企业IT核心基础结构规划

1、Evaluation Warning: The document was created with Spire.Doc for .NET. HYPERLINK HYPERLINK 更多企业学学院： 中小企业业管理全全能版183套讲讲座+8897000份资料总经理、高高层管理理49套讲座座+1663888份资料中层管理理学院46套讲座座+60020份份资料国学智慧慧、易经经46套讲座座人力资源源学院56套讲座座+2771233份资料各阶段员员工培训训学院77套讲座座+ 3324份份资料员工管理理企业学学院67套讲座座+ 887200份资料工厂生产产管理学学院52套讲座座+ 1139220份资料财

2、务管理理学院53套讲座座+ 1179445份资料销售经理理学院56套讲座座+ 1143550份资料销售人员员培训学学院72套讲座座+ 448799份资料企业IT核核心基础础结构规规划企业从小发发展壮大大，ITT系统不不断的丰丰富，IIT网络络环境不不断复杂杂，硬件件设备越越来越多多，潜在在的故障障点也越越来越多多。当企业在在经营到到一定规规模后，往往往会引引入多种种沟通平平台与管管理系统统，以便便提高公公司的运运作效率率。例如如：、VVPN、OOA、EERP等等等多套套应用系系统同时时在企业业内部运运行。特特别是对对于设计计类型公公司而言言，PCC的故障障与数据据的损坏坏，会带带来巨大大的损失

3、失。故企业ITT核心基基础结构构规划对企企业的长长远发展展，企业业文化，企企业品牌牌建设都都有非常常重要的的意义。现阶段我我们企业业的特征征：现阶段我们们企业计算算机用户户的数量量不足550客户户端。企业IT 维护时间间间隔为为一周（响响应时间间较长）。企业用户 IT 技能很很有限，企业所所有者的的 ITT 技能能也很有限限。企业用户区区域既有有远程用用户，又又有本地地用户，这这些用户户对于服服务需要要拥有不不同的访访问权限限。现阶段我们们企业的的不足之之处：IT预算有有限。缺少紧急突突发性故故障ITT维护人人员。设计业务支支持优先先于ITT技术服服务。未对企业IIT核心心基础结结构进行行过规

4、划划。规划方案的的目标：提高员工的的IT能力力。功能丰富的的电子邮邮件和消消息协作作工具。共享传真服服务，实实现PCC收发传传真。文件共享和和打印服服务功能能。实现远程访访问机制制。团队站点协协作的实实现。架设安全的的无线网络络连接。可靠且可伸伸缩的存存储。存储数据实实现备份份与保护护。IT资料信信息有序序分类归归档。IT资源设设备最大大限度地地降低成成本。规划方案的的具体实实施：定期对员工工进行较较简单的的IT培培训。确保可靠的的局域网网（LAAN）连连接，保保障电子子邮件和和消息传传递通畅畅。架设WinnFaxx传真系系统平台台，在局局域网中中实现多多用户软软件收发发传真。使用Miccro

5、ssoftt Wiindoows Serrverr 20003，架架设文件件及打印印服务主主机。架设VPNN虚拟专专用网络络、及FFTP服服务进行行文件的的高速双向向传输。开通企业内内部网站站、及BBBS论论坛，引引入泛微协同同管理平平台（EE-COOLOGGY）。使用多个无无线路由由器架设设公司无无线网络络。使用硬件 RAIID（独独立磁盘盘冗余阵阵列）技技术来配配置企业业环境中中的服务务器。建立完善的的计划备备份方案案。配置Miccrossoftt Acctivve DDireectoory集集成环境境，并定期期分类整整理企业业IT资资料信息息，去除除过时、重重复等无无价值资资源，避避免存

6、储储空间浪浪费。创建高效的的IT架架构、整合数数据信息息、将服服务器虚虚拟化而而不购买买更昂贵贵的新服服务器。 企业IIT核心心基础结结构规划划体系 企业将依赖赖 ITT 来提提供增加加业务能能力和服服务，IIT 可可以潜在在地提高高业务能能力，使使得企业业能够：获得新的客客户和合合作伙伴伴。更快、更有有效的提提高设计计能力。更有效地为为现有公公司人员员和客户户服务。通常企业的的 ITT环境从从一个简简单的 IT 服务开开始，这这个服务务一般旨旨在满足足特定的的当前业业务需要要，例如如传真、电电子邮件件、相关关应用程程序或办办公室的的远程连连接。随随着时间间的推移移，由于于新需求求的出现现，新

7、的的 ITT 服务务会无规规划地添添加到这这个环境境中。这这样创建建的 IIT 环环境在技技术上种种类烦杂杂、难以以支持和和运行，并并且难以以使用，因因此给 IT 维护人人员和最最终用户户都带来来额外的的负担。采用具有标标准化 IT 基础结结构的 IT 环境，这这是一种种运用 IT 为企业业创造价价值的具具成本效效益的方方法。企企业ITT核心基基础结构构规划将帮帮助企业业构建此此类 IIT 环环境。采用企业IIT核心心基础结结构规划划将带来来下列好好处：可预测的环环境：企企业ITT核心基基础结构构规划提供供了清晰晰的基础础结构，它它是根据据 Miicroosofft的建建议来构构建的。这这些建

8、议议来源于于国外多年年的经验验教训。能够采用更更新的复复杂技术术：采用用企业ITT核心基基础结构构规划能够够降低 IT 维护人人员在部部署新技技术时的的实施和和操作风风险，从从而节约约了时间间，减少少了工作作量。集成的解决决方案：企业用用户可以以通过基基于 MMicrrosooft Winndowws SServver Sysstemm 技术术的标准准化体系系结构，获获得可扩扩展的平平台，使使其随着着业务的的增长而而增长。在在需要时时，也可可以实现现其他 IT 服务。在规划 IIT 环环境时，需需要考虑虑下列规规划目标标：安全性：提提供一个个安全的的计算基基础结构构和简化化的过程程来保持持环境

