目 錄
前言:
伺服器的構成與微機基本相似,有處理器、硬碟、記憶體、系統匯流排等,它們是針對具體的網路應用特別制定的,因而伺服器與微機在處理能力、穩定性、可靠性、安全性、可擴充套件性、可管理性等方面存在差異很大。尤其是隨著資訊科技的進步,網路的作用越來越明顯,企業對自己資訊系統的資料處理能力、安全性等的要求也越來越高,如果您在進行電子商務的過程中被黑客竊走密碼、損失關鍵商業資料;如果您在自動取款機上不能正常的存取,您應該考慮在這些裝置系統的幕後指揮者—-伺服器。
伺服器是一種高效能運算機,作為網路的節點,儲存、處理網路上80%的資料、資訊,因此也被稱為網路的靈魂。
隨著網路技術的飛速發展,人們重視短期效應的網路弊病逐漸暴露出來,黑客、病毒、資訊盜用、計算機犯罪等網路安全事件日益增多。同時,各種作業系統和應用軟體被商業利益推動的前提下開發週期日益縮短,不可避免地存在著很多的漏洞,其中一些足以威脅整個網路系統健康執行。
傳統的安全原則是根據資源位置劃分安全區域,根據對企業的重要性、面臨的外來攻擊風險、內在的執行風險不同,劃分成多個網路安全區域。執行劃分的原則是將同一網路安全層次內伺服器之間的連線控制在相同的區域內,儘量消除不同安全層次之間的聯絡,實施相互邏輯或物理隔離。在執行維護風險方面,網路裝置的故障和各種操作失誤都會對相關裝置造成影響,有效的分割槽隔離,可以將這種影響限制在較小的區域內部,有利於保證整體應用系統的網路安全執行。
資訊保安架構似乎成了一種固定的模式,以往的安全解決方案往往側重於先防外後防內、先從伺服器安全加固到客戶端的安全產品的安裝。既然是變革,我們是不是可以採取逆向思維,首先保證所有終端的安全性、保證終端訪問的可信、保證操作人行為的可信?如果能夠實現這三個方面的可信,那麼,伺服器也就不會存在入侵和破化的問題了。PC是網路服務的末梢,是最薄弱的地方,這就需要我們對網路接入進行控制,進行強制的策略管理,從源頭入手,保護整個資源應用的穩定通暢。因此,要從根本上解決資訊保安問題,就必須考慮網路中每一個個體都是可信的,也是安全防禦回到起點部分,走出“迷局”的制勝一步。
本方案打破這種傳統的區域劃分方法,利用應用伺服器將網路安全重新定義,在充分考慮到伺服器自身安全的基礎上,將使用者認證、病毒防護、遠端接入、系統備份、數字版權等網路安全特性的開發、整合、部署和管理囊括其中。
一、網路安全平臺之【問題分析】
根據攻擊能力的組織結構程度和使用的手段,可以將威脅歸納為四種基本型別:無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。傳統意義上講,對外部威脅,安全性強調防禦;對內部威脅,安全性強調威懾。但很多企業依然存在著許多安全管理方面的難題無法解決:
{ 安全策略審計方面:員工使用弱口令、使用者許可權分配不合理,無法監控終端使用者操作電腦資訊和攻擊行為。
{ 系統漏洞修補方面:如客戶端作業系統進行補丁漏洞檢測、補丁自動分發部署控制。
{ 資產管理方面:由於不斷添置硬體和應用平臺,容易造成資產管理的死角,無法生成詳細的資產統計報告;無法完成故障裝置的診斷及快速定位。
{ 非法的出站與入站:無法控制使用者繞過防火牆等邊界設施直接聯入網際網路,造成物理隔離網路失效;外來膝上型電腦以及其它移動裝置的隨意接入,造成整體安防體系遭到破壞。
{ 病毒防護軟體勢單力薄:網路管理中心無法實現客戶端安裝軟體自動識別控制,尤其無法對未安裝防病毒軟體的終端進行統計和遠端部署;無法定位網路中病毒的感染的使用者,也就無法快速、安全的切斷入侵事件。
{ 日誌分析:入侵檢測系統、病毒防護系統、系統日誌報告等,每個系統都會記錄大量的安全日誌,這些日誌之間沒有合併,大量的日誌將沖垮管理中心的日常工作,導致無法看到真正關心的日誌。
這些網路管理方面的問題舉不勝舉,為病毒氾濫、黑客入侵等行為發生搭建了溫床。作為攻擊者來說,普遍都在使用“最易滲透原則”,即在系統中最薄弱的地方進行攻擊。目前攻擊手法已經是融合了多種技術,以“多頭蠕蟲病毒”為例,就融合了緩衝區溢位技術、網路掃描技術和病毒感染技術。這時候,如果網路中的伺服器還是孤軍作戰:防病毒軟體只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲在網路上的播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲,等等,我們的網路就會危在旦夕!
