信息化安全体系结构方案

信息化安全体系结构初步方案公司的信息化水平在不断的提升；信息化系统对公司业务的支撑作用越发明显；因此保障公司信息安全至关重要。信息化设施建设走以“软件为主，基础设施为辅”的方式；企业信息安全防护方案和策略主要由以下各部分组成:•Internet安全接入;•防火墙访问控制;•用户认证系统;•入侵检测系统;•网络防病毒系统;•VPN加密系统;•网络设备及服务器加固;•桌面电脑安全管理系统;•SCADA系统防护方案;•数据备份系统;•网络安全制度建设及人员安全意识教育。公司安全现况：一、防入侵、防攻击：目前连接Internet没有任何的安全防护措施，外网的连接只是简单地通过代理服务器进行管理，主要利用WINDOW系统的ISA软件进行管理，含上网权限、上网代理、VPN连接等；问题：无法有效检测、拒绝外部的非法入侵、攻击，若受到恶意入侵、攻击可能导致网络、ERP系统瘫痪、商业数据被窃取；无法防止内网对外部的不安全访问。二、防病毒：目前公司的多数电脑都装有破解版的诺顿防病毒软件，但都已过期，无法升级，对新的病毒无法查杀；由于公司没有购买杀毒软件，因而新采购的电脑，只能安装360免费杀毒软件问题：没有安装有效的杀毒软件若染上恶性病毒可能导至网络、系统的瘫痪，数据文件损坏，丢失；重要商业数据被窃取；三、防泄密：目前除了公司邮件服务器外发的邮件若有必要可监控外，其它的均无法防止或监控；如上网用外部邮箱向外发送机密文件；用U盘、移动硬盘、MP3等移动存储介质拷贝机密文件等均无法防止或监控。问题：可能至使公司机密文件外泄；四、服务器、数据安全（系统冗灾、冗错）：目前数据安全保证通过三种方式实现：1、服务器作RADI磁盘陈列，保证数据安全；2、数据库服务器用代理功能定期（一般一天1~2次）自动备份在本机；3、将本机的备份文件通过拷贝的方式进行异机备份；问题：目前无法实现实时数据备份，数据量不断增大用常规的拷贝方式工作量大，且没有安全保障；此外大数据量拷贝会影响服务器的性能、占用网络资源。若有异常目前最多只能恢复半天前的数据。安全防范体系：一、防火墙、入侵检测系统：能有效隔离内部网络与外部网络的连接、阻止外界对内部资源的非法访问；防止内部对外部的不安全访问；二、杀毒软件：专业的杀毒软件能及时有效地查杀病毒、有效减少电脑、服务器不受病毒感染；三、上网行为：可根据需要对员工的上网行为进行监控、控制，阻止机密敏感数据外泄；四、专业的数据、应用冗错、冗灾平台：可实现数据的海量存储、实时的备份，确保故障发生时在最短的时间内、最有效的恢复数据、系统运行。若有必要还可实现数据的异地备份建议建设方案：由于公司目前的信息安全防范体系极为薄弱，为了能确保数据安全、保障系统正常运转，特向公司建议“重点保护、逐步完善“的建设方案，分两阶段四步骤进行建设：第一阶段：1、搭建专业的数据、应用冗错的基础平台，确保数据安全，系统高效运行；业务数据是企业信息化的核心，一旦丢失损失是无法弥补的，由于公司的服务器多数都比较老旧，而且数据量也越来越大，因而数据安全是安全防范的首要任务；2、购买正版杀毒软件：系统的运行离不开服务器、网络、电脑等基础设施，保障IT设施的安全，是系统正常运行的前提；3、实行网络分离，规范网络环境，最大限度保护公司的网络，防范病毒对内部计算机的入侵，保护公司数据的安全性和完整性第二阶段：4、购买硬件防火墙、入侵检测系统：在保障内网安全的同时，有效管理内部与外部的沟通，尽可能杜绝非法的入侵、攻击；5、规范公司内部电脑客户端使用权限，搭建公司域控制器，合理分配账户权限；6、规范移动存储设备的使用，针对研发等机密性高的部门设定使用权限，确保公司机密文件的安全性；7、上网行为管理：对员工的上网行为进行规范化管理和分离控制；确保商业数据不外泄；阶段步骤建设项目实现目标备注第阶段第步数据存储、备份1、搭建专业的数据存储、备份基础平台，实现数据实时、异机备份；2、搭基础的应用冗错平台，保障系统高效运行；3、实现系统故障的快速恢复第步防病毒1、搭建公司内部基础的防病、杀毒安全体系；保障服务、网络、电脑等IT设施的安全；2、保障数据安全；

第三网络分离1、拾建内部网关+ISA,实施防火墙朿略，保护网络环境2、利用核心交换机划分VLAN,明确部门网络环境3、实施内网、外网分离第阶段第四步防火墙1、构筑安全防火墙；有效管理内网与外网的连接，尽可能杜绝非法的入侵、攻击；第五步实现域控制器1、规范公司内部电脑客户端使用权限；2、搭建公司域控制器；3、合理分配账户权限；第六步存储设备的使用1、规范移动存储设备的使用，针对研发等机密性高的部门设定使用权限，确保公司机密文件的安全性；2、实现对USB设备进行辅助管理第七步上网行为管理4、对贝工上网仃为进仃规范，控制；5、实现流量控制6、确保数据不泄备注：实际实施步骤依据公司需要调整。拓扑图如下：缶悦17tn斗丹网络拓扑图拓扑图如下：缶悦17tn斗丹网络拓扑图网关/防火墻楼层空换机PW*v»u|r£A]实现方案：第一阶段一、数据数据存储、备份数据中心当前存储特点和数据保护的需求，本系统建设的重点包括：（1）存储集中化改造由于公司现有业务系统为多年来分批采购上线，数据存储缺乏统一规划，存储数据分散到服务器和直连存储本地，无法实现数据整合和统一管理。本次希望建设SAN存储区域网络，逐步将各业务系统数据迁移到存储阵列，在阵列侧进行数据集中存储与管理。（2）数据备份系统建设如何保护好计算机系统里存储的数据，保证系统稳定可靠地运行，并为业务系统提供快捷可靠的访问，是系统建设中重要问题。而要保证系统稳定可靠地运行一个关键的要素就是要保护存储在计算机内的数据。人为的操作错误，系统软件或应用软件的缺陷、硬件的损毁、电脑病毒、骇客攻击、自然灾难等等诸多因素都有可能造成计算机中数据的丢失。