【正文】 置設(shè)備的口令，是防止非授權(quán)的人員更改網(wǎng)絡(luò)系統(tǒng)的配置的重要手段。要為每一臺(tái)設(shè)備配置CONSOLE口令，AUX口令，VTY口令，特權(quán)口令等 在口令方面，需要制定管理制度并嚴(yán)格執(zhí)行。 ⑶ 進(jìn)行VTP域的認(rèn)證 進(jìn)行VTP域的認(rèn)證，能夠保證局域網(wǎng)的VLAN等的安全。新交換機(jī)不能自動(dòng)加入到已存在的管理域中。刪除造成的運(yùn)行事故。園區(qū)網(wǎng)系統(tǒng)建設(shè)驗(yàn)收完畢之后，確保交換機(jī)的所有用戶端口處于關(guān)閉狀態(tài)。 ⑸ 應(yīng)用系統(tǒng)的訪問(wèn)限制 可以 根據(jù)旭日集團(tuán)的應(yīng)用需求，在匯聚層的多層交換機(jī)上實(shí)施訪問(wèn)控制，限制園區(qū)網(wǎng)用戶對(duì)特定應(yīng)用系統(tǒng)的訪問(wèn)，或者只允許特定的用戶訪問(wèn)某些資源。四．系統(tǒng)設(shè)計(jì)方案 本項(xiàng)目的實(shí)施目的是在旭日集團(tuán)內(nèi)部建立穩(wěn)定，高效的辦公自動(dòng)化網(wǎng)絡(luò)，通過(guò)項(xiàng)目的實(shí)施，為所有員工配桌面PC，使所有員工能夠通過(guò)總部網(wǎng)絡(luò)進(jìn)入internet，從而提高所有員工的工作效率和加快企業(yè)內(nèi)部信息的傳遞。在總部和子公司均設(shè)立專用發(fā)服務(wù)器，使集團(tuán)內(nèi)所有員工能夠利用服務(wù)器方便的訪問(wèn)公共文件資源，并能夠完成企業(yè)內(nèi)部郵件的收發(fā)。 隨著集團(tuán)近年來(lái)的高速發(fā)展，集團(tuán)的業(yè)務(wù)已經(jīng)涉及到各個(gè)商業(yè)領(lǐng)域，集團(tuán)及公司內(nèi)部的組織結(jié)構(gòu)也日益復(fù)雜，在本項(xiàng)目的設(shè)計(jì)實(shí)施過(guò)程中，要求工程實(shí)施方案在規(guī)劃系統(tǒng)設(shè)計(jì)時(shí)充分考慮到企業(yè)管理的需求，設(shè)計(jì)合理的系統(tǒng)管理結(jié)構(gòu)，能夠很大程度的降低集團(tuán)在系統(tǒng)管理上的成本，并能滿足各種商務(wù)工作的需求，具體設(shè)計(jì)應(yīng)依據(jù)以下原則：216。集團(tuán)總部和各個(gè)分公司應(yīng)是相互獨(dú)立的管理單元，各個(gè)單位在自己公司范圍內(nèi)實(shí)現(xiàn)用戶賬戶及網(wǎng)絡(luò)安全的管理。 便于管理：整個(gè)系統(tǒng)設(shè)計(jì)要便于網(wǎng)絡(luò)管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。集團(tuán)總部及各分公司都有專職系統(tǒng)管理員，應(yīng)保障管理員只對(duì)本公司具有管理權(quán)限。216。216。 系統(tǒng)的構(gòu)價(jià) ⑴根據(jù)集團(tuán)的管理結(jié)構(gòu)。方案中將集團(tuán)按公司單位劃分不同的模塊，集團(tuán)總部作為域林的根，每個(gè)子公司為一個(gè)獨(dú)立的域或者域樹，形成一個(gè)完整的樹狀結(jié)構(gòu)。具體的實(shí)現(xiàn)如下圖：DCDCDCDCDCDCDC根域:集團(tuán)總部北京分公司:上海分公司:子公司1:子公司2:子公司3:子公司4:同一個(gè)站點(diǎn)森林在此構(gòu)架設(shè)計(jì)中，旭日集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹，武漢的4個(gè)子公司作為總部的子域，北京和上海分公司作為一單獨(dú)的域樹， 由于所有的資源都位于園區(qū)網(wǎng)內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個(gè)站點(diǎn)內(nèi)。