二、網路安全平臺之【實現目標】
二、網路安全平臺之【實現目標】
深度防禦運用於資訊保安領域已經很多年了,為保護重要的資料安全,我們不得不將網路劃分出信任等級,把相同等級的主體劃分到一個區域裡面,把資料一層一層的包裹的嚴嚴實實。但從現實來看,大多數企業的安全機制仍然是分散的。分支機構和移動辦公依然存在著安全隱患,而現有的網路接入和身份管理技術都還存在著不足,企業利用現有的認證、授權、管理、審計方式都不足以應對網路安全事件爆發的頻率,隨著應用數量的增加,企業的管理難度也會越發明顯。
資訊保安保護框架的法則包括:安全防禦的完備性、一致性與有效性。
① 完備性:是指安全保護體系中不應有安全漏洞;
② 一致性:是指資訊保安框架中的所有終端具有同樣的安全防禦功能;
③ 有效性:是指資訊保安防禦框架中的任何一臺計算機資訊系統所實現的安全策略和安全機制符合使用者的當前需要。
本方案中所有技術的應用與伺服器部署都遵循上述安全法則,實現如下目標:
{ 提升安全管理
從端點接入行為的管理開始,僅僅做到進行身份認證是不夠的,必須能夠對端點的行為進行識別,對使用者的網路訪問行為進行管理,讓“行為識別”取代簡單的“口令”認證,這是實現構建安全網路平臺的基本條件。
{ 強制策略
把一切不符合網路安全規範的裝置,在試圖到接入到網路中的時候就對其進行檢查,在沒有任何授權的情況下對其所有行為進行遮蔽。強制策略將不符合安全策略的端點隔離在網外,它可以起到規範使用者接入網路行為的作用,這樣可以從源頭上解決網路安全的問題。例如:一臺終端計算機一接入網裡面的時候,對其進行檢查,監管系統補丁是否更新完整,病毒定義程式碼是否升級,那麼客戶端的安全程度會比以往有大幅度的提升。
{ 行為監控
在不影響網路執行效率和不改變現有網路拓撲的情況下,對被監控的網路和主機進行有效的監控和管理。併為終端使用者定製成專門用於監控單位內部敏感檔案訪問情況和敏感檔案操作情況的管理系統。與此同時,實現對被控物件的Internet上網行為(如:網頁、郵件),內部網路的訪問行為(如:訪問網路上的芳鄰、關鍵伺服器、敏感檔案)和計算機使用者的操作行為(如:應用程式、剪貼簿)的實時監控和管理。現在的使用者個性化意識較強,個人的資訊接收和儲存裝置也種類繁多。為了避免敏感資料被非法複製,我們不但要聯網主機進行監測,對便攜膝上型電腦帶入帶出網路接入其它網路行為,也要針對U盤、行動硬碟、等其它新增裝置的接入行為進行控制。
{ 隔離策略
安全事件源阻斷是與行為監控並駕齊驅的功能組成部分。除了非法接入之外,在出現病毒、蠕蟲攻擊等安全問題後,對事件源主機實時、快速、精確定位,遠端阻斷隔離。阻斷與監控的妥當使用不但能夠在安全等級上面得到提高,同時也會提高使用者網路使用的效率。
{ 自愈性
自愈性,主要是針對“強制策略”的補充部分。比如,很多時候終端使用者並不是有意識觸犯網路安全的策略,比如說出差很久了,沒有升級病毒庫版本,我們就需要提供了自動修復的功能,一旦發現這個終端不符合安全的要求,要為使用者提供自動恢復的機制,使它可以達到預先制定的安全等級規定,就可以按照它原來的許可權訪問網路上的資源。
