【正文】 IIS 還可以在回收一個(gè)工作進(jìn)程時(shí)對(duì)客戶機(jī)的 TCP/IP 連。通過(guò)自動(dòng)禁用在短時(shí)間內(nèi)頻繁發(fā)生故障的 Web 站點(diǎn)和應(yīng)用程序， IIS 可以保護(hù)服務(wù)器和其它應(yīng)用程序的安全。應(yīng)用程序池為管理員管理一組 Web站點(diǎn)和應(yīng)用程序提供了便利，同時(shí)提高了系統(tǒng)的 可 靠 性 ， 因 為 一 個(gè) 應(yīng) 用 程 序 池 中 的 錯(cuò) 誤 不 會(huì)引起另外一個(gè)應(yīng)用程序池或者服務(wù)器本身發(fā)生故障。新的容錯(cuò)進(jìn)程架構(gòu)和其它功能特性可以幫助用戶減少不必要的停機(jī)時(shí)間，并提高應(yīng)用程序的可用性。 IIS 在降低系統(tǒng)管理成本的同時(shí)，大大提高了信息系統(tǒng)的安全性。此外， IIS 的身份驗(yàn)證和授權(quán)功能也得到了改進(jìn)。 更高的安全性 IIS 6 . 0 顯著改進(jìn)了 Web 服務(wù)器的安全性。 增強(qiáng)的開發(fā)與國(guó)際化支持 通過(guò) Windows Server 2020 與 I I S 6 . 0 支持的先進(jìn)功能如內(nèi)核模式緩存，應(yīng)用程序開發(fā)人員將從 Windows Server 2020 與 I I S 6 . 0 單一的、完整的應(yīng)用平臺(tái)環(huán)境中受益。通過(guò)將可靠的體系結(jié)構(gòu)和內(nèi)核模式驅(qū)動(dòng)程序完美結(jié)合在一起， IIS 允許您在單臺(tái)服 務(wù)器上托管更多的應(yīng)用程序。 IIS 的默認(rèn)安裝是被全面鎖定的，這意味著默認(rèn)系統(tǒng)的安全系數(shù)就被設(shè)為最大，它提供的增強(qiáng)的管理性能改善了 XML metabase的管理及新的命令行工具。 安 全 性 能 的 增 強(qiáng) 包 括 技 術(shù) 與 需 求 處 理 變 化兩 方 面 。其可靠的性能提高了網(wǎng)絡(luò)服務(wù)的可用性并且節(jié)省了管理員用于重新啟動(dòng)網(wǎng)絡(luò)服務(wù)所花費(fèi)的時(shí)間， IIS 將提供最佳的擴(kuò)展性和強(qiáng)大的性能從而充分發(fā)揮每一臺(tái) W eb 服務(wù)器的最大功效。 IIS 第 46 頁(yè) 共 90 頁(yè) 和 Windows Server 2020 提供了最可靠的、高效的、連接的、完整的網(wǎng)絡(luò)服務(wù)器解決方案。 優(yōu)點(diǎn) IIS 和 Windows Server 2020 在網(wǎng)絡(luò)應(yīng)用服務(wù)器的管理、可用性、 可靠性、安全性、性能與可擴(kuò)展性方面提供了許多新的功能。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略 ⑴ 密碼長(zhǎng)度最小值為 7 ⑵ 密碼最長(zhǎng)存留 期為 30 天 ⑶ 密碼過(guò)期期限為 50 天 ⑷ 帳戶鎖定閥值為 5 次無(wú)效登陸 ⑸ 啟動(dòng)密碼必須符合復(fù)雜性 需求策略 五 、 Windows 服務(wù)器解決方案 . WEB 服務(wù)器 微軟 Windows Server 2020 中的 IIS 為用戶提供了集成的、可靠的、可擴(kuò)展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web 服務(wù)器解決方案。 ? 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中 森森 林林 樹樹 ISA Client ISA Client ISA Server 第 45 頁(yè) 共 90 頁(yè) 采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。 具體部署如圖： 第 44 頁(yè) 共 90 頁(yè) ? 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來(lái)限制用戶能夠訪問(wèn)的網(wǎng)站 ? 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問(wèn)公司的 WEB 服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。具體的設(shè)計(jì)方案如下： ? ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服用戶 全局組 用戶 通用組 域本地組 分配權(quán)限 全局組 通用組 第 43 頁(yè) 共 90 頁(yè) 務(wù)器產(chǎn)品，它不僅可以起到代理 服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過(guò)軟件防火墻上設(shè)置過(guò)濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問(wèn)，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問(wèn)，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過(guò)濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能， 將集團(tuán)總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。其次，在方案設(shè)計(jì)中，充分應(yīng)用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個(gè)公司的域中設(shè)計(jì)安全策略。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。 ? 組的管理 為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用第 42 頁(yè) 共 90 頁(yè) AGDLP 策略及 AGUDLP 策略。 ? 擁護(hù)管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。 ? OU 的設(shè)計(jì) 集團(tuán)的 OU 設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。其中前面 2 種在林范圍內(nèi)起作用，后面 3 種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用了 Windows 系統(tǒng)默認(rèn)的設(shè)置，根 域中第一臺(tái)DC 承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的 第一臺(tái) DC 承擔(dān)了域DC DC DC 根域 : 集團(tuán)總 部 北京分公司 : 上海分公 司 : 子公司 1: 子公司 2:tw 子公司 3: 子公司 4: 同一個(gè)站點(diǎn) 森林 第 41 頁(yè) 共 90 頁(yè) 范圍內(nèi)的三種操作主機(jī)角色。并且提高了用戶身份驗(yàn)證的速度。具體的實(shí)現(xiàn)如 下 圖： 第 40 頁(yè) 共 90 頁(yè) 在此構(gòu)架設(shè)計(jì)中，旭日集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹，武漢的 4 個(gè)子公司作為總部的子域，北京和上海分公司作為一單獨(dú)的域樹， 由于所有的資源都位于園區(qū)網(wǎng) 內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個(gè)站點(diǎn)內(nèi)。方案中將集團(tuán)按公司單位劃分不同的模塊，集團(tuán)總部作為域林的根，每個(gè)子公司為一個(gè)獨(dú)立的域或者域樹，形成一個(gè)完整的樹狀結(jié)構(gòu)。 系統(tǒng)設(shè)計(jì)方案 系統(tǒng)的構(gòu)價(jià) ⑴ 根據(jù)集團(tuán)的管理結(jié)構(gòu)。 ? 簡(jiǎn)單的設(shè)計(jì)：在保障滿足需求的前提下，設(shè)計(jì)方案應(yīng)簡(jiǎn)單為第 39 頁(yè) 共 90 頁(yè) 佳，避免由于復(fù)雜的設(shè)計(jì)增加工程實(shí)施難度和增加集團(tuán)系統(tǒng)管理的復(fù)雜性。集團(tuán)總部及 各分公司都有專職系統(tǒng)管理員，應(yīng)保障管理員只對(duì)本公司具有管 理權(quán)限?？偛抗芾韱T有權(quán)管理各個(gè)子公司的系統(tǒng) ? 便于管理：整個(gè)系統(tǒng)設(shè)計(jì)要便于網(wǎng)絡(luò)管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。 