【正文】 置設備的口令 配置設備的口令，是防止非授權的人員更改網絡系統(tǒng)的配置的重要手段。要為每一臺設備配置CONSOLE口令，AUX口令，VTY口令，特權口令等 在口令方面，需要制定管理制度并嚴格執(zhí)行。 ⑶ 進行VTP域的認證 進行VTP域的認證，能夠保證局域網的VLAN等的安全。新交換機不能自動加入到已存在的管理域中。刪除造成的運行事故。園區(qū)網系統(tǒng)建設驗收完畢之后，確保交換機的所有用戶端口處于關閉狀態(tài)。 ⑸ 應用系統(tǒng)的訪問限制 可以 根據旭日集團的應用需求，在匯聚層的多層交換機上實施訪問控制，限制園區(qū)網用戶對特定應用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。四．系統(tǒng)設計方案 本項目的實施目的是在旭日集團內部建立穩(wěn)定，高效的辦公自動化網絡，通過項目的實施，為所有員工配桌面PC，使所有員工能夠通過總部網絡進入internet，從而提高所有員工的工作效率和加快企業(yè)內部信息的傳遞。在總部和子公司均設立專用發(fā)服務器，使集團內所有員工能夠利用服務器方便的訪問公共文件資源，并能夠完成企業(yè)內部郵件的收發(fā)。 隨著集團近年來的高速發(fā)展，集團的業(yè)務已經涉及到各個商業(yè)領域，集團及公司內部的組織結構也日益復雜，在本項目的設計實施過程中，要求工程實施方案在規(guī)劃系統(tǒng)設計時充分考慮到企業(yè)管理的需求，設計合理的系統(tǒng)管理結構，能夠很大程度的降低集團在系統(tǒng)管理上的成本，并能滿足各種商務工作的需求，具體設計應依據以下原則：216。集團總部和各個分公司應是相互獨立的管理單元，各個單位在自己公司范圍內實現用戶賬戶及網絡安全的管理。 便于管理：整個系統(tǒng)設計要便于網絡管理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。集團總部及各分公司都有專職系統(tǒng)管理員，應保障管理員只對本公司具有管理權限。216。216。 系統(tǒng)的構價 ⑴根據集團的管理結構。方案中將集團按公司單位劃分不同的模塊，集團總部作為域林的根，每個子公司為一個獨立的域或者域樹，形成一個完整的樹狀結構。具體的實現如下圖：DCDCDCDCDCDCDC根域:集團總部北京分公司:上海分公司:子公司1:子公司2:子公司3:子公司4:同一個站點森林在此構架設計中，旭日集團需要自己的獨立的域名，所以在設計林中樹，武漢的4個子公司作為總部的子域，北京和上海分公司作為一單獨的域樹， 由于所有的資源都位于園區(qū)網內，具有高速的網絡連接，因此所有的域均在一個站點內。并且提高了用戶身份驗證的速度。其中前面2種在林范圍內起作用，后面3種在域范圍內起作用，為了使用所有的操作主機更好的工作，保障正常的工作并且不產生大的復制流量，方案采用了Windows系統(tǒng)默認的設置，根域中第一臺DC承擔了五種操作主機的角色，每個子域中的 第一臺DC承擔了域范圍內的三種操作主機角色。216。在本方案中按部門劃分OU的方法，將每個公司中以部門為單位創(chuàng)建OU，并在部門OU中保存該部門的用戶帳戶，計算機帳戶及組采用這種設計的方法，可以在系統(tǒng)管理中清楚的體現公司的管理結構，一般情況下，一個部門內部中的用戶常常有相似的安全需求，利用這樣的設計方法，也可以方便的將安全策略應用到某個部門。 擁護管理為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網絡中擁有唯一的登陸名。216。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權限的指派。如圖所示：域本地組通用組全局組用戶 通用組全局組用戶分配權限 在設計方案中，安全的設計主要分2個部分，首先是ISA Server的應用，通過ISA Server的配置，建立軟件防火墻，保護集團內部網絡不受外部用戶的攻擊，同時利用ISA Server提供的網站過濾功能和服務器發(fā)布功能，對企業(yè)內部用戶的上網行為進行規(guī)范，并能保障服務器的安全使用。防止用戶進行非授權的訪問，保護用戶在工作環(huán)境不受破壞。 ISA Server：ISA Server是微軟公司出品的軟件防火墻代理服務器產品，它不僅可以起到代理服務器的緩存作用，也能實現防火墻的功能，通過軟件防火墻上設置過濾規(guī)則，可以控制內部用戶對網站的訪問，同時利用其提供的服務器發(fā)布功能，也可以將企業(yè)內部的服務器發(fā)布到Internet上，提供互聯網的訪問，在本方案的設計中，主要利用了網站過濾和服務器發(fā)布的功能，在集團中心即房安裝和配置ISA服務器，繼承防火墻功能和代理服務器的功能，將集團總部及子公司的WEB服務器及MAIL服務器發(fā)布到互聯網上。