Page,Chapter,/26,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,4,章内容回顾,需求分析的设计方法,需求分析设计过程,了解用户需求,将用户需求细分,分成系统、服务、安全三个模块分别进行分析,Page,1,/26,项目方案设计指导,本章结构,设计方案,防火墙的设计,入侵检测系统的设计,其他安全措施,系统建设目标,总体设计思想,系统架构设计,系统与应用服务设计,系统管理设计,设备选择,系统安全设计,操作系统与服务器软件选择,Web,服务设计,FTP,服务设计,邮件服务设计,数据库服务设计,Page,3,/26,方案设计方法回顾,汇总设计所需的资料,经济、技术等的可行性研究报告,用户的明确需求,确定网络整体结构,确定网络设备和材料选型,确定应用服务业务,确定安全策略,确定实施、测试、试运行、验收、培训和服务,形成设计方案文档,必要时组织评审,Page,4,/26,BENET,公司办公自动化设计方案,系统建设目标,满足公司办公自动化的全部需求,满足公司员工访问,Internet,的需要,满足企业数据快速增长并可靠存储的需求,实现,Internet,用户对公司,Web,网站的访问,所有员工能利用自己帐户和密码登录到网络,所有员工能在权限允许范围内使用网络资源,所有员工能利用邮件客户端软件收发邮件,利用防火墙和,IDS,为整个网络提供安全保障,Page,6,/26,总体设计思想,可用性,全部系统可用,性能,高性能,可管理性,便于管理,可靠性,网络冗余设计，稳定的操作系统,可扩展性,易于扩展,安全性,对网络、系统、主机提供全面的防护,简单性,成本,Page,7,/26,系统架构设计,使用单域结构,公司拥有独立域名,帐户域,在,ISA Server,上安装,DNS,，以便于外部用户对该域的访问,在内网上安装,DNS,，以便于内部用户对该域的访问,利用防火墙对外发布,Web/FTP,服务,和邮件服务,内部,DNS,外部,DNS,防火墙,Page,8,/26,系统与应用服务设计,6-1,操作系统与服务器软件的选择,操作系统或服务器软件名称,版本,主要用途,应用范围,Windows Server 2003,中文企业版,服务器操作系统,所有服务器,Exchange Server 2003,中文企业版,提供邮件服务,内部邮件服务器,SQL Server 2005,中文企业版,提供数据库服务,内部数据库服务器,IIS,6.0,及以上,提供,Web,、,FTP,服务,Web,、,FTP,服务器,Windows XP,中文专业版,客户端操作系统,所有客户机,Page,9,/26,系统与应用服务设计,6-2,邮件服务的设计,FQDN,名称,IP,地址,192.168.127.4/24,访问权限,授权用户访问,访问方式,内部或外部,实现功能,企业用户的邮件收发,垃圾邮件过滤,Page,10,/26,邮件地址：每个用户拥有一个邮箱和电子邮件地址,邮件地址格式为“用户名,域名”，例如,管理组：所有用户位于同一个管理组内,邮件服务安全：设置每个用户发送附件的大小不超过,4MB,邮件服务器上启用垃圾邮件过滤功能,系统与应用服务设计,6-3,Page,11,/26,系统与应用服务设计,6-4,Web,服务的设计,FQDN,名称,www.bene,IP,地址,192.168.127.3/24,访问权限,允许任何用户访问,Web,网站主目录,D:,inetpubwwwroot,文件系统,NTFS,安全性,需要,IIS,最新补丁,Page,12,/26,系统与应用服务设计,6-5,FTP,服务的设计,FQDN,名称,ftp,.bene,IP,地址,192.168.127.3/24,访问权限,匿名用户只能下载，授权用户可上传下载文件,ftp,主目录,D:public,文件系统,NTFS,安全性,需要,IIS,最新补丁,Page,13,/26,系统与应用服务设计,6-6,数据库服务的设计,服务器名称,SQL,IP,地址,192.168.127.5/24,端口,1433,存储空间,D:SQL,访问权限,域内用户可访问,文件系统,NTFS,规划安装数据库服务器,将旧服务器上的数据迁移到新服务器上,重新设计备份策略，并测试备份策略,为保证可靠性，可采用,Windows,的服务器群集技术,Page,14,/26,系统安全设计,5-1,设计概述,在企业网络边缘上安装防火墙,把所有服务器放到,DMZ,区域中,在每个子网中部署入侵检测系统,操作系统及服务器软件打上最新的安全补丁,安装企业防病毒软件并提供适时更新,启用帐户策略,启用密码策略,给用户分配适当的权限,采用域安全策略,Page,15,/26,系统安全设计,5-2,防火墙的设计,防火墙软件名称,Microsoft ISA