《中小企业网络安全规划与实践毕业设计》由会员分享,可在线阅读,更多相关《中小企业网络安全规划与实践毕业设计(31页珍藏版)》请在金锄头文库上搜索。
1、毕业设计(论文) 中小企业网络安全规划与实践目录第一章 项目概述31. 系统目标3第二章 服务规划31.核心结构服务42.辅助服务53. Windows Server2008r2 基础服务84. DNS名称解析95. 关键服务推荐布局10第三章 活动目录设计111. Active Directory基本概念112. 安全、统一的目录服务机制113. 严格、周密的客户端桌面管理124. 系统实现125. 客户端管理186. 实现功能描述217. 灾难恢复考虑23第四章 文件服务的规划23第五章、Exchangge邮件服务器251设计方案建议261.1软件推荐配置261.2硬件推荐配置262、备份
2、及恢复系统规划27系统方案实施271项目实施计划27第六章、活动目录的维护28总结29致谢30第一章 项目概述1. 系统目标此次我们系统建设的目标为:提供一个安全、高效、灵活的企业级操作系统平台,为整个企业的应用奠定坚实础。第二章 服务规划通常一个企业的环境仍一个简单的服务开始,这个服务一般旨在满足特定的当前业务需要,例如传真、电子邮件、业务应用程序或办公室的进程连接。随着时间的推移,由于新需求的出现,新的服务会无规划的添加到这个环境中。这样创建的环境在技术上种类烦杂、难以支持和运行,并且难以使用,因此给管理人员和最终用户都带来额外的负担。采用具有标准化基础结构的环境,这是一种运用为企业创造价
3、值的具有成本效益的方法。我们的方案将帮助中小企业构建此类环境。采用此解决方案中提供的指南能带来下列好处:经过测试的可靠文档:此解决方案已经由微软及合作伙伴进行了测试,并且通过了大量客户部署的检验.可预测的环境:此方案提供了众所周知的基础结构,它是根据微软支持、合作伙伴和客户的建议来构建的。这些建议来源于多年的经验教训.能够采用更新的技术:常问题和故障诊断使与家很少有时间参加培训或学习新的技术。采用此方案能够降低与家在部署新技术时的实施和操作风险,仍而节约时间,减少工作量. 集成的解决方案:户可通过基于Microsoft Windows Server System 技术的标准化体系结构,获得可扩
4、展的平台,使其随着业务的增长而增长。在需要时,也可实现其他服务。 网络基础服务描述企业要求基础结构提供所需的服务,使得员工能够完成工作,并与客户也业务合作伙伴进行交流。所有的企业组织都需要一个核心基础结构,用来承载或支持基本服务,例如打印、文件服务、账户系统。下表列出了核心基础结构必须提供的一组服务。1.核心结构服务物理网络服务描述所满足的业务需求物理网络局域网(LAN):为客户端计算机提供到本地网络的有线和无线连接。Internet连接:将局域网中的计算机连接到Internet。远程连接:为远程用户和分公司提供到总公司的远程连接。总公司和分公司的用户需要一种方法来访问 LAN 和Intern
5、et 中的各种资源。远程用户和分公司用户也需要访问总公司的资源。网络服务DNS:提供名称解析。DHCP:为客户端计算机分配IP 地址和IP 配置。连接到LAN 的计算机需要自动进行配置网络。安全的Internet 连接深信服:提供防火墙及其他特性,例如应用程序层筛选、入侵侦测、Web 缓存以及将内部资源发布到Internet 的功能。用户需要能够安全地访问Internet 来开展业务,例如交换电子邮件、浏览Web 站点、远程访问总公司的资源等等。另外,内部网络还需要拥有防御机制,抵御来自Internet 的威胁。文件服务文件服务:实现用户间的文件和文件夹共享.存储服务:为用户提供可靠的存储。为
6、了防止数据丢失,用户需要可靠、安全的存储空间,并应定期进行备份。需要存储的数据量正在快速增加。管理员需要一个中央数据存储库,这样就只需备份和管理一个地方。打印服务打印:使得内部用户能够通过网络进行打印。用户需要拥有对打印机的可靠访问。他们需要不依靠IT 职员的帮助就能找到和配置临近他们的打印机。2.辅助服务辅助体系结构提供直接满足业务需求的服务。这些服务可能不是运行 IT 基础结构所必需的,但是如果组织需要也应该进行安装。这些服务的正常工作依赖于核心基础结构。下表列出了这些辅助服务。使用Active Directory 组策略的管理和安全性.服务描述所满足的业务需求AD组策略和管理和安全性组策
7、略:为管理员提供一种配置和管理用户及计算机设置的方法。管理员需要确保最终用户拥有合适的权限来完成他们的工作,而不有意或无意地破坏他们计算机或网络中其他计算机的配置。消息传递服务Exchange:使得用户能够发送和接收电子邮件,使用日程表、任大部分业务非常依赖与客户、合作伙伴及其他职员的电子邮件交流。任务管理、日历共享和公共文件夹。另外,最终用户也需要日程安排特性,来高效地筹划和管理有关活动。协作服务Exchange Web站占:承载安全的共享工作区,供内部用户、外部用户和商业合作伙伴用于执行各种工作,例如文档共享、主持联机讨论和调查等。Intranet Web站点: 承载提供各种功能的Web
8、站点,例如公司通告和活动、帮助台、休假日历、公司联系人列表等提供对文件集中访问的Intranet 和外部Web 站点。这在无法通过文件共享和电子邮件实现共享信息的情况下十分有效。也可以用于需要在大量用户间共享信息的情况。远程连接VPN:使得远程用户能够安全地连接到总公司LAN。Https: 使得远程用户能够安全地访问内部Web 站点。终端服务器: 使得远程用户能够访问和运行安装在终端服务器上的LOB 应用程序。这可以通过Web 或通过VPN 来实现。用户需要能从家里或便携式计算机上连接到企业资源。他们需要能够使用Web 浏览器来访问电子邮件或内部 Web 站点中的信息。另外,用户还需要能够远程
9、访问和运行带宽占用率较高的LOB 应用程序。证书服务证书颁发机构(CA):为发布HTTPS Web 站点提供证书。需要这些服务来提供安全的Internet 资源访问,例如电子邮件和外部Web 站点。补丁管理软件更新服务(WSUS):保证环境中所有基于Windows 的服务器和客户端计算机都安装最新的补丁。由于恶意软件的传播且存在大量更新,因此用户需要有一种有效且自动的方法在客户端和服务器计算机上安装补丁。防病毒防止服务器和客户端计算机受到病毒和蠕虫的感染。由于病毒、垃圾邮件和间谍软件的散播,管理员需要合适的技术和方法从计算机上删除有害的内容。备份和恢复备份软件:将数据备份到磁带, 从而提供数据
10、的高安全性。在需要时,恢复备份数据。数据需要进行保护和备份,从而能够在出现意. 外删除或由于软硬件故障导致的崩溃时进行数据恢复。另外对于有些LOB 应用程序,保持数据备份也可能是法律上的要求。3. Windows Server2008r2 服务Windows Server 的基础的网络服务主要包括以下两方面:地址分配地址分配即IP地址的分配和管理。将在此次项目中使用DHCP,实现动态地址分配,动态主机配置协议DHCP是用于管理TCP/IP网络的工业标准,可以通过服务器对工作站进行动态的IP地址分配。使用DHCP可以大大减轻系统管理员的工作负担,使其方便地网络工作站的地址进行配置和管理。名称解析
11、名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。通过DNS服务,相关的服务器会自动将某个名称转换成实际的IP地址,用户只需让住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。 4. DNS名称解析内部名称解析建议在内部网络设置DNS服务器:DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的Application Partition来参加域控制器之间的目录复制(Directory Replication) 仍而同步DNS数据库。 所有域控制器都将自己设为首选的DNS服务器,将另一台域控制器设
12、为次选的DNS服务器。每个物理区域的客户端将通过DHCP,将第一台域控制器的DNS设为首选,将另一台域控制器的DNS设为次选。外部(Internet)名称解析(如网络与互联网隔离,则无需考虑)每台DNS服务器将设置转发(forwarder),将本地ISP的DNS服务器设为转发器.将所有非内部网的域名解析请求转发至Internet上。预期效果基本上企业内所有的客户端都将通过DNS来进行名称解析,包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机记录(A)和指针记录(PTR)。管理员在服务器上可以轻松的了解所有客户端的注册情况。此外,客户端在访
13、问Inetnet时,可以依靠ISP的DNS转发,来对非内网地址的服务器进行必要的名称解析。5. 关键服务推荐布局考虑到下列服务的关键性,我们建议把Active Directory域名系统(DNS)、动态主机配置协议(DHCP)放置在2台服务器上,以实现冗余能力。此2台服务器被配置为提供关键服务,例如Active Directory、DNS和 DHCP。下表介绍了2台服务器为这些关键服务提供冗余的方式。服务冗余类型Active Directory主域控制器和额外域控制器的服务都处于活动状态,接收目录服务请求的服务器为客户端提供服务。如果其中一台基础结构服务器出现故障,另一台服务器将为客户端请求提
14、供服务DNS两台服务器上的服务都处于活动状态。但是,客户端会首先向主基础结构服务器上的DNS 服务器发送请求。如果客户端在一定时间内由于某种原因(例如服务暂停或服务器故障)没有接收响应,那么它将向处于辅助基础结构服务器上的DNS 服务器发送请求。DHCP两台服务器上的服务都处于活动状态。两台服务器会同时接收到来自 DHCP 客户端的请求,不同时响应。客户端会保留接收到的第一个响应,拒绝第二个。如果其中一台服务器故障,另一台服务器将继续为请求提供服务。第三章 活动目录设计1. Active Directory基本概念Active Directory 是 Windows Server的目录服务。它
15、存储着网络上各种对象的有关信息,包括人、计算机、打印机、应用程序、其他网络的信息,这样易于管理员和用户查找及使用。Active Directory 目录服务采用结构化的数据存储作为目录信息的逻辑局次结构的基础。Active Directory服务为组织、管理和控制网络上的资源提供基础构造和功能,它广泛支持各种Internet标准协议。2. 安全、统一的目录服务机制目录服务提供一定空间,用于存储与于基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。同时,该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。采用安全、统一的目录服务机制的突出优势除了安全性外,还可实现“单一口令认证”(SSO,Single Signing On)功能。单一口令认证是指企业用户在企业内部网络中只需登陆一次,就决定了其可能允许的操作,和可能存取的信息。同时