具體部署如圖： 森林樹ISA ClientISA ClientISA Server216。 服務器發(fā)布：利用ISA服務器將企業(yè)中的郵件和WEB服務器發(fā)布到互聯網上，保證外部用戶可以訪問公司的WEB服務器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計算機上安裝ISA客戶端軟件，并配置瀏覽器使用ISA Server作為代理服務器上網。 安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設置組策略，并使組策略應用到每個域中的用戶和計算機。在本方案中，根據集團的目前的需求，建立了基本的組策略 ⑴ 密碼長度最小值為7 ⑵ 密碼最長存留期為30天 ⑶ 密碼過期期限為50天 ⑷ 帳戶鎖定閥值為5次無效登陸 ⑸ 啟動密碼必須符合復雜性需求策略五、Windows服務器解決方案. WEB服務器微軟Windows Server 2003中的IIS 、可靠的、可擴展的、安全的及可管理的內聯網、外聯網和互聯網Web服務器解決方案。優(yōu)點IIS 和 Windows Server 2003在網絡應用服務器的管理、可用性、可靠性、安全性、性能與可擴展性方面提供了許多新的功能。IIS Windows Server 2003提供了最可靠的、高效的、連接的、完整的網絡服務器解決方案。其可靠的性能提高了網絡服務的可用性并且節(jié)省了管理員用于重新啟動網絡服務所花費的時間，IIS 。安全性能的增強包括技術與需求處理變化兩方面。IIS ，這意味著默認系統(tǒng)的安全系數就被設為最大，它提供的增強的管理性能改善了XML metabase的管理及新的命令行工具。通過將可靠的體系結構和內核模式驅動程序完美結合在一起，IIS 。增強的開發(fā)與國際化支持通過Windows Server 2003 與IIS ，應用程序開發(fā)人員將從Windows Server 2003 與IIS 單一的、完整的應用平臺環(huán)境中受益。更高的安全性IIS 。此外，IIS 。IIS ，大大提高了信息系統(tǒng)的安全性。新的容錯進程架構和其它功能特性可以幫助用戶減少不必要的停機時間，并提高應用程序的可用性。應用程序池為管理員管理一組Web站點和應用程序提供了便利，同時提高了系統(tǒng)的可靠性，因為一個應用程序池中的錯誤不會引起另外一個應用程序池或者服務器本身發(fā)生故障。通過自動禁用在短時間內頻繁發(fā)生故障的Web站點和應用程序，IIS 。IIS ，將Web服務客戶端應用程序與后端不穩(wěn)定的Web應用程序隔離開來。例如，此外，還可以觸發(fā)某些定制操作，例如觸發(fā)一個調試操作或者向管理員發(fā)出通知。更加輕松的服務器管理借助IIS ，Web基礎結構的管理工作變得比以往更加輕松和靈活，從而為企業(yè)節(jié)約IT管理成本帶來了新的機遇。此外，它還提供了得到改進的故障處理和元數據庫損壞恢復。運行程序的同時對其進行編輯在服務器保持運行的同時，IIS ?；诿钚泻湍_本的管理IIS Server 2003的命令行工具完成很多常見的管理工作。IIS ，以在不使用圖形用戶界面的情況下，從命令行自動完成多種常見的管理任務。WMI的接口從本質上說類似于繼續(xù)享受支持的Microsoft Active Directory174。服務器合并和先前版本相比，IIS ，現在，單臺服務器即可托管更多的站點和應用程序。例如，在初始化過程中，IIS 。和IIS的先前版本相比，服務器的啟動和關閉過程更加快捷。IIS ，并且針對提高Web服務器的吞吐量這一目的進行了特別的優(yōu)化和調整。處理器關聯如果設置了處理器關聯，IIS 微處理器或CPU上。更快捷的應用程序開發(fā)通過提供一組全面完善的集成化應用程序服務和領先于業(yè)界的工具，Windows Server 2003應用程序環(huán)境大大改善了開發(fā)人員的工作效率和生產力。Windows Server 2003的各種增強建立在IIS ，為開發(fā)人員提供了高水平的功能特性，例如快速應用程序開發(fā)（RAD）和廣泛靈活的語言選擇。Microsoft .NET FrameworkMicrosoft .NET 。.NET Framework和語言無關；實際上您可以使用任何語言為它開發(fā)程序。 .NET、Visual Basic174。以及Visual C .NET。XML Web服務為用戶遠程訪問服務器功能提供了手段?？缭浇M織地理邊界的信息共享跨越組織的地理邊界使用各種語言進行信息共享正在經濟全球化浪潮中發(fā)揮越來越大的作用。