9、的的安全。可靠性：提提供一个个基于 Miccrossoftt技术的的可靠基基础结构构。可管理性：提供一一个容易易监视和和维护的的基础结结构，不不需要专专家级知知识。成本最低：帮助降降低 IIT 基基础结构构、软件件和管理理的成本本。简单性：由由于 IIT 本本身十分分复杂，因因此这个个规划方案案应该容容易实现现、管理理和监视视。可支持性：为了简简化和减减轻 IIT维护护人员的的负担，这这个环境境必须实实施 MMicrrosooft推推荐的最最佳操作作。这些些最佳操操作来源源于多年年的经验验教训。每每个 IIT 服服务都应应该设计计为提供供高可用用性。但但是为了了降低成成本，应应该只考考虑为核核

10、心基础础结构服服务设置置冗余。 核心心基础结结构 企业要求 IT 基础结结构提供供所需服服务，使使得员工工能够完完成工作作，并与与客户和和合作伙伙伴进行行交流。所所有的一一切都需需要一个个核心基基础结构构，用来来承载或或支持基基本服务务，例如如打印、消消息传递递和协作作。下表表列出了了核心基基础结构构必须提提供的一一组服务务。服务描述所满足的业业务需求求物理网络局域网 (LANN)：为为客户端端计算机机提供到到本地网网络的有有线和无无线连接接。Interrnett 连接接：将局局域网中中的计算算机连接接到 IInteerneet。远程连接：为远程程用户和和分公司司到总公公司的远远程连接接。总公

11、司和分分公司的的用户需需要一种种方法来来访问 LANN 和 Intternnet 中的各各种资源源。远程用户和和分公司司用户也也需要访访问总公公司的资资源。网络服务DNS 和和 WIINS：提供名名称解析析。DHCP：为客户户端计算算机分配配 IPP 地址址和 IIP 配配置。连接到 LLAN 的计算算机需要要自动进进行配置置。目录服务Activve DDireectoory：提供 IT 环境中中可用资资源的目目录列表表，并提提供安全全访问这这些资源源的身份份验证和和授权。管理员在授授予用户户访问网网络资源源（例如如文件、打打印机和和 Innterrnett）的权权限之前前，需要要对他们们进行

12、确确认和身身份验证证。安全的 IInteerneet 连连接FireWWalll：提供防防火墙及及其他特特性，例例如应用用程序层层筛选、入入侵侦测测、Weeb 缓缓存的功功能。用户需要能能够安全全地访问问 Innterrnett 来开开展业务务，例如如交换电电子邮件件、浏览览 Weeb 站站点、远远程访问问总公司司的资源源等等。另外，内部部网络还还需要拥拥有防御御机制，抵抵御来自自 Innterrnett 的威威胁。文件服务文件服务：实现用用户间的的文件和和文件夹夹共享。存储服务：为用户提供可靠的存储。为了防止数数据丢失失，用户户需要可可靠、安安全的存存储空间间，并应应定期进进行备份份。需要存

13、储的的数据量量正在快快速增加加。管理理员需要要一个中中央数据据存储库库。表 - 核核心基础础结构提提供的服服务 服务布布局拓扑扑 基本配置拓拓扑：在这个拓扑扑结构中中，大部部分服务务被合并并到三台台服务器器中，实实现一个个具成本本效益且且易管理理的 IIT 基基础结构构，同时时还能将将安全性性和性能能维持在在理想的的水平。下下图展示示了这个个配置的的逻辑示示意图：图 .基本本配置下表列出了了服务器器上所承承载的服服务：服务器提供的服务务主基础结构构服务器器 网络服服务（DDNS、DDHCPP 和 WINNS）。 目录服服务 (Acttivee Diirecctorry)。 备份和和还原服服务。

14、 防病毒毒。 补丁管管理 (SUSS)。辅助基础结结构服务务器 文件和和存储服服务。 协作服服务。 终端服服务器。 传真服服务。 扫描服服务。 打印服服务。防火墙服务务器 防火墙墙和代理理。 VPNN。 应用程程序层筛筛选。 Webb 缓存存。 入侵侦侦测。表 - 基基本配置置中的服服务布局局增强的基本本配置拓拓扑：企业需要为为职员提提供文件件和存储储服务，使使他们能能够开展展工作。这这对于基基本配置置的更改改就是使使用同样样的三台台服务器器和一个个基于 Winndowws SStorragee Seerveer 220033 的网网络附加加存储设设备，使使用后者者来提供供文件、打打印和存存储

15、服务务。下图图展示了了这个配配置的逻逻辑示意意图：图 . 增增强的基基本配置置下表列出了了服务器器上所承承载的服服务：服务器提供的服务务主基础结构构服务器器 网络服服务（DDNS、DDHCPP 和 WINNS）。 目录服服务 (Acttivee Diirecctorry)。 备份和和还原服服务。 防病毒毒。 补丁管管理 (SUSS)。辅助基础结结构服务务器 协作服服务。 终端服服务器。防火墙服务务器 防火墙墙和代理理。 VPNN。 应用程程序层筛筛选。 Webb 缓存存。 入侵侦侦测。基于 Wiindoows Stooragge SServver 20003 的的网络连连接存储储设备 文件和和

