软件技术与工程中心网络基础架构项目实施文档

1 软件技术与工程中心网络基础架构软件技术与工程中心网络基础架构 项目设计文档项目设计文档 广东科学技术职业学院 指导老师： 完成人员： 2 目录目录 1实施环境拓扑与说明实施环境拓扑与说明.4 2活动目录和网络基本架构的任务描述活动目录和网络基本架构的任务描述.6 2.1DNS 部署任务描述.6 2.2用户与计算机对象命名规范任务描述7 2.3“我的文档”的管理任务描述8 2.4用户配置文件管理任务描述8 2.5客户机软件的管理任务描述8 2.6打印服务的任务描述9 2.7文件服务器任务描述9 2.8网络安全任务描述9 2.8.1CA 的部署任务描述.9 2.8.2域密码安全策略任务描述9 2.8.3企业敏感数据保护任务描述10 2.8.4系统补丁更新任务描述10 2.8.5网络边界安全架构部署防火墙任务描述11 2.9维护设计任务描述12 2.9.1AD 的日常数据备份任务描述.12 2.9.2文件服务器日常备份任务描述12 3活动目录和网络基本架构的实施活动目录和网络基本架构的实施.13 3.1活动目录森林和域的实施13 3.2组织单元（OU）规划部署19 3.3DNS 转发器安装部署.22 3.4用户与计算机对象的创建和命名规范28 3.5“我的文档”的管理28 3.6用户配置文件管理33 3.7客户机软件的管理35 3.8打印服务的设计39 3.9文件服务器部署47 3.10网络安全设计59 3.10.1CA 的部署59 3.10.2CA 安装59 3.11企业敏感数据保护方案64 3.12域密码安全策略75 3.13WSUS 服务器系统补丁更新实现.76 3.14网络边界安全架构部署防火墙91 3.14.1DMZ 区搭建安装配置91 3.14.2TMG 安装92 3.14.3部署 TMG 防火墙.96 3.14.4针对域用户创建 Web 访问规则105 4维护设计维护设计.112 3 4.1AD 的日常数据备份.112 4.1.1安装 Windows Server Backup112 4.1.2备份113 4.2文件服务器日常备份123 4 1 实施环境拓扑与说明实施环境拓扑与说明 网络总体架构图 活动目录逻辑结构 根据软工中心的实际情况，为了实现方便和灵活统一的管理策略，我们将中 心的活动目录设计为单域架构，其活动目录逻辑架构如下图所示： 5 业业务务部部 成成员员服服务务器器 客客戶戶端端计计算算机机和和用用户户 文文件件/打打印印服服务务器器 电电子子邮邮件件服服务务器器 办办公公室室 工工程程部部研研发发部部客客户户端端计计算算机机 活动目录站点拓扑 由于软工中心的网络集中在同一办公楼内，各子网均由高速链路连接，所以 我们将该中心的活动目录物理架构只设一个站点。现在的服务器只有三台，分别 作为域控制器、文件服务器和邮件服务器，为避免活动目录服务的单点故障，建 议利用现有的一台普通计算机作为辅助域控制器。 默认站点 RGDC1RGDC2 活动目录物理架构如图如示 网段划分与 IP 的分配 实现 IP 地址自动化管理。服务器手动设置 IP 地址，客户端实现 DHCP 自动分 配 IP 地址。服务器地址有 ，，，客户端的 6 地址范围为：01-124，31-170，具体规划如下： 默认网关：54/24 计算机名称计算机名称角色角色IPIP 地址地址/FQDN/FQDN DNSDNS rgdc1 DC/DNS/DHCP/GC/CA 文件/打印服务器 /24 Rgdc2 /24 R Clients /24 C ISA-ras 防火墙/VPN 内网： 54/24 DMZ：54/24 外网：ISP 提供 DMZ（默认网关：54） 计算机名称计算机名称角色角色IPIP 地址地址 DNSDNS DMZ-WEB 外网 Web 服务器 /24 DMZ-DNS DNS 转发器 /24 2 活动目录和网络基本架构的活动目录和网络基本架构的任务描述任务描述 2.1DNSDNS 部署部署任务描述任务描述 7 为了保证用户对内网资源的正常访问，客户机上仍配置为使用企业内网的 DNS 服务器地址，另外需要在 DNS 服务器上设置转发器，将除了内部域名之外的 所有查询都转发到 DMZ 区域的 DNS 服务器上，让 DMZ 区域的 DNS 服务器帮内网客 户机完成域名解析。