好。 第十三条 关键设备应指定专人保管,未经授权的人员不得进行单独操作。 第十四条 所有设备未经许可一律不得借用,特殊情况须经批准后办理借用手续,借用期间如有损坏应由借用部门或借用人负责赔偿。 第十五条 硬件设备发生损坏、丢失等事故,应及时上报,填写报告单并按有关规定处理。 第十六条 业务系统设备及其附属设备的管理(登记)与维修由系统、网络管理员负责。设备管理人员每半年要核对一次设备登记情况。 第十七条 系统服务器、网络设备及安全设备应由相关管理人员每周进行一次例行检查和维护,并详细记录检查过程及检查结果。 第十八条
网络设备安装与调试
实习报告 实习性质:《网络设备安装与调试》课程实习学生姓名:xxx 专业班级:xxx 指导教师:刘宇、周通 实习时间:2015年6月29日— 2015年7月3日实习地点:1405机房 重庆工程职业技术学院
学生实习考核表
目录 1 实习目的 (1) 2实习概况 (1) 2.1实习要求 (1) 2.2 实习时间 (1) 2.3实习环境 (1) 2.4 开发环境 (1) 3 实习内容 (2) 3.1实验1交换机综合配置 (2) 3.1.1项目描述 (2) 3.1.2 规划描述 (2) 3.1.3实验要求 (4) 3.1.4配置命令 (4) 3.1.5 检测安装完成后的网络图 (8) 3.1.6链路聚合 (9) 3.1.7设置快速生成树协议和配置优先级 (9) 3.2实验2路由器综合配置 (10) 3.2.1项目描述 (10) 3.2.2规划描述 (10) 3.2.3实验要求 (11) 3.2.4配置命令 (12) 3.2.5验证三层交换机之间互通 (14) 3.3实验3邮件服务器配置 (15) 3.3.1 项目描述 (15) 3.3.2 规划描述 (15) 3.3.3 实验要求 (16) 3.3.4配置命令 (16) 3.3.5验证内外网互通 (20) 3.3.6配置动/静态NAPT (20)
通过本次《网络设备安装与调试》课程实习,让学生利用Cisco软件,对vlan 的划分,配置交换机和路由器使服务器与服务器之间实现互通。 2实习概况 2.1实习要求 (1)按时到机房参加实习; (2)独立动手完成实习相关内容; (3)按要求完成实习报告。 2.2 实习时间 2015年6月29日— 2015年7月3日 2.3实习环境 1405机房 2.4 开发环境 ●操作系统(Windows7) ●使用软件Cisco Packet Tracer 软件
服务器安装方案
服务器安装说明 HP服务器为机柜式服务器,如下图所示,它能安装到19 英寸的标准机柜中,在为您提供强大服务的同时,有效地节省了您宝贵的空间。以下内容为您详细描述了利用随机附带的服务器机柜附件将HP服务器安装到机柜上的具体操作步骤。 一、机柜准备 1、角轨调节:为了保证2U服务器能够正常安装到机柜中,机柜角轨的前后间距至少要调 整到大于740mm。 2、调平机柜:机柜必须安放在一个稳固的地方,调节机柜底部的四个调节支脚,使机柜平 稳的安放于地面。同时拆下机柜门以方便导轨安装。 3、机柜接地:为了避免电击危险,必须在机柜内安装一个接地装置。如果服务器电源线插 入了作为机柜的一部分的电源插座里,必须为机柜提供适当的接地。如果服务器的电源线插入了在墙上的电源插座里,电源插座里的接地装置仅仅为服务器提供了接地,必须为机柜及其内部的其他设备提供适当的接地保护。 4、温度:如果服务器安装在机柜内,服务器的操作、工作温度,不能低于5℃,不能高 于35℃。 5、通风:服务器用的机柜必须为服务器的前部提供足够的风流来散热,并且必须保证 能够每小时排放4100Btu的热量。选择的机柜和提供的通风条件必须适合服务器的要求。 6、电源:要求正弦波输入(50-60 赫兹)、输入电压上限:最小:200 伏交流电、最大: 240 伏交流电、以千伏安(kVA)为单位的输入近似值:最小:0.08 kVA 最大:1.6 kVA。 二、安装服务器导轨 2U服务器随机的导轨套件中包含以下物品: 1、导轨1套(左、右导轨各1个)
2、固定用螺丝1包 导轨由内轨、外轨和导轨固定架组成 1、安装内轨到服务器 1、首先将内轨从导轨中取出:握住整个导轨的前固定架,然后将内轨向外拉 2、在拉不动内轨的时候,用手指将下图中的卡销沿箭头方向拨动,然后均匀用力将内轨完全抽出。 3、内轨固定在机箱的四个螺丝上,固定位置
网络服务器安装与配置课程设计报告
网络服务器的安装与配置课程设计报告 班级: 学号: 姓名: 时间:12月29日~1月4日 指导教师:
目录 一、环境说明 1.1安装环境 (1) 1.2操作系统版本 (1) 二、安装活动目录、创建用户、组,设置资源共享与权限 2.1添加服务器角色 (1) 2.2配置域服务 (2) 2.3配置结果 (3) 三、DNS服务器的安装与配置 3.1为服务器配置静态iP (4) 3.2添加区域 (4) 3.3添加主机 (4) 3.4测试结果 (4) 四、DHCP服务器的安装与配置 4.1添加作用域 (5) 4.2配置默认路由器和DNS (6) 4.3测试结果 (6) 五、IIS的安装与配置,WWW服务器的安装与配置
5.1添加网站 (7) 5.2测试结果 (8) 六、FTP服务器的安装与配置 6.1创建FTP站点 (9) 6.2设置FTP站点目录 (9) 6.3测试结果 (10) 七、总结和体会 7.1总结和体会 (11)
一、环境说明 1.1安装环境 本实验采用Oracle VM VirtualBox 虚拟机为安装环境,网络设置为 VirtualBox Host-Only Network模式,以便做DHCP实验的验证。 1.2 操作系统版本 本实验采用得到操作系统版本是windows_server_2008,安装版本选择了Standsrd。 二、安装活动目录、创建用户、组,设置资源共享与权限 2.1 添加服务器角色 图2-1
图2-2 2.2 配置域服务 图2-3
2.3配置结果 图2-4 三、 DNS服务器的安装与配置 3.1 为服务器配置静态iP 设置服务器本机ip为192.168.5.1 24位子网掩码,DNS服务器为本机,设置为本机回环地址127.0.0.1 图3-1
3《中国石化网络安全设备管理规范》(信系[2007]17号)
3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 中国石化网络安全设备管理规范网络安全设备管理规范管理 V 1.1 2007 年 5 月 16 日 - 1 - 目 1 2 3 4 录 目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.1 4.2 系统管理员职责……- 4 信息安全管理员职责……- 5 - 5 管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 - 6 策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 - 6.2.1 6.2.2 6.2.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3 安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 - 配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 - - 2 - 9.4 9.5 10 11 配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 - - 3 - 1 目的 中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行,特制定本规范。 2 范围 本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备(防火墙、VPN、代理服务器、IP 加密机等)、入侵检测类设备、漏洞扫描类设备等。
网络服务器架构概述
网络服务器架构概述 针对校园服务器而言,经过一个学期长时间的运行,服务器中的各种系统已经紊乱,这时恐怕就得重新安装操作系统或应用软件了。以下我们将讲解软件维护过程中所需注意的一些问题。 安装前的准备 在进行操作系统维护之前需要将必要的数据备份出来。备份的方法可以使用额外的硬盘,也可以将数据用刻录机备份出来。另外,在重新安装系统之前,需要检查硬件是否工作正常,从网上下载最新的硬件驱动程序安装盘(光盘或软盘),否则系统很可能将无法安装成功。尤其是某些RAID卡的驱动程序,一定是要有软盘介质的支持,因为在安装操作系统时会要求你插入驱动盘。 操作系统的安装 在确认万事俱备之后,就可以重新安装操作系统了。首先需要将硬盘格式化,用操作系统的启动盘启动系统之后,运行格式化命令就可以了。如果有必要,可以重新把硬盘分区,但是千万不要进行低级格式化硬盘,除非确认硬盘有坏道。 在格式化硬盘之后,就把操作系统安装上,安装操作系统的具体操作过程这里就不再讲了。安装完操作系统之后,再把显卡、网卡、SCSI卡、主板等设备的驱动程序安装上,使操作系统正常运行就可以了。 