项目方案设计指导

Chapter,*,/26,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第4章内容回顾,需求分析的设计方法,需求分析设计过程,了解用户需求,将用户需求细分,分成系统、服务、安全三个模块分别进行分析,Chapter,1,/26,项目方案设计,指,指导,本章结构,设计方案,防火墙的设计,入侵检测系统的设计,其他安全措施,系统建设目标,总体设计思想,系统架构设计,系统与应用服务设计,系统管理设计,设备选择,系统安全设计,操作系统与服务器软件选择,Web,服务设计,FTP,服务设计,邮件服务设计,数据库服务设计,Chapter3/26,方案设计方,法,法回顾,汇总设计所,需,需的资料,经济、技术,等,等的可行性,研,研究报告,用户的明确,需,需求,确定网络整,体,体结构,确定网络设,备,备和材料选,型,型,确定应用服,务,务业务,确定安全策,略,略,确定实施、,测,测试、试运,行,行、验收、,培,培训和服务,形成设计方,案,案文档,必要时组织,评,评审,Chapter4/26,BENET,公司办公自,动,动化设计方,案,案,系统建设目,标,标,满足公司办,公,公自动化的,全,全部需求,满足公司员,工,工访问Internet的需要,满足企业数,据,据快速增长,并,并可靠存储,的,的需求,实现Internet,用,用户对公司Web网站,的,的访问,所有员工能,利,利用自己帐,户,户和密码登,录,录到网络,所有员工能,在,在权限允许,范,范围内使用,网,网络资源,所有员工能,利,利用邮件客,户,户端软件收,发,发邮件,利用防火墙,和,和IDS为,整,整个网络提,供,供安全保障,Chapter6/26,总体设计思,想,想,可用性,全部系统可,用,用,性能,高性能,可管理性,便于管理,可靠性,网络冗余设,计,计，稳定的,操,操作系统,可扩展性,易于扩展,安全性,对网络、系,统,统、主机提,供,供全面的防,护,护,简单性,成本,Chapter7/26,系统架构设,计,计,使用单域结,构,构,公司拥有独,立,立域名,帐户域,在,ISA Server,上安装,DNS,，以便于外,部,部用户对该,域,域的访问,在内网上安,装,装,DNS,，以便于内,部,部用户对该,域,域的访问,利用防火墙,对,对外发布,Web/FTP,服务,和邮件服务,内部,DNS,外部,DNS,防火墙,Chapter8/26,系统与应用,服,服务设计6-1,操作系统与,服,服务器软件,的,的选择,操作系统或服务器软件名称,版本,主要用途,应用范围,Windows Server 2003,中文企业版,服务器操作系统,所有服务器,Exchange Server 2003,中文企业版,提供邮件服务,内部邮件服务器,SQL Server 2005,中文企业版,提供数据库服务,内部数据库服务器,IIS,6.0,及以上,提供,Web,、,FTP,服务,Web,、,FTP,服务器,Windows XP,中文专业版,客户端操作系统,所有客户机,Chapter9/26,系统与应用,服,服务设计6-2,邮件服务的,设,设计,FQDN,名称,IP,地址,192.168.127.4/24,访问权限,授权用户访问,访问方式,内部或外部,实现功能,企业用户的邮件收发,垃圾邮件过滤,Chapter10/26,邮件地址：,每,每个用户拥,有,有一个邮箱,和,和电子邮件,地,地址,邮件地址格,式,式为“用户,名,名域名”,，,，例如,管理组：所,有,有用户位于,同,同一个管理,组,组内,邮件服务安,全,全：设置每,个,个用户发送,附,附件的大小,不,不超过4MB,邮件服务器,上,上启用垃圾,邮,邮件过滤功,能,能,系统与应用,服,服务设计6-3,Chapter11/26,系统与应用,服,服务设计6-4,Web服务,的,的设计,Chapter12/26,系统与应用,服,服务设计6-5,FTP服务,的,的设计,FQDN,名称,IP,地址,192.168.127.3/24,访问权限,匿名用户只能下载，授权用户可上传下载文件,ftp,主目录,D:public,文件系统,NTFS,安全性,需要,IIS,最新补丁,Chapter13/26,系统与应用,服,服务设计6-6,数据库服务,的,的设计,服务器名称,SQL,IP,地址,192.168.127.5/24,端口,1433,存储空间,D:SQL,访问权限,域内用户可访问,文件系统,NTFS,规划安装数,据,据库服务器,将旧服务器,上,上的数据迁,移,移到新服务,器,器上,重新设计备,份,份策略，并,测,测试备份策,略,略,为保证可靠,性,性，可采用,Windows,的服务器群,集,集技术,Chapter14/26,系统安全设,计,计5-1,设计概述,在企业网络,边,边缘上安装,防,防火墙,把所有服务,器,器放到,DMZ,区域中,在每个子网,中,中部署入侵,检,检测系统,操作系统及,服,服务器软件,打,打上最新的,安,安全补丁,安装企业防,病,病毒软件并,提,提供适时更,新,新,启用帐户策,略,略,启用密码策,略,略,给用户分配,适,适当的权限,采用域安全,策,策略,Chapter15/26,系统安全设,计,计5-2,防火墙的设,计,计,防火墙软件名称,Microsoft