【正文】 45 / 45。因此，本模塊適用于獨(dú)立計(jì)算機(jī)的安全性強(qiáng)化建議。本模塊對(duì)這些對(duì)外開(kāi)放的堡壘服務(wù)器所面臨的大量網(wǎng)絡(luò)攻擊進(jìn)行了說(shuō)明，在許多情況下，攻擊者完全可以根據(jù)自己的意愿實(shí)施匿名攻擊。本模塊詳細(xì)描述了在哪些方面，用戶(hù)環(huán)境中的證書(shū)服務(wù)器可以受益于非 MSBP 策略的安全設(shè)置。本模塊詳細(xì)說(shuō)明了在哪些方面，用戶(hù)環(huán)境中的 ISA 服務(wù)器可以受益于非 MSBP 策略的安全設(shè)置。 Server Extensions）必須由管理員通過(guò) Internet 信息服務(wù)管理器 (IIS Manager) 中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)才能啟用。例如，默認(rèn)情況下，IIS 僅提供靜態(tài)內(nèi)容服務(wù)。在默認(rèn)情況下，IIS 沒(méi)有安裝在 Windows 服務(wù)器系統(tǒng)家族的成員上。網(wǎng)站和應(yīng)用程序還須防范來(lái)自同一 IIS 服務(wù)器上其他網(wǎng)站和應(yīng)用程序的威脅。此外，本模塊還詳細(xì)描述了在哪些方面，打印服務(wù)器的安全設(shè)置可以通過(guò)非 MSBP 的方式得以?xún)?yōu)化。4. 強(qiáng)化 Windows Server 2003 打印服務(wù)器打印服務(wù)器中的最基本服務(wù)需要與 Windows NetBIOS 相關(guān)的協(xié)議。服務(wù)器消息塊 (SMB) 和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以向未進(jìn)行身份驗(yàn)證的用戶(hù)提供豐富的信息，但是，在高安全性 Windows 環(huán)境中通常建議禁用這些協(xié)議。此外，本模塊還詳細(xì)說(shuō)明了在您的環(huán)境中基礎(chǔ)結(jié)構(gòu)服務(wù)器可以受益于成員服務(wù)器基準(zhǔn)策略沒(méi)有應(yīng)用的安全設(shè)置的領(lǐng)域。域控制器的任何損失或破壞都將破壞依賴(lài)域控制器進(jìn)行身份驗(yàn)證、組策略和中央輕型目錄訪(fǎng)問(wèn)協(xié)議 (LDAP) 目錄的客戶(hù)端、服務(wù)器和應(yīng)用程序。3. 授權(quán)管理員在應(yīng)用程序中提供以角色為基礎(chǔ)的授權(quán)，讓系統(tǒng)管理員能更快速、容易地管理終端使用者對(duì)Web Services的存取。2. Protected Extensible Authentication Protocol(受保護(hù)的延伸驗(yàn)證協(xié)議，PEAP)提供以密碼為基礎(chǔ)驗(yàn)證程序的加密功能，可用以增強(qiáng)無(wú)線(xiàn)通訊的安全性。(1) 支持證書(shū)自動(dòng)登記和自動(dòng)更新；(2) 支持Windows安裝包數(shù)字簽名；(3) 改進(jìn)的證書(shū)注銷(xiāo)列表。其中幾個(gè)使Windows2003 Server在部署時(shí)更安全的新功能有：1. PKI經(jīng)過(guò)了重大的改良。藉由更容易維護(hù)及管理的安全功能，這些新技術(shù)能幫助客戶(hù)達(dá)到商務(wù)方面的需求，卻又不需犧牲安全性。4. 在安裝Windows2003過(guò)程中，計(jì)算機(jī)管理員賬號(hào)密碼的設(shè)置應(yīng)符合強(qiáng)密碼要求。3. 密碼安全性已經(jīng)過(guò)強(qiáng)化，所以使用者無(wú)法使用任何沒(méi)有密碼的賬戶(hù)進(jìn)行遠(yuǎn)程登入。它在默認(rèn)設(shè)置中將安全放到了最優(yōu)先考慮的位置，追加了用于強(qiáng)化Windows 平臺(tái)安全性的新功能和新技術(shù)：1. IIS Server中的默認(rèn)值為關(guān)閉。Windows2003 Server為客戶(hù)提供一個(gè)立即可用的安全基礎(chǔ)，幫助企業(yè)建立一個(gè)不容易遭受攻擊的網(wǎng)絡(luò)環(huán)境。