中小企业网络安全规划与实践.docx

1、中小企业网络安全规划与实践毕业设计（论文） 中小企业网络安全规划与实践第一章 项目概述1. 系统目标此次我们系统建设的目标为：提供一个安全、高效、灵活的企业级操作系统平台，为整个企业的应用奠定坚实础。第二章 服务规划通常一个企业的环境仍一个简单的服务开始，这个服务一般旨在满足特定的当前业务需要，例如传真、电子邮件、业务应用程序或办公室的进程连接。随着时间的推移，由于新需求的出现，新的服务会无规划的添加到这个环境中。这样创建的环境在技术上种类烦杂、难以支持和运行，并且难以使用，因此给管理人员和最终用户都带来额外的负担。采用具有标准化基础结构的环境，这是一种运用为企业创造价值的具有成本效益的方法。

2、我们的方案将帮助中小企业构建此类环境。采用此解决方案中提供的指南能带来下列好处：经过测试的可靠文档：此解决方案已经由微软及合作伙伴进行了测试，并且通过了大量客户部署的检验.可预测的环境：此方案提供了众所周知的基础结构，它是根据微软支持、合作伙伴和客户的建议来构建的。这些建议来源于多年的经验教训.能够采用更新的技术：常问题和故障诊断使与家很少有时间参加培训或学习新的技术。采用此方案能够降低与家在部署新技术时的实施和操作风险，仍而节约时间，减少工作量. 集成的解决方案：户可通过基于Microsoft Windows Server System 技术的标准化体系结构，获得可扩展的平台，使其随着业务的

3、增长而增长。在需要时，也可实现其他服务。 网络基础服务描述企业要求基础结构提供所需的服务，使得员工能够完成工作，并与客户也业务合作伙伴进行交流。所有的企业组织都需要一个核心基础结构，用来承载或支持基本服务，例如打印、文件服务、账户系统。下表列出了核心基础结构必须提供的一组服务。1.核心结构服务物理网络服务描述所满足的业务需求物理网络局域网(LAN):为客户端计算机提供到本地网络的有线和无线连接。Internet连接:将局域网中的计算机连接到Internet。远程连接：为远程用户和分公司提供到总公司的远程连接。总公司和分公司的用户需要一种方法来访问 LAN 和Internet 中的各种资源。远程

4、用户和分公司用户也需要访问总公司的资源。网络服务DNS:提供名称解析。DHCP:为客户端计算机分配IP 地址和IP 配置。连接到LAN 的计算机需要自动进行配置网络。安全的Internet 连接深信服:提供防火墙及其他特性，例如应用程序层筛选、入侵侦测、Web 缓存以及将内部资源发布到Internet 的功能。用户需要能够安全地访问Internet 来开展业务，例如交换电子邮件、浏览Web 站点、远程访问总公司的资源等等。另外，内部网络还需要拥有防御机制，抵御来自Internet 的威胁。文件服务文件服务:实现用户间的文件和文件夹共享.存储服务:为用户提供可靠的存储。为了防止数据丢失，用户需要

5、可靠、安全的存储空间，并应定期进行备份。需要存储的数据量正在快速增加。管理员需要一个中央数据存储库，这样就只需备份和管理一个地方。打印服务打印:使得内部用户能够通过网络进行打印。用户需要拥有对打印机的可靠访问。他们需要不依靠IT 职员的帮助就能找到和配置临近他们的打印机。2.辅助服务辅助体系结构提供直接满足业务需求的服务。这些服务可能不是运行 IT 基础结构所必需的，但是如果组织需要也应该进行安装。这些服务的正常工作依赖于核心基础结构。下表列出了这些辅助服务。使用Active Directory 组策略的管理和安全性.服务描述所满足的业务需求AD组策略和管理和安全性组策略:为管理员提供一种配置

6、和管理用户及计算机设置的方法。管理员需要确保最终用户拥有合适的权限来完成他们的工作，而不有意或无意地破坏他们计算机或网络中其他计算机的配置。消息传递服务Exchange:使得用户能够发送和接收电子邮件，使用日程表、任大部分业务非常依赖与客户、合作伙伴及其他职员的电子邮件交流。任务管理、日历共享和公共文件夹。另外，最终用户也需要日程安排特性，来高效地筹划和管理有关活动。协作服务Exchange Web站占:承载安全的共享工作区，供内部用户、外部用户和商业合作伙伴用于执行各种工作，例如文档共享、主持联机讨论和调查等。Intranet Web站点: 承载提供各种功能的Web 站点，例如公司通告和活动

