软件技术与工程中心网络基础架构项目设计方案

软件技术与工程中心网络基础架构项目设计文档指导老师：完成人员：目录TOC\o"1-7"\h\z\u1. 项目设计整体概述 31.1 项目建设目标 31.2 项目设计主要原则 32. 软工中心IT系统总体设计 42.1 网络总体架构图 42.2 活动目录和网络基本架构的设计 42.2.1 活动目录森林和域结构 42.2.2 组织单元（OU）规划 52.2.3 活动目录站点拓扑 62.2.4 网段划分与IP的分配 72.2.5 DNS部署方案 72.2.6 用户与计算机对象命名规范 82.2.7 “我的文档”的管理 82.2.8 用户配置文件管理 92.2.9 客户机软件的管理 92.3 打印服务的设计 92.4 文件服务器设计 92.5 网络安全设计 92.5.1 CA的部署 92.5.2 域密码安全策略 102.5.3 企业敏感数据保护方案 102.5.4 系统补丁更新方案 102.5.5 网络边界安全架构 112.6 维护设计 112.6.1 AD的日常数据备份 112.6.2 文件服务器日常备份 11项目设计整体概述项目建设目标根据软工中心的总体需求，将这些分散的IT基础结构整合成一个企业级网络，利用活动目录技术等以改进企业目前IT管理所面临的问题。整合现有的IT环境中的资源，将IT环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，提升IT生产力。从最终用户来说，如何能够实现单一的身份验证，快速的访问企业内部的各种资源，较少的宕机时间，提高系统服务器安全，利用2008域环境使用新特性。对架构、组成员身份、ActiveDirectory复制及策略的更改。提高整个网络资源的可管理性，增强网络的整体安全性。项目设计主要原则要实现规划设计时在满足需求，提供可扩展性，稳定性，保证网路的可靠性和安全性。具体的来讲，在进行设计的时候遵循以下原则：稳定性：采用经国内国外实践证明是实用的、成功的网络技术、网络产品。先进性：采用目前先进的网络技术和产品，以适应公司发展的需要。通用性：网络系统中的硬件或软件模块能根据实际情况，进行各种组合和灵活的配置，以适应技术的发展和业务需求的变化。平滑升级和投资保护：系统可根据功能和规模的发展进行平滑升级到未来的新技术和新功能以保护客户的投资、可靠、经济、力争最佳性价比。可靠性：根据实际应用需要，可考虑采用高可靠性的设备和必要的容错措施（如：硬件容错，软件容错、系统容错）。开放性和标准化：系统设计中优先采用有关的国际标准、国家标准、主流的行业标准和规范，以保障网络的开放性。可管理性：网络应具有网络管理设施，以实现配置管理、性能管理、故障管理、统计管理、安全管理等五个方面的网管功能。安全性：根据业务安全性的实际需要，应采用切实可行的安全措施。可用性：网络应满足峰值业务需求，保证在3--5年内的可用性，并具有很好的可维护性。随着网络结构不断调整及发展，势必会积累一些安全及运行的隐患，要及时的发现及消除，这不仅需要购买专业的维护保养服务和相关硬件，还需要专业的网络系统工程师去判断及处理。通过设备和管理双结合，保障系统安全、稳定的运行，将系统停机时间减少到最少，保护公司数据安全。软工中心IT系统总体设计网络总体架构图活动目录和网络基本架构的设计活动目录森林和域结构根据软工中心的实际情况，为了实现方便和灵活统一的管理策略，我们将中心的活动目录设计为单域架构，其活动目录逻辑架构如下图所示：组织单元（OU）规划为方便对企业域用户和计算机进行管理，利用“客户端计算机与用户”组织单元来组织所有的客户机和用户，在其下再建立各部门OU，用来组织本部门的客户端计算机和用户；另外，建立“成员服务器”组织单元来组织所有成员服务器，并在其下建立子OU来存放各种不同角色的成员服务器。软工中心组织单元规划如上图所示活动目录站点拓扑由于软工中心的网络集中在同一办公楼内，各子网均由高速链路连接，所以我们将该中心的活动目录物理架构只设一个站点。现在的服务器只有三台，分别作为域控制器、文件服务器和邮件服务器，为避免活动目录服务的单点故障，建议利用现有的一台普通计算机作为辅助域控制器。活动目录物理架构如图如示网段划分与IP的分配实现IP地址自动化管理。服务器手动设置IP地址，客户端实现DHCP自动分配IP地址。