本軟件引擎是Windows2003 Server 的關(guān)鍵部分，它提高了可靠性并有助于保證計(jì)算環(huán)境的安全，降低了錯(cuò)誤數(shù)量，并減少了由常見(jiàn)的編程錯(cuò)誤引起的安全漏洞。經(jīng)過(guò)重新設(shè)計(jì)，允許應(yīng)用程序或Web services 的工作程序以較低權(quán)限的使用者賬戶(hù)來(lái)執(zhí)行，借由限制網(wǎng)絡(luò)存取的方法降低潛在的攻擊，并修改了IIS 。Windows2003 Server以安全為理念重新設(shè)計(jì)了許多組件，而這些組件也建構(gòu)出以安全為主要目標(biāo)的創(chuàng)新。 Windows Server 2003 R2l Windows Server 2003 R2安全性概述微軟公司在Microsoft Windows2003 Server安全性技術(shù)方面做出的創(chuàng)新給客戶(hù)帶來(lái)了全新的體驗(yàn)，不但可幫助客戶(hù)建立立即可用的安全連接基礎(chǔ)架構(gòu)，更能幫助客戶(hù)建立、部署和管理其它的安全解決方案。 DDL 觸發(fā)程序創(chuàng)建自定義審核解決方案使用觸發(fā)程序捕獲及審核數(shù)據(jù)定義語(yǔ)言 (DDL) 活動(dòng)。 SQL Server Audit 進(jìn)行增強(qiáng)型審核定義審核，自動(dòng)將活動(dòng)記錄在記錄文件、Windows 應(yīng)用程序記錄文件或 Windows 安全日志中。使用專(zhuān)門(mén)系統(tǒng)來(lái)簡(jiǎn)化密鑰管理。使用企業(yè)密鑰管理系統(tǒng)來(lái)聚合企業(yè)加密。在 SQL Server 2008 中使用內(nèi)置密碼編譯層次結(jié)構(gòu)來(lái)創(chuàng)建非對(duì)稱(chēng)密鑰、對(duì)稱(chēng)密鑰和憑證通過(guò)安全性增強(qiáng)型數(shù)據(jù)庫(kù)加密密鑰 (DEK)，以透明方式在數(shù)據(jù)庫(kù)層次結(jié)構(gòu)執(zhí)行所有加密，讓開(kāi)發(fā)需要加密數(shù)據(jù)的應(yīng)用程序復(fù)雜度降低。給某個(gè)架構(gòu)授與權(quán)限，以便將權(quán)限授與給此架構(gòu)內(nèi)所包含的每一個(gè)對(duì)象，以及未來(lái)在此架構(gòu)內(nèi)置立的每一個(gè)對(duì)象。自動(dòng)應(yīng)用 Microsoft Windows Server 2003 (或更新版本) 的密碼策略，以強(qiáng)制實(shí)行最小密碼長(zhǎng)度、適當(dāng)?shù)淖址M合以及定期變更的密碼，即便使用 SQL Server 登入也是。減少已知軟件弱點(diǎn)所造成的威脅。使用新的接口區(qū) Facet 控制使用中的服務(wù)和功能，以降低暴露在安全性威脅下的機(jī)會(huì)。 使用 SQL Server Audit 實(shí)現(xiàn)高性能的細(xì)微審核l 維護(hù)企業(yè)中數(shù)據(jù)的安全使用預(yù)設(shè)為安全且在部署中為安全的數(shù)據(jù)庫(kù)解決方案來(lái)保護(hù)數(shù)據(jù)的安全。 不需修改應(yīng)用程序即可使用透明數(shù)據(jù)加密來(lái)加密數(shù)據(jù)重大的新功能l 豐富的附加功能 提供不同的針對(duì)特定應(yīng)用的Agent程序，使服務(wù)監(jiān)控更切實(shí)際，更加有效；提供用于開(kāi)發(fā)Agent程序的應(yīng)用程序界面（API），使用者可針對(duì)特定的服務(wù)編寫(xiě)Agent程序，執(zhí)行與特定服務(wù)相關(guān)的狀態(tài)診斷及錯(cuò)誤恢復(fù)工作的。如果希望兩個(gè)服務(wù)獨(dú)立地進(jìn)行切換，則此兩個(gè)IP地址不能相同。對(duì)于與網(wǎng)絡(luò)不相關(guān)的純數(shù)據(jù)應(yīng)用，只需要切換數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)處理軟件。在服務(wù)器中，當(dāng)某個(gè)服務(wù)失敗而其它服務(wù)正常運(yùn)行時(shí)，RoseHA將處理這個(gè)失敗的服務(wù)。