Post on 28-Mar-2016
description
顧問:戴有煒、劉家聖、楊宏文
專案負責人:顏柏舜
工程師:韋道揚 陳卉潔
游紹強 彭駿杰
吳仲凱 湯建軍
彭及福
1
姓名 負 責 項 目
顏柏舜 專案負責人、ISA防火牆
韋道揚 AD、DHCP、DNS、WINS湯建軍 VPN吳仲凱 WEB Server、DFS、Printer Server游紹強 EXCHANGE 2007彭駿杰 ETS (邊際傳輸伺服器)彭及福 ISA Server 2006陳卉潔 WSUS、FCS、Backup
2
尖端出版社,因為總公司網路結構要重新建置,並
且擴大營運,為此委託WAYNE團隊,幫他們規劃整體
網路架構。
3
總公司為於 台北人數 150人
分公司為於 桃園人數 35人
由於貴公司需要新開一個駐點,故此分公司必須和總公司有一定使用上的連線
建設一個對外服務的使用區域
針對該公司的防護需求,建設高可用性防火牆
為怕不可預期災害,需將重要資料備份
為讓業務人員,能夠獲得網路信箱新的郵件,需建置Push Mail功能
4
5
6
韋道揚
7
Q:為什麼要用AD?AD的功能?
A:集中管控帳號及電腦
網域控制站互相備援
電腦跟電腦之間存取方便
8
Server 2008x2 Server 2003
Top.com Branch.Top.com
9
利用群組原則有效管理
各部門分門別類
軟體佈署跟限制
資料的存取權限
10
動態主機協定(Dynamic Host Configuration Protocol ) 由管理員監控IP使用的狀況
使用者能自動取得IP,無須手動設定
IP可以重複使用
用DHCP Relay Agent來達到備援效果
我想要申請IP 好,我借你一個192.168.10.101的IP
11
Domain Name System 利用網域名稱來解析IP位址
使用者不需要去記IP 可以動態更新
我想連tw.yahoo.com 好,我幫你查Yahoo的IP是
119.160.246.241
12
Windows Internet Name Service 將NetBIOS電腦名稱解析成IP
我想連到叫作ANDY的電腦
好,我幫你查
ANDY的IP是192.168.2.100
13
湯建軍
14
Site-to-Site VPN (站台對站台)
Remote Access VPN/ Router-to-Router VPN)(遠端存取/ 路由器對路由器)
15
通訊協定
PPTP L2TP/IPSec SSTP
16
17
VPN伺服器RADIUS用戶端
RADIUS伺服器
18
VPN伺服器RADIUS用戶端
RADIUS伺服器
吳仲凱
19
Web Server是由多個IIS網站所架設出來的,能讓公司的網頁資料更完整更及穩定也能讓客戶有完善網路平台做為連結,以便取得到公司所提供的網路服務,多個Web Server組合成的形式稱為Web Farm裡面包含的有 NLB DFS 這些功能都是針對網站上的資料能分散式傳輸及存取,這些功能都屬於高可用性的。
20
ISA防火牆
有網路負載平衡功能
前端Web Farm (IIS網頁伺服器)
後端資料庫
21
能將網路流量分散到不同的網頁伺服器。
有容錯功能。
管理效能佳。
22
可提高檔案的存取效率
可提高檔案的可用性
伺服器的負載平衡功能
23
主要功能是能進行 伺服器與用戶端之間的檔案傳送的功能。
可直接管理用戶在伺服器上所有的檔案。
可依權限等級不同區分用戶存取的權限。
在DMZ區可以採用FTPS來增加安全性的控管避免資料外洩或竊取。
24
負責發放憑證單位
企業CA必須是網域裡的電腦或使用者(Exchange 郵件、伺服器IIS及VPN連線)
獨立CA不需網域裡的成員及電腦(也就是非網域使用者或電腦)
IIS可透過瀏覽器發放憑證。
提供VPN遠端存取L2TP/IPsec連線憑證發放。
25
可利用群組原則部署給使用者及電腦。
可設定列印優先權以及列印時間來安排行程。
可設定列印集區。
26
游紹強
27
Hub Transport Server Role處理組織內的所有郵件流程、套用傳輸規則、套用日誌規則,以及將郵件傳遞至收件者的信箱。
Client Access Server Role管理伺服器的用戶端存取權。
Mailbox Server Role為使用者提供電子郵件儲存及進階排程服務。
28
簡易的部署與管理
過濾垃圾、病毒郵件架構
高度的可用性
全新管理工具提升IT管理人員的工作生產力
企業級的行動通訊方案
29
Exchange 管理主控台採取圖形介面。可以透過視窗檢查
Exchange Management Shell透過可撰寫指令碼的命令列,能達成自動化、批次及報告的快速管理
Active Directory擴充整合可協助在組織內自動化更新伺服器的探索及設定
30
外部安全
邊際傳輸
郵件過濾
連線過濾
內容過濾
防毒擴充
附件過濾
防毒掃描(MIME)
內部安全
SSL 憑證
TLS 加密
31
連續複寫
本機連續複寫 (LCR )叢集連續複寫 (CCR )
單一副本叢集(SCC)容錯移轉
32
33
34
35
彭駿杰
36
37
DMZ為介於外部網路與內部網路之間的一小段網路,透過防火牆的規則來提供對內/對外服務,放置主機(如 Web 、 FTP 、SMTP 伺服器) ,主要功用是避免外部使用者直接與內部伺服器溝通,增加其安全性。