因而，有必要建设数据备份系统，对业务数据进行有效备份和快速恢复。（3）系统上线新系统，需要部署高性能服务器1台，数据量10TB。（4）服务器区安全防护针对服务器区，当前缺少安全防护机制，存在比较大的网络安全风险。建议使用硬件防火墙。二.存储与备份技术方案方案概述：方案拓扑图如下所示：PlsenseflSA)备恃存储阵列枝心交换机棲址交换机机由交换机on冷0PlsenseflSA)备恃存储阵列枝心交换机棲址交换机机由交换机on冷0莎BE12.5展务器通过建设数据备份系统，保证数据的一致性和完整性，消除系统使用者和操作者的后顾之忧。本次备份系统建设，我们实现了对现有服务器上数据的统一备份。备份系统采用赛门铁克BE12.5备份软件，采用磁盘阵列作为备份数据物理存储介质，考虑到当前业务需求和未来3-5年的扩展性，另需要采购一台高性能机架服务器作为备份服务器。备份系统按照35TB数据量规划。三备份方案备份系统组成数据备份系统由备份软件、备份网络、备份硬件（备份服务器、备份存储介质）和备份策略组成。>备份软件优秀备份软件应当包括加速备份、自动操作、灾难恢复等特殊功能，对于安全有效的数据备份是非常重要的。>备份网络备份网络可以是SAN,也可以是LAN/MAN/WAN,或SAN+LAN/MAN/WAN混合方式，它是数据传输的通道，数据备份的效率高低与备份网络有密切关系。>备份介质介质是数据的负载物，它的质量一定要有保证，在这采用Raid。>备份管理知识备份/恢复系统，除了配备有好的软硬件之外，更需要有良好的备份策略和管理规划来进行保证。对于一个复杂的系统，必须根据各种应用和业务的处理类型来分别制定具体的备份策略。备份软件选型备份系统建议采用SymantecBackupExec12.5。BE备份软件是Windows数据保护领域的金牌标准，可以提供磁盘到磁盘到磁带备份及全面恢复功能，能够确保关键业务数据始终可用。备份软件在服务器端的配置如下：（1）BackupExec12.5ForWindowsServer这是BackupExec软件的核心，其负责备份策略的制订、管理、维护等工作。该部件的License在一个全功能的独立备份环境中要配置一个。（2）BackupExecAdvancedOpenFileOption（免费）使用该选件后，管理员无需提前知道哪些文件是打开的，只需点击鼠标，设定预定备份即可。此外，它还能在一次作业中备份多个卷，利用依次创建各个逻辑卷在某个时间的快照来进行。在创建逻辑卷快照并进行备份之后，这个快照会在创建下一个逻辑卷快照之前删除。该选件提高了最小化快照所需静默时间的能力。（3）BackupExecIntelligentDisasterRecoveryOption（免费）使用本选件，能够实现服务器恢复的自动化，减少恢复时间，快速恢复业务。IDR为本地和远程Windows服务器实施服务器恢复解决方案，无需首先向曾经崩溃的服务器上加载操作系统。采用磁盘、CD-R/CD-RW或可引导磁带，智能灾难恢复选件能够快速恢复停机的服务器，使用户能够从最近的一次完整备份中恢复，包括完全备份、差分备份、增量备份和工作集备份。备份软件在受保护的服务器端配置如下：（1）BackupExec12.5MicrosoftSQLServerAgent数据库备份License按照物理的数据库数量计算，用于支持对数据库的在线备份。2)BackupExec12.5RemoteAgentforWindows用于建立被保护的服务器与备份服务器之间的通讯联系，同时，自身也提供了文件系统备份的功能。备份硬件选型在备份硬件方面，推荐使用存储阵列作为远程备份物理介质。传统意义上，数据备份一般通过备份软件与物理磁带库结合的方式来实现，但是近十年带库使用使得大部分信息化建设较早的用户头疼不已。物理带库应用常带来的困扰，具体表现如下：磁带库为机械设备，特别是机械手不停进行磁带的抓取，故障率节节攀升，维护成本居高不下；磁带为敏感性介质，大部分用户为其保存而痛苦，其对环境的湿度、温度等均有严格要求，经常会遇到需要恢复时磁带已经失效的问题，这往往使得整个备份过程变得毫无意义；磁带库备份的效率低下，一次全备份作业往往要耗尽管理员的耐心，特别是数据量达到1TB以上时。鉴于以上的各种考虑，推荐使用华为赛门铁克S2600C存储系统。备份阵列，我们推荐华为赛门铁克OceanStorS2600C存储系统。S2600C存储系统支持FC和iSCSI主机接口，可以同时支持IP和FC接入，提供经济的存储方案和完善的数据保护措施，适合于备份存储物理介质。当前数据备份，我们考虑LAN-Base方式，基于IP网络进行数据备份简单易行。未来随着数据量增长，大数据量业务系统备份可以考虑LAN-Free方式。备份阵列支持LAN-Free组网，需要阵列能够接入FC-SAN网络，即阵列支持FC主机接口。因而，S2600C同时支持FC和iSCSI主机接口充分显现出其优越性。S2600C单框支持12个磁盘驱动器，最大支持96块硬盘，配置SATA硬盘存储备份数据，支持SAS/SATA硬盘混插，实现数据的按需存储，最大限度降低投资成本。领先的磁盘休眠、磁盘降速、低功耗无铅元器件设计，满足绿色环保要求。在备份过程中，备份服务器的性能起到关键性作用。备份服务器负责整个Windows备份系统的管理，包括备份策略的制订、备份数据库的保存。负责将本机的数据或客户端的数据备份到磁盘阵列中。备份服务器对网络性能、CPU处理能力、内存等有着较高的要求。备份服务器规格建议如下：IntelNehalem2*4核CPU16GB内存2*146GBSAS硬盘，做RAID1后还可已有146GB的容量双千兆网卡1.2.备份策略1.2.1.备份组网分析备份组网形式是根据用户数据量、备份窗口、用户可用备份网络带宽共同决定的。