软件技术与工程中心网络基础架构项目设计方案.docx
- 文档编号:8812460
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:12
- 大小:239.08KB
软件技术与工程中心网络基础架构项目设计方案.docx
《软件技术与工程中心网络基础架构项目设计方案.docx》由会员分享,可在线阅读,更多相关《软件技术与工程中心网络基础架构项目设计方案.docx(12页珍藏版)》请在冰点文库上搜索。
软件技术与工程中心网络基础架构项目设计方案
软件技术与工程中心网络基础架构
项目设计文档
广东科学技术职业学院
指导老师:
完成人员:
目录
1.项目设计整体概述3
1.1项目建设目标3
1.2项目设计主要原则3
2.软工中心IT系统总体设计4
2.1网络总体架构图4
2.2活动目录和网络基本架构的设计4
2.2.1活动目录森林和域结构4
2.2.2组织单元(OU)规划5
2.2.3活动目录站点拓扑6
2.2.4网段划分与IP的分配7
2.2.5DNS部署方案7
2.2.6用户与计算机对象命名规范8
2.2.7“我的文档”的管理8
2.2.8用户配置文件管理9
2.2.9客户机软件的管理9
2.3打印服务的设计9
2.4文件服务器设计9
2.5网络安全设计9
2.5.1CA的部署9
2.5.2域密码安全策略10
2.5.3企业敏感数据保护方案10
2.5.4系统补丁更新方案10
2.5.5网络边界安全架构11
2.6维护设计11
2.6.1AD的日常数据备份11
2.6.2文件服务器日常备份11
1.项目设计整体概述
1.1项目建设目标
根据软工中心的总体需求,将这些分散的IT基础结构整合成一个企业级网络,利用活动目录技术等以改进企业目前IT管理所面临的问题。
整合现有的IT环境中的资源,将IT环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT生产力。
从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间,提高系统服务器安全,利用2008域环境使用新特性。
对架构、组成员身份、ActiveDirectory复制及策略的更改。
提高整个网络资源的可管理性,增强网络的整体安全性。
1.2项目设计主要原则
要实现规划设计时在满足需求,提供可扩展性,稳定性,保证网路的可靠性和安全性。
具体的来讲,在进行设计的时候遵循以下原则:
稳定性:
采用经国内国外实践证明是实用的、成功的网络技术、网络产品。
先进性:
采用目前先进的网络技术和产品,以适应公司发展的需要。
通用性:
网络系统中的硬件或软件模块能根据实际情况,进行各种组合和灵活的配置,以适应技术的发展和业务需求的变化。
平滑升级和投资保护:
系统可根据功能和规模的发展进行平滑升级到未来的新技术和新功能以保护客户的投资、可靠、经济、力争最佳性价比。
可靠性:
根据实际应用需要,可考虑采用高可靠性的设备和必要的容错措施(如:
硬件容错,软件容错、系统容错)。
开放性和标准化:
系统设计中优先采用有关的国际标准、国家标准、主流的行业标准和规范,以保障网络的开放性。
可管理性:
网络应具有网络管理设施,以实现配置管理、性能管理、故障管理、统计管理、安全管理等五个方面的网管功能。
安全性:
根据业务安全性的实际需要,应采用切实可行的安全措施。
可用性:
网络应满足峰值业务需求,保证在3--5年内的可用性,并具有很好的可维护性。
随着网络结构不断调整及发展,势必会积累一些安全及运行的隐患,要及时的发现及消除,这不仅需要购买专业的维护保养服务和相关硬件,还需要专业的网络系统工程师去判断及处理。
通过设备和管理双结合,保障系统安全、稳定的运行,将系统停机时间减少到最少,保护公司数据安全。
2.软工中心IT系统总体设计
2.1网络总体架构图
2.2活动目录和网络基本架构的设计
2.2.1活动目录森林和域结构