另外,需要提醒一下,在安装完操作系统之后,记住一定要下载并安装最新的操作系统的补丁,这样就能够保证服务器的安全漏洞是最少的。 网络服务的设置和启动 仅仅安装完操作系统是不行的,此时的服务器还没有提供各种网络服务,因此需要对服务器进行一系列的设置。下面介绍几种特别重要的网络服务。 1、DNS服务 DNS(域名解析系统)是基于TCP/IP的网络中最重要的网络服务之一,最主要的作用是提供主机名到IP地址的解析服务。在Windows 2000 Server组成的网络中,DNS服务居于核心地位,如果没有DNS,Windows 2000网络将无法工作。所以在Windows 2000网络中,至少要有一台DNS服务器。 2、域控制器
服务器安装配置流程
服务器安装配置流程 一、检查产品外包装是否完好。 二、对照客户要求,拿出相应的硬件。 三、安装步骤: 1.安装硬件前应核对好硬件的编号和性能是否是客户所需求的,不制式的标签要清理掉,换上制式的标签,并且要将硬件表面用清洁剂清理干净。 2.首先,安装cpu,安装cpu的时候,先检查一下针脚是否有弯曲的迹象,如果有,报至采购,确定好针脚完好之后,将cpu安装在主板上,注意不要用手碰到底面,不然会有手印残留,安装时候,“三角对三角”,将cpu固定完好后,记得要涂上硅胶(新的cpu一般都自带硅胶),涂硅胶的时候记得涂抹均匀,还有硅胶不要滴落进机器里面,然后安装风扇,安装风扇的时候记得用双手控制螺旋杆,避免滑落,刮伤机器。 3.下一步安装内存,一般两个cpu是分AB两个区的,面对机器,B区是从最右边开始,B1,B2,B3.......以此类推,A区也是如此,安装内存也是从1开始装,安装时候记得要卡好位置。 4.安装阵列卡,阵列卡分许多种,我们按照客户的要求选择带电源或者不带电源的,一般是选择带电源的(能够自己储存数据)。安装的时候小心,别弄坏阵列卡。 5.安装硬盘和电源。 四、安装Windows server 2008 R2系统 一、配置服务器RAID 1.开机自检界面按照屏幕提示,按Ctrl+R进入RAID配置界面,如图1-1所示:
图1-1 开机自检界面 2.等待一小会儿,系统自动进入虚拟磁盘管理器(Virtual Disk Management),准备开始配置RAID,如图1-2所示: 注:此界面中按Ctrl+N和Ctrl+P可进行界面切换。 图1-2 虚拟磁盘管理器界面 3.此时虚拟磁盘为空,按上下键使光标停留在阵列卡型号所在行(图中的PERC H310 Mini),按F2弹出菜单,选择Create New VD创建新的虚拟磁盘,如图1-3所示:
策略组禁止软件安装修订版
策略组禁止软件安装 Document number:PBGCG-0857-BTDO-0089-PTT1998
策略组禁止软件安装 策略可是好东西,禁止软件安装 开始——运行:——“组策略”、“计算机配置”、“管理模板”、“Windows组件”、“Windows Installer”中选择1) “禁用Windows Installer”、(已经启用) 2) “禁止用户安装” (已经启用) 组策略可是好东西 你可以通过自己编写规则来最大限度阻止病毒运行,相当于一层防火墙. 举例来说说吧 U盘病毒盛行,你可用I:\.exe和I:\来阻止其运行,很不错吧 还有一些简单规则最有效抗病毒\ 这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统还原文件夹保护好了,就算中毒了,也没事! 级别:学者
2月12日 20:00 在Windows XP中只有管理员登陆才能安装软件,如果是从客户登陆就不能安装,其他的功能几乎一样。 你在自己的机子上就开放Client用户,给别人使用然后自己使用管理员登陆。这样就可以禁止他人在你的机子上安装软件,当然对自己是没有限制的Windows XP 客户端的软件限制策略 : 1、运行组策略管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装 2、右击我的电脑--管理(或者打开管理工具里的服务也行)---服务---Windows Instaaler--改成禁用---就行了。也可以用Winlock来设置 降低权限为user即可 ----------------------------------------- 内置管理员帐号是不可以降级的。只可以禁用。组策略中没有这样的设置,可以结合楼上的说法,禁用内置管理员帐号,给用户普通用户权限 ------------------------------------------- Windows XP组策略 & 应用组策略限制垃圾软件的安装和运行 一、组策略的基本知识
