Windows 的网络架构
1.工作组架构网络
工作组架构为分布式管理,适用于小型的网络,域架构为集中式管理模式适用于大型的网络
工作组网络也被称为对等网络
网络上的每一台计算机的地位都是平等的,他们的资源与管理都是分散在各个计算机上的。
1.工作组内不一定需要服务器级的计算机 (例如 windows server 2008) 也就是
即使网络内部只有客户级的计算机(如 windows xp vista)也可以架设一个
工作组
2.若企业内部主机数量不多,可以使用工作组架构网络
域架构网络
域也是由一组通过网络连接在一起的计算机组成的,它可以将计算机内的文件 打印机等资源共享出来供网络上的用户来访问。与工作组架构不同的是,域内所有的 计算机共享一个集中式的目录数据库。其中存储着整个域内所有用户账户的相关数据在 windows server 2008域内提供目录服务的组件是 Active Directory 它负责数据库的添加 删除 修改 查询等工作,在域架构的网络中,目录数据库存储在域控制器中,而只有服务器级别的计算机才可以充当域控制器角色
域架构模型
Windows Server 2008 的优点
稳固的平台(Solid Foundation)
Server Manager、Powershell(界面类似于DOS,支持批量执行和远程控制。)、WDS、群集和ServerCore。
很好的Web支持
IIS 7.0相比之前版本,在内核中做了很大改进,把内核分割为40多个模块,管理员可以根据不同需求选择打开一些模块而同时关闭一些模块,这样对于系统的控制更加容易。稳定性方面有了极大提升,对自身的系统进行监控,当出现异常的时候,如,占用内容过多、占用CPU资源过多,IIS 7.0可以做自动优化。
内置的虚拟化技术
Hyper-V
灵活的安全性
主要包含BitLocker、RMS、增强防火墙、RODC(Read Only Domain Controller)、NAP(Network Access Protection)几个方面。
启用或禁用 internet Explore 增强的安全设置
Windows Server 2008 扮演着重要的服务器角色,我们不应该用它来上网,收发电子邮件,因为这样会增加被***的可能性。 Windows server 2008 通过启用“Internet Explore 增强的安全设置” 来将Internet Explore 的安全级别定为“高安全性” 而高安全性会阻止用户连接大部分的网站。
如果想要无障碍的连接大部分网站的话,就禁用 IE SEC
设置网络位置
为了增强计算机在网络中的安全,应该将计算机设置在适当的网络位置。可以
设置的网络位置包括:
专用网络:
例如在家里或者公司,此时系统会启用 “网络发现” 功能,来使得可以找到
网络上的其他计算机,同时会通过 windows 防火墙的例外设置,让其他用户可
以在网络上浏览您的计算机
公用网络:
例如在 咖啡店或者机场,此时系统会通过 windows 防火墙保护,让其他
用户无法在网络上浏览您的计算机,也会阻止从因特网来的***行为,它会禁
用网络发现功能,最终无法浏览到网络上的其他计算机
Windows 防火墙的高级设置
入站通信筛选
默认情况下,windows 防火墙会组织未经特别许可的入站通信,当如果安装或者启用了某个需要传入连接的 windows 功能,windows 会自动启用所要求的防火墙规则。因此不比手工调整。但是如果安装了不能自动启用防火墙的应用程序,则需要手工创建相应的规则。
程序:
能够允许或者阻止指定的可执行文件的连接,而不考虑使用的端口,建议尽量
使用 “程序”规则类型,除非服务本身不是可执行文件
端口:
能够允许或者阻止指定 TCP 或 UDP端口号的通信,而不考虑通信内容是哪些程
序生成的。
预定义:
这种规则能够购控制 windows 组件的连接,通常windows会自动启用这种规则
自定义:
这种规则结合程序和端口的信息
阻止连接:
忽略所有满足在之前页面指定的条件的连接尝试。由于入站默认会被阻止所以很少需要创建这种类型,但是如果有意阻止某个应用程序发起的传出连接,则可以对出站规则设置该动作
出站通信筛选
默认情况下 “windows 防火墙” 允许所有出站通信,允许出站通信要比允许入站通信的风险低得多。通常情况下所有版本的 windows 不会筛选出站通信,阻止出站通信会阻碍许多 windows 的内建功能在 internet 上面的通信。