安全加固項(xiàng)目方案

XX單位XX網(wǎng)平安建設(shè)工程平安加固方案XX二零一五年一月文檔控制XX單位平安加固方案技術(shù)方案提交方XX提交日期2023-1-1版本信息日期版本撰寫(xiě)者審核者描述2023/1/11.1目錄TOC\o"1-4"\h\z\u1.1網(wǎng)絡(luò)現(xiàn)狀 51.2平安建設(shè)需求 61.3平安建設(shè)建議 7總體平安建設(shè)拓?fù)鋱D 7云計(jì)算平臺(tái) 7網(wǎng)絡(luò)準(zhǔn)入控制和終端管理 8建立全網(wǎng)域控 121.3.5TMG〔ThreatMangementGateway，統(tǒng)一的威脅管理網(wǎng)關(guān)〕 13高級(jí)的防火墻保護(hù) 14虛擬專用網(wǎng)(VPN) 16流量監(jiān)控 17網(wǎng)絡(luò)防病毒 18終端虛擬化 19機(jī)頂盒區(qū)域 201.3.10Exchange升級(jí)到2007 20升級(jí)前提條件 21準(zhǔn)備AD 21準(zhǔn)備域和準(zhǔn)備所有域 22安裝Exchange2007軟件要求 22安裝Exchange2007Windows組件要求 22完成部署 23刪除Exchange2000/2003 24域控搬遷 24網(wǎng)絡(luò)現(xiàn)狀XX單位目前有兩套業(yè)務(wù)，一套為全國(guó)的業(yè)務(wù)網(wǎng)，一套為OA網(wǎng)，兩套網(wǎng)運(yùn)行在同一套網(wǎng)絡(luò)硬件平臺(tái)上。根據(jù)業(yè)務(wù)不同有三個(gè)網(wǎng)絡(luò)出口，分別為廣電出口接入到電信機(jī)房的業(yè)務(wù)效勞器，上視出口與電視臺(tái)合作業(yè)務(wù)，Internet出口實(shí)現(xiàn)外網(wǎng)訪問(wèn)。現(xiàn)有內(nèi)部人員為500人，今后會(huì)擴(kuò)充至1000人。網(wǎng)絡(luò)硬件平臺(tái)方面采用Cisco45系列交換機(jī)作為網(wǎng)絡(luò)核心，開(kāi)啟路由功能實(shí)現(xiàn)所有終端用戶的路由訪問(wèn)，同時(shí)在核心上配置了ACL訪問(wèn)控制列表，對(duì)用戶訪問(wèn)范圍進(jìn)行了控制。接入層交換機(jī)采用h3c二層交換機(jī)，并配置了VLAN信息，根據(jù)部門(mén)和人員物理位置劃分，實(shí)現(xiàn)不同用戶間的隔離。無(wú)線采用了h3c的瘦AP解決方案，通過(guò)h3cAC配置無(wú)線AP的設(shè)置實(shí)現(xiàn)無(wú)線系統(tǒng)的統(tǒng)一管理，無(wú)線終端接入采用PSK加密方式，防止非授權(quán)用戶的接入。平安方面，在互聯(lián)網(wǎng)出口部署了一臺(tái)硬件防護(hù)墻，實(shí)現(xiàn)互聯(lián)網(wǎng)出口的訪問(wèn)控制和端口控制。內(nèi)部用戶平安僅僅依靠VLAN相互之間劃分，通過(guò)核心上的ACL列表實(shí)現(xiàn)訪問(wèn)控制。平安建設(shè)需求實(shí)現(xiàn)用戶的統(tǒng)一管理，能夠?yàn)槊總€(gè)用戶指定權(quán)限，控制其訪問(wèn)范圍和內(nèi)容。能夠指定統(tǒng)一用戶組策略，實(shí)現(xiàn)按照用戶類別進(jìn)行管理，能夠?yàn)橛脩纛C發(fā)有限的證書(shū)。能夠?qū)崿F(xiàn)全網(wǎng)的IP的統(tǒng)一管理和分配，實(shí)現(xiàn)全網(wǎng)IP自動(dòng)分配，同時(shí)MAC地址和IP實(shí)現(xiàn)一一對(duì)應(yīng)。能夠區(qū)分內(nèi)部合法用戶和外來(lái)訪客用戶，能夠區(qū)分內(nèi)部合規(guī)用戶〔滿足內(nèi)部接入規(guī)定〕和內(nèi)部非合規(guī)用戶，并且網(wǎng)絡(luò)能夠自動(dòng)將不同用戶劃分到不同的VLAN，實(shí)現(xiàn)不同的訪問(wèn)權(quán)限。能夠?qū)崿F(xiàn)用戶終端的管理，實(shí)現(xiàn)平安策略管理、防止文件非法外傳控制、補(bǔ)丁分發(fā)管理、軟件分發(fā)管理、遠(yuǎn)程協(xié)助與維護(hù)等功能。實(shí)現(xiàn)邊界平安綜合管理，邊界訪問(wèn)控制，邊界病毒控制，網(wǎng)絡(luò)代理，應(yīng)用層防火墻和VPN等功能。實(shí)現(xiàn)網(wǎng)絡(luò)出口流量的有效管理，保證管理外網(wǎng)核心業(yè)務(wù)的帶寬，控制非核心數(shù)據(jù)流量帶寬。內(nèi)部實(shí)現(xiàn)整體網(wǎng)絡(luò)防病毒體系，實(shí)現(xiàn)統(tǒng)一病毒升級(jí)和補(bǔ)丁分發(fā)。對(duì)于局部核心業(yè)務(wù)終端，實(shí)現(xiàn)終端的虛擬化，實(shí)現(xiàn)核心業(yè)務(wù)數(shù)據(jù)統(tǒng)一管理和存儲(chǔ)，終端不保存任何數(shù)據(jù)。平安建設(shè)建議總體平安建設(shè)拓?fù)鋱D云計(jì)算平臺(tái)本次根據(jù)實(shí)際需要的效勞器數(shù)量：域控2臺(tái)，證書(shū)效勞器2臺(tái)，準(zhǔn)入控制5臺(tái)，DHCP效勞器3臺(tái)共計(jì)12臺(tái)效勞器。