按照35TB备份数据量规划，假设现网数据量和备份窗口如下：数据量：3500G业务网络为千兆局域网，且完全用于备份（链路有效利用率70%），可提供近90MB/s的传输速率。1000*70%/8=87.5MB/s完成一次全备份需要时间：3500*1024/87.5/3600=11.4小时即按照35TB备份数据量估算，内网千兆链路可以充分利用做数据备份，则11.4小时可以做一次全备份。在每周可以做一次全备份，每天晚上可以做一次增量备份的情况下，建议采用LAN-Base备份方式。1.2.2.服务器备份策略日常运行：备份窗口可以选择在晚22：00－7：00，或其他业务空闲的时段。一般情况下，考虑到网络带宽的限制，备份数据流不应大于GE口的数据流量（80MB/S左右）。表1服务器建议备份策略表备份内容备份方式调度时间备份周期（天）保留期限（天）数据库完全备份22：00730数据库累积增量备份22：001120文件系统完全备份22：00730重要操作备份：重要操作包括系统升级、打补丁、业务调整、系统切割等，在执行重要操作前，需要做好严密的数据备份工作：在每次重要操作前对数据库进行完全备份；在进行对文件系统相关操作时，应对文件系统进行完全备份。具体操作，可根据操作对应用系统产生的影响程度和风险进行评估是否需要手动执行备份操作。备份的策略是按照现网需求来确定的，取决于用户要备份的数据量、备份数据要保留多久、何时可以进行备份、能承受的备份时间等。备份系统管理恢复演练1.3.1.恢复演练数据备份的目的是为了能够在生产系统发生故障需要进行数据恢复时能够为主机提供某个时间点的完整、正确的数据。因而，确保备份数据的可恢复性是构建备份系统时必须要考虑的问题。为尽量避免或者减小由于恢复演练导致对生产系统的影响，建议通过以下方式进行演练：•观察备份作业运行状态备份系统管理员应定期检查备份作业运行状态，确保备份作业正确运行。如果发现备份作业失败，应尽快排除故障或者联系厂家工程师解决故障。同时，在故障解决后，应立即对失败的作业重新执行完全备份。•将数据恢复到异机为了更有效更直观地监测备份数据是否完整有效，可通过将备份数据恢复到备用计算机上进行测试。具体恢复过程如下：准备与生产主机硬件架构相同的计算机（配置可比生产机低）；按照生产主机配置对备用计算机进行配置；>为备用主机安装备份软件客户端程序和数据库代理；>按照备份软件恢复方式将备份数据恢复到备用计算机；在备用计算机上测试数据是否可用。1.3.2.备份作业管理对于备份作业，备份系统管理员应定期执行以下操作：•观察备份作业运行状态通过观察备份作业运行状态来判断备份作业是否正常，如果发现作业异常或者失败应尽快排除故障使备份作业正常运行。观察备份介质使用率当备份介质使用率超过80%时，可以考虑是否需要调整备份数据保存策略或者对备份介质进行扩容。观察备份软件是否有告警等关键事件相关记录通过备份软件告警功能可快速跟踪并查找到即将导致或者已经导致备份系统故障的信息，并通过该信息排除备份系统故障。根据业务变化调整备份策略备份系统管理员应根据实际业务变化，适时调整备份策略。备份介质管理备份介质管理可以通过以下集中方式进行：通过备份软件管理备份介质备份软件提供了备份数据生命周期管理，通过为备份集设置保留时间和覆盖时间，有效循环使用备份介质。备份软件也会监控备份介质的运行状态，当备份介质异常而导致备份作业失败时，在作业历史记录和告警中均会有相应的记录。这些告警信息有助于系统管理员诊断和排除故障通过告警铃声、指示灯、邮件通知等监控设备状态S2600提供了铃声告警、故障指示灯、邮件通知等多种直观方式来监控设备运行状态。通过设备管理软件管理备份介质S2600自身提供了图形界面、命令行等多种管理方式。通过管理界面可以完成设备的基本配置、性能调优、故障诊断等工作，是备份介质最好的管理方式。1.4.BackupExec12.5备份软件SymantecBackupExecforWindowsServers是Windows数据保护领域的金牌标准，可以提供磁盘到磁盘到磁带备份以及快速而有效的恢复功能。借助正在申请专利的全面恢复技术，以及可以为Microsoft关键应用程序提供持续数据保护的能力，业务数据不仅始终受到保护，而且可以轻松进行恢复。BackupExecl2.5备份软件主要功能优势及包括：＞为Windows服务器环境提供市场领先的数据保护解决方案BackupExec为基于Windows的企业提供安全可靠的数据保护，包括为MicrosoftWindowsServer2008提供优化的支持。＞正在申请专利的全面恢复技术（GRT）可以在几秒之内恢复关键应用程序数据BackupExec通过一次性备份恢复单个Exchange邮件、SharePoint文档和ActiveDirectory项目，消除了多个备份作业，不再需要进行Exchange邮箱备份。＞持续数据保护BackupExec利用BackupExecContinuousProtectionServer消除备份窗口，BackupExecContinuousProtectionServer可以在数据发生变化时对其进行持续保护，可轻松满足Exchange、FileServer、SQLServer和桌面数据的恢复点目标。＞FIPS验证的数据加密BackupExec包括FIPS验证的256位AES加密，用于对整个网络或存储设备提供灵活的数据加密。＞打开文件数据保护BackupExec确保在本地介质服务器或远程Windows服务器上的打开文件在使用过程中仍能受到保护，而且在运行备份作业时不会被忽略；SymantecBackupExecAdvancedOpenFileOption（现在包括BackupExec软件）能够以卷级保护打开文件。