系統(tǒng)設(shè)計(jì)原則 隨著集團(tuán) 近年來(lái)的高速發(fā)展，集團(tuán)的業(yè)務(wù)已經(jīng)涉及到各個(gè)商業(yè)領(lǐng)域，集團(tuán)及公司內(nèi)部的組織結(jié)構(gòu)也日益復(fù)雜，在本項(xiàng)目的設(shè)計(jì)實(shí)施過(guò)程中，要求工程實(shí)施方案在規(guī)劃系統(tǒng)設(shè)計(jì)時(shí)充分考慮到企業(yè)管理的需求，設(shè)計(jì)合理的系統(tǒng)管理結(jié)構(gòu)，能夠很大程度的降 低集團(tuán)在系統(tǒng)管理上的成本，并能滿足各種商務(wù)工作的需求，具體設(shè)計(jì)應(yīng)依據(jù)以下原則： ? 清晰的邏輯結(jié)構(gòu)：要求集團(tuán) 范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團(tuán)的管理結(jié)構(gòu)相吻合。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所第 38 頁(yè) 共 90 頁(yè) 有員工能夠利用服務(wù)器方便的訪問(wèn)公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā) 。 四． 系統(tǒng)設(shè)計(jì)方案 系統(tǒng)設(shè)計(jì)總體需求 本項(xiàng)目的實(shí)施目的是在旭日集團(tuán)內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過(guò)項(xiàng)目的實(shí)施，為所有員工配桌面 PC，使所有員工能夠通過(guò)總部網(wǎng)絡(luò)進(jìn)入 inter，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。 ⑸ 應(yīng)用系統(tǒng)的訪問(wèn)限制 可以 根據(jù)旭日集團(tuán)的應(yīng)用需求，在匯聚層的多層交換機(jī)上 實(shí)施訪問(wèn)控制，限制園區(qū)網(wǎng)用戶對(duì)特定應(yīng)用系統(tǒng)的訪問(wèn)，或者只允許特定的用戶訪問(wèn)某些資源。 園區(qū)網(wǎng)系統(tǒng)建設(shè)驗(yàn)收完畢之后，確保交換機(jī)的所有用戶端口處于關(guān)閉狀態(tài)。刪除造成的運(yùn)行事故。新交第 37 頁(yè) 共 90 頁(yè) 換機(jī)不能自動(dòng)加入到已存在的管理域中。 ⑶ 進(jìn)行 VTP 域的認(rèn)證 進(jìn)行 VTP 域的認(rèn)證，能夠保證局域網(wǎng)的 VLAN 等的安全。要為每一臺(tái)設(shè)備配置 CONSOLE口令， AUX 口令， VTY 口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行。 ⑵ 配置設(shè)備的口令 配置設(shè)備的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。提高設(shè)備的物理安全性，是最基本的要求。技術(shù)和管理手段相結(jié)合實(shí)施，才能夠產(chǎn)生良好的效果。建議旭日集團(tuán)制定嚴(yán)格的網(wǎng) 絡(luò)安全管理策略，并有效的執(zhí)行。為了保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全，保護(hù)集團(tuán)的信息安全，必須進(jìn)行網(wǎng)絡(luò)安全方面的規(guī)劃和實(shí)施。它是一種邏輯上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。 Cisco6509 系列以太網(wǎng)路由交換機(jī)可以很好地支持策略路由功能，并且可以將路由下一跳重定向到某個(gè)物理端口，或者某個(gè)下一跳 IP 地址。通過(guò)合理的路第 35 頁(yè) 共 90 頁(yè) 由策略設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡，充分利用路由設(shè)備，并實(shí)現(xiàn)路由、交換設(shè)備之間的冗余備份功能，同時(shí)提供各種可以區(qū)分的服務(wù)等級(jí)，為不同用戶提供不同的 QoS 服務(wù)。 ⑻ 策略路由（ PBR） Cisco6509 系列以太網(wǎng)路由交換機(jī)支持高性能的策略路由。 Cisco6509 系列以太網(wǎng)路由交換機(jī)在支持等價(jià)路由、實(shí)現(xiàn)負(fù)載均衡的同時(shí)，還能很好地保證報(bào)文的有序性。而 Cisco6509 系列以太網(wǎng)路由交換機(jī)從硬件上也實(shí)現(xiàn)了等價(jià)路由的支持，真正實(shí)現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負(fù)載分擔(dān)與路由冗余備份。 