建设集团IT核心基础结构规划

企业IT关键基础构造规划

日林建设集团有限企业上海分企业

2010年1月18日

徐彬海

企业IT关键基础构造规划

企业从小发展壮大，IT系统不停的丰富，IT网络环境不停复杂，硬件设备越来越多，潜在日勺故障点也越

来越多。当企业在经营到一定规模后，往往会引入多种沟通平台与管理系统，以便提高企业的运作效率。

例如：FTP、BBS、VPN、OA.ERP等等多套应用系统同步在企业内部运行。尤其是对于设计类型企业而言,

PC的故障与数据的损坏，会带来巨大的损失。故企业IT关键基础构造规划对企业的长远发展，企业文化,

IT资源设备最大程度地减少成本。

•规划方案口勺详细实行：

•定期对员工进行较简朴的JIT培训。

・保证可靠日勺局域网（LAN）连接，保障电子邮件和消息传递畅通。

•架设WinFax系统平台、在局域网中实现多顾客软件收发。

•使用MicrosoftWindowsServer2023,架设文献及打印服务主机。

•架设VPN虚拟专用网络、及FTP服务进行文献的高速双向传播。

•开通企业内部网站、及BBS论坛，引入泛微协同管理平台（E-COLOGY）。

•使用多种无线路由器架设企业无线网络。

•使用硬件RAID（独立磁盘冗余阵列）技术来配置企业环境中的服务器。

•建立完善日勺计划备份方案。

•配置MicrosoftActiveDirectory集成环境，并定期分类整顿企业IT资料信息,清除过时、反复等无

价值资源,防止存储空间挥霍。

•创立高效II勺IT架构、整合数据信息、将服务器虚拟化而不购置更昂员的新服务器。

企业IT关键基础构造规划体系

•企业将依赖IT来提供增长业务能力和服务,IT可以潜在地提高业务能力，使得企业可以：

•获得新日勺客户和合作伙伴。

•更快、更有效日勺提高设计能力。

•更有效地为既有企业人员和客户服务。

一般企业的IT环境从一种简朴日勺IT服务开始,这个服务一般意在满足特定MJ目前业务需要，例如、

电子邮件、有关应用程序或办公室的远程连接。伴随时间的推移，由于新需求的出现，新W、JIT服务会无规

划地添加到这个环境中。这样创立的IT环境在技术上种类烦杂、难以支持和运行，并且难以使用，因此给

IT维护人员和最终顾客都带来额外日勺承担。

采用品有原则化IT基础构造的IT环境,这是一种运用IT为企业发明价值口勺具成本效益的措施。企业

IT关键基础构造规划将协助企业构建此类IT环境。

•采用企业IT关键基础构造规划将带来下列好处：

可预测的环境：企业IT关键基础构造规划提供了清晰的基础构造，它是根据MicrosoftII勺提议来构建

口勺,这些提议来源于国外数年的J经验教训。

可以采用更新的复杂技术：采用企业IT关键基础构造规划可以减少IT维护人员在布署新技术时的实

行和操作风险,从而节省了时间，减少了工作量。

集成的处理方案：企业顾客可以通过基于MicrosoftWindowsServerSystem技术H勺原则化体系构造,

获得可扩展的平台，使其伴随业务日勺增长而增长。在需要时，也可以实现其他IT服务。

•在规划IT环境时，需要考虑下列规划目H勺：

•安全性:提供一种安全的计算基础构造和简化的过程来保持环境的安全。

•可靠性:提供一种基于Microsoft技术日勺可靠基础构造。

•可管理性:提供一种轻易监视和维护日勺基础构造,不需要专家级知识。

・成本最低:协助减少IT基础构造、软件和管理的J成本。

简朴性：由于IT自身十分复杂，因此这个规划方案应当轻易实现、管理和监视。

可支持性：为了简化和减轻IT维护人员的承担，这个环境必须实行Microsoft推荐的I最佳操作。这些

最佳操作来源于数年的经验教训，每个IT服务都应当设计为提供高可用性。不过为了减少成本，应当只

考志为关键基础构造服务设置冗余。

关键基础构造

企业规定IT基础构造提供所需服务，使得员工可以完毕工作，并与客户和合作伙伴进行交流。所有的

一切都需要一种关键基础构造，用来承载或支持基本服务，例如打印、消息传递和协作。卜.表列出了关键

基础构造必须提供H勺一组服务。

服务描述所满足的业务需求

物理网络局域网（LAN）:为客户端计算机提供到当总企业和分企业的顾客需要一种措施来访问LAN和

地网络的有线和无线连接。Internet中H勺多种资源。

Internet连接：将局域网中的计算机连接远程顾客和分企业顾客也需要访问总企业的资源。

到Internet»