并且提高了用戶身份驗(yàn)證的速度。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用了Windows系統(tǒng)默認(rèn)的設(shè)置，根域中第一臺(tái)DC承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的 第一臺(tái)DC承擔(dān)了域范圍內(nèi)的三種操作主機(jī)角色。216。在本方案中按部門劃分OU的方法，將每個(gè)公司中以部門為單位創(chuàng)建OU，并在部門OU中保存該部門的用戶帳戶，計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門。 擁護(hù)管理為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。216。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。如圖所示：域本地組通用組全局組用戶 通用組全局組用戶分配權(quán)限 在設(shè)計(jì)方案中，安全的設(shè)計(jì)主要分2個(gè)部分，首先是ISA Server的應(yīng)用，通過(guò)ISA Server的配置，建立軟件防火墻，保護(hù)集團(tuán)內(nèi)部網(wǎng)絡(luò)不受外部用戶的攻擊，同時(shí)利用ISA Server提供的網(wǎng)站過(guò)濾功能和服務(wù)器發(fā)布功能，對(duì)企業(yè)內(nèi)部用戶的上網(wǎng)行為進(jìn)行規(guī)范，并能保障服務(wù)器的安全使用。防止用戶進(jìn)行非授權(quán)的訪問(wèn)，保護(hù)用戶在工作環(huán)境不受破壞。 ISA Server：ISA Server是微軟公司出品的軟件防火墻代理服務(wù)器產(chǎn)品，它不僅可以起到代理服務(wù)器的緩存作用，也能實(shí)現(xiàn)防火墻的功能，通過(guò)軟件防火墻上設(shè)置過(guò)濾規(guī)則，可以控制內(nèi)部用戶對(duì)網(wǎng)站的訪問(wèn)，同時(shí)利用其提供的服務(wù)器發(fā)布功能，也可以將企業(yè)內(nèi)部的服務(wù)器發(fā)布到Internet上，提供互聯(lián)網(wǎng)的訪問(wèn)，在本方案的設(shè)計(jì)中，主要利用了網(wǎng)站過(guò)濾和服務(wù)器發(fā)布的功能，在集團(tuán)中心即房安裝和配置ISA服務(wù)器，繼承防火墻功能和代理服務(wù)器的功能，將集團(tuán)總部及子公司的WEB服務(wù)器及MAIL服務(wù)器發(fā)布到互聯(lián)網(wǎng)上。具體部署如圖： 對(duì)外發(fā)布WEBMAIL森林樹ISA ClientISA ClientISA Server216。 服務(wù)器發(fā)布：利用ISA服務(wù)器將企業(yè)中的郵件和WEB服務(wù)器發(fā)布到互聯(lián)網(wǎng)上，保證外部用戶可以訪問(wèn)公司的WEB服務(wù)器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計(jì)算機(jī)上安裝ISA客戶端軟件，并配置瀏覽器使用ISA Server作為代理服務(wù)器上網(wǎng)。 安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護(hù)系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個(gè)工具對(duì)全部系統(tǒng)提供安全保護(hù)，由于集團(tuán)各個(gè)子公司采用獨(dú)立的管理模式，所以在每個(gè)域中單獨(dú)設(shè)置組策略，并使組策略應(yīng)用到每個(gè)域中的用戶和計(jì)算機(jī)。