企业IT核心基础结构规划(doc 28页)(正式版) 下载本文

? 分公司网络设计 ? 材料清单 信息收集:

? 企业中网络用户的总数。 ? 分公司办公室数量。

? 楼层数量,每个办公地点每层楼的面积和布局。 ? 每个办公地点每层楼上网络用户的分布。 ? 所用的客户端服务器和桌面应用程序类型。如果使用占用大量带宽的客户端-服务器应用程序,那么企业应该建立千兆 LAN 主干网,以提供更好的网络性能。

? Internet 对公司的关键性;取决于企业是否使用 Internet 来开展业务。 ? 可接受的内部网和 Internet 停机时间。

? 环境中所用网络设备的类型,包括服务器、台式计算机、交换机、路由器和无线设备。 ? 企业是否允许家庭和移动用户进行远程访问,是否与商业合作伙伴交换文档。

? 总公司和分公司之间预计的网络流量。如果总公司和分公司间交换的数据量很大,那么可能需要将广域网 (WAN) 连接类型从通过 Internet 的宽带访问改为点对点连接。 ? 网络安全对企业的关键性。 局域网 (LAN) 设计: ? 选择 LAN 类型 ? 设计有线网络 ? 设计无线网络 设计有线网络:

? 选择网络交换设备,这包括: ? 使用集线器还是交换机。 ? 所用的交换机类型。

? 每台交换机所拥有的端口数。

? 交换机端口所应该支持的数据传输速率。 ? 每台交换机应该拥有的连接器类型。 ? 选择用于连接不同设备的网络布线类型。 ? 设计网络布局,包括:

? 连接设备所需的有线端口数量。 ? 所需的交换机数量。

? 在多个楼层上安装网络交换机的合适位置。 ? 网络电缆布局,这包括:

? 在每个楼层需要多少网络点。

? 哪些交换机和设备需要使用高速上行连接。 建议:

企业IT核心基础结构解决方案建议在总公司和分公司都使用高速 (100 Mbps) 和千兆 (1 Gbps) 以太网 LAN 的组合,因为这是一种易实现、具成本效益且流行的选择方案。 网络和目录服务 网络和目录服务提供了IT 环境中运行所有其他服务的基础。稳定可靠的 IP 地址管理、名称解析、身份验证和授权有助于防止在其他服务出现系统性问题。

网络和目录服务包括:

? 核心网络服务: 核心网络服务包括:

? 域名系统 (DNS): 将 DNS 名称解析为 IP 地址。

? 动态主机配置协议 (DHCP): 自动配置客户端上的网络设置,有助于客户端的 IP 地址和网络 配置的管理。

? Windows? Internet 名称服务 (WINS):将 NetBIOS 名称解析为 IP 地址。 ? 目录服务: 验证试图访问资源的用户和计算机。

? 证书服务: 为创建和管理在公钥技术的软件安全系统中使用的公钥证书提供服务。

? 远程身份验证拨入用户服务 (RADIUS): RADIUS 是一项 Internet 工程任务组 (IETF) 的标准。它对使用无线网络和虚拟专用网络 (VPN) 连接进行的网络访问执行集中的连接身份验证、授权和记帐。

网络和目录服务规划范围包括: ? 为网络和目录服务提供冗余。 ? 设计 Active Directory 服务。 ? 设计和部署网络服务。

? 使用组策略对象保护环境的安全。 ? 选择要实施服务的硬件。 ? 测试服务确保正确运行。 ? 执行安全审核。

? 将系统发布到IT环境中。 ? 远程管理环境。 使用方案:

? 启用 IP 地址的集中管理。 ? 启用客户端自动 IP 配置。 ? 为客户端提供名称解析服务。

? 提供目录服务以集中管理 IT 环境中的资源。 ? 启用环境中安全策略的集中管理。 初始状态环境:

企业可能已经部署了网络和目录服务。可能存在的部署类型包括: ? 没有集中登录的基于服务器的环境。

? 基于 Microsoft? Windows NT? 4.0 和 Window? 2000 的环境。 ? 基于 Linux 或 Novell 的环境。

企业IT核心基础结构规划可以使组织避免这些方案的众多常见问题,例如: ? 不可靠和不一致的网络服务。

? 有关未经身份验证的用户的安全性。 ? 要求访问不同服务和资源的多个登录。 ? 基本网络和目录服务的高运营成本。 ? 不良设计的目录结构。

? 不集中的结构,对环境进行更改以及向环境添加内容都要求大量的工作。 ? 缺少对用于老式环境或不同类型的环境中的设备和应用程序的支持。 结束状态环境:

网络服务的结束状态环境将包括:

? 两台提供冗余网络和目录服务的基于 Microsoft Windows Server? 2003 服务器。 ? 单个 Active Directory 域和林基础结构。

? 域级别组策略,适用于强制域范围的安全要求。

益处:

? 可靠的基础结构: 在冗余服务器上实施网络和目录服务可以获得更好的可靠性。

? 集中的资源管理: 使用 Active Directory 提供一个所有用户、计算机以及网络上的其他对象的集中数据库。有助于根据组织的结构来整理 IT 环境中的资源。

? 安全性: 使用 Active Directory 提供安全和身份验证机制,该机制提供对资源的受保护和受控的访问。

? 单一登录: 使用 Active Directory 启用单一登录,这从本质上意味着用户只需要提供一次他们的凭据。他们试图访问网络上的资源时不需要每次都提供凭据,系统会使用相同的凭据访问所有资源。 ? 良好定义和强制执行的安全策略: 使用组策略定义IT 环境中的域范围的安全策略,并在环境中强制执行,不会被任何客户端或其他设备更改覆盖。

下面的图形展示了企业IT 基础结构并突出显示了提供网络和目录服务的服务器:

图 . 企业 IT 基础结构的网络设计

方案规划:

企业 IT 环境中实施网络和目录服务时,创建一个平衡可靠和保持低成本需求的设计非常重要。 ? 单个服务器: 单台基础结构服务器承载网络和目录服务。 ? 群集的服务器: 在群集的配置中部署两台基础结构服务器。

? 冗余服务器: 部署两台冗余的基础结构服务器,同时提供相同的网络和目录服务。网络和目录服务器或者具有提供跨多台服务器的冗余的内置机制,或者以可获得类似冗余的方式进行部署。

下表列出了这些选择方案的优缺点:

选择方案 单个服务器 优点 便宜: 部署和管理成本低。 易于部署: 这种配置易于部署。 群集的服务器 缺点 较不可靠: 如果服务器出现故障,不可避免的出现停机。 较昂贵: 要求一台其他的服务器,并且要在两台配置复杂: 这种配置的配置、操作和疑难排解都服务器上安装 Windows Server 2003 Enterprise 比较困难。 Edition。 冗余服务器 成本: 部署和管理成本处于其他两种选项之间。 管理: 需要管理两台服务器。 易于部署: 这种配置比群集服务器选项易于部署。 表 . 网络和目录服务部署选择方案

网络和目录服务对于企业IT 环境的正常工作非常关键。只使用单个基础结构服务器会使成本最低,

但它不会提供故障转移功能。基础结构服务器出现故障可能会削弱整个IT 环境的能力。此外,如果故障是由服务器硬件引起的,在等待备用部件或更换硬件的过程中通常会引入额外的延迟。

然而,使用群集要求在两台基础结构服务器上安装 Windows Server 2003 Enterprise Edition,这要比 Windows Server 2003 Standard Edition 昂贵很多。此外,配置、操作和疑难排解服务器群集也比较复杂。

在非群集的配置中部署两台冗余基础结构服务器比较容易配置。基于 Windows 服务器的网络服务和 Active Directory 服务设计用于跨多台服务器运行,这样就排除了单一故障点。

建议:

建议部署两台冗余服务器,分别称为“主基础结构服务器”和“辅助基础结构服务器”。通常情况下,主基础结构服务器提供大多数网络服务,因为绝大多数客户端请求首先转到这台服务器中。如果这台服务器无法及时地响应,那么大多数请求会转到辅助基础结构服务器中。只有在主服务器不能及时响应时,绝大多数客户端请求才会转到辅助服务器。 安全 Internet 连接服务 Internet 为用户提供了访问和共享信息并以经济、高效的方式进行通信的能力。企业可运用 Internet 来:

? 使客户能够与企业执行电子商务相关事务。

? 使客户能够发送和接收电子邮件,浏览 Web,以及与客户和业务合作伙伴进行通信。 ? 将内部资源发布到 Internet,以便客户、雇员和业务合作伙伴能够访问那些资源。这些资源包括 Web 服务、电子邮件服务、相关应用程序。

