一、需求分析
1、公司有台式机和笔记本,台式机可以设置固定IP地址连接到网络;笔记本移动办公,为了方便,这些电脑需要从网络中自动获得IP地址等信息连接网络
2、公司为了提升自身形象,需要自己的域名,并拥有自己的网站宣传自己以及通过网站对用户进行服务。公司内、外人员均使用域名来访问企业的资源,例如:网站、文件服务器等。
3、各部门内部的员工在服务器上都有个文件夹,各个部门只能访问各自的文件夹,各个员工只能访问自己的文件夹,不得访问其他员工的东西。要求市场部的用户最多在自己的文件夹里存放5GB数据,财务部最多储存8GB,网络部最多储存10GB。在此文件夹里不得存放视频音频等文件,否则发邮件通知管理员。对文件进行自动备份,在每天18:00备份,要求用户可以在客户端恢复。
4、电子邮件将是电子化办公的核心,全部员工要求有以公司域名结尾的个人邮箱,使用该邮箱不仅可以和公司内的员工互发邮件,还必须可以和互联网上的用户互发邮件,为了防止单个员工占用太多的邮箱容量,各员工的邮箱容量应当有限制。
5、各部门均配置有网络打印机,为保证打印机的安全性,同时也为了保证打印机的使用均衡,各部门的员工只能使用本部门的打印机。
6、公司要求对网络上的一切资源实行统一管理,员工只需要一个用户名密码就能访问所需的资源,而无需在多个资源服务器反复登录。
7、为了安全等因素,需要对公司的全部员工、计算机,或者一些有共同特性的员工群体执行一些强制性的、统一的配置,例如:强制定期修改密码、密码的复杂程度、统一应用软件的版本等。
8、公司内部员工要能够访问互联网,互联网上的用户也要能够访问架设在企业内部的网站。
9、企业内部的一些应用系统不允许对外开放,但员工要能够在出差的期间或者在下班期间从互联网接入到公司内部网络进行办公,以上访问要保证数据的安全性。
二、网络拓扑图
三、IP地址规划
企业内部服务器区网络号:10.0.12.0掩码:255.255.255.0;
DC+DNS+WINS:10.0.12.1;
DHCP+Web:10.0.12.2;
内部邮件服务器:10.0.12.3;
FTP文件+打印服务器:10.0.12.4;
市场部网络号:10.0.13.0掩码:255.255.255.0;
ZS:10.0.13.3 Alice:10.0.13.2;
财务部网络号:10.0.14.0掩码:255.255.255.0;
LS:10.0.14.3 Bob:10.0.14.2;
网络部网络号:10.0.15.0掩码:255.255.255.0;
We:10.0.15.3 D:10.0.15.2;
路由器:连接服务器接口:10.0.12.7;
连接市场部:10.0.13.1;
连接财务部:10.0.14.1;
连接网络部:10.0.15.1;
防火墙:LAN(连接内网):10.0.12.8;
WAN(连接外网):115.158.100.1;
证书服务器:115.158.100.2;
外部DNS、Web:115.158.100.3;
外部邮件服务器:115.158.100.4;
远程VPN用户:115.158.100.5。
四、网络服务器规划
1、DNS服务器。公司首先向域名注册代理机构申请注册自己的域名。公司内部部署DNS服务器(10.0.12.1)为公司内的计算机提供域名解析服务。在DNS服务器上,需要把各种常用的资源添加到DNS域中,主要有www、ftp、pop3、smtp、打印机等。为提高效率,对于互联网上的域名解析。可以在DNS服务器上设置转发器,转发器指向当地的ISP的DNS服务器,让当地ISP的DNS进行域名解析。这里有一个问题,由于DNS服务器是放在公司内部的,因此添加www、ftp、pop3、smtp主机记录时,记录的IP指向这些主机的私有IP,对于在公司内部的计算机来说这个DNS是没问题的,它们将得到这些主机在内部局域网的IP地址,然后就可以使用这些地址来访问这些主机。然而互联网上的用户如果也想让这台DNS服务器来进行域名解析,将得到主机的私有IP,从而无法访问这些主机。常用的做法是:在申请域名时,也同时让ISP提供域名解析服务,需要注意的是主机记录的IP指向公司的公网IP(115.158.100.1),然后在局域网边界的接入服务器上做端口映射,把公网IP的应用端口映射到内部主机的应用端口上。这样公司内部的DNS服务器为公司内部的计算机提供域名解析,公司内部的计算机通过私有IP访问内部资源,互联网上的ISP为互联网的用户提供本公司的域名解析服务,互联网用户将获得公司的公网地址,他们通过公网IP访问公司内的服务器。