＞与市场领先的赛门铁克技术集成的创新多产品集成BackupExec通过SymantecEndpointProtection、SymantecEnterpriseVault及具有补充功能的BackupExecSystemRecoveryOption提供集成的安全、恢复和归档功能，进一步为不断发展壮大的企业提供高级防护。＞通过远程代理和选件提供可伸缩的异构支持BackupExec功能强大的补充性BackupExec远程代理和选件可以有效防止异构服务器上的数据丢失，并且能够最大限度提高支持的NDMPFiler和SAN环境的备份与恢复性＞3层集中式管理BackupExec对于分布在网络上或异地办公室的Windows数据中心的众多BackupExec介质服务器，提供强大的可扩展操作，包括负载均衡、分布式目录、带宽调节、容错及监控和报告。＞高级系统恢复，可以恢复至不同硬件和虚拟服务器环境BackupExec提供在几分钟之内进行基于磁盘的恢复能力，可以在出现灾难性故障时，恢复到不同的硬件，甚至恢复到虚拟服务器，从而确保利用BackupExecSystemRecoveryOption对Windows服务器进行非常快速且灵活的恢复＞基本灾难恢复BackupExec凭借IntelligentDisasterRecoveryOption（现在各款介质服务器和用于WindowsServerLicense的代理中均附带），为传统备份环境提供基于磁带的灾难恢复能力。第二步防病毒1．网络防病毒的管理模式根据公司网络结构和要求，在充分考虑可行性的基础上，在整个内网网络防病毒管理构架方面，建议采用公司集中管理、负责日常技术维护的管理构架，具体包含以下几个方面的内容：（1）集中管理集中管理指的是由IT部门来进行集中管理，包括：①由IT部门根据各部门机构的具体情况统一制定相应的防病毒策略和实施计划；②IT部门负责全网的病毒定义码和扫描引擎的升级；③IT部门负责各部门被隔离文件的提交和返回相应的病毒定义码和扫描引擎。具体情况如下所述：1•由IT部门为各部门统一制定相应的防病毒策略实施计划IT部门可以根据各部门的具体情况，根据防病毒强度和力度的需求，制订出相应的防病毒策略和实施计划，并具体负责实施。由IT部门负责全网病毒定义码和扫描引擎的升级由于在整个公司内联网中，只定义一个Internet出口，同时为了安全和管理的方便起见，可以在防病毒服务器统一进行病毒定义码和扫描引擎的更新、升级。也就是说，公司的一台防病毒一级服务器定期地、自动到Symantec网站上更新最新的病毒定义码和扫描引擎，底下各部门的电脑到公司的防病毒服务器进行病毒定义码和扫描引擎的更新、升级。采用这种升级方式，一方面可以确保企业整个内网内的病毒定义码和扫描引擎的更新基本保持同步，使整个企业内网都具有最强的防病毒能力。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时因为只有总一个Internet出口，便于网络安全的管理。如图所示：.bffl^^urr*ism曲4上丸曲就hi■时宰rt准#越吨无細怕T一期*::机垮吐1划琏二机曲1»弟*诩宜乂文码杠、m曲屬秦哩门畏蛊w出*fm.bffl^^urr*ism曲4上丸曲就hi■时宰rt准#越吨无細怕T一期*::机垮吐1划琏二机曲1»弟*诩宜乂文码杠、m曲屬秦哩门畏蛊w出*fm科拘屯社诽惜耳niH|'imjiMiix.s^^3M吱律粉科诈.inH*■BE0Gnrap□口□□□□rwSWSwiJ由IT部门负责集中处理各分支机构被隔离文件的提交当在网络中某个或某些客户端发现有新病毒出现，而防病毒软件无法清除时，客户端会通过隔离技术首先在本地把被感染的文件隔离，首先保证病毒不会

发作，同时在本地做备份（取决于管理员的设置），然后再做一份拷贝，自动传送到局域网内的隔离区服务器。此时由于在各分支机构没有Internet出口，同时出于安全的考虑，可以统一由总公司自动或手动（取决于管理员的设置）提交到赛门铁克的Internet网关，网关会根据当时的病毒定义码情况在几秒钟、几分钟、几十分钟、几小时或48小时内返回针对该病毒的解决方案，当返回相应的病毒定义码和扫描引擎后，可以通过预先的设置，把最新的病毒定义码和扫描引擎自动安装到全行的所有防病毒服务器和发现病毒的那台计算机上，同时也可以安装到指定的几台或一台防病毒服务器上。具体请参考图3.3应念丄亜疫敕匸叩tn同II匚祀舸:应念丄亜疫敕匸叩tn同II匚祀舸:h二良•土上戊遅矢三妝-2询.1^80可匕自剳或寻副提交判竇门诙克的：nti?net网关（基干邮件或SHTIT的方式1企业^火牆JEP尹CentralQuarantine］喀户端炭现康奇不能被请維，现在本地皤高*备份，然后做一帶拷贝送往申央隔离述服务盘DOSW1n3.1\MnB5'hMO®■hMoMT企业^火牆JEP尹CentralQuarantine］喀户端炭现康奇不能被请維，现在本地皤高*备份，然后做一帶拷贝送往申央隔离述服务盘DOSW1n3.1\MnB5'hMO®■hMoMTVJri2D0D图3.3®適过阴C可或自动虫业人网进匚匚动安強到达的最新病毒定义*移砧用户通过电于邮件方式自动眾岀2）技术维护：IT部门在进行集中管理的同时，各客户端各自进行自己本地的日常技术维护工作，具体包括以下5个方面的维护工作：①为自己的局域网进行配置制定的防病毒策略；②局域网防病毒软件的安装;③监控局域网防病毒状态；对局域网防病毒状态的监控和对病毒事件做出相应的响应；④日志文件的维护；⑤报警维护；配置公司制定的防病毒策略在制订好相应的防病毒策略之后，负责实施，同时日常监控局域网中防病毒软件的运行情况。负责局域网防病毒软件的安装对于防病毒软件的安装，可以根据具体情况灵活采用以下几种方式：登录脚本：装一台域控制器PDC，然后在PDC上安装SSC，建立一个用户NAVSETUP,在用户的配置文件属性中，设置登录脚本VPLOGON.BAT。