企业整体网络建设建议方案1.pdf

上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333企业内部网络建设建议方案上海软盛信息技术有限公司上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333目录第 1 章 方案背景 ..................................................... 3 1.1 用户需求 .................................................... 3 1.2 系统的设计原则.............................................. 3 第 2 章 设计方案 ..................................................... 3 2.1 方案构架 .................................................... 3 2.2 Active Directory目录服务器 .................................. 4 2.2.1 PDC 域 BDC 双域控制器结构............................... 4 2.2.2 部署的优势及好处 ....................................... 5 2.3 ISA 2006防火墙 .............................................. 7 2.3.1 方案设计原则 ........................................... 7 2.3.2 方案构架 ............................................... 7 2.3.3 ISA Server 2006服务器 Http 应用层过滤器 ................ 8 2.3.4 ISA Server 2006 企业版 NLB可扩展规划 ................... 9 2.4 企业防病毒系统.............................................. 9 2.4.1 方案设计原则 ........................................... 9 2.4.2 方案描述 .............................................. 10 2.4.3 方案特点 .............................................. 11 2.5 应用服务器数据备份......................................... 12 2.5.1 概述.................................................. 12 2.5.2 公司备份系统的建设原则 ................................ 12 2.5.3 应用服务器整体备份的方案.............................. 13 第 3 章 网络建设施实计划 ............................................ 15 3.1 项目预计时间规划........................................... 15 3.2 施实流程 ................................................... 15 上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333第1章 方案背景1.1 用户需求在企业内部架设AD域管理系统在企业内架设ISA 防火墙，结合AD域管理员工上网行为在企业内部架设反病毒系统，防御企业内部的病毒威胁针对企业内的应用服务器进行数据备份，保证数据的安全性1.2 系统的设计原则AD域管理、 ISA 上网管理系统、 反病毒系统和应用服务器备份系统的建设对整个公司的信息化具有重要的意义，系统的选择和设计对建成后的质量和作用起到举足轻重的影响，为保证系统的广泛使用和稳定运行，新系统的选择和设计应遵循以下原则：保障信息传递的高效性便于最终用户使用，符合用户习惯，方便与其他客户端软件集成系统稳定可靠对重要服务系统提供数据备份方便与外部系统的连通免受病毒威胁统一的认证系统便于系统的统一管理第2章 设计方案2.1 方案构架根据上述设计原则和用户需求，给出以下企业内部网络建设建议采用 Win2003 R2 作为操作系统，Win2003 R2 系统支持共享文件夹空间配额限制上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333公司 AD域控采用 2 台服务器， 一台 PDC ，一台 BDC ，一旦 PDC出现问题， BDC能接替 PDC的工作，继续提供AD域验证与管理网关采用ISA 2006 系统，与AD结合基于域用户提供上网管理。

ISA 2006 服务器采用双网卡架构、一块网卡接外网，一块网卡接内网BDC服务器负载相对较少，在上面开设共享文件夹，使其成为文件服务器结合 Win2003 R2新特性，对共享文件夹提供基于用户空间配额的磁盘空间管理AD服务器为ISA 上网管理系统提供统一的身份验证和管理2.2 Active Directory目录服务器根据现有情况和具体需求，建议使用两台服务器进行Windows AD 域控建立，一台作为主服务器进行使用，另外台作为文件服务器和域控备份服务器使用方案采用了Windows Server 2003 平台进行部署，以主备部署的方式实现系统的高稳定性和高扩展性下图为系统构架示意图：2.2.1 PDC 域 BDC 双域控制器结构Windows 2003 Server的 Active Directory 活动目录服务完成目录服务的职能所有上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333Exchange 2003 目录信息（包括关于用户、邮箱、服务器、站点、自定义收件人等）存放于Active Directory中、 ISA 2006 Server和文件服务器的用户身份验证都同过AD服务器进行验证，因此AD域服务器至关重要，一旦出现问题、将导致ISA2006 不再可用。