l 應(yīng)用可靠性在高可用性系統(tǒng)中可以運(yùn)行多個(gè)應(yīng)用。建議使用磁盤(pán)陣列來(lái)存儲(chǔ)數(shù)據(jù)，這樣可以避免單點(diǎn)固障，而且便于對(duì)系統(tǒng)的容量進(jìn)行擴(kuò)充。切換完成后，客戶(hù)在短暫的切換過(guò)程后能夠繼續(xù)訪(fǎng)問(wèn)所需的服務(wù)。如果該服務(wù)器配備了冗余的網(wǎng)絡(luò)接口，RoseHA會(huì)使用它來(lái)恢復(fù)網(wǎng)絡(luò)連接。l 服務(wù)器可靠性在主服務(wù)器出現(xiàn)故障（如掉電或宕機(jī)）時(shí)，另外一臺(tái)服務(wù)器接管故障服務(wù)器上運(yùn)行的所有的關(guān)鍵性應(yīng)用。不需要系統(tǒng)管理員干預(yù)。l 自動(dòng)切換當(dāng)系統(tǒng)出現(xiàn)故障時(shí)（如：系統(tǒng)宕機(jī)、HA進(jìn)程/應(yīng)用進(jìn)程被殺掉、RS23SCSI、光纖、網(wǎng)絡(luò)線(xiàn)纜斷開(kāi)），RoseHA 將確定故障原因，并采取相應(yīng)對(duì)策，并將這些應(yīng)用切換到備份服務(wù)器上。l 支持多條心跳路徑可以將網(wǎng)線(xiàn)和RS232串口線(xiàn)作為在RoseHA軟件的心跳路徑。通過(guò)直觀而又方便的Java Applet管理界面，用戶(hù)可以交互式地對(duì)集群系統(tǒng)進(jìn)行配置、監(jiān)控和管理，并可以利用Applet的網(wǎng)絡(luò)特性，通過(guò)網(wǎng)絡(luò)對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程管理，實(shí)時(shí)地顯示出主機(jī)系統(tǒng)及服務(wù)的狀態(tài)l 靈活的ActiveActive模式和ActiveStandby模式RoseHA支持ActiveActive模式和ActiveStandby模式。l 硬件可采用機(jī)架式結(jié)構(gòu)，便于維護(hù)管理。雙機(jī)監(jiān)控依靠RS232線(xiàn)路或?qū)Ｓ?00/1000M自適應(yīng)網(wǎng)卡線(xiàn)路，既不占用主機(jī)CPU資源也不占用基礎(chǔ)業(yè)務(wù)網(wǎng)絡(luò)帶寬，是RoseHA的特色功能，在實(shí)際的應(yīng)用中得到用戶(hù)的一致好評(píng)。 l 系統(tǒng)效率高，系統(tǒng)中數(shù)據(jù)讀寫(xiě)、管理及容錯(cuò)由磁盤(pán)陣列來(lái)完成。 l 系統(tǒng)切換時(shí)間短，最大程度減少業(yè)務(wù)中斷的影響。也可以選擇不切換，此時(shí)維修好的主機(jī)就作為備份機(jī)，雙機(jī)系統(tǒng)繼續(xù)工作。之后，RoseHA就會(huì)控制系統(tǒng)進(jìn)行服務(wù)切換，備份機(jī)啟動(dòng)和工作主機(jī)一樣的應(yīng)用程序，接管工作主機(jī)的工作（包括提供TCP/IP網(wǎng)絡(luò)服務(wù)、文件共享、數(shù)據(jù)庫(kù)等服務(wù)），并進(jìn)行報(bào)警提示管理人員對(duì)故障主機(jī)進(jìn)行維護(hù)。系統(tǒng)主機(jī)開(kāi)始工作后，RoseHA軟件開(kāi)始監(jiān)控系統(tǒng)，通過(guò)私用網(wǎng)絡(luò)傳遞的心跳信息，每臺(tái)主機(jī)上的RoseHA軟件隨時(shí)監(jiān)控另一臺(tái)主機(jī)的狀態(tài)。對(duì)于數(shù)據(jù)庫(kù)服務(wù)，當(dāng)有主服務(wù)器出現(xiàn)故障時(shí)，另外一臺(tái)服務(wù)器就會(huì)自動(dòng)接管，同時(shí)啟動(dòng)數(shù)據(jù)庫(kù)和應(yīng)用程序，使用戶(hù)數(shù)據(jù)庫(kù)可以正常操作。切換完成后，在客戶(hù)端看來(lái)系統(tǒng)并沒(méi)有出現(xiàn)故障，網(wǎng)絡(luò)服務(wù)仍然可以使用。正常運(yùn)行時(shí)，虛擬地址及網(wǎng)絡(luò)服務(wù)由主服務(wù)器提供?？