在本方案中，根據(jù)集團(tuán)的目前的需求，建立了基本的組策略 ⑴ 密碼長(zhǎng)度最小值為7 ⑵ 密碼最長(zhǎng)存留期為30天 ⑶ 密碼過(guò)期期限為50天 ⑷ 帳戶鎖定閥值為5次無(wú)效登陸 ⑸ 啟動(dòng)密碼必須符合復(fù)雜性需求策略五、Windows服務(wù)器解決方案. WEB服務(wù)器微軟Windows Server 2003中的IIS 、可靠的、可擴(kuò)展的、安全的及可管理的內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和互聯(lián)網(wǎng)Web服務(wù)器解決方案。優(yōu)點(diǎn)IIS 和 Windows Server 2003在網(wǎng)絡(luò)應(yīng)用服務(wù)器的管理、可用性、可靠性、安全性、性能與可擴(kuò)展性方面提供了許多新的功能。IIS Windows Server 2003提供了最可靠的、高效的、連接的、完整的網(wǎng)絡(luò)服務(wù)器解決方案。其可靠的性能提高了網(wǎng)絡(luò)服務(wù)的可用性并且節(jié)省了管理員用于重新啟動(dòng)網(wǎng)絡(luò)服務(wù)所花費(fèi)的時(shí)間，IIS 。安全性能的增強(qiáng)包括技術(shù)與需求處理變化兩方面。IIS ，這意味著默認(rèn)系統(tǒng)的安全系數(shù)就被設(shè)為最大，它提供的增強(qiáng)的管理性能改善了XML metabase的管理及新的命令行工具。通過(guò)將可靠的體系結(jié)構(gòu)和內(nèi)核模式驅(qū)動(dòng)程序完美結(jié)合在一起，IIS 。增強(qiáng)的開發(fā)與國(guó)際化支持通過(guò)Windows Server 2003 與IIS ，應(yīng)用程序開發(fā)人員將從Windows Server 2003 與IIS 單一的、完整的應(yīng)用平臺(tái)環(huán)境中受益。更高的安全性IIS 。此外，IIS 。IIS ，大大提高了信息系統(tǒng)的安全性。新的容錯(cuò)進(jìn)程架構(gòu)和其它功能特性可以幫助用戶減少不必要的停機(jī)時(shí)間，并提高應(yīng)用程序的可用性。應(yīng)用程序池為管理員管理一組Web站點(diǎn)和應(yīng)用程序提供了便利，同時(shí)提高了系統(tǒng)的可靠性，因?yàn)橐粋€(gè)應(yīng)用程序池中的錯(cuò)誤不會(huì)引起另外一個(gè)應(yīng)用程序池或者服務(wù)器本身發(fā)生故障。通過(guò)自動(dòng)禁用在短時(shí)間內(nèi)頻繁發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，IIS 。IIS ，將Web服務(wù)客戶端應(yīng)用程序與后端不穩(wěn)定的Web應(yīng)用程序隔離開來(lái)。例如，此外，還可以觸發(fā)某些定制操作，例如觸發(fā)一個(gè)調(diào)試操作或者向管理員發(fā)出通知。更加輕松的服務(wù)器管理借助IIS ，Web基礎(chǔ)結(jié)構(gòu)的管理工作變得比以往更加輕松和靈活，從而為企業(yè)節(jié)約IT管理成本帶來(lái)了新的機(jī)遇。此外，它還提供了得到改進(jìn)的故障處理和元數(shù)據(jù)庫(kù)損壞恢復(fù)。運(yùn)行程序的同時(shí)對(duì)其進(jìn)行編輯在服務(wù)器保持運(yùn)行的同時(shí)，IIS ?；诿钚泻湍_本的管理IIS Server 2003的命令行工具完成很多常見的管理工作。IIS ，以在不使用圖形用戶界面的情況下，從命令行自動(dòng)完成多種常見的管理任務(wù)。WMI的接口從本質(zhì)上說(shuō)類似于繼續(xù)享受支持的Microsoft Active Directory174。服務(wù)器合并和先前版本相比，IIS ，現(xiàn)在，單臺(tái)服務(wù)器即可托管更多的站點(diǎn)和應(yīng)用程序。例如，在初始化過(guò)程中，IIS 。和IIS的先前版本相比，服務(wù)器的啟動(dòng)和關(guān)閉過(guò)程更加快捷。IIS ，并且針對(duì)提高Web服務(wù)器的吞吐量這一目的進(jìn)行了特別的優(yōu)化和調(diào)整。處理器關(guān)聯(lián)如果設(shè)置了處理器關(guān)聯(lián)，IIS 微處理器或CPU上。