安全加固項目方案

XX單位XX網(wǎng)平安建設(shè)工程平安加固方案XX二零一五年一月文檔控制XX單位平安加固方案技術(shù)方案提交方XX提交日期2023-1-1版本信息日期版本撰寫者審核者描述2023/1/11.1目錄TOC\o"1-4"\h\z\u1.1網(wǎng)絡(luò)現(xiàn)狀 51.2平安建設(shè)需求 61.3平安建設(shè)建議 7總體平安建設(shè)拓?fù)鋱D 7云計算平臺 7網(wǎng)絡(luò)準(zhǔn)入控制和終端管理 8建立全網(wǎng)域控 121.3.5TMG〔ThreatMangementGateway，統(tǒng)一的威脅管理網(wǎng)關(guān)〕 13高級的防火墻保護 14虛擬專用網(wǎng)(VPN) 16流量監(jiān)控 17網(wǎng)絡(luò)防病毒 18終端虛擬化 19機頂盒區(qū)域 201.3.10Exchange升級到2007 20升級前提條件 21準(zhǔn)備AD 21準(zhǔn)備域和準(zhǔn)備所有域 22安裝Exchange2007軟件要求 22安裝Exchange2007Windows組件要求 22完成部署 23刪除Exchange2000/2003 24域控搬遷 24網(wǎng)絡(luò)現(xiàn)狀XX單位目前有兩套業(yè)務(wù)，一套為全國的業(yè)務(wù)網(wǎng)，一套為OA網(wǎng)，兩套網(wǎng)運行在同一套網(wǎng)絡(luò)硬件平臺上。根據(jù)業(yè)務(wù)不同有三個網(wǎng)絡(luò)出口，分別為廣電出口接入到電信機房的業(yè)務(wù)效勞器，上視出口與電視臺合作業(yè)務(wù)，Internet出口實現(xiàn)外網(wǎng)訪問?，F(xiàn)有內(nèi)部人員為500人，今后會擴充至1000人。網(wǎng)絡(luò)硬件平臺方面采用Cisco45系列交換機作為網(wǎng)絡(luò)核心，開啟路由功能實現(xiàn)所有終端用戶的路由訪問，同時在核心上配置了ACL訪問控制列表，對用戶訪問范圍進行了控制。接入層交換機采用h3c二層交換機，并配置了VLAN信息，根據(jù)部門和人員物理位置劃分，實現(xiàn)不同用戶間的隔離。無線采用了h3c的瘦AP解決方案，通過h3cAC配置無線AP的設(shè)置實現(xiàn)無線系統(tǒng)的統(tǒng)一管理，無線終端接入采用PSK加密方式，防止非授權(quán)用戶的接入。平安方面，在互聯(lián)網(wǎng)出口部署了一臺硬件防護墻，實現(xiàn)互聯(lián)網(wǎng)出口的訪問控制和端口控制。內(nèi)部用戶平安僅僅依靠VLAN相互之間劃分，通過核心上的ACL列表實現(xiàn)訪問控制。平安建設(shè)需求實現(xiàn)用戶的統(tǒng)一管理，能夠為每個用戶指定權(quán)限，控制其訪問范圍和內(nèi)容。能夠指定統(tǒng)一用戶組策略，實現(xiàn)按照用戶類別進行管理，能夠為用戶頒發(fā)有限的證書。能夠?qū)崿F(xiàn)全網(wǎng)的IP的統(tǒng)一管理和分配，實現(xiàn)全網(wǎng)IP自動分配，同時MAC地址和IP實現(xiàn)一一對應(yīng)。能夠區(qū)分內(nèi)部合法用戶和外來訪客用戶，能夠區(qū)分內(nèi)部合規(guī)用戶〔滿足內(nèi)部接入規(guī)定〕和內(nèi)部非合規(guī)用戶，并且網(wǎng)絡(luò)能夠自動將不同用戶劃分到不同的VLAN，實現(xiàn)不同的訪問權(quán)限。能夠?qū)崿F(xiàn)用戶終端的管理，實現(xiàn)平安策略管理、防止文件非法外傳控制、補丁分發(fā)管理、軟件分發(fā)管理、遠程協(xié)助與維護等功能。實現(xiàn)邊界平安綜合管理，邊界訪問控制，邊界病毒控制，網(wǎng)絡(luò)代理，應(yīng)用層防火墻和VPN等功能。實現(xiàn)網(wǎng)絡(luò)出口流量的有效管理，保證管理外網(wǎng)核心業(yè)務(wù)的帶寬，控制非核心數(shù)據(jù)流量帶寬。內(nèi)部實現(xiàn)整體網(wǎng)絡(luò)防病毒體系，實現(xiàn)統(tǒng)一病毒升級和補丁分發(fā)。對于局部核心業(yè)務(wù)終端，實現(xiàn)終端的虛擬化，實現(xiàn)核心業(yè)務(wù)數(shù)據(jù)統(tǒng)一管理和存儲，終端不保存任何數(shù)據(jù)。平安建設(shè)建議總體平安建設(shè)拓?fù)鋱D云計算平臺本次根據(jù)實際需要的效勞器數(shù)量：域控2臺，證書效勞器2臺，準(zhǔn)入控制5臺，DHCP效勞器3臺共計12臺效勞器。