客户端使用该用户登录到PDC域中自动运行VPLOGON.BAT，客户端将自动安装防病毒软件。共享目录：用户只需要在网上邻居找到控制中心共享的VPLOGON共享名下的VPLOGON.BAT，运行此文件也可自动安装生成静默安装包：可在控制中心，利用PACKAGE.EXE生成一个自解压安装包（约19M）,工作站运行此安装包，即可无需应答完成安装。采用CD直接到客户端安装：按提示一步一步应答。基于Web的客户端安装：也可以通过现有的企业内部WEB服务器，或在防病毒服务器上建立一个WEB安装服务器，客户端通过浏览器进入WEN安装服务器，进行防病毒软件的安装。对于在局域网内划分有多个VLAN和多个网段的情况，可以通过以下几种方法来实现登录脚本的安装：第一种方法：首先为防病毒服务器安装一块支持VLAN（802.1Q标记）的网卡,可以采用3C980C-TXM（也可以采用其他的支持VLAN的网卡），它支持64个VLAN。然后为为该网卡安装相应的驱动程序，包括VLAN驱动程序，同时给这个网卡设置多个IP地址，每个IP地址分别属于局域网中的VLAN，注意不要和其他的IP地址冲突。第二种方法：在交换机中另设一个VLAN，并把这台防病毒服务器划分到该VLAN中。在交换机上设置局域网中所有其他的VLAN的计算机都可以和新设VLAN中的这台防病毒服务器单向通讯，以便所有其他的VLAN的计算机都可以登录到这台防病毒服务器中，执行相应的登录安装脚本。第三种方法：设置Wins服务器或DNS服务器，通过Wins或DNS解析，以便客户端可以登录到这台防病毒服务器中，执行相应的登录安装脚本。当经过以上任何一种设置后，属于不同VLAN中或不同网段中的客户端就可以登录到防病毒服务器来自动安装客户端软件。监控局域网防病毒状态管理员除了进行软件的安装和策略的配置外，还要监控本局域网网络防病毒的状态，及时了解本局域网防病毒的信息，如客户端是否及时更新了病毒定义码和扫描引擎、都有那些客户端连在网上、客户端防病毒策略的配置情况、客户端是否开启了实时防护功能、实时防护的力度如何等所有跟防病毒有关的策略、事件。日志文件的维护同时对局域网内部病毒日志的维护工作,以便调整和采取相应的防病毒策略。报警维护当网络中某一个计算机发现病毒时，不但可以把有关的病毒信息记录到相关的日志中同时也可以实时地向服务器或或计算机所在网络的管理员发出报警，使管理员可以及时地掌握网络中病毒动向，在需要时做出及时的响应。二．关于内网防病毒管理方面的补充说明出于对广域网带宽占用的考虑，在整个公司内网病毒定义码和扫描引擎更新升级方面，采取了分级更新的方式，如果随着整个公司内网带宽的增加，可以采用集中升级的方式，即：只有总公司的一台防病毒服务器到赛门铁克网站定期、自动更新最新的病毒定义码和扫描引擎，赛门铁克的一台防病毒服务器可以支持

100,000台客户端病毒定义码和扫描引擎的升级。参看图3.4图3.4安装完防病毒体系后对业务的影响实施赛门铁克企业网络防病毒解决方案对企业现有业务不会有任何影响。制定相应的管理制度为了确保网络和系统的正常运转，企业必须指定相应的管理制度，如配备相应的MIS人员负责整个网络安全的目常管理及维护。制定相应的机房上机管理制度。强制实施统一的防病毒策略。及时更新升级最新的病毒定义码。一般情况下每星期应该更新一次病毒定义码和扫描引擎，在特别情况下如有新病毒出现时可能需要每天更新病毒定义码和扫描引擎。第三步网络分离基于公司现在的硬件设备，可直接在局域网中的ISAServer2006部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA服务器，进行网络隔离，然后在ISA服务器中对客户端访问服务器进行UAC控制，增加一个硬件防火墙，对公司整个网络进行分离和监控管理。同时利用硬件防火墙的内置功能实行对邮件服务器、WEB服务器的过滤和保护。改造后的网络拓扑如下：BE12.5U-IcwlII网关网络拓扑图BE12.5U-IcwlII网关网络拓扑图楼层交换机•ISA服务器代替路由器在核心交换机中划分了7个VLAN，分别从〜，子网掩码都是,服务器区使用了/24,每个VLAN的网关地址都是254。ISAServer内网的地址设置为54，在此块网卡上不添加网关地址(并将此网卡命名为“LAN”)，外网网卡设置为路由器原来的外网地址、子网掩码、网关地址与DNS地址(并将此网卡命名为“Internet”)。并且在该ISAServer的命令提示符下键入：Routeadd-p54mask0在ISAServer上主要做以下的调试：.将新添加的网卡重命名为“DMZ”，设置IP地址为54(就是在核心交换机中删除的那个VLAN端口的IP地址)，设置子网掩码为,不要设置网关地址。.进入ISAServer2006管理控制台，在“配置一网络”中，在右侧的任务窗格中，选中“模板”，单击“3向外围网络”。在“内部网络IP地址”页中，单击“添加适配器”按钮，添加名为“LAN”的网卡。在“外围网络IP地址”页中，单击“添加适配器”，选择名为“DMZ”的网卡。在“选择一个防火墙策略”页中，选择“阻止所有访问”，然后单击“下一步”按钮。在“正在完成网络模板向导”页中，单击“完成”按钮。.修改网络规则：在默认情况下，“外围”与“内部”的关系是“NAT”，“外围”与“外部”的关系是“路由”，如图3所示。在此，需要修改“外围”与“内部”的关系是“路由”，修改“外围”与“外部”的关系是“NAT”。

