企业IT核心基础结构规划

1、 HYPERLINK / HYPERLINK / 更多企业学院： 中小企业治理全能版183套讲座+89700份资料总经理、高层治理49套讲座+16388份资料中层治理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各时期职员培训学院77套讲座+ 324份资料职员治理企业学院67套讲座+ 8720份资料工厂生产治理学院52套讲座+ 13920份资料财务治理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料企业IT核心基础结构规划企业从小进展壮大，IT系统不断的丰富，IT网络环境不断

2、复杂，硬件设备越来越多，潜在的故障点也越来越多。当企业在经营到一定规模后，往往会引入多种沟通平台与治理系统，以便提高公司的运作效率。例如：FTP、BBS、VPN、OA、ERP等等多套应用系统同时在企业内部运行。特不是关于设计类型公司而言，PC的故障与数据的损坏，会带来巨大的损失。故企业IT核心基础结构规划对企业的长远进展，企业文化，企业品牌建设都有特不重要的意义。现时期我们企业的特征：现时期我们企业计算机用户的数量不足50客户端。企业IT 维护时刻间隔为一周（响应时刻较长）。企业用户 IT 技能专门有限，企业所有者的 IT 技能也专门有限。企业用户区域既有远程用户，又有本地用户，这些用户关于服

3、务需要拥有不同的访问权限。现时期我们企业的不足之处：IT预算有限。缺少紧急突发性故障IT维护人员。设计业务支持优先于IT技术服务。未对企业IT核心基础结构进行过规划。规划方案的目标：提高职员的IT能力。功能丰富的电子邮件和消息协作工具。共享传真服务，实现PC收发传真。文件共享和打印服务功能。实现远程访问机制。团队站点协作的实现。架设安全的无线网络连接。可靠且可伸缩的存储。存储数据实现备份与爱护。IT资料信息有序分类归档。IT资源设备最大限度地降低成本。规划方案的具体实施：定期对职员进行较简单的IT培训。确保可靠的局域网（LAN）连接，保障电子邮件和消息传递通畅。架设WinFax传真系统平台，在

4、局域网中实现多用户软件收发传真。使用Microsoft Windows Server 2003，架设文件及打印服务主机。架设VPN虚拟专用网络、及FTP服务进行文件的高速双向传输。开通企业内部网站、及BBS论坛，引入泛微协同治理平台（E-COLOGY）。使用多个无线路由器架设公司无线网络。使用硬件 RAID（独立磁盘冗余阵列）技术来配置企业环境中的服务器。建立完善的打算备份方案。配置Microsoft Active Directory集成环境，并定期分类整理企业IT资料信息，去除过时、重复等无价值资源，幸免存储空间白费。创建高效的IT架构、整合数据信息、将服务器虚拟化而不购买更昂贵的新服务器。

5、 企业IT核心基础结构规划体系 企业将依靠 IT 来提供增加业务能力和服务，IT 能够潜在地提高业务能力，使得企业能够：获得新的客户和合作伙伴。更快、更有效的提高设计能力。更有效地为现有公司人员和客户服务。通常企业的 IT环境从一个简单的 IT 服务开始，那个服务一般旨在满足特定的当前业务需要，例如传真、电子邮件、相关应用程序或办公室的远程连接。随着时刻的推移，由于新需求的出现，新的 IT 服务会无规划地添加到那个环境中。如此创建的 IT 环境在技术上种类烦杂、难以支持和运行，同时难以使用，因此给 IT 维护人员和最终用户都带来额外的负担。采纳具有标准化 IT 基础结构的 IT 环境，这是一种

6、运用 IT 为企业制造价值的具成本效益的方法。企业IT核心基础结构规划将关心企业构建此类 IT 环境。采纳企业IT核心基础结构规划将带来下列好处：可预测的环境：企业IT核心基础结构规划提供了清晰的基础结构，它是依照 Microsoft的建议来构建的。这些建议来源于国外多年的经验教训。能够采纳更新的复杂技术：采纳企业IT核心基础结构规划能够降低 IT 维护人员在部署新技术时的实施和操作风险，从而节约了时刻，减少了工作量。集成的解决方案：企业用户能够通过基于 Microsoft Windows Server System 技术的标准化体系结构，获得可扩展的平台，使其随着业务的增长而增长。在需要时，