同时在内网 DNS 服务器删除根提示，以使其将除内部域之外 的所有域名解析转发到 DMZ 区域的 DNS 根服务器。 在 ISA Server 2004 只需要制定两条关于 DNS 查询转发的策略即可，一条是 允许内网 DNS 服务器与 DMZ 区域的 DNS 服务器的 DNS 协议进行通讯，另一条是允 许 DMZ 区域的 DNS 服务器与外部网络进行 DNS 协议通讯即可。 DMZ 安装 DNS 转发器 DNS 转发器新建两条转发策略，一条转发内网，一条转发外网； 在主域 DNS 服务器删除跟提示； 在主域 DNS 上新建转发器，把内部域名之外的所有查询都转发到 DMZ 区域 的 DNS 服务器上； 2.2用户与计算机对象命名规范用户与计算机对象命名规范任务描述任务描述 为方便管理，客户机命名按部门标识加编号的方式进行命名，如销售部的客 户机：sales01；对于服务器的命名则按照该服务器所承担的角色进行命名，如 果相同角色的服务器有多台还可加相应的编号，而对于不同地区相同角色的服务 器，还可以加上相应位置前缀进行标识。用户命名实行实名制，即以用户的真实 8 姓名的拼音作为用户账户，如果有重名可加部门或编号标示。 先制定全剧组和域本地组 根据部门的角色建立相关的用户和计算机名，并设置密码； 2.3“我的文档我的文档”的管理的管理任务描述任务描述 通过组策略将用户的“我的文档”进行重定向到域控制器上指定的磁盘中。 这样可以对用户的数据进行集中管理，并防止用户将数据丢失。 新建共享文件夹，并设置所有用户读取的权限； 新建组策略，并相关联起来； 编辑组策略，设置文件夹重定向； 客户机测试； 2.4用户配置文件管理用户配置文件管理任务描述任务描述 通过漫游用户配置文件将用户配置文件统一存储在域控制器上指定的磁盘中， 从而实现域用户无论在域内的任何一台计算机登录时，系统都采用本用户自己的 工作环境，方便用户使用自己习惯的桌面设置。 在文件服务器新建共享文件夹，设置相关用户共享权限 设置用户配置文件及文件路径 2.5客户机软件的管理客户机软件的管理任务描述任务描述 对于客户机都通用的软件通过组策略将软件指派给计算机，从而实现软件的 自动安装；对于某些用户特定需求的软件，我们通过组策略将软件发布给用户， 从而实现根据用户的需求进行软件安装及使用。所有客户计算机都必须安装 ISA 客户端软件。 新建远程共享文件，并赋予用户读取权限 给用户新建组策略，并关联上； 编辑组策略，在用户配置新建数据包； 分配相关程序数据包； 用户测试； 9 2.6打印服务的打印服务的任务描述任务描述 由于软工中心只有一台打印机设备，则在打印服务器上创建一台共享打印机， 并将该共享打印机发布到 AD 中,从而实现用户对打印服务器的快捷访问。 安装打印服务 创建相关组策略，把用户关联到已部署的打印机； 成员机测试； 2.7文件服务器文件服务器任务描述任务描述 在文件服务器下以部门名称为名规划多个共享文件夹，并赋予各部门的用户 组相对应的权限，为实现众多共享文件夹的统一管理，通过配置 Microsoft Windows Server 2003 文件服务器的分布式文件系统（DFS） ，将各部门的共享文 件夹都链接到 DFS 根目录下，这样可以对用户的数据进行集中管理，并防止用户 将数据丢失，同时方便用户访问，然后再通过启用卷影副本来对共享文件夹进行 版本管理。 安装配置文件服务器； 配置命名空间，在服务器和客户机分别创建共享文件夹； 使用复制文件向导把客户机文件夹复制到服务器； 测试 2.8网络安全网络安全任务描述任务描述 2.8.1CA 的部署任务描述 为确保数据静态存储安全，及保护数据在网络传输的安全性，预先在此网络 中部署企业 CA（命名为 rgca） ，为今后需要实现数据的安全保护做好铺垫。预先 配置密钥恢复代理和数据恢复代理。 CA 证书服务器安装； 在内网里选择安装企业根证书； 在 DMZ 区上选择安装独立根证书； 10 2.8.2域密码安全策略任务描述 软工中心需要通过组策略来管理中心内部工作人员的密码策略。