《2022年2022年国泰君安办公网络域架构补丁分发方案 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年国泰君安办公网络域架构补丁分发方案 .pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、.国泰君安有限公司网络域架构与补丁分发方案版本 1.0 微软(中国)有限公司上海分公司2004-06-04 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 11 页 -.一、方案背景1.1 目前现状国泰君安总部目前拥有PC约 1000台计算机(包括服务器与客户机),划分为 OA办公网与业务网两大类,其中业务网又由交易网、通信网的网络构成,这些网络之间通过网关实现网络通信。这些网络目前都采用Workgroup 工作组构架模式。1.2 客户需求近期来,由于病毒泛滥,甚至透过网关危及到业务网,特别是随着集中交易的上线运行,国泰君安意识到网络通信管理与安全的重要性。为更好地管理网络中的用
2、户与计算机,提高管理力度,国泰君安期望通过部署企业网络管理解决方案来实现以下管理要求,并在此基础上实施网络通信安全管理。1.建立企业级目录服务,实施全面的用户、计算机集中管理;2.建立补丁管理,实施安全补丁分发、安装及检查统计;3.其它基础的管理要求;4.方案应具有可扩展性,以满足未来管理的新要求。二、方案规划2.1 规划建议为满足国泰君安需求,微软建议在国泰君安部署Windows 活动目录服务,实施网络用户、计算机等资源集中化管理。网络管理(包括补丁分发等)将通过以微软的SMS 2003服务器为核心的管理系统来实施。为有效地强化企业内部网络安全,并基于用户级别跟踪、控制网路通信,微软强烈建议
3、采用内、外双层防火墙,构架 DMZ 网路区域。外防火墙可继续采用原名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 11 页 -.有防火墙,而内防火墙则可采用微软的ISA 2000 软件防火墙,该防火墙系统与Window活动目录紧密结合,能做到用户级别的通信安全控制。2.2 规划依据2.2.1 微软活动目录技术介绍今天,对于在商业运作中保持竞争力而言,网络化计算变得比以往任何时候都更为重要。为此,就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供一定空间,用于存储与基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。同时,该
4、服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。更形象地说,目录服务在网络操作系统中扮演着一个接线总机的角色。它是通过对一致性进行管理,并调度那些分布式资源间关联,从而使它们共同工作的中心授权机构。由于目录服务提供这些基础的网络操作系统功能,它必须与用于管理和提供安全性的操作系统机制紧密结合在一起,从而保证网络的完整性和保密性。同时,目录服务也在组织机构的下列能力中发挥至关重要的作用,这些能力包括:定义和维护网络基础构件的能力,执行系统管理的能力以及控制一家公司信息系统中全部用户经验的能力。Microsoft?Active Directory?服务是 Windo
5、ws?平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 11 页 -.活动目录包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上,保证快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户都提供统一的视图。在当今网络计算的爆炸性增长的 Interne
6、t 时代,微软活动目录还广泛地采用了Internet 标准,给用户带来了几乎无穷无尽的益处。活动目录集成了关键服务,如域名服务(DNS),消息队列服务(MSMQ),事务服务(MTS)等;集成了关键应用,如电子邮件、网管、ERP等;同时还集成了当今的关键的数据访问,如ADSI,OLE DB 等。因此选择微软的活动目录技术可以完全满足用户集中化管理控制需求,并且具有很强的可扩展性,为未来管理要求提供持续的支持。2.2.2微软 SMS 2003管理服务器Systems Management Server(SMS)2003 为 Microsoft 平台的更改和配置管理提供了一种综合解决方案,使组织能够