7、也能够实现其他 IT 服务。在规划 IT 环境时，需要考虑下列规划目标：安全性：提供一个安全的计算基础结构和简化的过程来保持环境的安全。可靠性：提供一个基于 Microsoft技术的可靠基础结构。可治理性：提供一个容易监视和维护的基础结构，不需要专家级知识。成本最低：关心降低 IT 基础结构、软件和治理的成本。简单性：由于 IT 本身十分复杂，因此那个规划方案应该容易实现、治理和监视。可支持性：为了简化和减轻 IT维护人员的负担，那个环境必须实施 Microsoft推举的最佳操作。这些最佳操作来源于多年的经验教训。每个 IT 服务都应该设计为提供高可用性。然而为了降低成本，应该只考虑为核心基础

8、结构服务设置冗余。 核心基础结构 企业要求 IT 基础结构提供所需服务，使得职员能够完成工作，并与客户和合作伙伴进行交流。所有的一切都需要一个核心基础结构，用来承载或支持差不多服务，例如打印、消息传递和协作。下表列出了核心基础结构必须提供的一组服务。服务描述所满足的业务需求物理网络局域网 (LAN)：为客户端计算机提供到本地网络的有线和无线连接。Internet 连接：将局域网中的计算机连接到 Internet。远程连接：为远程用户和分公司到总公司的远程连接。总公司和分公司的用户需要一种方法来访问 LAN 和 Internet 中的各种资源。远程用户和分公司用户也需要访问总公司的资源。网络服务

9、DNS 和 WINS：提供名称解析。DHCP：为客户端计算机分配 IP 地址和 IP 配置。连接到 LAN 的计算机需要自动进行配置。目录服务Active Directory：提供 IT 环境中可用资源的目录列表，并提供安全访问这些资源的身份验证和授权。治理员在授予用户访问网络资源（例如文件、打印机和 Internet）的权限之前，需要对他们进行确认和身份验证。安全的 Internet 连接FireWall：提供防火墙及其他特性，例如应用程序层筛选、入侵侦测、Web 缓存的功能。用户需要能够安全地访问 Internet 来开展业务，例如交换电子邮件、扫瞄 Web 站点、远程访问总公司的资源等等

10、。另外，内部网络还需要拥有防备机制，抵御来自 Internet 的威胁。文件服务文件服务：实现用户间的文件和文件夹共享。存储服务：为用户提供可靠的存储。为了防止数据丢失，用户需要可靠、安全的存储空间，并应定期进行备份。需要存储的数据量正在快速增加。治理员需要一个中央数据存储库。表 - 核心基础结构提供的服务 服务布局拓扑 差不多配置拓扑：在那个拓扑结构中，大部分服务被合并到三台服务器中，实现一个具成本效益且易治理的 IT 基础结构，同时还能将安全性和性能维持在理想的水平。下图展示了那个配置的逻辑示意图：图 .差不多配置下表列出了服务器上所承载的服务：服务器提供的服务主基础结构服务器 网络服务（

11、DNS、DHCP 和 WINS）。 目录服务 (Active Directory)。 备份和还原服务。 防病毒。 补丁治理 (SUS)。辅助基础结构服务器 文件和存储服务。 协作服务。 终端服务器。 传真服务。 扫描服务。 打印服务。防火墙服务器 防火墙和代理。 VPN。 应用程序层筛选。 Web 缓存。 入侵侦测。表 - 差不多配置中的服务布局增强的差不多配置拓扑：企业需要为职员提供文件和存储服务，使他们能够开展工作。这关于差不多配置的更改确实是使用同样的三台服务器和一个基于 Windows Storage Server 2003 的网络附加存储设备，使用后者来提供文件、打印和存储服务。下图

12、展示了那个配置的逻辑示意图：图 . 增强的差不多配置下表列出了服务器上所承载的服务：服务器提供的服务主基础结构服务器 网络服务（DNS、DHCP 和 WINS）。 目录服务 (Active Directory)。 备份和还原服务。 防病毒。 补丁治理 (SUS)。辅助基础结构服务器 协作服务。 终端服务器。防火墙服务器 防火墙和代理。 VPN。 应用程序层筛选。 Web 缓存。 入侵侦测。基于 Windows Storage Server 2003 的网络连接存储设备 文件和存储服务。 传真服务。 扫描服务。 打印服务。表 - 增强型差不多配置中的服务布局将文件和打印服务承载在基于 Windo