根据软工中心的实际情况,为了实现方便和灵活统一的管理策略,我们将中心的活动目录设计为单域架构,其活动目录逻辑架构如下图所示:
2.2.2组织单元(OU)规划
为方便对企业域用户和计算机进行管理,利用“客户端计算机与用户”组织单元来组织所有的客户机和用户,在其下再建立各部门OU,用来组织本部门的客户端计算机和用户;另外,建立“成员服务器”组织单元来组织所有成员服务器,并在其下建立子OU来存放各种不同角色的成员服务器。
软工中心组织单元规划如上图所示
2.2.3活动目录站点拓扑
由于软工中心的网络集中在同一办公楼内,各子网均由高速链路连接,所以我们将该中心的活动目录物理架构只设一个站点。
现在的服务器只有三台,分别作为域控制器、文件服务器和邮件服务器,为避免活动目录服务的单点故障,建议利用现有的一台普通计算机作为辅助域控制器。
活动目录物理架构如图如示
2.2.4网段划分与IP的分配
实现IP地址自动化管理。
服务器手动设置IP地址,客户端实现DHCP自动分配IP地址。
服务器地址有192.168.1.2,192.168.1.3,192.168.1.4,客户端的地址范围为:
192.168.1.101-124,192.168.1.131-170,具体规划如下:
默认网关:
192.168.1.254/24
计算机名称
角色
IP地址/FQDN
DNS
rgdc1
DC/DNS/DHCP/GC/CA文件/打印服务器
192.168.1.1/24
192.168.1.1
rgdc2
192.168.1.3/24
R
192.168.1.1
Clients
192.168.1.4/24
192.168.1.1
ISA-ras
防火墙//WSUS/TMG
内网:
192.168.1.254/24
DMZ:
192.168.0.254/24
外网:
ISP提供
DMZ(默认网关:
192.168.0.254)
计算机名称
角色
IP地址
DNS
DMZ-
DNS转发器
192.168.0.1/24
192.168.0.1
2.2.5DNS部署方案
当用户使用企业内部计算机访问公网各种服务时,需要有DNS服务器进行域名解析,如果让内网机器直接使用公网DNS服务器进行解析,这样不仅存在一定的安全风险而且也给访问域内服务器的解析带来麻烦,所以为内部计算机实现如下安全的DNS解析方案:
为了保证用户对内网资源的正常访问,客户机上仍配置为使用企业内网的DNS服务器地址,另外需要在DNS服务器上设置转发器,将除了内部域名之外的所有查询都转发到DMZ区域的DNS服务器上,让DMZ区域的DNS服务器帮内网客户机完成域名解析。
同时在内网DNS服务器删除根提示,以使其将除内部域之外的所有域名解析转发到DMZ区域的DNS根服务器。
在ISAServer2006只需要制定两条关于DNS查询转发的策略即可,一条是允许内网DNS服务器与DMZ区域的DNS服务器的DNS协议进行通讯,另一条是允许DMZ区域的DNS服务器与外部网络进行DNS协议通讯即可。
2.2.6用户与计算机对象命名规范
为方便管理,客户机命名按部门标识加编号的方式进行命名,如销售部的客户机:
sales01;对于服务器的命名则按照该服务器所承担的角色进行命名,如果相同角色的服务器有多台还可加相应的编号,而对于不同地区相同角色的服务器,还可以加上相应位置前缀进行标识。
用户命名实行实名制,即以用户的真实姓名的拼音作为用户账户,如果有重名可加部门或编号标示。
2.2.7“我的文档”的管理
通过组策略将用户的“我的文档”进行重定向到域控制器上指定的磁盘中。
这样可以对用户的数据进行集中管理,并防止用户将数据丢失。
2.2.8用户配置文件管理
通过漫游用户配置文件将用户配置文件统一存储在域控制器上指定的磁盘中,从而实现域用户无论在域内的任何一台计算机登录时,系统都采用本用户自己的工作环境,方便用户使用自己习惯的桌面设置。
2.2.9客户机软件的管理
对于客户机都通用的软件通过组策略将软件指派给计算机,从而实现软件的自动安装;对于某些用户特定需求的软件,我们通过组策略将软件发布给用户,从而实现根据用户的需求进行软件安装及使用。