具体策略设 置如下： 强制密码历史 2 最大密码时长 60 天 最小密码长度 7个字符 密码必须符合复杂性需求 可用 使用可逆加密算法存储密码 不可用 利用组策略配置密码策略 在帐号策略上设置密码要求 2.8.3企业敏感数据保护任务描述 假设软工中心每个部门都有自己比较敏感的数据需要通过 EFS 来加密保 护，每个部门需要有自己的数据恢复代理人；各部门的敏感数据统一保存在 文件服务器上，各部门在文件服务器上都有相应的文件夹来实现本部门敏感 数据的安全共享；为了防止数据的丢失，所有数据恢复代理人的私钥需要存 档。 请为每部门建立至少三个用户帐号，一个为数据恢复代理，两个普通 帐号，用以测试在远程文件服务器上实现的 EFS 加密文件的共享。 请为 EFS 加密文件安全地在客户机与文件服务器之间的安全传输提供 解决方案。 请测试数据恢复代理人的私钥是可恢复的。 新建文件夹，启用 EFS 加密内容 备份密匙； 申请导出个人证书； 设置数据恢复代理； 测试 11 2.8.4系统补丁更新任务描述 随着微软不断努力减少代码漏洞，软件更新也在不断进行并成为了企业系统 管理和安全战略的重要部分。有效的补丁更新方案可以给企业网络带来以下好处： 减少停机时间：系统遭受由于病毒或黑客攻击所造成的损害和死机的可 能性大大减少。 减少停机成本：网络管理员可以花更少的时间部署更新和更快地响应安 全事故。 增加了对知识产权的保护：机密的企业信息、商业秘密和个人数据将保 持更高的机密性。 通过部署 SUS，利用 SUS 实现统一软件更新方案，确保能对所有计算机及时 进行最新，以保护确保补丁更新的可控性，并优化网络流量。 条件准备，先安装 Web 服务器和应用程序服务器； 在 Web 服务器上添加 ASP.NET” 、 “Windows 身份验证” 、 “动态内容压缩” 和“IIS 6 管理兼容性” ； 安装 WSUS3.0； 配置网络连接，启动配置向导，直接从微软官方更新，选择一些必要的 服务； 配置更新时间与同步； 客户端配置，新建更新组策略； 编辑组策略，配置计算机自动从服务器更新，注意设置更新时间一定要 比服务器的更新时间慢； 配置计算机组，把用户计算机加入该组中； 审批和部署 WSUS 更新； 测试。 2.8.5网络边界安全架构部署防火墙任务描述 12 外外部部网网络络 D DM MZ Z 企企业业D DM MZ Z区区域域 服服务务器器 北北京京总总部部企企业业内内网网 按照计算机不同角色以及安全性要求，严格进行网络分区，把网络划分为受 信任的内部网络、不信任的外部网络、公共服务器 DMZ 网络，并根据不同区域的 不同安全需求，施行不同级别的安全保护措施。企业网络边界只有一个 Internet 出口，通过 ISA Server 防火墙将企业内网与外部网络隔离，及发布 DMZ 区域的 公共资源服务器。并通过严格的防火墙策略限制网络之间的访问行为。 防火墙的安装配置； TMG 防火墙部署，配置 3 向外围网络设置； 针对域用户创建 Web 访问规则； 2.9维护设计维护设计任务描述任务描述 2.9.1AD 的日常数据备份任务描述 在域控制器上开启计划任务，使用 NTBACKUP 工具对系统状态（包含注册表、 AD 数据库、SYSVOL 文件夹、COM+对象）进行备份，备份方式为星期一至星期五 的深夜进行增量备份，星期六或星期天进行一次完整备份（可根据需要自定） 。 将备份数据设定在其他的磁盘或者其他专门用于存放备份数据的机器上。 定期对 AD 数据库进行脱机碎片整理，回收数据库空闲的空间，增加磁盘空间， 提高 DC 性能。 安装 Windows Server Backup 启动 server backup 进行第一次完整备份，并设置备份路径，建议最好 备份到远程磁盘或者独立磁盘； 计划备份，根据时间的忙闲设置备份计划，选择增量备份； 13 2.9.2文件服务器日常备份任务描述 在文件服务器上开启计划任务，使用 NTBACKUP 工具对敏感的数据进行备份。 备份方式为星期一至星期五的深夜进行增量备份，星期六或星期天进行一次完整 备份（可根据需要自定） 。将备份的数据设定在指定的磁盘上。 定期清理文件服务器上的一些不必要的数据，以便回收空闲的空间，增加磁 盘空间。 