，曲-KlflTllltBiwkiula让阳a■量出卜我帚用悄酗翅峠■备対卸刃TH-Sr1a1bI«fhj*IjficwhlFLrftl^ri1hu，曲-KlflTllltBiwkiula让阳a■量出卜我帚用悄酗翅峠■备対卸刃TH-Sr1a1bI«fhj*IjficwhlFLrftl^ri1hu^4rii*rlUiM14*®|*刊超■U'iKi时*reO®i5Fjr>**..■*i：JsiiwtteisKhMmrFmri1jw-s<g|ri^-ih^l-AlLqstiZxn™QWtKIWMiirr~>--j*txTMuq3-J4R17■绘・IM-■Tfwrit山円・卜怛畔r.用鼠标双击“外围配置”，在弹出的“外围配置属性”页中，在“网络关系”选项卡中，单击“路由”，然后单击“确定”按钮。同样，双击图7中的“外围访问”，将“网络关系”修改为“网络地址转换(NAT)”，单击“确定”按钮。然后，返回到“网络”项，确认“内部”、“外围”网络地址正确。.在ISAServer上创建规则，允许“内部”到“外围”区，一般使用HTTP、SMTP、FTP、POP3、DMZ、HTTPS协议即可，这样包括了大多数的协议，如果你的服务器区使用了其他的协议，例如SQLServer、非默认的Web端口(例如TCP的81)，则添加这些协议即可，如图所示。Jj[■■lid审MWmiHtmW3审iwtrl]MiDJj[■■lid审MWmiHtmW3审iwtrl]MiDDL加vm蜩旳QXJ应亠口J.tt#聖辆“3^.rsi允£车的向络拣议!■鯉書喘]静11卉牺jf.电B-*a*Eir>me®wn>*1畳■帕•時笨I_Jph-9rnttfl4a扣：ha心a«x«flrarwi-uta4lW-J叭jsrti改造后，不需要修改服务器的地址，也不需要修改客户端访问服务器的地址，但工作站与服务器之间经过ISAServer进行保护，增强了网络的安全。如果需要让Internet上的用户访问DMZ区的服务器，创建到DMZ区的服务器发布规则即可。第四步：防火墙策略一硬件防火墙的安全策略初步方案注：不同品牌的设备设置可能会不一样，但总体的设计思路如下防火墙必须开启NAT功能，对于服务器地址做静态地址映射。可配置一一对应的静态地址映射，也可采用端口映射的方式。推荐采用后者，后者的安全性更高。静态端口映射的方式为:服务器域里面的每台服务器的服务端口都分别映射到公网某一个IP的对应服务端口。这样对外仅公布一个IP,而对内有N个服务器提供对外服务。对于访问量较大的服务，如web访问等，当服务器符合达到设计能力的80%的时候需要考虑提高服务器性能增加负载均衡器。此时防火墙仅对虚拟Server做地址和服务端口的映射。对于内部安全或DMZ非军事化区的服务器需要访问外网的，建议采用PAT的方式实现对外访问。即所有内部主机共享一个公网出口IP,进行主动的对外访问。防火墙安全区域划分原则:单层防火：单层防火即仅使用一台或则一对防火墙做安全隔离，对防火墙要求为每个防火墙需要有至少4端口，对于数据流量较大的可采用GE口，或则做防火墙负载均衡。其中一个端口连接安全区域，一个端口连接全区域，一个端口连接非军事化区，最后一个端口用于防火墙双机的会话和配置同步，或则用于连接DCN网。双层或多层防火:双层以上防火对于单防火墙的端口需求较低，每台防火墙可以仅配置2-3个FE端口（如果是可以仅配置2个端口）.对于数据流量较大的可采用GE口，或则做防火墙负载均衡.多层防火的每层所使用的防火为不同厂商不同型号的防火墙。其中每层防火墙连接2个不同功能不同层次的网段。遵循安全级别最高的网络内层的原则。防火墙配置采购主要原则：测算系统可能达到的用户并发访问量，来确定防火墙关键指标中的最大支持会话数。测算系统可能达到的最大数据流的带宽需求，以确定防火墙关键指标中的数据吞吐能力（包括明文和密文选择端口的类型）。对于数据量非常大的业务，可采取防火墙负载均衡的方式或采用更高端的防火墙。对于高可用性业务系统必须采用防火墙双机系统。防火墙需配置对应的防火墙日志服务器、TFTP服务器，如有必要可配置相应的日志分析软件。对于需要过滤和认证需求较高的系统，还需要配置AAA认证服务器和URL过滤服务器如Websence等。防火墙基本信息配置原则：管理端口配置为相对安全的端口，如需在相对非安全端口开放管理功能，需要限定能够访问该管理功能址最高权限管理员名称必须更改，口令必须保证足够复杂包含数字、字符、字母。同时口令需要定期更改，更改时通知相关维护人员。防火墙必须配置时间同步，可和系统权威时间服务器进行时间同步，一般采用NTP协议远程管理需设置超时时间，一般设置为5-10分钟为宜防火墙远程管理可开启的管理方式为：SSH、HTTPS。禁止使用telnet等明文传输的服务进行远程管理。防火墙配置文件需定期脱机保存，建议脱机备份和保存的周期为1个月。根据不同的服务特性定义恰当的协议超时断开的时间。协议连接超时含义为当某个协议的长连接在一定时间没有任何的数据流量防火墙识别为超时。对于不同网元服务器单独定义服务池。以增强配置的可读性和维护的方便性。防火墙上需配置所有网元IP对应的网元名称防火墙双机配置原则：防火墙双机系统为镜像，即备用防火墙为主用防火墙的镜像。所以防火墙对端连接的网络设备对防火墙宣告路由IP网关地址必须唯一，对于路由器和三层交换机而言可启VRRP或则cisco的HSRP。防火墙双机需要启用同步会话的状态检测型双机，如pix的statefulfailover功能。这样在双机发生倒换的时候不会引起会话的中断，而不需户端重新发起一次连接，从而做到平滑切换。c.防火墙双机的倒换配置原则为某防火墙掉电需要进行倒换，异常故障需要倒换，同时最关键的是某网络业务端口失败也需要进行倒换。防火墙安全策略配置原则：首先确定所有网元需开放的协议和业务端口的情况，并明确是入向开放端口还是出向开放端口，或是双向端口均须开放（如NTP）和服务端口随机。根据需要开放的服务端口配置包过滤的安全策略。