【正文】 帳戶鎖定閥值為 5 次無(wú)效登陸 ⑸ 啟動(dòng)密碼必須符合復(fù)雜性 需求策略 五 、 Windows 服務(wù)器解決方案 . WEB 服務(wù)器 微軟 Windows Server 2020 中的 IIS 為用戶提供了集成的、可靠的、可擴(kuò)展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web 服務(wù)器解決方案。 IIS 第 46 頁(yè) 共 90 頁(yè) 和 Windows Server 2020 提供了最可靠的、高效的、連接的、完整的網(wǎng)絡(luò)服務(wù)器解決方案。 安 全 性 能 的 增 強(qiáng) 包 括 技 術(shù) 與 需 求 處 理 變 化兩 方 面 。通過(guò)將可靠的體系結(jié)構(gòu)和內(nèi)核模式驅(qū)動(dòng)程序完美結(jié)合在一起， IIS 允許您在單臺(tái)服 務(wù)器上托管更多的應(yīng)用程序。 更高的安全性 IIS 6 . 0 顯著改進(jìn)了 Web 服務(wù)器的安全性。 IIS 在降低系統(tǒng)管理成本的同時(shí)，大大提高了信息系統(tǒng)的安全性。應(yīng)用程序池為管理員管理一組 Web站點(diǎn)和應(yīng)用程序提供了便利，同時(shí)提高了系統(tǒng)的 可 靠 性 ， 因 為 一 個(gè) 應(yīng) 用 程 序 池 中 的 錯(cuò) 誤 不 會(huì)引起另外一個(gè)應(yīng)用程序池或者服務(wù)器本身發(fā)生故障。 IIS 還可以在回收一個(gè)工作進(jìn)程時(shí)對(duì)客戶機(jī)的 TCP/IP 連。通過(guò)自動(dòng)禁用在短時(shí)間內(nèi)頻繁發(fā)生故障的 Web 站點(diǎn)和應(yīng)用程序， IIS 可以保護(hù)服務(wù)器和其它應(yīng)用程序的安全。新的容錯(cuò)進(jìn)程架構(gòu)和其它功能特性可以幫助用戶減少不必要的停機(jī)時(shí)間，并提高應(yīng)用程序的可用性。此外， IIS 的身份驗(yàn)證和授權(quán)功能也得到了改進(jìn)。 增強(qiáng)的開(kāi)發(fā)與國(guó)際化支持 通過(guò) Windows Server 2020 與 I I S 6 . 0 支持的先進(jìn)功能如內(nèi)核模式緩存，應(yīng)用程序開(kāi)發(fā)人員將從 Windows Server 2020 與 I I S 6 . 0 單一的、完整的應(yīng)用平臺(tái)環(huán)境中受益。 IIS 的默認(rèn)安裝是被全面鎖定的，這意味著默認(rèn)系統(tǒng)的安全系數(shù)就被設(shè)為最大，它提供的增強(qiáng)的管理性能改善了 XML metabase的管理及新的命令行工具。其可靠的性能提高了網(wǎng)絡(luò)服務(wù)的可用性并且節(jié)省了管理員用于重新啟動(dòng)網(wǎng)絡(luò)服務(wù)所花費(fèi)的時(shí)間， IIS 將提供最佳的擴(kuò)展性和強(qiáng)大的性能從而充分發(fā)揮每一臺(tái) W eb 服務(wù)器的最大功效。 優(yōu)點(diǎn) IIS 和 Windows Server 2020 在網(wǎng)絡(luò)應(yīng)用服務(wù)器的管理、可用性、 可靠性、安全性、性能與可擴(kuò)展性方面提供了許多新的功能。 ? 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中 森森 林林 樹(shù)樹(shù) ISA Client ISA Client ISA Server 第 45 頁(yè) 共 90 頁(yè) 采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。具體的設(shè)計(jì)方案如下： ? ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服用戶 全局組 用戶 通用組 域本地組 分配權(quán)限 全局組 通用組 第 43 頁(yè) 共 90 頁(yè) 務(wù)器產(chǎn)品，它不僅可以起到代理 服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過(guò)軟件防火墻上設(shè)置過(guò)濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問(wèn)，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問(wèn)，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過(guò)濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能， 將集團(tuán)總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。 ? 擁護(hù)管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。其中前面 2 種在林范圍內(nèi)起作用，后面 3 種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用了 Windows 系統(tǒng)默認(rèn)的設(shè)置，根 域中第一臺(tái)DC 承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的 第一臺(tái) DC 承擔(dān)了域DC DC DC 根域 : 集團(tuán)總 部 北京分公司 : 上海分公 司 : 子公司 1: 子公司 2:tw 子公司 3: 子公司 4: 同一個(gè)站點(diǎn) 森林 第 41 頁(yè) 共 90 頁(yè) 范圍內(nèi)的三種操作主機(jī)角色。具體的實(shí)現(xiàn)如 下 圖： 第 40 頁(yè) 共 90 頁(yè) 在此構(gòu)架設(shè)計(jì)中，旭日集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹(shù)，武漢的 4 個(gè)子公司作為總部的子域，北京和上海分公司作為一單獨(dú)的域樹(shù)， 由于所有的資源都位于園區(qū)網(wǎng) 內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個(gè)站點(diǎn)內(nèi)。 系統(tǒng)設(shè)計(jì)方案 系統(tǒng)的構(gòu)價(jià) ⑴ 根據(jù)集團(tuán)的管理結(jié)構(gòu)。集團(tuán)總部及 各分公司都有專職系統(tǒng)管理員，應(yīng)保障管理員只對(duì)本公司具有管 理權(quán)限。 系統(tǒng)設(shè)計(jì)原則 隨著集團(tuán) 近年來(lái)的高速發(fā)展，集團(tuán)的業(yè)務(wù)已經(jīng)涉及到各個(gè)商業(yè)領(lǐng)域，集團(tuán)及公司內(nèi)部的組織結(jié)構(gòu)也日益復(fù)雜，在本項(xiàng)目的設(shè)計(jì)實(shí)施過(guò)程中，要求工程實(shí)施方案在規(guī)劃系統(tǒng)設(shè)計(jì)時(shí)充分考慮到企業(yè)管理的需求，設(shè)計(jì)合理的系統(tǒng)管理結(jié)構(gòu)，能夠很大程度的降 低集團(tuán)在系統(tǒng)管理上的成本，并能滿足各種商務(wù)工作的需求，具體設(shè)計(jì)應(yīng)依據(jù)以下原則： ? 清晰的邏輯結(jié)構(gòu)：要求集團(tuán) 范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團(tuán)的管理結(jié)構(gòu)相吻合。 四． 系統(tǒng)設(shè)計(jì)方案 系統(tǒng)設(shè)計(jì)總體需求 本項(xiàng)目的實(shí)施目的是在旭日集團(tuán)內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過(guò)項(xiàng)目的實(shí)施，為所有員工配桌面 PC，使所有員工能夠通過(guò)總部網(wǎng)絡(luò)進(jìn)入 inter，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。 園區(qū)網(wǎng)系統(tǒng)建設(shè)驗(yàn)收完畢之后，確保交換機(jī)的所有用戶端口處于關(guān)閉狀態(tài)。新交第 37 頁(yè) 共 90 頁(yè) 換機(jī)不能自動(dòng)加入到已存在的管理域中。要為每一臺(tái)設(shè)備配置 CONSOLE口令， AUX 口令， VTY 口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行。提高設(shè)備的物理安全性，是最基本的要求。建議旭日集團(tuán)制定嚴(yán)格的網(wǎng) 絡(luò)安全管理策略，并有效的執(zhí)行。它是一種邏輯上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。通過(guò)合理的路第 35 頁(yè) 共 90 頁(yè) 由策略設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡，充分利用路由設(shè)備，并實(shí)現(xiàn)路由、交換設(shè)備之間的冗余備份功能，同時(shí)提供各種可以區(qū)分的服務(wù)等級(jí)，為不同用戶提供不同的 QoS 服務(wù)。 