7、以更低的成本快速为指定的用户提供有关软件和更新。建立在行业标准管理协议的基础上,Systems Management Server与 Microsoft 和其它公司的补充管理工具相兼容。此外 Systems Management Server名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 11 页 -.与 Microsoft SQL Server?和 Windows Server 2003 操作系统完全集成-使其在任何规模的网络中都容易安装、配置和维护。安全补丁管理System Management Server 2003 已经内置了安全补丁管理的能力,并且System Mana
8、gement Server 2.0 Software Update Services 功能包完全集成进了System Management Server 2003.System Management Server 2003 通过必要的工具,保证企业的Windows 环境主动的获取最新的安全补丁信息,及时的发现系统存在的已知漏洞,并进行简易快速的部署。发现已知漏洞:使用标准的微软安全工具,例如:Microsoft 基准安全分析工具和 Office 更新工具,我们可以扫描系统来发现已知漏洞并报告未安装的安全补丁。补丁部署向导:为管理员提供一个简单的向导程序,来为管理的设备部署安全补丁。即使不熟悉
9、System Management Server 2003 的安全专员,也能对这个向导轻易上手。安全分析和部署报告:当确认缺少安全补丁之后,所有的扫描结果会集中到数据库中,以便于我们进行分析和报告。当安全补丁部署完毕之后,结果会实时的在数据库中反映出来。更好地管理移动系统和用户为移动办公人员提供管理解决方案是系统管理领域最复杂棘手的问题之一。为了采用与传统的静态用户一致的方式,向移动用户和计算机提供管理服务,IT 管理员工作的复杂性又增加了。Systems Management Server 2003 产品专门解决了这个问题,它新增了一个全新的客户端代理Advanced Client,后者经过
10、从头设计以支持这些方案。这个新的客户端代理支持全部的管理功能集软件分发、资产管理和远程故障排除不需要一套确定的本地服务器或服务。而且,这样的代理在现有Systems 名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 11 页 -.Management Server 框架内无缝集成,使管理员可以同时管理静态用户和漫游用户,而不需要区分他们。新的 Advanced Client 还使用称为后台智能传输服务(BITS)的 Windows 技术,通过断断续续的、低带宽或质量很差的网络链接(如远程访问服务拨号连接和远程虚拟专用网络连接),为所有管理操作提供连接。开发这个基于HTTP 的协议是
11、为了支持Windows Update 基础结构,代码库目前每个月处理来自Windows Update 的 6 千万个以上的更新下载。更好的软硬件资产管理在大多数单位,随着部署的产品与服务的范围逐年增长,对于 IT 管理员来说,管理所有这类应用程序的整个生命周期变得越来越重要。节省开支的最简单而又最直接的方法通常是在当前的许可证级别下跟踪实际的软件使用,确保每年的许可证开销与软件使用相协调。通过不仅监视每台计算机上安装了什么应用程序,而且监视实际使用的是哪些应用程序,管理员可以更准确地了解单位内部的许可证需求情况。此外,通过了解哪些是广泛使用的应用程序,测试方案和升级项目可以更准确地反映真实的部
12、署环境,从而减少在整个企业内进行更改的开销。Systems Management Server 2003 通过允许管理员跟踪应用程序的安装,并将此与应用程序的实际使用相联系,提供了这方面的解决方案。为实现这一点,Systems Management Server 2003 彻底改写了以前的Systems Management Server 2.0 软件计量方法。它显著改进了大多数单位的衡量标准,将重点放在了解正在使用哪些应用程序、使用频率、以及同时有多少用户使用相同的应用程序等关键需求上。这样,管理员就可以更好地衡量企业真正需要的应用程序许可证,还可以确定多余的应用程序安装,从客户机上抹去它们
