国泰君安办公网络域架构与补丁分发方案

国泰君安有限公司网络域架构与补丁分发方案版本1.0微软（中国）有限公司上海分公司2004-06-04一、方案背景1.1目前现状国泰君安总部目前拥有PC约1000台计算机（包括服务器与客户机），划分为OA办公网与业务网两大类，其中业务网又由交易网、通信网的网络构成，这些网络之间通过网关实现网络通信。这些网络目前都采用Workgroup工作组构架模式。1.2客户需求近期来，由于病毒泛滥，甚至透过网关危及到业务网，特别是随着集中交易的上线运行，国泰君安意识到网络通信管理与安全的重要性。为更好地管理网络中的用户与计算机，提高管理力度，国泰君安期望通过部署企业网络管理解决方案来实现以下管理要求，并在此基础上实施网络通信安全管理。1.建立企业级目录服务，实施全面的用户、计算机集中管理；2.建立补丁管理，实施安全补丁分发、安装及检查统计；3.其它基础的管理要求；4.方案应具有可扩展性，以满足未来管理的新要求。二、方案规划2.1规划建议为满足国泰君安需求，微软建议在国泰君安部署Windows活动目录服务，实施网络用户、计算机等资源集中化管理。网络管理（包括补丁分发等）将通过以微软的SMS2003服务器为核心的管理系统来实施。为有效地强化企业内部网络安全，并基于用户级别跟踪、控制网路通信，微软强烈建议采用内、外双层防火墙，构架DMZ网路区域。外防火墙可继续采用原有防火墙，而内防火墙则可采用微软的ISA2000软件防火墙，该防火墙系统与Window活动目录紧密结合，能做到用户级别的通信安全控制。2.2规划依据2.2.1微软活动目录技术介绍今天，对于在商业运作中保持竞争力而言，网络化计算变得比以往任何时候都更为重要。为此，就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供一定空间，用于存储与基于网络的实体相关的信息，例如应用程序、文件、打印机和人员。同时，该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。更形象地说，目录服务在网络操作系统中扮演着一个接线总机的角色。它是通过对一致性进行管理，并调度那些分布式资源间关联，从而使它们共同工作的中心授权机构。由于目录服务提供这些基础的网络操作系统功能，它必须与用于管理和提供安全性的操作系统机制紧密结合在一起，从而保证网络的完整性和保密性。同时，目录服务也在组织机构的下列能力中发挥至关重要的作用，这些能力包括：定义和维护网络基础构件的能力，执行系统管理的能力以及控制一家公司信息系统中全部用户经验的能力。Microsoft®ActiveDirectory®服务是Windows®平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上，保证快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户都提供统一的视图。在当今网络计算的爆炸性增长的Internet时代，微软活动目录还广泛地采用了Internet标准，给用户带来了几乎无穷无尽的益处。活动目录集成了关键服务，如域名服务(DNS)，消息队列服务（MSMQ），事务服务（MTS）等；集成了关键应用，如电子邮件、网管、ERP等；同时还集成了当今的关键的数据访问，如ADSI，OLEDB等。因此选择微软的活动目录技术可以完全满足用户集中化管理控制需求，并且具有很强的可扩展性，为未来管理要求提供持续的支持。2.2.2微软SMS2003管理服务器SystemsManagementServer(SMS)2003为Microsoft平台的更改和配置管理提供了一种综合解决方案，使组织能够以更低的成本快速为指定的用户提供有关软件和更新。建立在行业标准管理协议的基础上，SystemsManagementServer与Microsoft和其它公司的补充管理工具相兼容。此外SystemsManagementServer与MicrosoftSQLServer™和WindowsServer2003操作系统完全集成--使其在任何规模的网络中都容易安装、配置和维护。安全补丁管理SystemManagementServer2003已经内置了安全补丁管理的能力，并且SystemManagementServer2.0SoftwareUpdateServices功能包完全集成进了SystemManagementServer2003.SystemManagementServer2003通过必要的工具，保证企业的Windows环境主动的获取最新的安全补丁信息，及时的发现系统存在的已知漏洞，并进行简易快速的部署。发现已知漏洞：使用标准的微软安全工具，例如：Microsoft基准安全分析工具和Office更新工具，我们可以扫描系统来发现已知漏洞并报告未安装的安全补丁。补丁部署向导：为管理员提供一个简单的向导程序，来为管理的设备部署安全补丁。即使不熟悉SystemManagementServer2003的安全专员，也能对这个向导轻易上手。安全分析和部署报告：当确认缺少安全补丁之后，所有的扫描结果会集中到数据库中，以便于我们进行分析和报告。当安全补丁部署完毕之后，结果会实时的在数据库中反映出来。更好地管理移动系统和用户为移动办公人员提供管理解决方案是系统管理领域最复杂棘手的问题之一。为了采用与传统的静态用户一致的方式，向移动用户和计算机提供管理服务，IT管理员工作的复杂性又增加了。SystemsManagementServer2003产品专门解决了这个问题，它新增了一个全新的客户端代理AdvancedClient，后者经过从头设计以支持这些方案。这个新的客户端代理支持全部的管理功能集—软件分发、资产管理和远程故障排除—不需要一套确定的本地服务器或服务。