蛻?hù)端通過(guò)虛擬地址和工作主機(jī)通訊，無(wú)論系統(tǒng)是否發(fā)生切換，虛擬地址始終指向工作主機(jī)。 RoseHA實(shí)現(xiàn)容錯(cuò)功能的關(guān)鍵在于，對(duì)客戶(hù)端來(lái)說(shuō)主機(jī)是透明的，當(dāng)系統(tǒng)發(fā)生錯(cuò)誤而進(jìn)行切換時(shí)，即主機(jī)的切換在客戶(hù)端看來(lái)沒(méi)有變化，所有基于主機(jī)的應(yīng)用都仍然正常運(yùn)行。當(dāng)捕捉到這種變化后RoseHA就會(huì)控制系統(tǒng)進(jìn)行主機(jī)切換，即備份機(jī)啟動(dòng)和工作主機(jī)一樣的應(yīng)用程序接管工作主機(jī)的工作（包括提供TCP/IP網(wǎng)絡(luò)服務(wù)、存儲(chǔ)系統(tǒng)的存取等服務(wù)）并進(jìn)行報(bào)警，提示管理人員對(duì)故障主機(jī)進(jìn)行維修。配置好的系統(tǒng)主機(jī)開(kāi)始工作后，RoseHA軟件開(kāi)始監(jiān)控系統(tǒng)，通過(guò)私用網(wǎng)絡(luò)傳遞的心跳信息，每臺(tái)主機(jī)上的RoseHA軟件都可監(jiān)控另一臺(tái)主機(jī)的狀態(tài)。該系列交換機(jī)還支持sFlow功能，可以對(duì)出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。l 出色的管理性H3C S5500EI系列交換機(jī)支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用網(wǎng)管平臺(tái)以及iMC智能管理中心。支持CAR（Committed Access Rate）功能，粒度最小達(dá)64Kbps。l 豐富的QoS策略H3C S5500EI系列交換機(jī)支持支持L2（Layer 2）~L4（Layer 4）包過(guò)濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號(hào)、協(xié)議類(lèi)型、VLAN的流分類(lèi)。H3C S5500EI系列交換機(jī)支持MCE功能，可以有效解決多VPN網(wǎng)絡(luò)帶來(lái)的用戶(hù)數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN接口編號(hào)與網(wǎng)絡(luò)內(nèi)的VPN進(jìn)行綁定，并為每個(gè)VPN創(chuàng)建和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表（MultiVRF）。支持Voice VLAN技術(shù)，交換機(jī)通過(guò)識(shí)別端口的語(yǔ)音流，將對(duì)應(yīng)的接入端口加入Voice VLAN（專(zhuān)用語(yǔ)音VLAN）中，為語(yǔ)音流量提供專(zhuān)門(mén)通道，并自動(dòng)下發(fā)優(yōu)先級(jí)規(guī)則保證語(yǔ)音流的優(yōu)先傳輸來(lái)保證通話(huà)質(zhì)量。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保證業(yè)務(wù)的正常開(kāi)展。所有機(jī)型都支持內(nèi)置的雙冗余電源，其中S550028FEI支持可插拔的冗余電源模塊，也就是說(shuō)我們可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測(cè)及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)具備了機(jī)柜式交換機(jī)的高可靠性。另外，S5500EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)反向查找路徑來(lái)驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。