发布时间 : 星期六 文章企业IT核心基础结构规划(doc 28页)(正式版)更新完毕开始阅读
益处:
? 可靠的基础结构: 在冗余服务器上实施网络和目录服务可以获得更好的可靠性。
? 集中的资源管理: 使用 Active Directory 提供一个所有用户、计算机以及网络上的其他对象的集中数据库。有助于根据组织的结构来整理 IT 环境中的资源。
? 安全性: 使用 Active Directory 提供安全和身份验证机制,该机制提供对资源的受保护和受控的访问。
? 单一登录: 使用 Active Directory 启用单一登录,这从本质上意味着用户只需要提供一次他们的凭据。他们试图访问网络上的资源时不需要每次都提供凭据,系统会使用相同的凭据访问所有资源。 ? 良好定义和强制执行的安全策略: 使用组策略定义IT 环境中的域范围的安全策略,并在环境中强制执行,不会被任何客户端或其他设备更改覆盖。
下面的图形展示了企业IT 基础结构并突出显示了提供网络和目录服务的服务器:
图 . 企业 IT 基础结构的网络设计
方案规划:
企业 IT 环境中实施网络和目录服务时,创建一个平衡可靠和保持低成本需求的设计非常重要。 ? 单个服务器: 单台基础结构服务器承载网络和目录服务。 ? 群集的服务器: 在群集的配置中部署两台基础结构服务器。
? 冗余服务器: 部署两台冗余的基础结构服务器,同时提供相同的网络和目录服务。网络和目录服务器或者具有提供跨多台服务器的冗余的内置机制,或者以可获得类似冗余的方式进行部署。
下表列出了这些选择方案的优缺点:
选择方案 单个服务器 优点 便宜: 部署和管理成本低。 易于部署: 这种配置易于部署。 群集的服务器 缺点 较不可靠: 如果服务器出现故障,不可避免的出现停机。 较昂贵: 要求一台其他的服务器,并且要在两台配置复杂: 这种配置的配置、操作和疑难排解都服务器上安装 Windows Server 2003 Enterprise 比较困难。 Edition。 冗余服务器 成本: 部署和管理成本处于其他两种选项之间。 管理: 需要管理两台服务器。 易于部署: 这种配置比群集服务器选项易于部署。 表 . 网络和目录服务部署选择方案
网络和目录服务对于企业IT 环境的正常工作非常关键。只使用单个基础结构服务器会使成本最低,
但它不会提供故障转移功能。基础结构服务器出现故障可能会削弱整个IT 环境的能力。此外,如果故障是由服务器硬件引起的,在等待备用部件或更换硬件的过程中通常会引入额外的延迟。
然而,使用群集要求在两台基础结构服务器上安装 Windows Server 2003 Enterprise Edition,这要比 Windows Server 2003 Standard Edition 昂贵很多。此外,配置、操作和疑难排解服务器群集也比较复杂。
在非群集的配置中部署两台冗余基础结构服务器比较容易配置。基于 Windows 服务器的网络服务和 Active Directory 服务设计用于跨多台服务器运行,这样就排除了单一故障点。
建议:
建议部署两台冗余服务器,分别称为“主基础结构服务器”和“辅助基础结构服务器”。通常情况下,主基础结构服务器提供大多数网络服务,因为绝大多数客户端请求首先转到这台服务器中。如果这台服务器无法及时地响应,那么大多数请求会转到辅助基础结构服务器中。只有在主服务器不能及时响应时,绝大多数客户端请求才会转到辅助服务器。 安全 Internet 连接服务 Internet 为用户提供了访问和共享信息并以经济、高效的方式进行通信的能力。企业可运用 Internet 来:
? 使客户能够与企业执行电子商务相关事务。
? 使客户能够发送和接收电子邮件,浏览 Web,以及与客户和业务合作伙伴进行通信。 ? 将内部资源发布到 Internet,以便客户、雇员和业务合作伙伴能够访问那些资源。这些资源包括 Web 服务、电子邮件服务、相关应用程序。
? 使用虚拟专用网络 (VPN)的方式,将分公司和移动及家庭用户连接到总公司。
然而,Internet 在带来这些好处的同时,也引入了可能导致灾难性后果和重大业务损失的安全漏洞和病毒攻击的风险。因此,保护与 Internet 的连接对所有企业都是至关重要的。IT 环境面对并且必须抵御来自 Internet 的下列安全威胁:
? 黑客攻击,比如拒绝服务 (DoS) 攻击、中间人 (man-in-the-middle) 攻击和网站篡改。 ? 病毒、蠕虫、特洛伊木马和其他后门程序。
? 通过 Internet 应用程序带来的威胁,比如电子邮件和 Web 站点。
保护 Internet 连接避免各种威胁而不给用户施加太多的限制是很重要的。 ? 在总公司设计和部署防火墙服务以提供对 Internet 的安全访问。 ? 实施诸如入侵检测和应用程序筛选之类的安全 Internet 功能。 ? 实施 Web 缓存以提高性能和 Web 站点访问速度。
? 将内部资源发布到 Internet 以促进业务客户、雇员和业务合作伙伴的经过身份验证的远程访 问。
? 记录、监视和报告 Internet 活动,比如使用情况和性能统计数据。
? 为服务器、总公司客户端计算机和分公司客户端计算机访问 Internet 选择最合适的机制。 使用方案:
? 通过代理服务为内部用户提供安全的 Internet 访问。 ? 为公司网络外的用户提供安全、简便的网络访问。
? 安全、轻松地发布 Intranet 站点,以便通过 Internet 向远程用户提供信息。 ? 通过实施 Web 缓存提供对经常使用的 Web 内容的快速访问。
? 保护内部 Web 站点免遭威胁,比如病毒、目录遍历攻击、缓冲区溢出攻击以及跨站点脚本攻击。 ? 实施附加安全功能,比如:
? 入侵检测,以便前瞻性地检测并向 IT 人员发出警告通知。
? 应用程序筛选,以避免用于针对应用程序层协议(比如 SMTP、HTTP 和 RPC)的攻击。 ? 控制用户对 Internet 的访问,保护客户端避免来自 Internet 的恶意流量。 ? 保护组织的信息资产避免来自 Internet 上的黑客攻击。 初始状态环境:
? 网络通过低端或低性能安全设备连接到 Internet,这些设备仅提供有限的安全性和性能。 ? 使用多个专用设备执行不同的功能,比如防火墙、代理、入侵检测和应用程序筛选。 ? Internet 连接根本就不安全。
? 现有防火墙(或其他安全设备)的厂商因为设备已经变得过时而即将停止支持该设备。 ? 当前的 Internet 安全基础结构不能安全地将服务发布到 Internet。 ? 没有用于监视和控制雇员对 Internet 的使用的机制。 结束状态环境:
? 支持不断增加的流量的可伸缩性。
? 提高检测和防止应用程序层攻击的能力。 ? 更好的管理多个设备,方便查看其运行情况。 ? 清晰的日志记录、监视和报告机制。 ? 安全地发布资源以便从 Internet 访问。 益处:
? 抵御外部威胁: 保护企业的信息资产免遭外部威胁,比如黑客发起的 Internet 攻击。
? 集成且具成本效益的解决方案:提供可靠且具成本效益的解决方案,该方案可执行多种功能, 比如防火墙、入侵检测、应用程序筛选(比如超文本传输协议
? 附加功能: 提供附加的集成(如 Web 缓存)功能来改进访问 HTTP 和 FTP 站点的性能。 ? 减少停机时间和成本: 减少与攻击(比如 DoS 攻击)所导致的系统和应用程序的不可用性 相关的停机时间和成本。
? 高级安全功能:增加避免知识产权遭受攻击(比如中间人攻击、网站篡改、DNS 攻击检测和 IP 欺骗)的保护。 ? 服务器和 Web 发布。
? 轻松实现可伸缩性,并轻松地扩展至处理更高的流量负载。 ? 广泛的日志记录、监视和报告。 方案规划:
安全的 Internet 连接基础结构应该:
? 充当所通过的流量的代理,为内部网络用户提供安全的 Internet 访问。 ? 保护内部网络免受来自 Internet 上的威胁。 ? 提供防火墙服务,包括执行状态包检查和网络地址转换 (NAT)。NAT 通过隐藏内部网络的 IP 寻址 方案来保护内部网络。
? 执行入侵检测,入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。此类恶意活动的 例子包括端口扫描和使用大量的网络数据包堵塞特定的端口。
? 执行应用程序筛选以扫描各个应用程序层的入站和出站流量(比如 SMTP、HTTP、FTP),并检测 恶意代码。
? 执行 Web 缓存以提高下列用户访问 HTTP 和 FTP 站点的性能和速度: ? 访问 Internet 的局域网用户。
? 访问内部网络上的站点的 Internet 用户。
? 监视和发送关于各种参数(比如 Internet 使用、Web 缓存细节和内部网络上的用户进行的协议敏 感的 Internet 使用)的报告。应该有一种以各种形式(比如电子邮件和事件日志记录)发送警告通 知的机制。
下图表示一个企业 IT 环境,并突出提供安全 Internet 连接的服务器和设备。
图 . 安全 Internet 连接设计
建议:
公司需要一个多用途设备充当路由器、防火墙、NAT 设备,并在需要时充当 VPN 设备。