服务器地址有，，，客户端的地址范围为：01-124，31-170，具体规划如下：默认网关：54/24计算机名称角色IP地址/FQDNDNSrgdc1DC/DNS/DHCP/GC/CA文件/打印服务器/24rgdc2/24RClients/24ISA-ras防火墙//WSUS/TMG内网：54/24DMZ：54/24外网：ISP提供DMZ（默认网关：54）计算机名称角色IP地址DNSDMZ-DNS转发器/24DNS部署方案当用户使用企业内部计算机访问公网各种服务时，需要有DNS服务器进行域名解析，如果让内网机器直接使用公网DNS服务器进行解析，这样不仅存在一定的安全风险而且也给访问域内服务器的解析带来麻烦，所以为内部计算机实现如下安全的DNS解析方案：为了保证用户对内网资源的正常访问，客户机上仍配置为使用企业内网的DNS服务器地址，另外需要在DNS服务器上设置转发器，将除了内部域名之外的所有查询都转发到DMZ区域的DNS服务器上，让DMZ区域的DNS服务器帮内网客户机完成域名解析。同时在内网DNS服务器删除根提示，以使其将除内部域之外的所有域名解析转发到DMZ区域的DNS根服务器。在ISAServer2006只需要制定两条关于DNS查询转发的策略即可，一条是允许内网DNS服务器与DMZ区域的DNS服务器的DNS协议进行通讯，另一条是允许DMZ区域的DNS服务器与外部网络进行DNS协议通讯即可。用户与计算机对象命名规范为方便管理，客户机命名按部门标识加编号的方式进行命名，如销售部的客户机：sales01；对于服务器的命名则按照该服务器所承担的角色进行命名，如果相同角色的服务器有多台还可加相应的编号，而对于不同地区相同角色的服务器，还可以加上相应位置前缀进行标识。用户命名实行实名制，即以用户的真实姓名的拼音作为用户账户，如果有重名可加部门或编号标示。“我的文档”的管理通过组策略将用户的“我的文档”进行重定向到域控制器上指定的磁盘中。这样可以对用户的数据进行集中管理，并防止用户将数据丢失。用户配置文件管理通过漫游用户配置文件将用户配置文件统一存储在域控制器上指定的磁盘中，从而实现域用户无论在域内的任何一台计算机登录时，系统都采用本用户自己的工作环境，方便用户使用自己习惯的桌面设置。客户机软件的管理对于客户机都通用的软件通过组策略将软件指派给计算机，从而实现软件的自动安装；对于某些用户特定需求的软件，我们通过组策略将软件发布给用户，从而实现根据用户的需求进行软件安装及使用。所有客户计算机都必须安装ISA客户端软件。打印服务的设计由于软工中心只有一台打印机设备，则在打印服务器上创建一台共享打印机，并将该共享打印机发布到AD中,从而实现用户对打印服务器的快捷访问。文件服务器设计在文件服务器下以部门名称为名规划多个共享文件夹，并赋予各部门的用户组相对应的权限，为实现众多共享文件夹的统一管理，通过配置MicrosoftWindowsServer2008文件服务器的分布式文件系统（DFS），将各部门的共享文件夹都链接到DFS根目录下，这样可以对用户的数据进行集中管理，并防止用户将数据丢失，同时方便用户访问，然后再通过启用卷影副本来对共享文件夹进行版本管理。网络安全设计CA的部署为确保数据静态存储安全，及保护数据在网络传输的安全性，预先在此网络中部署企业CA（命名为rgca），为今后需要实现数据的安全保护做好铺垫。预先配置密钥恢复代理和数据恢复代理。域密码安全策略软工中心需要通过组策略来管理中心内部工作人员的密码策略。具体策略设置如下：强制密码历史2最大密码时长60天最小密码长度7个字符密码必须符合复杂性需求可用使用可逆加密算法存储密码不可用企业敏感数据保护方案假设软工中心每个部门都有自己比较敏感的数据需要通过EFS来加密保护，每个部门需要有自己的数据恢复代理人；各部门的敏感数据统一保存在文件服务器上，各部门在文件服务器上都有相应的文件夹来实现本部门敏感数据的安全共享；为了防止数据的丢失，所有数据恢复代理人的私钥需要存档。请为每部门建立至少三个用户帐号，一个为数据恢复代理，两个普通帐号，用以测试在远程文件服务器上实现的EFS加密文件的共享。请为EFS加密文件安全地在客户机与文件服务器之间的安全传输提供解决方案。请测试数据恢复代理人的私钥是可恢复的。系统补丁更新方案随着微软不断努力减少代码漏洞，软件更新也在不断进行并成为了企业系统管理和安全战略的重要部分。有效的补丁更新方案可以给企业网络带来以下好处：减少停机时间：系统遭受由于病毒或黑客攻击所造成的损害和死机的可能性大大减少。减少停机成本：网络管理员可以花更少的时间部署更新和更快地响应安全事故。