H3C S5500EI交換機(jī)支持集中式MAC地址認(rèn)證、PORTAL認(rèn)證，支持用戶(hù)帳號(hào)、IP、MAC、VLAN、端口等用戶(hù)標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶(hù)策略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對(duì)在線(xiàn)用戶(hù)進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。這個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺(tái)，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和策略路由機(jī)制，實(shí)現(xiàn)IPv4到IPv6的平滑升級(jí)。H3C S5500EI系列交換機(jī)支持兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的10GE擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯聚或接入時(shí)保留進(jìn)一步支持10GE的擴(kuò)展能力，盡力保護(hù)用戶(hù)投資。支持最多4個(gè)萬(wàn)兆擴(kuò)展接口；支持IPv4/IPv6硬件雙棧及線(xiàn)速轉(zhuǎn)發(fā)，使客戶(hù)能夠從容應(yīng)對(duì)即將帶來(lái)的IPv6時(shí)代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。H3C S5120SI系列交換機(jī)支持VCT（Virtual Cable Test）電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。通過(guò)這些功能的應(yīng)用可以對(duì)用戶(hù)的合法性進(jìn)行充分的檢查和控制，最大程度的減少非法用戶(hù)對(duì)網(wǎng)絡(luò)安全的危害。H3C ，允許合法用戶(hù)通過(guò)，對(duì)于非法用戶(hù)則拒絕其上網(wǎng)。H3C S5120SI系列交換機(jī)支持端口安全特性族可以有效防范基于MAC地址的攻擊。同時(shí)支持IP Source Check特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大量地址仿冒帶來(lái)的DoS攻擊。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶(hù)投資。H3C S5120SI系列交換機(jī)采用專(zhuān)利技術(shù)允許交換機(jī)利用專(zhuān)用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺(tái)設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。l 靈活的千兆接入和集群管理H3C S5120SI系列全千兆以太網(wǎng)交換機(jī)提供靈活的16/24/48個(gè)10/100/1000M自適應(yīng)電口接入；并且支持非復(fù)用的SFP插槽，充分考慮用戶(hù)的帶寬升級(jí)的實(shí)際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護(hù)用戶(hù)投資。提供靈活的全千兆以太網(wǎng)端口的接入密度、豐富的業(yè)務(wù)特性、統(tǒng)一的集群配置，為用戶(hù)提供高性能、低成本、可網(wǎng)管的千兆到桌面的解決方案。惠普StorageWorks MSA2300FC(AJ798A)磁盤(pán)陣列具有很高的穩(wěn)定性，它平均無(wú)故障時(shí)間可以達(dá)到1500000小時(shí)?；萜誗torageWorks MSA2300FC(AJ798A)磁盤(pán)陣列支持的RAID形式為0, 1, 3, 5, 6, 10, 50。RAID的采用為存儲(chǔ)系統(tǒng)(或者服務(wù)器的內(nèi)置存儲(chǔ))帶來(lái)巨大利益，其中提高傳輸速率和提供容錯(cuò)功能是最大的優(yōu)點(diǎn)?；萜誗torageWorks MSA2300FC(AJ798A)惠普StorageWorks MSA2300FC(AJ798A)磁盤(pán)陣列采用2U機(jī)架結(jié)構(gòu)，陣列容量為16TB。最大支持64個(gè)主機(jī)1AJ808AHP 2300s