MS中企解决方案_核心基础架构B

2概述微软企业IT构建解决方案核心基础结构B版MicrosoftTechNet中文网站概述本解决方案主要面向那些拥有50-250个用户的正在成长中的企业（以下称为中型企业），这些企业正在逐渐使用信息技术来提高工作效率和连接客户。本方案提供了可用于在中型IT环境中规划、构建、部署和操作核心基础结构的指南。核心基础结构是IT基础结构的一部分，是实现直接满足公司商业要求的众多服务的前提条件。下面的各个组件组成了中型企业核心基础结构解决方案中所讨论的核心基础结构：物理网络网络服务目录服务安全的Internet连接文件服务对于不同的公司，最适合的核心基础结构设计方案也会有所不同。中型企业核心基础结构解决方案将帮助中型企业根据商业需求选择一个合适的设计方案，并设计和实施所选方案。本解决方案由下列各章组成：第一章“核心基础结构设计概述”：本章提供了有关准备核心IT基础结构总体设计的指南。介绍了可使用中型IT解决方案系列实施的多种不同基础结构设计，并帮助IT专家选择最适合他们环境的实施。然后运用一个适用于大部分中型企业的实施方案，展示了在这个实施中服务的部署顺序。（A版第3页）第二章“物理网络设计”：本章提供了可用于在中型企业的总部和分公司中规划、构建、部署和操作物理LAN的指导。本章介绍了如何选择网络设备（例如交换机、路由器和防火墙），如何选择连接这些网络设备的网络电缆，以及如何设计网络布局。它提供了有关选择和布置无线访问点的指导，从而为LAN提供安全的无线访问。另外还介绍了为总部和分公司选择合适Internet连接和ISP的指导。（A版第24页）第三章“网络和目录服务”：本章提供了用于规划、构建、部署和操作可靠且安全的网络和目录服务的指南。本章还提供了有关配置DNS和WINS、使用DHCP实现IP地址自动分配和管理IP配置的指南，并介绍了一种方便的方法通过ActiveDirectory目录服务来命名、描述、定位、访问、管理和保护信息。本章中所涉及的服务组成了强大的网络基础结构，为其他服务提供基础。（A版第47页）第四章“安全Internet连接服务”：本章提供了用于规划、构建、部署和操作各种服务的指南，用于保护LAN免受来自Internet的威胁。本章提供了选购和部署总公司防火墙以及配置已经安装在分公司的多用途防火墙和VPN设备的指南。还提供了实现入侵检测、Web缓存、应用程序层筛选、将资源发布到Internet以及配置总部中内部计算机访问Internet的指南。（B版第3页）第五章“文件服务”：本章提供了用于规划、构建、部署和操作中型IT环境中文件服务的指南。它提供了有关为使用DFS的网络共享设计和实施一个统一的命名空间的指南。还提供了有关在现有基础结构服务器或基于WindowsStorageServer2003的网络存储设备上实施文件服务和存储的指南。（B版第41页）●●●●●3MicrosoftTechNet中文网站第四章安全Internet连接服务第四章：安全Internet连接服务简介Internet为用户提供了访问和共享信息并以经济、高效的方式进行通信的能力。中型企业可运用Internet来：使客户能够与企业执行电子商务相关事务。使客户能够发送和接收电子邮件，浏览Web，以及与客户和业务合作伙伴进行通信。将内部资源发布到Internet，以便客户、雇员和业务合作伙伴能够访问那些资源。这些资源包括Web服务、电子邮件服务、业务线(LOB)应用程序。使用虚拟专用网络(VPN)以富有成本效益且安全的方式，将分公司和移动及家庭用户连接到总公司。然而，Internet在带来这些好处的同时，也引入了可能导致灾难性后果和重大业务损失的安全漏洞和病毒攻击的风险。因此，保护与Internet的连接对所有企业都是至关重要的。中型IT环境面对并且必须抵御来自Internet的下列安全威胁：黑客攻击，比如拒绝服务(DoS)攻击、中间人(man-in-the-middle)攻击和网站篡改(defacing)。病毒、蠕虫、特洛伊木马、Rootkit和其他后门程序。通过Internet应用程序带来的威胁，比如电子邮件和Web站点。保护Internet连接避免各种威胁而不给用户施以太多的限制是很重要的。范围本章提供关于保护中型IT环境避免来自Internet的威胁的指导。本章提供的指导范围包括：在总公司设计和部署防火墙服务以提供对Internet的安全访问。实施诸如入侵检测和应用程序筛选之类的安全Internet功能。实施Web缓存以提高性能和Web站点访问速度。将内部资源发布到Internet以促进业务客户、雇员和业务合作伙伴的经过身份验证的远程访问。记录、监视和报告Internet活动，比如使用情况和性能统计数据。为服务器、总公司客户端计算机和分公司客户端计算机访问Internet选择最合适的机制。这包括关于决定如何把选择的机制部署到各计算机的指导。先决条件在中型IT环境中实施安全Internet连接的先决条件如下：本解决方案的第二章“物理网络设计”中推荐的正确设计的网络基础结构。该网络基础结构包括：总公司和分公司的Internet连接。来自在总公司提供Internet连接的Internet服务提供商(ISP)的公共IP地址和相关网络配置细节。组织的官方注册域名。组织用于总公司和分公司的网络IP寻址方案。ActiveDirectory目录服务。●●●●●●●●●◆◆◆◆●●●●●●4第四章微软企业IT构建解决方案核心基础结构B版MicrosoftTechNet中文网站安全Internet连接服务基于名称解析服务的域名系统(DNS)。在总公司LAN上正确运行的证书颁发机构(CA)，以便向需要发布到Internet的Web站点颁发SSL证书。构想本节描述实施本章所提供的有关保护中型IT环境中的Internet连接的指导的使用方案和好处。它还提供可实施该指导的初始状态环境和该环境的预期结束状态。使用方案连接到Internet的任何中型IT环境都必须受到保护。本章提供的指导可用于：通过代理服务为内部用户提供安全的Internet访问。为公司网络外的用户提供安全、简便的电子邮件访问。安全、轻松地发布Intranet站点，以便通过Internet向远程用户提供信息。通过实施Web缓存提供对经常使用的Web内容的快速访问。保护内部Web站点免遭威胁，比如红色代码（CodeRed）、尼姆达(Nimda)和其他类似的病毒、目录遍历攻击、缓冲区溢出攻击以及跨站点脚本攻击。实施附加安全功能，比如：入侵检测，以便前瞻性地检测并向IT人员发出警告通知。应用程序筛选，以避免用于针对应用程序层协议（比如SMTP、HTTP和RPC）的攻击。控制用户对Internet的访问，保护客户端避免来自Internet的恶意流量。保护组织的信息资产避免来自Internet上的黑客攻击。初始状态环境本章提供的指导可以在Internet连接没有得到适当保护的中型IT环境中实施。可能的初始状态环境包括：网络通过低端或低性能安全设备连接到Internet，这些设备仅提供有限的安全性和性能。使用多个专用设备执行不同的功能，比如防火墙、代理、入侵检测和应用程序筛选。Internet连接根本就不安全。现有防火墙（或其他安全设备）的厂商因为设备已经变得过时而即将停止支持该设备。当前的Internet安全基础结构不能安全地将服务发布到Internet。这是因为即使SSL连接也不是完全不会遇到威胁。没有用于监视和控制雇员对Internet的使用的机制。部署本章中提供的指导使组织能够消除这些情况中常见的许多问题，比如：支持不断增加的流量的可伸缩性有限。检测和防止应用程序层攻击的能力有限。无法在不引入附加开支的情况下支持附加服务，比如Web缓存。难于管理多个设备，尤其是在这些设备来自不同供应商的情况下。糟糕的日志记录、监视和报告机制。不能安全地发布资源以便从Internet访问。结束状态环境在实施本章提供的指导之后，结束状态环境将包括：运行在基于MicrosoftWindowsServer2003的服务器上并为总公司提供安全Internet连接的MicrosoftInternetSecurityandAccelerationServer2004。基于硬件的多用途防火墙设备，它能够提供足够的安全性和性能，并且具有支持分公司的流量负载的能力。益处使用本章提供的指导来保护Internet连接提供了以下好处：●●●●●●●●◆◆●●●●●●●●●●●●●●●●5MicrosoftTechNet中文网站第四章安全Internet连接服务抵御外部威胁：保护企业的信息资产免遭外部威胁，比如黑客发起的Internet攻击。集成且具成本效益的解决方案：ISAServer2004用于提供可靠且具成本效益的解决方案，该解决方案可执行多种功能，比如防火墙、入侵检测、应用程序筛选（比如超文本传输协议HTTP和文件传输协议FTP筛选）及Web代理。附加功能：提供附加的集成（如Web缓存）功能来改进访问HTTP和FTP站点的性能。ISAServer还可用于提供VPN服务。减少停机时间和成本：减少因攻击（比如DoS攻击）所导致的系统和应用程序的不可用性相关的停机时间和成本。高级安全功能：增加避免知识产权遭受攻击（比如中间人攻击、网站篡改、DNS攻击检测和IP欺骗）的保护。服务器和Web发布：ISAServer可用于发布服务器和Web站点，比如简单邮件传输协议(SMTP)服务器和MicrosoftOutlookWebAccess(OWA)站点。轻松实现可伸缩性：ISAServer作为基于软件的防火墙，可轻松地扩展至处理更高的流量负载。广泛的日志记录、监视和报告：ISAServer可用于记录、监视和报告Internet活动，比如使用情况和性能统计数据。●●●●●●●●图1：安全Internet连接设计6第四章微软企业IT构建解决方案核心基础结构B版MicrosoftTechNet中文网站安全Internet连接服务规划本节提供关于设计一个安全Internet连接的IT基础结构的指导。并提供用于保护内部网络免受Internet上的威胁的服务配置，规划该配置并确定部署那些服务的先决条件。安全的Internet连接基础结构应该：充当所通过的流量的代理，为内部网络用户提供安全的Internet访问。保护内部网络免受来自Internet上的威胁。提供防火墙服务，包括执行状态包检查和网络地址转换(NAT)。NAT通过隐藏内部网络的IP寻址方案来保护内部网络。执行入侵检测，入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。此类恶意活动的例子包括端口扫描和使用大量的网络数据包堵塞特定的端口。执行应用程序筛选以扫描各个应用程序层的入站和出站流量（比如SMTP、HTTP、FTP），并检测恶意代码。执行Web缓存以提高下列用户访问HTTP和FTP站点的性能和速度：访问Internet的局域网用户。访问内部网络上的站点的Internet用户。监视和发送关于各种参数（比如Internet使用、Web缓存细节和内部网络上的用户进行的协议敏感的Internet使用）的报告。应该有一种以各种形式（比如电子邮件和事件日志记录）发送警告通知的机制。图1表示一个中型IT环境，并突出提供安全Internet连接的服务器和设备。本节涵盖以下内容：安全Internet连接部署设计推荐软件防火墙配置推荐硬件材料清单安全Internet连接部署设计分公司需要一个低成本的多用途设备充当路由