? 使用虚拟专用网络 (VPN)的方式,将分公司和移动及家庭用户连接到总公司。

然而,Internet 在带来这些好处的同时,也引入了可能导致灾难性后果和重大业务损失的安全漏洞和病毒攻击的风险。因此,保护与 Internet 的连接对所有企业都是至关重要的。IT 环境面对并且必须抵御来自 Internet 的下列安全威胁:

? 黑客攻击,比如拒绝服务 (DoS) 攻击、中间人 (man-in-the-middle) 攻击和网站篡改。 ? 病毒、蠕虫、特洛伊木马和其他后门程序。

? 通过 Internet 应用程序带来的威胁,比如电子邮件和 Web 站点。

保护 Internet 连接避免各种威胁而不给用户施加太多的限制是很重要的。 ? 在总公司设计和部署防火墙服务以提供对 Internet 的安全访问。 ? 实施诸如入侵检测和应用程序筛选之类的安全 Internet 功能。 ? 实施 Web 缓存以提高性能和 Web 站点访问速度。

? 将内部资源发布到 Internet 以促进业务客户、雇员和业务合作伙伴的经过身份验证的远程访 问。

? 记录、监视和报告 Internet 活动,比如使用情况和性能统计数据。

? 为服务器、总公司客户端计算机和分公司客户端计算机访问 Internet 选择最合适的机制。 使用方案:

? 通过代理服务为内部用户提供安全的 Internet 访问。 ? 为公司网络外的用户提供安全、简便的网络访问。

? 安全、轻松地发布 Intranet 站点,以便通过 Internet 向远程用户提供信息。 ? 通过实施 Web 缓存提供对经常使用的 Web 内容的快速访问。

? 保护内部 Web 站点免遭威胁,比如病毒、目录遍历攻击、缓冲区溢出攻击以及跨站点脚本攻击。 ? 实施附加安全功能,比如:

? 入侵检测,以便前瞻性地检测并向 IT 人员发出警告通知。

? 应用程序筛选,以避免用于针对应用程序层协议(比如 SMTP、HTTP 和 RPC)的攻击。 ? 控制用户对 Internet 的访问,保护客户端避免来自 Internet 的恶意流量。 ? 保护组织的信息资产避免来自 Internet 上的黑客攻击。 初始状态环境:

? 网络通过低端或低性能安全设备连接到 Internet,这些设备仅提供有限的安全性和性能。 ? 使用多个专用设备执行不同的功能,比如防火墙、代理、入侵检测和应用程序筛选。 ? Internet 连接根本就不安全。

? 现有防火墙(或其他安全设备)的厂商因为设备已经变得过时而即将停止支持该设备。 ? 当前的 Internet 安全基础结构不能安全地将服务发布到 Internet。 ? 没有用于监视和控制雇员对 Internet 的使用的机制。 结束状态环境:

? 支持不断增加的流量的可伸缩性。

? 提高检测和防止应用程序层攻击的能力。 ? 更好的管理多个设备,方便查看其运行情况。 ? 清晰的日志记录、监视和报告机制。 ? 安全地发布资源以便从 Internet 访问。 益处:

? 抵御外部威胁: 保护企业的信息资产免遭外部威胁,比如黑客发起的 Internet 攻击。

? 集成且具成本效益的解决方案:提供可靠且具成本效益的解决方案,该方案可执行多种功能, 比如防火墙、入侵检测、应用程序筛选(比如超文本传输协议 和文件传输协议 筛选)和 Web 代理。

? 附加功能: 提供附加的集成(如 Web 缓存)功能来改进访问 HTTP 和 FTP 站点的性能。 ? 减少停机时间和成本: 减少与攻击(比如 DoS 攻击)所导致的系统和应用程序的不可用性 相关的停机时间和成本。

? 高级安全功能:增加避免知识产权遭受攻击(比如中间人攻击、网站篡改、DNS 攻击检测和 IP 欺骗)的保护。 ? 服务器和 Web 发布。

? 轻松实现可伸缩性,并轻松地扩展至处理更高的流量负载。 ? 广泛的日志记录、监视和报告。 方案规划:

安全的 Internet 连接基础结构应该: