< 返回
基于微软软件的解决方案

一、服务器系统

1.构成

对于企业级网络系统,从可靠性和对负载的支撑来讲,通常将不同的服务器分别安装在对应的物理服务器上。当然,对于小型的办事处或分公司,可以将数个类型的服务器存放在一个物理服务器上。

图1中列出的是基本的服务器系统,主要是逻辑服务器。实际上可以几个共存在一个物理服务器上。主服务器、备份服务器构成了intranet的基础服务器。是文件存储、用户数据的核心。数据库服务器是数据处理的基础。邮件、媒体、信息发布(web、ftp等)服务器是internet应用的核心。防火墙、代理服务器是intranet和internet连接的桥梁。应用服务器可以包括传真服务器等。

2.基础服务器系统

基础服务器是整个内部网络的核心,是系统的关键。通常要求系统的可靠性为第一。当然,作为intranet的操作系统,应具有强大的分布式数据处理能力、图形处理和底层开发能力,以及与其他系统的互操作性和更多的软件支持。

为了保证系统的可靠性,必须对系统采用自动备份和灾难恢复措施。为了今后的扩充和更高的系统响应负载能力,核心采用光存储系统。例如emc的存储设备。通过光纤hub可以和上百个服务器连接。内部采用光电接口的高速磁盘阵列,确保数据的可靠操作。如果可能,存储设备采用双控制回路。这种设计在对安全要求更高的环境中,可以将服务器安放在相距更远甚至不同城市间,抵抗各种自然灾害造成的损害。

在资金允许的情况下,应该保证至少一月内每日的工作备份记录,并安装灾难恢复系统。

服务器采用hp的r8000系列,直接安装在标准的19英寸机柜中。尤其在北方,防止灰尘的侵害,和交换机、hub等统一布局在机柜中,降低机房走线的混乱程度,提高系统的可维护性,减少占地面积,提高机房的使用效率。

这里也要特别说明,对机房的安装要符合国家标准。尤其是底线的安装,确保在每个地板支架间采用铜导体连接,底线埋设保证深度和水平垂直接触体的设置。否则防静电地板形同虚设。

在网络操作系统上,微软的windows 2000不仅可以完成基本的网络操作系统的任务,同时提供了activedirectory目录服务支持、更好的安全保护和认证、无缝集成的web和ftp服务,有关更详细的介绍请看微软的网页。

3.数据服务器系统

数据服务器是信息自动化管理的核心。如今的数据服务必须提供对各种资源数据的存储、管理和超强的运算能力,支持工业编程标准,支持在internet上多数据库的联合操作。在windows 2000上,集成最好的是微软的sql服务器。

4.统一消息服务器

作为办公自动化的基础,消息机制是其基础,这包括邮件服务器、小组协同工作、媒体服务器、对电话和传真的处理等一系列对消息的处理工作。

微软为.net推出的新一代exchange server 2000成为第一个能够综合处理所有这些消息的企业级服务器。

以上简单介绍了服务器系统的基本组成。有了这些组成,企业的内部局域网可以基本建立并工作了。但是如果要完成更高一级的工作,和各地的分公司或办事处的联系及internet的信息获取,还要更进一步地完善自身的网络系统建设。

二、广域网连接

1.internet连接

现代企业,不和internet沟通已经无法想象了。连入因特网已成为企业提升形象、加强竞争力的关键。

最低连入internet的方式是拨号。服务器采用代理服务器按需接入internet。在windows 2000上采用proxy server。但对于访问internet频繁、人数众多的企业可以采用isdn或ddn等方式入网。

2.广域连接

采用vpn方式也许是最好的企业异地连接方案。只要连入当地的internet的isp商,就可以即连入internet,又通过建立在internet的虚链路连接到企业的各地。windows 2000内置了vpn协议。

同时,对于外地出差人员,也可以在笔记本上采用vpn协议和公司联系。这比企业单独建立专线连接要有效得多。

三、安全防护

网络安全很重要。集中的数据管理和维护有效地提高了办公的效率,却也使企业显得更加脆弱。安全首先是要保护企业免受外来攻击,其次还要保证有效地抵抗病毒的危害,还要防止内部人员的无意或有意破坏。

1.防火墙/代理服务器

代理服务提供了内部网络用户访问internet的能力。防火墙限制指定内部用户和外来用户对特定资源的特定操作。如果资金有限,可以仅采用微软的proxy server,它具有最基本的防火墙功能,更好的方案是采用checkpoint firewall-1。

firewall-1主要由控制模块和防火墙模块组成。

控制模块:该模块包括gui和管理模块。gui是管理模块的前端用户图形配置界面,提供整个防火墙系统策略定制的可视化图形编辑工具。管理模块主要管理firewall-1安全策略数据库,包括基本规则、网络对象、服务(协议)、用户等的设置,以及生成基于安全策略的监控脚本和监控代码或路由器访问控制列表,并负责与防火墙模块的通信,把监测代码分发到网络中的各个防火墙模块中去。

防火墙模块:该模块包括监控模块、防火墙daemons、安全服务器。主要负责安全策略的实施、事件记录及与控制模块之间的通信(参见图2)。

firewall-1状态监控技术(stateful inspection)是checkpoint software公司的革新专利技术。它在数据链路层和网络层之间(参见图3)实现所有必要的防火墙功能。

高可靠、安全的防火墙应提供访问、分析、利用以下信息的能力:

·通信信息-数据包中包含的来自osi所有七层的信息;

·源于通信的状态信息-由前面的通信过程导出的状态信息,如应保存ftp会话中的向外发送端口号(port),以便确认进来的ftp数据连接;

·源于应用的信息-由其他应用程序导出的状态信息,如刚刚经过认证的用户只能允许访问被授权的服务等;

·信息处理-基于以上三种信息的灵活处理能力。

firewall-1状态监控技术,是一种新一代的防火墙技术,它不同于第一、二代包过滤和代理机制的防火墙技术,完全能满足以上所有的安全要求。传统的防火墙技术(包过滤、应用层网关)在这些方面都有些欠缺。三代防火墙技术详细比较资料参见上表。

包过滤技术,历史上主要在路由器上实现,主要是根据用户定义的内容(如ip地址)进行过滤。包过滤在网络层进行包检查,与应用无关,其最大的优点是具有良好的性能和可伸缩性。但是,由于包过滤技术是对应用不敏感的,无法理解特定通信的含义,因而可以说这是安全性最差的一种防火墙技术。

应用网关技术是第二代防火墙技术,其在应用的检查方面有了较大的改进,能监测所有应用层,同时对应用“文本内容”(context information)的含义引入到了防火墙策略的决策处理,因而其安全性能有了较大的改进。但是该方法对每一个请求都必须建立两个连接,一个从客户端到防火墙系统,另一个从防火墙系统到服务器,这样就打破了client/server的结构,对用户的访问是不透明的,同时使防火墙网关暴露在攻击者之中。另外,对每一个代理需要有一个独立的应用进程或daemon来处理,这样在性能、扩展性和支持新应用方面存在问题。

状态监控属第三代防火墙技术,克服了以上两种方法的缺点,引入了osi全七层监测能力,同时又能保持client/server的体系结构,也即对用户的访问是透明的,防火墙能保护、限制其他用户对防火墙网关自身的访问。状态监控技术在网络层截获数据包后交给inspectengine,通过inspectengine可以从数据包中抽取安全决策所需的所有源于应用层中的状态相关信息,并在动态状态表中维持这些信息以提供后继连接的可能性预测。该方法能提供高安全性、高性能和扩展性、高伸缩性的解决方案。

2.防病毒系统

(1)存在隐患

1)客户端internet连接,而internet情况复杂,病毒种类繁多,在进行ftp、e-mail、web浏览过程中容易感染病毒及恶意程序。internet将是病毒传播最大的隐患。

2)服务器本身可以从客户端、邮件、internet及自身读取软盘、光盘的过程中感染病毒,且服务器一旦染毒,对网络运转将产生直接的危害。

3)客户端众多,客户本身可被感染病毒,也可通过访问服务器及共享资源被感染病毒。病毒还可蔓延至整个网络,每一个客户端都有可能成为一个病毒发源地。

4)邮件型病毒一般夹带在附件中,容易在exchange client/server资源共享的工作环境中传播。

5)易于感染java和activex第二代电脑病毒,不需要寄主程序,即可带着它们到处肆虐。

6)计算机中心网络情况较复杂,网络管理人员对整个网络防毒体系的全面安全管理不易实施,管理困难,不利于效率的提高。

(2)综合防治方案

1)安装客户端防毒软件officescan

该软件是为方便客户端防病毒软件的安装和维护而设计,软件首先安装在网络服务器端,当客户端计算机登录服务器时,自动检测是否已安装防病毒软件,未安装时,自动从服务器下载防病毒软件;若已安装防病毒软件,则检测和更新最新病毒码。

2)在nt/nw server上安装serverprotect for nt/nw

它采用多种先进技术保护nt/nw服务器免受病毒侵害,不但能够有效地防治病毒传播,侦测病毒活动,采取灵活多样的病毒处理方式,更可利用server protect对服务器进行几种网域管理及远程控制,通过预约扫描、手动扫描及即时扫描来侦测病毒。

3)在邮件服务器上安装scanmail for exchange

该软件是针对exchange client/server资源共享的工作环境所设计的病毒防范和清除方案,能在电脑病毒传播之前检测到隐藏在exchange的邮件服务器及数据系统中的病毒。

4)安装interscan viruswall(网关病毒防火墙和管理软件)

是目前唯一能从因特网网关入口拦截病毒的软件产品,通过即时监测ftp、e-mail、web浏览过程中可能携带的病毒及恶意程序,立即采取多种病毒处理手段杀灭病毒,保护企业内部网络免受外部病毒的威胁。采用业界领先的“空中抓毒”(catch virus on the fly)专利技术,支持nt及unix多种操作系统平台。

5)trend virus control system(tvcs)集中控管系统

该软件运用internet/intranet技术,能实现对跨地区的网络系统中的所有计算机防病毒产品进行监控和管理,适合于多服务器的网络系统防病毒管理需要,它是一种防病毒系统管理软件。

四、应用系统

网络的建立是灾难的开始。如果我们只关注网络的建设,而忽视大量的实际应用、用户的培训和专业的日常维护,那么灾难就在你脚下。

实际上,根本不存在一个通用的应用办公自动化系统可以适合你企业的任务。办公自动化系统必然是定制的。你的业务流程和你的管理体制密切相关。文档的处理和面向个人的事务管理,以及面向小组的合作都是独特和变化的。

完善系统是在企业和它的外包商之间在一段时期磨合出来的。这一切在系统建立开始就要准备好。成熟的企业家在建立自身的网络系统和完善之间的资金比至少应该是1:1,甚至后期需求更大。挑选一个合适的伙伴,将长期的合作和维护任务交给他是更好的选择。

五、总结

每个企业都是千差万别的。面对一个虚拟的企业,很难给出非常完善细致的方案。但我们给出总的原则和估价。

1.北京总部

中心双服务器加emc光存储系统,作为主要服务器系统。采用windows 2000+exchange 2000+sql server提供文件服务、统一消息服务、内部internet服务等多方面服务。防病毒采用综合防治方案:office scan + serverprotect + scanmail + tvcs。

采用一个服务器作为连接外部internet的通道。安装proxy server + firewall + internet viruswall。

internet连接和广域网连接都通过专线方式进行。

软硬件估价在1~2百万元。

2.上海和广州分公司

两者对服务器的要求其实差别不大。因为都要完成广域连接和内部服务,最好采用两个服务器分别完成任务。如果广州方面希望节省成本,可以采用一个服务器完成所有任务。软件设计和北京总部是一致的。

内部服务器:采用磁带设备进行数据备份+灾难恢复系统。采用windows 2000+exchange 2000+sql server提供文件服务、统一消息服务、内部internet服务等多方面服务。防病毒采用综合防治方案:office scan + serverprotect + scanmail。

网关服务器: 安装proxy server + firewall + internet viruswall。

internet连接和广域网连接都通过专线方式进行。

软硬件估价在30~80万元之间。

来源:支点网