16、存储服服务。 传真服服务。 扫描服服务。 打印服服务。表 - 增增强型基基本配置置中的服服务布局局将文件和打打印服务务承载在在基于 Winndowws SStorragee Seerveer 220033网络附附加存储储设备上上的目的的： 集中存存储：将将存储资资源合并并到一个个集中的的位置 管理：集中存存储使得得备份和和管理更更为方便便。 性能：减少主主基础结结构服务务器上的的工作负负荷。 可伸缩缩性：提提供满足足公司增增长需要要的可伸伸缩文件件服务。典型配置拓拓扑：典型配置使使得企业业能够在在专用硬硬件上运运行关键键的程序序软件。从从而满足足现有和和将来的的存储要要求，并并实现高高性能及及

17、增强的的安全性性。下图图展示了了这个配配置的逻逻辑示意意图：图 . 典典型配置置下表列出了了服务器器上所承承载的服服务：服务器提供的服务务主基础结构构服务器器 网络服服务（DDNS、DDHCPP 和 WINNS）。 目录服服务 (Acttivee Diirecctorry)。 防病毒毒。 补丁管管理 (SUSS)。辅助基础结结构服务务器 为Acctivve DDireectoory 服务作作冗余服服务。 备份和和还原服服务。防火墙服务务器 防火墙墙和代理理。 VPNN。 应用程程序层筛筛选。 Webb 缓存存。 入侵侦侦测。基于 Wiindoows Stooragge SServver 200

18、03 的的网络连连接存储储设备 文件和和存储服服务。 打印服服务。 传真服服务。 扫描服服务。协作服务器器 消息传传递服务务。 协作服服务。终端服务器器 为远程程用户提提供其他他应用程程序。表 - 典典型配置置中的服服务布局局这种典型的的配置拓拓扑能够够为企业业提供下下列优势势： 提供高高度可伸伸缩的、安安全的且且面向性性能的服服务。 辅助服服务不承承载在基基础结构构服务器器、域控控制器上上。这降降低了 IT 环境的的安全风风险。 提供集集中的存存储，这这使得数数据的备备份和管管理更为为简单。 由于大大部分数数据存储储在同一一台服务务器上，而而不在网网络中传传递，因因此备份份和还原原服务能能够

19、提供供增强的的 性能和和安全性性。 这种服务布布局适合合下列情情况的企企业： 存储要要求高，应应该能够够扩展以以满足将将来的增增长。 很多远远程用户户同时访访问终端端服务器器上的多多个应用用程序。 可以增增加成本本来满足足可用性性、安全全性和性性能要求求。企业核心基基础结构构规划方方案提供供了可用用于在企企业 IIT 环环境中规规划、构构建、部部署和操操作核心心基础结结构的指指南。核核心基础础结构是是 ITT 基础础结构的的一部分分，是实实现直接接满足公公司商业业要求的的众多服服务的前前提条件件。下面面的各个个组件组组成了企企业核心心基础结结构规划划方案中中所讨论论的核心心基础结结构：物理网络

20、。网络服务。目录服务。安全的 IInteerneet 连连接。文件服务。 物理理网络设设计 物理网络为为网络设设备提供供了一个个相互连连接和通通讯的媒媒介。这这些设备备包括台台式计算算机、便便携式计计算机、便便携式设设备、网网络打印印机、服服务器和和路由器器等。在企业 (IT) 环境境中，物物理网络络由下列列元素组组成： 局域网网 (LLAN)：LAAN 可可以是有有线的、无无线的，或或是两者者的组合合，它为为所有连连接到局局域网的的设备提提 供了一一个通讯讯的媒介介。必须须在总公公司和每每个分公公司都部部署一个个 LAAN。 有线和和无线 LANN 分别别可以定定义为： 有有线网络络：有线线

21、网络使使得设备备能够通通过电缆缆连接到到 LAAN。这这种基础础结构包包括了穿穿过办公公室 的的电缆，设设备连接接所用的的网络端端口以及及交换机机。 无无线网络络：无线线网络基基础结构构由无线线访问点点组成，这这些无线线访问点点使得无无线设备备能够连连接到 LLAN。 Intternnet 连接：Intternnet 连接体体系结构构包括路路由器（或或调制解解调器）和和到 IInteerneet 服服务提供供商 (ISPP) 的连接接。使用方案：物理网络是是所有网网络环境境的基础础。它必必须是可可靠、有有效且安安全的。 选择用用于总公公司和分分公司的的合适网网络设备备及电缆缆，以实实现到 LA

22、NN 的有有线连接接。 规划网网络布局局，这包包括网络络设备、有有线端口口以及电电缆的布布局。 选择合合适的位位置来放放置无线线访问点点。 选择最最适合企企业的 Intternnet 连接类类型。 选择多多用途设设备，保保护分公公司免受受来自 Intternnet 的威胁胁，并使使得分公公司的计计算机能能够通过过 Innterrnett 连接到到总公司司的 LLAN。 初始状态环环境：大部分企业业已经在在他们的的 ITT 环境境中部署署了某种种类型的的物理网网络。在在环境中中可能存存在多种种方案。下下面是这这些方案案中可能能存在的的一些常常见特征征： 使用集集线器的的过时 LANN，所创创造的

23、连连接不可可靠、性性能低，且且安全性性不如交交换机。集集线器可可能导致致 LANN 用户户的性能能瓶颈。 网络设设备布局局糟糕，例例如交换换机层叠叠。 网络布布线系统统设计糟糟糕、实实施错误误，可能能会导致致经常的的物理连连接中断断和大量量数据包包丢失，从从而导致致 LANN 不可可靠。 LANN 无法法支持由由于设备备和占用用网络带带宽的应应用程序序的数量量增加而而导致的的流量增增加。 无线网网络使用用无法满满足所需需网络安安全级别别的无线线访问点点。 Intternnet 连接（例例如拨号号或电缆缆）速度度缓慢，无无法满足足公司要要求。 总公司司和分公公司之间间的连接接使用调调制解调调器池