需要配置六臺(tái)刀片效勞器和一個(gè)刀片機(jī)箱，為了充分發(fā)揮效勞器的系統(tǒng)資源和實(shí)現(xiàn)高可用選用虛擬化實(shí)現(xiàn)。配置windowsHyper-V將刀片效勞器虛擬為12臺(tái)效勞器，將域控效勞器、證書(shū)效勞器、準(zhǔn)入控制效勞器端、Radius效勞器兩兩分別配置為虛擬集群，每臺(tái)虛擬效勞器分配1顆CPU和8GB內(nèi)存一塊硬盤(pán)。通過(guò)虛擬化集群效勞器平臺(tái)能夠?qū)崿F(xiàn)7*24*356的運(yùn)行保障。通過(guò)虛擬化集群將域控制效勞器和證書(shū)效勞器分別部署在不同物理機(jī)上的虛擬集群中，實(shí)現(xiàn)物理硬件和系統(tǒng)效勞的雙重冗余保護(hù)。虛擬機(jī)效勞器后掛載磁盤(pán)陣列，為集群提供統(tǒng)一的數(shù)據(jù)儲(chǔ)存平臺(tái)，同時(shí)還能夠?qū)崿F(xiàn)虛擬機(jī)之間的快速切換。網(wǎng)絡(luò)準(zhǔn)入控制和終端管理本次部署兩臺(tái)網(wǎng)絡(luò)準(zhǔn)入控制和桌面平安管理效勞器端，同時(shí)部署兩臺(tái)Radius效勞網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證代理效勞器，通過(guò)Radius效勞器與域控效勞器的證書(shū)進(jìn)行比對(duì)，配置一臺(tái)網(wǎng)絡(luò)準(zhǔn)入控制訪客VLAN管理器，實(shí)現(xiàn)對(duì)來(lái)訪用戶進(jìn)行管理的功能。首先，通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求：必須安裝Agent，如果是未安裝Agent的電腦終端接入網(wǎng)絡(luò)，其翻開(kāi)WEB瀏覽器訪問(wèn)任何Website時(shí)，將被重定向到管理員指定的一個(gè)頁(yè)面，提醒其安裝Agent。不安裝Agent的電腦將無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)〔特殊電腦和訪客電腦可以例外〕。必須符合網(wǎng)絡(luò)接入平安管理規(guī)定，例如：擁有合法的訪問(wèn)帳號(hào)、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補(bǔ)丁等。如果不符合管理規(guī)定，將拒絕其接入，或者通過(guò)網(wǎng)絡(luò)對(duì)該電腦進(jìn)行自動(dòng)隔離，并且指引其進(jìn)行平安修復(fù)。然后，對(duì)安裝了Agent的電腦終端，進(jìn)行進(jìn)一步的管理控制，包括：平安設(shè)置檢查、加固，非法操作的管理、限制防止文件非法外傳(U盤(pán)/軟盤(pán)/共享/E-mail/QQ/MSN等)電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠(yuǎn)程控制、補(bǔ)丁管理、分組策略分發(fā)、集中審計(jì)。再次，要防止電腦終端私自、非法卸載Agent或者停止Agent的運(yùn)行,確保管理策略的執(zhí)行。Agent自帶反卸載、反非法中止、非法刪除功能；如果電腦終端私自卸載Agent〔如重新安裝操作系統(tǒng)〕或者中止Agent的運(yùn)行，UniAccessTM后臺(tái)系統(tǒng)可以及時(shí)發(fā)現(xiàn)這種行為。企業(yè)可以依據(jù)有關(guān)平安管理標(biāo)準(zhǔn)對(duì)其進(jìn)行警告或者處分，防范這種行為的再次發(fā)生。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在網(wǎng)絡(luò)準(zhǔn)入控制解決方案中，管理員可以將網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問(wèn)不同區(qū)域的網(wǎng)絡(luò)資源：訪客區(qū)、修復(fù)區(qū)和正常工作區(qū)。劃分方式可以是VLAN或者基于IP的訪問(wèn)控制列表。一般來(lái)說(shuō)，訪客區(qū)的網(wǎng)絡(luò)資源是可以被任何用戶的終端訪問(wèn)的，如Internet資源。一般外來(lái)用戶的終端設(shè)備被限制只能訪問(wèn)訪客區(qū)的網(wǎng)絡(luò)資源。修復(fù)區(qū)網(wǎng)絡(luò)資源是用來(lái)修復(fù)平安漏洞的，如補(bǔ)丁效勞器、防病毒效勞器、軟件安裝包效勞器等，不符合組織平安策略要求的終端被限制在修復(fù)區(qū)中，強(qiáng)制它們進(jìn)行平安修復(fù)。當(dāng)終端設(shè)備被接入網(wǎng)絡(luò)時(shí)，會(huì)被要求進(jìn)行身份認(rèn)證和平安策略檢查。如果是來(lái)自外部的PC機(jī)試圖接入網(wǎng)絡(luò)，UniAccessTM將采取如下措施：拒絕外部終端設(shè)備接入網(wǎng)絡(luò)，或者將外部終端設(shè)備設(shè)置到訪客區(qū)中。如果是來(lái)自內(nèi)部合法終端設(shè)備接入網(wǎng)絡(luò)，UniAccessTM將采取如下控制措施：檢查用戶輸入的用戶名和口令是否合法；檢查客戶端是否滿足平安策略要求。