Server 2004,（带,SP1,）,IP,地址,192.168.128.7/30,（连接内网）,202.101.100.7/30,（连接,Internet,）,完成功能,防火墙功能,Web,服务、邮件服务的发布,缓存功能,防火墙客户端,要求安装防火墙客户端软件,Page,16,/26,系统安全设计,5-3,入侵检测系统的安装,软 件 名 称,用 途,应用范围,acid-0.9.6b23.tar.gz,基于,php,的入侵检测数据库分析控制台,部署于各子网的一台专用机器上,adodb465.zip,ADOdb,（,Active Data Objects Data Base,）库,for PHP,apache_2.2.2-win32-x86-no_ssl.msi,Windows,版本的,Apache Web,服务器,jpgraph-1.20.4a.tar.gz,面向对象的图形库,for PHP,mysql-5.0.22-win32.zip,Windows,版本的,Mysql,数据库服务器,php-5.1.6-Win32.zip,Windows,版本的,php,脚本,snort_2_6_0_Installer.exe,Windows,版本的,Snort,安装包,WinPcap_3_1.exe,网络数据包截取驱动程序,Page,17,/26,系统安全设计,5-4,入侵检测系统的测试,在某个子网的机器上安装,Nmap,或者,X-Scan,软件并扫描要测试的网段,在安装了入侵检测系统的机器上启动,Snort,在浏览器中打开,Acid,中控台,查看是否能够检测到入侵,分析入侵源并采取相应措施,Page,18,/26,系统安全设计,5-5,其他安全措施,把所有服务器放到,DMZ,区域中,操作系统及服务器软件打上最新的安全补丁,安装企业防病毒软件并提供适时更新,启用帐户策略（参考,S1,项目实践中相应部分的内容）,启用密码策略（参考,S1,项目实践中相应部分的内容）,给用户分配适当的权限,采用域安全策略,Page,19,/26,系统管理设计,3-1,设计,匹配公司管理结构,按部门层次划分,按部门划分,OU,按部门划分,OU,站点：默认站点,例：财务,例：人力,树,Page,20,/26,系统管理设计,3-2,设计,以部门名字命名,存放用户账户及计算机账户,Page,21,/26,系统管理设计,3-3,用户管理,统一命名：以汉语拼音全拼为用户名字,存储在所属于部门的,组的管理,利用组分配权限,组名以组的类型为前缀，,G,、,DL,、,U,AGUDLP,策略,Page,22,/26,设备选择,2-1,服务器,所有服务器均选择,IBM,公司的,xSeries,236,处,理,器,IntelXeon,处理器,3.0GHz,或更高,Cache,2M,SMP,支持,2,颗处理器,内存,8,个,DIMM,内存插槽，,ECC DDR2 SDRAM,，最大内存,16 GB,主板,IDE,控制器,Ultra,ATA100,SCSI,控制器,集成双通道,Ultra 320 SCSI,控制器,显示,主板集成显示，,128MB,显存,外驱动器架,35.25”,（,CD-ROM,已占用一个）,13.5”,（,1.44M,软驱占用）,网卡,10/100/1000M,自适应以太网卡*,2,扩展性能,扩展槽：,2PCI-X 64bit/100Mhz 2PCI-X64bit/66Mhz 1 PCI 64bit/33Mhz 1 PCI 32bit/33Mhz,内部设备接口：,2,个,Ultra 320 LVD SCSI,接口,1,个,IDE,接口,1,个软驱接口外部设备接口：,2,个,USB,口,2,个,9,针串行口（,16550UART,）,1,个,25,针并行口（,EPP/ECP,）,1,个,PS/2,鼠标接口,/1,个,PS/2,键盘接口,1,个显示器接口,2,个,RJ45,网络接口,Page,23,/26,设备选择,2-2,客户机,联想启天,M2200 P4 2.8G,笔记本电脑,联想昭阳,S620B P-M 2.4G,Page,24,/26,方案设计要求,全班分成,5,个项目小组，每组,4,人,通过小组讨论的形式确定设计方案,设计完成提交方案设计文档,下次上课时每组选派,2,人上来讲述自己的设计方案,需要制作成,PPT,每组时间是,15,分钟,Page,25,/26,设计方案,系统建设目标,总体设计思想,系统架构设计,系统与应用服务设计,系统管理设计,设备选择,系统安全设计,本章总结,办公自动化,接入,Internet,便于管理用户,安全,单域,OU,组、用户,操作系统的选择,邮件服务的设计,Web,服务的设计,FTP,服务的设计,数据库服务的设计,防火墙的设计,入侵检测系统的设计,其他安全措施,Page,26,/26,