不僅從軟件上，而且從硬件上也支持等價(jià)路由是 Cisco6509 系列以第 34 頁(yè) 共 90 頁(yè) 太網(wǎng)路由交換機(jī)與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點(diǎn)。 ⑺ 等價(jià)路由（ ECMP） 除了從設(shè)備級(jí)支持三層轉(zhuǎn)發(fā)容錯(cuò)協(xié)議 VRRP 之外， Cisco6509 系列以太網(wǎng)路由交換機(jī)還支持等價(jià)路由（ ECMP）。 4．熱備份優(yōu)先級(jí)：在主用的多層交換機(jī)了，某個(gè) VLAN 虛擬接口的熱備份優(yōu)先級(jí)是 120。 2．熱備份組號(hào)：熱備份組號(hào)與接口的 VLAN 號(hào)相同。啟用 HSRP 協(xié)議之后，這個(gè)地址就是HSRP 的虛擬地址。另外，通過(guò)多個(gè)熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實(shí)現(xiàn)負(fù)載分擔(dān)。當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時(shí)， HSRP 提供了一個(gè)較好的解決方案，它 能夠確保用戶通信迅速并透明地恢復(fù)，以此為 IP 網(wǎng)絡(luò)提供冗余性、容錯(cuò)和增強(qiáng)的路由選擇功能。 ⑹ HSRP HSRP 是 CISCO 公司是所特有的。 Cisco6509 系列以太網(wǎng)交換機(jī)系統(tǒng)在二層和三層對(duì)硬件查表未命中的新地址進(jìn)行監(jiān)控。 在實(shí)際應(yīng)用中，進(jìn)行聚合處理的端口等同于一個(gè)端口，任何轉(zhuǎn)發(fā)到聚合的端口上的報(bào)文會(huì)通過(guò)對(duì)源、目的地址的邏輯運(yùn)算來(lái)分布到聚合的不同端口上。這樣在生成樹協(xié)議（ STP）和其他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個(gè)端口。 Cisco6509 系列以太網(wǎng)交換機(jī)最大可以支持 17 個(gè)或者 33個(gè) STP實(shí)例。網(wǎng)絡(luò)管理員只要為 VLAN 分配獨(dú)立的生成樹拓?fù)?，就可以確保兩個(gè) VLAN都能在網(wǎng)上順暢傳輸。傳統(tǒng)生成樹倒換時(shí)間為 42s，從發(fā)現(xiàn)鏈路斷裂、數(shù)據(jù)中斷 到數(shù)據(jù)恢復(fù)至少需要三十多秒的時(shí)間，而快速生成樹協(xié)議只需 6～ 8秒的時(shí)間就可以將數(shù)據(jù)流切換到備份鏈路上。 除了支持傳統(tǒng)的生成樹協(xié)議外， Cisco6509 系列以太網(wǎng)交換機(jī)還支持 IEEE 快速生成樹協(xié)議 (RSTP)，以及 多生成樹協(xié)議（ MSTP）。 生成樹協(xié)議主要用來(lái)建立和維護(hù)局域網(wǎng)的拓?fù)?，消除循環(huán)連接導(dǎo)致的網(wǎng)絡(luò)廣播風(fēng)暴，并且提供網(wǎng)絡(luò)的拓?fù)涞娜哂鄠浞莨δ埽綍r(shí)作為備份的路徑被阻塞，當(dāng)主用路徑網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，能夠及時(shí)調(diào)整端口狀態(tài)，調(diào)整網(wǎng)絡(luò)拓?fù)洹? ⑶ 冗余電源 Cisco6509 系列以太網(wǎng)交換機(jī)提供了 RPS 電源備份接口，可以對(duì)設(shè)備提供一對(duì)一的電源備份和保護(hù)，也可以以一路直流電源對(duì)多臺(tái)支持 RPS 接口的設(shè)備進(jìn)行 備份和保護(hù)。 100110 保留 1831 任意 用戶地址 其中， 16—18 取值 011 的時(shí)候，對(duì) 19—23 位的使用進(jìn)行了重新的定義。 ⑴． V LAN 設(shè)計(jì)規(guī)范 旭日 集團(tuán)內(nèi)的局域網(wǎng)進(jìn)行 VLAN 劃分 ,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡(luò)運(yùn)行效率 。作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。 思科 網(wǎng)絡(luò)強(qiáng)大的售后服務(wù)體系可保證全國(guó)