13、ws Storage Server 2003网络附加存储设备上的目的： 集中存储：将存储资源合并到一个集中的位置 治理：集中存储使得备份和治理更为方便。 性能：减少主基础结构服务器上的工作负荷。 可伸缩性：提供满足公司增长需要的可伸缩文件服务。典型配置拓扑：典型配置使得企业能够在专用硬件上运行关键的程序软件。从而满足现有和今后的存储要求，并实现高性能及增强的安全性。下图展示了那个配置的逻辑示意图：图 . 典型配置下表列出了服务器上所承载的服务：服务器提供的服务主基础结构服务器 网络服务（DNS、DHCP 和 WINS）。 目录服务 (Active Directory)。 防病毒。 补丁治理 (

14、SUS)。辅助基础结构服务器 为Active Directory 服务作冗余服务。 备份和还原服务。防火墙服务器 防火墙和代理。 VPN。 应用程序层筛选。 Web 缓存。 入侵侦测。基于 Windows Storage Server 2003 的网络连接存储设备 文件和存储服务。 打印服务。 传真服务。 扫描服务。协作服务器 消息传递服务。 协作服务。终端服务器 为远程用户提供其他应用程序。表 - 典型配置中的服务布局这种典型的配置拓扑能够为企业提供下列优势： 提供高度可伸缩的、安全的且面向性能的服务。 辅助服务不承载在基础结构服务器、域操纵器上。这降低了 IT 环境的安全风险。 提供集中的

15、存储，这使得数据的备份和治理更为简单。 由于大部分数据存储在同一台服务器上，而不在网络中传递，因此备份和还原服务能够提供增强的 性能和安全性。 这种服务布局适合下列情况的企业： 存储要求高，应该能够扩展以满足今后的增长。 专门多远程用户同时访问终端服务器上的多个应用程序。 能够增加成本来满足可用性、安全性和性能要求。企业核心基础结构规划方案提供了可用于在企业 IT 环境中规划、构建、部署和操作核心基础结构的指南。核心基础结构是 IT 基础结构的一部分，是实现直接满足公司商业要求的众多服务的前提条件。下面的各个组件组成了企业核心基础结构规划方案中所讨论的核心基础结构：物理网络。网络服务。目录服务

16、。安全的 Internet 连接。文件服务。 物理网络设计 物理网络为网络设备提供了一个相互连接和通讯的媒介。这些设备包括台式计算机、便携式计算机、便携式设备、网络打印机、服务器和路由器等。在企业 (IT) 环境中，物理网络由下列元素组成： 局域网 (LAN)：LAN 能够是有线的、无线的，或是两者的组合，它为所有连接到局域网的设备提 供了一个通讯的媒介。必须在总公司和每个分公司都部署一个 LAN。 有线和无线 LAN 分不能够定义为： 有线网络：有线网络使得设备能够通过电缆连接到 LAN。这种基础结构包括了穿过办公室 的电缆，设备连接所用的网络端口以及交换机。 无线网络：无线网络基础结构由无

17、线访问点组成，这些无线访问点使得无线设备能够连接到 LAN。 Internet 连接：Internet 连接体系结构包括路由器（或调制解调器）和到 Internet 服务提供商 (ISP) 的连接。使用方案：物理网络是所有网络环境的基础。它必须是可靠、有效且安全的。 选择用于总公司和分公司的合适网络设备及电缆，以实现到 LAN 的有线连接。 规划网络布局，这包括网络设备、有线端口以及电缆的布局。 选择合适的位置来放置无线访问点。 选择最适合企业的 Internet 连接类型。 选择多用途设备，爱护分公司免受来自 Internet 的威胁，并使得分公司的计算机能够通过 Internet 连接到总

18、公司的 LAN。 初始状态环境：大部分企业差不多在他们的 IT 环境中部署了某种类型的物理网络。在环境中可能存在多种方案。下面是这些方案中可能存在的一些常见特征： 使用集线器的过时 LAN，所制造的连接不可靠、性能低，且安全性不如交换机。集线器可能导致 LAN 用户的性能瓶颈。 网络设备布局糟糕，例如交换机层叠。 网络布线系统设计糟糕、实施错误，可能会导致经常的物理连接中断和大量数据包丢失，从而导致 LAN 不可靠。 LAN 无法支持由于设备和占用网络带宽的应用程序的数量增加而导致的流量增加。 无线网络使用无法满足所需网络安全级不的无线访问点。 Internet 连接（例如拨号或电缆）速度缓慢