現在，利用經過UTF8（UCS Transformation Format 8）編碼的URL ，Unicode成為了可能，它帶來的好處之一便是：人們可以支持更復雜的語言了，例如中文。此外，它還添加了新的服務器支持函數，允許開發(fā)人員訪問以Unicode形式表述的URL地址，因此改善了產品的國際化支持能力。此外，在默認狀況下，IIS “鎖定”狀態(tài)，同時具有最為可靠的超時設置和內容限制。為了減少系統(tǒng)向外界暴露的攻擊表面積，IIS Server 2003之中——管理員必須明確地選擇該組件并安裝它。通過使用Web服務擴展節(jié)點，Web站點的管理員可以根據組織的特殊需要，啟用或禁用某些IIS功能。為了向用戶提供這些文件，您必須在Web服務擴展列表中添加每個允許提交的文件擴展名。默認的低權限賬戶所有IIS “網絡服務”用戶賬戶運行，這個在Windows Server 2003中新增加的賬戶類型是一種擁有有限操作系統(tǒng)權限的內置賬戶。授權IIS Server 2003內置的新的授權框架進行了進一步的擴展?，F在，受約束的委派授權使得域管理員只能向特定的計算機和服務進行委派操作。為了均衡集群服務器的負載，達到優(yōu)化系統(tǒng)性能的目的，集群服務器將眾多的訪問請求，分散到系統(tǒng)中的不同節(jié)點進行處理。高可靠性可以看作為系統(tǒng)的一種冗余設定。穩(wěn)定性是影響系統(tǒng)性能的眾多因素的一種有效的測量手段，包括機群系統(tǒng)所能支持的同時訪問系統(tǒng)的最大用戶數目以及處理一個請求所需要的時間。當你在瀏覽器中鍵入一個URL時（例如：），瀏覽器則將請求發(fā)送到DNS，要求其返回相應站點的IP地址，這被稱為DNS查詢。域名服務器（DNS）通常包含一個單一的IP地址與該IP地址所映射的站點的名稱的列表。為了利用DNS均衡服務器的負載，對于同一個站點來講，在DNS服務器中同時擁有幾個不同的IP地址。通過我們的例子可以更好的理解這一點，：　　　　　　　　　　在本例中，DNS服務器中包含下面的映射表：　　 　　 　　 　　當第一個請求到達DNS服務器時，；當第二個請求到達時，以此類推。利用上述的DNS Round Robin技術，對于某一個站點的所有請求將被平均的分配到及群中的機器上。DNS 輪流排程的優(yōu)勢DNS Round Robin的最大的優(yōu)點就是易于實現和代價低廉：代價低，易于建立。對于Web應用來說，不需要對代碼作任何的修改；事實上，Web應用本身并不會意識到負載均衡配置，即使在它面前。DNS 輪流排程的缺點這種基于軟件的負載均衡方法主要存在兩處不足，一是不實時支持服務期間的關聯，一是不具有高可靠性。服務器一致性是負載均衡系統(tǒng)所應具備的一種能力，通過它，系統(tǒng)可以根據會話信息是屬于服務器端的，還是底層數據庫級別的，繼而將用戶的請求導向相應的服務器。它是通過cookie、隱藏域、重寫URL三種方法中的一種來進行相似的判斷的。問題是，服務器的IP是被瀏覽器暫時存放在緩存中，一旦記錄過期，則需要重新建立連接，那么同一個用戶的請求很可能被不同的服務器進行處理，則先前的所有會話信息便會丟失。設想一個具有N個節(jié)點的集群。比較先進的路由器可以通過每隔一定的時間間隔，對節(jié)點檢查，如果有毀壞的節(jié)點，則將之從列表中去除的方法，解決這個問題。所以，盡管DNS輪流排程在一定程度上解決了負載均衡問題，但這種狀況的改變并不是十分樂觀和有效的。 Round robin (RRS)： 將工作平均的分配到服務器 (用于實際服務主機性能一致)216。用于實際服務主機性能一致。 Weighted round robin (WRRS)： 向較大容量的服務器分配較多的工作。 (用于實際服務主機性能不一致時)216。容量通過用戶指定的砝碼來說明，可以根據裝載信息動態(tài)的向上或向下調整。使用了負載均衡器集群系統(tǒng)，在外部看來，像是具有一個IP地址的單一服務器一樣，當然，這個IP地址是虛擬的，它映射了集群中的每一臺機器的地址。當請求到達負載均衡器時，它會重寫該請求的頭文件，并將之指定到集群中的機器上。而且，internet上緩存的DNS條目也不再是問題了。也就是說，客戶端操作的對象是負載均衡器，對于其更后端的操作，對客戶端來講，是完全透明的?；谒x出的這些信息，負載均衡器就可以重寫報頭并將請求發(fā)往集群中合適的節(jié)點上，該節(jié)點維護著相應客戶端請求的會話信息。當消息被加密后（SSL），負載均衡器就不能讀出隱藏在其中的會話信息。主要有兩種故障恢復：請求級故障恢復。當然，在導向到其他節(jié)點的同時，保存在原節(jié)點上的會話信息將會丟失。當一個引用失敗后，負載均衡器會將之發(fā)送到集群中其他的節(jié)點上，以完成操作，這一點對用戶來說是透明的。 統(tǒng)計計