需要配置六臺刀片效勞器和一個刀片機箱，為了充分發(fā)揮效勞器的系統(tǒng)資源和實現(xiàn)高可用選用虛擬化實現(xiàn)。配置windowsHyper-V將刀片效勞器虛擬為12臺效勞器，將域控效勞器、證書效勞器、準(zhǔn)入控制效勞器端、Radius效勞器兩兩分別配置為虛擬集群，每臺虛擬效勞器分配1顆CPU和8GB內(nèi)存一塊硬盤。通過虛擬化集群效勞器平臺能夠?qū)崿F(xiàn)7*24*356的運行保障。通過虛擬化集群將域控制效勞器和證書效勞器分別部署在不同物理機上的虛擬集群中，實現(xiàn)物理硬件和系統(tǒng)效勞的雙重冗余保護。虛擬機效勞器后掛載磁盤陣列，為集群提供統(tǒng)一的數(shù)據(jù)儲存平臺，同時還能夠?qū)崿F(xiàn)虛擬機之間的快速切換。網(wǎng)絡(luò)準(zhǔn)入控制和終端管理本次部署兩臺網(wǎng)絡(luò)準(zhǔn)入控制和桌面平安管理效勞器端，同時部署兩臺Radius效勞網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證代理效勞器，通過Radius效勞器與域控效勞器的證書進行比對，配置一臺網(wǎng)絡(luò)準(zhǔn)入控制訪客VLAN管理器，實現(xiàn)對來訪用戶進行管理的功能。首先，通過網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求：必須安裝Agent，如果是未安裝Agent的電腦終端接入網(wǎng)絡(luò)，其翻開WEB瀏覽器訪問任何Website時，將被重定向到管理員指定的一個頁面，提醒其安裝Agent。不安裝Agent的電腦將無法訪問內(nèi)部網(wǎng)絡(luò)〔特殊電腦和訪客電腦可以例外〕。必須符合網(wǎng)絡(luò)接入平安管理規(guī)定，例如：擁有合法的訪問帳號、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補丁等。如果不符合管理規(guī)定，將拒絕其接入，或者通過網(wǎng)絡(luò)對該電腦進行自動隔離，并且指引其進行平安修復(fù)。然后，對安裝了Agent的電腦終端，進行進一步的管理控制，包括：平安設(shè)置檢查、加固，非法操作的管理、限制防止文件非法外傳(U盤/軟盤/共享/E-mail/QQ/MSN等)電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠程控制、補丁管理、分組策略分發(fā)、集中審計。再次，要防止電腦終端私自、非法卸載Agent或者停止Agent的運行,確保管理策略的執(zhí)行。Agent自帶反卸載、反非法中止、非法刪除功能；如果電腦終端私自卸載Agent〔如重新安裝操作系統(tǒng)〕或者中止Agent的運行，UniAccessTM后臺系統(tǒng)可以及時發(fā)現(xiàn)這種行為。企業(yè)可以依據(jù)有關(guān)平安管理標(biāo)準(zhǔn)對其進行警告或者處分，防范這種行為的再次發(fā)生。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在網(wǎng)絡(luò)準(zhǔn)入控制解決方案中，管理員可以將網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問不同區(qū)域的網(wǎng)絡(luò)資源：訪客區(qū)、修復(fù)區(qū)和正常工作區(qū)。劃分方式可以是VLAN或者基于IP的訪問控制列表。一般來說，訪客區(qū)的網(wǎng)絡(luò)資源是可以被任何用戶的終端訪問的，如Internet資源。一般外來用戶的終端設(shè)備被限制只能訪問訪客區(qū)的網(wǎng)絡(luò)資源。修復(fù)區(qū)網(wǎng)絡(luò)資源是用來修復(fù)平安漏洞的，如補丁效勞器、防病毒效勞器、軟件安裝包效勞器等，不符合組織平安策略要求的終端被限制在修復(fù)區(qū)中，強制它們進行平安修復(fù)。當(dāng)終端設(shè)備被接入網(wǎng)絡(luò)時，會被要求進行身份認(rèn)證和平安策略檢查。如果是來自外部的PC機試圖接入網(wǎng)絡(luò)，UniAccessTM將采取如下措施：拒絕外部終端設(shè)備接入網(wǎng)絡(luò)，或者將外部終端設(shè)備設(shè)置到訪客區(qū)中。如果是來自內(nèi)部合法終端設(shè)備接入網(wǎng)絡(luò)，UniAccessTM將采取如下控制措施：檢查用戶輸入的用戶名和口令是否合法；檢查客戶端是否滿足平安策略要求。