19、，无法满足公司要求。 总公司和分公司之间的连接使用调制解调器池和远程访问服务器，因此十分昂贵同时难以治理。 结束状态环境： 正确设计的 LAN，能够提供优化的网络性能，能够支持 LAN 用户目前和今后的带宽要求，并实 现了安全的无线网络。 满足企业要求的 Internet 连接。 总公司和分公司之间的连接快速、安全、畅通。益处： 有线网络：提供 LAN 中各种设备间的高速连接。现在专门多应用程序都要占用大量网络资源，特不 是在拥有集中存储和应用程序的企业中尤为如此。有线网络是连接服务器、无线设备和防火墙的基 础。 无线网络：为使用便携式计算机或移动设备的用户提供移动性。这提高了用户生产力。因为

20、在办公 室的任何地点用户都能够访问到重要的信息，这关于在会议室参加会议的用户特不有用。另外，无 线网络还不需要布线和维护物理网络电缆的成本。无线访问点价格廉价，而且大部分新的便携式计 算机、个人数字助理 (PDA) 和 Tablet PC 都有内置的无线网络适配器。无线网络也能够提供灵活 的网络，因为具有无线网络适配器的设备能够放置在办公室中的任何位置。 Internet 连接：Internet 关心企业连接到世界各地，开展业务。它使得职员能够在家中或旅途中访问 业务数据，从而提高办公室内外的生产力。Internet 也能够用来将分公司办公室连接到总公司。方案规划： 提供可靠、高效和具成本效益

21、的 LAN，满足企业当前和今后的需要。这些需要包括： 能够为日益增加的设备提供连接。 能够处理日益增加的流量负荷。 提供有线和无线连接。 减少现有网络中的网络拥堵情况，从而提高网络性能，减少网络停机时刻。 提供满足企业带宽和可靠性要求的 Interent 连接，同时具成本效益。 使得分公司能够通过 Internet 连接到总公司。下图展示了一个典型的企业 IT 环境，并突出了其中组成 LAN 的部分：图 . 企业 IT 基础结构的网络设计规划物理网络设计包括下列工作： 信息收集 LAN 设计 Internet 连接设计 分公司网络设计 材料清单信息收集： 企业中网络用户的总数。 分公司办公室数

22、量。 楼层数量，每个办公地点每层楼的面积和布局。 每个办公地点每层楼上网络用户的分布。 所用的客户端服务器和桌面应用程序类型。假如使用占用大量带宽的客户端-服务器应用程序，那么企业应该建立千兆 LAN 主干网，以提供更好的网络性能。 Internet 对公司的关键性；取决于企业是否使用 Internet 来开展业务。 可同意的内部网和 Internet 停机时刻。 环境中所用网络设备的类型，包括服务器、台式计算机、交换机、路由器和无线设备。 企业是否同意家庭和移动用户进行远程访问，是否与商业合作伙伴交换文档。 总公司和分公司之间可能的网络流量。假如总公司和分公司间交换的数据量专门大，那么可能需

23、要将广域网 (WAN) 连接类型从通过 Internet 的宽带访问改为点对点连接。 网络安全对企业的关键性。局域网 (LAN) 设计： 选择 LAN 类型 设计有线网络 设计无线网络设计有线网络： 选择网络交换设备，这包括： 使用集线器依旧交换机。 所用的交换机类型。 每台交换机所拥有的端口数。 交换机端口所应该支持的数据传输速率。 每台交换机应该拥有的连接器类型。 选择用于连接不同设备的网络布线类型。 设计网络布局，包括： 连接设备所需的有线端口数量。 所需的交换机数量。 在多个楼层上安装网络交换机的合适位置。 网络电缆布局，这包括： 在每个楼层需要多少网络点。 哪些交换机和设备需要使用高

24、速上行连接。建议：企业IT核心基础结构解决方案建议在总公司和分公司都使用高速 (100 Mbps) 和千兆 (1 Gbps) 以太网 LAN 的组合，因为这是一种易实现、具成本效益且流行的选择方案。 网络和目录服务 网络和目录服务提供了IT 环境中运行所有其他服务的基础。稳定可靠的 IP 地址治理、名称解析、身份验证和授权有助于防止在其他服务出现系统性问题。网络和目录服务包括： 核心网络服务： 核心网络服务包括： 域名系统 (DNS)： 将 DNS 名称解析为 IP 地址。 动态主机配置协议 (DHCP)： 自动配置客户端上的网络设置，有助于客户端的 IP 地址和网络 配置的治理。 Windo