24、和和远程访访问服务务器，因因此十分分昂贵并并且难以以管理。 结束状态环环境： 正确设设计的 LANN，能够够提供优优化的网网络性能能，能够够支持 LANN 用户户目前和和将来的的带宽要要求，并并实 现了安安全的无无线网络络。 满足企企业要求求的 IInteerneet 连连接。 总公司司和分公公司之间间的连接接快速、安安全、畅畅通。益处： 有线网网络：提提供 LLAN 中各种种设备间间的高速速连接。现现在很多多应用程程序都要要占用大大量网络络资源，特特别 是在拥拥有集中中存储和和应用程程序的企企业中尤尤为如此此。有线线网络是是连接服服务器、无无线设备备和防火火墙的基基 础。 无线网网络：为为使

25、用便便携式计计算机或或移动设设备的用用户提供供移动性性。这提提高了用用户生产产力。因因为在办办公 室的任任何地方方用户都都能够访访问到重重要的信信息，这这对于在在会议室室参加会会议的用用户特别别有用。另另外，无无 线网络络还不需需要布线线和维护护物理网网络电缆缆的成本本。无线线访问点点价格便便宜，而而且大部部分新的的便携式式计 算机、个个人数字字助理 (PDDA) 和 TTabllet PC 都有内内置的无无线网络络适配器器。无线线网络也也可以提提供灵活活 的网络络，因为为具有无无线网络络适配器器的设备备可以放放置在办办公室中中的任何何位置。 Intternnet 连接：Intternnet

26、帮助企企业连接接到世界界各地，开开展业务务。它使使得职员员能够在在家中或或旅途中中访问 业务数数据，从从而提高高办公室室内外的的生产力力。Innterrnett 也可可以用来来将分公公司办公公室连接接到总公公司。方案规划： 提供可可靠、高高效和具具成本效效益的 LANN，满足足企业当当前和将将来的需需要。这这些需要要包括： 能够为为日益增增加的设设备提供供连接。 能够处处理日益益增加的的流量负负荷。 提供有有线和无无线连接接。 减少现现有网络络中的网网络拥堵堵情况，从从而提高高网络性性能，减减少网络络停机时时间。 提供满满足企业业带宽和和可靠性性要求的的 Innterrentt 连接接，并且且

27、具成本本效益。 使得分分公司能能够通过过 Innterrnett 连接接到总公公司。下图展示了了一个典典型的企企业 IIT 环环境，并并突出了了其中组组成 LLAN 的部分分：图 . 企企业 IIT 基基础结构构的网络络设计规划物理网网络设计计包括下下列工作作： 信息收收集 LANN 设计计 Intternnet 连接设设计 分公司司网络设设计 材料清清单信息收集： 企业中中网络用用户的总总数。 分公司司办公室室数量。 楼层数数量，每每个办公公地点每每层楼的的面积和和布局。 每个办办公地点点每层楼楼上网络络用户的的分布。 所用的的客户端端服务器器和桌面面应用程程序类型型。如果果使用占占用大量量

28、带宽的的客户端端-服务务器应用用程序，那那么企业业应该建建立千兆兆 LAAN 主主干网，以以提供更更好的网网络性能能。 Intternnet 对公司司的关键键性；取取决于企企业是否否使用 Intternnet 来开展展业务。 可接受受的内部部网和 Intternnet 停机时时间。 环境中中所用网网络设备备的类型型，包括括服务器器、台式式计算机机、交换换机、路路由器和和无线设设备。 企业是是否允许许家庭和和移动用用户进行行远程访访问，是是否与商商业合作作伙伴交交换文档档。 总公司司和分公公司之间间预计的的网络流流量。如如果总公公司和分分公司间间交换的的数据量量很大，那那么可能能需要将将广域网网

29、 (WWAN) 连接接类型从从通过 Intternnet 的宽带带访问改改为点对对点连接接。 网络安安全对企企业的关关键性。局域网 (LANN) 设设计： 选择 LANN 类型型 设计有有线网络络 设计无无线网络络设计有线网网络： 选择网网络交换换设备，这这包括： 使用集集线器还还是交换换机。 所用的的交换机机类型。 每台交交换机所所拥有的的端口数数。 交换机机端口所所应该支支持的数数据传输输速率。 每台交交换机应应该拥有有的连接接器类型型。 选择用用于连接接不同设设备的网网络布线线类型。 设计网网络布局局，包括括： 连接设设备所需需的有线线端口数数量。 所需的的交换机机数量。 在多个个楼层上

30、上安装网网络交换换机的合合适位置置。 网络电电缆布局局，这包包括： 在每个个楼层需需要多少少网络点点。 哪些交交换机和和设备需需要使用用高速上上行连接接。建议：企业IT核核心基础础结构解解决方案案建议在在总公司司和分公公司都使使用高速速 (1100 Mbpps) 和千兆兆 (11 Gbbps) 以太太网 LLAN 的组合合，因为为这是一一种易实实现、具具成本效效益且流流行的选选择方案案。 网络络和目录录服务 网络和目录录服务提提供了IIT 环环境中运运行所有有其他服服务的基基础。稳稳定可靠靠的 IIP 地地址管理理、名称称解析、身身份验证证和授权权有助于于防止在在其他服服务出现现系统性性问题。