只有合法身份的用戶以及滿足組織平安標(biāo)準(zhǔn)的終端設(shè)備才能接入到網(wǎng)絡(luò)中，否那么系統(tǒng)會將此終端設(shè)備自動切換到修復(fù)區(qū)中，終端設(shè)備在此修復(fù)區(qū)中訪問修復(fù)平安漏洞必須的網(wǎng)絡(luò)資源；合法身份的用戶以及滿足組織平安標(biāo)準(zhǔn)的終端設(shè)備接入到網(wǎng)絡(luò)時，系統(tǒng)會根據(jù)用戶身份自動將終端設(shè)備切換到屬于該用戶的工作區(qū)中，從而實現(xiàn)不同權(quán)限的人可以訪問不同的網(wǎng)絡(luò)資源。將用戶和終端設(shè)備進行綁定，即某個用戶只能通過某臺終端設(shè)備接入到網(wǎng)絡(luò)中，這樣可以禁止內(nèi)部員工私自將家里電腦接入到網(wǎng)絡(luò)中。采用以IEEE802.1x認(rèn)證和CiscoEoU認(rèn)證為核心的網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)，如下列圖所示。圖SEQ圖\*ARABIC4UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了三種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制：IEEE802.1x網(wǎng)絡(luò)準(zhǔn)入控制的802.1x實現(xiàn)同時支持多廠商網(wǎng)絡(luò)設(shè)備，如Cisco和華為3Com。支持IEEE802.1x的SingleHost、Multi-host、Multi-Auth模式。特別是Mutli-Auth模式，在有Hub的網(wǎng)絡(luò)環(huán)境中也可以實現(xiàn)準(zhǔn)入控制。CiscoNAC-IP-2和CiscoNAC-IP-3作為802.1x的補充，當(dāng)網(wǎng)絡(luò)中有支持CiscoNAC-IP-2和CiscoNAC-IP-3的網(wǎng)絡(luò)設(shè)備存在時，連接在這局部網(wǎng)絡(luò)設(shè)備下的終端可以通過CicsoNAC機制來實現(xiàn)準(zhǔn)入控制。ARP干擾與IEEE802.1x相結(jié)合，為未安裝代理的終端設(shè)備提供URL重定向功能。這樣可以提示這些終端設(shè)備為什么被限制訪問網(wǎng)絡(luò)資源。ARP干擾器只需要部署在訪客區(qū)VLAN中。下列圖是網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)中，基于802.1x認(rèn)證和基于CiscoEoU認(rèn)證的兩種準(zhǔn)入控制比照圖。兩種準(zhǔn)入控制技術(shù)都可以控制對不平安終端或者外來終端對網(wǎng)絡(luò)資源的訪問。基于802.1x認(rèn)證的準(zhǔn)入控制通過VLAN動態(tài)切換，將不平安的終端切換到修復(fù)區(qū)，將外來終端切換到訪客區(qū)，從而實現(xiàn)對這些終端的訪問控制；基于CiscoEoU證準(zhǔn)入控制通過動態(tài)ACL(訪問控制列表)，直接限制外來終端或者不平安的終端對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)的突出特點是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。建立全網(wǎng)域控建立全網(wǎng)域控分為四局部：建立域控效勞器，建立證書效勞器，建立DHCP效勞器，創(chuàng)立用戶賬戶并將所有終端參加。由于今后用戶管理和策略的推行均采用與形式需要將域控制器配置為雙機模式，實現(xiàn)域控的可靠性。域空中的權(quán)限和用戶的證書進行了關(guān)聯(lián)，因此證書效勞器能夠?qū)崟r不間斷運行極為重要。鑒于域控和證書效勞的重要性，采用WindowsServer2023R2Hyper-V虛擬化實現(xiàn)高可用方案。在主域控上配置DHCP效勞，在分域控效勞器，將分域控效勞器參加到主域控效勞器，并將分域控DHCP效勞指向主域控，實現(xiàn)DHCP同步，由分域控直接分配IP，通過數(shù)據(jù)同步防止了不同DHCP分配沖突的情況。通過建立與控制效勞器能夠?qū)⑺杏脩艚y(tǒng)一管理和授權(quán)，同時策略統(tǒng)一發(fā)放，權(quán)限集中管理。域用戶之間，域用戶和域內(nèi)效勞器之間通信開啟IPSec加密通訊，這樣做防止未參加域的終端訪問到效勞器業(yè)務(wù)資源。ActiveDirectory域效勞〔ADDS，ActiveDirectoryDomainServices〕存儲目錄數(shù)據(jù)，管理用戶和域之間的通信，包括用戶登錄過程、身份驗證，以及目錄搜索。