25、ws Internet 名称服务 (WINS)：将 NetBIOS 名称解析为 IP 地址。 目录服务： 验证试图访问资源的用户和计算机。 证书服务： 为创建和治理在公钥技术的软件安全系统中使用的公钥证书提供服务。 远程身份验证拨入用户服务 (RADIUS)： RADIUS 是一项 Internet 工程任务组 (IETF) 的标准。它对使用无线网络和虚拟专用网络 (VPN) 连接进行的网络访问执行集中的连接身份验证、授权和记帐。网络和目录服务规划范围包括： 为网络和目录服务提供冗余。 设计 Active Directory 服务。 设计和部署网络服务。 使用组策略对象爱护环境的安全。 选择要

26、实施服务的硬件。 测试服务确保正确运行。 执行安全审核。 将系统公布到IT环境中。 远程治理环境。使用方案： 启用 IP 地址的集中治理。 启用客户端自动 IP 配置。 为客户端提供名称解析服务。 提供目录服务以集中治理 IT 环境中的资源。 启用环境中安全策略的集中治理。初始状态环境：企业可能差不多部署了网络和目录服务。可能存在的部署类型包括： 没有集中登录的基于服务器的环境。 基于 Microsoft Windows NT 4.0 和 Window 2000 的环境。 基于 Linux 或 Novell 的环境。企业IT核心基础结构规划能够使组织幸免这些方案的众多常见问题，例如： 不可靠和

27、不一致的网络服务。 有关未经身份验证的用户的安全性。 要求访问不同服务和资源的多个登录。 差不多网络和目录服务的高运营成本。 不良设计的目录结构。 不集中的结构，对环境进行更改以及向环境添加内容都要求大量的工作。 缺少对用于老式环境或不同类型的环境中的设备和应用程序的支持。结束状态环境：网络服务的结束状态环境将包括： 两台提供冗余网络和目录服务的基于 Microsoft Windows Server 2003 服务器。 单个 Active Directory 域和林基础结构。 域级不组策略，适用于强制域范围的安全要求。益处： 可靠的基础结构： 在冗余服务器上实施网络和目录服务能够获得更好的可靠

28、性。 集中的资源治理： 使用 Active Directory 提供一个所有用户、计算机以及网络上的其他对象的集中数据库。有助于依照组织的结构来整理 IT 环境中的资源。 安全性： 使用 Active Directory 提供安全和身份验证机制，该机制提供对资源的受爱护和受控的访问。 单一登录： 使用 Active Directory 启用单一登录，这从本质上意味着用户只需要提供一次他们的凭据。他们试图访问网络上的资源时不需要每次都提供凭据，系统会使用相同的凭据访问所有资源。 良好定义和强制执行的安全策略： 使用组策略定义IT 环境中的域范围的安全策略，并在环境中强制执行，可不能被任何客户端或

29、其他设备更改覆盖。下面的图形展示了企业IT 基础结构并突出显示了提供网络和目录服务的服务器：图 . 企业 IT 基础结构的网络设计方案规划：企业 IT 环境中实施网络和目录服务时，创建一个平衡可靠和保持低成本需求的设计特不重要。 单个服务器： 单台基础结构服务器承载网络和目录服务。 群集的服务器： 在群集的配置中部署两台基础结构服务器。 冗余服务器： 部署两台冗余的基础结构服务器，同时提供相同的网络和目录服务。网络和目录服务器或者具有提供跨多台服务器的冗余的内置机制，或者以可获得类似冗余的方式进行部署。下表列出了这些选择方案的优缺点：选择方案优点缺点单个服务器廉价： 部署和治理成本低。易于部署

30、： 这种配置易于部署。较不可靠： 假如服务器出现故障，不可幸免的出现停机。群集的服务器较昂贵： 要求一台其他的服务器，同时要在两台服务器上安装 Windows Server 2003 Enterprise Edition。配置复杂： 这种配置的配置、操作和疑难排解都比较困难。冗余服务器成本： 部署和治理成本处于其他两种选项之间。易于部署： 这种配置比群集服务器选项易于部署。治理： 需要治理两台服务器。表 . 网络和目录服务部署选择方案网络和目录服务关于企业IT 环境的正常工作特不关键。只使用单个基础结构服务器会使成本最低，但它可不能提供故障转移功能。基础结构服务器出现故障可能会削弱整个IT 环

31、境的能力。此外，假如故障是由服务器硬件引起的，在等待备用部件或更换硬件的过程中通常会引入额外的延迟。然而，使用群集要求在两台基础结构服务器上安装 Windows Server 2003 Enterprise Edition，这要比 Windows Server 2003 Standard Edition 昂贵专门多。此外，配置、操作和疑难排解服务器群集也比较复杂。在非群集的配置中部署两台冗余基础结构服务器比较容易配置。基于 Windows 服务器的网络服务和 Active Directory 服务设计用于跨多台服务器运行，如此就排除了单一故障点。建议：建议部署两台冗余服务器，分不称为“主基础结