网络设备安全规范和指南
网络设备安全规范和指南 1. 目的 本规范旨在确定网络设备最低的安全配置标准;本指南旨在为网络管理员选购和配置网络设备提供帮助。 2. 范围 本规定适用于运营平台所有网络设备的选型和配置。 3. 规范 3.1. 选用其硬件平台,操作系统,服务和应用具备适当安全的网络设备; 3.2. 将每个网络设备在本公司的信息管理系统中进行登记。至少记录如下信息: * 设备所在位置和联系人 * 硬件和操作系统版本 * 主要功能和应用 * 特权口令 3.3. 为每个网络设备配置合适的DNS记录; 3.4. 保证网络设备口令符合<<口令安全规范和指南>>的规定, 以安全的加密形式存放口令, 使用强健的SNMP 通信字符串; 3.5. 禁止在网络设备上创建本地用户帐号,应使用TACACS+, RADIUS 验证用户身份; 3.6. 禁用不必要的服务和应用; 3.7 设备间的信任关系只有在业务必需的情况下建立,必须作相应记录; 3.8. 限定只有网管工作站才能登录网络设备或使用SNMP协议获取设备信息; 3.9. 在支持SSH协议的网络设备配置SSH; 3.10. 使用安全的连接协议(SSH, IPSEC)执行远程设备管理; 3.11. 及时安装网络设备厂家和信息安全人员推荐的补丁和修复; 3.12. 为连接服务器的交换机配置端口安全; 3.13. 将安全相关的事件记录到特定的日志里。安全相关的事件包括(但不限于)如下事件: * 用户登录失败; * 获取特权访问失败;
* 违反访问策略; 3.1 4. 每天查看重要网络设备的日志,所有网络设备的日志至少每两周查看一次。 3.15. 改变现有设备的配置和配置新设备必须遵守变更管理制度; 3.16. 新设备必须在经过严格的安全审计后才允许投入产品环境; 3.17. 在网络设备上粘贴警告:“禁止非法访问本设备。你必须在得到明确的许可后才允许 访问或配置该设备。在该设备上执行的一切活动都会被记录,违反本规定会受到本公司的惩罚,甚至承担相应的法律责任。” 3.18. 定期审计网络设备; 3.19. 尽可能为重要网络设备配备备用设备; 4.指南 4.1. 禁用下列事项或确认设备的默认配置已经禁用了下列事项: * IP 定向广播; * 源地址无效的数据包; * 源路由; * Small 服务,路由器上的WEB 服务; * ARP proxy; * 与ISP网络连接的CISCO路由器/交换机上的CDP协议; * IP 重定向; 4.2. 配置默认ACL规则为DROP ALL ; 4.3. 严格限制DNS-TCP, DNS-UDP, ICMP协议数据包; 4.4. 集中存放网络设备产生的日志; 4.5. 订阅网络设备厂家及著名安全网站的安全邮件列表
服务器安装方案
服务器安装方案文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
一、实施计划方案 实施方案和计划进度 针对本次的项目实施,我公司将组建项目实施小组,按客户的要求和相应的设计方案,完成设备采购要求的伴随服务中的安装调试环节,实施过程采用项目管理方式进行管理和运作。 在项目组成员的选择上,我公司会选择经验丰富的项目管理人员出任项目经理,并挑选各类资深认证工程师及商务、物流接口人组成专门的项目组。人员构成 团队组成 岗位人员职责 发起人高青负责项目运作的监控和变更审批 负责项目质量定义和实施检查 项目经理刘庆负责项目整体运作、客户接口及合作方协 调工作 负责项目计划实施、流程规范执行管理 负责跟踪项目执行和服务质量监控 负责协调人员到场及货物交接 负责组织验收、客户回访 负责项目执行成本进度分析和控制 资深工程师A 孟亮负责整体项目架构的构建和实施指导 配合及测试验收工作 资深工程师B 陈警负责现场环境考察、客户需求沟通 负责实施方案撰写 负责现场部分实施工作及测试验收工作 项目实施进度计划 针对客户项目的设计和实施需求,安装实施项目大致可分为以下阶段一、立项、启动和计划阶段控制过程 主要完成以下工作: 任命项目经理,召开项目启动会
