項目方案設(shè)計指導講解

1、。需求分析的設(shè)計方法:需求分析設(shè)計過程 了解用戶需求 將用戶需求細分 分成系統(tǒng)、服務、安全三個模塊分別進行分析Page 1/26，V北大青鳥項目方案設(shè)計指導Version 2.0系統(tǒng)施設(shè)目標f 系統(tǒng)架構(gòu)設(shè)計 1-設(shè)計方案一i系痛與駕服務設(shè)一f系統(tǒng)管理設(shè)f系統(tǒng)安全設(shè)計l一 設(shè)備選擇I-Page 3/26"伊北:匯總設(shè)計所需的資料經(jīng)濟、技術(shù)等的可行性研究報告-用戶的明確需求*：確定網(wǎng)絡整體結(jié)構(gòu)點確定網(wǎng)絡設(shè)備和材料選型。確定應用服務業(yè)務：確定安全策略。確定實施、測試、試運行、驗收、。形成設(shè)計方案文檔：必要時組織評審一操作系統(tǒng)與服務器軟件選擇-Web服務設(shè)計|FTP服務設(shè)計一郵件服務設(shè)計一數(shù)

2、據(jù)庫服務設(shè)計一防火墻的設(shè)計一入侵檢測系統(tǒng)的設(shè)計一其他安全措施AI方案設(shè)計方法回顧培訓和服務總體設(shè)計思想大青鳥version 2.0系統(tǒng)建設(shè)目動化設(shè)計方案Page 7/26滿足公司辦公自動化的全部需求。滿足公司員工訪問Internet的需要。滿足企業(yè)數(shù)據(jù)快速增長并可靠存儲的需求實現(xiàn)Internet用戶對公司W(wǎng)eb網(wǎng)站的訪問 。所有員工能利用自己帳戶和密碼登錄到網(wǎng)絡 :所有員工能在權(quán)限允許范圍內(nèi)使用網(wǎng)絡資源 。所有員工能利用郵件客戶端軟件收發(fā)郵件 :利用防火墻和IDS為整個網(wǎng)絡提供安全保障Page 7/26可用性全部系統(tǒng)可用:性能高性能可管理性便于管理可靠性網(wǎng)絡冗余設(shè)計，穩(wěn)定的操作系統(tǒng)：可擴展性易

3、于擴展：安全性對網(wǎng)絡、系統(tǒng)、主機提供全面的防護 簡單性 成本系統(tǒng)架構(gòu)設(shè)計 :使用單域結(jié)構(gòu) :公司擁有獨立域名 :在ISA Server上安裝DNS,以便于外例仍對該 域的訪問 :在內(nèi)網(wǎng)上安裝DNS,以便于內(nèi)部用戶對該域的訪 問 利用防火墻對外發(fā)布Web /FTP/J艮務3和郵件服務內(nèi)部DNS系統(tǒng)與應用服務設(shè)計62外操作系統(tǒng)與服務器軟件的選擇操作系統(tǒng)或服 務器軟件名稱版本主要用途應用范圍Windows Server 2003中文企業(yè)版服務器操作系統(tǒng)所有服務器Exchange Server 2003中文企業(yè)板提供郵件服務內(nèi)部郵件服務器SQL Server 2005中文企業(yè)版提供數(shù)據(jù)庫服務內(nèi)部數(shù)據(jù)庫

4、服務器IIS6.0及以上提供Web、FTP服 務Web、FTP服務器Windows XP中文專業(yè)版客戶端操作系統(tǒng)Pace 9/26所有客戶機K四壬昊I財h/u 張與應用服務設(shè)計M2小郵件服務的設(shè)計FQDN名稱IP地址/24訪問權(quán)限授權(quán)用戶訪問訪問方式內(nèi)部或外部實現(xiàn)功能企業(yè)用戶的郵件收發(fā)垃圾郵件過濾Page 10/26系統(tǒng)與應用服務設(shè)計63郵件地址：每個用戶擁有一個郵箱和電子郵件地址。郵件地址格式為“用戶名域名”,例如zhangshan:管理組：所有用戶位于同一個管理組內(nèi):郵件服務安全：設(shè)置每個用戶發(fā)送附件的大小不超過4MB。郵件服務器上啟用垃圾郵件過濾功能Page 1

5、1 /26系統(tǒng)與應用服務設(shè)計64Page 12/26+ Web服務的設(shè)計系統(tǒng)與應用服務設(shè)計65+ FTP服務的設(shè)計FQDN名稱；IP地址/24訪問權(quán)限匿名用戶只能下載，授權(quán)用戶可上傳下載文件ftp主目錄D:public文件系統(tǒng)NTFS安全性需要IIS最新補丁Page 13/26Page 14/26服務器名稱SQLIP地址/24喊口1433存儲空間D:SQL訪問權(quán)限域內(nèi)用戶可訪問文件系統(tǒng)NTFS.：數(shù)據(jù)庫服務的設(shè)計系統(tǒng)與應用服務設(shè)計66規(guī)劃安裝數(shù)據(jù)庫服務器將舊服務器上的數(shù)據(jù)遷移到 新服務器上重新設(shè)計備份策略，并測試 備份策略為保證可靠性，可采用