只有合法身份的用戶以及滿足組織平安標(biāo)準(zhǔn)的終端設(shè)備才能接入到網(wǎng)絡(luò)中，否那么系統(tǒng)會(huì)將此終端設(shè)備自動(dòng)切換到修復(fù)區(qū)中，終端設(shè)備在此修復(fù)區(qū)中訪問(wèn)修復(fù)平安漏洞必須的網(wǎng)絡(luò)資源；合法身份的用戶以及滿足組織平安標(biāo)準(zhǔn)的終端設(shè)備接入到網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)根據(jù)用戶身份自動(dòng)將終端設(shè)備切換到屬于該用戶的工作區(qū)中，從而實(shí)現(xiàn)不同權(quán)限的人可以訪問(wèn)不同的網(wǎng)絡(luò)資源。將用戶和終端設(shè)備進(jìn)行綁定，即某個(gè)用戶只能通過(guò)某臺(tái)終端設(shè)備接入到網(wǎng)絡(luò)中，這樣可以禁止內(nèi)部員工私自將家里電腦接入到網(wǎng)絡(luò)中。采用以IEEE802.1x認(rèn)證和CiscoEoU認(rèn)證為核心的網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)，如下列圖所示。圖SEQ圖\*ARABIC4UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了三種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制：IEEE802.1x網(wǎng)絡(luò)準(zhǔn)入控制的802.1x實(shí)現(xiàn)同時(shí)支持多廠商網(wǎng)絡(luò)設(shè)備，如Cisco和華為3Com。支持IEEE802.1x的SingleHost、Multi-host、Multi-Auth模式。特別是Mutli-Auth模式，在有Hub的網(wǎng)絡(luò)環(huán)境中也可以實(shí)現(xiàn)準(zhǔn)入控制。CiscoNAC-IP-2和CiscoNAC-IP-3作為802.1x的補(bǔ)充，當(dāng)網(wǎng)絡(luò)中有支持CiscoNAC-IP-2和CiscoNAC-IP-3的網(wǎng)絡(luò)設(shè)備存在時(shí)，連接在這局部網(wǎng)絡(luò)設(shè)備下的終端可以通過(guò)CicsoNAC機(jī)制來(lái)實(shí)現(xiàn)準(zhǔn)入控制。ARP干擾與IEEE802.1x相結(jié)合，為未安裝代理的終端設(shè)備提供URL重定向功能。這樣可以提示這些終端設(shè)備為什么被限制訪問(wèn)網(wǎng)絡(luò)資源。ARP干擾器只需要部署在訪客區(qū)VLAN中。下列圖是網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)中，基于802.1x認(rèn)證和基于CiscoEoU認(rèn)證的兩種準(zhǔn)入控制比照?qǐng)D。兩種準(zhǔn)入控制技術(shù)都可以控制對(duì)不平安終端或者外來(lái)終端對(duì)網(wǎng)絡(luò)資源的訪問(wèn)?；?02.1x認(rèn)證的準(zhǔn)入控制通過(guò)VLAN動(dòng)態(tài)切換，將不平安的終端切換到修復(fù)區(qū)，將外來(lái)終端切換到訪客區(qū)，從而實(shí)現(xiàn)對(duì)這些終端的訪問(wèn)控制；基于CiscoEoU證準(zhǔn)入控制通過(guò)動(dòng)態(tài)ACL(訪問(wèn)控制列表)，直接限制外來(lái)終端或者不平安的終端對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)的突出特點(diǎn)是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點(diǎn)，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。建立全網(wǎng)域控建立全網(wǎng)域控分為四局部：建立域控效勞器，建立證書(shū)效勞器，建立DHCP效勞器，創(chuàng)立用戶賬戶并將所有終端參加。由于今后用戶管理和策略的推行均采用與形式需要將域控制器配置為雙機(jī)模式，實(shí)現(xiàn)域控的可靠性。域空中的權(quán)限和用戶的證書(shū)進(jìn)行了關(guān)聯(lián)，因此證書(shū)效勞器能夠?qū)崟r(shí)不間斷運(yùn)行極為重要。鑒于域控和證書(shū)效勞的重要性，采用WindowsServer2023R2Hyper-V虛擬化實(shí)現(xiàn)高可用方案。在主域控上配置DHCP效勞，在分域控效勞器，將分域控效勞器參加到主域控效勞器，并將分域控DHCP效勞指向主域控，實(shí)現(xiàn)DHCP同步，由分域控直接分配IP，通過(guò)數(shù)據(jù)同步防止了不同DHCP分配沖突的情況。通過(guò)建立與控制效勞器能夠?qū)⑺杏脩艚y(tǒng)一管理和授權(quán)，同時(shí)策略統(tǒng)一發(fā)放，權(quán)限集中管理。域用戶之間，域用戶和域內(nèi)效勞器之間通信開(kāi)啟IPSec加密通訊，這樣做防止未參加域的終端訪問(wèn)到效勞器業(yè)務(wù)資源。ActiveDirectory域效勞〔ADDS，ActiveDirectoryDomainServices〕存儲(chǔ)目錄數(shù)據(jù)，管理用戶和域之間的通信，包括用戶登錄過(guò)程、身份驗(yàn)證，以及目錄搜索。此外還集成其它角色，為我們帶來(lái)了標(biāo)識(shí)和訪問(wèn)控制特性和技術(shù)，這些特性提供了一種集中管理身份信息的方式，以及只允許合法用戶訪問(wèn)設(shè)備、程序和數(shù)據(jù)的技術(shù)。ActiveDirectory域效勞ADDS是配置信息、身份驗(yàn)證請(qǐng)求和森林中所有對(duì)象信息的集中存儲(chǔ)位置。利用ActiveDirectory，我們可以在一個(gè)平安集中的位置中，高效地管理用戶、計(jì)算機(jī)、組、打印機(jī)、應(yīng)用程序以及其它支持目錄的對(duì)象。ActiveDirectory證書(shū)效勞大多數(shù)組織都使用證書(shū)作為用戶或計(jì)算機(jī)的身份標(biāo)識(shí)，這樣在不平安的網(wǎng)絡(luò)連接上傳輸時(shí)可以加密數(shù)據(jù)。ActiveDirectory證書(shū)效勞〔ADCS，ActiveDirectoryCertificateServices〕改良了平安性，將用戶、設(shè)備或效勞的標(biāo)識(shí)綁定到他們自己的私鑰上。在ActiveDirectory中存儲(chǔ)證書(shū)和私鑰，可以更為平安地保護(hù)這些標(biāo)識(shí)，而且當(dāng)應(yīng)用程序發(fā)出請(qǐng)求時(shí)，ActiveDirectory成為了獲取對(duì)應(yīng)信息的集中位置。ActiveDirectory聯(lián)盟效勞ActiveDirectory聯(lián)盟效勞〔ADFS，ActiveDirectoryFederationServices〕是一個(gè)高平安性、高擴(kuò)展性及可擴(kuò)展到Internet的標(biāo)識(shí)訪問(wèn)解決方案，組織利用它可以對(duì)合作伙伴的用戶進(jìn)行身份驗(yàn)證。使用WindowsServer2023R2中的ADFS，我們可以非常方便且平安地給外部用戶授權(quán)訪問(wèn)組織的域資源。ADFS還簡(jiǎn)化了未受信資源和組織中域資源之間的集成。ActiveDirectory權(quán)限管理效勞組織的知識(shí)產(chǎn)權(quán)需要得到高度保護(hù)。ActiveDirectory權(quán)限管理效勞〔ADRMS，ActiveDirectoryRightsManagementServices〕是WindowsServer2023R2的一個(gè)組件，它可以幫助我們確保必要的人員才有權(quán)限查看文件。ADRMS可以識(shí)別出用戶對(duì)文件的權(quán)限，以此來(lái)保護(hù)文件。權(quán)限可以進(jìn)行配置，包括允許用戶翻開(kāi)、修改、打印、轉(zhuǎn)發(fā)或執(zhí)行權(quán)限管理信息中的其它操作。利用ADRMS，當(dāng)數(shù)據(jù)被分發(fā)到組織網(wǎng)絡(luò)之外時(shí)，我們還可以保護(hù)數(shù)據(jù)，防止被盜。TMG〔ThreatMangementGateway，統(tǒng)一的威脅管理網(wǎng)關(guān)〕功能列表本次部署TMG高級(jí)防火墻功能，同時(shí)開(kāi)啟多重網(wǎng)絡(luò)的鏈路負(fù)載均衡功能〔建議用戶升級(jí)外網(wǎng)出口到雙ISP鏈路〕，配置IPSecVPN模塊，提供用戶高可用、平安和遠(yuǎn)程接入的功能。高級(jí)的防火墻保護(hù)特性描述多層防火墻TMGServer2023提供了三種類型的防火墻功能：包過(guò)濾(也稱電路層)、狀態(tài)過(guò)濾和應(yīng)用層過(guò)濾。應(yīng)用層過(guò)濾ISAServer通過(guò)內(nèi)置的應(yīng)用過(guò)濾器提供了深入的內(nèi)容過(guò)濾?；诿總€(gè)規(guī)那么的HTTP過(guò)濾ITMGServer2023HTTP策略允許防火墻執(zhí)行深層的HTTP狀態(tài)檢查(應(yīng)用層過(guò)濾)。檢查的范圍被設(shè)置在一個(gè)按照規(guī)那么的根底上。利用此能力，您可以為HTTP的對(duì)內(nèi)和對(duì)外訪問(wèn)設(shè)置定制的約束。阻止對(duì)所有可執(zhí)行內(nèi)容的訪問(wèn)您可以設(shè)置TMGServer2023的HTTP策略，阻止所有試圖對(duì)MicrosoftWindows操作系統(tǒng)可執(zhí)行內(nèi)容的連接，而不必關(guān)心資源中的文件使用何種擴(kuò)展名。通過(guò)文件的擴(kuò)展名控制HTTP文件的下載TMGServer2023的HTTP策略能夠使您基于文件的擴(kuò)展名來(lái)定義策略，包括“除特定擴(kuò)展名組之外允許所有文件〞或者是“除特定擴(kuò)展名組之外阻止所有文件。〞HTTP過(guò)濾被用于所有的TMGServer2023客戶端連接利用TMGServer2023的HTTP策略，您能夠針對(duì)所有的TMGServer2023客戶端連接控制HTTP訪問(wèn)?；凇癏TTP簽名〞控制HTTP的訪問(wèn)TMGServer2023的深層HTTP檢查能夠幫助您創(chuàng)立“HTTP簽名〞，實(shí)現(xiàn)對(duì)請(qǐng)求的URL、請(qǐng)求的報(bào)頭、請(qǐng)求的主體、以及響應(yīng)的主體進(jìn)行比照。這個(gè)功能使您能夠?qū)τ脩敉ㄟ^(guò)TMGServer2023防火墻對(duì)內(nèi)部和外部訪問(wèn)的內(nèi)容進(jìn)行精確的控制?？刂平?jīng)允許的HTTP方法您能夠采用不同方法對(duì)用戶訪問(wèn)進(jìn)行設(shè)置，實(shí)現(xiàn)對(duì)被允許通過(guò)防火墻的HTTP方法進(jìn)行控制。例如，您可以限制HTTPPOST方法來(lái)防止用戶使用HTTPPOST方法向Web站點(diǎn)發(fā)送數(shù)據(jù)。廣泛的協(xié)議支持TMGServer2023能夠使您控制訪問(wèn)，以及對(duì)任何協(xié)議的使用，包括IP-級(jí)的協(xié)議。用戶能夠使用諸如Ping和Tracert的應(yīng)用系統(tǒng)，并且能夠使用PPTP創(chuàng)立VPN連接。另外，通過(guò)ISAServer能夠?qū)崿F(xiàn)IPSec通信。對(duì)需要多重主要連接的復(fù)雜協(xié)議的支持很多流媒體和語(yǔ)音或者視頻應(yīng)用系統(tǒng)需要防火墻對(duì)復(fù)雜的協(xié)議進(jìn)行管理。TMGServer2023能夠管理這些協(xié)議，并且您可以使用一個(gè)易于使用的新協(xié)議向?qū)?lái)創(chuàng)立協(xié)議的定義?？勺远x的協(xié)議定義利用TMGServer2023，您能夠針對(duì)任何協(xié)議為您所創(chuàng)立的防火墻規(guī)那么控制源和目的地的端口數(shù)量。這個(gè)功能為T(mén)MGServer2023防火墻管理員確定哪些包能夠被允許通過(guò)防火墻入站或者出站，提供了高級(jí)別的控制。FTP策略TMGServer2023的FTP策略能夠被設(shè)置為使用戶實(shí)現(xiàn)通過(guò)FTP進(jìn)行上傳和下載，或者您能夠限制用戶的FTP訪問(wèn)，只能進(jìn)行下載。細(xì)化對(duì)IP選項(xiàng)的控制利用TMGServer2023，您能夠在細(xì)化的根底上設(shè)置IP選項(xiàng)，并且只允許您請(qǐng)求的IP選項(xiàng)，同時(shí)阻止其他的選項(xiàng)。防火墻的用戶組您能夠使用TMGServer2023創(chuàng)立自定義防火墻組，這些組由在本地帳戶數(shù)據(jù)庫(kù)已經(jīng)存在的或者活動(dòng)目錄效勞域的組所組成。因?yàn)楣芾韱T能夠通過(guò)這些現(xiàn)有的組創(chuàng)立自定義平安組，這個(gè)功能增加了您對(duì)基于用戶或者組成員關(guān)系的訪問(wèn)進(jìn)行控制的靈活性。針對(duì)入站和出站訪問(wèn)控制創(chuàng)立自定義平安組，刪除了防火墻管理員必須是域管理員的需求限制。通過(guò)防火墻實(shí)現(xiàn)對(duì)基于Web的MicrosoftHotmail?電子郵件的訪問(wèn)TMGServer2023改良的HTTP過(guò)濾器能夠使用戶通過(guò)易于設(shè)置的防火墻規(guī)那么訪問(wèn)Hotmail，而不必在客戶端或者防火墻上進(jìn)行特殊的設(shè)置。網(wǎng)絡(luò)對(duì)象利用TMGServer2023，在通過(guò)創(chuàng)立計(jì)算機(jī)、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)置、地址范圍、子網(wǎng)、計(jì)算機(jī)設(shè)置、以及域名設(shè)置來(lái)定義網(wǎng)絡(luò)對(duì)象方面，極大地?cái)U(kuò)展了您的能力。這些網(wǎng)絡(luò)對(duì)象被用于針對(duì)防火墻規(guī)那么定義源和目的地設(shè)置。防火墻規(guī)那么向?qū)MGServer2023包括一套新的規(guī)那么向?qū)?，使?chuàng)立訪問(wèn)策略變得更加容易。TMGServer2023的訪問(wèn)策略能夠通過(guò)成熟的防火墻規(guī)那么進(jìn)行創(chuàng)立，這個(gè)規(guī)那么能夠使您創(chuàng)立任何被請(qǐng)求的策略要素。創(chuàng)立網(wǎng)絡(luò)對(duì)象時(shí)不需要離開(kāi)規(guī)那么向?qū)А？梢酝ㄟ^(guò)這個(gè)向?qū)?chuàng)立任意網(wǎng)絡(luò)對(duì)象和網(wǎng)絡(luò)關(guān)系。防火墻規(guī)那么表現(xiàn)為一個(gè)規(guī)那么列表TMGServer2023的防火墻規(guī)那么表現(xiàn)為一個(gè)規(guī)那么列表，這個(gè)列表中包含的參數(shù)會(huì)首先與頂級(jí)規(guī)那么進(jìn)行比擬。TMGServer2023會(huì)向下移動(dòng)規(guī)那么的列表，直到找到與連接參數(shù)相匹配的規(guī)那么，并且強(qiáng)制執(zhí)行匹配規(guī)那么的策略。這種防火墻策略的使用方法使確定為什么允許或者拒絕特定的連接變得更加容易?；谟脩艋蛘呋诮M的訪問(wèn)策略利用TMGServer2023增強(qiáng)的防火墻規(guī)那么，您可以為用戶或者組能夠訪問(wèn)的每個(gè)協(xié)議定義源和目的地。對(duì)于入站和出站訪問(wèn)控制，此特性極大地增加了靈活性。對(duì)FTP的支持TMGServer2023使您能夠訪問(wèn)InternetFTP效勞器，在交替的端口號(hào)上進(jìn)行收聽(tīng)，而不需要在客戶端或者是TMGServer2023防火墻上進(jìn)行特殊的設(shè)置。