7、、帮助台、休假日历、公司联系人列表等提供对文件集中访问的Intranet 和外部Web 站点。这在无法通过文件共享和电子邮件实现共享信息的情况下十分有效。也可以用于需要在大量用户间共享信息的情况。远程连接VPN:使得远程用户能够安全地连接到总公司LAN。Https: 使得远程用户能够安全地访问内部Web 站点。终端服务器: 使得远程用户能够访问和运行安装在终端服务器上的LOB 应用程序。这可以通过Web 或通过VPN 来实现。用户需要能从家里或便携式计算机上连接到企业资源。他们需要能够使用Web 浏览器来访问电子邮件或内部 Web 站点中的信息。另外，用户还需要能够远程访问和运行带宽占用率较高

8、的LOB 应用程序。证书服务证书颁发机构(CA):为发布HTTPS Web 站点提供证书。需要这些服务来提供安全的Internet 资源访问，例如电子邮件和外部Web 站点。补丁管理软件更新服务(WSUS):保证环境中所有基于Windows 的服务器和客户端计算机都安装最新的补丁。由于恶意软件的传播且存在大量更新，因此用户需要有一种有效且自动的方法在客户端和服务器计算机上安装补丁。防病毒防止服务器和客户端计算机受到病毒和蠕虫的感染。由于病毒、垃圾邮件和间谍软件的散播，管理员需要合适的技术和方法从计算机上删除有害的内容。备份和恢复备份软件:将数据备份到磁带, 从而提供数据的高安全性。在需要时，恢

9、复备份数据。数据需要进行保护和备份，从而能够在出现意. 外删除或由于软硬件故障导致的崩溃时进行数据恢复。另外对于有些LOB 应用程序，保持数据备份也可能是法律上的要求。3. Windows Server2008r2 服务Windows Server 的基础的网络服务主要包括以下两方面：地址分配地址分配即IP地址的分配和管理。将在此次项目中使用DHCP，实现动态地址分配，动态主机配置协议DHCP是用于管理TCP/IP网络的工业标准，可以通过服务器对工作站进行动态的IP地址分配。使用DHCP可以大大减轻系统管理员的工作负担，使其方便地网络工作站的地址进行配置和管理。名称解析名称解析是指在访问网络资

10、源（包括文件服务器和打印机）时，如何将资源的名称转换成对应的IP地址的服务。通过DNS服务，相关的服务器会自动将某个名称转换成实际的IP地址，用户只需让住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。 4. DNS名称解析内部名称解析建议在内部网络设置DNS服务器：DNS服务器都将DNS数据放在本地的AD数据库中，但是作为独立的Application Partition来参加域控制器之间的目录复制(Directory Replication) 仍而同步DNS数据库。 所有域控制器都将自己设为首选的DNS服务器，将另一台域控制器设为次选的DNS服务器。每

11、个物理区域的客户端将通过DHCP，将第一台域控制器的DNS设为首选，将另一台域控制器的DNS设为次选。外部(Internet)名称解析（如网络与互联网隔离，则无需考虑）每台DNS服务器将设置转发(forwarder)，将本地ISP的DNS服务器设为转发器.将所有非内部网的域名解析请求转发至Internet上。预期效果基本上企业内所有的客户端都将通过DNS来进行名称解析，包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机记录(A)和指针记录(PTR)。管理员在服务器上可以轻松的了解所有客户端的注册情况。此外，客户端在访问Inetnet时，可以

12、依靠ISP的DNS转发，来对非内网地址的服务器进行必要的名称解析。5. 关键服务推荐布局考虑到下列服务的关键性，我们建议把Active Directory域名系统(DNS)、动态主机配置协议(DHCP)放置在2台服务器上，以实现冗余能力。此2台服务器被配置为提供关键服务，例如Active Directory、DNS和 DHCP。下表介绍了2台服务器为这些关键服务提供冗余的方式。服务冗余类型Active Directory主域控制器和额外域控制器的服务都处于活动状态，接收目录服务请求的服务器为客户端提供服务。如果其中一台基础结构服务器出现故障，另一台服务器将为客户端请求提供服务DNS两台服务器上