更快捷的應(yīng)用程序開發(fā)通過(guò)提供一組全面完善的集成化應(yīng)用程序服務(wù)和領(lǐng)先于業(yè)界的工具，Windows Server 2003應(yīng)用程序環(huán)境大大改善了開發(fā)人員的工作效率和生產(chǎn)力。Windows Server 2003的各種增強(qiáng)建立在IIS ，為開發(fā)人員提供了高水平的功能特性，例如快速應(yīng)用程序開發(fā)（RAD）和廣泛靈活的語(yǔ)言選擇。Microsoft .NET FrameworkMicrosoft .NET 。.NET Framework和語(yǔ)言無(wú)關(guān)；實(shí)際上您可以使用任何語(yǔ)言為它開發(fā)程序。 .NET、Visual Basic174。以及Visual C .NET。XML Web服務(wù)為用戶遠(yuǎn)程訪問(wèn)服務(wù)器功能提供了手段?？缭浇M織地理邊界的信息共享跨越組織的地理邊界使用各種語(yǔ)言進(jìn)行信息共享正在經(jīng)濟(jì)全球化浪潮中發(fā)揮越來(lái)越大的作用?，F(xiàn)在，利用經(jīng)過(guò)UTF8（UCS Transformation Format 8）編碼的URL ，Unicode成為了可能，它帶來(lái)的好處之一便是：人們可以支持更復(fù)雜的語(yǔ)言了，例如中文。此外，它還添加了新的服務(wù)器支持函數(shù)，允許開發(fā)人員訪問(wèn)以Unicode形式表述的URL地址，因此改善了產(chǎn)品的國(guó)際化支持能力。此外，在默認(rèn)狀況下，IIS “鎖定”狀態(tài)，同時(shí)具有最為可靠的超時(shí)設(shè)置和內(nèi)容限制。為了減少系統(tǒng)向外界暴露的攻擊表面積，IIS Server 2003之中——管理員必須明確地選擇該組件并安裝它。通過(guò)使用Web服務(wù)擴(kuò)展節(jié)點(diǎn)，Web站點(diǎn)的管理員可以根據(jù)組織的特殊需要，啟用或禁用某些IIS功能。為了向用戶提供這些文件，您必須在Web服務(wù)擴(kuò)展列表中添加每個(gè)允許提交的文件擴(kuò)展名。默認(rèn)的低權(quán)限賬戶所有IIS “網(wǎng)絡(luò)服務(wù)”用戶賬戶運(yùn)行，這個(gè)在Windows Server 2003中新增加的賬戶類型是一種擁有有限操作系統(tǒng)權(quán)限的內(nèi)置賬戶。授權(quán)IIS Server 2003內(nèi)置的新的授權(quán)框架進(jìn)行了進(jìn)一步的擴(kuò)展?，F(xiàn)在，受約束的委派授權(quán)使得域管理員只能向特定的計(jì)算機(jī)和服務(wù)進(jìn)行委派操作。為了均衡集群服務(wù)器的負(fù)載，達(dá)到優(yōu)化系統(tǒng)性能的目的，集群服務(wù)器將眾多的訪問(wèn)請(qǐng)求，分散到系統(tǒng)中的不同節(jié)點(diǎn)進(jìn)行處理。高可靠性可以看作為系統(tǒng)的一種冗余設(shè)定。穩(wěn)定性是影響系統(tǒng)性能的眾多因素的一種有效的測(cè)量手段，包括機(jī)群系統(tǒng)所能支持的同時(shí)訪問(wèn)系統(tǒng)的最大用戶數(shù)目以及處理一個(gè)請(qǐng)求所需要的時(shí)間。當(dāng)你在瀏覽器中鍵入一個(gè)URL時(shí)（例如：），瀏覽器則將請(qǐng)求發(fā)送到DNS，要求其返回相應(yīng)站點(diǎn)的IP地址，這被稱為DNS查詢。域名服務(wù)器（DNS）通常包含一個(gè)單一的IP地址與該IP地址所映射的站點(diǎn)的名稱的列表。為了利用DNS均衡服務(wù)器的負(fù)載，對(duì)于同一個(gè)站點(diǎn)來(lái)講，在DNS服務(wù)器中同時(shí)擁有幾個(gè)不同的IP地址。通過(guò)我們的例子可以更好的理解這一點(diǎn)，：　　　　　　　　　　在本例中，DNS服務(wù)器中包含下面的映射表：　　 　　 　　 　　當(dāng)?shù)谝粋€(gè)請(qǐng)求到達(dá)DNS服務(wù)器時(shí)，；當(dāng)?shù)诙€(gè)請(qǐng)求到達(dá)時(shí)，以此類推。