基于Microsoft AD信息网络构建方案.docx

1、基于 Microsoft AD 信息网络构建方案目录一、使用 Microsoft AD 架构建设企业内部信息网络 .31.1 工作组环境下企业 IT 面临的挑战 .31.2 AD 域架构的应用给企业管理带来的优势 .31.3 域架构设计原则 .31.4 公司域架构规划 .4二、使用 Microsoft Exchange Server 作为企业邮件系统 .52.1 能够实现与 AD 集成的用户身份验证 .52.2 能够做到和现有 J2EE 平台的整合（消息传递） .52.4 对于邮件系统的防病毒、防垃圾邮件的解决方案和实施计划 .6三、内嵌 Microsoft RMS 技术增强企业信息安全 .6

2、3.1 传统的信息共享过程存在安全隐患 .63.2 基于边界的安全技术具有潜在威胁 .63.3 关于 RMS.73.4 步骤解释： .7四、添加边际网关安全设备（防火墙）增强企业网络整体安全性 .84.1 为什么需要硬件防火墙 .84.2 使用防火墙的主要目的包括以下两个方面： .84.3 防火墙提升安全性的体现 .8前 言如何构建企业内部基本计算机网络？如何构建合适的企业内部基本计算机网络？本方案根据企业实际情况及需求，从系统架构、实际应用、数据安全及全局安全四个方面设计出适合本企业的解决方案，且在技术上、可扩展性上、兼容性等方面都符合主流设计。下图为基本网络结构。一、使用 Microsof

3、t AD 架构建设企业内部信息网络1.1 工作组环境下企业 IT 面临的挑战身份管理:大量的用户登录名和目录；不牢固的密码；安全访问网络和应用资源；增加的桌面系统维护费用。服务器和桌面电脑管理：如何统一管理服务器和桌面系统安全策略；如何统一管理桌面系统的应用；如何保持所有系统安全补丁升级到最新。1.2 AD 域架构的应用给企业管理带来的优势1）提高 IT 运行效率：Windows 的管理效率提高 30%；集中管理服务器和桌面系统；减少目录帐户和密码的数量。2）对用户实施权限管理：划分不同级别的权限来进行用户管理；限制低级别用户访问高级别用户的相关资源；拒绝未经授权的用户访问域内资源。3）增强的

4、网络安全：强制用户使用复杂的密码；通过域的安全边界，实现域内资源的保护，增强企业网络的安全性；通过域的安全更新策略，实现 MS WSUS 统一更新域内的所有计算机客户端的系统安全补丁；通过对域内资源的权限设置和统一安全策略的制定，减少安全隐患的产生；单一管理对网络资源的访问。4）提高信息工作者生产力：快速找到需要的各种资源；实现单点登录；能提高员工的协作能力1.3 域架构设计原则在进行总体框架设计时，考虑到公司的现有网络架构及公司管理体系，微软在 AD 域设计方面推荐遵循以下原则：1）稳定性在系统结构设计上要充分考虑到系统运行的稳定性。系统平台方面要考虑各种系统配置对稳定性的影响，系统必须经过

5、严格的测试，包括功能测试、在各种系统环境或系统配置上的测试等，确保系统在多种设备环境上能够稳定运行。必要时，可以建立管理中心，通过远程管理、监控手段与本地系统管理相结合的方式，保证系统的稳定、可靠。2）易管理系统平台的管理要尽量简单，尽量少地使用户涉及到系统平台的管理工作，必要的管理任务也要提供相应的培训、帮助资料甚至操作引导界面来帮助用户顺利地完成工作。信息交换系统的管理在设计时也要考虑到易管理性方面的要求，通过操作引导界面辅助用户完成所需的数据交换的管理工作。3）易维护系统的结构设计要易于维护，组成系统的功能元素要具有一定的独立性，可以根据用户的需要进行替换而不影响或很少影响其他功能元素，

6、并能够与其他功能元素协作共同完成用户的功能。4）易扩展系统无论是在业务功能上，还是在信息的交换规范上都应当易于扩展，以便适应今后业务的发展。5）易用性系统的操作应尽量简单，对操作提示、错误报告、监控信息反馈等要全面、详细，真正做到易学、易用、易培训。6）安全性使用系统平台的相关安全设置以及应用系统的安全性实现，实现整个系统的安全性。确保系统不被非授权用户侵入，数据不丢失，确认发送者和接收者的身份，保证传输数据不被非法获取、篡改等。7）统一性各级系统的建设要遵循统一的要求进行，在平台、应用系统、应用策略、安全管理等方面保持一致，提供统一的用户体验，保证系统内部数据传输服务的可靠性。1.4 公司域

7、架构规划 域结构设计是活动目录中最重要，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。我们依据微软活动目录结构的设计原则，用最简单的结构来满足客户的管理需求。在域的管理架构 OU 组织单位设计上基于公司的管理模式而不是公司的组织结构图。以下是单域结构相对于其他结构的优点： 集中管理整个公司的安全策略。 集中管理整个公司的组策略。 完全利用组织单元反映公司的管理结构。 当公司机构重组时可以非常灵活的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。 相对其它方案，可以使用较少的域控制器。 简单的名字空间设计 只需要 1 个 DNS 名字后缀. 用户在

