【正文】 IIS 還可以在回收一個工作進程時對客戶機的 TCP/IP 連。通過自動禁用在短時間內(nèi)頻繁發(fā)生故障的 Web 站點和應(yīng)用程序， IIS 可以保護服務(wù)器和其它應(yīng)用程序的安全。應(yīng)用程序池為管理員管理一組 Web站點和應(yīng)用程序提供了便利，同時提高了系統(tǒng)的 可 靠 性 ， 因 為 一 個 應(yīng) 用 程 序 池 中 的 錯 誤 不 會引起另外一個應(yīng)用程序池或者服務(wù)器本身發(fā)生故障。新的容錯進程架構(gòu)和其它功能特性可以幫助用戶減少不必要的停機時間，并提高應(yīng)用程序的可用性。 IIS 在降低系統(tǒng)管理成本的同時，大大提高了信息系統(tǒng)的安全性。此外， IIS 的身份驗證和授權(quán)功能也得到了改進。 更高的安全性 IIS 6 . 0 顯著改進了 Web 服務(wù)器的安全性。 增強的開發(fā)與國際化支持 通過 Windows Server 2020 與 I I S 6 . 0 支持的先進功能如內(nèi)核模式緩存，應(yīng)用程序開發(fā)人員將從 Windows Server 2020 與 I I S 6 . 0 單一的、完整的應(yīng)用平臺環(huán)境中受益。通過將可靠的體系結(jié)構(gòu)和內(nèi)核模式驅(qū)動程序完美結(jié)合在一起， IIS 允許您在單臺服 務(wù)器上托管更多的應(yīng)用程序。 IIS 的默認安裝是被全面鎖定的，這意味著默認系統(tǒng)的安全系數(shù)就被設(shè)為最大，它提供的增強的管理性能改善了 XML metabase的管理及新的命令行工具。 安 全 性 能 的 增 強 包 括 技 術(shù) 與 需 求 處 理 變 化兩 方 面 。其可靠的性能提高了網(wǎng)絡(luò)服務(wù)的可用性并且節(jié)省了管理員用于重新啟動網(wǎng)絡(luò)服務(wù)所花費的時間， IIS 將提供最佳的擴展性和強大的性能從而充分發(fā)揮每一臺 W eb 服務(wù)器的最大功效。 IIS 第 46 頁 共 90 頁 和 Windows Server 2020 提供了最可靠的、高效的、連接的、完整的網(wǎng)絡(luò)服務(wù)器解決方案。 優(yōu)點 IIS 和 Windows Server 2020 在網(wǎng)絡(luò)應(yīng)用服務(wù)器的管理、可用性、 可靠性、安全性、性能與可擴展性方面提供了許多新的功能。在本方案中，根據(jù)集團的目前的需求，建立了基本的組策略 ⑴ 密碼長度最小值為 7 ⑵ 密碼最長存留 期為 30 天 ⑶ 密碼過期期限為 50 天 ⑷ 帳戶鎖定閥值為 5 次無效登陸 ⑸ 啟動密碼必須符合復雜性 需求策略 五 、 Windows 服務(wù)器解決方案 . WEB 服務(wù)器 微軟 Windows Server 2020 中的 IIS 為用戶提供了集成的、可靠的、可擴展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web 服務(wù)器解決方案。 ? 安全策略：在 Windows 系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中 森森 林林 樹樹 ISA Client ISA Client ISA Server 第 45 頁 共 90 頁 采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設(shè)置組策略，并使組策略應(yīng)用到每個域中的用戶和計算機。 具體部署如圖： 第 44 頁 共 90 頁 ? 防火墻功能： ISA 服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和 DZM 區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站 ? 服務(wù)器發(fā)布：利用 ISA 服務(wù)器將企業(yè)中的郵件和 WEB 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問公司的 WEB 服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。具體的設(shè)計方案如下： ? ISA Server： ISA Server 是微軟公司出品的軟件防火墻代理服用戶 全局組 用戶 通用組 域本地組 分配權(quán)限 全局組 通用組 第 43 頁 共 90 頁 務(wù)器產(chǎn)品，它不僅可以起到代理 服務(wù)器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設(shè)置過濾規(guī)則，可以控制內(nèi)部用戶對網(wǎng)站的訪問，同時利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到 Inter 上，提供互聯(lián)網(wǎng)的訪問，在本方案的設(shè)計中，主要利用了網(wǎng)站過濾和服務(wù)器發(fā)布的功能，在集團中心即房安裝和配置 ISA 服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能， 將集團總部及子公司的 WEB 服務(wù)器及 MAIL 服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。