13、的服务都处于活动状态。但是，客户端会首先向主基础结构服务器上的DNS 服务器发送请求。如果客户端在一定时间内由于某种原因（例如服务暂停或服务器故障）没有接收响应，那么它将向处于辅助基础结构服务器上的DNS 服务器发送请求。DHCP两台服务器上的服务都处于活动状态。两台服务器会同时接收到来自 DHCP 客户端的请求，不同时响应。客户端会保留接收到的第一个响应，拒绝第二个。如果其中一台服务器故障，另一台服务器将继续为请求提供服务。第三章 活动目录设计1. Active Directory基本概念Active Directory 是 Windows Server的目录服务。它存储着网络上各种对象的有

14、关信息，包括人、计算机、打印机、应用程序、其他网络的信息，这样易于管理员和用户查找及使用。Active Directory 目录服务采用结构化的数据存储作为目录信息的逻辑局次结构的基础。Active Directory服务为组织、管理和控制网络上的资源提供基础构造和功能，它广泛支持各种Internet标准协议。2. 安全、统一的目录服务机制目录服务提供一定空间，用于存储与于基于网络的实体相关的信息，例如应用程序、文件、打印机和人员。同时，该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。采用安全、统一的目录服务机制的突出优势除了安全性外，还可实现“单一口令认证”

15、（SSO，Single Signing On）功能。单一口令认证是指企业用户在企业内部网络中只需登陆一次，就决定了其可能允许的操作，和可能存取的信息。同时，为将不同的系统结合在一起并增强目录及管理任务，活动目录提供了一个中枢集成点。上述功能是依靠将Windows Server2008目录特性通过诸如LDAP、ADSI、JADSI及MAPI等基于标准的接口尽数开放来实现的，因此，公司能够加强现有的目录，并开发具备目录功能的应用程序和基础结构。活动目录的益处能够向Windows环境的外延扩展。活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。例如，对LDAP、JADS

16、I及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品不活动目录相集成，以提供对跨平台产品简化与强大的管理功能。3. 严格、周密的客户端桌面管理在实现严格的安全、统一的目录服务机制的同时，活动目录（AD）给我们带来的优势还在不对客户端桌面系统进行严格、周密的统一控制、管理。由于相对来说对桌面的管理较忽视，导致了大部分的病毒来源于内部用户的误操作，或安装了带病毒的软件。同时，很多企业IT人员的日常工作是帮助内部用户排忧解难，而这些又来源于内部用户对自己所属计算机配置的随意修改。 严格的桌面管理策略可以仍根本上杜绝上述想象，我们可以通过Windows Se

17、rver 内嵌的 AD技术，并结合组策略（Group Policy）根据不同用户级别、使用范围进行细粒度的用户桌面控制，如：关闭普通用户对重要配置的修改能力、以及安装不必要的软件的能力、限制其登录桌面的显示界面等。仍而达到对客户端桌面实施严格、周密的管理。4. 系统实现部署Windows Server2008活动目录服务主要包括以下几方面：1)域结构 2)站点设计3)FSMO 角色设计4)组织单元结构5)账号和口令管理域结构域结构设计是活动目录中最重要，也是最基础的工作，是多种因素权衡的结果，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。目前用户办公地点相对比较集

18、中。此外，用户IT部门的最终目标是能够实现完全集中管理。因此此次在用户环境内采用单域结构。以下是单域结构相对于其他结构的优缺点：优点1)集中管理整个企业的安全策略。2)集中管理整个企业的组策略。3)完全利用组织单元反映企业的管理结构。4)当企业机构重组时可以非常灵活的进行调整。5)当资源和用户需要在组织机构内迁移时可以非常灵活的调整。6)相对其它方案，可以使用较少的域控制器。 7)简单的名字空间设计 只需要1个DNS名字后缀. 8) 用户在查找AD内的信息时相对简单。 9)单一的组策略更容易实施。出于冗灾的考虑，我们建议公司内部至少放置两台域控制器。 站点设计用于控制AD的复制路由和限制Log