Cisco6509 系列以太網(wǎng)路由交換機(jī)在支持等價(jià)路由、實(shí)現(xiàn)負(fù)載均衡的同時(shí)，還能很好地保證報(bào)文的有序性。 不僅從軟件上，而且從硬件上也支持等價(jià)路由是 Cisco6509 系列以第 34 頁(yè) 共 90 頁(yè) 太網(wǎng)路由交換機(jī)與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點(diǎn)。 4．熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè) VLAN 虛擬接口的熱備份優(yōu)先級(jí)是 120。啟用 HSRP 協(xié)議之后，這個(gè)地址就是HSRP 的虛擬地址。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)， HSRP 提供了一個(gè)較好的解決方案，它 能夠確保用戶通信迅速并透明地恢復(fù)，以此為 IP 網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。 Cisco6509 系列以太網(wǎng)交換機(jī)系統(tǒng)在二層和三層對(duì)硬件查表未命中的新地址進(jìn)行監(jiān)控。這樣在生成樹(shù)協(xié)議（ STP）和其他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個(gè)端口。網(wǎng)絡(luò)管理員只要為 VLAN 分配獨(dú)立的生成樹(shù)拓?fù)?，就可以確保兩個(gè) VLAN都能在網(wǎng)上順暢傳輸。 除了支持傳統(tǒng)的生成樹(shù)協(xié)議外， Cisco6509 系列以太網(wǎng)交換機(jī)還支持 IEEE 快速生成樹(shù)協(xié)議 (RSTP)，以及 多生成樹(shù)協(xié)議（ MSTP）。 ⑶ 冗余電源 Cisco6509 系列以太網(wǎng)交換機(jī)提供了 RPS 電源備份接口，可以對(duì)設(shè)備提供一對(duì)一的電源備份和保護(hù)，也可以以一路直流電源對(duì)多臺(tái)支持 RPS 接口的設(shè)備進(jìn)行 備份和保護(hù)。 ⑴． V LAN 設(shè)計(jì)規(guī)范 旭日 集團(tuán)內(nèi)的局域網(wǎng)進(jìn)行 VLAN 劃分 ,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡(luò)運(yùn)行效率 。 思科 網(wǎng)絡(luò)強(qiáng)大的售后服務(wù)體系可保證全國(guó)范圍內(nèi) 72 小時(shí)響應(yīng)， 武漢 等一級(jí)城市可實(shí)現(xiàn) 24 小時(shí)響應(yīng)； 第 26 頁(yè) 共 90 頁(yè) 在 旭日集團(tuán)園區(qū) 網(wǎng)網(wǎng)絡(luò)建設(shè)中，在主干以及接入層的交換設(shè)備選擇上，我們采用 思科 支持千兆以太網(wǎng)技術(shù)的交換機(jī)充當(dāng) 路由交 換部分的設(shè)計(jì) 為了使 旭日 集團(tuán)園區(qū)網(wǎng)高效、穩(wěn)定的運(yùn)行，便于管理與維護(hù)，對(duì)局域網(wǎng)交換 和路由 技術(shù)的相關(guān)方面進(jìn)行了規(guī)范設(shè)計(jì)，包括 VTP、VLAN、 STP、 TRUNK、 ETHERCHANNEL， HSRP， VPN 等。在建設(shè) 旭日集團(tuán)園區(qū) 網(wǎng)網(wǎng)絡(luò)時(shí)要充分考慮到辦公的資金有效使用，選擇適用的網(wǎng)絡(luò)技術(shù)是關(guān)鍵，因此選擇華為網(wǎng)絡(luò)產(chǎn)品實(shí)現(xiàn)是最佳選擇。如果在現(xiàn)有技術(shù)不能合理保證在將來(lái)網(wǎng)絡(luò)升級(jí)后還能夠使用，那么將會(huì)帶來(lái)極大的資金浪費(fèi)。端口價(jià)格相對(duì)較低；可以提供 10倍于快速以太網(wǎng)的傳輸速度。目前，千兆以太網(wǎng)支持多模光纖、多模光纖和同軸電纜，支持 5 類非屏蔽雙絞線 (UTP)的標(biāo)準(zhǔn)正在制定中。現(xiàn)在正在應(yīng)用的網(wǎng)絡(luò)互連技術(shù)，第 24 頁(yè) 共 90 頁(yè) 例如，特定 IP 交換技術(shù)和第三層的交換技術(shù)，都與千兆位以太網(wǎng)完全兼容。 