6、 Windows的服務器群集技 術(shù)系統(tǒng)安全設(shè)計52:設(shè)計概述 在企業(yè)網(wǎng)絡邊上安裝防火墻 把所有服務器放到DMZ區(qū)域中 在每個子網(wǎng)中部署入侵檢測系統(tǒng) 操作系統(tǒng)及服務器軟件打上最新的安全補丁 安裝企業(yè)防病毒軟件并提供適時更新 啟用帳戶策略 啟用密碼策略 給用戶分配適當?shù)臋?quán)限 采用域安全策略Page 15/26系統(tǒng)安全設(shè)計52:防火墻的設(shè)計，火墻軟件名稱Microsoft ISA Server 2004 （帶SP1 ）IP地址/30 （連接內(nèi)網(wǎng)）/30 （連接Internet）防火墻功能完成功能Web服務、郵件服務的發(fā)布緩存功能防火墻客戶端要求安裝

7、防火墻察戶端軟件 Page 16/z6:入侵檢測系統(tǒng)的安裝軟件名稱用途應用范圍acid-0.9.6b23.tar.gz基于php的入侵檢測數(shù)據(jù)麻分析控制臺訃善于吝于 內(nèi)的一臺專 用機a上adodb465.zipADOdb ( Active Data Objects Data Base ) 庫for PHPapache_2.2.2-win32-x86- no ssl.msiWindows版本的Apache Web服務珞jpgraph-1.20.4a.tar.gz面向?qū)ο蟮膱D形庫tor PHPmysql-5.0.22-wln32.zlpWindows版本的Mysql數(shù)據(jù)庫服務器php-5.1.6-

8、Win32lpWindows的php 腳本snort_2_6_0_lnstaller.exeWindows版本的Snort安裝包WlnPcap_3_1 .exe網(wǎng)絡數(shù)據(jù)包做取驅(qū)動#1序*:*入侵檢測系統(tǒng)的測試 在某個子網(wǎng)的機器上安裝Nm叩或者X-Scan軟件并掃描要測 試的網(wǎng)段, 在安裝了入侵檢測系統(tǒng)的機器上啟動Snort 在瀏覽器中打開Acid中控臺 查看是否能夠檢測到入侵 分析入侵源并采取相應措施Page 18/26系統(tǒng)安全設(shè)計56Page 19/26其他安全措施 把所有服務器放到DMZ區(qū)域中 操作系統(tǒng)及服務器物件打上最新的安全補丁 安裝企業(yè)防病毒軟件并提供適時更新 啟用帳戶策略（參考S1

9、項目實踐中相應部分的內(nèi)容） 啟用宓碼策略（參考S1項目實踐中相應部分的內(nèi)容） 給用戶分晶適當?shù)臋?quán)限 采用域安全策略5：研發(fā)部7：市場18：市場29：研發(fā)110:研發(fā)21C全局絹1:總莒辦公宣2:中場部3.附第部4:人力資.通卻5：信息中心Page 23/26Page 25/26設(shè)備選擇21中服務器所有服務器均選擇舊M公司的xSeries236處理器IntelXeon處理43. 0GHz會更高CacheSMP史樸2履處理器內(nèi)存8個DIMM內(nèi)存插槽，ECC DDR2 SDRAM,最大內(nèi)存16 GB主板ID*到汽Ultra ATA100scsuea 宮集成雙通道Ultra 320 SCSI拄制石顯示

10、主板集成R示.128MB&存外邸幼K柒3 « 5.2S' （CD-ROM 已占用一個）lx 3.5M （1.44MRM 占用）R+10/100/1000M自適應以大網(wǎng)卡2獷氨性能 獷息播：2PCI-X 64biV100Mhz 2PCI-X64bit 66Mhz 1 PCI 64biV33Mhz 1 PCI 32blt 33Mhz 內(nèi)部議備接 口： 2個Ultra 320 LVD SCSI按 o 1 個IDE接 o 1 個軟SS接口外部設(shè)備接口： 2個USB口 2個9葉串行口(16550UART) 1個 2541并行口 (EPP/ECP) 1個PS'2a.標接口/1個PS/2饃盤接口 1個顯示 器接口 2個RJ45同絡格晶小客尸機聯(lián)想啟天M2200 P4 2.8G筆記本電腦聯(lián)想昭F日S620B P-M 2.4G。全班分成5個項目小組，每組4人 ：通過小組討論的形式確定設(shè)計方案。設(shè)計完成提交方案設(shè)計文檔。下次上課時每組選派2人上來講述自己的設(shè)計方案 :需要制作