局域网WEB服务器的安全

楼主您好

有礼了

我是专业的IDC服务器工作人员，我来帮帮您

建议您这样做拓扑图：

光纤接入---光纤转换器---硬防--路由---（或者路由）交换机（可以往低下再分）---服务器---公司其它部门。

原理：硬防是防外界的攻击

控制公司内部的访问，可以用路由就足够做到

很高兴为您解答，有什么不明白的，欢迎与我咨询，海腾数据---中尉

1、通俗的讲，网络中的域是一个应用的范围，在这个范围内的用户有一定的访问权限而不在域中的用户会受到域权限的控制而不能访问一些东西

2、关于主域服务器和辅域服务器在NT40是这样。

从2000开始，没有主域服务器和辅助域服务器的区分了，所有DC都一起为域中机器提供服务。

域的管理和设置

打个比方，如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享

您好，有几种可能性导致一个IP段无法连接到域服务器。以下是其中几种可能原因：

1 网络故障：这可能是最常见的问题之一。网络故障可能是由于网络设备故障、网络中断、路由配置错误或连接问题等原因引起的。在这种情况下，管理员需要检查网络设备，如交换机、路由器和防火墙等，并确保物理连接是正常的。

2 IP地址冲突：如果两个网络段中的某些主机具有相同的IP地址，可能会导致冲突和网络中断。这通常会发生在两个网络段之间存在路由器或其他设备时。为了解决这个问题，管理员需要检查并更改冲突的IP地址。

3 防火墙设置：防火墙可能会阻止某个IP段访问域服务器。这可能是由于安全策略设置不正确或防火墙配置错误导致的。在这种情况下，管理员需要检查防火墙设置，并确保允许该IP段与域服务器进行通信。

4 域名解析问题：如果域名解析器无法解析特定IP段中主机的域名，则可能无法连接到域服务器。这可能是由于DNS服务器配置错误、DNS缓存问题或主机名称解析错误等原因引起的。管理员需要检查DNS服务器和主机名配置，并确保域名解析正常运行。

5 域服务器故障：如果一个IP段无法连接到域服务器，也有可能是域服务器本身出现问题。这可能是由于域服务器硬件故障、服务宕机或软件错误等原因。在这种情况下，管理员需要检查域服务器并采取相应的措施修复或恢复。

综上所述，当一个IP段突然无法连接到域服务器时，原因可能是网络故障、IP地址冲突、防火墙设置、域名解析问题或域服务器故障等。对于管理员来说，重要的是仔细检查和排除这些可能性，并采取适当的措施来解决问题。

　解决方法是，用户需将Windows Server 2008 R2系统升级为域控制器，那么域会自动把本地安全策略的某些功能锁定。现在，Windows Server 2008 R2的域安全策略应如何启动和打开呢？

一、方法步骤如下：

　　1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。

　　2、在打开的组策略管理，一次展开“林”-“域”-“saymscom（域名）”-“组策略对象”-右击“Default Domain Policy”，选择“编辑”。

　　3、在打开的“组策略管理编辑器”，依次展开“计算机配置”-“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦。

　　注：如用户需修改账户密码的复杂度，应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。

　　当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

　　二、本地组策略

本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点‘开始’-‘运行’-然后键入‘gpeditmsc’，在弹出本地组策略编辑器中即可进行设置。

三、域组策略

域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 运行 然后键入gpmcmsc来运行。

密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

在本地策略中的，密码策略就应该是灰色的，无法编辑。当点击开始-运行， 然后键入gpeditmsc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，可以使用以下方法：

1、点击‘开始’-‘运行’-然后键入‘gpmcmsc’，回车后打开“组策略管理”控制台。

2、展开到 “域-Domaincom-组策略对象（Domaincom是指您的域名）”。

3、右键点击Default Domain Policy然后选择“编辑”。

4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。

5、您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。

1)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。

2)、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

3)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrator权限的用户只在需要的时候使用。

4)、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5)、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

6)、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。

7)、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwaremicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1。

8)、系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接，还可以在Windows XP的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制）