31、网络和目录录服务包包括： 核心网网络服务务： 核核心网络络服务包包括： 域名名系统 (DNNS)： 将 DNSS 名称称解析为为 IPP 地址址。 动态态主机配配置协议议 (DDHCPP)： 自动配配置客户户端上的的网络设设置，有有助于客客户端的的 IPP 地址址和网络络 配置置的管理理。 Winndowws Innterrnett 名称称服务 (WIINS)：将 NettBIOOS 名名称解析析为 IIP 地地址。 目录服服务： 验证试试图访问问资源的的用户和和计算机机。 证书服服务： 为创建建和管理理在公钥钥技术的的软件安安全系统统中使用用的公钥钥证书提提供服务务。 远程身身份验证证拨入用

32、用户服务务 (RRADIIUS)： RRADIIUS 是一项项 Innterrnett 工程程任务组组 (IIETFF) 的的标准。它它对使用用无线网网络和虚虚拟专用用网络 (VPPN) 连接进进行的网网络访问问执行集集中的连连接身份份验证、授授权和记记帐。网络和目录录服务规规划范围围包括： 为网络络和目录录服务提提供冗余余。 设计 Acttivee Diirecctorry 服服务。 设计和和部署网网络服务务。 使用组组策略对对象保护护环境的的安全。 选择要要实施服服务的硬硬件。 测试服服务确保保正确运运行。 执行安安全审核核。 将系统统发布到到IT环境境中。 远程管管理环境境。使用方案：

33、启用 IP 地址的的集中管管理。 启用客客户端自自动 IIP 配配置。 为客户户端提供供名称解解析服务务。 提供目目录服务务以集中中管理 IT 环境中中的资源源。 启用环环境中安安全策略略的集中中管理。初始状态环环境：企业可能已已经部署署了网络络和目录录服务。可可能存在在的部署署类型包包括： 没有集集中登录录的基于于服务器器的环境境。 基于 Miccrossoftt Wiindoows NT 4.0 和和 Wiindoow 20000 的环境境。 基于 Linnux 或 NNoveell 的环境境。企业IT核核心基础础结构规规划可以以使组织织避免这这些方案案的众多多常见问问题，例例如： 不可靠

34、靠和不一一致的网网络服务务。 有关未未经身份份验证的的用户的的安全性性。 要求访访问不同同服务和和资源的的多个登登录。 基本网网络和目目录服务务的高运运营成本本。 不良设设计的目目录结构构。 不集中中的结构构，对环环境进行行更改以以及向环环境添加加内容都都要求大大量的工工作。 缺少对对用于老老式环境境或不同同类型的的环境中中的设备备和应用用程序的的支持。结束状态环环境：网络服务的的结束状状态环境境将包括括： 两台提提供冗余余网络和和目录服服务的基基于 MMicrrosooft Winndowws SServver 20003 服务器器。 单个 Acttivee Diirecctorry 域域和

35、林基基础结构构。 域级别别组策略略，适用用于强制制域范围围的安全全要求。益处： 可靠的的基础结结构： 在冗余余服务器器上实施施网络和和目录服服务可以以获得更更好的可可靠性。 集中的的资源管管理： 使用 Acttivee Diirecctorry 提提供一个个所有用用户、计计算机以以及网络络上的其其他对象象的集中中数据库库。有助助于根据据组织的的结构来来整理 IT 环境中中的资源源。 安全性性： 使使用 AActiive Dirrecttoryy 提供供安全和和身份验验证机制制，该机机制提供供对资源源的受保保护和受受控的访访问。 单一登登录： 使用 Acttivee Diirecctorry 启

36、启用单一一登录，这这从本质质上意味味着用户户只需要要提供一一次他们们的凭据据。他们们试图访访问网络络上的资资源时不不需要每每次都提提供凭据据，系统统会使用用相同的的凭据访访问所有有资源。 良好定定义和强强制执行行的安全全策略： 使用用组策略略定义IIT 环环境中的的域范围围的安全全策略，并并在环境境中强制制执行，不会被被任何客客户端或或其他设设备更改改覆盖。下面的图形形展示了了企业ITT 基础础结构并并突出显显示了提提供网络络和目录录服务的的服务器器：图 . 企企业 IIT 基基础结构构的网络络设计方案规划：企业 ITT 环境境中实施施网络和和目录服服务时，创创建一个个平衡可可靠和保保持低成成

37、本需求求的设计计非常重重要。 单个服服务器： 单台台基础结结构服务务器承载载网络和和目录服服务。 群集的的服务器器： 在在群集的的配置中中部署两两台基础础结构服服务器。 冗余服服务器： 部署署两台冗冗余的基基础结构构服务器器，同时时提供相相同的网网络和目目录服务务。网络络和目录录服务器器或者具具有提供供跨多台台服务器器的冗余余的内置置机制，或或者以可可获得类类似冗余余的方式式进行部部署。下表列出了了这些选选择方案案的优缺缺点：选择方案优点缺点单个服务器器便宜： 部部署和管管理成本本低。易于部署： 这种种配置易易于部署署。较不可靠： 如果果服务器器出现故故障，不不可避免免的出现现停机。群集的服务

38、务器较昂贵： 要求一一台其他他的服务务器，并并且要在在两台服服务器上上安装 Winndowws SServver 20003 EEnteerprrisee Edditiion。配置复杂： 这种种配置的的配置、操操作和疑疑难排解解都比较较困难。冗余服务器器成本： 部部署和管管理成本本处于其其他两种种选项之之间。易于部署： 这种种配置比比群集服服务器选选项易于于部署。管理： 需需要管理理两台服服务器。表 . 网网络和目目录服务务部署选选择方案案网络和目录录服务对对于企业业IT 环境的的正常工工作非常常关键。只只使用单单个基础础结构服服务器会会使成本本最低，但但它不会会提供故故障转移移功能。基基础结