38
Client Access Server Role Edge Transport Server Role Hub Transport Server Role Mailbox Server Role Unified Messaging Server Role
39
40
在 Microsoft Exchange Server 2007 發行前版本中,Edge Transport Server Role稱為 Front End Server Role。
Exchange Server5.5
Exchange Server2000
Exchange Server 2003
Exchange Server 2007
郵件傳輸代理程式 (MTA) SMTP 路由引擎 SMTP 路由引擎 邊際傳輸服務
獨立伺服器 / 非內部網域成員伺服器
處理網際網路相關的郵件寄送 (轉寄站)透過接收連接器/傳送連接器
提供簡易郵件傳送通訊協定 (SMTP) 轉送和智慧主機功能
41
ETS 與 AD目錄服
務關聯密切
42
篩選機制
透過一系列代理程
式–可對病毒和垃
圾郵件提供防護
43
Edge Transport
Server Role 是
為了將受攻擊面
縮到最小而設計
另可搭配業界專為
Exchange Server
應用之防毒軟體
44
網路介面 開啟通訊埠 通訊協定 附註
從網際網路輸入及輸出至網際網路
25/TCP SMTP必須開啟此通訊埠才能進行進出網際網路的郵件流程。
從內部網路輸入及輸出至內部網路
25/TCP SMTP必須開啟此通訊埠才能進行進出Exchange 組織的郵件流程。
僅限本機50389/TCP LDAP
此通訊埠是用於與 ADAM 進行本機連線。
從內部網路輸入
50636/TCP 安全 LDAP必須開啟此連接埠才能進行EdgeSync 同步處理。
Edge Transport Server 的通訊埠設定
通訊埠設定增強其安全性45
顏柏舜
彭及福
46
只要裝了防毒軟體,系統就絕對安全?
防火牆就相當於一個嚴格的門衛,掌管系統的各扇門,進一步開放或阻擋流量(如:HTTP、FTP、DNS…等流量)
外部→內部80 port關閉
Hacker
HTTP
HTTP
公司內部→外部80 port開啟
公司網站
47
後端防火牆 前端防火牆
總公司
分公司
DC1
CSS
DMZ區
VPN功能
48
Back to back + NLB
內部網路、外部網路及DMZ區網路
建置原則
提供網頁快取服務
透過DMZ區發佈公司內部的網頁及非網頁服務
結合VPN服務
阻擋P2P等通訊軟體
支援Web proxy、SecureNAT及防火牆用戶端
49
可降低駭客利用病毒、蠕蟲及特洛依木馬程式等惡意程式碼,入侵貴公司電腦。
抵擋心懷不軌的攻擊。
嚴重的攻擊可能導致電腦資訊被刪除、當機,甚至個人資訊被竊取,例如密碼或信用卡資訊。
50
陳卉潔
51
PATCHPATCHPATCH
影響網路效率
與現有軟體相互干擾
52
有效使用對外頻寬
減少人力資源浪費
PATCH PATCHPATCHPATCH
53
“所有電腦”群組
PATCH PATCH
預防微軟漏洞攻擊
管理更新(批准或拒絕更新)
利用群組原則來部署更新程式
透過報告監控 WSUS Server的實際情況54
提供容易管控且統一的惡意程式碼防護解決方案
透過 WSUS 群組部署,強制安裝 FCS & 更新
強制掃描,確認安全
問題回報,方便管理者解決問題55
重要功能自動偵測並移除間諜程式與廣告軟體
修復病毒與間諜程式所做的變更
抵抗嘗試停用防毒軟體的惡意程式碼
允許管理自訂的間諜程式與廣告軟體策略
56
EVENTS
SETTINGS REPORTS
DEFINITIONS FCS Collection andReporting Roles
57
重要功能可以透過排程或事件導向等備份方式自動備份系統利用 Restore Anyware 技術還原至不同硬體能夠將異地備份複本備份至FTP 位置或次要磁碟上以強化災難復原能力可針對 VMware、Microsoft 及 Citrix 虛擬環境,完美執行實體到虛擬 (P2V) 及虛擬到實體 (V2P) 的轉換 58
便利便利 安全安全 備份備份
59
添購軟體 單價 數量 總額
Server 2003 140,000 27 3,780,000
Server 2008 140,000 2 280,000
ISA Server 2006 210,000 5 1,050,000
Exchange 2007 120,000 4 480,000Forefront Client Security
Server 8,000 2 16,000
Forefront Client SecurityClient 600 200 120,000
SymantecBackup Exec System Recovery 75,000 2 150,000
Total 5,760,000
60
這次很榮幸的替尖端出版社規劃了整體的架構,也希望下一次能再為貴公司服務。
61
雖然在成功的路上總是有誘人的外在環境因素干擾,但是我們的團隊終能克服這些問題,也希望接下來的這週的實作能夠畫下完美的句點。
62
63