其中对于某些使用端口随机的情况，只能做限定访问地址的策略。在非安全域所连接的防火墙端口上启用防止IP欺骗的功能防火墙需开起防止网络风暴的检测预防功能防火墙上建议开起远程维护服务器的维护用VPN服务防火墙上需开起自带的IDS功能除调试期外，投入正常运行后需关闭ICMP入向访问防火墙日常维护原则：a.观察关键告警察看日志服务器的关键错误日志，攻击日志观察防火墙关键性能（如带宽利用率、CPU和内存使用率、会话占用数等）二ISAServer中防火墙的策略在ISA服务器安装成功后，防火墙策略默认为禁止所有内外通讯，所以在服务器上建立相应的防火墙策略，以使内外通讯成功。在ISAServer中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。访问规则：则定义了内、外网的进行通讯的具体细节。服务器发布规则：定义了如何让用户访问服务器。•••1.1网络规则ISA通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISAServer2006中的一个很大的进步，它没有了ISAServer2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。在ISA2006的网络规则中定义的网络连接的方式有:路由和网络地址转换。1.1.1路由路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows2000Server和WindowsServer2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。在ISA2006中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。需要注意的是，路由网络关系是双向的。如果定义了从网络A到网络B的路由关系，那么从网络B到网络A也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。1.1.2网络地址转换(NAT)NAT即网络地址转换(NetworkAddressTranslator)，在Windows2000Server和Windowsserver2003中,NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。ISA2006由于同Windows2000Server和Windowsserver2003的路由和远程访问功能集成，所以支持NAT的的连接类型。当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当NAT服务器从Internet主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号，然后再把信息包发内网的客户机。当在ISA2006中指定了这促类型的连接后，ISA服务器将用它自己的IP地址替换源网络中的客户端的IP地址。从而对外隐藏了内部管理的IP,同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了IP地址注册的费用。需要注意的是：NAT关系是唯一的和单向的。如果定义了从网络A到网络B的NAT关系，则不会自动定义从B到A的网络关系。您可以创建定义双向关系的网络规则，但是ISA服务器将忽略有序规则列表中的第二条网络规则。1.1.3默认网络规则在进行ISA2006的安装时，系统会创建以下默认规则（如图3-1所示）：本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关•・・系。VPN客户端到内部网络：此规则指定在两个VPN客户端网络（.VPN客户端■和.被隔离的VPN客户端.）与内部网络之间存在着路由关系。Internet访问：此规则定义了在内部受保护的网络（如内部、VPN客户端等）与外部网络之间存在的NAT关系。1.2访问规则访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有IP通讯、适用于特定的协议定义集或适用于除所选协议之外的所有IP通讯。也可以在访问规则中对用户访问进行精确的限定。当客户端使用特定协议请求对象时，ISA服务器会在访问规则列表中从上而下地进行检查。只有当某个访问规则明确允许客户端使用特定的协议进行通讯，并且允许访问请求的对象时才处理请求。在ISA2006的安装过程中会自动创建默认的系统策略，其中包含了预配置的、已知协议定义的访问规则列表，其中包括最广泛使用的Internet协议，以允许ISAServer2006服务器能访问它连接到的网络的特定服务。第五步实现域控制器Windowsserver2008+域环境搭建：服务器操作系统是windowsserver2008，客户机的操作系统是windowsxp，工作在工作组模式下，员工一人一机办公。公司组建域控制器后，能更好的实现各部门间资源交换与共享。既提高办公效率，也加强了内部网络安全，规范计算

机使用。一、域规划DC情况如下表:DC计算机名IP子网掩码DNS5354gateway54二具体实施1、建立根域1.1准备对于安装WINDOWS2008SERVER的服务器，对硬件有如下要求:处理器最低1.0GHzx86或1.4GHzx64推荐2.0GHz或更咼内存最低2GB推荐4GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB64位标准版32GB，其他版本2TB硬盘最少500GB，推荐1TB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA800X600分辨率，或更咼；在安装根域服务器前，首先要确定计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明）IPV6禁用1.2安装在安装windows2008之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色