39、构构服务器器出现故故障可能能会削弱弱整个IIT 环环境的能能力。此此外，如如果故障障是由服服务器硬硬件引起起的，在在等待备备用部件件或更换换硬件的的过程中中通常会会引入额额外的延延迟。然而，使用用群集要要求在两两台基础础结构服服务器上上安装 Winndowws SServver 20003 EEnteerprrisee Edditiion，这这要比 Winndowws SServver 20003 SStanndarrd EEdittionn 昂贵贵很多。此此外，配配置、操操作和疑疑难排解解服务器器群集也也比较复复杂。在非群集的的配置中中部署两两台冗余余基础结结构服务务器比较较容易配配置。基基

40、于 WWinddowss 服务务器的网网络服务务和 AActiive Dirrecttoryy 服务务设计用用于跨多多台服务务器运行行，这样样就排除除了单一一故障点点。建议：建议部署两两台冗余余服务器器，分别别称为“主基础础结构服服务器”和“辅助基基础结构构服务器器”。通常常情况下下，主基基础结构构服务器器提供大大多数网网络服务务，因为为绝大多多数客户户端请求求首先转转到这台台服务器器中。如如果这台台服务器器无法及及时地响响应，那那么大多多数请求求会转到到辅助基基础结构构服务器器中。只只有在主主服务器器不能及及时响应应时，绝绝大多数数客户端端请求才才会转到到辅助服服务器。 安全 Inttern

41、net 连接服服务 Interrnett 为用用户提供供了访问问和共享享信息并并以经济济、高效效的方式式进行通通信的能能力。企企业可运运用 IInteerneet 来来： 使客户户能够与与企业执执行电子子商务相相关事务务。 使客户户能够发发送和接接收电子子邮件，浏浏览 WWeb，以以及与客客户和业业务合作作伙伴进进行通信信。 将内部部资源发发布到 Intternnet，以以便客户户、雇员员和业务务合作伙伙伴能够够访问那那些资源源。这些些资源包包括 WWeb 服务、电电子邮件件服务、相关应用程序。 使用虚虚拟专用用网络 (VPPN)的的方式，将将分公司司和移动动及家庭庭用户连连接到总总公司。然而

42、，Innterrnett 在带带来这些些好处的的同时，也也引入了了可能导导致灾难难性后果果和重大大业务损损失的安安全漏洞洞和病毒毒攻击的的风险。因因此，保保护与 Intternnet 的连接接对所有有企业都都是至关关重要的的。ITT 环境境面对并并且必须须抵御来来自 IInteerneet 的的下列安安全威胁胁： 黑客攻攻击，比比如拒绝绝服务 (DooS) 攻击、中中间人 (maan-iin-tthe-midddlee) 攻攻击和网网站篡改改。 病毒、蠕蠕虫、特特洛伊木木马和其其他后门门程序。 通过 Intternnet 应用程程序带来来的威胁胁，比如如电子邮邮件和 Webb 站点点。保护 I

43、nnterrnett 连接接避免各各种威胁胁而不给给用户施施加太多多的限制制是很重重要的。 在总公公司设计计和部署署防火墙墙服务以以提供对对 Innterrnett 的安安全访问问。 实施诸诸如入侵侵检测和和应用程程序筛选选之类的的安全 Intternnet 功能。 实施 Webb 缓存存以提高高性能和和 Weeb 站站点访问问速度。 将内部部资源发发布到 Intternnet 以促进进业务客客户、雇雇员和业业务合作作伙伴的的经过身身份验证证的远程程访 问。 记录、监监视和报报告 IInteerneet 活活动，比比如使用用情况和和性能统统计数据据。 为服务务器、总总公司客客户端计计算机和和分

44、公司司客户端端计算机机访问 Intternnet 选择最最合适的的机制。使用方案： 通过代代理服务务为内部部用户提提供安全全的 IInteerneet 访访问。 为公司司网络外外的用户户提供安安全、简简便的网网络访问问。 安全、轻轻松地发发布 IIntrraneet 站站点，以以便通过过 Innterrnett 向远远程用户户提供信信息。 通过实实施 WWeb 缓存提提供对经经常使用用的 WWeb 内容的的快速访访问。 保护内内部 WWeb 站点免免遭威胁胁，比如如病毒、目目录遍历历攻击、缓缓冲区溢溢出攻击击以及跨跨站点脚脚本攻击击。 实施附附加安全全功能，比比如： 入侵检检测，以以便前瞻瞻性

45、地检检测并向向 ITT 人员员发出警警告通知知。 应用程程序筛选选，以避避免用于于针对应应用程序序层协议议（比如如 SMMTP、HHTTPP 和 RPCC）的攻攻击。 控制用用户对 Intternnet 的访问问，保护护客户端端避免来来自 IInteerneet 的的恶意流流量。 保护组组织的信信息资产产避免来来自 IInteerneet 上上的黑客客攻击。初始状态环环境： 网络通通过低端端或低性性能安全全设备连连接到 Intternnet，这这些设备备仅提供供有限的的安全性性和性能能。 使用多多个专用用设备执执行不同同的功能能，比如如防火墙墙、代理理、入侵侵检测和和应用程程序筛选选。 Int