其次，在方案設(shè)計中，充分應(yīng)用 Window 系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設(shè)計安全策略。在本域內(nèi)的權(quán)限的分配，可以使用 AGDLP 策略，在域間的權(quán)限分配，使得 AGDLP 策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復制流量，從而提高系統(tǒng)的性能。 ? 組的管理 為了滿足集團用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用第 42 頁 共 90 頁 AGDLP 策略及 AGUDLP 策略。 ? 擁護管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。 ? OU 的設(shè)計 集團的 OU 設(shè)計目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團的商業(yè)模型相匹配。其中前面 2 種在林范圍內(nèi)起作用，后面 3 種在域范圍內(nèi)起作用，為了使用所有的操作主機更好的工作，保障正常的工作并且不產(chǎn)生大的復制流量，方案采用了 Windows 系統(tǒng)默認的設(shè)置，根 域中第一臺DC 承擔了五種操作主機的角色，每個子域中的 第一臺 DC 承擔了域DC DC DC 根域 : 集團總 部 北京分公司 : 上海分公 司 : 子公司 1: 子公司 2:tw 子公司 3: 子公司 4: 同一個站點 森林 第 41 頁 共 90 頁 范圍內(nèi)的三種操作主機角色。并且提高了用戶身份驗證的速度。具體的實現(xiàn)如 下 圖： 第 40 頁 共 90 頁 在此構(gòu)架設(shè)計中，旭日集團需要自己的獨立的域名，所以在設(shè)計林中樹，武漢的 4 個子公司作為總部的子域，北京和上海分公司作為一單獨的域樹， 由于所有的資源都位于園區(qū)網(wǎng) 內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個站點內(nèi)。方案中將集團按公司單位劃分不同的模塊，集團總部作為域林的根，每個子公司為一個獨立的域或者域樹，形成一個完整的樹狀結(jié)構(gòu)。 系統(tǒng)設(shè)計方案 系統(tǒng)的構(gòu)價 ⑴ 根據(jù)集團的管理結(jié)構(gòu)。 ? 簡單的設(shè)計：在保障滿足需求的前提下，設(shè)計方案應(yīng)簡單為第 39 頁 共 90 頁 佳，避免由于復雜的設(shè)計增加工程實施難度和增加集團系統(tǒng)管理的復雜性。集團總部及 各分公司都有專職系統(tǒng)管理員，應(yīng)保障管理員只對本公司具有管 理權(quán)限?？偛抗芾韱T有權(quán)管理各個子公司的系統(tǒng) ? 便于管理：整個系統(tǒng)設(shè)計要便于網(wǎng)絡(luò)管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。 系統(tǒng)設(shè)計原則 隨著集團 近年來的高速發(fā)展，集團的業(yè)務(wù)已經(jīng)涉及到各個商業(yè)領(lǐng)域，集團及公司內(nèi)部的組織結(jié)構(gòu)也日益復雜，在本項目的設(shè)計實施過程中，要求工程實施方案在規(guī)劃系統(tǒng)設(shè)計時充分考慮到企業(yè)管理的需求，設(shè)計合理的系統(tǒng)管理結(jié)構(gòu)，能夠很大程度的降 低集團在系統(tǒng)管理上的成本，并能滿足各種商務(wù)工作的需求，具體設(shè)計應(yīng)依據(jù)以下原則： ? 清晰的邏輯結(jié)構(gòu)：要求集團 范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團的管理結(jié)構(gòu)相吻合。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團內(nèi)所第 38 頁 共 90 頁 有員工能夠利用服務(wù)器方便的訪問公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā) 。 四． 系統(tǒng)設(shè)計方案 系統(tǒng)設(shè)計總體需求 本項目的實施目的是在旭日集團內(nèi)部建立穩(wěn)定，高效的辦公自動化網(wǎng)絡(luò)，通過項目的實施，為所有員工配桌面 PC，使所有員工能夠通過總部網(wǎng)絡(luò)進入 inter，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。 ⑸ 應(yīng)用系統(tǒng)的訪問限制 可以 根據(jù)旭日集團的應(yīng)用需求，在匯聚層的多層交換機上 實施訪問控制，限制園區(qū)網(wǎng)用戶對特定應(yīng)用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。 園區(qū)網(wǎng)系統(tǒng)建設(shè)驗收完畢之后，確保交換機的所有用戶端口處于關(guān)閉狀態(tài)。刪除造成的運行事故。新交第 37 頁 共 90 頁 換機不能自動加入到已存在的管理域中。 ⑶ 進行 VTP 域的認證 進行 VTP 域的認證，能夠保證局域網(wǎng)的 VLAN 等的安全。要為每一臺設(shè)備配置 CONSOLE口令， AUX 口令， VTY 口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴格執(zhí)行。 ⑵ 配置設(shè)備的口令 配置設(shè)備的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。提高設(shè)備的物理安全性，是最基本的要求。技術(shù)和管理手段相結(jié)合實施，才能夠產(chǎn)生良好的效果。建議旭日集團制定嚴格的網(wǎng) 絡(luò)安全管理策略，并有效的執(zhí)行。為了保障網(wǎng)絡(luò)系統(tǒng)的運行安全，保護集團的信息安全，必須進行網(wǎng)絡(luò)安全方面的規(guī)劃和實施。它是一種邏輯上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個獨立的物理網(wǎng)絡(luò)。 Cisco6509 系列以太網(wǎng)路由交換機可以很好地支持策略路由功能，并且可以將路由下一跳重定向到某個物理端口，或者某個下一跳 IP 地址。通過合理的路第 35 頁 共 90 頁 由策略設(shè)計，可以實現(xiàn)網(wǎng)絡(luò)流量的負載均衡，充分利用路由設(shè)備，并實現(xiàn)路由、交換設(shè)備之間的冗余備份功能，同時提供各種可以區(qū)分的服務(wù)等級，為不同用戶提供不同的 QoS 服務(wù)。 ⑻ 策略路由（ PBR） Cisco6509 系列以太網(wǎng)路由交換機支持高性能的策略路由。 Cisco6509 系列以太網(wǎng)路由交換機在支持等價路由、實現(xiàn)負載均衡的同時，還能很好地保證報文的有序性。而 Cisco6509 系列以太網(wǎng)路由交換機從硬件上也實現(xiàn)了等價路由的支持，真正實現(xiàn)了硬件三層轉(zhuǎn)發(fā)流量的負載分擔與路由冗余備份。 不僅從軟件上，而且從硬件上也支持等價路由是 Cisco6509 系列以第 34 頁 共 90 頁 太網(wǎng)路由交換機與業(yè)界類似產(chǎn)品相比顯著的優(yōu)點。 ⑺ 等價路由（ ECMP） 除了從設(shè)備級支持三層轉(zhuǎn)發(fā)容錯協(xié)議 VRRP 之外， Cisco6509 系列以太網(wǎng)路由交換機還支持等價路由（ ECMP）。 4．熱備份優(yōu)先級：在主用的多層交換機了，某個 VLAN 虛擬接口的熱備份優(yōu)先級是 120。 2．熱備份組號：熱備份組號與接口的 VLAN 號相同。啟用 HSRP 協(xié)議之后，這個地址就是HSRP 的虛擬地址。另外，通過多個熱備份組，路由器可以提供冗余備份，并在不同的 IP 子網(wǎng)上實現(xiàn)負載分擔。當網(wǎng)絡(luò)邊緣設(shè)備或接入電路出現(xiàn)故障時， HSRP 提供了一個較好的解決方案，它 能夠確保用戶通信迅速并透明地恢復，以此為 IP 網(wǎng)絡(luò)提供冗余性、容錯和增強的路由選擇功能。 ⑹ HSRP HSRP 是 CISCO 公司是所特有的。 Cisco6509 系列以太網(wǎng)交換機系統(tǒng)在二層和三層對硬件查表未命中的新地址進行監(jiān)控。 在實際應(yīng)用中，進行聚合處理的端口等同于一個端口，任何轉(zhuǎn)發(fā)到聚合的端口上的報文會通過對源、目的地址的邏輯運算來分布到聚合的不同端口上。這樣在生成樹協(xié)議（ STP）和其他二層協(xié)議上看，作了鏈路聚合的所有物理端口被視為同一個端口。 Cisco6509 系列以太網(wǎng)交換機最大可以支持 17 個或者 33個 STP實例。網(wǎng)絡(luò)管理員只要為 VLAN 分配獨立的生成樹拓撲，就可以確保兩個 VLAN都能在網(wǎng)上順暢傳輸。傳統(tǒng)生成樹倒換時間為 42s，從發(fā)現(xiàn)鏈路斷裂、數(shù)據(jù)中斷 到數(shù)據(jù)恢復至少需要三十多秒的時間，而快速生成樹協(xié)議只需 6～ 8秒的時間就可以將數(shù)據(jù)流切換到備份鏈路上。 除了支持傳統(tǒng)的生成樹協(xié)議外， Cisco6509 系列以太網(wǎng)交換機還支持 IEEE 快速生成樹協(xié)議 (RSTP)，以及 多生成樹協(xié)議（ MSTP）。 生成樹協(xié)議主要用來建立和維護局域網(wǎng)的拓撲，消除循環(huán)連接導致的網(wǎng)絡(luò)廣播風暴，并且提供網(wǎng)絡(luò)的拓撲的冗余備份功能，平時作為備份的路徑被阻塞，當主用路徑網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，能夠及時調(diào)整端口狀態(tài)，調(diào)整網(wǎng)絡(luò)拓撲。 ⑶ 冗余電源 Cisco6509 系列以太網(wǎng)交換機提供了 RPS 電源備份接口，可以對設(shè)備提供一對一的電源備份和保護，也可以以一路直流電源對多臺支持 RPS 接口的設(shè)備進行 備份和保護。 100110 保留 1831 任意 用戶地址 其中， 16—18 取值 011 的時候，對 19—23 位的使用進行了重新的定義。 ⑴． V LAN 設(shè)計規(guī)范 旭日 集團內(nèi)的局域網(wǎng)進行 VLAN 劃分 ,可以減少網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包 ,提高網(wǎng)絡(luò)運行效率 。作為二層的核心，只保證數(shù)據(jù)的高速轉(zhuǎn)發(fā)。 思科 網(wǎng)絡(luò)強大的售后服務(wù)體系可保證全國