而且，这样的代理在现有SystemsManagementServer框架内无缝集成，使管理员可以同时管理静态用户和漫游用户，而不需要区分他们。新的AdvancedClient还使用称为后台智能传输服务(BITS)的Windows技术，通过断断续续的、低带宽或质量很差的网络链接（如远程访问服务拨号连接和远程虚拟专用网络连接），为所有管理操作提供连接。开发这个基于HTTP的协议是为了支持WindowsUpdate基础结构，代码库目前每个月处理来自WindowsUpdate的6千万个以上的更新下载。更好的软硬件资产管理在大多数单位，随着部署的产品与服务的范围逐年增长，对于IT管理员来说，管理所有这类应用程序的整个生命周期变得越来越重要。节省开支的最简单而又最直接的方法通常是在当前的许可证级别下跟踪实际的软件使用，确保每年的许可证开销与软件使用相协调。通过不仅监视每台计算机上安装了什么应用程序，而且监视实际使用的是哪些应用程序，管理员可以更准确地了解单位内部的许可证需求情况。此外，通过了解哪些是广泛使用的应用程序，测试方案和升级项目可以更准确地反映真实的部署环境，从而减少在整个企业内进行更改的开销。SystemsManagementServer2003通过允许管理员跟踪应用程序的安装，并将此与应用程序的实际使用相联系，提供了这方面的解决方案。为实现这一点，SystemsManagementServer2003彻底改写了以前的SystemsManagementServer2.0软件计量方法。它显著改进了大多数单位的衡量标准，将重点放在了解正在使用哪些应用程序、使用频率、以及同时有多少用户使用相同的应用程序等关键需求上。这样，管理员就可以更好地衡量企业真正需要的应用程序许可证，还可以确定多余的应用程序安装，从客户机上抹去它们的磁盘脚印。通过最大化部署应用程序的运行时间和可用性，也可以间接地显著节约开支。通过确保所有部署的应用程序和服务运行可用的最新更新和服务版本，最好地维护了企业级应用程序的稳定性。通过不间断地在网络上跟踪部署的应用程序和服务，并提供工具将它们与可用修补程序、服务包及更新的列表进行比较，SystemsManagementServer允许管理员主动更换有已知问题的部署代码以避免服务中断。这些操作通过最小化用户和类似客户的停机时间，提高了总的生产效率，并且通过确保一旦有可用的修补程序，就根除掉所有已知的漏洞，保证了整个业务环境的安全。更好地访问配置和部署数据SystemsManagementServer维护一个中央数据库，其中包含有关所管理的系统和用户的各种有价值的信息。通过使用SystemsManagementServer2003中的清单扩展从“添加/删除程序”添加应用程序数据，以及从WindowsInstaller服务添加应用程序安装状态，每个SystemsManagementServer站点都维护着一个更加丰富的配置数据集。管理员通常需要提供报告来说明正在进行的部署与升级项目的进度，还需要维护整体网络配置状态的报告。生成与更新这类报告会占用实际管理项目本身所需的宝贵时间。SystemsManagementServer2003现在向管理数据库提供了一个安全的Web界面，其中包括大量覆盖网络上所有计算机配置的预配置报告、软件部署和使用状态、以及各个计算机配置的细节。这个新的Web界面改进了SystemsManagementServer管理员在SystemsManagementServer2.0中逐渐依赖于的基于Web的报告，允许管理员向经理提供安全、实时的报告，每位经理都可以使用Web浏览器查看单位中托管系统的当前状态。Web报告集可充分扩展，允许管理员为正在进行的特定项目创建自定义视图。更好的SMS操作的扩展性和易管理性近些年来，典型单位中部署的基于Windows的PC数显著增加。随着部署的PC群不断增加，提供集中化平台管理的重要性也日益增加。由典型的SystemsManagementServer部署管理的客户端数因此也越来越多，现在很多客户管理的客户机数远远超过了200,000台。SystemsManagementServer产品结构本身就是可扩展的，并且已经成功部署在很多这样的环境中。但是，随着端节点数的增长和处理的数据量的增加，以下两个因素变得至关重要：系统处理负载增大，增加了配置更改和管理员通知之间的延迟。部署的管理基础结构大小增加，需要更多的管理工作来管理管理系统本身。SystemsManagementServer2003通过增加SystemsManagementServer基础结构的处理量和简化管理模型，解决了这两个问题。核心SystemsManagementServer服务的性能已得到显著提高，可确保支持高客户端数据处理量，同时使系统的传输延迟减到最小。对于较小或静态的环境，此改进使实现相同系统功能级别的硬件要求降低。通过两项新功能简化了SystemsManagementServer管理员的管理工作：一项是删除了高开销的操作和服务，另一项是实现了一个新的可选安全模型，允许在没有或仅有少数几个Windows域帐户的情况下操作SystemsManagementServer。这两项新功能显著简化了所有SystemsManagementServer管理员的任务，同时还提供了本身更安全的SystemsManagementServer环境。2.2.3微软ISA2000防火墙与Internet加速服务器InternetSecurityandAccelerationServer2000,简称ISAServer2000，能够提供安全、快速和可管理的Internet连接。ISAServer集成了可扩展、多层企业级的防火墙和可伸缩的高性能Web缓存系统。构建在Windows2000/2003的安全特性和活动目录基础上，提供基于策略的安全、加