8、查找 AD 内的信息时相对简单。 单一的组策略更容易实施。单域模型是首选的模型：用户永远不需要在多个域之间移动；不需要跨越多个域的重复组策略设置；整个企业内实施统一的安全规范；任何域控制器都可以处理任何用户处理的身份验证。公司的整个域架构采用单域模式，部署一台 AD 域服务器，实现对所有用户信息的统一管理和身份的验证。活动目录的建设目标是，更新目前客户使用的活动目录，为全公司的工作人员提供统一的目录服务。使得活动目录可以达到如下的目标：将企业的安全性集成到 Active Directory 中，基于策略的管理模式减轻了最为复杂的企业网络管理。企业 IT 可管理整个网络中的服务器及客户端访问资源

9、，只有获得授权的网络用户可访问网络上指定的资源。在域内我们可以方便的利用域用户、用户组设置公司文件服务器的访问权限控制，以及控制网络共享文件夹的磁盘配额和文件存储类型。用户组作为域中具有相同权限用户的集合，我们可以简化文件访问权限的设定和管理。为确保只有授权用户可以访问企业文件夹中的数据，我们可以针对文件夹进行权限设置。共享权限仅应用于通过网络访问资源的用户。安全权限应用于本地访问文件夹的权限；两者共同设定取两者最严格的权限。通过共享权限设定如下：共享权限 注释所有用户有只读访问权限可以设置将所有访问权限都限制为只读的使用自定义共享和文件夹权限如果您希望对指定用户或组授予或拒绝访问权限，请单击

10、该选项。应指派限制性最强但又允许用户执行必要功能的权限。通过对域用户的有效权限审核，我们可以将客户端及用户数据的信息数据进行统一的管理，提高企业内部网络访问的安全性，实现 IT 架构有效的集中管理。二、使用 Microsoft Exchange Server 作为企业邮件系统微软 Exchange2003 全球市场占有率 76%被评为最经济最稳定的企业邮箱，能够和WINDOWS 系列操作系统很好融合，特别在安全防卫和邮件传送质量上很不错，其有以下优点：2.1 能够实现与 AD 集成的用户身份验证Microsoft Exchange Server 2003 可以实现 Active Directo

11、ry 的紧密集成。Microsoft Exchange Server 2003 使用 Windows Server 的 Active Directory 存储目录信息，并与 Windows Server 共享目录信息，集成用户身份验证。2.2 能够做到和现有 J2EE 平台的整合（消息传递）Microsoft Exchange Server 2003 本身提供对HTTP、HTTPS、SMTP、POP3、IMAP、Telnet 等标准协议的支持，并且提供丰富的开发工具包帮助软件开发人员通过简单的开发实现 Exchange Server 2003 和基于各种平台开发的应用系统的集成,其中包括有消息

12、传递这一部分。2.3、直接通过互联网 SSL 或者通过 VPN 使用客户端访问公司邮箱远程用户（不在企业网内用户）要与 Microsoft Exchange Server 2003 邮件服务器之间建立安全连接(包括有 SSL 和 VPN)，可采用多种连接方式，如虚拟专用网络(VPN)连接；通过 RPC over HTTP 连接邮件服务器等。可以对 Exchange 2003 部署移动设备 Outlook Mobile Access 支持，以便为用户提供从各种移动设备访问其 Exchange 信息的能力。默认情况下，安装 Exchange 时，对所有用户启用同步功能和使用 Outlook Mob

13、ile Access 进行浏览访问的功能。2.4 对于邮件系统的防病毒、防垃圾邮件的解决方案和实施计划Exchange Server 2003 直接为第三方厂商提供了病毒扫描开发接口，可以实现第三方防病毒产品和 Exchange 的无缝集成，高效保护邮件系统，删除带有病毒的邮件和附件。 很多第三方合作伙伴已经开发了支持 Exchange 的病毒防范产品，都提供了为 Exchange 设计的成熟的安全产品。Exchange Server 2003 提供了三种反垃圾邮件筛选器，分别为连接筛选器、寄件人/收件人筛选、智能邮件筛选。此外，Outlook 客户端本身也带有强力的垃圾邮件筛选。三、内嵌 M

14、icrosoft RMS 技术增强企业信息安全3.1 传统的信息共享过程存在安全隐患在网络化的电子办公环境中，信息的有效传递和共享变得十分重要。信息的使用者经常会通过电子邮件、磁盘共享或文件服务器来共享他们的文档，包括机密的战略计划文档、技术文件、产品研发报告、销售数据分析、财务绩效信息等。然而，计算机网络在为企业的生产、服务和管理带来便利的同时，也带来众多的挑战，其中信息安全问题尤为突出。当工作人员共享这些文档和信息时，很难控制文档和信息的传播范围，也难以跟踪信息的访问记录。这样就可能造成机密信息的不安全访问和 非法利用。而单纯地依靠企业的信息安全政策公示很难实现电子信息的集中安全管理和授权