项目实施计划、项目流程管理规范、执行文档模板的撰写 项目资源规划及落实 建立顺畅的沟通渠道和机制 二、考察、咨询、方案设计阶段 主要完成以下工作: 客户安装现场环境考察 客户需求沟通,并提供安装、调试及系统架构相关技术咨询 项目实施技术方案撰写 实施方案完善并提交客户审核 提交现场环境需求书和整改建议 三、订货跟踪阶段 此阶段神码将指定专人进行跟踪。及时跟踪产品订货的各项环节,及时汇报进展程度和进度预期。项目组将对可能发生的延误风险进行及时的处理,以避免和缓解影响。 四、实施准备阶段 针对项目实施所用到的工具、设备、介质和其他资源进行检测,确保完好可用 完成初步的实施、维护、使用及测试验收文档模板 五、到货交付阶段 完成内部货物入库,销售、出库、运输流程 协调人员进行现场货物交接和签收 对交付中产生的问题进行记录,并尽快积极解决,达到合同要求六、安装、调试阶段 项目经理跟踪项目执行和服务质量监控
网络设备配置与管理报告
一、实验目的 通过本次实训模拟建立一个高速、功能齐全的校园网,能够实现多媒体的应用、Web 技术的运用和视频点播等技术。使日常的教学和科研工作能方便的进行操作。 此次试训,了解网络设备的各种作用,并在以后的学习与应用中知道网络设备管理应该注意哪些问题,应该怎样选择好每一部件来建立最恰当的网络设备,能使网络得到最好的利用。 二、实验要求通过两周的实训做到分析网络建设需求,能提出设计校园网络建设 总体方案,画出校园网设计拓扑图,并对网络进行选型。包括: 1.对网络布线分析和总体网络设计的详细描述; 2.对网络服务器的选择、部署和配置进行描述。方案做到详细设计。包括:网络中心,各教学、办公楼,机房,图书馆机房位置、布局设计;多媒体教室设计;综合布线系统设计;进行设备选型,并写出详细的网络设备配置清单;写出工程施工与验收方案。 三、实验内容及步骤 (一)需求分析 1、建立一个连接多媒体教室、教育网和图书馆等地的校园网,骨干 速率为1000Mbps。多媒体教室配置160 台机器。 2、联入校园网的电脑都可以实现视频点播。 3、支持教师的移动办公。授权情况下教师通过MODEM 拨号访问校内信息和视频点播信息。 4、建立WWW 服务器,提供学校的主页。 5、提供学校图书馆书目的联机查询。 6、建立电子邮件服务器,提供电子邮件服务。 7、提供文件传输服务。 8、多媒体教室实现网络视频点播教学,录制多媒体教学课件功能。 9、软件实验室和网络实验室要连网,已知软件实验室有35 台计算机,网络实验室有40 台计算机,软件实验室和网络实验室的面积为10 m ×10 m,软件实验室和网络实验室相距300 m 10、学校未建设完备的校园网络,已有的办公室通过拨号或者自行申请的
服务器安装方案
服务器安装方案 案场各岗位服务流程 销售大厅服务岗: 1、销售大厅服务岗岗位职责: 1)为来访客户提供全程的休息区域及饮品; 2)保持销售区域台面整洁; 3)及时补足销售大厅物资,如糖果或杂志等; 4)收集客户意见、建议及现场问题点; 2、销售大厅服务岗工作及服务流程 阶段工作及服务流程 班前阶段1)自检仪容仪表以饱满的精神面貌进入工作区域 2)检查使用工具及销售大厅物资情况,异常情况及时登记并报告上级。 班中工作程序服务 流程 行为 规范 迎接 指引 递阅 资料 上饮品 (糕点) 添加茶水 工作 要求 1)眼神关注客人,当客人距3米距离 时,应主动跨出自己的位置迎宾,然后 侯客迎询问客户送客户
注意事项 15度鞠躬微笑问候:“您好!欢迎光临!”2)在客人前方1-2米距离领位,指引请客人向休息区,在客人入座后问客人对座位是否满意:“您好!请问坐这儿可以吗?”得到同意后为客人拉椅入座“好的,请入座!” 3)若客人无置业顾问陪同,可询问:请问您有专属的置业顾问吗?,为客人取阅项目资料,并礼貌的告知请客人稍等,置业顾问会很快过来介绍,同时请置业顾问关注该客人; 4)问候的起始语应为“先生-小姐-女士早上好,这里是XX销售中心,这边请”5)问候时间段为8:30-11:30 早上好11:30-14:30 中午好 14:30-18:00下午好 6)关注客人物品,如物品较多,则主动询问是否需要帮助(如拾到物品须两名人员在场方能打开,提示客人注意贵重物品); 7)在满座位的情况下,须先向客人致歉,在请其到沙盘区进行观摩稍作等
待; 阶段工作及服务流程 班中工作程序工作 要求 注意 事项 饮料(糕点服务) 1)在所有饮料(糕点)服务中必须使用 托盘; 2)所有饮料服务均已“对不起,打扰一 下,请问您需要什么饮品”为起始; 3)服务方向:从客人的右面服务; 4)当客人的饮料杯中只剩三分之一时, 必须询问客人是否需要再添一杯,在二 次服务中特别注意瓶口绝对不可以与 客人使用的杯子接触; 5)在客人再次需要饮料时必须更换杯 子; 下班程 序1)检查使用的工具及销售案场物资情况,异常情况及时记录并报告上级领导; 2)填写物资领用申请表并整理客户意见;3)参加班后总结会; 4)积极配合销售人员的接待工作,如果下班时间已经到,必须待客人离开后下班;