中小企业网络安全规划与实践.docx
《中小企业网络安全规划与实践.docx》由会员分享,可在线阅读,更多相关《中小企业网络安全规划与实践.docx(24页珍藏版)》请在冰豆网上搜索。
中小企业网络安全规划与实践
毕业设计(论文)
中小企业网络安全规划与实践
第一章项目概述
1.系统目标
此次我们系统建设的目标为:
提供一个安全、高效、灵活的企业级操作系统平台,为整个企业的应用奠定坚实础。
第二章服务规划
通常一个企业的环境仍一个简单的服务开始,这个服务一般旨在满足特定的当前业务需要,例如传真、电子邮件、业务应用程序或办公室的进程连接。
随着时间的推移,由于新需求的出现,新的服务会无规划的添加到这个环境中。
这样创建的环境在技术上种类烦杂、难以支持和运行,并且难以使用,因此给管理人员和最终用户都带来额外的负担。
采用具有标准化基础结构的环境,这是一种运用为企业创造价值的具有成本效益的方法。
我们的方案将帮助中小企业构建此类环境。
采用此解决方案中提供的指南能带来下列好处:
经过测试的可靠文档:
此解决方案已经由微软及合作伙伴进行了测试,并且通过了大量客户部署的检验.
可预测的环境:
此方案提供了众所周知的基础结构,它是根据微软支持、合作伙伴和客户的建议来构建的。
这些建议来源于多年的经验教训.
能够采用更新的技术:
常问题和故障诊断使与家很少有时间参加培训或学习新的技术。
采用此方案能够降低与家在部署新技术时的实施和操作风险,仍而节约时间,减少工作量.
集成的解决方案:
户可通过基于MicrosoftWindowsServerSystem技术的标准化体系结构,获得可扩展的平台,使其随着业务的增长而增长。
在需要时,也可实现其他服务。
网络基础服务描述
企业要求基础结构提供所需的服务,使得员工能够完成工作,并与客户也业务合作伙伴进行交流。
所有的企业组织都需要一个核心基础结构,用来承载或支持基本服务,例如打印、文件服务、账户系统。
下表列出了核心基础结构必须提供的一组服务。
1.核心结构服务
物理网络
服务
描述
所满足的业务需求
物理网络
局域网(LAN):
为客户端计算机提供到本地网络的有线和无线连接。
Internet连接:
将局域网中的计算机连接到Internet。
远程连接:
为远程用户和分公司
提供到总公司的远程连接。
总公司和分公司的用户需要一种方法来访问LAN和Internet中的各种资源。
远程用户和分公司用户也需要访问总公司的资源。
网络服务
DNS:
提供名称解析。
DHCP:
为客户端计算机分配IP地址和IP配置。
连接到LAN的计算机需要自动进行配置网络。
安全的Internet连接
深信服:
提供防火墙及其他特性,例如应用程序层筛选、入侵侦测、Web缓存以及将内部资源发布到Internet的功能。
用户需要能够安全地访问Internet来开展业务,例如交换电子邮件、浏览Web站点、远程访问总公司的资源等等。
另外,内部网络还需要拥有防御机制,抵御来自Internet的威胁。
。
文件服务
文件服务:
实现用户间的文件和文件夹共享.
存储服务:
为用户提供可靠的存储。
为了防止数据丢失,用户需要可靠、安全的存储空间,并应定期进行备份。
需要存储的数据量正在快速增加。
管理员需要一个中央数据存储库,这样就只需备份和管理一个地方。
打印服务
打印:
使得内部用户能够通过网络进行打印。
用户需要拥有对打印机的可靠访问。
他们需要不依靠IT职员的帮助就能找到和配置临近他们的打印机。
2.辅助服务
辅助体系结构提供直接满足业务需求的服务。
这些服务可能不是运行IT基础结构所必需的,但是如果组织需要也应该进行安装。
这些服务的正常工作依赖于核心基础结构。
下表列出了这些辅助服务。
使用ActiveDirectory组策略的管理和安全性.
