




已阅读5页,还剩7页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
软件技术与工程中心网络基础架构软件技术与工程中心网络基础架构 项目设计文档项目设计文档 广东科学技术职业学院 指导老师: 完成人员: 目录目录 1.项目设计整体概述项目设计整体概述.3 1.1项目建设目标.3 1.2项目设计主要原则.3 2.软工中心软工中心 IT 系统总体设计系统总体设计.4 2.1网络总体架构图 .4 2.2活动目录和网络基本架构的设计4 2.2.1活动目录森林和域结构.4 2.2.2组织单元(OU)规划.5 2.2.3活动目录站点拓扑.6 2.2.4网段划分与 IP 的分配.7 2.2.5DNS 部署方案.7 2.2.6用户与计算机对象命名规范.8 2.2.7“我的文档”的管理8 2.2.8用户配置文件管理.9 2.2.9客户机软件的管理.9 2.3打印服务的设计 .9 2.4文件服务器设计 .9 2.5网络安全设计 .9 2.5.1CA 的部署 9 2.5.2域密码安全策略 10 2.5.3企业敏感数据保护方案.10 2.5.4系统补丁更新方案 10 2.5.5网络边界安全架构 11 2.6维护设计.11 2.6.1AD 的日常数据备份11 2.6.2文件服务器日常备份11 1. 项目设计整体概述项目设计整体概述 1.1项目建设目标项目建设目标 根据软工中心的总体需求,将这些分散的 IT 基础结构整合成一个企业级网 络,利用活动目录技术等以改进企业目前 IT 管理所面临的问题。 整合现有的 IT 环境中的资源,将 IT 环境的管理由松散方式变为集中管理 的方式,减轻日常管理维护负担,提升 IT 生产力。从最终用户来说,如何能够 实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间,提 高系统服务器安全,利用 2008 域环境使用新特性。 对架构、组成员身份、Active Directory 复制及策略的更改。 提高 整个网络资源的可管理性,增强网络的整体安全性。 1.2项目设计主要原则项目设计主要原则 要实现规划设计时在满足需求,提供可扩展性,稳定性,保证网路的可靠 性和安全性。具体的来讲,在进行设计的时候遵循以下原则: 稳定性:稳定性:采用经国内国外实践证明是实用的、成功的网络技术、网络产品。 先进性:先进性:采用目前先进的网络技术和产品,以适应公司发展的需要。 通用性:通用性:网络系统中的硬件或软件模块能根据实际情况,进行各种组合和 灵活的配置,以适应技术的发展和业务需求的变化。 平滑升级和投资保护平滑升级和投资保护:系统可根据功能和规模的发展进行平滑升级到未来 的新技术和新功能以保护客户的投资、可靠、经济、力争最佳性价比。 可靠性:可靠性:根据实际应用需要,可考虑采用高可靠性的设备和必要的容错措 施(如:硬件容错,软件容错、系统容错) 。 开放性和标准化开放性和标准化:系统设计中优先采用有关的国际标准、国家标准、主流 的行业标准和规范,以保障网络的开放性。 可管理性:可管理性:网络应具有网络管理设施,以实现配置管理、性能管理、故障 管理、统计管理、安全管理等五个方面的网管功能。 安全性:安全性:根据业务安全性的实际需要,应采用切实可行的安全措施。 可用性:可用性:网络应满足峰值业务需求,保证在 3-5 年内的可用性,并具有很 好的可维护性。 随着网络结构不断调整及发展,势必会积累一些安全及运行的隐患,要及 时的发现及消除,这不仅需要购买专业的维护保养服务和相关硬件,还需要专 业的网络系统工程师去判断及处理。通过设备和管理双结合,保障系统安全、 稳定的运行,将系统停机时间减少到最少,保护公司数据安全。 2. 软工中心软工中心 IT 系统总体设计系统总体设计 2.12.1网络总体架构图网络总体架构图 2.22.2活动目录和网络基本架构的设计活动目录和网络基本架构的设计 2.2.1活动目录森林和域结构 根据软工中心的实际情况,为了实现方便和灵活统一的管理策略,我们将 中心的活动目录设计为单域架构,其活动目录逻辑架构如下图所示: 业业务务部部 成成员员服服务务器器 客客戶戶端端计计算算机机和和用用户户 文文件件/打打印印服服务务器器 电电子子邮邮件件服服务务器器 办办公公室室 工工程程部部研研发发部部客客户户端端计计算算机机 2.2.2组织单元(OU)规划 为方便对企业域用户和计算机进行管理,利用“客户端计算机与用户”组 织单元来组织所有的客户机和用户,在其下再建立各部门 OU,用来组织本部门 的客户端计算机和用户;另外,建立“成员服务器”组织单元来组织所有成员 服务器,并在其下建立子 OU 来存放各种不同角色的成员服务器。 