32、构服务器”和“辅助基础结构服务器”。通常情况下，主基础结构服务器提供大多数网络服务，因为绝大多数客户端请求首先转到这台服务器中。假如这台服务器无法及时地响应，那么大多数请求会转到辅助基础结构服务器中。只有在主服务器不能及时响应时，绝大多数客户端请求才会转到辅助服务器。 安全 Internet 连接服务 Internet 为用户提供了访问和共享信息并以经济、高效的方式进行通信的能力。企业可运用 Internet 来： 使客户能够与企业执行电子商务相关事务。 使客户能够发送和接收电子邮件，扫瞄 Web，以及与客户和业务合作伙伴进行通信。 将内部资源公布到 Internet，以便客户、雇员和业务合作

33、伙伴能够访问那些资源。这些资源包括 Web 服务、电子邮件服务、相关应用程序。 使用虚拟专用网络 (VPN)的方式，将分公司和移动及家庭用户连接到总公司。然而，Internet 在带来这些好处的同时，也引入了可能导致灾难性后果和重大业务损失的安全漏洞和病毒攻击的风险。因此，爱护与 Internet 的连接对所有企业差不多上至关重要的。IT 环境面对同时必须抵御来自 Internet 的下列安全威胁： 黑客攻击，比如拒绝服务 (DoS) 攻击、中间人 (man-in-the-middle) 攻击和网站篡改。 病毒、蠕虫、特洛伊木马和其他后门程序。 通过 Internet 应用程序带来的威胁，比如

34、电子邮件和 Web 站点。爱护 Internet 连接幸免各种威胁而不给用户施加太多的限制是专门重要的。 在总公司设计和部署防火墙服务以提供对 Internet 的安全访问。 实施诸如入侵检测和应用程序筛选之类的安全 Internet 功能。 实施 Web 缓存以提高性能和 Web 站点访问速度。 将内部资源公布到 Internet 以促进业务客户、雇员和业务合作伙伴的通过身份验证的远程访 问。 记录、监视和报告 Internet 活动，比如使用情况和性能统计数据。 为服务器、总公司客户端计算机和分公司客户端计算机访问 Internet 选择最合适的机制。使用方案： 通过代理服务为内部用户提供

35、安全的 Internet 访问。 为公司网络外的用户提供安全、简便的网络访问。 安全、轻松地公布 Intranet 站点，以便通过 Internet 向远程用户提供信息。 通过实施 Web 缓存提供对经常使用的 Web 内容的快速访问。 爱护内部 Web 站点免遭威胁，比如病毒、目录遍历攻击、缓冲区溢出攻击以及跨站点脚本攻击。 实施附加安全功能，比如： 入侵检测，以便前瞻性地检测并向 IT 人员发出警告通知。 应用程序筛选，以幸免用于针对应用程序层协议（比如 SMTP、HTTP 和 RPC）的攻击。 操纵用户对 Internet 的访问，爱护客户端幸免来自 Internet 的恶意流量。 爱护

36、组织的信息资产幸免来自 Internet 上的黑客攻击。初始状态环境： 网络通过低端或低性能安全设备连接到 Internet，这些设备仅提供有限的安全性和性能。 使用多个专用设备执行不同的功能，比如防火墙、代理、入侵检测和应用程序筛选。 Internet 连接全然就不安全。 现有防火墙（或其他安全设备）的厂商因为设备差不多变得过时而立即停止支持该设备。 当前的 Internet 安全基础结构不能安全地将服务公布到 Internet。 没有用于监视和操纵雇员对 Internet 的使用的机制。结束状态环境： 支持不断增加的流量的可伸缩性。 提高检测和防止应用程序层攻击的能力。 更好的治理多个设备

37、，方便查看其运行情况。 清晰的日志记录、监视和报告机制。 安全地公布资源以便从 Internet 访问。益处： 抵御外部威胁： 爱护企业的信息资产免遭外部威胁，比如黑客发起的 Internet 攻击。 集成且具成本效益的解决方案：提供可靠且具成本效益的解决方案，该方案可执行多种功能， 比如防火墙、入侵检测、应用程序筛选（比如超文本传输协议 和文件传输协议 筛选）和 Web 代理。 附加功能： 提供附加的集成（如 Web 缓存）功能来改进访问 HTTP 和 FTP 站点的性能。 减少停机时刻和成本： 减少与攻击（比如 DoS 攻击）所导致的系统和应用程序的不可用性 相关的停机时刻和成本。 高级安

