企业IT核心基础结构规划(doc 28页)(正式版) 下载本文

内容发布更新时间 : 2024/12/22 19:10:04星期一 下面是文章的全部内容请认真阅读。

? 充当所通过的流量的代理,为内部网络用户提供安全的 Internet 访问。 ? 保护内部网络免受来自 Internet 上的威胁。 ? 提供防火墙服务,包括执行状态包检查和网络地址转换 (NAT)。NAT 通过隐藏内部网络的 IP 寻址 方案来保护内部网络。

? 执行入侵检测,入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。此类恶意活动的 例子包括端口扫描和使用大量的网络数据包堵塞特定的端口。

? 执行应用程序筛选以扫描各个应用程序层的入站和出站流量(比如 SMTP、HTTP、FTP),并检测 恶意代码。

? 执行 Web 缓存以提高下列用户访问 HTTP 和 FTP 站点的性能和速度: ? 访问 Internet 的局域网用户。

? 访问内部网络上的站点的 Internet 用户。

? 监视和发送关于各种参数(比如 Internet 使用、Web 缓存细节和内部网络上的用户进行的协议敏 感的 Internet 使用)的报告。应该有一种以各种形式(比如电子邮件和事件日志记录)发送警告通 知的机制。

下图表示一个企业 IT 环境,并突出提供安全 Internet 连接的服务器和设备。

图 . 安全 Internet 连接设计

建议:

公司需要一个多用途设备充当路由器、防火墙、NAT 设备,并在需要时充当 VPN 设备。

至少,安全 Internet 连接部署应该提供防火墙、入侵检测、应用程序筛选、日志记录、监视和报告服务以及代理服务。

? 专用的硬件设备:专用的硬件设备用于执行不同的功能。至少要使用两个单独的专用硬件设备:一 个防火墙和一个入侵检测设备。此外,还可能将专用的硬件设备用于应用程序筛选、代理服务以及 实施了 VPN 的环境中的 VPN 设备。将专用设备用于 Web 缓存以改进网络性能。

? 集成的防火墙服务器: 在部署中,单台服务器提供保护 Internet 连接所需要的所有服务和功能。 该服务器具有运行流行操作系统的标准硬件。 该服务器运行单个或多个提供防火墙服务、入侵检 测、应用程序筛选、Web 代理和 Web 缓存的软件。 选择最适合的部署设计,涉及到以下事项: ? 实施成本。

? 构建和部署的难易。 ? 安全要求。 ? 性能要求。

下表列出了这些可选方案的优缺点:

可选方案 专用硬件设备 优点 提供高性能,因为这些设备: ? 是为它们的特定功能而设计的。 ? 使用硬件 ASIC 设计。 ? 仅执行一种功能。 量的 VPN 会话)而不影响性能。 安全性: 硬件防火墙被认为比软件防火墙更安 全。 缺点 难于管理: 需要更多的精力来安装、配置、部署和支持专用设备。 昂贵: 购买和管理多个专用设备的成本高昂,此外还需要额外的物理空间。 用硬件和软件,因此您要依赖厂商提供升级或附加功能。 培训需求: IT 通才需要接受培训才能使用专用硬件和软件。 无应用程序层筛选: 许多硬件防火墙没有内置应用程序层筛选功能,而是依赖非 Microsoft 应用程序提供此服务。 集成的防火墙服务器 廉价: 由于所有服务均由单台服务器提供,部署安全性较低: 操作系统中的安全漏洞可能影响防和管理成本都降低了。 功能很容易获得。 存在对厂商的依赖。 训,因为使用的是标准硬件和操作系统。 VPN: 如果在环境中部署了 VPN,可以将它共同承载在此服务器上。 表 - 安全 Internet 连接部署可选方案

高容量: 专用设备能够处理巨大的负载(比如大 依赖厂商: 用于执行不同功能的硬件和软件是专火墙软件。 器暴露给了更多种类的攻击。 性能水平:网络吞吐能力和性能水平要比专用设添加附加功能的能力: 针对标准操作系统的附加风险较高: 在相同服务器上运行多个服务将服务不依赖厂商: 由于使用标准服务器硬件,因此不附加软件层: 存在运行操作系统的性能开销。 只需更少的培训: IT 通才不需要任何特殊的培备低很多。 文件服务 文件服务是任何企业核心信息技术基础结构的一个重要组件。网络共享实质上是计算机或存储设备上可以从网络上其他计算机访问的文件夹。

在网络共享上存储所有重要数据提供了以下益处:

? 与企业有关的信息存放在一个集中的位置,使员工可以从多个位置对数据进行访问。此外,文件服 务器将具有更好的硬件配置(例如独立磁盘冗余阵列 (RAID) 和双电源)来为用户提供对数据的高 度可靠和可用的访问。

? 数据的集中通过提供较少的数据备份位置来代替包含文件的大量客户端计算机,消除了管理负担。 ? 由于数据不是分布在网络的各种设备上,保护重要数据变得更加容易,并且对数据管理提供了更多 的访问控制。

? 使提供可靠存储的成本减少。这是因为只有承载网络共享的服务器才需要高度可用的存储。

? 在网络共享上存储某些系统文件夹可提供额外的益处。例如,将“My Documents”和“Roaming Profiles”文件夹存储在网络共享上,将分别使用户可以从网络上的任意计算机访问他们的个人文件 夹以及使用他们的配置文件进行登录。 使用方案:

? 将数据合并到一个中心位置以提供集中存储的益处。

? 存储和检索用户数据,并安全、可靠地在公司中的用户之间共享数据。 ? 简化数据的保护、备份和恢复过程。

? 存储大量的数据,如 CAD 绘图和多媒体文件。 ? 使用统一的命名空间。

? 将客户端计算机上可能包含重要数据的系统文件夹重定向到更加安全和可靠的位置。 环境初始状态:

可能的环境初始状态包括: ? 多台服务器提供文件服务。

? 文件服务器不能扩展以满足将来的存储需求。如果现有服务器达到了最大存储限制,则需要添加新 服务器,或增加现有服务器的存储容量。

? 基于 UNIX 或 LINUX 的服务器为大部分计算机运行 Microsoft Windows 操作系统的混合环境提 供文件服务。

? 基于 Microsoft Windows NT 和 Microsoft Windows 2000 的服务器提供文件服务。 ? 不存在任何文件服务。

? 多台文件服务器导致 IT 管理负担增加,并使文件服务的总拥有成本增加。 ? 数据分散在多台服务器之间,造成管理(备份、恢复和保护)数据的困难。 ? 可伸缩性有限或无可伸缩性。 结束状态环境:

基于存储需求、可伸缩性需求以及可用预算等因素,企业可能在其结束状态环境中部署以下两个可选方案之一:

? 专门提供文件服务的基于 Windows Storage Server 2003 的网络附加存储设备。

? 除网络服务、Active Directory 和其他服务之外,主基础结构服务器还提供文件服务。 益处:

? 文件共享的组织更加逻辑:可用于更逻辑和灵活地组织文件共享。

? 改善数据的存储和检索:基于 Windows 的文件服务提供了高度可靠、可用和安全的数据存储和检 索。

? 更容易的数据管理:数据存储在一个中心位置,而不是分布在多台服务器和台式计算机之间。因此, 可以轻松地管理数据(包括共享和访问控制列表的备份、还原和管理)。

? 改善的网络性能:集中存储使备份和还原数据时网络带宽的使用最小化。这改善了整体网络性能。 ? 更容易和更可靠的数据备份:构建在 Windows Server 2003 之上的卷影复制服务允许创建数据的时 点副本。此服务为在文件服务器上存储的数据(甚至为打开的文件)提供了一种简单、可靠的备份

机制。

? 文件和文件夹版本控制:共享文件夹的卷影副本使用户可以检索以前版本的文件和文件夹。

方案规划:

? 在网络上为用户和应用程序提供一个公共位置来存储文件。 ? 提供对共享信息快速和轻松的访问,同时保持严格的安全性。 ? 提供足够的存储容量以满足现在和将来的存储需求。 ? 满足预期的可靠性、可伸缩性和安全性要求。 ? 低成本并易于实施和维护。

? 提供对丢失的重要数据的立即检索,如基于磁盘的备份,而不需要等待非现场的磁带存储。 ? 使用户可以在未连接到网络的情况下还可以访问他们的文件。

? 允许用户安装公司中所使用的常用应用程序,如防火墙客户端和防病毒软件等。 ? 通过提供集中的数据存储使管理和备份更加容易。

下图表示一个企业 IT 基础结构,其中突出显示了可以提供文件服务的服务器和设备。

图 . 企业 IT 文件服务

建议:

此解决方案建议选择以下两种实施之一:

? 专用于提供文件服务的基于 Windows Storage Server 2003 的网络附加存储设备。 ? 主基础结构服务器所承载的文件服务。

应该考虑公司的需求并选择最好地满足此需求的解决方案。

对于具有以下需求的公司,建议使用基于 Windows Storage Server 2003 的网络附加存储设备: ? 存储大量的数据。

? 易于伸缩以满足数据的快速增长。 ? 易于管理和低成本的集中数据存储。

? 由于从非现场的磁带备份恢复数据的较长的延迟,需要基于磁盘的备份。 ? 易于部署和管理的文件服务。

建议具有以下需求的公司在主基础结构服务器上承载文件服务: ? 极少的数据存储。

? 需要实施和操作成本的解决方案。(无法负担专用于文件服务的服务器并希望使用一台服务器。) ? 在主基础结构服务器上运行的文件服务和其他服务对用户来说不是问题。(在同一台服务器上运行 多个服务可能会影响这些服务的一部分或全部。)

? 存在为网络服务提供冗余的第二台服务器,因此企业在短暂的服务停止情况下不会受到影响。 企业信息化建设的周期长,投资大,不确定性强,只有进行IT规划才能够从总体上把握信息化建设的进程。可以把IT规划比作大厦的地基,IT规划就是是“企业信息化”这座大厦的基础,没有IT规划,企业信息化大厦将是建立在沙滩上,后果可想而知。

企业如果不进行IT规划,将会产生以下一些不良后果: 1)遗留系统繁多,信息孤岛林立,信息共享困难 2)系统集成工作量大,导致反复投资 3)系统维护费用高、收益低、风险大 4)软硬件更新换代频率高

5)系统不适应新的业务而停滞不用,造成浪费 6)信息化建设无章可循,可能导致失败

可以看出企业进行IT规划是非常必要的,它可以从客观方面解决以上问题,同时它还可以解决主观方面的问题:通过IT规划来推动企业员工达成共识。

徐彬海 2010/1/18

FTP

远程文件共享。 公司资料现场公用。 临时文件拷贝。 相对应客户文件夹。 移动办公。

建立相对应FTP账户与密码。

公司内部人员可删除、复制、移动。

例:账户权限 客户及外部人员,只限阅读权限。 FTP文件服务器:现使用虚拟服务器主机进行架设。

FTP管理:设定时间限制进行临时文件清空,防止过时文件占据磁盘空间造成浪费。 WEB 网页界面类型

FTP友好介面实现类型: Windows 资源管理器,文件目录类型

两者结合,复合式类型(架设较复杂) VPN

远程接入公司局域网。

现场可以与公司本部协同处理工程项目。

由于建立了虚拟局域网,从而抛弃了地理差异和距离间隔。 本部与现场的资源可以相互共享。

由于VPN为点对点专用通道建立,故文件传输更快(公司本部现为4M光纤,上下传输等宽。理论上若客户端带宽充足,便可建立上下传输速率高达4M/S的高速信息传输网络)。

VPN需要路由器硬件支持(公司现路由器已具备VPN客户端接入功能,客户端依靠Windows操作系统的VPN技术便可建立VPN连接。

VPN可以实现远程桌面,理论只要能接入Internet便可在任何地方任何时间远程接入公司相对应的客户端进行远程控制操作。

VPN远程控制的衍生:远程3D图形渲染(需要高性能图形图像处理服务器)。 VPN远程控制的衍生:通过远程控制软件可进行对公司本部PC进行远程操作(现公司为固定外网地址IP,为VPN远程连接控制架设了良好的平台。 File-server、BBS-server、Print-server 备份 完全备份 三星期即一个季度完全备份一次。

各server系统GHOST(正规使用磁带机备份,现可以使用GHOST替代)。 File-server各目录重要文件进行拷贝至第三方存储介质进行异地备份。 光盘介质备份,一年一次(最主要的文件备份)。

安装新软件或系统操作前必须提前进行一次系统备份,防止系统崩溃后无法进行恢复。

现使用RAID5磁盘阵列系统,三块硬盘中一块为备份恢复盘(RAID 5介绍)定期每周一检查硬盘指示灯。 Print-server

系统角色较轻 无重要文件,进行一般系统备份便可。

文件扫描管理,将建立个人文档目录。个人扫描归类存放,少放桌面以便节约系统资源。 系统一季度一备份。 BBS-server备份

http://www.sxfy.org.cn/jihua/anpai/200906/706.html