企业IT核心基础结构规划
企业从小发展壮大,IT系统不断的丰富,IT网络环境不断复杂,硬件设备越来越多,潜在的故障点也越来越多。当企业在经营到一定规模后,往往会引入多种沟通平台与管理系统,以便提高公司的运作效率。例如:FTP、BBS、VPN、OA、ERP等等多套应用系统同时在企业内部运行。特别是对于设计类型公司而言,PC的故障与数据的损坏,会带来巨大的损失。故企业IT核心基础结构规划对企业的长远发展,企业文化,企业品牌建设都有非常重要的意义。 现阶段我们企业的特征:
? 现阶段我们企业计算机用户的数量不足50客户端。 ? 企业IT 维护时间间隔为一周(响应时间较长)。
? 企业用户 IT 技能很有限,企业所有者的 IT 技能也很有限。
? 企业用户区域既有远程用户,又有本地用户,这些用户对于服务需要拥有不同的访问权限。 现阶段我们企业的不足之处: ? IT预算有限。
? 缺少紧急突发性故障IT维护人员。 ? 设计业务支持优先于IT技术服务。 ? 未对企业IT核心基础结构进行过规划。 规划方案的目标:
? 提高员工的IT能力。
? 功能丰富的电子邮件和消息协作工具。 ? 共享传真服务,实现PC收发传真。 ? 文件共享和打印服务功能。 ? 实现远程访问机制。 ? 团队站点协作的实现。
? 架设安全的无线网络连接。 ? 可靠且可伸缩的存储。
? 存储数据实现备份与保护。 ? IT资料信息有序分类归档。
? IT资源设备最大限度地降低成本。 规划方案的具体实施:
? 定期对员工进行较简单的IT培训。
? 确保可靠的局域网(LAN)连接,保障电子邮件和消息传递通畅。 ? 架设WinFax传真系统平台,在局域网中实现多用户软件收发传真。 ? 使用Microsoft Windows Server 2003,架设文件及打印服务主机。 ? 架设VPN虚拟专用网络、及FTP服务进行文件的高速双向传输。
? 开通企业内部网站、及BBS论坛,引入泛微协同管理平台(E-COLOGY)。 ? 使用多个无线路由器架设公司无线网络。
? 使用硬件 RAID(独立磁盘冗余阵列)技术来配置企业环境中的服务器。 ? 建立完善的计划备份方案。
? 配置Microsoft Active Directory集成环境,并定期分类整理企业IT资料信息,去除过时、重复等
无价值资源,避免存储空间浪费。
? 创建高效的IT架构、整合数据信息、将服务器虚拟化而不购买更昂贵的新服务器。 企业IT核心基础结构规划体系 企业将依赖 IT 来提供增加业务能力和服务,IT 可以潜在地提高业务能力,使得企业能够: ? 获得新的客户和合作伙伴。 ? 更快、更有效的提高设计能力。
? 更有效地为现有公司人员和客户服务。
通常企业的 IT环境从一个简单的 IT 服务开始,这个服务一般旨在满足特定的当前业务需要,例如传真、电子邮件、相关应用程序或办公室的远程连接。随着时间的推移,由于新需求的出现,新的 IT 服务会无规划地添加到这个环境中。这样创建的 IT 环境在技术上种类烦杂、难以支持和运行,并且难以使用,因此给 IT 维护人员和最终用户都带来额外的负担。
采用具有标准化 IT 基础结构的 IT 环境,这是一种运用 IT 为企业创造价值的具成本效益的方法。企业IT核心基础结构规划将帮助企业构建此类 IT 环境。
采用企业IT核心基础结构规划将带来下列好处:
? 可预测的环境:企业IT核心基础结构规划提供了清晰的基础结构,它是根据 Microsoft的建议来
构建的。这些建议来源于国外多年的经验教训。 ? 能够采用更新的复杂技术:采用企业IT核心基础结构规划能够降低 IT 维护人员在部署新技术时
的实施和操作风险,从而节约了时间,减少了工作量。
? 集成的解决方案:企业用户可以通过基于 Microsoft Windows Server System 技术的标准化体系结
构,获得可扩展的平台,使其随着业务的增长而增长。在需要时,也可以实现其他 IT 服务。 在规划 IT 环境时,需要考虑下列规划目标:
? 安全性:提供一个安全的计算基础结构和简化的过程来保持环境的安全。 ? 可靠性:提供一个基于 Microsoft技术的可靠基础结构。
? 可管理性:提供一个容易监视和维护的基础结构,不需要专家级知识。 ? 成本最低:帮助降低 IT 基础结构、软件和管理的成本。
? 简单性:由于 IT 本身十分复杂,因此这个规划方案应该容易实现、管理和监视。
? 可支持性:为了简化和减轻 IT维护人员的负担,这个环境必须实施 Microsoft推荐的最佳操作。
这些最佳操作来源于多年的经验教训。每个 IT 服务都应该设计为提供高可用性。但是为了降低成本,应该只考虑为核心基础结构服务设置冗余。
核心基础结构 企业要求 IT 基础结构提供所需服务,使得员工能够完成工作,并与客户和合作伙伴进行交流。所有的一切都需要一个核心基础结构,用来承载或支持基本服务,例如打印、消息传递和协作。下表列出了核心基础结构必须提供的一组服务。