38、全功能：增加幸免知识产权遭受攻击（比如中间人攻击、网站篡改、DNS 攻击检测和 IP 欺骗）的爱护。 服务器和 Web 公布。 轻松实现可伸缩性,并轻松地扩展至处理更高的流量负载。 广泛的日志记录、监视和报告。方案规划：安全的 Internet 连接基础结构应该： 充当所通过的流量的代理，为内部网络用户提供安全的 Internet 访问。 爱护内部网络免受来自 Internet 上的威胁。 提供防火墙服务，包括执行状态包检查和网络地址转换 (NAT)。NAT 通过隐藏内部网络的 IP 寻址 方案来爱护内部网络。 执行入侵检测，入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。此类恶意活

39、动的 例子包括端口扫描和使用大量的网络数据包堵塞特定的端口。 执行应用程序筛选以扫描各个应用程序层的入站和出站流量（比如 SMTP、HTTP、FTP），并检测 恶意代码。 执行 Web 缓存以提高下列用户访问 HTTP 和 FTP 站点的性能和速度： 访问 Internet 的局域网用户。 访问内部网络上的站点的 Internet 用户。 监视和发送关于各种参数（比如 Internet 使用、Web 缓存细节和内部网络上的用户进行的协议敏 感的 Internet 使用）的报告。应该有一种以各种形式（比如电子邮件和事件日志记录）发送警告通 知的机制。下图表示一个企业 IT 环境，并突出提供安全

40、Internet 连接的服务器和设备。图 . 安全 Internet 连接设计建议：公司需要一个多用途设备充当路由器、防火墙、NAT 设备，并在需要时充当 VPN 设备。至少，安全 Internet 连接部署应该提供防火墙、入侵检测、应用程序筛选、日志记录、监视和报告服务以及代理服务。 专用的硬件设备：专用的硬件设备用于执行不同的功能。至少要使用两个单独的专用硬件设备：一 个防火墙和一个入侵检测设备。此外，还可能将专用的硬件设备用于应用程序筛选、代理服务以及 实施了 VPN 的环境中的 VPN 设备。将专用设备用于 Web 缓存以改进网络性能。 集成的防火墙服务器： 在部署中，单台服务器提供爱

41、护 Internet 连接所需要的所有服务和功能。 该服务器具有运行流行操作系统的标准硬件。 该服务器运行单个或多个提供防火墙服务、入侵检 测、应用程序筛选、Web 代理和 Web 缓存的软件。 选择最适合的部署设计，涉及到以下事项： 实施成本。 构建和部署的难易。 安全要求。 性能要求。下表列出了这些可选方案的优缺点：可选方案优点缺点专用硬件设备提供高性能，因为这些设备： 是为它们的特定功能而设计的。 使用硬件 ASIC 设计。 仅执行一种功能。高容量： 专用设备能够处理巨大的负载（比如大 量的 VPN 会话）而不阻碍性能。安全性： 硬件防火墙被认为比软件防火墙更安全。难于治理： 需要更多的

42、精力来安装、配置、部署和支持专用设备。昂贵： 购买和治理多个专用设备的成本高昂，此外还需要额外的物理空间。依靠厂商： 用于执行不同功能的硬件和软件是专用硬件和软件，因此您要依靠厂商提供升级或附加功能。培训需求： IT 通才需要同意培训才能使用专用硬件和软件。无应用程序层筛选： 许多硬件防火墙没有内置应用程序层筛选功能，而是依靠非 Microsoft 应用程序提供此服务。集成的防火墙服务器廉价： 由于所有服务均由单台服务器提供，部署和治理成本都降低了。添加附加功能的能力： 针对标准操作系统的附加功能专门容易获得。不依靠厂商： 由于使用标准服务器硬件，因此不存在对厂商的依靠。只需更少的培训： IT

43、 通才不需要任何专门的培训，因为使用的是标准硬件和操作系统。VPN： 假如在环境中部署了 VPN，能够将它共同承载在此服务器上。安全性较低： 操作系统中的安全漏洞可能阻碍防火墙软件。风险较高： 在相同服务器上运行多个服务将服务器暴露给了更多种类的攻击。附加软件层： 存在运行操作系统的性能开销。性能水平：网络吞吐能力和性能水平要比专用设备低专门多。表 - 安全 Internet 连接部署可选方案 文件服务 文件服务是任何企业核心信息技术基础结构的一个重要组件。网络共享实质上是计算机或存储设备上能够从网络上其他计算机访问的文件夹。在网络共享上存储所有重要数据提供了以下益处： 与企业有关的信息存放在