在交替的端口號(hào)上發(fā)布FTP效勞器，除了需要一個(gè)簡(jiǎn)單的FTP效勞器發(fā)布規(guī)那么之外，不需要任何其它的設(shè)置。用于FTP效勞器發(fā)布規(guī)那么的端口重定向使用TMGServer2023，您能夠在端口號(hào)上接收連接，并且將這個(gè)請(qǐng)求重新指向已發(fā)布效勞器的另外一個(gè)不同的端口號(hào)。洪流回彈新的洪流回彈功能可以保護(hù)TMGServer2023，防止在洪流攻擊過(guò)程中持續(xù)地不可使用，降低性能或者不可管理。增強(qiáng)的攻擊過(guò)程中的補(bǔ)救能力通過(guò)日志扼殺、內(nèi)存占用控制、以及對(duì)可疑的DNS查詢的控制，洪流回彈功能在攻擊過(guò)程中提供了增強(qiáng)的補(bǔ)救。虛擬專用網(wǎng)(VPN)特性描述分支機(jī)構(gòu)VPN連接向?qū)н@個(gè)向?qū)ё詣?dòng)設(shè)置了兩個(gè)獨(dú)立的分支機(jī)構(gòu)之間站點(diǎn)對(duì)站點(diǎn)的VPN連接。VPN同Microsoft防火墻效勞的充分的集成TMGServer2023包括一種更加豐富的集成的虛擬專用網(wǎng)機(jī)制，廣泛地以WindowsServer2003和Windows2000Server為根底的特性。用于VPN的狀態(tài)過(guò)濾和檢查VPN的客戶端被設(shè)置為單獨(dú)的網(wǎng)絡(luò)區(qū)域。因此，您能夠?yàn)閂PN的客戶端分別創(chuàng)立單獨(dú)的策略。防火墻規(guī)那么引擎能夠分別驗(yàn)證來(lái)自不同VPN客戶端的請(qǐng)求。這個(gè)引擎可以成功地過(guò)濾和檢查這些請(qǐng)求，并且動(dòng)態(tài)地翻開(kāi)基于訪問(wèn)策略的連接。SecureNAT客戶端支持VPN客戶端與TMGServer2023VPN效勞器的連接TMGServer2023通過(guò)允許SecureNAT客戶端訪問(wèn)Internet，而無(wú)需在客戶端系統(tǒng)上安裝防火墻客戶端，擴(kuò)展了對(duì)VPN客戶端的支持。您還可以通過(guò)在VPNSecureNAT客戶端上強(qiáng)制執(zhí)行基于用戶或者基于組的防火墻策略，提高企業(yè)網(wǎng)絡(luò)的平安性。對(duì)在站點(diǎn)對(duì)站點(diǎn)的VPN通道中穿行的通信進(jìn)行基于狀態(tài)的過(guò)濾和檢查T(mén)MGServer2023引入了針對(duì)在站點(diǎn)對(duì)站點(diǎn)的VPN通道中穿行的所有通信進(jìn)行基于狀態(tài)的過(guò)濾和檢查。結(jié)果是，您能夠控制特定的托管效勞資源，或者是對(duì)鏈接方對(duì)端網(wǎng)絡(luò)的訪問(wèn)。使用基于用戶或者基于組的的訪問(wèn)策略，能夠獲得針對(duì)跨越包含這些鏈接的資源使用的細(xì)化控制。VPN隔離TMGServer2023使用WindowsServer2003VPN隔離工具，深化了您的防火墻策略的VPN客戶端檢查和集成。發(fā)布VPN效勞器TMGServer2023的效勞器發(fā)布規(guī)那么能夠用于發(fā)布IP協(xié)議和PPTP效勞器。TMGServer2023的智能PPTP應(yīng)用過(guò)濾器能夠完成復(fù)雜的連接管理。另外，您還能夠通過(guò)使用TMGServer2023效勞器發(fā)布功能，跨越IPSecVPN效勞器發(fā)布WindowsServer2003NAT-TL2TP。IPSec隧道模式支持站點(diǎn)對(duì)站點(diǎn)的VPN鏈接TMGServer2023使用IPSec隧道模式作為VPN協(xié)議，改良了對(duì)站點(diǎn)對(duì)站點(diǎn)的鏈接。利用廣泛的第三方解決方案，IPSec隧道模式支持極大地增加了TMGServer2023的協(xié)同工作能力。流量監(jiān)控隨著Internet的開(kāi)展，網(wǎng)絡(luò)應(yīng)用依賴對(duì)外連接帶寬的程度與日俱增。與此同時(shí)，市場(chǎng)上對(duì)于具有低本錢(qián)，高效率的網(wǎng)絡(luò)流量管理解決方案有著極大的需求。特別是依賴關(guān)鍵性應(yīng)用的企業(yè)更是如此，因?yàn)檫@些關(guān)鍵性應(yīng)用通常需要更多帶寬或更好的網(wǎng)絡(luò)質(zhì)量保障(QoS)。高性能網(wǎng)絡(luò)流量管理器可確保網(wǎng)絡(luò)效勞質(zhì)量具有良好的可靠性及高效性，持續(xù)監(jiān)控及分析內(nèi)部及外部的網(wǎng)絡(luò)流量。通過(guò)流量分析工具，能協(xié)助管理員迅速發(fā)覺(jué)各種網(wǎng)絡(luò)異常，快速而正確地將問(wèn)題解決。具有彈性的策略式流量管理架構(gòu)，可協(xié)助網(wǎng)管人員依照優(yōu)先級(jí)，制定符合公司需求的網(wǎng)絡(luò)管理策略。簡(jiǎn)而言之，假設(shè)您網(wǎng)絡(luò)的帶寬資源被某些員工濫用在非關(guān)鍵性網(wǎng)絡(luò)應(yīng)用上，可幫助網(wǎng)管人員迅速發(fā)現(xiàn)問(wèn)題，并制定以用戶為基準(zhǔn)的管理策略，矯正這種情形，確保重要的信息、軟件及人在網(wǎng)絡(luò)上的執(zhí)行效率。高性能網(wǎng)絡(luò)流量管理能帶給您的好處：1)利用監(jiān)控網(wǎng)絡(luò)與帶寬使用狀況，藉此發(fā)現(xiàn)影響網(wǎng)絡(luò)性能的應(yīng)用程序并且加以管理。2)用的QoS以及流量整形，將能最正確化您的網(wǎng)絡(luò)性能，并且確保企業(yè)關(guān)鍵應(yīng)用程序的實(shí)時(shí)性能。3)利用內(nèi)建的認(rèn)證機(jī)制搭配強(qiáng)大的帶寬管理機(jī)制，支持LDAP、NTLM、RADIUS與POP3驗(yàn)證方式，可以結(jié)合企業(yè)原有的用戶數(shù)據(jù)庫(kù)，直接針對(duì)"用戶"和"用戶群組"做認(rèn)證，而不再只是單純地對(duì)IP地址制定帶寬管理策略，這樣才能真正落實(shí)與企業(yè)政策相符合的管理機(jī)制。4)您只要制定出您的管理策略，將會(huì)加強(qiáng)對(duì)內(nèi)及對(duì)外流量的管理控制，以到達(dá)網(wǎng)絡(luò)帶寬使用最正確化，并確保網(wǎng)絡(luò)效勞質(zhì)量。網(wǎng)絡(luò)防病毒針對(duì)XX單位的網(wǎng)絡(luò)平安需求，構(gòu)建了一個(gè)嚴(yán)密的整體防毒體系，覆蓋XX單位整個(gè)網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)集中管理，集中升級(jí)的防病毒控管。采用微軟自帶的防病毒軟件MSE。在整體防毒體系的設(shè)計(jì)中，我們貫徹了如下六點(diǎn)整體防毒的根本思想：構(gòu)建集中的控管根底架構(gòu)。在方案設(shè)計(jì)中，我們?cè)谥行臉?gòu)建XX單位防毒總控管中心，在客戶端配置所歸屬的效勞器。實(shí)現(xiàn)自上而下的集中管理。構(gòu)建全方位、多層次的防毒體系。在方案設(shè)計(jì)中，我們結(jié)合XX單位的實(shí)際網(wǎng)絡(luò)防毒需求，構(gòu)建了多層次病毒防線，分別是TMG綜合網(wǎng)關(guān)、應(yīng)用效勞器防毒、客戶端防毒，保證斬?cái)嗖《究梢詡鞑?、寄生的每一個(gè)節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面防范；構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)。在方案設(shè)計(jì)中，我們將TMG綜合網(wǎng)關(guān)作為最重要的一道防線來(lái)構(gòu)建，一方面消除外來(lái)郵件SMTP、POP3病毒的威脅，另一方面消除通過(guò)HTTP、FTP等應(yīng)用的病毒風(fēng)險(xiǎn)，同時(shí)對(duì)郵件中的關(guān)鍵字、垃圾郵件進(jìn)行阻擋，有效阻斷病毒最主要傳播途徑；網(wǎng)絡(luò)層防毒是整體防毒的高效防線。在XX單位的方案中，我們將網(wǎng)絡(luò)病毒的防范作為最重要的防范對(duì)象，通過(guò)在網(wǎng)絡(luò)接口和重要平安區(qū)域部署網(wǎng)絡(luò)病毒墻，在網(wǎng)絡(luò)層全面消除外來(lái)病毒的威脅，使得網(wǎng)絡(luò)病毒不能再肆意傳播，同時(shí)結(jié)合病毒所利用的傳播途徑，對(duì)整個(gè)平安策略進(jìn)行貫徹。構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系。當(dāng)一個(gè)惡性病毒入侵時(shí)，防毒系統(tǒng)不僅僅使用病毒代碼來(lái)防范病毒，而是具備完善的預(yù)警機(jī)制、去除機(jī)制、修復(fù)機(jī)制來(lái)實(shí)現(xiàn)病毒的高效處理，特別是對(duì)那些利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個(gè)網(wǎng)絡(luò)的新型病毒具有很好的防護(hù)手段。防毒系統(tǒng)在病毒代碼到來(lái)之前，就可以通過(guò)網(wǎng)關(guān)可疑信息過(guò)濾、端口屏蔽、共享控制、重要文件/文件夾寫(xiě)保護(hù)等多種手段來(lái)對(duì)病毒進(jìn)行有效控制，使得新病毒未進(jìn)來(lái)的進(jìn)不來(lái)、進(jìn)來(lái)的又沒(méi)有擴(kuò)散的途徑。在去除與修復(fù)階段又可以對(duì)這些病毒高效去除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。終端虛擬化對(duì)于比擬特殊或者極要重要的客戶終端，可以采用虛擬化終端的解決方案。這種解決方案實(shí)現(xiàn)了本地?zé)o硬盤(pán)，所有數(shù)據(jù)集中存儲(chǔ)化，系統(tǒng)盤(pán)和應(yīng)用程序固件化。本地終端的數(shù)據(jù)分為兩局部保存在效勞器上，一局部為系統(tǒng)和應(yīng)用程序，另一局部為終端個(gè)性化配置和個(gè)人的數(shù)據(jù)文件夾。當(dāng)終端開(kāi)機(jī)時(shí)，系統(tǒng)會(huì)根據(jù)硬件ID調(diào)用對(duì)應(yīng)的系統(tǒng)盤(pán)符加載在無(wú)硬盤(pán)的客戶機(jī)上，所有用戶程序和系統(tǒng)程序在存儲(chǔ)中運(yùn)行，同時(shí)將個(gè)性化配置和個(gè)人文件系統(tǒng)與該用戶關(guān)聯(lián)〔通過(guò)AD域控器〕，實(shí)現(xiàn)所需數(shù)據(jù)的加載。該方式的好處是本地?zé)o硬盤(pán)，數(shù)據(jù)集中存儲(chǔ)，平安性高。要求終端配置較高內(nèi)存，同時(shí)要求交換機(jī)具有較高的處理能力，并且開(kāi)啟DHCPrelay。機(jī)頂盒區(qū)域針對(duì)XX單位機(jī)頂盒區(qū)域劃分獨(dú)立的VLAN，該VLAN只有機(jī)頂盒系統(tǒng)，在接入交換機(jī)上劃分VLAN，并配置接入交換機(jī)上聯(lián)端口為T(mén)runk模式，同時(shí)配置核心交換機(jī)，將核心交換機(jī)與機(jī)頂盒相連的接口配置為T(mén)runk模式，并核心上該端口配置到機(jī)頂盒VLAN中。配置核心交換機(jī)45的路由策略和ACL，僅允許機(jī)頂盒VLAN通過(guò)流量控制和ThreatMangementGateway訪問(wèn)Internet，禁止該VLAN對(duì)其他網(wǎng)絡(luò)的訪問(wèn)，同時(shí)配置ThreatMangementGateway對(duì)該VLAN的數(shù)據(jù)進(jìn)行平安過(guò)濾，結(jié)合前面的終端管理系統(tǒng)，綁定機(jī)頂盒終端的IP地址和MAC地址，實(shí)現(xiàn)這一特殊區(qū)域的平安。Exchange升級(jí)到2007XX單位現(xiàn)在郵件系統(tǒng)為Exchange2003，隨著微軟系統(tǒng)的跟新升級(jí)Exchange2007增加了很多實(shí)用的新功能，例如Exchange2007內(nèi)部采用加密傳輸郵件、支持Push郵件到移動(dòng)設(shè)備等?？紤]大郵件系統(tǒng)的平安性和郵件使用方式的多樣性，使用Exchange2007新功能特性成為必然?？紤]到Exchange2003到Exchange2007微架構(gòu)性升級(jí)，本分功能不兼容，域控組件不兼容需要先建立Windows2023域控制器。升級(jí)前提條件1.Exchange組織設(shè)置為純模式。2.Exchange2000安裝SP3，Exchange2003安裝SP23.不被Exchange2007支持的組件:NovellGroupWiseconnector(Exchange2003Service)MicrosoftMobileInformationServer(Exchange2000Service)InstantMessagingservice(Exchange2000Service)ExchangeChatService(Exchange2000Service)Exchange2000ConferencingServer(Exchange2000Service)KeyManagementService(Exchange2000Service)cc:Mailconnector(Exchange2000Service)MSMailconnector(Exchange2000Service)4.擁有SchemaMaster角色的DC及所有GC運(yùn)行在Windows2003SP1。5.AD域提升到最高6.如果你不確定滿足Exchange2007的安裝條件，可使用EXBPA檢測(cè)。準(zhǔn)備AD1d-Setup/PrepareLegacyExchangePermissions〔為了讓收件人更新效勞正常運(yùn)行〕。2d-Setup/PrepareSchema〔連接到DC架構(gòu)主機(jī)，導(dǎo)入LDAP文件以更新架構(gòu)〕3d-Setup/PrepareAD〔在域里創(chuàng)立ExchangeUniversalSecurityGroups(USGs)〕建議先運(yùn)行3，那么1和2自動(dòng)運(yùn)行。準(zhǔn)備域和準(zhǔn)備所有域1d-Setup/PrepareDomain2d-Setup/PrepareAllDomains在DC上為Exchnage，Exchange組織管理員，授權(quán)用戶，Exchange郵箱管理員設(shè)置權(quán)限。創(chuàng)立Exchange系統(tǒng)對(duì)象容器(如果不存在)，在這個(gè)容器內(nèi)為Exchnage，Exchange組織管理員，授權(quán)用戶設(shè)置權(quán)限，在名為Exchange安裝域效勞器下創(chuàng)立一個(gè)新的域全局組。添加這個(gè)Exchange安裝域效勞器到ExchangeUSG。安裝Exchange2007軟件要求1.Microsoft.NETFrameworkVersion2.02.MicrosoftManagementConsole(MMC)3.03.WindowsPowerShellV1.0安裝Exchange2007Windows組件要求1.郵箱效勞器—EnablenetworkCOM+access；IIS；WWWService2.客戶端訪問(wèn)效勞器—WWWService；RPCoverHTTPProxyWindowsnetworkingcomponent(如果要使用OutlookAnywhere)；ASP.NETv2.03.中心傳輸效勞器—不需要額外的Windows組件，注意不要安裝SMTP和NNTP效勞按照之前Exchange2003的應(yīng)用情況，部署安裝安裝Exchange2007。完成部署翻開(kāi)Exchange管理控制臺(tái)，點(diǎn)擊MicrosoftExchange節(jié)點(diǎn)，完成部署，每一個(gè)部署都有詳細(xì)的解釋及步驟。端到端任務(wù)同