服务 物理网络 描述 所满足的业务需求 局域网 (LAN):为客户端计算机提供到本地总公司和分公司的用户需要一种方法来访问 LAN 和 网络的有线和无线连接。 Internet 连接:将局域网中的计算机连接到 Internet。 远程连接:为远程用户和分公司到总公司的远程连接。 Internet 中的各种资源。 远程用户和分公司用户也需要访问总公司的资源。 服务 网络服务 描述 DNS 和 WINS:提供名称解析。 DHCP:为客户端计算机分配 IP 地址和 IP 配置。 所满足的业务需求 连接到 LAN 的计算机需要自动进行配置。 目录服务 Active Directory:提供 IT 环境中可用资管理员在授予用户访问网络资源(例如文件、打印机和 源的目录列表,并提供安全访问这些资源的Internet)的权限之前,需要对他们进行确认和身份验证。 身份验证和授权。 安全的 Internet 连接 FireWall:提供防火墙及其他特性,例如应用户需要能够安全地访问 Internet 来开展业务,例如交换用程序层筛选、入侵侦测、Web 缓存的功能。 电子邮件、浏览 Web 站点、远程访问总公司的资源等等。 另外,内部网络还需要拥有防御机制,抵御来自 Internet 的威胁。 文件服务 文件服务:实现用户间的文件和文件夹共享。 存储服务:为用户提供可靠的存储。 为了防止数据丢失,用户需要可靠、安全的存储空间,并应定期进行备份。 需要存储的数据量正在快速增加。管理员需要一个中央数据存储库。 表 - 核心基础结构提供的服务
服务布局拓扑 基本配置拓扑:
在这个拓扑结构中,大部分服务被合并到三台服务器中,实现一个具成本效益且易管理的 IT 基础结构,同时还能将安全性和性能维持在理想的水平。下图展示了这个配置的逻辑示意图:
图 .基本配置
下表列出了服务器上所承载的服务:
服务器 主基础结构服务器 提供的服务 ? 网络服务(DNS、DHCP 和 WINS)。 ? 目录服务 (Active Directory)。 ? 备份和还原服务。 ? 防病毒。 ? 补丁管理 (SUS)。 辅助基础结构服务器 ? 文件和存储服务。 ? 协作服务。 ? 终端服务器。 ? 传真服务。 ? 扫描服务。 ? 打印服务。 服务器 防火墙服务器 提供的服务 ? 防火墙和代理。 ? VPN。 ? 应用程序层筛选。 ? Web 缓存。 ? 入侵侦测。 表 - 基本配置中的服务布局
增强的基本配置拓扑:
企业需要为职员提供文件和存储服务,使他们能够开展工作。这对于基本配置的更改就是使用同样的三台服务器和一个基于 Windows Storage Server 2003 的网络附加存储设备,使用后者来提供文件、打印和存储服务。下图展示了这个配置的逻辑示意图:
图 . 增强的基本配置
下表列出了服务器上所承载的服务:
服务器 主基础结构服务器 提供的服务 ? 网络服务(DNS、DHCP 和 WINS)。 服务器 提供的服务 ? 目录服务 (Active Directory)。 ? 备份和还原服务。 ? 防病毒。 ? 补丁管理 (SUS)。 辅助基础结构服务器 ? 协作服务。 ? 终端服务器。 防火墙服务器 ? 防火墙和代理。 ? VPN。 ? 应用程序层筛选。 ? Web 缓存。 ? 入侵侦测。 基于 Windows Storage Server 2003 的网络连接存储设备 ? 文件和存储服务。 ? 传真服务。 ? 扫描服务。 ? 打印服务。 表 - 增强型基本配置中的服务布局
将文件和打印服务承载在基于 Windows Storage Server 2003网络附加存储设备上的目的: ? 集中存储:将存储资源合并到一个集中的位置 ? 管理:集中存储使得备份和管理更为方便。 ? 性能:减少主基础结构服务器上的工作负荷。
? 可伸缩性:提供满足公司增长需要的可伸缩文件服务。 典型配置拓扑:
典型配置使得企业能够在专用硬件上运行关键的程序软件。从而满足现有和将来的存储要求,并实现高性能及增强的安全性。下图展示了这个配置的逻辑示意图:
图 . 典型配置
下表列出了服务器上所承载的服务:
服务器 主基础结构服务器 提供的服务 ? 网络服务(DNS、DHCP 和 WINS)。 ? 目录服务 (Active Directory)。 ? 防病毒。 ? 补丁管理 (SUS)。 辅助基础结构服务器 ? 为Active Directory 服务作冗余服务。 ? 备份和还原服务。 防火墙服务器 ? 防火墙和代理。 ? VPN。 ? 应用程序层筛选。 ? Web 缓存。 服务器 提供的服务 ? 入侵侦测。 基于 Windows Storage Server 2003 的网络连接存储设备 ? 文件和存储服务。 ? 打印服务。 ? 传真服务。 ? 扫描服务。 协作服务器 ? 消息传递服务。 ? 协作服务。 终端服务器 ? 为远程用户提供其他应用程序。 表 - 典型配置中的服务布局
这种典型的配置拓扑能够为企业提供下列优势: ? 提供高度可伸缩的、安全的且面向性能的服务。