44、一个集中的位置，使职员能够从多个位置对数据进行访问。此外，文件服 务器将具有更好的硬件配置（例如独立磁盘冗余阵列 (RAID) 和双电源）来为用户提供对数据的高 度可靠和可用的访问。 数据的集中通过提供较少的数据备份位置来代替包含文件的大量客户端计算机，消除了治理负担。 由于数据不是分布在网络的各种设备上，爱护重要数据变得更加容易，同时对数据治理提供了更多 的访问操纵。 使提供可靠存储的成本减少。这是因为只有承载网络共享的服务器才需要高度可用的存储。 在网络共享上存储某些系统文件夹可提供额外的益处。例如，将“My Documents”和“Roaming Profiles”文件夹存储在网络共享上

45、，将分不使用户能够从网络上的任意计算机访问他们的个人文件 夹以及使用他们的配置文件进行登录。使用方案： 将数据合并到一个中心位置以提供集中存储的益处。 存储和检索用户数据，并安全、可靠地在公司中的用户之间共享数据。 简化数据的爱护、备份和恢复过程。 存储大量的数据，如 CAD 绘图和多媒体文件。 使用统一的命名空间。 将客户端计算机上可能包含重要数据的系统文件夹重定向到更加安全和可靠的位置。环境初始状态：可能的环境初始状态包括： 多台服务器提供文件服务。 文件服务器不能扩展以满足今后的存储需求。假如现有服务器达到了最大存储限制，则需要添加新 服务器，或增加现有服务器的存储容量。 基于 UNIX

46、 或 LINUX 的服务器为大部分计算机运行 Microsoft Windows 操作系统的混合环境提 供文件服务。 基于 Microsoft Windows NT 和 Microsoft Windows 2000 的服务器提供文件服务。 不存在任何文件服务。 多台文件服务器导致 IT 治理负担增加，并使文件服务的总拥有成本增加。 数据分散在多台服务器之间，造成治理（备份、恢复和爱护）数据的困难。 可伸缩性有限或无可伸缩性。结束状态环境：基于存储需求、可伸缩性需求以及可用预算等因素，企业可能在其结束状态环境中部署以下两个可选方案之一： 专门提供文件服务的基于 Windows Storage S

47、erver 2003 的网络附加存储设备。 除网络服务、Active Directory 和其他服务之外，主基础结构服务器还提供文件服务。益处： 文件共享的组织更加逻辑：可用于更逻辑和灵活地组织文件共享。 改善数据的存储和检索：基于 Windows 的文件服务提供了高度可靠、可用和安全的数据存储和检索。 更容易的数据治理：数据存储在一个中心位置，而不是分布在多台服务器和台式计算机之间。因此，能够轻松地治理数据（包括共享和访问操纵列表的备份、还原和治理）。 改善的网络性能：集中存储使备份和还原数据时网络带宽的使用最小化。这改善了整体网络性能。 更容易和更可靠的数据备份：构建在 Windows S

48、erver 2003 之上的卷影复制服务同意创建数据的时点副本。此服务为在文件服务器上存储的数据（甚至为打开的文件）提供了一种简单、可靠的备份机制。 文件和文件夹版本操纵：共享文件夹的卷影副本使用户能够检索往常版本的文件和文件夹。方案规划： 在网络上为用户和应用程序提供一个公共位置来存储文件。 提供对共享信息快速和轻松的访问，同时保持严格的安全性。 提供足够的存储容量以满足现在和今后的存储需求。 满足预期的可靠性、可伸缩性和安全性要求。 低成本并易于实施和维护。 提供对丢失的重要数据的立即检索，如基于磁盘的备份，而不需要等待非现场的磁带存储。 使用户能够在未连接到网络的情况下还能够访问他们的文件。 同意用户安装公司中所使用的常用应用程序，如防火墙客户端和防病毒软件等。 通过提供集中的数据存储使治理和备份更加容易。下图表示一个企业 IT 基础结构，其中突出显示了能够提供文件服务的服务器和设备。图 . 企业 IT 文件服务建议：此解决方案建议选择以下两种实施之一： 专用于提供文件服务的基于 Windows Storage Server 2003 的网络附加存储设备。 主基础结构服务器所承载的文件服务。 应该考虑公司的需求并选择最好地满足此需求的解决方案。关于具