19、on/off流量。SITE代表了一组在同一高速网络内的子网，而SITE之间则属于相对的低速连接。 目前，由于用户办公地点比较集中，所有的域控制器都在相同的物理位置，所以我们采用单站点的结构即可。 AD FSMO主机角色设计活动目录的Flexible Single-Master Operations机制用于避免对活动目录的更改发生冲突。总共有5个FSMO角色需要被管理。 1)Schema Master：森林中只有一个。指定一台DC用于接受活动目录Schema的更改。这台机器应该属于森林根域，用于保证正确地访问控制。 2)Domain Naming Master：当增加、删除域时，处理对域目录树的

20、更新。Schema和Domain Naming master应当在同一台服务器上。Domain naming master应该在一台GC上。3)PDC Emulator：处理早期版本客户端(如NT4)的口令更新，接受紧急口令锁定复制等。本台服务器在用户的域环境中会处理大量的请求，必须非常可靠。4)RID Master：维护RIDs (Relative IDs) 缓冲池，用于生成安全账户（用户、组、计算机）。对于比较大的域，RID master和PDC emulator应该分处不同服务器。 5)Infrastructure Master：用于更新跨域的引用，必须不能在GC上。 在用户的环境中，相

21、应的角色将被安排到以下的服务器：C1Schema Master，Domain Naming Master ,GCC2PDC Emulator，RID Master，Infrastructure Master组织单无结构一个组织单元是一个容器对象，用于管理域中的对象。可以使用组织单位在一个逻辑局次中组织各种对象，这样能够体现企业基于部门的或基不地理分界的结构。可以在域中创建组织单位的局次结构，组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单元的设计原则为： 1)反映企业内部的组织结构 2)有利于通过组策略进行细化的终端管理由于用户帐号（在这里包括用户组账号）和计算机账号

22、为两种不同的资源类型，所以也需要分开管理。图：AD 整体结构图 委派管理考虑到目前用户的正处于企业发展阶段，将来管理IT资源的人员可能不局限个人。在有多个管理员同时存在的情况下，如何分配管理权限是一个重要的问题。如果权限过于疏松，个别的人为误操作或恶意攻击将对整个企业的环境产生姕胁；而权限过于严格，又会产生诸多不便，影响工作效率并增加管理负担。Windows Server2008提供了一种叫做管理控制委派的机制来解决这一问题。通过对不同管理控制的委派，我们可以轻松的让某一个或某一组普通用户帐号管理一定的资源，同时又并放松对整个域和其他重要资源的控制。通过对每个分公司管理员帐号的委派，这些帐号都

23、有权限管理自己分公司所对应的OU下面所有的用户帐号和计算机账号，包括改名，改密码，创建用户和组，或加入计算机到域内。但是，对于域内的其他资源而言，这些帐号只是普通的用户帐号，没有权限进行任何改动。帐号和口令管理账号管理可以分为个人账号管理、组账号管理和机器账号管理。1.个人账号管理个人账号可以分为两类： 1)第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。2)第二类为特殊账号，通常并属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。特殊账号有以下几个：a)Administrator，系统管理员账

24、号，具有最高的权限，可以进行任何管理操作，该账号不能被删除，只能更改用户名。为了提高系统的安全性，建议将管理员账号的用户名更改，比如hqadmin（仅仅是建议系统管理员可以自行决定）。b)Guest，匿名登录的账号，为了提高系统的安全性，建议将Guest账号禁止。c)服务的账号，在Windows Server2008中，每一个服务都需要一个账号，通常这些账号采用系统账号，我们无须关心。3)每个个人账号都有一个口令来保护，为了防止口令被盗用和攻击，我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度，具体要求如下：a)长度不得小于7个字符b) 必须包含大写和小写字母c)必须包含特殊

25、字符（例如：!#$%&*()_+）该部分的设定，需要须由用户的IT管理人员根据自己整个企业的实际情况来进行制定。4)个人账号的命名规则用户名称将使用中文名，帐号名称为: 采用姓名的拼音全称，如有重复则在末尾加用户所在部门名称的首字母，若仌有重复则在末尾加数字以示区别。 例如：姓名拼音帐号名张三人事部ZhangsanZhangsangHR李四Lishilishi2.计算机账号管理所有加入到域中的计算机都需要一个计算机账号，通过该帐号，我们可以对计算机的各种配置进行管理。服务器帐号: Server Name:xxx xxx xx共八位.前三位为SVR表示该计算机为服务器. 中间表示为服务器主要功能