此外還集成其它角色，為我們帶來了標(biāo)識和訪問控制特性和技術(shù)，這些特性提供了一種集中管理身份信息的方式，以及只允許合法用戶訪問設(shè)備、程序和數(shù)據(jù)的技術(shù)。ActiveDirectory域效勞ADDS是配置信息、身份驗證請求和森林中所有對象信息的集中存儲位置。利用ActiveDirectory，我們可以在一個平安集中的位置中，高效地管理用戶、計算機、組、打印機、應(yīng)用程序以及其它支持目錄的對象。ActiveDirectory證書效勞大多數(shù)組織都使用證書作為用戶或計算機的身份標(biāo)識，這樣在不平安的網(wǎng)絡(luò)連接上傳輸時可以加密數(shù)據(jù)。ActiveDirectory證書效勞〔ADCS，ActiveDirectoryCertificateServices〕改良了平安性，將用戶、設(shè)備或效勞的標(biāo)識綁定到他們自己的私鑰上。在ActiveDirectory中存儲證書和私鑰，可以更為平安地保護這些標(biāo)識，而且當(dāng)應(yīng)用程序發(fā)出請求時，ActiveDirectory成為了獲取對應(yīng)信息的集中位置。ActiveDirectory聯(lián)盟效勞ActiveDirectory聯(lián)盟效勞〔ADFS，ActiveDirectoryFederationServices〕是一個高平安性、高擴展性及可擴展到Internet的標(biāo)識訪問解決方案，組織利用它可以對合作伙伴的用戶進行身份驗證。使用WindowsServer2023R2中的ADFS，我們可以非常方便且平安地給外部用戶授權(quán)訪問組織的域資源。ADFS還簡化了未受信資源和組織中域資源之間的集成。ActiveDirectory權(quán)限管理效勞組織的知識產(chǎn)權(quán)需要得到高度保護。ActiveDirectory權(quán)限管理效勞〔ADRMS，ActiveDirectoryRightsManagementServices〕是WindowsServer2023R2的一個組件，它可以幫助我們確保必要的人員才有權(quán)限查看文件。ADRMS可以識別出用戶對文件的權(quán)限，以此來保護文件。權(quán)限可以進行配置，包括允許用戶翻開、修改、打印、轉(zhuǎn)發(fā)或執(zhí)行權(quán)限管理信息中的其它操作。利用ADRMS，當(dāng)數(shù)據(jù)被分發(fā)到組織網(wǎng)絡(luò)之外時，我們還可以保護數(shù)據(jù)，防止被盜。TMG〔ThreatMangementGateway，統(tǒng)一的威脅管理網(wǎng)關(guān)〕功能列表本次部署TMG高級防火墻功能，同時開啟多重網(wǎng)絡(luò)的鏈路負(fù)載均衡功能〔建議用戶升級外網(wǎng)出口到雙ISP鏈路〕，配置IPSecVPN模塊，提供用戶高可用、平安和遠程接入的功能。高級的防火墻保護特性描述多層防火墻TMGServer2023提供了三種類型的防火墻功能：包過濾(也稱電路層)、狀態(tài)過濾和應(yīng)用層過濾。應(yīng)用層過濾ISAServer通過內(nèi)置的應(yīng)用過濾器提供了深入的內(nèi)容過濾?；诿總€規(guī)那么的HTTP過濾ITMGServer2023HTTP策略允許防火墻執(zhí)行深層的HTTP狀態(tài)檢查(應(yīng)用層過濾)。檢查的范圍被設(shè)置在一個按照規(guī)那么的根底上。利用此能力，您可以為HTTP的對內(nèi)和對外訪問設(shè)置定制的約束。阻止對所有可執(zhí)行內(nèi)容的訪問您可以設(shè)置TMGServer2023的HTTP策略，阻止所有試圖對MicrosoftWindows操作系統(tǒng)可執(zhí)行內(nèi)容的連接，而不必關(guān)心資源中的文件使用何種擴展名。通過文件的擴展名控制HTTP文件的下載TMGServer2023的HTTP策略能夠使您基于文件的擴展名來定義策略，包括“除特定擴展名組之外允許所有文件〞或者是“除特定擴展名組之外阻止所有文件。〞HTTP過濾被用于所有的TMGServer2023客戶端連接利用TMGServer2023的HTTP策略，您能夠針對所有的TMGServer2023客戶端連接控制HTTP訪問?；凇癏TTP簽名〞控制HTTP的訪問TMGServer2023的深層HTTP檢查能夠幫助您創(chuàng)立“HTTP簽名〞，實現(xiàn)對請求的URL、請求的報頭、請求的主體、以及響應(yīng)的主體進行比照。這個功能使您能夠?qū)τ脩敉ㄟ^TMGServer2023防火墻對內(nèi)部和外部訪問的內(nèi)容進行精確的控制。控制經(jīng)允許的HTTP方法您能夠采用不同方法對用戶訪問進行設(shè)置，實現(xiàn)對被允許通過防火墻的HTTP方法進行控制。例如，您可以限制HTTPPOST方法來防止用戶使用HTTPPOST方法向Web站點發(fā)送數(shù)據(jù)。廣泛的協(xié)議支持TMGServer2023能夠使您控制訪問，以及對任何協(xié)議的使用，包括IP-級的協(xié)議。用戶能夠使用諸如Ping和Tracert的應(yīng)用系統(tǒng)，并且能夠使用PPTP創(chuàng)立VPN連接。另外，通過ISAServer能夠?qū)崿F(xiàn)IPSec通信。對需要多重主要連接的復(fù)雜協(xié)議的支持很多流媒體和語音或者視頻應(yīng)用系統(tǒng)需要防火墻對復(fù)雜的協(xié)議進行管理。TMGServer2023能夠管理這些協(xié)議，并且您可以使用一個易于使用的新協(xié)議向?qū)韯?chuàng)立協(xié)議的定義?？勺远x的協(xié)議定義利用TMGServer2023，您能夠針對任何協(xié)議為您所創(chuàng)立的防火墻規(guī)那么控制源和目的地的端口數(shù)量。這個功能為TMGServer2023防火墻管理員確定哪些包能夠被允許通過防火墻入站或者出站，提供了高級別的控制。FTP策略TMGServer2023的FTP策略能夠被設(shè)置為使用戶實現(xiàn)通過FTP進行上傳和下載，或者您能夠限制用戶的FTP訪問，只能進行下載。細(xì)化對IP選項的控制利用TMGServer2023，您能夠在細(xì)化的根底上設(shè)置IP選項，并且只允許您請求的IP選項，同時阻止其他的選項。防火墻的用戶組您能夠使用TMGServer2023創(chuàng)立自定義防火墻組，這些組由在本地帳戶數(shù)據(jù)庫已經(jīng)存在的或者活動目錄效勞域的組所組成。因為管理員能夠通過這些現(xiàn)有的組創(chuàng)立自定義平安組，這個功能增加了您對基于用戶或者組成員關(guān)系的訪問進行控制的靈活性。針對入站和出站訪問控制創(chuàng)立自定義平安組，刪除了防火墻管理員必須是域管理員的需求限制。通過防火墻實現(xiàn)對基于Web的MicrosoftHotmail?電子郵件的訪問TMGServer2023改良的HTTP過濾器能夠使用戶通過易于設(shè)置的防火墻規(guī)那么訪問Hotmail，而不必在客戶端或者防火墻上進行特殊的設(shè)置。網(wǎng)絡(luò)對象利用TMGServer2023，在通過創(chuàng)立計算機、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)置、地址范圍、子網(wǎng)、計算機設(shè)置、以及域名設(shè)置來定義網(wǎng)絡(luò)對象方面，極大地擴展了您的能力。這些網(wǎng)絡(luò)對象被用于針對防火墻規(guī)那么定義源和目的地設(shè)置。防火墻規(guī)那么向?qū)MGServer2023包括一套新的規(guī)那么向?qū)?，使?chuàng)立訪問策略變得更加容易。TMGServer2023的訪問策略能夠通過成熟的防火墻規(guī)那么進行創(chuàng)立，這個規(guī)那么能夠使您創(chuàng)立任何被請求的策略要素。創(chuàng)立網(wǎng)絡(luò)對象時不需要離開規(guī)那么向?qū)??？梢酝ㄟ^這個向?qū)?chuàng)立任意網(wǎng)絡(luò)對象和網(wǎng)絡(luò)關(guān)系。防火墻規(guī)那么表現(xiàn)為一個規(guī)那么列表TMGServer2023的防火墻規(guī)那么表現(xiàn)為一個規(guī)那么列表，這個列表中包含的參數(shù)會首先與頂級規(guī)那么進行比擬。TMGServer2023會向下移動規(guī)那么的列表，直到找到與連接參數(shù)相匹配的規(guī)那么，并且強制執(zhí)行匹配規(guī)那么的策略。這種防火墻策略的使用方法使確定為什么允許或者拒絕特定的連接變得更加容易。基于用戶或者基于組的訪問策略利用TMGServer2023增強的防火墻規(guī)那么，您可以為用戶或者組能夠訪問的每個協(xié)議定義源和目的地。對于入站和出站訪問控制，此特性極大地增加了靈活性。對FTP的支持TMGServer2023使您能夠訪問InternetFTP效勞器，在交替的端口號上進行收聽，而不需要在客戶端或者是TMGServer2023防火墻上進行特殊的設(shè)置。在交替的端口號上發(fā)布FTP效勞器，除了需要一個簡單的FTP效勞器發(fā)布規(guī)那么之外，不需要任何其它的設(shè)置。用于FTP效勞器發(fā)布規(guī)那么的端口重定向使用TMGServer2023，您能夠在端口號上接收連接，并且將這個請求重新指向已發(fā)布效勞器的另外一個不同的端口號。洪流回彈新的洪流回彈功能可以保護TMGServer2023，防止在洪流攻擊過程中持續(xù)地不可使用，降低性能或者不可管理。增強的攻擊過程中的補救能力通過日志扼殺、內(nèi)存占用控制、以及對可疑的DNS查詢的控制，洪流回彈功能在攻擊過程中提供了增強的補救。虛擬專用網(wǎng)(VPN)特性描述分支機構(gòu)VPN連接向?qū)н@個向?qū)ё詣釉O(shè)置了兩個獨立的分支機構(gòu)之間站點對站點的VPN連接。VPN同Microsoft防火墻效勞的充分的集成TMGServer2023包括一種更加豐富的集成的虛擬專用網(wǎng)機制，廣泛地以WindowsServer2003和Windows2000Server為根底的特性。用于VPN的狀態(tài)過濾和檢查VPN的客戶端被設(shè)置為單獨的網(wǎng)絡(luò)區(qū)域。因此，您能夠為VPN的客戶端分別創(chuàng)立單獨的策略。防火墻規(guī)那么引擎能夠分別驗證來自不同VPN客戶端的請求。這個引擎可以成功地過濾和檢查這些請求，并且動態(tài)地翻開基于訪問策略的連接。SecureNAT客戶端支持VPN客戶端與TMGServer2023VPN效勞器的連接TMGServer2023通過允許SecureNAT客戶端訪問Internet，而無需在客戶端系統(tǒng)上安裝防火墻客戶端，擴展了對VPN客戶端的支持。您還可以通過在VPNSecureNAT客戶端上強制執(zhí)行基于用戶或者基于組的防火墻策略，提高企業(yè)網(wǎng)絡(luò)的平安性。對在站點對站點的VPN通道中穿行的通信進行基于狀態(tài)的過濾和檢查TMGServer2023引入了針對在站點對站點的VPN通道中穿行的所有通信進行基于狀態(tài)的過濾和檢查。結(jié)果是，您能夠控制特定的托管效勞資源，或者是對鏈接方對端網(wǎng)絡(luò)的訪問。使用基于用戶或者基于組的的訪問策略，能夠獲得針對跨越包含這些鏈接的資源使用的細(xì)化控制。VPN隔離TMGServer2023使用WindowsServer2003VPN隔離工具，深化了您的防火墻策略的VPN客戶端檢查和集成。發(fā)布VPN效勞器TMGServer2023的效勞器發(fā)布規(guī)那么能夠用于發(fā)布IP協(xié)議和PPTP效勞器。TMGServer2023的智能PPTP應(yīng)用過濾器能夠完成復(fù)雜的連接管理。另外，您還能夠通過使用TMGServer2023效勞器發(fā)布功能，跨越IPSecVPN效勞器發(fā)布WindowsServer2003NAT-TL2TP。IPSec隧道模式支持站點對站點的VPN鏈接TMGServer2023使用IPSec隧道模式作為VPN協(xié)議，改良了對站點對站點的鏈接。利用廣泛的第三方解決方案，IPSec隧道模式支持極大地增加了TMGServer2023的協(xié)同工作能力。流量監(jiān)控隨著Internet的開展，網(wǎng)絡(luò)應(yīng)用依賴對外連接帶寬的程度與日俱增。與此同時，市場上對于具有低本錢，高效率的網(wǎng)絡(luò)流量管理解決方案有著極大的需求。特別是依賴關(guān)鍵性應(yīng)用的企業(yè)更是如此，因為這些關(guān)鍵性應(yīng)用通常需要更多帶寬或更好的網(wǎng)絡(luò)質(zhì)量保障(QoS)。高性能網(wǎng)絡(luò)流量管理器可確保網(wǎng)絡(luò)效勞質(zhì)量具有良好的可靠性及高效性，持續(xù)監(jiān)控及分析內(nèi)部及外部的網(wǎng)絡(luò)流量。通過流量分析工具，能協(xié)助管理員迅速發(fā)覺各種網(wǎng)絡(luò)異常，快速而正確地將問題解決。具有彈性的策略式流量管理架構(gòu)，可協(xié)助網(wǎng)管人員依照優(yōu)先級，制定符合公司需求的網(wǎng)絡(luò)管理策略。簡而言之，假設(shè)您網(wǎng)絡(luò)的帶寬資源被某些員工濫用在非關(guān)鍵性網(wǎng)絡(luò)應(yīng)用上，可幫助網(wǎng)管人員迅速發(fā)現(xiàn)問題，并制定以用戶為基準(zhǔn)的管理策略，矯正這種情形，確保重要的信息、軟件及人在網(wǎng)絡(luò)上的執(zhí)行效率。高性能網(wǎng)絡(luò)流量管理能帶給您的好處：1)利用監(jiān)控網(wǎng)絡(luò)與帶寬使用狀況，藉此發(fā)現(xiàn)影響網(wǎng)絡(luò)性能的應(yīng)用程序并且加以管理。2)用的QoS以及流量整形，將能最正確化您的網(wǎng)絡(luò)性能，并且確保企業(yè)關(guān)鍵應(yīng)用程序的實時性能。3)利用內(nèi)建的認(rèn)證機制搭配強大的帶寬管理機制，支持LDAP、NTLM、RADIUS與POP3驗證方式，可以結(jié)合企業(yè)原有的用戶數(shù)據(jù)庫，直接針對"用戶"和"用戶群組"做認(rèn)證，而不再只是單純地對IP地址制定帶寬管理策略，這樣才能真正落實與企業(yè)政策相符合的管理機制。4)您只要制定出您的管理策略，將會加強對內(nèi)及對外流量的管理控制，以到達網(wǎng)絡(luò)帶寬使用最正確化，并確保網(wǎng)絡(luò)效勞質(zhì)量。網(wǎng)絡(luò)防病毒針對XX單位的網(wǎng)絡(luò)平安需求，構(gòu)建了一個嚴(yán)密的整體防毒體系，覆蓋XX單位整個網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)集中管理，集中升級的防病毒控管。采用微軟自帶的防病毒軟件MSE。在整體防毒體系的設(shè)計中，我們貫徹了如下六點整體防毒的根本思想：構(gòu)建集中的控管根底架構(gòu)。在方案設(shè)計中，我們在中心構(gòu)建XX單位防毒總控管中心，在客戶端配置所歸屬的效勞器。實現(xiàn)自上而下的集中管理。構(gòu)建全方位、多層次的防毒體系。在方案設(shè)計中，我們結(jié)合XX單位的實際網(wǎng)絡(luò)防毒需求，構(gòu)建了多層次病毒防線，分別是TMG綜合網(wǎng)關(guān)、應(yīng)用效勞器防毒、客戶端防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點，實現(xiàn)病毒的全面防范；構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)。在方案設(shè)計中，我們將TMG綜合網(wǎng)關(guān)作為最重要的一道防線來構(gòu)建，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應(yīng)用的病毒風(fēng)險，同時對郵件中的關(guān)鍵字、垃圾郵件進行阻擋，有效阻斷病毒最主要傳播途徑；網(wǎng)絡(luò)層防毒是整體防毒的高效防線。在XX單位的方案中，我們將網(wǎng)絡(luò)病毒的防范作為最重要的防范對象，通過在網(wǎng)絡(luò)接口和重要平安區(qū)域部署網(wǎng)絡(luò)病毒墻，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不能再肆意傳播，同時結(jié)合病毒所利用的傳播途徑，對整個平安策略進行貫徹。構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系。當(dāng)一個惡性病毒入侵時，防毒系統(tǒng)不僅僅使用病毒代碼來防范病毒，而是具備完善的預(yù)警機制、去除機制、修復(fù)機制來實現(xiàn)病毒的高效處理，特別是對那些利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個網(wǎng)絡(luò)的新型病毒具有很好的防護手段。防毒系統(tǒng)在病毒代碼到來之前，就可以通過網(wǎng)關(guān)可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等多種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在去除與修復(fù)階段又可以對這些病毒高效去除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。終端虛擬化對于比擬特殊或者極要重要的客戶終端，可以采用虛擬化終端的解決方案。這種解決方案實現(xiàn)了本地?zé)o硬盤，所有數(shù)據(jù)集中存儲化，系統(tǒng)盤和應(yīng)用程序固件化。本地終端的數(shù)據(jù)分為兩局部保存在效勞器上，一局部為系統(tǒng)和應(yīng)用程序，另一局部為終端個性化配置和個人的數(shù)據(jù)文件夾。當(dāng)終端開機時，系統(tǒng)會根據(jù)硬件ID調(diào)用對應(yīng)的系統(tǒng)盤符加載在無硬盤的客戶機上，所有用戶程序和系統(tǒng)程序在存儲中運行，同時將個性化配置和個人文件系統(tǒng)與該用戶關(guān)聯(lián)〔通過AD域控器〕，實現(xiàn)所需數(shù)據(jù)的加載。該方式的好處是本地?zé)o硬盤，數(shù)據(jù)集中存儲，平安性高。要求終端配置較高內(nèi)存，同時要求交換機具有較高的處理能力，并且開啟DHCPrelay。機頂盒區(qū)域針對XX單位機頂盒區(qū)域劃分獨立的VLAN，該VLAN只有機頂盒系統(tǒng)，在接入交換機上劃分VLAN，并配置接入交換機上聯(lián)端口為Trunk模式，同時配置核心交換機，將核心交換機與機頂盒相連的接口配置為Trunk模式，并核心上該端口配置到機頂盒VLAN中。配置核心交換機45的路由策略和ACL，僅允許機頂盒VLAN通過流量控制和ThreatMangementGateway訪問Internet，禁止該VLAN對其他網(wǎng)絡(luò)的訪問，同時配置ThreatMangementGateway對該VLAN的數(shù)據(jù)進行平安過濾，結(jié)合前面的終端管理系統(tǒng)，綁定機頂盒終端的IP地址和MAC地址，實現(xiàn)這一特殊區(qū)域的平安。Exchange升級到2007XX單位現(xiàn)在郵件系統(tǒng)為Exchange2003，隨著微軟系統(tǒng)的跟新升級Exchange2007增加了很多實用的新功能，例如Exchange2007內(nèi)部采用加密傳輸郵件、支持Push郵件到移動設(shè)備等?？紤]大郵件系統(tǒng)的平安性和郵件使用方式的多樣性，使用Exchange2007新功能特性成為必然?？紤]到Exchange2003到Exchange2007微架構(gòu)性升級，本分功能不兼容，域控組件不兼容需要先建立Windows2023域控制器。升級前提條件1.Exchange組織設(shè)置為純模式。2.Exchange2000安裝SP3，Exchange2003安裝SP23.不被Exchange2007支持的組件:NovellGroupWiseconnector(Exchange2003Service)MicrosoftMobileInformationServer(Exchange2000Service)InstantMessagingservice(Exchange2000Service)ExchangeChatService(Exchange2000Service)Exchange2000ConferencingServer(Exchange2000Service)KeyManagementService(Exchange2000Service)cc:Mailconnector(Exchange2000Service)MSMailconnector(Exchange2000Service)4.擁有SchemaMaster角色的DC及所有GC運行在Windows2003SP1。5.AD域提升到最高6.如果你不確定滿足Exchange2007的安裝條件，可使用EXBPA檢測。準(zhǔn)備AD1d-Setup/PrepareLegacyExchangePermissions〔為了讓收件人更新效勞正常運行〕。2d-Setup/PrepareSchema〔連接到DC架構(gòu)主機，導(dǎo)入LDAP文件以更新架構(gòu)〕3d-Setup/PrepareAD〔在域里創(chuàng)立ExchangeUniversalSecurityGroups(USGs)〕建議先運行3，那么1和2自動運行。準(zhǔn)備域和準(zhǔn)備所有域1d-Setup/PrepareDomain2d-Setup/PrepareAllDomains在DC上為Exchnage，Exchange組織管理員，授權(quán)用戶，Exchange郵箱管理員設(shè)置權(quán)限。創(chuàng)立Exchange系統(tǒng)對象容器(如果不存在)，在這個容器內(nèi)為Exchnage，Exchange組織管理員，授權(quán)用戶設(shè)置權(quán)限，在名為Exchange安裝域效勞器下創(chuàng)立一個新的域全局組。添加這個Exchange安裝域效勞器到ExchangeUSG。安裝Exchange2007軟件要求1.Microsoft.NETFrameworkVersion2.02.MicrosoftManagementConsole(MMC)3.03.WindowsPowerShellV1.0安裝Exchange2007Windows組件要求1.郵箱效勞器—EnablenetworkCOM+access；IIS；WWWService2.客戶端訪問效勞器—WWWService；RPCoverHTTPProxyWindowsnetworkingcomponent(如果要使用OutlookAnywhere)；ASP.NETv2.03.中心傳輸效勞器—不需要額外的Windows組件，注意不要安裝SMTP和NNTP效勞按照之前Exchange2003的應(yīng)用情況，部署安裝安裝Exchange2007。完成部署翻開Exchange管理控制臺，點擊MicrosoftExchange節(jié)點，完成部署，每一個部署都有詳細(xì)的解釋及步驟。端到端任務(wù)同