为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

公司网络规划

2017-09-30 9页 doc 23KB 10阅读

用户头像

is_562397

暂无简介

举报
公司网络规划公司网络规划 公司网络规划 目前公司危害主要表现为 1、由于员工的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行。 2、部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢; 3、员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,...
公司网络规划
公司网络规划 公司网络规划 目前公司危害主要现为 1、由于员工的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行。 2、部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢; 3、员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制; 4、局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP通过广播四处泛滥,影响到整个片区办公电脑的正常工作; 5、部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用#管理#也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。 针对以上这些因素,我们可以将网络划分为七个VLAN进行网络管理,通过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。 网络规划 将公司网络划分为七个VLAN(办公、财务、研发、服务器、实验室、培训室、外来人员) 办公:员工日常办公 财务:财务室 研发:研发部 服务器:OA、ERP、WEB、MAIL等 实验室:测试使用 培训室:提供培训 外来人员:供外来人员使用。 所需设备 网络布线 从主机房至中信机柜需要重新放置七根网线分别连接六个VLAN,一根备用。 从中信机柜至实验室需要重新放置七根网线分别连接六个VLAN,一根备用。 从实验室重新放置六根网线至技术部,分别连接五个VLAN,一根备用。 网络拓朴图 二层交换机实验室二层交换机 网络管理 管理和维护策略 1、网络通过VLAN进行管理。 办公VLAN与服务器VLAN、实验室VLAN 、互联网互联与其 他VLAN限制访问。 财务VLAN只与服务器VLAN、互联网互联与其他VLAN限制访问。 研发VLAN只与实验VLAN、服务器VLAN互联,与其他VLAN限制访问。 服务器VLAN与办公VLAN、财务VLAN、研发VLAN、互联网与联,与培训VLAN按需设置访问连接。 实验VLAN与研发VLAN、办公VLAN互联,与其他VLAN限制访问。 培训VLAN与服务器VLAN按需设置访问连接,与其他VLAN限制访问。 外来人员VLAN通过无线网络与互联网互联,与公司网络限制访问。 全公司网络、设备、系统、用户统一通过域控进行管理,统一用户身份、IP地址、权限及资源。 2、域管理 1.安全集中管理 统一安全策略 2.软件集中管理 按照公司要求限定所有机器只能运行必需的办公软件。 3.环境集中管理 利用AD可以统一客户端桌面,IE,TCP/IP等设置 4.活动目录是企业基础架构的根本,为公司整体统一管理做基础 其它isa,exchange,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。 建立域管理 1、建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。员工帐号只有标准user权限。在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的power user权限,实际上是对公环境有效的保护。 办公PC必须严格遵守OU命名规则,同时实现实名负责制。对PC实施员工实名负责是至关重要的,一旦发现该员工电脑中毒和在广播病毒包,信息系统管理员能准确定位,迅速做出反应,避免扩大影响。 2、在防火墙上只开放常用或业务系统需要的端口,如80、25、21、110、443,其它端口一律封锁,有效实施对P2P和BT软件的封锁。 3、接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的策略,允许经信息中心核准的某些IP组可以在本机上直接访问Internet,或某些IP组只能连接局域网的应用服务器,对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP,不允许访问Internet和Intranet,只能单机使用。 4、建立WSUS服务器。在域服务器上通过组策略设定客户端PC 的自动更新服务,。 5、统一安装防病毒软件,通过防病毒及时更新计算机的病毒库,增强整体的病毒抵御能力,及时消灭网内病毒。 6、启用组策略。检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。 整体规划 最上面是单域*.com.cn 下面创建OU:zwkj Zwkj下面创建以下几个OU Groups:这里是所有的部门 Users:这里是所有用户 Servers:服务器群,比如邮件服务器,WEB服务器,数据服务 器 Mobiles:所有的移动电脑 Workstations:所有工作站 It:特殊组,一些管理员和特殊用户。 不同部门可以设置不同安全策略,以满足不同部门的办公需求,通用策略可以设置在根域上,特殊权限在不同部门分别做策略。 用户及名称规划 所有用户登录域环境,域的加入可以做一个加入域的批处理,用户通过输入自己的用户名和密码既可登录到域服务器。 