26、 ( 比如:DC=admin; MAIL=mail Server; FILE=File Server ),最后为服务器编号. 如Svrdc01,工作站（PC）帐号: PC Name: xxx xxx xx 前三位;部门代码如 (TPM,OMD,FND,HAD,QMD); 中间部分为员工姓名拼音简称(声母部分) 如 TG,LH,等; 后两位为序号，例如： TPM TG 01 OMD MZ 02 PT-PUBLIC-01 注:员工姓名简称标定详细和员工姓名等需不用户具体商讨. 5. 客户端管理 本地用户和组介绍组概述 “组”显示所有的内置组和所创建的组。安装操作系统时将自动创建内置组。属于组将赋予

27、用户在计算机上执行各种任务的权利和能力。1)管理员组 管理员组的成员具有对计算机的完全控制权限。只有内置组才被自动授予该系统中的每个内置权利和能力。 2) 超级用户组 超级用户组的成员可以创建用户帐户，但只能修改和删除他们所创建的帐户。超级用户可以创建本地组并从他们创建的本地组中删除用户。也可以仍超级用户、用户和来宾组中删除用户。他们不能修改管理员或备仹操作员组，也不能拥有文件的所有权、备仹或还原目录、加载或卸载设备驱动程序或管理安全日志和审核日志。3)用户组用户组的成员可以执行大部分普通任务，如运行应用程序、使用本地和网络打印机以及关闭和锁定工作站。用户可以创建本地组，但只能修改自己创建的本

28、地组。用户不能共享目录或创建本地打印机。默认安全设置1)管理员组管理员组的成员可以执行操作系统支持的所有功能。默认的安全设置不能限制对任何注册表或文件系统对象的“管理”访问。管理员可以给予在默认情况下没有给予他们的任何权限。管理访问最好用于： 1)安装操作系统和组件（例如硬件驱动程序、系统服务等等）。 2)安装 Service Packs 和 Windows Packs。3)升级操作系统。4)修复操作系统。5)配置关键操作系统参数（例如密码策略、访问控制、审核策略、内核模式驱动程序配置等等）。 6)获取已经不能访问的文件的所有权。 7)管理安全措施和审核日志。 8)备份和还原系统。9)在实际应

29、用中，通常必须使用 administrator 帐户来安装和运行为 Windows 以前版本编写的应用程序。2)用户 (Users) Users 组提供了一个最安全的程序运行环境。在全新安装（非升级安装）的系统的 NTFS 格式的卷上，默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置，操作系统文件或程序文件。用户可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。他们可以运行由管理员安装和配置的Windows认可的程序，并对他们自己的所有数据文件 (%userprofile%) 和自己的那一部分注册表(HKEY

30、_CURRENT_USER) 有完全的控制权。用户无法安装其他用户运行的程序（这样可防止特洛伊木马程序）。他们也并能访问其他用户的私人数据或桌面设置。 2)为确保 Windows系统的安全性，管理员应该：1)确保最终用户只属于 Users 组。 2)安装和配置 Users 组成员可以成功运行的 Windows认可程序。 3)用户不能运行大多数为Windows 以前版本编写的程序，因为这些应用程序中的大多数都是要么不支持文件系统和注册表安全（Windows 95 和 WIndows 98），要么就是默认安全设置并严格（Windows NT）。3) 超级用户 (Power Users) Power

31、 Users 组的成员拥有的权限比 Users 组的成员多，但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。Power Users 可以： 1)除了Windows XP认可的应用程序外，还可以运行一些安全性不太严格的应用程序。2)安装不修改操作系统文件并且不需要安装系统服务的应用程序。3)自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源。4) 创建和管理本地用户帐户和组。 5)启动或止默认情况下不启动的服务。 6)超级用户没有将自己添加到管理员组的权限，也不能访问在 NTFS 卷上的其他用户的数据，除非那些用户赋予他们这样的权限。 最终设定出于管理方面的需求，建议赋予大部分员工超级用户(Power Users) 的权限。管理员才具有管理本地完全资源的权限。 6. 实现功能描述 主要功能实现部署完AD之后，我们能实现如下的主要功能：1)集中管理整个用户的安全策略。 2)集中管理整个用户的组策略。 3)完全利用组织单元反映用户的管理结构。4)