所有客户计算机都必须安装ISA客户端软件。
2.3打印服务的设计
由于软工中心只有一台打印机设备,则在打印服务器上创建一台共享打印机,并将该共享打印机发布到AD中,从而实现用户对打印服务器的快捷访问。
2.4文件服务器设计
在文件服务器下以部门名称为名规划多个共享文件夹,并赋予各部门的用户组相对应的权限,为实现众多共享文件夹的统一管理,通过配置MicrosoftWindowsServer2008文件服务器的分布式文件系统(DFS),将各部门的共享文件夹都链接到DFS根目录下,这样可以对用户的数据进行集中管理,并防止用户将数据丢失,同时方便用户访问,然后再通过启用卷影副本来对共享文件夹进行版本管理。
2.5网络安全设计
2.5.1CA的部署
为确保数据静态存储安全,及保护数据在网络传输的安全性,预先在此网络中部署企业CA(命名为rgca),为今后需要实现数据的安全保护做好铺垫。
预先配置密钥恢复代理和数据恢复代理。
2.5.2域密码安全策略
软工中心需要通过组策略来管理中心内部工作人员的密码策略。
具体策略设置如下:
●强制密码历史2
●最大密码时长60天
●最小密码长度7个字符
●密码必须符合复杂性需求可用
●使用可逆加密算法存储密码不可用
2.5.3企业敏感数据保护方案
假设软工中心每个部门都有自己比较敏感的数据需要通过EFS来加密保护,每个部门需要有自己的数据恢复代理人;各部门的敏感数据统一保存在文件服务器上,各部门在文件服务器上都有相应的文件夹来实现本部门敏感数据的安全共享;为了防止数据的丢失,所有数据恢复代理人的私钥需要存档。
i.请为每部门建立至少三个用户帐号,一个为数据恢复代理,两个普通帐号,用以测试在远程文件服务器上实现的EFS加密文件的共享。
ii.请为EFS加密文件安全地在客户机与文件服务器之间的安全传输提供解决方案。
iii.请测试数据恢复代理人的私钥是可恢复的。
2.5.4系统补丁更新方案
随着微软不断努力减少代码漏洞,软件更新也在不断进行并成为了企业系统管理和安全战略的重要部分。
有效的补丁更新方案可以给企业网络带来以下好处:
●减少停机时间:
系统遭受由于病毒或黑客攻击所造成的损害和死机的可能性大大减少。
●减少停机成本:
网络管理员可以花更少的时间部署更新和更快地响应安全事故。
●增加了对知识产权的保护:
机密的企业信息、商业秘密和个人数据将保持更高的机密性。
通过部署WSUS,利用WSUS实现统一软件更新方案,确保能对所有计算机及时进行最新,以保护确保补丁更新的可控性,并优化网络流量。
2.5.5网络边界安全架构
按照计算机不同角色以及安全性要求,严格进行网络分区,把网络划分为受信任的内部网络、不信任的外部网络、公共服务器DMZ网络,并根据不同区域的不同安全需求,施行不同级别的安全保护措施。
企业网络边界只有一个Internet出口,通过ISAServer防火墙将企业内网与外部网络隔离,及发布DMZ区域的公共资源服务器。
并通过严格的防火墙策略限制网络之间的访问行为。
2.6维护设计
2.6.1AD的日常数据备份
使用2008新功能WindowsServerBackup来进行计划备份,创建第一个完整备份后,可以讲WindowsServerBackup配置为自动运行增量备份,以为增量备份近保存自上次备份以后发生更改的数据。
定期对AD数据库进行脱机碎片整理,回收数据库空闲的空间,增加磁盘空间,提高DC性能。
2.6.2文件服务器日常备份
在文件服务器上开启计划任务,使用NTBACKUP工具对敏感的数据进行备份。
备份方式为星期一至星期五的深夜进行增量备份,星期六或星期天进行一次完整备份(可根据需要自定)。
将备份的数据设定在指定的磁盘上。
定期清理文件服务器上的一些不必要的数据,以便回收空闲的空间,增加磁盘空间。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 软件技术 工程 中心 网络 基础 架构 项目 设计方案