利用上述的DNS Round Robin技術(shù)，對(duì)于某一個(gè)站點(diǎn)的所有請(qǐng)求將被平均的分配到及群中的機(jī)器上。DNS 輪流排程的優(yōu)勢(shì)DNS Round Robin的最大的優(yōu)點(diǎn)就是易于實(shí)現(xiàn)和代價(jià)低廉：代價(jià)低，易于建立。對(duì)于Web應(yīng)用來(lái)說(shuō)，不需要對(duì)代碼作任何的修改；事實(shí)上，Web應(yīng)用本身并不會(huì)意識(shí)到負(fù)載均衡配置，即使在它面前。DNS 輪流排程的缺點(diǎn)這種基于軟件的負(fù)載均衡方法主要存在兩處不足，一是不實(shí)時(shí)支持服務(wù)期間的關(guān)聯(lián)，一是不具有高可靠性。服務(wù)器一致性是負(fù)載均衡系統(tǒng)所應(yīng)具備的一種能力，通過(guò)它，系統(tǒng)可以根據(jù)會(huì)話信息是屬于服務(wù)器端的，還是底層數(shù)據(jù)庫(kù)級(jí)別的，繼而將用戶的請(qǐng)求導(dǎo)向相應(yīng)的服務(wù)器。它是通過(guò)cookie、隱藏域、重寫URL三種方法中的一種來(lái)進(jìn)行相似的判斷的。問(wèn)題是，服務(wù)器的IP是被瀏覽器暫時(shí)存放在緩存中，一旦記錄過(guò)期，則需要重新建立連接，那么同一個(gè)用戶的請(qǐng)求很可能被不同的服務(wù)器進(jìn)行處理，則先前的所有會(huì)話信息便會(huì)丟失。設(shè)想一個(gè)具有N個(gè)節(jié)點(diǎn)的集群。比較先進(jìn)的路由器可以通過(guò)每隔一定的時(shí)間間隔，對(duì)節(jié)點(diǎn)檢查，如果有毀壞的節(jié)點(diǎn)，則將之從列表中去除的方法，解決這個(gè)問(wèn)題。所以，盡管DNS輪流排程在一定程度上解決了負(fù)載均衡問(wèn)題，但這種狀況的改變并不是十分樂(lè)觀和有效的。 Round robin (RRS)： 將工作平均的分配到服務(wù)器 (用于實(shí)際服務(wù)主機(jī)性能一致)216。用于實(shí)際服務(wù)主機(jī)性能一致。 Weighted round robin (WRRS)： 向較大容量的服務(wù)器分配較多的工作。 (用于實(shí)際服務(wù)主機(jī)性能不一致時(shí))216。容量通過(guò)用戶指定的砝碼來(lái)說(shuō)明，可以根據(jù)裝載信息動(dòng)態(tài)的向上或向下調(diào)整。使用了負(fù)載均衡器集群系統(tǒng)，在外部看來(lái)，像是具有一個(gè)IP地址的單一服務(wù)器一樣，當(dāng)然，這個(gè)IP地址是虛擬的，它映射了集群中的每一臺(tái)機(jī)器的地址。當(dāng)請(qǐng)求到達(dá)負(fù)載均衡器時(shí)，它會(huì)重寫該請(qǐng)求的頭文件，并將之指定到集群中的機(jī)器上。而且，internet上緩存的DNS條目也不再是問(wèn)題了。也就是說(shuō)，客戶端操作的對(duì)象是負(fù)載均衡器，對(duì)于其更后端的操作，對(duì)客戶端來(lái)講，是完全透明的?；谒x出的這些信息，負(fù)載均衡器就可以重寫報(bào)頭并將請(qǐng)求發(fā)往集群中合適的節(jié)點(diǎn)上，該節(jié)點(diǎn)維護(hù)著相應(yīng)客戶端請(qǐng)求的會(huì)話信息。當(dāng)消息被加密后（SSL），負(fù)載均衡器就不能讀出隱藏在其中的會(huì)話信息。主要有兩種故障恢復(fù)：請(qǐng)求級(jí)故障恢復(fù)。當(dāng)然，在導(dǎo)向到其他節(jié)點(diǎn)的同時(shí)，保存在原節(jié)點(diǎn)上的會(huì)話信息將會(huì)丟失。當(dāng)一個(gè)引用失敗后，負(fù)載均衡器會(huì)將之發(fā)送到集群中其他的節(jié)點(diǎn)上，以完成操作，這一點(diǎn)對(duì)用戶來(lái)說(shuō)是透明的。 統(tǒng)計(jì)計(jì)