在相关的磁盘启用卷影副本 设置计划备份 3 活动目录和网络基本架构的实施活动目录和网络基本架构的实施 3.1活动目录森林和域的实施活动目录森林和域的实施 域控制器的部署 在 rgdc1 上操作 创建域 1、勾选 Active Directory 域服务，然后一直点击下一步，然后点击安装 14 15 2、运行 dcpromo ，启动“Active Directory 安装向导” 。单击“下一步” ， 提示操作系统兼容性。在“域控制器类型”中，选择“新域的域控制器” 。 16 在“新的域名”中，输入如果 17 18 19 然后重启服务器 20 3.2组织单元（组织单元（OUOU）规划部署规划部署 业业务务部部 成成员员服服务务器器客客戶戶端端计计算算机机和和用用户户 文文件件服服务务器器 电电子子邮邮件件服服务务器器 办办公公室室工工程程部部研研发发部部 软工中心组织单元规划如上图所示 管理员在 rgdc1 上操作 “开始”-“管理工具”-“Active Directory 用户和计算机” ，展开 在 下创建“客户端计算机和用户”组织单元和 “成员服务器”两个组织单元。 21 22 在“部门计算机和用户”下建立各部门子 OU。在“各部门 OU 下分别创建 “计算机”和“用户”子 OU 来分别存放各部门客户端计算机和用户；在“成 员服务器”下建立各种服务器子 OU 来存放各种不同需求的成员服务器。主域 总体 OU 架构，如下图： 23 3.3DNSDNS 转发器安装部署转发器安装部署 1. （在 DMZ 计算机上完成）打开登录 DMZ 计算机，用户名：administrator 密码：Pssw0rd，服务器管理添加服务器，选择 DNS 服务器 24 2. 下一步，安装 25 3. 完成安装之后，打开管理器，配置转发器 26 4. 在左窗格中右键单击准备设置 DNS 转发器的 DNS 服务器名称,选择“属性” 命令， 5. 点击编辑，输入主域控制器 IP 地址（.）和外网的 ISP 提供的 DNS 地址 （假设外网的 DNS 地址） 27 6. 删除主域 DNS 管理台的根提示 7. 在主域 DNSrgdc1 计算机上，打开 DNS 管理器，右键属性 8. 删除根提示 28 9. 设置转发器，转发到 dmz 区的 dns 服务器，输入 ，确定 29 3.4用户与计算机对象的创建和命名规范用户与计算机对象的创建和命名规范 管理员在 rgdc1 上操作 用户的命名实行实名制，以用户的真实姓名的拼音作用用户帐户，如出 现重名情况则加上部门标示。 配置过程： 根据规划，制定以下全局组和域本地组 这里给出创建财务部用户 zhangsan 的一个例子，其它用户的创建也是同 样的方法。 在主域控制器上的“Active Directory 用户和计算机” ，展开 “” ，展开“部门计算机和用户”-“办公室”-“用户” ，创建过 程要为用户设置登陆密码。 3.5“我的文档我的文档”的管理的管理 管理员在 rgdc1 上操作 利用组策略中的文件夹重定向，可以将用户的某些特殊的文件夹的存储 30 位置，重定向到网络共享文件夹中，这些特殊的文件夹包括“文档” “桌面” “下载” 1、在 C 盘创建 共享文件夹 Filess 2、打开“组策略管理器” ，新建名称为“办公室组策略” 3、在办公室组策略右击编辑 31 4、文件夹重定向，可以设置需要重定向的特殊文件夹。 以桌面为例，展开“用户配置”“Window 设置选择”“文件夹重定 向”“桌面” ，右击点击属性。设置选择“基本” 。 32 5、点击浏览选择你要重点向的文件 33 要求填写路径为 UNC 路径， 34 6、在客服端机用 zhangsan 登录，创建一个文件夹右击查看路径 3.6用户配置文件管理用户配置文件管理 1.以管理员登录 rgdc1，创建一个名为“jaycq”的文件夹，用于漫游用户配 置文件存储位置； 2.右击“jaycq”的属性，点击“共享”-“高级共享”-“权限” ，给与 everyone“更改”和“读取的权限” 35 3、以管理员登录主域控制器，点击运行，输入“CMD” ，输入 dsquery user “dc=rgcenter,dc=cn“ | dsmod user -profile rgdc1jaycq$username$回车确定。 