业业务务部部 成成员员服服务务器器客客戶戶端端计计算算机机和和用用户户 文文件件服服务务器器 电电子子邮邮件件服服务务器器 办办公公室室工工程程部部研研发发部部 软工中心组织单元规划如上图所示 2.2.3活动目录站点拓扑 由于软工中心的网络集中在同一办公楼内,各子网均由高速链路连接,所 以我们将该中心的活动目录物理架构只设一个站点。现在的服务器只有三台, 分别作为域控制器、文件服务器和邮件服务器,为避免活动目录服务的单点故 障,建议利用现有的一台普通计算机作为辅助域控制器。 默认站点 RGDC1RGDC2 活动目录物理架构如图如示 2.2.4网段划分与 IP 的分配 实现 IP 地址自动化管理。服务器手动设置 IP 地址,客户端实现 DHCP 自动 分配 IP 地址。服务器地址有 ,,,客户 端的地址范围为:01-124,31-170,具体规划如下: 默认网关:54/24 计算机名称计算机名称角色角色IPIP 地址地址/FQDN/FQDN DNSDNS rgdc1 DC/DNS/DHCP/GC/CA 文件/打印服务器 /24 rgdc2 /24 R Clients /24 ISA-ras 防火墙 /WSUS/TMG 内网: 54/24 DMZ: 54/24 外网:ISP 提供 DMZ(默认网关:54) 计算机计算机 名称名称 角色角色IPIP 地址地址 DNSDNS DMZ- DNS 转 发器 /24 2.2.5DNS 部署方案 当用户使用企业内部计算机访问公网各种服务时,需要有 DNS 服务器进行 域名解析,如果让内网机器直接使用公网 DNS 服务器进行解析,这样不仅存在 一定的安全风险而且也给访问域内服务器的解析带来麻烦,所以为内部计算机 实现如下安全的 DNS 解析方案: 为了保证用户对内网资源的正常访问,客户机上仍配置为使用企业内网的 DNS 服务器地址,另外需要在 DNS 服务器上设置转发器,将除了内部域名之外 的所有查询都转发到 DMZ 区域的 DNS 服务器上,让 DMZ 区域的 DNS 服务器帮内 网客户机完成域名解析。同时在内网 DNS 服务器删除根提示,以使其将除内部 域之外的所有域名解析转发到 DMZ 区域的 DNS 根服务器。 在 ISA Server 2006 只需要制定两条关于 DNS 查询转发的策略即可,一条 是允许内网 DNS 服务器与 DMZ 区域的 DNS 服务器的 DNS 协议进行通讯,另一条 是允许 DMZ 区域的 DNS 服务器与外部网络进行 DNS 协议通讯即可。 2.2.6用户与计算机对象命名规范 为方便管理,客户机命名按部门标识加编号的方式进行命名,如销售部的 客户机:sales01;对于服务器的命名则按照该服务器所承担的角色进行命名, 如果相同角色的服务器有多台还可加相应的编号,而对于不同地区相同角色的 服务器,还可以加上相应位置前缀进行标识。用户命名实行实名制,即以用户 的真实姓名的拼音作为用户账户,如果有重名可加部门或编号标示。 2.2.7“我的文档”的管理 通过组策略将用户的“我的文档”进行重定向到域控制器上指定的磁盘中。 这样可以对用户的数据进行集中管理,并防止用户将数据丢失。 2.2.8用户配置文件管理 通过漫游用户配置文件将用户配置文件统一存储在域控制器上指定的磁盘 中,从而实现域用户无论在域内的任何一台计算机登录时,系统都采用本用户 自己的工作环境,方便用户使用自己习惯的桌面设置。 2.2.9客户机软件的管理 对于客户机都通用的软件通过组策略将软件指派给计算机,从而实现软件 的自动安装;对于某些用户特定需求的软件,我们通过组策略将软件发布给用 户,从而实现根据用户的需求进行软件安装及使用。所有客户计算机都必须安 装 ISA 客户端软件。 2.32.3打印服务的设计打印服务的设计 由于软工中心只有一台打印机设备,则在打印服务器上创建一台共享打印 机,并将该共享打印机发布到 AD 中,从而实现用户对打印服务器的快捷访问。 