46、ternnet 连接根根本就不不安全。 现有防防火墙（或或其他安安全设备备）的厂厂商因为为设备已已经变得得过时而而即将停停止支持持该设备备。 当前的的 Innterrnett 安全全基础结结构不能能安全地地将服务务发布到到 Innterrnett。 没有用用于监视视和控制制雇员对对 Innterrnett 的使使用的机机制。结束状态环环境： 支持不不断增加加的流量量的可伸伸缩性。 提高检检测和防防止应用用程序层层攻击的的能力。 更好的的管理多多个设备备，方便便查看其其运行情情况。 清晰的的日志记记录、监监视和报报告机制制。 安全地地发布资资源以便便从 IInteerneet 访访问。益处： 抵

47、御外外部威胁胁： 保保护企业业的信息息资产免免遭外部部威胁，比比如黑客客发起的的 Innterrnett 攻击击。 集成且且具成本本效益的的解决方方案：提提供可靠靠且具成成本效益益的解决决方案，该该方案可可执行多多种功能能， 比如防防火墙、入入侵检测测、应用用程序筛筛选（比比如超文文本传输输协议 和文文件传输输协议 筛选）和和 Weeb 代代理。 附加功功能： 提供附附加的集集成（如如 Weeb 缓缓存）功功能来改改进访问问 HTTTP 和 FFTP 站点的的性能。 减少停停机时间间和成本本： 减减少与攻攻击（比比如 DDoS 攻击）所所导致的的系统和和应用程程序的不不可用性性 相关的的停机时

48、时间和成成本。 高级安安全功能能：增加加避免知知识产权权遭受攻攻击（比比如中间间人攻击击、网站站篡改、DDNS 攻击检检测和 IP 欺骗）的的保护。 服务器器和 WWeb 发布。 轻松实实现可伸伸缩性,并轻松松地扩展展至处理理更高的的流量负负载。 广泛的的日志记记录、监监视和报报告。方案规划：安全的 IInteerneet 连连接基础础结构应应该： 充当所所通过的的流量的的代理，为为内部网网络用户户提供安安全的 Intternnet 访问。 保护内内部网络络免受来来自 IInteerneet 上上的威胁胁。 提供防防火墙服服务，包包括执行行状态包包检查和和网络地地址转换换 (NNAT)。NAA

49、T 通通过隐藏藏内部网网络的 IP 寻址 方案来来保护内内部网络络。 执行入入侵检测测，入侵侵检测用用于检测测各种恶恶意活动动并发送送关于这这些活动动的相应应警告。此此类恶意意活动的的 例子包包括端口口扫描和和使用大大量的网网络数据据包堵塞塞特定的的端口。 执行应应用程序序筛选以以扫描各各个应用用程序层层的入站站和出站站流量（比比如 SSMTPP、HTTTP、FFTP），并并检测 恶意代代码。 执行 Webb 缓存存以提高高下列用用户访问问 HTTTP 和 FFTP 站点的的性能和和速度： 访问 Intternnet 的局域域网用户户。 访问内内部网络络上的站站点的 Intternnet 用户

50、。 监视和和发送关关于各种种参数（比比如 IInteerneet 使使用、WWeb 缓存细细节和内内部网络络上的用用户进行行的协议议敏 感的 Intternnet 使用）的的报告。应应该有一一种以各各种形式式（比如如电子邮邮件和事事件日志志记录）发发送警告告通 知的机机制。下图表示一一个企业业 ITT 环境境，并突突出提供供安全 Intternnet 连接的的服务器器和设备备。图 . 安安全 IInteerneet 连连接设计计建议：公司需要一一个多用用途设备备充当路路由器、防防火墙、NNAT 设备，并并在需要要时充当当 VPPN 设设备。至少，安全全 Innterrnett 连接接部署应应该

51、提供供防火墙墙、入侵侵检测、应应用程序序筛选、日日志记录录、监视视和报告告服务以以及代理理服务。 专用的的硬件设设备：专专用的硬硬件设备备用于执执行不同同的功能能。至少少要使用用两个单单独的专专用硬件件设备：一 个防火火墙和一一个入侵侵检测设设备。此此外，还还可能将将专用的的硬件设设备用于于应用程程序筛选选、代理理服务以以及 实施了了 VPPN 的的环境中中的 VVPN 设备。将将专用设设备用于于 Weeb 缓缓存以改改进网络络性能。 集成的的防火墙墙服务器器： 在在部署中中，单台台服务器器提供保保护 IInteerneet 连连接所需需要的所所有服务务和功能能。 该服务务器具有有运行流流行操

52、作作系统的的标准硬硬件。 该服务务器运行行单个或或多个提提供防火火墙服务务、入侵侵检 测、应应用程序序筛选、WWeb 代理和和 Weeb 缓缓存的软软件。 选择最适合合的部署署设计，涉及到到以下事事项： 实施成成本。 构建和和部署的的难易。 安全要要求。 性能要要求。下表列出了了这些可可选方案案的优缺缺点：可选方案优点缺点专用硬件设设备提供高性能能，因为为这些设设备： 是为它它们的特特定功能能而设计计的。 使用硬硬件 AASICC 设计计。 仅执行行一种功功能。高容量： 专用设设备能够够处理巨巨大的负负载（比比如大 量的 VPPN 会会话）而而不影响响性能。安全性： 硬件防防火墙被被认为比比软

53、件防防火墙更更安全。难于管理： 需要要更多的的精力来来安装、配配置、部部署和支支持专用用设备。昂贵： 购购买和管管理多个个专用设设备的成成本高昂昂，此外外还需要要额外的的物理空空间。依赖厂商： 用于于执行不不同功能能的硬件件和软件件是专用用硬件和和软件，因因此您要要依赖厂厂商提供供升级或或附加功功能。培训需求： ITT 通才才需要接接受培训训才能使使用专用用硬件和和软件。无应用程序序层筛选选： 许许多硬件件防火墙墙没有内内置应用用程序层层筛选功功能，而而是依赖赖非 MMicrrosooft 应用程程序提供供此服务务。集成的防火火墙服务务器廉价： 由由于所有有服务均均由单台台服务器器提供，部部署