? 辅助服务不承载在基础结构服务器、域控制器上。这降低了 IT 环境的安全风险。 ? 提供集中的存储,这使得数据的备份和管理更为简单。
? 由于大部分数据存储在同一台服务器上,而不在网络中传递,因此备份和还原服务能够提供增强的 性能和安全性。
这种服务布局适合下列情况的企业:
? 存储要求高,应该能够扩展以满足将来的增长。
? 很多远程用户同时访问终端服务器上的多个应用程序。 ? 可以增加成本来满足可用性、安全性和性能要求。
企业核心基础结构规划方案提供了可用于在企业 IT 环境中规划、构建、部署和操作核心基础结构的指南。核心基础结构是 IT 基础结构的一部分,是实现直接满足公司商业要求的众多服务的前提条件。下面的各个组件组成了企业核心基础结构规划方案中所讨论的核心基础结构:
? 物理网络。 ? 网络服务。 ? 目录服务。
? 安全的 Internet 连接。 ? 文件服务。
物理网络设计 物理网络为网络设备提供了一个相互连接和通讯的媒介。这些设备包括台式计算机、便携式计算机、
便携式设备、网络打印机、服务器和路由器等。
在企业 (IT) 环境中,物理网络由下列元素组成:
? 局域网 (LAN):LAN 可以是有线的、无线的,或是两者的组合,它为所有连接到局域网的设备提 供了一个通讯的媒介。必须在总公司和每个分公司都部署一个 LAN。 有线和无线 LAN 分别可以定义为:
? 有线网络:有线网络使得设备能够通过电缆连接到 LAN。这种基础结构包括了穿过办公室 的电缆,设备连接所用的网络端口以及交换机。
? 无线网络:无线网络基础结构由无线访问点组成,这些无线访问点使得无线设备能够连接到 LAN。
? Internet 连接:Internet 连接体系结构包括路由器(或调制解调器)和到 Internet 服务提供商 (ISP) 的连接。 使用方案:
物理网络是所有网络环境的基础。它必须是可靠、有效且安全的。
? 选择用于总公司和分公司的合适网络设备及电缆,以实现到 LAN 的有线连接。 ? 规划网络布局,这包括网络设备、有线端口以及电缆的布局。 ? 选择合适的位置来放置无线访问点。 ? 选择最适合企业的 Internet 连接类型。
? 选择多用途设备,保护分公司免受来自 Internet 的威胁,并使得分公司的计算机能够通过 Internet 连接到总公司的 LAN。 初始状态环境:
大部分企业已经在他们的 IT 环境中部署了某种类型的物理网络。在环境中可能存在多种方案。下面是这些方案中可能存在的一些常见特征:
? 使用集线器的过时 LAN,所创造的连接不可靠、性能低,且安全性不如交换机。集线器可能导致 LAN 用户的性能瓶颈。
? 网络设备布局糟糕,例如交换机层叠。
? 网络布线系统设计糟糕、实施错误,可能会导致经常的物理连接中断和大量数据包丢失,从而导致 LAN 不可靠。
? LAN 无法支持由于设备和占用网络带宽的应用程序的数量增加而导致的流量增加。 ? 无线网络使用无法满足所需网络安全级别的无线访问点。
? Internet 连接(例如拨号或电缆)速度缓慢,无法满足公司要求。
? 总公司和分公司之间的连接使用调制解调器池和远程访问服务器,因此十分昂贵并且难以管理。 结束状态环境:
? 正确设计的 LAN,能够提供优化的网络性能,能够支持 LAN 用户目前和将来的带宽要求,并实 现了安全的无线网络。
? 满足企业要求的 Internet 连接。
? 总公司和分公司之间的连接快速、安全、畅通。 益处:
? 有线网络:提供 LAN 中各种设备间的高速连接。现在很多应用程序都要占用大量网络资源,特别 是在拥有集中存储和应用程序的企业中尤为如此。有线网络是连接服务器、无线设备和防火墙的基 础。
? 无线网络:为使用便携式计算机或移动设备的用户提供移动性。这提高了用户生产力。因为在办公 室的任何地方用户都能够访问到重要的信息,这对于在会议室参加会议的用户特别有用。另外,无 线网络还不需要布线和维护物理网络电缆的成本。无线访问点价格便宜,而且大部分新的便携式计
算机、个人数字助理 (PDA) 和 Tablet PC 都有内置的无线网络适配器。无线网络也可以提供灵活 的网络,因为具有无线网络适配器的设备可以放置在办公室中的任何位置。
? Internet 连接:Internet 帮助企业连接到世界各地,开展业务。它使得职员能够在家中或旅途中访问 业务数据,从而提高办公室内外的生产力。Internet 也可以用来将分公司办公室连接到总公司。 方案规划:
? 提供可靠、高效和具成本效益的 LAN,满足企业当前和将来的需要。这些需要包括:
? 能够为日益增加的设备提供连接。 ? 能够处理日益增加的流量负荷。 ? 提供有线和无线连接。
? 减少现有网络中的网络拥堵情况,从而提高网络性能,减少网络停机时间。 ? 提供满足企业带宽和可靠性要求的 Interent 连接,并且具成本效益。 ? 使得分公司能够通过 Internet 连接到总公司。
下图展示了一个典型的企业 IT 环境,并突出了其中组成 LAN 的部分:
图 . 企业 IT 基础结构的网络设计
规划物理网络设计包括下列工作: ? 信息收集 ? LAN 设计
? Internet 连接设计
? 分公司网络设计 ? 材料清单 信息收集:
? 企业中网络用户的总数。 ? 分公司办公室数量。
? 楼层数量,每个办公地点每层楼的面积和布局。 ? 每个办公地点每层楼上网络用户的分布。 ? 所用的客户端服务器和桌面应用程序类型。如果使用占用大量带宽的客户端-服务器应用程序,那么企业应该建立千兆 LAN 主干网,以提供更好的网络性能。
? Internet 对公司的关键性;取决于企业是否使用 Internet 来开展业务。 ? 可接受的内部网和 Internet 停机时间。
? 环境中所用网络设备的类型,包括服务器、台式计算机、交换机、路由器和无线设备。 ? 企业是否允许家庭和移动用户进行远程访问,是否与商业合作伙伴交换文档。
? 总公司和分公司之间预计的网络流量。如果总公司和分公司间交换的数据量很大,那么可能需要将广域网 (WAN) 连接类型从通过 Internet 的宽带访问改为点对点连接。 ? 网络安全对企业的关键性。 局域网 (LAN) 设计: ? 选择 LAN 类型 ? 设计有线网络 ? 设计无线网络 设计有线网络:
? 选择网络交换设备,这包括: ? 使用集线器还是交换机。 ? 所用的交换机类型。
? 每台交换机所拥有的端口数。
? 交换机端口所应该支持的数据传输速率。 ? 每台交换机应该拥有的连接器类型。 ? 选择用于连接不同设备的网络布线类型。 ? 设计网络布局,包括:
? 连接设备所需的有线端口数量。 ? 所需的交换机数量。
? 在多个楼层上安装网络交换机的合适位置。 ? 网络电缆布局,这包括:
? 在每个楼层需要多少网络点。
? 哪些交换机和设备需要使用高速上行连接。 建议:
企业IT核心基础结构解决方案建议在总公司和分公司都使用高速 (100 Mbps) 和千兆 (1 Gbps) 以太网 LAN 的组合,因为这是一种易实现、具成本效益且流行的选择方案。 网络和目录服务 网络和目录服务提供了IT 环境中运行所有其他服务的基础。稳定可靠的 IP 地址管理、名称解析、身份验证和授权有助于防止在其他服务出现系统性问题。
网络和目录服务包括:
? 核心网络服务: 核心网络服务包括:
? 域名系统 (DNS): 将 DNS 名称解析为 IP 地址。
? 动态主机配置协议 (DHCP): 自动配置客户端上的网络设置,有助于客户端的 IP 地址和网络 配置的管理。
? Windows? Internet 名称服务 (WINS):将 NetBIOS 名称解析为 IP 地址。 ? 目录服务: 验证试图访问资源的用户和计算机。
? 证书服务: 为创建和管理在公钥技术的软件安全系统中使用的公钥证书提供服务。
? 远程身份验证拨入用户服务 (RADIUS): RADIUS 是一项 Internet 工程任务组 (IETF) 的标准。它对使用无线网络和虚拟专用网络 (VPN) 连接进行的网络访问执行集中的连接身份验证、授权和记帐。
网络和目录服务规划范围包括: ? 为网络和目录服务提供冗余。 ? 设计 Active Directory 服务。 ? 设计和部署网络服务。
? 使用组策略对象保护环境的安全。 ? 选择要实施服务的硬件。 ? 测试服务确保正确运行。 ? 执行安全审核。
? 将系统发布到IT环境中。 ? 远程管理环境。 使用方案:
? 启用 IP 地址的集中管理。 ? 启用客户端自动 IP 配置。 ? 为客户端提供名称解析服务。
? 提供目录服务以集中管理 IT 环境中的资源。 ? 启用环境中安全策略的集中管理。 初始状态环境:
企业可能已经部署了网络和目录服务。可能存在的部署类型包括: ? 没有集中登录的基于服务器的环境。
? 基于 Microsoft? Windows NT? 4.0 和 Window? 2000 的环境。 ? 基于 Linux 或 Novell 的环境。
企业IT核心基础结构规划可以使组织避免这些方案的众多常见问题,例如: ? 不可靠和不一致的网络服务。
? 有关未经身份验证的用户的安全性。 ? 要求访问不同服务和资源的多个登录。 ? 基本网络和目录服务的高运营成本。 ? 不良设计的目录结构。
? 不集中的结构,对环境进行更改以及向环境添加内容都要求大量的工作。 ? 缺少对用于老式环境或不同类型的环境中的设备和应用程序的支持。 结束状态环境:
网络服务的结束状态环境将包括:
? 两台提供冗余网络和目录服务的基于 Microsoft Windows Server? 2003 服务器。 ? 单个 Active Directory 域和林基础结构。
? 域级别组策略,适用于强制域范围的安全要求。
益处:
? 可靠的基础结构: 在冗余服务器上实施网络和目录服务可以获得更好的可靠性。
? 集中的资源管理: 使用 Active Directory 提供一个所有用户、计算机以及网络上的其他对象的集中数据库。有助于根据组织的结构来整理 IT 环境中的资源。