服务
描述
所满足的业务需求
AD组策略和管理和安全性
组策略:
为管理员提供一种配置和管理用户及计算机设置的方法。
管理员需要确保最终用户拥有合适的权限来完成他们的工作,而不有意或无意地破坏他们计算机或网络中其他计算机的配置。
消息传递服务
Exchange:
使得用户能够发送和接收电子邮件,使用日程表、任大部分业务非常依赖与客户、合作伙伴及其他职员的电子邮件交流。
任务管理、日历共享和公共文件夹。
另外,最终用户也需要日程安排特性,来高效地筹划和管理有关活动。
协作服务
ExchangeWeb站占:
承载安全的共享工作区,供内部用户、外部用户和商业合作伙伴用于执行各种工作,例如文档共享、主持联机讨论和调查等。
IntranetWeb站点:
承载提供各种功能的Web站点,例如公司通告和活动、帮助台、休假日历、公司联系人列表等
提供对文件集中访问的Intranet和外部Web站点。
这在无法通过文件共享和电子邮件实现共享信息的情况下十分有效。
也可以用于需要在大量用户间共享信息的情况。
远程连接
VPN:
使得远程用户能够安全地连接到总公司LAN。
Https:
使得远程用户能够安全地访问内部Web站点。
终端服务器:
使得远程用户能够访问和运行安装在终端服务器上的LOB应用程序。
这可以通过Web或通过VPN来实现。
用户需要能从家里或便携式计算机上连接到企业资源。
他们需要能够使用Web浏览器来访问电子邮件或内部Web站点中的信息。
另外,用户还需要能够远程访问和运行带宽占用率较高的LOB应用程序。
证书服务
证书颁发机构(CA):
为发布HTTPSWeb站点提供证书。
需要这些服务来提供安全的Internet资源访问,例如电子邮件和外部Web站点。
补丁管理
软件更新服务(WSUS):
保证环境中所有基于Windows的服务器和客户端计算机都安装最新的补丁。
由于恶意软件的传播且存在大量更新,因此用户需要有一种有效且自动的方法在客户端和服务器计算机上安装补丁。
防病毒
防止服务器和客户端计算机受到病毒和蠕虫的感染。
由于病毒、垃圾邮件和间谍软件的散播,管理员需要合适的技术和方法从计算机上删除有害的内容。
备份和恢复
备份软件:
将数据备份到磁带,从而提供数据的高安全性。
在需要时,恢复备份数据。
数据需要进行保护和备份,从而能够在出现意.外删除或由于软硬件故障导致的崩溃时进行数据恢复。
另外对于有些LOB应用程序,保持数据备份也可能是法律上的要求。
3.WindowsServer2008r2服务
WindowsServer的基础的网络服务主要包括以下两方面:
地址分配
地址分配即IP地址的分配和管理。
将在此次项目中使用DHCP,实现动态地址分配,动态主机配置协议DHCP是用于管理TCP/IP网络的工业标准,可以通过服务器对工作站进行动态的IP地址分配。
使用DHCP可以大大减轻系统管理员的工作负担,使其方便地网络工作站的地址进行配置和管理。
名称解析
名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。
通过DNS服务,相关的服务器会自动将某个名称转换成实际的IP地址,用户只需让住容易辨识的资源名称即可进行相应的访问。
这样网络资源的共享和使用效率将得到很大程度的提高。
4.DNS名称解析
内部名称解析
建议在内部网络设置DNS服务器:
DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的ApplicationPartition来参加域控制器之间的目录复制(DirectoryReplication)仍而同步DNS数据库。
所有域控制器都将自己设为首选的DNS服务器,将另一台域控制器设为次选的DNS服务器。
每个物理区域的客户端将通过DHCP,将第一台域控制器的DNS设为首选,将另一台域控制器的DNS设为次选。
外部(Internet)名称解析(如网络与互联网隔离,则无需考虑)
每台DNS服务器将设置转发(forwarder),将本地ISP的DNS服务器设为转发器.将所有非内部网的域名解析请求转发至Internet上。
预期效果
基本上企业内所有的客户端都将通过DNS来进行名称解析,包括登入域和访问文件服务器或其他客户端。
每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机记录(A)和指针记录(PTR)。
管理员在服务器上可以轻松的了解所有客户端的注册情况。
此外,客户端在访问Inetnet时,可以依靠ISP的DNS转发,来对非内网地址的服务器进行必要的名称解析。
5.关键服务推荐布局