2、WINS服务器。虽然WINS由于有DNS服务的存在而显得不是很有必要,然而公司用户有时也会直接使用计算机或者组名,而不是DNS名来查找另外的计算机,因此我们还是规划在公司内部部署一个WINS服务器(10.0.12.1)。
3、DHCP服务器。DHCP服务器主要是为自动获取IP的计算机提供IP地址、网关等信息。在配置DHCP服务器时,应该注意把分配给台式机的IP段排除在外。
4、Web服务器。公司网站已经成为不可缺少的宣传手段,同时现有的多种应用系统也是网页的形式实现。因此在公司内部部署Web服务器十分必要。为减少Web服务器的数量,采用虚拟主机技术,可以在一台服务器上同时部署多个网站。对外服务器的网站可以匿名访问,对内服务的办公系统、其他应用系统则需要用户登录访问,同时应该设置源IP限制、日志以增加安全性。
5、FTP服务器。FTP服务器是一个传统的文件共享手段,虽然现在可以通过网页上载或下载文件,但FTP更适合大量的文件上载或下载。在服务器上建一个只读目录,用来放公共资料,建另一个目录为读写目录,供员工自由上传东西。FTP服务器不对外开放。
6、电子邮件服务器。在(10.0.12.3)上做邮件服务器。使用Microsoft的Exchange Server来完成邮件功能,为安全起见,收发邮件需要身份验证。由于公司内部员工需要和互联网互发邮件,而邮件服务器在公司内部,所以应在接入服务器上做端口映射。
7、文件打印服务器。文件服务是一个常见的服务,它是提供文件共享功能的最简单方式。此外,由于服务器稳定性、硬盘可靠性比个人电脑好,用户也可以把重要的文件保存在服务器上。我们规划在服务器上共享一个只读目录,放置各种公用表格、文件等资料;在为每位员工设置一个仅供个人访问的文件夹。实际上打印机共享是可以不需要打印服务器的。现在的打印机可以通过以太网口接在网络上,用户可以直接访问,但是这样没有权限的控制。基于公司对文档的安全需求,我们还是部署了打印服务器,以保证员工只能使用部门内的打印机。
8、活动目录服务器。活动目录服务是Windows Server的精华部分,AD设计为了用户在大型网络中一次登录就能够访问在不同服务器上的资源。此外有了AD,就能够很容易在公司内部使用组策略强制全部或者部分用户、计算机执行某些策略。因此在网络中部署AD服务器,其它服务器作为成员服务器加入域中。
六、系统规划
1、用户、组;原则上为每个员工创建独立账户,为每个部门创建组,各员工加入到各部门的组中。为安全起见,禁用GUEST用户。
2、磁盘管理:为保证数据安全,对没有采用硬件冗余(RAID-5)的硬盘,在操作系统中使用软件方式实现冗余。
3、数据备份:冗余不能解决全部的数据安全问题,例如病毒的破坏、误操作均可能导致数据丢失,制定数据备份策略,定期备份数据。
4、组策略:有了AD服务器就能够对全部用户或者计算机强制执行统一的安全策略,统一应用软件的版本,因此在公司实行组策略。
5、网络安全防护:哎服务器上启用网络防火墙,然而启用防火墙后不应该阻止用户对服务器的正常访问。
6、服务器监视:为保证服务器长期稳定运行,以及优化服务器的性能,有必要对服务器的运行状态进行监视,主要监视服务器的CPU利用率、内存利用率、网络流量、磁盘读写情况。设定一些报警,比如CPU达到%80要报警通知管理员。
如果这是一个公司的网络部署,看看还有什么不足之处,或者谈谈部署过程中会出现什么问题,或者在实现某个需求时,会有什么困难。小弟没有什么实际经验,也许就在空谈,希望得到大家指点 谢谢!!