siiini-恩磁U威UH絹鱼倾能*□词邑页更科助邑IH氏曰侶在服务器角色中选择AD域服务（DNS不可与AD—起勾选）然后单击下rH步,进入一个对AD的简介界面,到:5!I曙斗BlEJi崔醫嘛觐嘘討幣「』秒・M=W9«<faG^E中丫应肮1■盼照Sk准:tfiTI韦-31却••内扫椚蚀州ESsEh^X>S1电«r.和吃斷比在点催许狂上亍賞wc開#[&f?用壮打冲[hr«ElwjWVIZ?UfjrsBKDdlH砌古氐冉iiPfflB:TTttukiw皆追*hwaJ_®LJ单击下一步进入安装界面点击安装。装完成后会出现如下界面提示用户进行AD域服务安装向导的进行，点击该连接进入域服务安装向导单击“下一步”会弹出微软的一个提示信息，因ULrt匚iDfjrYindawE：¥lh1lv=l；:rwi-EMS护理'：密甘F挥淮诳盏屈斗了疋詈土圧甫邈iVk1v.-hTTMi^roxnEiSHt-SiI1*:酋进丘77（占用合话B妊用辕悶的mjj：岸敬#丐由Kinde■毗/EKT3Q08埼控也・喬户;贮！¥1£tA.JAt'VLCAP-ad$羁治呼朽由Zim硕h-r・"iHr.Z”,博盛希支鉴削导握作妄站董裔性幻』風口弘"”2JI0中改诳曲竟全设盍肘咱旧版当血曲谯稣瞬需議沱評加蔚JV3nioivxS-rvr3JCH15^#肓关咄i殳遥的更歩信翳诸養阅知识岸文韋9曲创Chitp//go.ni亡fgoEt.wr/fivlLrJc/^UTikiJ=1DI751.1o<上一垢朋三姣虹国确I这里，我们选“下一步”进行下一步的安装取消廉桶i林申離逢贿帥四妥互遥jb翻适的详剧倉翌V上一步血［卞-专血习厂打帀決忙匸NC.比服辟岗威此托旅中讪蛍宀呵生剖齢「厂杆壬呼和」向不早刊二恒T广丑時体⑹厂鞭有滋行皿:諛||器■/glA.cii.iriE：BirecteirF據腥务壺装简导在这里我们选择在新林中新建域”来创建第一台域控制器，然后进行“下一步at入舟Fl孚芈憎归观m王圭夢程At论曲*u眾握相坍」酬ew<e；■..PS如cvi!p.C4B.I1-M.V.EW1*轻祢辅埔毎中們童一？■皿星耶沖石里和進基於书护游L硕A“i*・皿“"*”诫険希翌接帥号在这里输入根域的域名“硕A“i*・皿“"*”诫険希翌接帥号培Hr1EIQ5冉称请是毗"為吐皇期备囂的用口^珅牒I那名卑*些时系统会自动生成一个NetBIOS名，单击“下一步”Wind^E2DD3隹iVindovsSfervtrQpAc11v4±Dir'eci.cxy域畴瓷装向吕miovsSirv^r2008林功麴捌⑨:巒竭曙白谕林杀tn运fjHindooServer£006或車高編本的有关±iE鈕曲遊1的详娼信息《上一^⑥匝二歩⑧”取消|选择根加觀卜i翔佶息四选择“windowsserver2008”进行下一步安装1^1Active9ir^eti»iry域區旁安装向导茸徳甘控極这哽...1,.利绘科带J器迭挥貝牺迭顷a倖c®s雕劳器砂P殳据左備r一渎曲柑岳宓一：®亘电信毛色）__林中的第一个國鋳J器必逼是全同编录IES芒且不3塚aoDC©2理敎您捋佃瞬^務■竟装在弟一M鳩制誰n育罔fl城控趣逐的详無情庖（上一^囲|下汴如汕取消1所以默认为全在弹出的窗口中，系统会自动把DNS勾选，因为是域中的第一台域控制器,局录服务器。单击“下一步”所以默认为全QiActivelii-Qctory1SJE旁安装向导弩^

臂?OH-1匚EY弩^

臂?OH-1匚EY在7.阳紅咬m0

D^s^.

Mi

已WE聘壬。耀摩

辰現的才

剰电这里我们选择“是”进行下步安装数期佯、U主文井和sk^i.ffifsS.施卷包舍wf："■：«to^融制晏超揺柴、曰志文件和sirsvol做沟緊得更好的性3淋可，略性・弟捋埶拯斥和日志文申?睹在不冋旳差上数拐库文件夹（L数拐库文件夹（L「右三朮舌A"：沁】计"3八谥中努艾件白御I砖貝上--曲⑻吓一狞曲＞1番.甘选择数据库文件存放的位置，单击“下rZ”步”目杲孫肾还隊?S式的細■2i.it2*"寄码|目杲孫肾还隊?S式的細■2i.it2*"寄码|SSlHE^-jirattxtA-iftinistrilctf喘户平胡于总Aiiiinlitj4tor株户■>甬繰龍辭瘍觀犖襯酸鳞诙輕歸加盍闵⑺丢于回剖理辻总it盎酗详躺屈v上一歩e〕j下F®•取消这里要求软入还原模式密码，与2003不同，在2003中此步骤可跳过，不输入任务密码，但是在2008中这样是不可以的。”1GH麗奔更逢IS导检皱的酬附€上一步肪”1GH麗奔更逢IS导检皱的酬附€上一步肪j下一^辺》|IB消衷巨喪喘顷「单吉“上一£”“吾衽蜡浚作r单击“下一爭”*賈谡晦讀雄为耐中的第一亍加竝丹DirgurytRI空制書。朝傘为眄E”这也是对沸名称。t删TfitTID5銅:向WT林It就级别*VindonrsServer20®tfetiffiSESJ.^indjoh'sS«rv«tr2DG3站点•D-fwdL-Flr»l-E31»-tfms挂惟:茂阪皆些退畫吕出到一■t■删交件中跟用于廿炖无A.导出说爺広〕.|音詮醴的详细僧息这时系统会生成一个配置信息，我们可以选择导出，以用于在CORE模式的2008中部署DC。单机下一步，进行安装，安装完成后，会提示计算机进行重新启动。尋诗IMS宙条芫施尋诗IMS宙条芫施「訥齣M冈吐4"iir.rlory呂區幹妙向导豔翩強做舷耐