考虑到下列服务的关键性,我们建议把ActiveDirectory域名系统(DNS)、动态主机配置协议(DHCP)放置在2台服务器上,以实现冗余能力。
此2台服务器被配置为提供关键服务,例如ActiveDirectory、DNS和DHCP。
下表介绍了2台服务器为这些关键服务提供冗余的方式。
服务
冗余类型
ActiveDirectory
主域控制器和额外域控制器的服务都处于活动状态,接收目录服务请求的服务器为客户端提供服务。
如果其中一台基础结构服务器出现故障,另一台服务器将为客户端请求提供服务
DNS
两台服务器上的服务都处于活动状态。
但是,客户端会首先向主基础结构服务器上的DNS服务器发送请求。
如果客户端在一定时间内由于某种原因(例如服务暂停或服务器故障)没有接收响应,那么它将向处于辅助基础结构服务器上的DNS服务器发送请求。
DHCP
两台服务器上的服务都处于活动状态。
两台服务器会同时接收到来自DHCP客户端的请求,不同时响应。
客户端会保留接收到的第一个响应,拒绝第二个。
如果其中一台服务器故障,另一台服务器将继续为请求提供服务。
第三章活动目录设计
1.ActiveDirectory基本概念
ActiveDirectory是WindowsServer的目录服务。
它存储着网络上各种对象的有关信息,包括人、计算机、打印机、应用程序、其他网络的信息,这样易于管理员和用户查找及使用。
ActiveDirectory目录服务采用结构化的数据存储作为目录信息的逻辑局次结构的基础。
ActiveDirectory服务为组织、管理和控制网络上的资源提供基础构造和功能,它广泛支持各种Internet标准协议。
2.安全、统一的目录服务机制
目录服务提供一定空间,用于存储与于基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。
同时,该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。
采用安全、统一的目录服务机制的突出优势除了安全性外,还可实现“单一口令认证”(SSO,SingleSigningOn)功能。
单一口令认证是指企业用户在企业内部网络中只需登陆一次,就决定了其可能允许的操作,和可能存取的信息。
同时,为将不同的系统结合在一起并增强目录及管理任务,活动目录提供了一个中枢集成点。
上述功能是依靠将WindowsServer2008目录特性通过诸如LDAP、ADSI、JADSI及MAPI等基于标准的接口尽数开放来实现的,因此,公司能够加强现有的目录,并开发具备目录功能的应用程序和基础结构。
活动目录的益处能够向Windows环境的外延扩展。
活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。
例如,对LDAP、JADSI及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品不活动目录相集成,以提供对跨平台产品简化与强大的管理功能。
3.严格、周密的客户端桌面管理
在实现严格的安全、统一的目录服务机制的同时,活动目录(AD)给我们带来的优势还在不对客户端桌面系统进行严格、周密的统一控制、管理。
由于相对来说对桌面的管理较忽视,导致了大部分的病毒来源于内部用户的误操作,或安装了带病毒的软件。
同时,很多企业IT人员的日常工作是帮助内部用户排忧解难,而这些又来源于内部用户对自己所属计算机配置的随意修改。
严格的桌面管理策略可以仍根本上杜绝上述想象,我们可以通过WindowsServer内嵌的AD技术,并结合组策略(GroupPolicy)根据不同用户级别、使用范围进行细粒度的用户桌面控制,如:
关闭普通用户对重要配置的修改能力、以及安装不必要的软件的能力、限制其登录桌面的显示界面等。
仍而达到对客户端桌面实施严格、周密的管理。
4.系统实现
部署WindowsServer2008活动目录服务主要包括以下几方面:
1)域结构
2)站点设计
3)FSMO角色设计
4)组织单元结构
5)账号和口令管理
●域结构
域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。
目前用户办公地点相对比较集中。
此外,用户IT部门的最终目标是能够实现完全集中管理。
因此此次在用户环境内采用单域结构。
以下是单域结构相对于其他结构的优缺点:
优点
1)集中管理整个企业的安全策略。
2)集中管理整个企业的组策略。
3)完全利用组织单元反映企业的管理结构。
4)当企业机构重组时可以非常灵活的进行调整。
5)当资源和用户需要在组织机构内迁移时可以非常灵活的调整。
6)相对其它方案,可以使用较少的域控制器。
7)简单的名字空间设计–只需要1个DNS名字后缀.