? 安全性: 使用 Active Directory 提供安全和身份验证机制,该机制提供对资源的受保护和受控的访问。
? 单一登录: 使用 Active Directory 启用单一登录,这从本质上意味着用户只需要提供一次他们的凭据。他们试图访问网络上的资源时不需要每次都提供凭据,系统会使用相同的凭据访问所有资源。 ? 良好定义和强制执行的安全策略: 使用组策略定义IT 环境中的域范围的安全策略,并在环境中强制执行,不会被任何客户端或其他设备更改覆盖。
下面的图形展示了企业IT 基础结构并突出显示了提供网络和目录服务的服务器:
图 . 企业 IT 基础结构的网络设计
方案规划:
企业 IT 环境中实施网络和目录服务时,创建一个平衡可靠和保持低成本需求的设计非常重要。 ? 单个服务器: 单台基础结构服务器承载网络和目录服务。 ? 群集的服务器: 在群集的配置中部署两台基础结构服务器。
? 冗余服务器: 部署两台冗余的基础结构服务器,同时提供相同的网络和目录服务。网络和目录服务器或者具有提供跨多台服务器的冗余的内置机制,或者以可获得类似冗余的方式进行部署。
下表列出了这些选择方案的优缺点:
选择方案 单个服务器 优点 便宜: 部署和管理成本低。 易于部署: 这种配置易于部署。 群集的服务器 缺点 较不可靠: 如果服务器出现故障,不可避免的出现停机。 较昂贵: 要求一台其他的服务器,并且要在两台配置复杂: 这种配置的配置、操作和疑难排解都服务器上安装 Windows Server 2003 Enterprise 比较困难。 Edition。 冗余服务器 成本: 部署和管理成本处于其他两种选项之间。 管理: 需要管理两台服务器。 易于部署: 这种配置比群集服务器选项易于部署。 表 . 网络和目录服务部署选择方案
网络和目录服务对于企业IT 环境的正常工作非常关键。只使用单个基础结构服务器会使成本最低,
但它不会提供故障转移功能。基础结构服务器出现故障可能会削弱整个IT 环境的能力。此外,如果故障是由服务器硬件引起的,在等待备用部件或更换硬件的过程中通常会引入额外的延迟。
然而,使用群集要求在两台基础结构服务器上安装 Windows Server 2003 Enterprise Edition,这要比 Windows Server 2003 Standard Edition 昂贵很多。此外,配置、操作和疑难排解服务器群集也比较复杂。
在非群集的配置中部署两台冗余基础结构服务器比较容易配置。基于 Windows 服务器的网络服务和 Active Directory 服务设计用于跨多台服务器运行,这样就排除了单一故障点。
建议:
建议部署两台冗余服务器,分别称为“主基础结构服务器”和“辅助基础结构服务器”。通常情况下,主基础结构服务器提供大多数网络服务,因为绝大多数客户端请求首先转到这台服务器中。如果这台服务器无法及时地响应,那么大多数请求会转到辅助基础结构服务器中。只有在主服务器不能及时响应时,绝大多数客户端请求才会转到辅助服务器。 安全 Internet 连接服务 Internet 为用户提供了访问和共享信息并以经济、高效的方式进行通信的能力。企业可运用 Internet 来:
? 使客户能够与企业执行电子商务相关事务。
? 使客户能够发送和接收电子邮件,浏览 Web,以及与客户和业务合作伙伴进行通信。 ? 将内部资源发布到 Internet,以便客户、雇员和业务合作伙伴能够访问那些资源。这些资源包括 Web 服务、电子邮件服务、相关应用程序。
? 使用虚拟专用网络 (VPN)的方式,将分公司和移动及家庭用户连接到总公司。
然而,Internet 在带来这些好处的同时,也引入了可能导致灾难性后果和重大业务损失的安全漏洞和病毒攻击的风险。因此,保护与 Internet 的连接对所有企业都是至关重要的。IT 环境面对并且必须抵御来自 Internet 的下列安全威胁:
? 黑客攻击,比如拒绝服务 (DoS) 攻击、中间人 (man-in-the-middle) 攻击和网站篡改。 ? 病毒、蠕虫、特洛伊木马和其他后门程序。
? 通过 Internet 应用程序带来的威胁,比如电子邮件和 Web 站点。
保护 Internet 连接避免各种威胁而不给用户施加太多的限制是很重要的。 ? 在总公司设计和部署防火墙服务以提供对 Internet 的安全访问。 ? 实施诸如入侵检测和应用程序筛选之类的安全 Internet 功能。 ? 实施 Web 缓存以提高性能和 Web 站点访问速度。
? 将内部资源发布到 Internet 以促进业务客户、雇员和业务合作伙伴的经过身份验证的远程访 问。
? 记录、监视和报告 Internet 活动,比如使用情况和性能统计数据。
? 为服务器、总公司客户端计算机和分公司客户端计算机访问 Internet 选择最合适的机制。 使用方案:
? 通过代理服务为内部用户提供安全的 Internet 访问。 ? 为公司网络外的用户提供安全、简便的网络访问。
? 安全、轻松地发布 Intranet 站点,以便通过 Internet 向远程用户提供信息。 ? 通过实施 Web 缓存提供对经常使用的 Web 内容的快速访问。
? 保护内部 Web 站点免遭威胁,比如病毒、目录遍历攻击、缓冲区溢出攻击以及跨站点脚本攻击。 ? 实施附加安全功能,比如:
? 入侵检测,以便前瞻性地检测并向 IT 人员发出警告通知。
? 应用程序筛选,以避免用于针对应用程序层协议(比如 SMTP、HTTP 和 RPC)的攻击。 ? 控制用户对 Internet 的访问,保护客户端避免来自 Internet 的恶意流量。 ? 保护组织的信息资产避免来自 Internet 上的黑客攻击。 初始状态环境:
? 网络通过低端或低性能安全设备连接到 Internet,这些设备仅提供有限的安全性和性能。 ? 使用多个专用设备执行不同的功能,比如防火墙、代理、入侵检测和应用程序筛选。 ? Internet 连接根本就不安全。
? 现有防火墙(或其他安全设备)的厂商因为设备已经变得过时而即将停止支持该设备。 ? 当前的 Internet 安全基础结构不能安全地将服务发布到 Internet。 ? 没有用于监视和控制雇员对 Internet 的使用的机制。 结束状态环境:
? 支持不断增加的流量的可伸缩性。
? 提高检测和防止应用程序层攻击的能力。 ? 更好的管理多个设备,方便查看其运行情况。 ? 清晰的日志记录、监视和报告机制。 ? 安全地发布资源以便从 Internet 访问。 益处:
? 抵御外部威胁: 保护企业的信息资产免遭外部威胁,比如黑客发起的 Internet 攻击。
? 集成且具成本效益的解决方案:提供可靠且具成本效益的解决方案,该方案可执行多种功能, 比如防火墙、入侵检测、应用程序筛选(比如超文本传输协议
? 附加功能: 提供附加的集成(如 Web 缓存)功能来改进访问 HTTP 和 FTP 站点的性能。 ? 减少停机时间和成本: 减少与攻击(比如 DoS 攻击)所导致的系统和应用程序的不可用性 相关的停机时间和成本。
? 高级安全功能:增加避免知识产权遭受攻击(比如中间人攻击、网站篡改、DNS 攻击检测和 IP 欺骗)的保护。 ? 服务器和 Web 发布。
? 轻松实现可伸缩性,并轻松地扩展至处理更高的流量负载。 ? 广泛的日志记录、监视和报告。 方案规划:
安全的 Internet 连接基础结构应该:
? 充当所通过的流量的代理,为内部网络用户提供安全的 Internet 访问。 ? 保护内部网络免受来自 Internet 上的威胁。 ? 提供防火墙服务,包括执行状态包检查和网络地址转换 (NAT)。NAT 通过隐藏内部网络的 IP 寻址 方案来保护内部网络。
? 执行入侵检测,入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。此类恶意活动的 例子包括端口扫描和使用大量的网络数据包堵塞特定的端口。
? 执行应用程序筛选以扫描各个应用程序层的入站和出站流量(比如 SMTP、HTTP、FTP),并检测 恶意代码。
? 执行 Web 缓存以提高下列用户访问 HTTP 和 FTP 站点的性能和速度: ? 访问 Internet 的局域网用户。
? 访问内部网络上的站点的 Internet 用户。
? 监视和发送关于各种参数(比如 Internet 使用、Web 缓存细节和内部网络上的用户进行的协议敏 感的 Internet 使用)的报告。应该有一种以各种形式(比如电子邮件和事件日志记录)发送警告通 知的机制。
下图表示一个企业 IT 环境,并突出提供安全 Internet 连接的服务器和设备。
图 . 安全 Internet 连接设计
建议:
公司需要一个多用途设备充当路由器、防火墙、NAT 设备,并在需要时充当 VPN 设备。
至少,安全 Internet 连接部署应该提供防火墙、入侵检测、应用程序筛选、日志记录、监视和报告服务以及代理服务。
? 专用的硬件设备:专用的硬件设备用于执行不同的功能。至少要使用两个单独的专用硬件设备:一 个防火墙和一个入侵检测设备。此外,还可能将专用的硬件设备用于应用程序筛选、代理服务以及 实施了 VPN 的环境中的 VPN 设备。将专用设备用于 Web 缓存以改进网络性能。
? 集成的防火墙服务器: 在部署中,单台服务器提供保护 Internet 连接所需要的所有服务和功能。 该服务器具有运行流行操作系统的标准硬件。 该服务器运行单个或多个提供防火墙服务、入侵检 测、应用程序筛选、Web 代理和 Web 缓存的软件。 选择最适合的部署设计,涉及到以下事项: ? 实施成本。
? 构建和部署的难易。 ? 安全要求。 ? 性能要求。
下表列出了这些可选方案的优缺点:
可选方案 专用硬件设备 优点 提供高性能,因为这些设备: ? 是为它们的特定功能而设计的。 ? 使用硬件 ASIC 设计。 ? 仅执行一种功能。 量的 VPN 会话)而不影响性能。 安全性: 硬件防火墙被认为比软件防火墙更安 全。 缺点 难于管理: 需要更多的精力来安装、配置、部署和支持专用设备。 昂贵: 购买和管理多个专用设备的成本高昂,此外还需要额外的物理空间。 用硬件和软件,因此您要依赖厂商提供升级或附加功能。 培训需求: IT 通才需要接受培训才能使用专用硬件和软件。 无应用程序层筛选: 许多硬件防火墙没有内置应用程序层筛选功能,而是依赖非 Microsoft 应用程序提供此服务。 集成的防火墙服务器 廉价: 由于所有服务均由单台服务器提供,部署安全性较低: 操作系统中的安全漏洞可能影响防和管理成本都降低了。 功能很容易获得。 存在对厂商的依赖。 训,因为使用的是标准硬件和操作系统。 VPN: 如果在环境中部署了 VPN,可以将它共同承载在此服务器上。 表 - 安全 Internet 连接部署可选方案
高容量: 专用设备能够处理巨大的负载(比如大 依赖厂商: 用于执行不同功能的硬件和软件是专火墙软件。 器暴露给了更多种类的攻击。 性能水平:网络吞吐能力和性能水平要比专用设添加附加功能的能力: 针对标准操作系统的附加风险较高: 在相同服务器上运行多个服务将服务不依赖厂商: 由于使用标准服务器硬件,因此不附加软件层: 存在运行操作系统的性能开销。 只需更少的培训: IT 通才不需要任何特殊的培备低很多。 文件服务 文件服务是任何企业核心信息技术基础结构的一个重要组件。网络共享实质上是计算机或存储设备上可以从网络上其他计算机访问的文件夹。
在网络共享上存储所有重要数据提供了以下益处:
? 与企业有关的信息存放在一个集中的位置,使员工可以从多个位置对数据进行访问。此外,文件服 务器将具有更好的硬件配置(例如独立磁盘冗余阵列 (RAID) 和双电源)来为用户提供对数据的高 度可靠和可用的访问。
? 数据的集中通过提供较少的数据备份位置来代替包含文件的大量客户端计算机,消除了管理负担。 ? 由于数据不是分布在网络的各种设备上,保护重要数据变得更加容易,并且对数据管理提供了更多 的访问控制。
? 使提供可靠存储的成本减少。这是因为只有承载网络共享的服务器才需要高度可用的存储。
? 在网络共享上存储某些系统文件夹可提供额外的益处。例如,将“My Documents”和“Roaming Profiles”文件夹存储在网络共享上,将分别使用户可以从网络上的任意计算机访问他们的个人文件 夹以及使用他们的配置文件进行登录。 使用方案:
? 将数据合并到一个中心位置以提供集中存储的益处。
? 存储和检索用户数据,并安全、可靠地在公司中的用户之间共享数据。 ? 简化数据的保护、备份和恢复过程。
? 存储大量的数据,如 CAD 绘图和多媒体文件。 ? 使用统一的命名空间。
? 将客户端计算机上可能包含重要数据的系统文件夹重定向到更加安全和可靠的位置。 环境初始状态:
可能的环境初始状态包括: ? 多台服务器提供文件服务。
? 文件服务器不能扩展以满足将来的存储需求。如果现有服务器达到了最大存储限制,则需要添加新 服务器,或增加现有服务器的存储容量。
? 基于 UNIX 或 LINUX 的服务器为大部分计算机运行 Microsoft Windows 操作系统的混合环境提 供文件服务。
? 基于 Microsoft Windows NT 和 Microsoft Windows 2000 的服务器提供文件服务。 ? 不存在任何文件服务。
? 多台文件服务器导致 IT 管理负担增加,并使文件服务的总拥有成本增加。 ? 数据分散在多台服务器之间,造成管理(备份、恢复和保护)数据的困难。 ? 可伸缩性有限或无可伸缩性。 结束状态环境:
基于存储需求、可伸缩性需求以及可用预算等因素,企业可能在其结束状态环境中部署以下两个可选方案之一:
? 专门提供文件服务的基于 Windows Storage Server 2003 的网络附加存储设备。
? 除网络服务、Active Directory 和其他服务之外,主基础结构服务器还提供文件服务。 益处:
? 文件共享的组织更加逻辑:可用于更逻辑和灵活地组织文件共享。
? 改善数据的存储和检索:基于 Windows 的文件服务提供了高度可靠、可用和安全的数据存储和检 索。
? 更容易的数据管理:数据存储在一个中心位置,而不是分布在多台服务器和台式计算机之间。因此, 可以轻松地管理数据(包括共享和访问控制列表的备份、还原和管理)。
? 改善的网络性能:集中存储使备份和还原数据时网络带宽的使用最小化。这改善了整体网络性能。 ? 更容易和更可靠的数据备份:构建在 Windows Server 2003 之上的卷影复制服务允许创建数据的时 点副本。此服务为在文件服务器上存储的数据(甚至为打开的文件)提供了一种简单、可靠的备份
机制。
? 文件和文件夹版本控制:共享文件夹的卷影副本使用户可以检索以前版本的文件和文件夹。
方案规划:
? 在网络上为用户和应用程序提供一个公共位置来存储文件。 ? 提供对共享信息快速和轻松的访问,同时保持严格的安全性。 ? 提供足够的存储容量以满足现在和将来的存储需求。 ? 满足预期的可靠性、可伸缩性和安全性要求。 ? 低成本并易于实施和维护。
? 提供对丢失的重要数据的立即检索,如基于磁盘的备份,而不需要等待非现场的磁带存储。 ? 使用户可以在未连接到网络的情况下还可以访问他们的文件。
? 允许用户安装公司中所使用的常用应用程序,如防火墙客户端和防病毒软件等。 ? 通过提供集中的数据存储使管理和备份更加容易。
下图表示一个企业 IT 基础结构,其中突出显示了可以提供文件服务的服务器和设备。
图 . 企业 IT 文件服务
建议:
此解决方案建议选择以下两种实施之一:
? 专用于提供文件服务的基于 Windows Storage Server 2003 的网络附加存储设备。 ? 主基础结构服务器所承载的文件服务。
应该考虑公司的需求并选择最好地满足此需求的解决方案。
对于具有以下需求的公司,建议使用基于 Windows Storage Server 2003 的网络附加存储设备: ? 存储大量的数据。
? 易于伸缩以满足数据的快速增长。 ? 易于管理和低成本的集中数据存储。
? 由于从非现场的磁带备份恢复数据的较长的延迟,需要基于磁盘的备份。 ? 易于部署和管理的文件服务。
建议具有以下需求的公司在主基础结构服务器上承载文件服务: ? 极少的数据存储。
? 需要实施和操作成本的解决方案。(无法负担专用于文件服务的服务器并希望使用一台服务器。) ? 在主基础结构服务器上运行的文件服务和其他服务对用户来说不是问题。(在同一台服务器上运行 多个服务可能会影响这些服务的一部分或全部。)
? 存在为网络服务提供冗余的第二台服务器,因此企业在短暂的服务停止情况下不会受到影响。 企业信息化建设的周期长,投资大,不确定性强,只有进行IT规划才能够从总体上把握信息化建设的进程。可以把IT规划比作大厦的地基,IT规划就是是“企业信息化”这座大厦的基础,没有IT规划,企业信息化大厦将是建立在沙滩上,后果可想而知。
企业如果不进行IT规划,将会产生以下一些不良后果: 1)遗留系统繁多,信息孤岛林立,信息共享困难 2)系统集成工作量大,导致反复投资 3)系统维护费用高、收益低、风险大 4)软硬件更新换代频率高
5)系统不适应新的业务而停滞不用,造成浪费 6)信息化建设无章可循,可能导致失败
可以看出企业进行IT规划是非常必要的,它可以从客观方面解决以上问题,同时它还可以解决主观方面的问题:通过IT规划来推动企业员工达成共识。
徐彬海 2010/1/18
FTP
远程文件共享。 公司资料现场公用。 临时文件拷贝。 相对应客户文件夹。 移动办公。
建立相对应FTP账户与密码。
公司内部人员可删除、复制、移动。
例:账户权限 客户及外部人员,只限阅读权限。 FTP文件服务器:现使用虚拟服务器主机进行架设。
FTP管理:设定时间限制进行临时文件清空,防止过时文件占据磁盘空间造成浪费。 WEB 网页界面类型
FTP友好介面实现类型: Windows 资源管理器,文件目录类型
两者结合,复合式类型(架设较复杂) VPN
远程接入公司局域网。
现场可以与公司本部协同处理工程项目。
由于建立了虚拟局域网,从而抛弃了地理差异和距离间隔。 本部与现场的资源可以相互共享。
由于VPN为点对点专用通道建立,故文件传输更快(公司本部现为4M光纤,上下传输等宽。理论上若客户端带宽充足,便可建立上下传输速率高达4M/S的高速信息传输网络)。
VPN需要路由器硬件支持(公司现路由器已具备VPN客户端接入功能,客户端依靠Windows操作系统的VPN技术便可建立VPN连接。
VPN可以实现远程桌面,理论只要能接入Internet便可在任何地方任何时间远程接入公司相对应的客户端进行远程控制操作。
VPN远程控制的衍生:远程3D图形渲染(需要高性能图形图像处理服务器)。 VPN远程控制的衍生:通过远程控制软件可进行对公司本部PC进行远程操作(现公司为固定外网地址IP,为VPN远程连接控制架设了良好的平台。 File-server、BBS-server、Print-server 备份 完全备份 三星期即一个季度完全备份一次。
各server系统GHOST(正规使用磁带机备份,现可以使用GHOST替代)。 File-server各目录重要文件进行拷贝至第三方存储介质进行异地备份。 光盘介质备份,一年一次(最主要的文件备份)。
安装新软件或系统操作前必须提前进行一次系统备份,防止系统崩溃后无法进行恢复。
现使用RAID5磁盘阵列系统,三块硬盘中一块为备份恢复盘(RAID 5介绍)定期每周一检查硬盘指示灯。 Print-server
系统角色较轻 无重要文件,进行一般系统备份便可。
文件扫描管理,将建立个人文档目录。个人扫描归类存放,少放桌面以便节约系统资源。 系统一季度一备份。 BBS-server备份
http://www.sxfy.org.cn/jihua/anpai/200906/706.html