千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強(qiáng)大伸縮性的以太網(wǎng)家族的第三個(gè)成員。現(xiàn)在千兆位以太網(wǎng)成熟的標(biāo)準(zhǔn)為 IEEE ， IEEE ： 使用 IEEE 幀格式； 可以使用全雙工和半雙工； 共享模式下仍使用 CSMA/CD； 對(duì)安裝介質(zhì)的向后兼容； 傳輸速度比快速以太網(wǎng)提高十倍，比以太網(wǎng)提高一百倍。 千兆位以太網(wǎng)技術(shù)（ Gigabit Ether） 千兆位以太網(wǎng)技術(shù)以簡(jiǎn)單的以太網(wǎng)技術(shù)為基礎(chǔ)，為網(wǎng)絡(luò)主干提供1Gbps 的帶寬。 快速以太網(wǎng) (FastEther) 快速以太網(wǎng)技術(shù)仍然是以太網(wǎng)，也是總線或星型結(jié)構(gòu)的網(wǎng)絡(luò)，快速以太網(wǎng)仍支持共享模式，在共享模式下仍采用的是廣播模式（ CSMA/CD 競(jìng)爭(zhēng)方式訪問(wèn)， IEEE ），所以在共享模式下的快速以太網(wǎng)繼承了傳統(tǒng)共享以太網(wǎng)的所有特點(diǎn)，但是帶寬增大了 10倍。共享式局域網(wǎng)上的所有節(jié)點(diǎn)（如主機(jī)、工作站）共同分享同 一帶寬，當(dāng)網(wǎng)上兩個(gè)任意節(jié)點(diǎn)交換數(shù)據(jù)時(shí)，其他節(jié)點(diǎn)只能等待。當(dāng)一個(gè)站點(diǎn)要發(fā)送時(shí)，首先需監(jiān)聽(tīng)總線以決定介質(zhì)上是否存在其它站的發(fā)送信號(hào)。 根據(jù)招用戶要求，我們主干網(wǎng)絡(luò)可選用千兆以太網(wǎng)技術(shù) 目前流行的局域網(wǎng)、城域網(wǎng)技術(shù)主要包括以太網(wǎng)、快速以太第 21 頁(yè) 共 90 頁(yè) 網(wǎng)、 ATM（異步傳輸模式）、 FDDI、 CDDI、千兆以太網(wǎng)等。帶有 100BASE 上行鏈路的Catalyst2950 交換機(jī)，可為中等規(guī)模的公司和企業(yè)分支機(jī)構(gòu) 辦公室提供理想的解決方案，以使他們能夠擁有更高性能的千兆以太網(wǎng)主干。Catalyst2950 系列是固定的配置，可堆疊的獨(dú)立設(shè)備系列，提供了第 20 頁(yè) 共 90 頁(yè) 線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。 交換機(jī) 接入層交換機(jī)放置于樓層的設(shè)備間，用于終端用戶的接入。通過(guò)高性能的 IP 路由實(shí)現(xiàn)了網(wǎng)絡(luò)的可擴(kuò)展性，利用基于硬件的 IP 路由和增強(qiáng)型 多層軟件鏡像， Catalyst 3550 系列交換機(jī)可以在所有端口上提供高達(dá) 17Mpps 的線速路由；基于 CISCO 快速轉(zhuǎn)發(fā)（ CEF）的路由架構(gòu)有助于提高可擴(kuò)展性和性能，該體系結(jié)構(gòu)扶持極高速的搜索功能，并可確保必要的穩(wěn)定性和可擴(kuò)展性，以滿足未來(lái)的需求。 匯聚層設(shè)備選擇 CISCO 公司的 Catalyst3550 系列的交換機(jī)，每個(gè)子公司的主交換機(jī)選擇 WSC355048EMI 交換機(jī)。另外， Cisco6509 系列交換機(jī)建立在一個(gè)功能強(qiáng)大且絕對(duì)無(wú)阻塞的 32G 交換背板上，可以保證堆疊中的所有端口間實(shí)現(xiàn)無(wú)阻塞的線速交換。 (具體產(chǎn)品介紹見(jiàn)附錄二 ) Cisco6509 系列交換機(jī)支持堆疊技術(shù)，將來(lái)擴(kuò)充端口極為靈活方便，不必改變?cè)芯W(wǎng)絡(luò)的任何配置。 容易控制管理 因?yàn)樯暇W(wǎng)用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質(zhì) 量，又合理的利用網(wǎng)絡(luò)資源，是建好一個(gè)網(wǎng)絡(luò)所面臨的首要問(wèn)題。 )QoS 是網(wǎng)絡(luò)的一種安全機(jī)制 , 是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。 旭日集團(tuán)園區(qū) 結(jié)構(gòu)示意 圖 i n t e rn e tSiSiSiSiSiSi武漢總部子公司 1子公司 2子公司 3子公司