ISA Server 2004,（带,SP1,）,IP,地址,192.168.128.7/30,（连接内网）,202.101.100.7/30,（连接,Internet,）,完成功能,防火墙功能,Web,服务、邮件服务的发布,缓存功能,防火墙客户端,要求安装防火墙客户端软件,Chapter16/26,系统安全设,计,计5-3,入侵检测系,统,统的安装,软 件 名 称,用 途,应用范围,acid-0.9.6b23.tar.gz,基于,php,的入侵检测数据库分析控制台,部署于各子网的一台专用机器上,adodb465.zip,ADOdb,（,Active Data Objects Data Base,）库,for PHP,apache_2.2.2-win32-x86-no_ssl.msi,Windows,版本的,Apache Web,服务器,jpgraph-1.20.4a.tar.gz,面向对象的图形库,for PHP,mysql-5.0.22-win32.zip,Windows,版本的,Mysql,数据库服务器,php-5.1.6-Win32.zip,Windows,版本的,php,脚本,snort_2_6_0_Installer.exe,Windows,版本的,Snort,安装包,WinPcap_3_1.exe,网络数据包截取驱动程序,Chapter17/26,系统安全设,计,计5-4,入侵检测系,统,统的测试,在某个子网,的,的机器上安,装,装,Nmap,或者,X-Scan,软件并扫描,要,要测试的网,段,段,在安装了入,侵,侵检测系统,的,的机器上启,动,动,Snort,在浏览器中,打,打开,Acid,中控台,查看是否能,够,够检测到入,侵,侵,分析入侵源,并,并采取相应,措,措施,Chapter18/26,系统安全设,计,计5-5,其他安全措,施,施,把所有服务,器,器放到,DMZ,区域中,操作系统及,服,服务器软件,打,打上最新的,安,安全补丁,安装企业防,病,病毒软件并,提,提供适时更,新,新,启用帐户策略（,参,参考,S1,项目实践中相应,部,部分的内容）,启用密码策略（,参,参考,S1,项目实践中相应,部,部分的内容）,给用户分配适当,的,的权限,采用域安全策略,Chapter19/26,系统管理设计3-1,设计,匹配公司管理结,构,构,按部门层次划分,按部门划分,OU,按部门划分,OU,站点：默认站点,例：财务,例：人力,树,Chapter20/26,系统管理设计3-2,设计,以部门名字命名,存放用户账户及,计,计算机账户,Chapter21/26,系统管理设计3-3,用户管理,统一命名：以汉,语,语拼音全拼为用,户,户名字,存储在所属于部,门,门的,组的管理,利用组分配权限,组名以组的类型,为,为前缀，,G,、,DL,、,U,AGUDLP,策略,Chapter22/26,设备选择2-1,服务器,所有服务器均选,择,择,IBM,公司的,xSeries236,处 理 器,IntelXeon,处理器,3.0GHz,或更高,Cache,2M,SMP,支持,2,颗处理器,内存,8,个,DIMM,内存插槽，,ECC DDR2 SDRAM,，最大内存,16 GB,主板,IDE,控制器,Ultra,ATA100,SCSI,控制器,集成双通道,Ultra 320 SCSI,控制器,显示,主板集成显示，,128MB,显存,外驱动器架,35.25”,（,CD-ROM,已占用一个）,13.5”,（,1.44M,软驱占用）,网卡,10/100/1000M,自适应以太网卡*,2,扩展性能,扩展槽：,2PCI-X 64bit/100Mhz 2PCI-X64bit/66Mhz 1 PCI 64bit/33Mhz 1 PCI 32bit/33Mhz,内部设备接口：,2,个,Ultra 320 LVD SCSI,接口,1,个,IDE,接口,1,个软驱接口外部设备接口：,2,个,USB,口,2,个,9,针串行口（,16550UART,）,1,个,25,针并行口（,EPP/ECP,）,1,个,PS/2,鼠标接口,/1,个,PS/2,键盘接口,1,个显示器接口,2,个,RJ45,网络接口,Chapter23/26,设备选择2-2,客户机,联想启天,M2200P4 2.8G,笔记本电脑,联想昭阳,S620BP-M 2.4G,Chapter24/26,方案设计要求,全班分成5个项,目,目小组，每组4,人,人,通过小组讨论的,形,形式确定设计方,案,案,设计完成提交方,案,案设计文档,下次上课时每组,选,选派2人上来讲,述,述自己的设计方,案,案,需要制作成PPT,每组时间是15,分,分钟,Chapter25/26,设计方案,系统建设目标,总体设计思想,系统架构设计,系统与应用服务,设,设计,系统管理设计,设备选择,系统安全设计,本章总结,办公自动化,接入,Internet,便于管理用户,安全,单域,OU,组、用户,操作系统的选择,邮件服务的设计,Web,服务的设计,FTP,服务的设计,数据库服务的设,计,计,防火墙的设计,入侵检测系统的,设,设计,其他安全措施,Chapter26/26,