4.“开始”-“管理工具”-“Actve Directory 用户和计算机” ，展开 “”-“部门计算机和用户”-“办公室”-“用户” ，选择用户 zhangsan，右击选择“属性” ，点击“配置文件” 36 3.7客户机软件的管理客户机软件的管理 对于客户机都通用的软件通过组策略将软件指派给计算机，从而实现软件的 自动安装 1、在 rgdc1 上，创建一个共享文件，名为“soft” ，并赋予用户读取权限 37 2、 “开始”-“管理工具”-“组策略管理” ，展开“林：”-“域” -“”-“部门计算机和用户”-“办公室”-“用户” ，右击,创建 “办公室用户策略” 38 然后右击编辑 3、展开“计算机配置”-“用户配置”-“策略”-“软件设置” ，右键“软 件安装” ，选择“新建”-“数据包” 4、找到要发布的文件所在的位置 39 5、 右击“软件安装” ，选择“属性” ，在常规中，填写默认程序数据包位 置。 40 6. 在部署软件中，选择部署的方法“已分配” 3.8打印服务的设计打印服务的设计 由于软工中心只有一台打印机设备，则在打印服务器上创建一台共享打印机， 并将该共享打印机发布到 AD 中,从而实现用户对打印服务器的快捷访问。 1、在 rgdc1 上安装打印服务角色 41 42 2、在打印服务器上添加共享打印机： 43 3、在组策略管理器中创建相关的组策略对象（GPO） ，在计算机配置或用户配 置的已部署的打印机选项中添加需要部署的打印机； 44 4、新建打印策略 5、编辑策略 45 6、展开“用户配置”“策略”“Windows 设置”右击“已部署 的打印机” 7、浏览添加打印机 46 8、把 GPO 链执接到要部署的域或组织单元（OU）上就完成了打印机的部署 工作 47 把成员服务器也链接到打印服务策略上 9、zhangsan 用户登录测试 48 3.9文件服务器文件服务器部署部署 在文件服务器下以部门名称为名规划多个共享文件夹，并赋予各部门的用户 组相对应的权限，为实现众多共享文件夹的统一管理，通过配置 Windows Server 2008 文件服务器的分布式文件系统（DFS） ，将各部门的共享文件夹都链接到 DFS 根目录下，这样可以对用户的数据进行集中管理，并防止用户将数据丢失，同时 方便用户访问，然后再通过启用卷影副本来对共享文件夹进行版本管理。 1、在 rgdc1 上安装 49 50 用域管理员帐号在 rgdc2 和 Clients 机上操作 添加文件服务器角色，勾选 DFS 复制 51 2、配置 DFS 服务器 在 rgdc1 上点击管理工具DFS 管理控制台 在右面的操作控制台中选中新建命名空间 52 53 在 clients 和 rgcd2 上分别创建共享文件夹 ycq 54 在右面的操作控制台上选择新建文件夹 在名称处，起个名称，在文件夹目标处，点击添加分别把服务器 clients 和 rgcd2 的 ycq 文件夹添加进来，然后点击确定 点击否 55 56 ycq 文件夹存在在 file 中 在右面的控制台上点击复制文件夹 点击下一步 57 58 主要成员选择 clients，这里的意思就是说第一次复制先从 clients 里面的 文件复制到 rgdc2 上 59 60 在 clients 上创建几个文件夹 在 rgdc2 上就拿上复制过来 3.10 网络安全设计网络安全设计 3.10.1CA 的部署 为确保数据静态存储安全，及保护数据在网络传输的安全性，预先在此网络 中部署企业 CA（命名为 rgca） ，为今后需要实现数据的安全保护做好铺垫。预先 配置密钥恢复代理和数据恢复代理。 3.10.2CA 安装 打开登录主域控制器 1. 单击“开始”-“管理工具”-“服务器管理器”命令，打开“服务器 管理器”控制台，在左侧选择“角色” ，单击右侧区域“角色摘要”中 的“添加角色” ，打开添加角色向导。 2. 单击“下一步”按钮，在选择“服务器角色”界面中勾选“Active Diretory 证书服务”复选框. 3. 单击“下一步”按钮，出现“Active Diretory 证书服务简介”界面。 