2.42.4文件服务器设计文件服务器设计 在文件服务器下以部门名称为名规划多个共享文件夹,并赋予各部门的用 户组相对应的权限,为实现众多共享文件夹的统一管理,通过配置 Microsoft Windows Server 2008 文件服务器的分布式文件系统(DFS) ,将各部门的共享 文件夹都链接到 DFS 根目录下,这样可以对用户的数据进行集中管理,并防止 用户将数据丢失,同时方便用户访问,然后再通过启用卷影副本来对共享文件 夹进行版本管理。 2.52.5网络安全设计网络安全设计 2.5.1CA 的部署 为确保数据静态存储安全,及保护数据在网络传输的安全性,预先在此网 络中部署企业 CA(命名为 rgca) ,为今后需要实现数据的安全保护做好铺垫。 预先配置密钥恢复代理和数据恢复代理。 2.5.2域密码安全策略 软工中心需要通过组策略来管理中心内部工作人员的密码策略。具体策略 设置如下: 强制密码历史 2 最大密码时长 60 天 最小密码长度 7个字符 密码必须符合复杂性需求 可用 使用可逆加密算法存储密码 不可用 2.5.3企业敏感数据保护方案 假设软工中心每个部门都有自己比较敏感的数据需要通过 EFS 来加密保 护,每个部门需要有自己的数据恢复代理人;各部门的敏感数据统一保存 在文件服务器上,各部门在文件服务器上都有相应的文件夹来实现本部门 敏感数据的安全共享;为了防止数据的丢失,所有数据恢复代理人的私钥 需要存档。 i.请为每部门建立至少三个用户帐号,一个为数据恢复代理,两个普 通帐号,用以测试在远程文件服务器上实现的 EFS 加密文件的共享。 ii.请为 EFS 加密文件安全地在客户机与文件服务器之间的安全传输提 供解决方案。 iii.请测试数据恢复代理人的私钥是可恢复的。 2.5.4系统补丁更新方案 随着微软不断努力减少代码漏洞,软件更新也在不断进行并成为了企业系 统管理和安全战略的重要部分。有效的补丁更新方案可以给企业网络带来以下 好处: 减少停机时间:系统遭受由于病毒或黑客攻击所造成的损害和死机的可 能性大大减少。 减少停机成本:网络管理员可以花更少的时间部署更新和更快地响应安 全事故。 增加了对知识产权的保护:机密的企业信息、商业秘密和个人数据将保 持更高的机密性。 通过部署 WSUS,利用 WSUS 实现统一软件更新方案,确保能对所有计算机及 时进行最新,以保护确保补丁更新的可控性,并优化网络流量。 2.5.5网络边界安全架构 外外部部网网络络 D DM MZ Z 企企业业D DM MZ Z区区域域 服服务务器器 北北京京总总部部企企业业内内网网 按照计算机不同角色以及安全性要求,严格进行网络分区,把网络划分为 受信任的内部网络、不信任的外部网络、公共服务器 DMZ 网络,并根据不同区 域的不同安全需求,施行不同级别的安全保护措施。企业网络边界只有一个 Internet 出口,通过 ISA Server 防火墙将企业内网与外部网络隔离,及发布 DMZ 区域的公共资源服务器。并通过严格的防火墙策略限制网络之间的访问行 为。 2.62.6维护设计维护设计 2.6.1AD 的日常数据备份 使用 2008 新功能 Windows Server Backup 来进行计划备份,创建第一个 完整备份
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 临床护理防跌倒宣教
- 安徽省黄山市祁门县2023-2024学年高三下学期高考第一模拟考试(一模)语文考试题目及答案
- 安徽省蚌埠市禹会区2024-2025学年高一下学期第二次月考地理试题含参考答案
- 2025 年小升初阳江市初一新生分班考试语文试卷(带答案解析)-(部编版)
- 2025 年小升初临汾市初一新生分班考试数学试卷(带答案解析)-(北师大版)
- 统编版五年级语文上册第四单元拔尖测评卷(含答案)
- 北师大版五年级上册数学第七单元 可能性 检测卷(无答案)
- 景观雕塑服务合同范本
- 维修合同范本简单版
- 租门市押金合同范本
- 2020公路工程质量检验评定标准第二册机电工程
- 小儿腹泻护理查房
- GB/T 42653-2023玻璃高温黏度试验方法
- 代持股权挂名法人协议书
- 2017年人教版英语五年级上册说教材
- 普通化学(第五版)浙江大学普通化学教研组P课件
- 医疗保障法律法规行政处罚司法审视及建议PPT学习培训课件
- GB/T 9999.2-2018中国标准连续出版物号第2部分:ISSN
- GB/T 6543-2008运输包装用单瓦楞纸箱和双瓦楞纸箱
- GB 19522-2004车辆驾驶人员血液、呼气酒精含量阈值与检验
- GB 10238-1998油井水泥
评论
0/150
提交评论