服务描述所满足的业务需求

远程连接：为远程顽客和分企业到总企业

的远程连接。

远程连接：为远程顾客和分企业到总企业

的远程连接。

网络服务DNS和WINS:提供名称解析。连接到LANH勺计算机需要自动进行配置。

DHCP:为客户端计算机分派IP地址和IP

配置。

DHCP：为客户端计算机分派IP地址和1P

配置。

目录服务ActiveDirectory：提供IT环境中可用管理员在设予顾客访问网络资源（例如文献、打印机和

资源的目录列表，并提供安全访问这些资Internet）的权限之前，需要对他们进行确认和身份验

源的身份验证和授权。证。

安全的FireWall：提供防火墙及其他特性，例如顾客需要可以安全地访问Internet来开展业务，例如互

Internet连接应用程序层筛选、入侵侦测、Web缓存的换电子邮件、浏览Web站点、远程访问总企业的资源等

功能。等。

此外，内部网络还需要拥有防御机制，抵御来自Internet

的威胁。

此外，内部网络还需要拥有防御机制，抵御来自Internet

的威胁。

文献服务文献服务：实现顾客间的文献和文献夹共为了防止数据丢失，顾客需要可靠、安全的存储空间，并

享。应定期进行备份。

存储服务：为顾客提供可靠的存储。需要存储的数据量正在迅速增长。管理员需要•种中央数

据存储库。

表-关键基础构造提供的服务

服务布局拓扑

基本配置拓扑：

在这个拓扑构造中，大部分服务被合并到三台服务器中，实现一种具成本效益且易管理的IT基础

构造，同步还能将安全性和性能维持在理想的水平。下图展示了这个配置的逻辑示意图：

图.基本配置

下表列出了服务器上提供的服务

所承载H勺服务：

服务器

主基础构造服务器・网络服务(DNS、DHCP和WINS)0

•目录服务(ActiveDirectory)•

­备份和还原服务。

­防病毒。

・补丁管理(SUS)o

辅助基础构造服务器•文献和存储服务。

•协作服务。

•终端服务器。

,服务。

•扫描服务。

・打印服务。

防火墙服务器•防火墙和代理。

・VPN。

•应用程序层筛选。

•Web缓存。

・入侵侦测。

表-基本配置中的服务布局

增强的基本配置拓扑：

企业需要为职工提供文献和存储服务，使他们可以开展工作。这对于基本配置的更改就是使用同样

H勺三台服务器和一种基于WindowsStorageServer2023的网络附加存储设备，使用后者来提供文献、

打印和存储服务。下图展示了这个配置日勺逻辑示意图：

..增强的基本配置

下表列出了服务器I-.提供的服务

所承载日勺服务：

服务器

主基础构造服务器・网络服务(DNS、DHCP和WINS)(.

,目录服务(ActiveDirectory)e

­备份和还原服务。

・防病毒。

・补丁管理(SUS)o

辅助基础构造服务器•协作服务。

•终端服务器。

防火堵服务器・防火墙和代理。

•VPNo

•应用程序层筛选。

•Web缓存。

•入侵侦测。

基于WindowsStorage•文献和存储服务。

Server2023的网络连接•服务。

存储设备・扫描服务。

•打印服务。

表-增强型基本配置中的服务布局

将文献和打印服务承载在基于WindowsStorageServer2023网络附加存储设备上"勺目U勺:

•集中存储:将存储资源合并到一种集中的位置

•管理:集中存储使得备份和管理更为以便。

・性能:减少主基础构造服务器上的工作负荷。

•可伸缩性:提供满足企业增长需要的可伸缩文献服务。

经典配置拓扑:

经典配置使得企业可以在专用硬件上运行关键的程序软件,从而满足既有和未来R勺存储规定，并实现

高性能及增强的安全性。下图展示了这个配置的逻辑示意图：

..经典配置

下表列出了服务器上提供的服务

所承载的服务：

服务器

主圣础构造服务器•网络服务（DNS、DHCP和WINS）»

•目录服务（ActiveDirectory）•

­防病毒。

・补丁管理（SUS）。

辅助基础构造服务器•为ActiveDirectory服务作冗余服务。

­备份和还原服务。

防火堵服务器・防火墙和代理。

•VPNo

•应用程序层筛选。

・Web缓存。

•入侵侦测。

基于WindewsStoragp•文献和存储服务.

Server2023的网络连接•打印服务。

存储设备・服务。

,扫描服务。

协作服务器•消息传递服务。

・协作服务。

终端服务器•为远程顾客提供其他应用程序。

表-经典配置中的服务布局

这种经典的配置拓扑可以为企业提供下列优势:

•提供高度可伸缩口勺、安全的且面向性能H勺服务。

•辅助服务不承载在基础构造服务器、域控制器上。这减少了IT环境的安全风险。

•提供集中的存储,这使得数据H勺备份和管理更为简朴。

•由于大部分数据存储在同一台服务器上,而不在网络中传递,因此备份和还原服务可以提供增强日勺

性能和安全性。

这种服务布局适合下列状况的企业：

•存储规定高,应当可以扩展以满足未来的增长。

•诸多远程顾客同步访问终端服务器上的多种应用程序。

•可以增长成本来满足可用性、安全性和性能规定。

企业关键基础构造规划方案提供了可用于在企业IT环境中规划、构建、布署和操作关键基础构造的

指南。关键基础构造是IT基础构造的一部分，是实现直接满足企业商业规定日勺众多服务的前提条件。K

面的各个组件构成了企业关键基础构造规划方案中所讨论的关键基础构造：

・物理网络。

•网络服务。

・目录服务。

•安全的IInternet连接.

•文献服务。

物理网络设讦

物理网络为网络设备提供了一种互相连接和通讯口勺媒介。这些设备包括台式计算机、便携式计算

机、便携式设备、网络打印机、服务器和路由器等。

在企业(IT)环境中，物理网络由下列元素构成：

•局域网(LAN):LAN可以是有线的、无线II勺,或是两者的组合，它为所有连接到局域网的设备提

供了一种通讯的媒介。必须在总企业和每个分企业都布署一种LANo

有线和无线LAN分别可以定义为：

•有线网络:有线网络使得设备可以通过电缆连接到LAN。这种基础构造包括了穿过办公室

的电缆,设备连接所用日勺网络端口以及互换机。

•无线网络：无线网络基础构造由无线访问点构成,这些无线访问点使得无线设备可以连接到

LANo

•Internet连接：Internet连接体系构造包括路由器(或调制解调器)和到Internet服务提供商(ISP)

的连接。

使用方案：

物理网络是所有网络环境的基础。它必须是可靠、有效且安全的。

•选择用于总企业和分企业时合适网络设备及电缆，以实现到LAN的有线连接。

•规划网络布局，这包括网络设备、有线端口以及电缆H勺布司。

•选择合适的位置来放置无线访问点。

•选择最适合企业的Internet连接类型。

•选择多用途设备,保护分企业免受来自Internet的威胁,并使得分企业的计算机可以通过Internet

连接到总企业的LAN.

初始状态环境:

大部分企业己经在他们的IT环境中布署了某种类型的物理网络。在环境中也许存在多种方案。下面

是这些方案中也许存在的某些常见特性：

•使用集线器W、J过时LAN,所发明的连接不可靠、性能低，且安全性不如互换机。集线器也许导致

LAN顾客的性能瓶颈。

•网络设备布局糟糕，例如互换机层叠。

•网络布线系统设计糟糕、实行错误，也许会导致常常H勺物理连接中断和大量数据包丢失，从而导致

LAN不可靠。

•LAN无法支持由于设备和占用网络带宽的应用程序H勺数量增长而导致I为流量增长。

•无线网络使用无法满足所需网络安全级别H勺无线访问点。

•Internel连接（例如拨号或电缆）速度缓慢,无法满足企业规定。

•总企业和分企业之间口勺连接使用调制解调器池和远程访问服务器，因此十分昂贵并且难以管理。

结束状态环境：

•对的设计的LAN,可以提供优化的网络性能,可以支持LAN顾客目前和未来的带宽规定,并实

现了安全的无线网络。

•满足企业规定的Internet连接。

•总企业和分企业之间H勺连接迅速、安全、畅通。

益处：

•有线网络:提供LAN中多种设备间的高速连接。目前诸多应用程序都要占用大量网络资源,尤其

是在拥有集中存储和应用程序口勺企业中尤为如此。有线网络是连接服务器、无线设备和防火墙的基

础。

•无线网络：为使用便携式计算机或移动设备的顾客提供移动性。这提高了顾客生产力。由于在办公

室的）任何地方顾客都可以访问到重要的信息，这对于在会议室参与会议日勺顾客尤其有用。此外，无

线网络还不需要布线和维护物理网络电缆II勺成本。无线访问点价格廉价，并且大部分新的便携式计

算机、个人数字助理（PDA）和TabletPC均有内置的无线网络适配器。无线网络也可以提供灵活

的网络，由于具有无线网络适配器的设备可以放置在办公室中的任何位置。

•Internet连接：Internet协助企业连接到世界各地，开展业务。它使得职工可以在家中或旅途中访问

业务数据,从而提高办公室内外的生产力。Internet也可以用来将分企业办公室连接到总企业。

方案规划：

•提供可靠、高效和具成本效益的LAN,满足企业目前和未来H勺需要。这些需要包括：

•可以为日益增长H勺设备提供连接。

•可以处理日益增长口勺流量负荷。

•提供有线和无线连接。

•减少既有网络中日勺网络拥堵状况,从而提高网络性能,减少网络停机时间。

•提供满足企业带宽和可靠性规定的Intcrcnt连接,并且具成本效益。

•使得分企业可以通过Internet连接到总企业。

下图展示了一种经典的企业IT环境,并突出了其中构成LAN的部分：

..企.1.基础构造的网络设计

规划物理网络设计包括下列工作：

•信息搜集

,LAN设计

•Internet连接设计

•分企业网络设计

•材料清单

信息搜集：

•企业中网络顾客的总数。

•分企业办公室数量。

•楼层数量,每个办公地点每层楼日勺面枳和布局。

•每个办公地点每层楼上网络顾客的分布。

­所用的客户端服务器和桌面应用程序类型。假如使用占用大量带宽的客户端-服务器应用程序，那么

企业应当建立千兆LAN主干网，以提供更好的网络性能。

・Iniernei对企业口勺关键性；取决于企业与否使用Interne【来开展业务。

・可接受的J内部网和Internet停机时间。

•环境中所用网络设备的类型,包括服务器、台式计算机、互换机、路由器和无线设备。

•企业与否容许家庭和移动顾客进行远程访问，与否与商业合作伙伴互换文档。

•总企业和分企业之间估计的网络流量。假如总企业和分企业间互换的数据量很大，那么也许需要将

广域网(WAN)连接类型从通过InternetIJ勺宽带访问改为点对点连接。

•网络安全对企业H勺关键性。

局域网(LAN)设计：

,选择LAN类型

•设计有线网络

•设计无线网络

设计有线网络:

•选择网络互换设备，这包括：

•使用集线器还是互换机。

•所用的互换机类型。

•每台互换机所拥有的端口数。

•互换机端口所应当支持的数据传播速率。

•每台互换机应当拥有口勺连接器类型。

•选择用于连接不一样设备时网络布线类型。

•设计网络布局，包括：

•连接设备所需的)有线端口数量。

•所需的互换机数量。

•在多种楼层上安装网络互换机的合适位置。

•网络电缆布局，这包括：

•在每个楼层需要多少网络点。

•哪些互换机和设备需要使用高速上行连接。

提议：

企业IT关键基础构造处理方案提议在总企业和分企业都使用高速(100Mbps)和千兆(1Gbps)以太网

LAN的组合，由于这是一种易实现、具成本效益且流行的选择方案。

网络和目录服务

网络和FI录服务提供了IT环境中运行所有其他服务的基础。稳定可靠的IP地址管理、名称解析、身

份验证和授权有助于防止在其他服务出现系统性问题。

网络和目录服务包括:

•关键网络服务：关键网络服务包括:

•域名系统(DNS):将DNS名称解析为IP地址。

•动态主机配置协议(DHCP)：自动配置客户端上的网络设置,有助于客户端U勺IP地址和网络

配置的管理。

・Windows®Internet名称服务(WINS):将NetBIOS名称解析为IP地址。

•目录服务：验证试图访问资源的顾客和计算机。

•证书服务：为创立和管理在公钥技术H勺软件安全系统中使用的公钥证书提供服务。

・远程身份验证拨入顾客服务(RADIUS):RADIUS是一项Internet工程任务组(IETF)的原则。它对

使用无线网络和虚拟专用网络(VPN)连接进行口勺网络访问执行集中日勺连接身份验证、授权和记帐。

网络和目录服务规划范围包括：

•为网络和H录服务提供冗余。

•设计ActiveDirectory服务。

•设计和布署网络服务。

•使用组方略对象保护环境的安全。

•选择要实行服务的硬件。

•测试服务保证对口勺运行。

•执行安全审核。

•将系统公布到IT环境中。

•远程管理环境。

使用方案：

•启用IP地址的集中管理。

•启用客户端自动IP配置。

•为客户端提供名称解析服务。

•提供目录服务以集中管理IT环境中的资源。

•启用环境中安全方略U勺集中管理。

初始状态环境：

企业也许已经布署了网络和目录服务。也许存在的布署类型包括：

•没有集中登录的基于服务器的环境。

•基于Microsoft®WindowsNT®4.0和Window@2023t内环境。

•基于Linux或Novell股J环境。

企业1T关键基础构造规划可以使组织防止这些方案的众多常见问题，例如：

­不可靠和不一致的网络服务。

•有关未经身份验证口勺顾客的安全性。

•规定访问不一样服务和资源的多种登录。

•基本网络和目录服务日勺高运行成本。

•不良设计的目录构造。

•不集中的构造,对环境进行更改以及向环境添加内容都规定大量的工作。

•缺乏对用于老式环境或不•样类型H勺环境中的设备和应用程序的支持。

结束状态环境：

网络服务的结束状态环境将包括：

,两台提供冗余网络和目录服务区I基于MicrosoftWindowsServer™2023服务器。

,单个ActiveDirectory域和林基础构造。

•域级别组方略,合用于强制域范围的J安全规定。

益处：

•可靠的基础构造：在冗余服务器上实行网络和R录服务可以获得更好的可靠性。

•集中的资源管理：使用ActiveDirectory提供一种所有顾客、计算机以及网络上的其他对象的集中

数据库。有助于根据组织的构造来整顿IT环境中H勺资源。

•安全性：使用ActiveDirectory提供安全和身份验证机制，该机制提供对资源的受保护和受控的访

问,

•单一登录：使用ActiveDirectory启用单一登录，这从木质上意味着顾客只需要提供一次他们H勺凭

据,他们试图访问网络上的资源时不需要每次都提供凭据，系统会使用相似的凭据访问所有资源。

•良好定义和强制执行日勺安全方略：使用组方略定义IT环境中的域范围的安全方略，并在环境中强

制执行,不会被任何客户端或其他设备更改覆盖。

下面的图形展示了企业IT基础构造并突出显示了提供网络和目录服务的服务器：

..企.I.基础构造的网络设计

方案规划：

企业IT环境中实行网络和目录服务时,创立一种平衡可靠和保持低成本需求的设计非常重要。

•单个服务器：单台基础构造服务器承教网络和R录服务。

•群集的服务器：在群集的配置中布署两台基础构造服务器。

•冗余服务器：布署两台冗余口勺基础构造服务器，同步提供相似口勺网络和目录服务。网络和目录服务

器或者具有提供跨多台服务器的冗余的内置机制，或者以可获得类似冗余"勺方式进行布署。

下表列出了这些选长处缺陷

择方案H勺优缺陷：

选择方案

单个服务器廉价：布署和管理成本低。较不可靠：假如服务器出现故障，不可防止的

易于布署：这种配置易于布署。出现停机。

易于布署：这种配置易于布署。

群集的服务器较昂贵：规定一台其他的服务器，并且要在两配置复杂：这种配置的配置、操作和疑难排解

台服务器上安装WindowsServer2023都比较困难。

EnterpriseEdition.