54、和管管理成本本都降低低了。添加附加功功能的能能力： 针对标标准操作作系统的的附加功功能很容容易获得得。不依赖厂商商： 由由于使用用标准服服务器硬硬件，因因此不存存在对厂厂商的依依赖。只需更少的的培训： ITT 通才才不需要要任何特特殊的培培训，因因为使用用的是标标准硬件件和操作作系统。VPN： 如果在在环境中中部署了了 VPPN，可可以将它它共同承承载在此此服务器器上。安全性较低低： 操操作系统统中的安安全漏洞洞可能影影响防火火墙软件件。风险较高： 在相相同服务务器上运运行多个个服务将将服务器器暴露给给了更多多种类的的攻击。附加软件层层： 存存在运行行操作系系统的性性能开销销。性能水平：网络吞

55、吞吐能力力和性能能水平要要比专用用设备低低很多。表 - 安安全 IInteerneet 连连接部署署可选方方案 文件服服务 文件服务是是任何企企业核心心信息技技术基础础结构的的一个重重要组件件。网络络共享实实质上是是计算机机或存储储设备上上可以从从网络上上其他计计算机访访问的文文件夹。在网络共享享上存储储所有重重要数据据提供了了以下益益处： 与企业业有关的的信息存存放在一一个集中中的位置置，使员员工可以以从多个个位置对对数据进进行访问问。此外外，文件件服 务器将将具有更更好的硬硬件配置置（例如如独立磁磁盘冗余余阵列 (RAAID) 和双双电源）来来为用户户提供对对数据的的高 度可靠靠和可用用的

56、访问问。 数据的的集中通通过提供供较少的的数据备备份位置置来代替替包含文文件的大大量客户户端计算算机，消消除了管管理负担担。 由于数数据不是是分布在在网络的的各种设设备上，保保护重要要数据变变得更加加容易，并并且对数数据管理理提供了了更多 的访问问控制。 使提供供可靠存存储的成成本减少少。这是是因为只只有承载载网络共共享的服服务器才才需要高高度可用用的存储储。 在网络络共享上上存储某某些系统统文件夹夹可提供供额外的的益处。例例如，将将“My Doccumeentss”和“Roaaminng Proofilles”文件夹夹存储在在网络共共享上，将将分别使使用户可可以从网网络上的的任意计计算机访访

57、问他们们的个人人文件 夹以及及使用他他们的配配置文件件进行登登录。使用方案： 将数据据合并到到一个中中心位置置以提供供集中存存储的益益处。 存储和和检索用用户数据据，并安安全、可可靠地在在公司中中的用户户之间共共享数据据。 简化数数据的保保护、备备份和恢恢复过程程。 存储大大量的数数据，如如 CAAD 绘绘图和多多媒体文文件。 使用统统一的命命名空间间。 将客户户端计算算机上可可能包含含重要数数据的系系统文件件夹重定定向到更更加安全全和可靠靠的位置置。环境初始状状态：可能的环境境初始状状态包括括： 多台服服务器提提供文件件服务。 文件服服务器不不能扩展展以满足足将来的的存储需需求。如如果现有有

58、服务器器达到了了最大存存储限制制，则需需要添加加新 服务器器，或增增加现有有服务器器的存储储容量。 基于 UNIIX 或或 LIINUXX 的服服务器为为大部分分计算机机运行 Miccrossoftt Wiindoows 操作系系统的混混合环境境提 供文件件服务。 基于 Miccrossoftt Wiindoows NT 和 MMicrrosooft Winndowws 220000 的服服务器提提供文件件服务。 不存在在任何文文件服务务。 多台文文件服务务器导致致 ITT 管理理负担增增加，并并使文件件服务的的总拥有有成本增增加。 数据分分散在多多台服务务器之间间，造成成管理（备备份、恢恢复

59、和保保护）数数据的困困难。 可伸缩缩性有限限或无可可伸缩性性。结束状态环环境：基于存储需需求、可可伸缩性性需求以以及可用用预算等等因素，企企业可能能在其结结束状态态环境中中部署以以下两个个可选方方案之一一： 专门提提供文件件服务的的基于 Winndowws SStorragee Seerveer 220033 的网网络附加加存储设设备。 除网络络服务、AActiive Dirrecttoryy 和其其他服务务之外，主主基础结结构服务务器还提提供文件件服务。益处： 文件共共享的组组织更加加逻辑：可用于于更逻辑辑和灵活活地组织织文件共共享。 改善数数据的存存储和检检索：基基于 WWinddowss

60、 的文文件服务务提供了了高度可可靠、可可用和安安全的数数据存储储和检索。 更容易易的数据据管理：数据存存储在一一个中心心位置，而而不是分分布在多多台服务务器和台台式计算算机之间间。因此此，可以轻松地地管理数数据（包包括共享享和访问问控制列列表的备备份、还还原和管管理）。 改善的的网络性性能：集集中存储储使备份份和还原原数据时时网络带带宽的使使用最小小化。这这改善了了整体网网络性能能。 更容易易和更可可靠的数数据备份份：构建建在 WWinddowss Seerveer 220033 之上上的卷影影复制服服务允许许创建数数据的时时点副本。此此服务为为在文件件服务器器上存储储的数据据（甚至至为打开开