8)用户在查找AD内的信息时相对简单。
9)单一的组策略更容易实施。
出于冗灾的考虑,我们建议公司内部至少放置两台域控制器。
●站点设计
用于控制AD的复制路由和限制Logon/off流量。
SITE代表了一组在同一高速网络内的子网,而SITE之间则属于相对的低速连接。
目前,由于用户办公地点比较集中,所有的域控制器都在相同的物理位置,所以我们采用单站点的结构即可。
●ADFSMO主机角色设计
活动目录的FlexibleSingle-MasterOperations机制用于避免对活动目录的更改发生冲突。
总共有5个FSMO角色需要被管理。
1)SchemaMaster:
森林中只有一个。
指定一台DC用于接受活动目录Schema
的更改。
这台机器应该属于森林根域,用于保证正确地访问控制。
2)DomainNamingMaster:
当增加、删除域时,处理对域目录树的更新。
Schema和DomainNamingmaster应当在同一台服务器上。
Domainnamingmaster应该在一台GC上。
3)PDCEmulator:
处理早期版本客户端(如NT4)的口令更新,接受紧急口令锁定复制等。
本台服务器在用户的域环境中会处理大量的请求,必须非常可靠。
4)RIDMaster:
维护RIDs(RelativeIDs)缓冲池,用于生成安全账户(用户、组、计算机)。
对于比较大的域,RIDmaster和PDCemulator应该分处不同服务器。
5)InfrastructureMaster:
用于更新跨域的引用,必须不能在GC上。
在用户的环境中,相应的角色将被安排到以下的服务器:
C1
SchemaMaster,DomainNamingMaster,GC
C2
PDCEmulator,RIDMaster,InfrastructureMaster
●组织单无结构
一个组织单元是一个容器对象,用于管理域中的对象。
可以使用组织单位在一个逻辑局次中组织各种对象,这样能够体现企业基于部门的或基不地理分界的结构。
可以在域中创建组织单位的局次结构,组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。
组织单元的设计原则为:
1)反映企业内部的组织结构
2)有利于通过组策略进行细化的终端管理由于用户帐号(在这里包括用户组账号)和计算机账号为两种不同的资源类型,所以也需要分开管理。
图:
AD整体结构图
●委派管理
考虑到目前用户的正处于企业发展阶段,将来管理IT资源的人员可能不局限个人。
在有多个管理员同时存在的情况下,如何分配管理权限是一个重要的问题。
如果权限过于疏松,个别的人为误操作或恶意攻击将对整个企业的环境产生姕胁;而权限过于严格,又会产生诸多不便,影响工作效率并增加管理负担。
WindowsServer2008提供了一种叫做管理控制委派的机制来解决这一问题。
通过对不同管理控制的委派,我们可以轻松的让某一个或某一组普通用户帐号管理一定的资源,同时又并放松对整个域和其他重要资源的控制。
通过对每个分公司管理员帐号的委派,这些帐号都有权限管理自己分公司所对应的OU下面所有的用户帐号和计算机账号,包括改名,改密码,创建用户和组,或加入计算机到域内。
但是,对于域内的其他资源而言,这些帐号只是普通的用户帐号,没有权限进行任何改动。
●帐号和口令管理
账号管理可以分为个人账号管理、组账号管理和机器账号管理。
1.个人账号管理
个人账号可以分为两类:
1)第一类为普通账号,采用一人一号的方式,为每一位员工建立自己的账号。
当员工加入或者离开时,按照一定的规则增加或者删除用户的账号。
2)第二类为特殊账号,通常并属于某一位员工,而是为了满足某些特殊的功能,比如系统管理、匿名访问等等。
特殊账号有以下几个:
a)Administrator,系统管理员账号,具有最高的权限,可以进行任何管理操作,该账号不能被删除,只能更改用户名。
为了提高系统的安全性,建议将管理员账号的用户名更改,比如hqadmin(仅仅是建议系统管理员可以自行决定)。
b)Guest,匿名登录的账号,为了提高系统的安全性,建议将Guest账号禁止。
c)服务的账号,在WindowsServer2008中,每一个服务都需要一个账号,通常这些账号采用系统账号,我们无须关心。
3)每个个人账号都有一个口令来保护,为了防止口令被盗用和攻击,我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度,具体要求如下:
a)长度不得小于7个字符
b)必须包含大写和小写字母
c)必须包含特殊字符(例如:
~!
@#$%^&*()_+)
该部分的设定,需要须由用户的IT管理人员根据自己整个企业的实际情况来进行制定。
4)个人账号的命名规则
用户名称将使用中文名,帐号名称为:
采用姓名的拼音全称,如有重复则在末尾加用户所在部门名称的首字母,若仌有重复则在末尾加数字以示区别。
例如:
姓名
拼音
帐号名
张三{人事部}
Zhangsan
ZhangsangHR
李四
Lishi
lishi
2.计算机账号管理
所有加入到域中的计算机都需要一个计算机账号,通过该帐号,我们可以对计算机的各种配置进行管理。
服务器帐号:
ServerName:
xxxxxxxx共八位.前三位为SVR表示该计算机为服务器.