因此必须对 AD域进行高可用性设计，增加第二台域控制器BDC ，一旦第一台AD域控制器出现问题，BDC可以立即接替PDC 的工作，不至于造成Exchange 2003、ISA 2006 和文件服务器不可用2.2.2 部署的优势及好处1)部署的优势活动目录通过单一、稳定的管理界面集中管理Windows用户、 客户端和服务器，以减少冗余、降低维护成本组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，通过它管理员能够定义并控制对由组织内部的计算机和用户组成的群组进行管理的策略管理员能够为在活动目录中的任一站点、域或组织单元设定组策略通过活动目录和组策略特性，管理员能够针对用户在公司中角色为他们自动分发应用程序活动目录提供强大且一致的安全服务，集中进行管理用户验证和访问控制向用户提供单一的网络资源登录访问，为管理员提供强大、一致性的工具以使他们能够为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务配置活动目录为应用程序集成和开放同步机制提供了一套标准接口，能够与众多的应用程序和设备互操作2)部署的好处DNS 集成活动目录使用域名系统（ Domain Name System ， 简称 DNS ） 。

这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机分权限的共享文件夹功能在 AD域中，只有将针对用户的权限设置延伸到目录的范畴才能真正体现出AD域的优势所在 通过为共享文件夹设置用户访问权限，可以保证这些共享资源的安全性实现具体功能如下：a)每位用户都可以向共享文件夹中放置文件上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333b)每位用户对自己放置的文件都有绝对管理权限( 可以更改与删除) c)非文件所有者可以查看文件内容，但无法修改或删除文件磁盘配额功能磁盘配额管理功能可有效地管理用户的网络磁盘空间使用NTFS 卷的磁盘配额跟踪以及控制磁盘空间的使用管理员可将Windows配置为：1、当用户超过了指定的磁盘空间限制（也就是允许用户使用的磁盘空间量）时，防止进一步使用磁盘空间并记录事件2、当用户超过了指定的磁盘空间警告级别（也就是用户接近其配额限制的点）时记录事件用户磁盘配额管理是服务器管理中的一项重要任务，特别是在大型企业网络中，网络磁盘空间非常限，如果不恰当地管理用户磁盘配额，一方面将造成网络磁盘空间的大量浪费，另一方面也可能带来严重的不安全因素，还可严重影响整体网络性能。

简化管理任务集中管理：活动目录通过单一、稳定的管理界面集中管理 Windows 用户、客户端和服务器，以减少冗余、降低维护成本组策略：组策略使管理员能够定义并控制对由组织内部的计算机和用户组成的群组进行管理的策略 管理员能够为在活动目录中的任一站点、域或组织单元设定组策略组策略一经设定，系统就将对其自行加以维护，而不需更多的干预全局目录：全局目录包括来自 Windows 2003 服务器目录中所有域的全部对象，以及每个对象属性的子集为获得良好的效果，全局目录允许用户根据选定的属性进行搜索，以便轻而易举地发现要找的对象，而无须考虑该对象处于目录结构的什么位置自动化软件分发：通过活动目录特性，管理员能够针对用户在公司中角色为他们自动分发应用程序授权管理： Windows 2003 使管理员能够将一套特定的管理优限授予公司中的适当人员，并为他们指定在目录中不同对象集合和对象个体之上享有的特定权力单点登录，统一认证在 域 内 一 个 用 户 对 象 只 能 有 一 个 用 户 主 名 ， 而 这 个 用 户 名 是 可 以 用username@domainname 表示的，就好比一个用户的 mail 地址一样。

正是具有了这个特性，才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题在应用系统登录时从 AD 中获得相关信息进行登录这个过程通过 SSO 插件透明进行，从而实上海软盛信息技术有限公司Tel：021-31261126 上海市静安区万航渡路789 号金锋世纪大厦12 楼Fax： 021-61377333现 SSO 2.3 ISA 2006防火墙2.3.1 方案设计原则ISA Server 2006是微软公司开发的高级应用层防火墙，能提供与Windows AD 域整合的 Http 上网管理和WEB 缓存方案，为保证系统的广泛使用和稳定运行，系统的选择和设计应遵循以下原则：ISA Server 2006集群策略统一管理集群内 ISA 服务器集群共享WEB Cache 系统稳定可靠方便网络和系统的管理、安全性控制方便的集群可扩展性ISA 集群内流量负载均衡ISA 集群内故障转移2.3.2 方案构架ISA Server 在企业内有三种部署方式：ISA 作为客户机网关，客户机安装ISA client，此方式支持AD域验证ISA 作为内网HTTP代理网关， 客户端 IE 自动设置代理服务器为ISA Ser。