第4章內(nèi)容回顧需求分析的設(shè)計(jì)方法需求分析設(shè)計(jì)過程了解用戶需求將用戶需求細(xì)分分成系統(tǒng)、服務(wù)、安全三個(gè)模塊分別進(jìn)行分析Chapter1/26項(xiàng)目方案設(shè)計(jì)指導(dǎo)本章結(jié)構(gòu)設(shè)計(jì)方案防火墻的設(shè)計(jì)入侵檢測系統(tǒng)的設(shè)計(jì)其他安全措施系統(tǒng)建設(shè)目標(biāo)總體設(shè)計(jì)思想系統(tǒng)架構(gòu)設(shè)計(jì)系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)系統(tǒng)管理設(shè)計(jì)設(shè)備選擇系統(tǒng)安全設(shè)計(jì)操作系統(tǒng)與服務(wù)器軟件選擇Web服務(wù)設(shè)計(jì)FTP服務(wù)設(shè)計(jì)郵件服務(wù)設(shè)計(jì)數(shù)據(jù)庫服務(wù)設(shè)計(jì)Chapter3/26方案設(shè)計(jì)方法回顧匯總設(shè)計(jì)所需的資料經(jīng)濟(jì)、技術(shù)等的可行性研究報(bào)告用戶的明確需求確定網(wǎng)絡(luò)整體結(jié)構(gòu)確定網(wǎng)絡(luò)設(shè)備和材料選型確定應(yīng)用服務(wù)業(yè)務(wù)確定安全策略確定實(shí)施、測試、試運(yùn)行、驗(yàn)收、培訓(xùn)和服務(wù)形成設(shè)計(jì)方案文檔必要時(shí)組織評審Chapter4/26BENET公司辦公自動化設(shè)計(jì)方案系統(tǒng)建設(shè)目標(biāo)滿足公司辦公自動化的全部需求滿足公司員工訪問Internet的需要滿足企業(yè)數(shù)據(jù)快速增長并可靠存儲的需求實(shí)現(xiàn)Internet用戶對公司W(wǎng)eb網(wǎng)站的訪問所有員工能利用自己帳戶和密碼登錄到網(wǎng)絡(luò)所有員工能在權(quán)限允許范圍內(nèi)使用網(wǎng)絡(luò)資源所有員工能利用郵件客戶端軟件收發(fā)郵件利用防火墻和IDS為整個(gè)網(wǎng)絡(luò)提供安全保障Chapter6/26總體設(shè)計(jì)思想可用性全部系統(tǒng)可用性能高性能可管理性便于管理可靠性網(wǎng)絡(luò)冗余設(shè)計(jì)，穩(wěn)定的操作系統(tǒng)可擴(kuò)展性易于擴(kuò)展安全性對網(wǎng)絡(luò)、系統(tǒng)、主機(jī)提供全面的防護(hù)簡單性成本Chapter7/26系統(tǒng)架構(gòu)設(shè)計(jì)使用單域結(jié)構(gòu)公司擁有獨(dú)立域名帳戶域在ISAServer上安裝DNS，以便于外部用戶對該域的訪問在內(nèi)網(wǎng)上安裝DNS，以便于內(nèi)部用戶對該域的訪問利用防火墻對外發(fā)布Web/FTP服務(wù)和郵件服務(wù)內(nèi)部DNS外部DNS防火墻Chapter8/26系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)6-1操作系統(tǒng)與服務(wù)器軟件的選擇操作系統(tǒng)或服務(wù)器軟件名稱版本主要用途應(yīng)用范圍WindowsServer2003中文企業(yè)版服務(wù)器操作系統(tǒng)所有服務(wù)器ExchangeServer2003中文企業(yè)版提供郵件服務(wù)內(nèi)部郵件服務(wù)器SQLServer2005中文企業(yè)版提供數(shù)據(jù)庫服務(wù)內(nèi)部數(shù)據(jù)庫服務(wù)器IIS6.0及以上提供Web、FTP服務(wù)Web、FTP服務(wù)器WindowsXP中文專業(yè)版客戶端操作系統(tǒng)所有客戶機(jī)Chapter9/26系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)6-2郵件服務(wù)的設(shè)計(jì)FQDN名稱

IP地址/24訪問權(quán)限授權(quán)用戶訪問訪問方式內(nèi)部或外部實(shí)現(xiàn)功能企業(yè)用戶的郵件收發(fā)垃圾郵件過濾Chapter10/26郵件地址：每個(gè)用戶擁有一個(gè)郵箱和電子郵件地址郵件地址格式為“用戶名@域名”，例如zhangshan@管理組：所有用戶位于同一個(gè)管理組內(nèi)郵件服務(wù)安全：設(shè)置每個(gè)用戶發(fā)送附件的大小不超過4MB郵件服務(wù)器上啟用垃圾郵件過濾功能系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)6-3Chapter11/26系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)6-4Web服務(wù)的設(shè)計(jì)FQDN名稱

www.beneIP地址/24訪問權(quán)限允許任何用戶訪問Web網(wǎng)站主目錄D:\inetpub\wwwroot

文件系統(tǒng)NTFS安全性需要IIS最新補(bǔ)丁Chapter12/26系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)6-5FTP服務(wù)的設(shè)計(jì)FQDN名稱

ftp.beneIP地址/24訪問權(quán)限匿名用戶只能下載，授權(quán)用戶可上傳下載文件ftp主目錄D:\public文件系統(tǒng)NTFS安全性需要IIS最新補(bǔ)丁Chapter13/26系統(tǒng)與應(yīng)用服務(wù)設(shè)計(jì)6-6數(shù)據(jù)庫服務(wù)的設(shè)計(jì)

服務(wù)器名稱SQLIP地址/24端口1433存儲空間D:\SQL訪問權(quán)限域內(nèi)用戶可訪問文件系統(tǒng)NTFS規(guī)劃安裝數(shù)據(jù)庫服務(wù)器將舊服務(wù)器上的數(shù)據(jù)遷移到新服務(wù)器上重新設(shè)計(jì)備份策略，并測試備份策略為保證可靠性，可采用Windows的服務(wù)器群集技術(shù)Chapter14/26系統(tǒng)安全設(shè)計(jì)5-1設(shè)計(jì)概述在企業(yè)網(wǎng)絡(luò)邊緣上安裝防火墻把所有服務(wù)器放到DMZ區(qū)域中在每個(gè)子網(wǎng)中部署入侵檢測系統(tǒng)操作系統(tǒng)及服務(wù)器軟件打上最新的安全補(bǔ)丁安裝企業(yè)防病毒軟件并提供適時(shí)更新啟用帳戶策略啟用密碼策略給用戶分配適當(dāng)?shù)臋?quán)限采用域安全策略Chapter15/26系統(tǒng)安全設(shè)計(jì)5-2防火墻的設(shè)計(jì)防火墻軟件名稱MicrosoftISAServer2004（帶SP1）IP地址/30（連接內(nèi)網(wǎng)）/30（連接Internet）完成功能防火墻功能Web服務(wù)、郵件服務(wù)的發(fā)布緩存功能防火墻客戶端要求安裝防火墻客戶端軟件Chapter16/26系統(tǒng)安全設(shè)計(jì)5-3入侵檢測系統(tǒng)的安裝軟件名稱用途應(yīng)用范圍acid-0.9.6b23.tar.gz基于php

的入侵檢測數(shù)據(jù)庫分析控制臺部署于各子網(wǎng)的一臺專用機(jī)器上adodb465.zipADOdb（ActiveDataObjectsDataBase）庫forPHPapache_2.2.2-win32-x86-no_ssl.msiWindows版本的ApacheWeb服務(wù)器jpgraph-1.20.4a.tar.gz面向?qū)ο蟮膱D形庫forPHPmysql-5.0.22-win32.zipWindows版本的Mysql

數(shù)據(jù)庫服務(wù)器php-5.1.6-Win32.zipWindows版本的php

腳本snort_2_6_0_Installer.exeWindows版本的Snort安裝包WinPcap_3_1.exe網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序Chapter17/26系統(tǒng)安全設(shè)計(jì)5-4入侵檢測系統(tǒng)的測試在某個(gè)子網(wǎng)的機(jī)器上安裝Nmap或者X-Scan軟件并掃描要測試的網(wǎng)段在安裝了入侵檢測系統(tǒng)的機(jī)器上啟動Snort在瀏覽器中打開Acid中控臺查看是否能夠檢測到入侵分析入侵源并采取相應(yīng)措施Chapter18/26系統(tǒng)安全設(shè)計(jì)5-5其他安全措施把所有服務(wù)器放到DMZ區(qū)域中操作系統(tǒng)及服務(wù)器軟件打上最新的安全補(bǔ)丁安裝企業(yè)防病毒軟件并提供適時(shí)更新啟用帳戶策略（參考S1項(xiàng)目實(shí)踐中相應(yīng)部分的內(nèi)容）啟用密碼策略（參考S1項(xiàng)目實(shí)踐中相應(yīng)部分的內(nèi)容）給用戶分配適當(dāng)?shù)臋?quán)限采用域安全策略Chapter19/26系統(tǒng)管理設(shè)計(jì)3-1ＯＵ設(shè)計(jì)匹配公司管理結(jié)構(gòu)按部門層次劃分按部門劃分OU按部門劃分OU站點(diǎn)：默認(rèn)站點(diǎn)例：財(cái)務(wù)例：人力樹Chapter20/26系統(tǒng)管理設(shè)計(jì)3-2ＯＵ設(shè)計(jì)以部門名字命名存放用戶賬戶及計(jì)算機(jī)賬戶Chapter21/26系統(tǒng)管理設(shè)計(jì)3-3用戶管理統(tǒng)一命名：以漢語拼音全拼為用戶名字存儲在所屬于部門的ＯＵ組的管理利用組分配權(quán)限組名以組的類型為前綴，G、DL、UAGUDLP策略Chapter22/26設(shè)備選擇2-1服務(wù)器所有服務(wù)器均選擇IBM公司的xSeries236處

理

器Intel?Xeon?處理器3.0GHz或更高

Cache2MSMP支持2顆處理器內(nèi)存8個(gè)DIMM內(nèi)存插槽，ECCDDR2SDRAM，最大內(nèi)存16GB主板IDE控制器UltraATA100SCSI控制器集成雙通道Ultra320SCSI控制器顯示主板集成顯示，128MB顯存外驅(qū)動器架3×5.25”（CD-ROM已占用一個(gè)）1×3.5”（1.44M軟驅(qū)占用）網(wǎng)卡10/100/1000M自適應(yīng)以太網(wǎng)卡*2擴(kuò)展性能擴(kuò)展槽：2PCI-X64bit/100Mhz2PCI-X64bit/66Mhz1PCI64bit/33Mhz1PCI32bit/33Mhz內(nèi)部設(shè)備接口：2個(gè)Ultra320LVDSCSI接口1個(gè)IDE接口1個(gè)軟驅(qū)接口外部設(shè)備接口：2個(gè)USB口2個(gè)9針串行口（16550UART）1個(gè)25針并行口（EPP/ECP）1個(gè)PS/2鼠標(biāo)接口/1個(gè)PS/2鍵盤接口1個(gè)顯示器接口2個(gè)RJ45網(wǎng)絡(luò)接口Chapter23/26設(shè)備選擇2-2客戶機(jī)聯(lián)想啟天M2200P42.8G筆記本電腦聯(lián)想昭陽S620BP-M2.4GChapter24/26方案設(shè)計(jì)要求全班分成5個(gè)項(xiàng)目小組，每組4人通過小組討論的形式確定設(shè)計(jì)方案設(shè)計(jì)完成提交方案設(shè)計(jì)文檔下次上課時(shí)每組選派2人上來講述自己的設(shè)計(jì)方案需要制作成PPT每組時(shí)間是