15、访问。3.2 基于边界的安全技术具有潜在威胁企业通常采用基于边界的安全技术来保护数字文件和信息。例如：使用防火墙技术限制对公司网络的访问，使用随机访问控制列表限制对特定数据的访问等。企业还可能使用加密与验证技术，以保护传输中的电子邮件，防止重要的文档被轻易打开；将制作完成的办公文档通过第三方工具转换为不易被随意分发的文件格式。购买第三方工具，实现对保存的文件实时加密，打开的文件实时解密以保证资料不至流失到企业外部这些方法虽然都可以帮助企业控制对敏感内容的访问，但是仍存在一定的安全隐患。例如，当用户通过验证且内容经过解密之后，就会对该内容的使用或处理不受任何限制，信息将可能被随意篡改，分发，打印

16、，拷贝内容重新生成等。如果依靠用户的自我约束和责任感来实现数字内容的共享与使用，则可能会给企业信息安全带来无法预测的风险，即使是偶然的安全漏洞，也可能带来严重后果。3.3 关于 RMSRMS（Right Management Service）是由微软公司为数字信息的整个生命周期提供有效管理的一组服务。它是与应用程序协作保护数字内容的安全技术，专为那些需要保护的敏感文档、电子邮件和 Web 内容而设计。可以严格控制哪些用户可以打开、读取、复制、打印、修改、重新分发特定内容。3.4 步骤解释： 1）内容的作者创建文档，使用支持 RMS 的应用程序来指定用户并对内容应用权限和条件2）先由支持 RMS

17、 的应用程序生成对称的内容密钥，并向证书服务器或授权服务器发送一个发布许可证请求。该请求中包括内容密钥和用法设置。同时授权服务器生成发布许可证，并使用服务器公钥加密内容密钥，然后将发布许可证返回给支持 RMS 的应用程序，该应用程序使用内容密钥加密文件，并将发布许可证绑定到该文件3）内容用户计算机上支持 RMS 的应用程序向 RMS 服务器（发布许可证是由其颁发的）发送一个请求（其中包括该用户的权限帐户证书） ，以请求获得该文档的用户许可证。同时RMS 服务器验证用户的凭据。如果用户成功通过验证，则会生成用户许可证，并将用户许可证返还给内容用户计算机上支持 RMS 的应用程序4）支持 RMS

18、的应用程序打开文档，并根据用户许可证中定义的参数授予用户权限四、添加边际网关安全设备（防火墙）增强企业网络整体安全性4.1 为什么需要硬件防火墙这些因素极大的威胁着信息网络：来自外部的攻击；蠕虫病毒对网络的影响；协议的漏洞；系统的漏洞；网络管理困难等。4.2 使用防火墙的主要目的包括以下两个方面： 1）严格限制进入被保护区域的访问，防止外部入侵和信息污染；例如，对来自外部网络的各种访问进行访问控制、信息过滤等。2）严格限制离开被保护区域的信息，防止信息泄漏；例如，对来访者在保护区域内的各种活动进行审计跟踪、检查需要离开被保护区域的信息资源等。 3）严格限制对被保护区域内重要应用的访问和恶意行为

19、；例如，对保护区域内邮件服务器进行不间断的入侵检测，防止植入恶意代码或攻击使应用宕机。4.3 防火墙提升安全性的体现防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一,在计算机网络中，增加防火墙设备的投入可以提高内部网络的安全性能，这些安全性主要表现在以下几个方面：1）防止来自被保护区域外部的攻击。2）防止信息外泄和屏蔽有害信息。3）集中安全管理。4）安全审计和告警。5）增强保密性和强化私有权；6）访问控制和其他安全作用等。附件:实施本方案所需具备条件一 硬件条件本方案硬件基本需求为：Domain Controller 主服务器一台，DC 备份武器一台。关于 DC 服务器配置推荐：Xe

20、no E5 2603/4GB/300GB（塔式）Exchange 邮件服务器一台。关于邮件服务器配置推荐：Xeno E5 2609/8GB/4*2TB/Raid5（机架式 2U）File 服务器一台。关于文件服务器配置推荐：Xeno E5 2603/4GB/4*2TB/Raid5（塔式）硬件防火墙一台推荐产品型号：H3C SecPath U200二 internet 接入条件至少 8M 专线接入三 建议使用微软全套正版授权（费用较高）Attachment:With all the conditions permitted for this project1.Basic Hardware 1).

21、 DC MainServer Backup DC Server Configuring:Xeno E5 2603/4GB/300GB (Tower)2). Mail ServerConfiguring:Xeno E5 2609/8GB/4*2TB/Raid5 (Rack)3). File ServerConfiguring:Xeno E5 2603/4GB/4*2TB/Raid5 (Tower)4). FirewallThe recommended product :H3C SecPath U2002.BroadBand Condition 8M at least3. SoftwareUse legitimate software of Microsoft Corporation