13、的磁盘脚印。通过最大化部署应用程序的运行时间和可用性,也可以间接地显著节约开支。通过确保所有部署的应用程序和服务运行可用的最新更新和服务版本,最好地维护了企业级应用程序的稳定性。通过不间断地在网络上跟踪部署的应用程序和服务,并提供工具将它们与可用修补程序、服务包及更新的列表进行比较,Systems Management Server 允许管理员主动更换有已知问题的部署代码以避免服务中断。这些操作通过最小化用名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 11 页 -.户和类似客户的停机时间,提高了总的生产效率,并且通过确保一旦有可用的修补程序,就根除掉所有已知的漏洞,保证了整个业
14、务环境的安全。更好地访问配置和部署数据Systems Management Server 维护一个中央数据库,其中包含有关所管理的系统和用户的各种有价值的信息。通过使用 Systems Management Server 2003 中的清单扩展从“添加/删除程序”添加应用程序数据,以及从 Windows Installer 服务添加应用程序安装状态,每个Systems Management Server 站点都维护着一个更加丰富的配置数据集。管理员通常需要提供报告来说明正在进行的部署与升级项目的进度,还需要维护整体网络配置状态的报告。生成与更新这类报告会占用实际管理项目本身所需的宝贵时间。Sy
15、stems Management Server 2003 现在向管理数据库提供了一个安全的 Web 界面,其中包括大量覆盖网络上所有计算机配置的预配置报告、软件部署和使用状态、以及各个计算机配置的细节。这个新的Web 界面改进了Systems Management Server 管理员在Systems Management Server 2.0 中逐渐依赖于的基于Web 的报告,允许管理员向经理提供安全、实时的报告,每位经理都可以使用Web 浏览器查看单位中托管系统的当前状态。Web 报告集可充分扩展,允许管理员为正在进行的特定项目创建自定义视图。更好的 SMS 操作的扩展性和易管理性近些年来
16、,典型单位中部署的基于Windows 的 PC 数显著增加。随着部署的 PC 群不断增加,提供集中化平台管理的重要性也日益增加。由典型的Systems Management Server 部署管理的客户端数因此也越来越多,现在很多客户管理的客户机数远远超过了200,000 台。Systems Management Server 产品结构本身就是可扩展的,并且已经成功部署在很多这样的环境中。但是,随着端节点数的增长和处理的数据量的增加,以下两个因素变得至关重要:系统处理负载增大,增加了配置更改和管理员通知之间的延迟。部署的管理基础结构大小增加,需要更多的管理工作来管理管理系统本身。名师资料总结-
17、精品资料欢迎下载-名师精心整理-第 7 页,共 11 页 -.Systems Management Server 2003 通过增加Systems Management Server 基础结构的处理量和简化管理模型,解决了这两个问题。核心 Systems Management Server 服务的性能已得到显著提高,可确保支持高客户端数据处理量,同时使系统的传输延迟减到最小。对于较小或静态的环境,此改进使实现相同系统功能级别的硬件要求降低。通过两项新功能简化了Systems Management Server 管理员的管理工作:一项是删除了高开销的操作和服务,另一项是实现了一个新的可选安全模型
18、,允许在没有或仅有少数几个Windows 域帐户的情况下操作Systems Management Server。这两项新功能显著简化了所有Systems Management Server 管理员的任务,同时还提供了本身更安全的Systems Management Server 环境。2.2.3微软 ISA 2000 防火墙与 Internet加速服务器Internet Security and Acceleration Server 2000,简称 ISA Server 2000,能够提供安全、快速和可管理的Internet连接。ISA Server 集成了可扩展、多层企业级的防火墙和可伸缩
19、的高性能Web缓存系统。构建在Windows 2000/2003的安全特性和活动目录基础上,提供基于策略的安全、加速和管理。安全 Internet连接当您的网络连接到Internet的时候,随之也带来了安全和生产效率方面的问题,这就需要一些有价值的技术资源了-ISA Server可以为您的机构提供快速和全面的控制访问和网络使用检测方法,将您的网络管理员从繁杂的工作中解放出来,更好的响应业务和客户的需求。ISA Server可以保护网络免受未授权访问的侵害,检测网络数据流,当出现网络攻击的时候给管理员提示报警信息。ISA Server 包括一个可扩展的多层企业级防火墙,可以用以下特征来描述:包、