所有接入电脑必须严格遵守OU命名规则。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置,通过机算机名可以及时联系责任人进行处理。各部门用户加入各部门的组,便于用户管理及根据部门进行不同的策略设置 计算机帐户中删除多余用户,仅保留域用户及administrator,重命名管理员帐户,并且强制统一管理员密码,以便日后维护。 用户权限及策略规划 所有用户初始权限为power user 能正常访问本地所有资源,受限安装软件,禁止用户修改 注册表,禁止修改TCP/IP,禁止修改计算机设置。 常用软件可以用软件分发来做,个别用户的特殊软件可以单独安装。近期使用计算机指派,文件服务器共享等方式,远期使用SMS。 具体的实施 具体技术包括: 1、需求收集。 收集各部门工作需要用到的软件,与工作有关的网页。 2、规划服务器,用户权限规划。 在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计,让用户和管理员在使用时更为方便。域的结构遵循简单原则,采用单域模式,人员的组织以部门为组织单位加入域中 3、规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。当DNS域名称空间可在Windows 2003中正确执行之前,需要有可用的活动目录结构。所以,从活动目录设计着手并用适当的DNS名称空间支持它。 4、规划用户的域结构 最容易管理的域结构就是单域。规划时,用户从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 5、规划用户的权限 我们给用户那些权限,user(最低权限,不能安装软件),power user(能完成所有任务但不能更改管理员设置),建议初期给power user 稳定后回收权限。 需要限制用户使用那些软件 用户能够访问那些资源 组策略有以下几个比较重要的应用 软件分发,分发msi格式软件,非msi格式可通过工具转换 软件限制(非办公软件可以使用软件策略进行限制) 文件夹重定向,可以把用户资料保存到安全位置 管理设置,主要设置一些windows组件相关内容,比如开始菜单显示的内容 Ie相关设置(信任站点,控件下载,文件下载等) 安全设置(帐户策略,系统服务,注册表,文件系统) 实现一些脚本的功能(比如分发一些脚本进行MAC地址绑定进行ARP免疫) 文件服务器的要求 1、每个用户都能存取删除自己所拥有的文件。 2、每个使用者都要有自己的帐户,并且对特定文件夹的访问需要形成日志保存下来供管理员查看。 3、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。 4、每个用户只能在服务器上存放一定大小,类型的文件,而不是无限大的文件,并且当存放文件到特定警戒线的时候能通知管理员。 5(建立各类使用及维护文档。帮助大家在域环境下更方便的使用办公电脑。 6(域的备份 域的备份主要是通过做备份域,以及微软自带的备份工具备份帐户数据等。 效果 运行其他非必须程序提示: 对文件服务器的正常访问: 浏览bbs: 服务器的安全 1、域控制器的安全保证:域控制器主要是管理局域网的用户和机器,并对用户的权限进行控制,一旦主域控制器系统损坏,重新安装系统后就必须重新建立用户信息,为了防止系统损坏而影响系统使用,在局域网中又设置一台备份域服务器,备份域服务器能将主域控制器上的所有用户信息备份到本机,并在主域控制器失效时自动充当主域控制器的角色,保证系统能正常运行。 2、文件服务器的安全保证:文件服务器主要是保存各种公司私密文件,所以其安全性主要是考虑服务器上保存的文件的安全性,文 件服务器本身做磁盘冗余,这样即使服务器有一个硬盘损坏也不会导致文件丢失,另外我们还通过异地备份将文件服务器上文件保存一份到其他服务器上,这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失。 3、综合安全优化 1、停掉Guest 帐号 2、修改管理员帐号和创建陷阱帐号: 重命名Administrator账号,然后新建一个名称为Administrator的陷阱帐号“受限制用户”,把它的权限设置成最低,什么事也干不了,并且加上超级复杂密码 3、删除默认共享 Windows2003安装好以后,系统会创建一些隐藏的共享,要禁止或删除这些共享以确保安全,方法是:首先编写如下内容的批处理文件: @echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 可以通过组策略编辑器使客户机系统开机即执行脚本删除系统默认的共享。 4、禁用IPC连接 Ipc连接 比如 net use\\ip\ipc$ "password" /user:"usernqme"。可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。 重新设置远程可访问的注册表路径 5、设置远程可访问的注册表路径为空,这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器,然后选择“计算机配置”?“Windows设置”?“安全选项”?“网络访问:可远程访问的注册表路径”及“网络访问:可远程访问的注册表”,将设置远程可访问的注册表路径和子路径内容设置为空即可。 6、关闭不需要的端口 7、关闭不需要的服务 服务提供了核心操作系统功能,如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误,并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用,来释放系统资源。 8、锁住注册表 9、运行防病毒软件 10、备份
/
本文档为【公司网络规划】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索