4. 单击“下一步”按钮，在选择“选择角色服务”界面，勾选“证书颁发 机构”和“证书颁发机构 Web 注册” 。 61 5. 单击“下一步”按钮,在“指定安装类型”中，选择“企业” 。 6. 单击“下一步”按钮，在“指定 CA 类型”中，选择“根 CA” 7. 单击“下一步”按钮，在“设置私钥”中，按默认选择“新建私钥” 8. 单击“下一步”按钮,在“为 CA 配置加密” ，按默认选择。 62 9. 单击“下一步”按钮，出现“配置 CA 名称” ，这里我们将“此 CA 的公 用名称”改为“rgdc1-CA” 。 10. 单击“下一步”按钮，出现“设置有效期” ，按默认“5 年”即可 11. 连续单击“下一步”按钮，出现“配置证书数据库” ，默认路径在 C 盘 下，我们将证书数据库改为 E 盘的带区卷。将证书数据库日志存放在 G 盘的镜像卷。 接下来连续单击“下一步”3 次按钮。安装即可 11. 单击“安装”按钮，即可完成安装。 63 12. CA 安装完成后，打开“证书颁发机构”可以看到 rgdc1 已成为证书服 务器在工作了 13. 同样，我们在 DNZ 区上部署独立证书服务器，其安装过程跟部署根证书 服务器大同小异，在安装类型选择“独立” 64 14. 配置 CA 名称时改为 dnz-CA 15. 其他的步骤跟上述步骤差不多，这里不再一一叙述了。 65 3.11 企业敏感数据保护方案企业敏感数据保护方案 在 C 盘建立一个文件夹 EFSFOLDER，并在这个文件夹下建立了一个文件 1.txt 一、EFS 的基本操作 右击文件夹 EFSFOLDER 点击高级 66 67 加密完成后，默认情况加密后的文件(文件夹）会彩色显示。 2、备份密钥 打开控制面版下的用户帐号，进行如下图操作，点击管理你的文件加密证书 68 69 70 71 运行 MMC，添加管理单元，选择“证书” ，选择我的用户帐号 选择“个人” “证书” 72 导出证书 73 74 3、设置数据恢复代理 单击“开始”“所有程序”“管理工具”“本地安全策略” 75 展开公钥 右击“加密文件” ，选择“添加数据恢复代理程序” 76 默认下一步，完成 注销后重新登录，就可以打开之前文件了，或者也可以先解密，然后再加密 3.12 域密码安全策略域密码安全策略 在域内，要限制用户的密码规则和长度，禁止用户使用简单的密码，强制用 户定期修改密码。在 Microsoft Active Directory 中设置这些策略时， Microsoft Windows 仅允许一个域帐户策略：应用于域树根域的帐户策略。域帐 77 户策略将成为属于该域的任何 Windows 系统的默认帐户策略，故而在默认组策 略设置密码策略。 点击“开始”“管理工具”“组策略管理” 右击 Default Domain Policy 编辑，在“计算机配置”“Windows 设置” “安全设置”“账户策略”“密码策略” ，配置启用“密码必须符 合复杂性要求” ， “密码长度最小值”为 7 个字符， “密码最短使用期限”为 1 天， “强制密码历史”为 2 个记住的密码，禁用“用可还原的加密来储存密码” ， 3.13 WSUSWSUS 服务器系统补丁更新实现服务器系统补丁更新实现 由于实验环境问题，我们在这里是使用 rgdc1 来完成 2. 在 rgdc1 服务器上配置更新服务器； 3. 打开 rgdc1 上打开服务器管理器选择 web 服务器和应用程序服务器 78 4. 默认下一步 5. 在选择角色服务页面，如下图再选择“ASP.NET” 、 “Windows 身份验证” 、 “动态内容压缩”和“IIS 6 管理兼容性” 。下一步 79 6. 成功安装 7. 