项目方案设计指导

Page1/26第4章内容回顾需求分析的设计方法需求分析设计过程了解用户需求将用户需求细分分成系统、服务、安全三个模块分别进行分析Version2.0项目方案设计指导Page3/26本章结构设计方案防火墙的设计入侵检测系统的设计其他安全措施系统建设目标总体设计思想系统架构设计系统与应用服务设计系统管理设计设备选择系统安全设计操作系统与服务器软件选择Web服务设计FTP服务设计邮件服务设计数据库服务设计Page4/26方案设计方法回顾汇总设计所需的资料经济、技术等的可行性研究报告用户的明确需求确定网络整体结构确定网络设备和材料选型确定应用服务业务确定安全策略确定实施、测试、试运行、验收、培训和服务形成设计方案文档必要时组织评审Version2.0BENET公司办公自动化设计方案Page6/26系统建设目标满足公司办公自动化的全部需求满足公司员工访问Internet的需要满足企业数据快速增长并可靠存储的需求实现Internet用户对公司Web网站的访问所有员工能利用自己帐户和密码登录到网络所有员工能在权限允许范围内使用网络资源所有员工能利用邮件客户端软件收发邮件利用防火墙和IDS为整个网络提供安全保障Page7/26总体设计思想可用性全部系统可用性能高性能可管理性便于管理可靠性网络冗余设计，稳定的操作系统可扩展性易于扩展安全性对网络、系统、主机提供全面的防护简单性成本Page8/26系统架构设计使用单域结构公司拥有独立域名benet.com.cn帐户域benet.com.cn在ISAServer上安装DNS，以便于外部用户对该域的访问在内网上安装DNS，以便于内部用户对该域的访问利用防火墙对外发布Web/FTP服务和邮件服务内部DNS外部DNS防火墙Page9/26系统与应用服务设计6-1操作系统与服务器软件的选择操作系统或服务器软件名称版本主要用途应用范围WindowsServer2003中文企业版服务器操作系统所有服务器ExchangeServer2003中文企业版提供邮件服务内部邮件服务器SQLServer2005中文企业版提供数据库服务内部数据库服务器IIS6.0及以上提供Web、FTP服务Web、FTP服务器WindowsXP中文专业版客户端操作系统所有客户机Page10/26系统与应用服务设计6-2邮件服务的设计FQDN名称mail.benet.com.cnIP地址192.168.127.4/24访问权限授权用户访问访问方式内部或外部实现功能企业用户的邮件收发垃圾邮件过滤Page11/26邮件地址：每个用户拥有一个邮箱和电子邮件地址邮件地址格式为“用户名@域名”，例如zhangshan@benet.com.cn管理组：所有用户位于同一个管理组内邮件服务安全：设置每个用户发送附件的大小不超过4MB邮件服务器上启用垃圾邮件过滤功能系统与应用服务设计6-3Page12/26系统与应用服务设计6-4Web服务的设计FQDN名称访问权限允许任何用户访问Web网站主目录D:\inetpub\系统与应用服务设计6-5FTP服务的设计FQDN名称ftp.benet.com.cnIP地址192.168.127.3/24访问权限匿名用户只能下载，授权用户可上传下载文件ftp主目录D:\public文件系统NTFS安全性需要IIS最新补丁Page14/26系统与应用服务设计6-6数据库服务的设计服务器名称SQLIP地址192.168.127.5/24端口1433存储空间D:\SQL访问权限域内用户可访问文件系统NTFS规划安装数据库服务器将旧服务器上的数据迁移到新服务器上重新设计备份策略，并测试备份策略为保证可靠性，可采用Windows的服务器群集技术Page15/26系统安全设计5-1设计概述在企业网络边缘上安装防火墙把所有服务器放到DMZ区域中在每个子网中部署入侵检测系统操作系统及服务器软件打上最新的安全补丁安装企业防病毒软件并提供适时更新启用帐户策略启用密码策略给用户分配适当的权限采用域安全策略Page16/26系统安全设计5-2防火墙的设计防火墙软件名称MicrosoftISAServer2004（带SP1）IP地址192.168.128.7/30（连接内网）202.101.100.7/30（连接Internet）完成功能防火墙功能Web服务、邮件服务的发布缓存功能防火墙客户端要求安装防火墙客户端软件Page17/26系统安全设计5-3入侵检测系统的安装软件名称用途应用范围acid-0.9.6b23.tar.gz基于php的入侵检测数据库分析控制台部署于各子网的一台专用机器上adodb465.zipADOdb（ActiveDataObjectsDataBase）库forPHPapache_2.2.2-win32-x86-no_ssl.msiWindows版本的ApacheWeb服务器jpgraph-1.20.4a.tar.gz面向对象的图形库forPHPmysql-5.0.22-win32.zipWindows版本的Mysql数据库服务器php-5.1.6-Win32.zipWindows版本的php脚本snort_2_6_0_Installer.exeWindows版本的Snort安装包WinPcap_3_1.exe网络数据包截取驱动程序Page18/26系统安全设计5-4入侵检测系统的测试在某个子网的机器上安装Nmap或者X-Scan软件并扫描要测试的网段在安装了入侵检测系统的机器上启动Snort在浏览器中打开Acid中控台查看是否能够检测到入侵分析入侵源并采取相应措施Page19/26系统安全设计5-5其他安全措施把所有服务器放到DMZ区域中操作系统及服务器软件打上最新的安全补丁安装企业防病毒软件并提供适时更新启用帐户策略（参考S1项目实践中相应部分的内容）启用密码策略（参考S1项目实践中相应部分的内容）给用户分配适当的权限采用域安全策略Page20/26系统管理设计3-1ＯＵ设计匹配公司管理结构按部门层次划分按部门划分OUbenet.com.cn按部门划分OU站点：默认站点例：财务例：人力树xxx.benet.com.cnPage21/26系统管理设计3-2ＯＵ设计以部门名字命名存放用户账户及计算机账户Page22/26系统管理设计3-3用户管理统一命名：以汉语拼音全拼为用户名字存储在所属于部门的ＯＵ组的管理利用组分配权限组名以组的类型为前缀，G、DL、UAGUDLP策略Page23/26设备选择2-1服务器所有服务器均选择IBM公司的xSeries236处理器Intel®Xeon™处理器3.0GHz或更高Cache2MSMP支持2颗处理器内存8个DIMM内存插槽，ECCDDR2SDRAM，最大内存16GB主板IDE控制器UltraATA100SCSI控制器集成双通道Ultra320SCSI控制器显示主板集成显示，128MB显存外驱动器架3×5.25”（CD-ROM已占用一个）1×3.5”（1.44M软驱占用）网卡10/100/1000M自适应以太网卡*2扩展性能扩展槽：2PCI-X64bit/100Mhz2PCI-X64bit/66Mhz1PCI64bit/33Mhz1PCI32bit/33Mhz内部设备接口：2个Ultra320LVDSCSI接口1个IDE接口1个软驱接口外部设备接口：2个USB口2个9针串行口（16550UART）1个25针并行口（EPP/ECP）1个PS/2鼠标接口/1个PS/2键盘接口1个显示器接口2个RJ45网络接口Page24/26设备选择2-2客户机联想启天M2200P42.8G笔记本电脑联想昭阳S620BP-M2.4GPage25/26方案设计要求全班分成5个项目小组，每组4人通过小组讨论的形式确定设计方案设计完成提交方案设计文档下次上课时每组选派2人上来讲述自己的设计方案需要制作成PPT每组时间是15分钟Page26/26设计方案系统建设目标总体设计思想系统架构设计系统与应用服务设计系统管理设计设备选择系统安全设计本章总结办公自动化接入Internet便于管理用户安全单域OU组、用户操作系统的选择邮件服务的设计Web服务的设计FTP服务的设计数据库服务的设计防火墙的设计入侵检测系统的设计其他安全措施