冗余服务器成本：布署和管理成本处在其他两种选项之管理：需要管理两台服务器。

间。

易于布署：这种配置比群集服务器选项易于布

下表列出了这些选长处缺陷

择方案日勺优缺陷：

选择方案

署。

易于布署：这种配置比群集服务罂选项易于布

署。

..网络和目录服务布署选择方案

网络和目录服务对于企业IT环境的止常工作非常关键。只使用单个基础构造服务据会使成本最低,

但它不会提供故障转移功能。基础构造服务器出现故障也许会减弱整个IT环境的能力。此外，假如故障

是由服务器硬件引起日勺,在等待备用部件或更换硬件H勺过程中一般会引入额外的延迟。

然而，使用群集规定在两台基础构造服务器上安装WindowsServer2023EnterpriseEdition,这要比

WindowsServer2023StandardEdition昂贵诸多。此外,配置、操作和疑难排解服务器群集也比较复杂。

在非群集的配置中布署两台冗余基础构造服务器比较轻易配置。基于Windows服务器的网络服务和

ActiveDirectory服务设计用于跨多台服务器运行,这样就排除了单一故障点.

提议：

提议布署两台冗余服务器，分别称为“主基础构造服务器”和“辅助基础构造服务器”。一般状况下，主

基础构造服务器提供大多数网络服务，由于绝大多数客户端祈求首先转到这台服务器中。假如这台服务器

无法及时地响应，那么大多数祈求会转到辅助基础构造服务器中。只有在主服务器不能及时响应时，绝大

多数客户端祈求才会转到辅助服务器。

安全Internet连接服务

Internet为顾客提供了访问和共享信息并以经济、高效的方式进行通信的能力。企业可运用Internet

来

•使客户可以与企业执行电子商务有关事务。

•使客户可以发送和接受电子邮件，浏览Web,以及与客户利业务合作伙伴进行通信。

•将内部资源公布到Internet,以便客户、雇员和业务合作伙伴可以访问那些资源。这些资源包括Web

服务、电子邮件服务、有关应用程序。

•使用虚拟专用网络（VPNWJ方式,将分企业和移动及家庭顾客连接到总企业。

然而，Internet在带来这些好处的同步，也引入了也许导致劫难性后果和重大业务损失的安全漏洞和病

毒袭击的风险。因此，保护与Internet的连接对所有企业都是至关重要的。IT环境面对并且必须抵御来自

Internet的下列安全威胁：

,黑客袭击,例如拒绝服务(DoS)袭击、中间人(man-in-the-middle)袭击和网站篡改。

•病毒、蠕虫、特洛伊木马和其他后门程序。

・通过Internet应用程序带来的威胁，例如电子邮件和Web站点。

保护Internet连接防止多种威胁而不给顾客施加太多的限制是很重要H勺。

•在总企业设计和布署防火墙服务以提供对InternetH勺安全访问。

•实行诸如入侵检测和应用程序筛选之类U勺安全Internet功能。

•实行Web缓存以提高性能和Web站点访问速度。

•将内部资源公布到imemel以增进业务客户、雇员和业务合作伙伴的通过身份验证的远程访

问。

•记录、监视和汇报Iniernet活动，例如使用状况和性能记录数据。

•为服务器、总企业客户端计算机和分企业客户端计算机访问Internet选择最合适的机制.

使用方案：

•通过代理服务为内部顾客提供安全日勺Internet访问。

•为企业网络外的顾客提供安全、简便日勺网络访问。

,安全、轻松地公布Intranet站点，以便通过Internet向远程顾客提供信息。

•通过实行Web缓存提供对常常使用的Web内容的迅速访问。

•保护内部Web站点免遭威胁，例如病毒、FI录遍历袭击、缓冲区溢出袭击以及跨站点脚本袭击。

•实行附加安全功能，例如:

•入侵检测，以便前瞻性地检测并向IT人员发出警告告知。

•应用程序筛选，以防止用于针对应用程序层协议（例如SMTP、和RPC）的袭击。

•控制顾客对Internet的访问，保护客户端防止来自InternetI向恶意流量。

•保护组织的信息资产防止来自Internet上的黑客袭击。

初始状态环境：

•网络通过低端或低性能安全设备连接到Inlernel,这些设备仅提供有限的安全性和性能。

•使用多种专用设备执行不一样的功能，例如防火墙•、代理、入侵检测和应用程序筛选。

•Internet连接主线就不安全。

•既有防火墙（或其他安全设备）的厂商由于设备已经变得过时而即将停止支持该设备。

,目前的Internet安全基础构造不能安全地将服务公布到Internet。

•没有用于监视和控制雇员对Internet的使用的机制。

结束状态环境：

•支持不停增长的流量H勺可伸缩性。

•提高检测和防止应用程序层袭击的能力。

•更好的管理多种设备，以便查看其运行状况。

•清晰的日志记录、监视和汇报机制。

,安全地公布资源以便从Inlernet访问。

益处：

•抵御外部威肋,：保护企业的信息资产免遭外部威胁,例如黑客发起IJ勺Internet袭击。

­集成且具成本效益”勺处理方案：提供可靠且具成本效益的处理方案，该方案可执行多种功能,

例如防火墙、入侵检测、应用程序筛选（例如超文本传播协议＜＞和文献传播协议

vFTP＞筛选）和Web代理。

•附加功能：提供附加的集成（如Web缓存）功能来改善访问和FTP站点的J性能。

•减少停机时间和成本：减少与袭击（例如DoS袭击）所导致H勺系统和应用程序FI勺不可用性

有关H勺停机时间和成本。

•高级安全功能:增长防止知识产权遭受袭击（例如中间人袭击、网站篡改、DNS袭击检测和

IP欺骗）H勺保护。

•服务器和Web公布。

・轻松实现可伸缩性，并轻松地扩展至处理更高的流量负载。

•广泛的日志记录、监视和汇报。

方案规划：

安全的Internet连接基础构造应当：

•充当所通过的流量的代理,为内部网络顾客提供安全U勺Internet访问。

•保护内部网络免受来自Inlernet上的威胁。

•提供防火焰服务,包括执行状态包检查和网络地址转换（NAT）。NAT通过隐藏内部网络的IP寻址

方案来保护内部网络。

•执行入侵检测，入侵检测用于•检测多种恶意活动并发送有关这些活动日勺对应警告。此类恶意活动的I

例子包括端口扫描和使用大量口勺网络数据包堵塞特定的端口。

•执行应用程序筛选以扫描各个应用程序层的入站和出站流量（例如SMTP、、FTP），并检测

恶意代码。

•执行Web缓存以提高下列顾客访问和FTP站点的性能和速度:

,访问Internet的）局域网顾客。

•访问内部网络上"勺站点的Internet顾客。

•监视和发送有关多种参数（例如Internet使用、Web缓存细节和内部网络上的顾客进行II勺协议敏

感的Internet使用）的汇报。应当有一种以多种形式（例如电子邮件和事件日志记录）发送警告通

知口勺机制。

下图表达一种企业IT环境,并突出提供安全Internet连接的服务器和设备。

..安.Interne.连接设计

提议：

企业需要一种多用途设备充当路由器、防火墙、NAT设备，并在需要时充当VPN设备。

至少，安全Internet连接布署应当提供防火墙、入侵检测、应用程序筛选、bl志记录、监视和汇报服

务以及代理服务。

•专用的硬件设备：专用H勺硬件设备用于执行不一样的功能，至少要使用两个单独H勺专用硬件设备：一

个防火墙和一种入侵检测设备。此外,还也许将专用的硬件设备用于应用程序筛选、代理服务以及

实行了VPN的环境中H勺VPN设备。将专用设备用于Web缓存以改善网络性能。

­集成的防火墙服务器：在布署中，单台服务器提供保护Internet连接所需要欧I所有服务和功能。

该服务器具有运行流行操作系统的原则硬件。该服务器运行单个或多种提供防火墙服务、入侵检

测、应用程序筛选、Web代理和Web缓存的软件。

选择最适合H勺布署设计,波及到如下事项:

•实行成本。

•构建和布署的难易。

•安全规定。

・性能规定。

下表列出了这长处缺陷

些可选方案的优缺

陷：

可选方案

专用硬件设备提供高性能，由于这些设备：难于管理：需要更多的精力来安装、配置、布

•是为它们的特定功能而设计的。署和支持专用设备。

•使用硬件ASIC设计。昂贵：购置和管理多种专用设备的成本高昂，

•仅执行一种功能。此外还需要额外的物理空间。

高容量：专月设备可以处理巨大的负载（例如依赖厂商：用于执行不一样功能的硬件和软件

大是专用硬件和软件，因此您要依赖厂商提供升

量H勺VPN会话）而不影响性能。级或附加功能。

安全性：硬性防火墙被认为比软件防火墙更安培训需求：IT通才需要接受培训才能使用专

全。用硬件和软件。

无应用程序层篇选,许多硬件防火墙没有内置

应用程序层筛选功能，而是依赖非Microsoft

应用程序提供此服务。

无应用程序层筛选：许多硬件防火墙没有内置

应用程序层筛选功能，而是依赖非Microsoft

应用程序提供此服务。

无应用程序层筛选：许多硬件防火墙没有内置

应用程序层筛选功能，而是依赖非Microsoft

应用程序提供此服务。

集成的防火墙服务器廉价：由于所有服务均由单台服务器提供，布安全性较低：操作系统中的安全漏洞也许影响

署和管理成本都减少了。防火墙软件。

添加附加功能的能力：针对原则操作系统的附风险较高：在相似服务器上运行多种服务将服

加功能很轻易获得。务器暴露给了更多种类的袭击。

不依赖厂商：由于使用原则服务器硬件，因此附加软件层：存在运行操作系统的性能开销。

不存在对厂商的依赖。性能水平：网络吞吐能力和性能水平要比专用

只需更少的1培训：IT通才不需要任何特殊的培设备低诸多。

训，由于使用的是原则硬件和操作系统。性能水平：网络吞吐能力和性能水平要比专用设

VPN：假如在环境中布署了VPN,可以将它共同备低诸多。

承载在此服务器上。

VPN:假如在环境中布署了VPN,可以将它共同

承载在此服务器上。

VPN：假如在环境中布署了VPN,可以将它共同

承载在此服务器上。

表-安全Internet连接布署可选方案

文献服务

文献服务是任何企业关键信息技术基础构造的J一种重要组件。网络共享实质上是计算机或存储设备

上可以从网络上其他计算机访问时文献夹。

在网络共享上存储所有重要数据提供了如下益处：

•与企业有关的信息寄存在一种集中的位置，使员工可以从多种位置对数据进行访问。此外,文献服

务器将具有更好的硬件配置（例如独立磁盘冗余阵列（RAID）和双电源）来为顾客提供对数据口勺高

度可靠和可用的访问。

•数据的集中通过提供较少的数据备份位置来替代包括文献日勺大量客户端计算机，消除了管理承担。

•由于数据不是分布在网络的多种设备上,保护重要数据变得愈加轻易，并且对数据管理提供了更多

的访问控制。

•使提供可靠存储H勺成本减少。这是由于只有承载网络共享口勺服务器才需要高度可用H勺存储。

・在网络共享上存储某些系统文献夹可提供额外的益处。例如，将“MyDocumems”和“Roaming

Profiles"文献夹存储在网络共享上,将分别使顾客可以从网络上的任意计算机访问他们的个人文献

夹以及使用他们的J配置文献进行登录。

使用方案：

•将数据合并到一种中心位置以提供集中存储的益处。

•存储和检索顾客数据，并安全、可靠地在企业中口勺顾客之间共享数据。

•简化数据的保护、备份和恢复过程。

•存储大量的数据,如CAD绘图和多媒体文献。

•使用统一的命名空间。

・将客户端计算机上也许包括重要数据H勺系统文献夹重定向到愈加安全和可靠H勺位置。

环境初始状态：

也许的环境初始状态包括：

•多台服务器提供文献服务。

•文献服务器不能扩展以满足未来的存储需求。假如既有服务器到达了最大存储限制，则需要添加新

服务器,或增长既有服务器的存储容量。

•基于UNIX或LINUX的服务器为大部分计算机运行MicrosoftWindows操