安装 WSUS 服务器或管理控制台 80 运行安装 WSUS.exe 81 选择 包括管理控制台的完整服务器安装，按默认下一步 82 启动配置向导，去掉改善计划勾，勾选 从 microsoft update 进行同步 默认下一步 83 84 点击开始连接过程中要等一会 连接完成后，出现选择更新文件的语种，当然是中文了连接完成后，出现选择更新文件的语种，当然是中文了 85 选择产品：选择一些必要的如图 86 按默认选择分类 87 设置每天同步计划，选择下班后 0 点开始，开始初始同步 完成配置向导 88 配置客户端更新： 在主域 rgdc1 上，打开组策略管理，新建一条组策略：用于更新客户端： 右键编辑组策略 89 打开计算机配置策略管理模版Windows 组件Windows Update配置自动更新 将客户端计算机指向 WSUS 服务器：http:/rgdc1 90 配置计算机组，在 WSUS 服务器上创建客户端组（用于测试） 审批和部署更新，打开所有更新，右键审批 91 审批进度完成 92 3.14 网络边界安全架构网络边界安全架构部署防火墙部署防火墙 外外部部网网络络 D DM MZ Z 企企业业D DM MZ Z区区域域 服服务务器器 北北京京总总部部企企业业内内网网 按照计算机不同角色以及安全性要求，严格进行网络分区，把网络划分为受 信任的内部网络、不信任的外部网络、公共服务器 DMZ 网络，并根据不同区域的 不同安全需求，施行不同级别的安全保护措施。企业网络边界只有一个 Internet 出口，通过 ISA Server 防火墙将企业内网与外部网络隔离，及发布 DMZ 区域的 公共资源服务器。并通过严格的防火墙策略限制网络之间的访问行为。 3.14.1DMZ 区搭建安装配置 Forefront TMG 具备了 ISA Server 所提供的所有功能，除了代理服务器 提供共享上网、担任防火墙保护内部网络安全以及利用 Web 缓存增加访问速 度以外，还可以将局域网中的网络服务发布到 Internet，使外网用户也可以 通过 Internet 访问内网服务器。 93 3.14.2TMG 安装 1. 安装前，这里以部署总部的防火墙为例 2. 在“准备和安装”区域中单击“运行准备工具”链接，运行准备工具， 根据需要安装所需的功能。在“安装类型”对话框中，选择当前服务器 中 Forefront TMG 的安装类型，这里选择“Forefront TMG 服务和管理” 单选按钮。 94 3. 单击“下一步”按钮，准备工具开始检测并下载、安装所需的功能。安 装完成后，显示“准备就绪”对话框。单击“完成”按钮，启动安装向 导。在“许可协议”对话框中，选择“我接受许可协议中的条款”单选 按钮，接受许可协议。 95 4. 单击“下一步”按钮，在“客户信息”对话框中，输入客户信息以及产 品序列号；在“安装路径”对话框中设置 Forefront TMG 的安装路径。 5. 在“定义内部网络”对话框中，需要指定 Forefront TMG 内部网络中要 包括的地址范围。单击“添加”按钮，显示“地址”对话框。单击“添 加适配器”按钮，在“选择网络适配器”对话框中选择连接内网的本地 连接。 96 7. 安装完成后显示“安装向导完成”对话框，单击“完成”按钮，退出安 装向导，Forefront TMG 安装完成。 97 3.14.3部署 TMG 防火墙 1. 在完成安装向导后在会自动启动 TMG 防火墙管理，可以快速部署 Forefront TMG，包括配置网络设置、系统设置和定义部署选项，并可 配置 Web 访问策略。不过，在首次使用时必须先配置前一个向导，才可 配置下一个向导。 2. 下一步 98 3. 在网络设置向导页面上选择 3 向外围网络，下一步 99 4. 要配置为防火墙，必须指定内部网络和 DMZ 网络，外部网络。在“局域 网（Lan）设置”对话框中，在“连接到 Lan 的网络适配器”下拉列表 框中选择连接局域网的网络连接依次添加 LAN 网络适配器，Internet 网络适配器和外围网络的网络是适配器，检查好 IP 地址下一步 100 101 5. 完成网络向导 6. 选择“配置系统设置” ，启动“入门 - 系统配置向导”对话框。在 “主机标识”对话框，确认计算机名 102 103 7. 在“定义部署选项” ，选择检查更新，默认下一步按直至完成。 104 105 106 3.14.4针对域用户创建 Web 访问规则 1. 利用 TMG 2010 创建 Web 访问规则 2. 完成上述安装配置后会自动运行“运行 Web 访问向导”对话框，利用该 向导即可创建 Internet 连接共享策略，并可设置阻止访问的 W