中间表示为服务器主要功能(比如:
DC=admin;MAIL=mailServer;FILE=FileServer),最后为服务器编号.如Svrdc01,工作站(PC)帐号:
PCName:
xxxxxxxx前三位;部门代码如(TPM,OMD,FND,HAD,QMD);中间部分为员工姓名拼音简称(声母部分)如TG,LH,等;后两位为序号,例如:
TPMTG01OMDMZ02PT-PUBLIC-01注:
员工姓名简称标定详细和员工姓名等需不用户具体商讨.
5.客户端管理
●本地用户和组介绍
组概述
“组”显示所有的内置组和所创建的组。
安装操作系统时将自动创建内置组。
属于组将赋予用户在计算机上执行各种任务的权利和能力。
1)管理员组
管理员组的成员具有对计算机的完全控制权限。
只有内置组才被自动授予该系统中的每个内置权利和能力。
2)超级用户组
超级用户组的成员可以创建用户帐户,但只能修改和删除他们所创建的帐户。
超级用户可以创建本地组并从他们创建的本地组中删除用户。
也可以仍超级用户、用户和来宾组中删除用户。
他们不能修改管理员或备仹操作员组,也不能拥有文件的所有权、备仹或还原目录、加载或卸载设备驱动程序或管理安全日志和审核日志。
3)用户组
用户组的成员可以执行大部分普通任务,如运行应用程序、使用本地和网络打印机以及关闭和锁定工作站。
用户可以创建本地组,但只能修改自己创建的本地组。
用户不能共享目录或创建本地打印机。
●默认安全设置
1)管理员组
管理员组的成员可以执行操作系统支持的所有功能。
默认的安全设置不能限制对任何注册表或文件系统对象的“管理”访问。
管理员可以给予在默认情况下没有给予他们的任何权限。
管理访问最好用于:
1)安装操作系统和组件(例如硬件驱动程序、系统服务等等)。
2)安装ServicePacks和WindowsPacks。
3)升级操作系统。
4)修复操作系统。
5)配置关键操作系统参数(例如密码策略、访问控制、审核策略、内核模式驱动程序配置等等)。
6)获取已经不能访问的文件的所有权。
7)管理安全措施和审核日志。
8)备份和还原系统。
9)在实际应用中,通常必须使用administrator帐户来安装和运行为Windows以前版本编写的应用程序。
2)用户(Users)
Users组提供了一个最安全的程序运行环境。
在全新安装(非升级安装)的系统的
NTFS格式的卷上,默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。
用户不能修改系统注册表设置,操作系统文件或程序文件。
用户可以关闭工作站,但不能关闭服务器。
Users可以创建本地组,但只能修改自己创建的本地组。
他们可以运行由管理员安装和配置的Windows认可的程序,并对他们自己的所有数据文件(%userprofile%)和自己的那一部分注册表(HKEY_CURRENT_USER)有完全的控制权。
用户无法安装其他用户运行的程序(这样可防止特洛伊木马程序)。
他们也并能访问其他用户的私人数据或桌面设置。
2)为确保Windows系统的安全性,管理员应该:
1)确保最终用户只属于Users组。
2)安装和配置Users组成员可以成功运行的Windows认可程序。
3)用户不能运行大多数为Windows以前版本编写的程序,因为这些应用程序中的大多数都是要么不支持文件系统和注册表安全(Windows95和WIndows98),要么就是默认安全设置并严格(WindowsNT)。
3)超级用户(PowerUsers)
PowerUsers组的成员拥有的权限比Users组的成员多,但比Administrators组的成员少。
超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。
PowerUsers可以:
1)除了WindowsXP认可的应用程序外,还可以运行一些安全性不太严格的应用程序。
2)安装不修改操作系统文件并且不需要安装系统服务的应用程序。
3)自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源。
4)创建和管理本地用户帐户和组。
5)启动或止默认情况下不启动的服务。
6)超级用户没有将自己添加到管理员组的权限,也不能访问在NTFS卷上的其他用户的数据,除非那些用户赋予他们这样的权限。
最终设定
出于管理方面的需求,建议赋予大部分员工超级用户(PowerUsers)的权限。
管理员才具有管理本地完全资源的权限。
6.实现功能描述
●主要功能实现
部署完AD之后,我们能实现如下的主要功能:
1)集中管理整个用户的安全策略。
2)集中管理整个用户的组策略。
3)完全利用组织单元反映用户的管理结构。
4)