20、链路层和应用程序层流量监测,状态监测,广泛的应用程序支持,VPN集成,系统强化,入侵检测集成,智能应用程序过滤器,对所有客户端的透明,高级验证,安全服务器发布等等。快速 Web访问名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 11 页 -.通过快速和高效的访问Internet内容,可以极大程度上提高您的生产效率。ISA Server Web 缓存通过将 Web信息保存在本地,在用户需要的时候提供本地服务,可以极大的提高性能,节省网络带宽资源。这样员工可以更快的访问所需要的内容,通过降低额外的Internet访问费用改善了性能。统一管理通过整合企业级防火墙和高性能Web缓存功能,
21、ISA Server提供了一个通用的管理基础构架,可以降低网络复杂程度和使用费用。无论是部署一个集成的系统,还是部署单独的防火墙或者缓存,您都能够享受到集成管理带来的好处。ISA Server与 Windows 2000/2003 的紧密集成,提供一致、有效的方法来管理组的访问、配置和规则设定。可扩展的开放平台每个组织的安全策略和规则都不同。流量和内容格式也会起一定的决定作用,没有一个产品可以完全适应所有的安全和性能需求,因此ISA Server在构建的时候充分考虑了可扩展性。您还会得到一套全面的软件开发工具包(SDK),一套第三方附加软件解决方案和可扩展管理选择。名师资料总结-精品资料欢迎下
22、载-名师精心整理-第 9 页,共 11 页 -.三、方案设计3.1 逻辑架构设计基于国泰君安的需求,建议规划后的网络域架构图如下:3.2 设计说明单域模型:由于目前总部计算机与用户都仅为1000左右,且各营业部的名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 11 页 -.计算机与用户也较少,为简化管理起见,可采用单域模型构架企业网络目录服务;网络资源组织清晰:利用活动目录的组织单元容器,按企业实际的组织层次架构方式整理存放网络资源,如用户与计算机;网络管理灵活:在活动目录域架构方式下,网络资源按企业实际的组织层次方式整理,网络系统管理员可以将某一组织单元(Organize U
23、nit)下网络资源的管理与维护工作委托给某个用户,这种分布式委托管理方式有利于网络管理上实现集中控制、分散处理,特别适合于具有远程子公司网络或大网络的灵活管理;客户端管理控制能力强化:对活动目录的组织单元容器实施组织策略(Group Police),能实现对该组织单元下的用户与计算机强加控制,如在用户登录网络时,强行其定期更改并使用高复杂度用户密码,配合SMS2003软件分发系统,安装补丁包,更新或运行杀毒软件等,通过强化对企业网络客户端的管理来提高整体网络的安全可靠性;此外,ISA防火墙同 AD紧密集成,基于 ISA 的策略控制,能够定义到哪些用户,在哪些时段,能够存取到哪些网站等等,具有强
24、大的灵活性与细腻度。强制性补丁分发:SMS 2003 系统能结合活动目录服务,能自动侦测到网络中各计算机系统补丁包安装的状况,然后根据网络管理员制定的分发策略,强制登录到网络域的计算机自动安装必要的补丁,以避免感染病毒危害网络系统安全;双域控制器提供网络目录等基础服务:一方面能负载均衡近1000用户的网络登录认证等服务,另一方面能避免单台域控制器的软硬件故障或系统正常维护(如加载Service Pack服务包)而造成整个网络系统瘫痪;内、外防火墙 DMZ区强化网络安全:采用内、外防火墙构架DMZ 区域,利用 DMZ 安全区域隔断外部Internet与企业内部网络,内部 ISA 防火墙上只开辟容许 DMZ 区内服务器到内部网络的访问能力,这样即便外部防火墙被攻破,攻击者也要能假冒DMZ 区内的服务器并攻破不同的内部防火墙(微软 ISA 软件防火墙),才能有机会进入到高度安全的内部网络;冗余内防火墙消除外接隐患:2 台 ISA 2000 防火墙采用 Windows Server 2003 企 业版 内置 的 网 络 负 载 均 衡技 术(Network Load Balancing Service)群集配置,不仅能提高吞吐性能,而且能实现冗余;名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 11 页 -