三、網路安全平臺之【伺服器角色】
1.使用者身份驗證伺服器
{ Active Directory
ADFS 提供了基於Web的Extranet 驗證/授權、單一簽名登陸(SSO) 和針對 Windows Server 環境的聯合的身份服務,從而提高了在涉及 B2C Extranet、Intra company和 B2B Internet場景中、現有活動目錄部署的價值。另外,通過將 AD 域控制器作為主 NIS 伺服器,並同步 Unix 和 Windows 環境中的使用者密碼,UNIX 整合有助於在作業系統間建立不間斷的使用者訪問和有效的網路資源管理。
{ Internet Authentication Service
如果活動目錄森林工作在跨森林模式下,並且有著雙向信任關係,那麼 Internet 驗證服務/遠端驗證撥入使用者服務(IAS/RADIUS)可以使用這個特性來驗證使用者賬號。它使得管理員擁有了將現有環境中現存的 IAS或RADIUS 服務和新的分支機構網路整合在一起的能力。
{ RADIUS
RADIUS 隱藏機制使用 RADIUS 共享機密、請求驗證者以及 MD5 雜湊演算法加密使用者密碼和其他屬性,例如通道密碼和 MS-CHAP-MPPE 金鑰。RFC 2865 指明瞭可能需要評估威脅環境和確定是否應使用附加安全措施。
{ 身份生命週期管理
提供了身份生命週期管理(使用者自主維護、註冊和配置)、身份控制(訪問和隱私控制、單一登入和審計)、身份聯合(在信任的Web服務應用程式之間共享使用者身份驗證和屬性資訊)以及身份建立(目錄和工作流),從而有效地管理內部使用者以及網際網路上日益增多的客戶和合作夥伴。
2.企業數字證照頒發伺服器
在資訊保安如此重要的今天,幾乎所有的網路應用中都支援身份識別的多種存在形式,“使用者名稱+密碼”是最簡單也是最常用的身份認證方法,它是基於“What you know”的驗證手段。任何一個使用者能夠正確輸入密碼,計算機就認為他是合法使用者,然而實際工作中,由於許多使用者為了防止忘記密碼,經常採用諸如自己的生日、電話號碼等有意義的字串作為密碼,這也就使得靜態密碼的存在如同虛設。增加數字證照管理伺服器,針對私鑰、數字證照和可信證照頒發機構建立和驗證伺服器標識和信任,這將提升整個使用者認證安全的防禦水平。
3.遠端使用者接入伺服器
VPN(Virtual Private Network)即虛擬專用網路,就是兩個具有VPN發起連線能力的裝置(計算機或防火牆)通過Internet形成的一條安全的隧道。在隧道的發起端(即服務端),使用者的私有資料通過封裝和加密之後在Internet上傳輸,到了隧道的接收端(即客戶端),接收到的資料經過拆封和解密之後安全地到達使用者端。接入伺服器(Access Server)又稱為網路接入伺服器NAS或遠端接入伺服器RAS,它是位於公用電話網與IP網之間的一種遠端訪問接入裝置。使用者可通過公用電話網撥號到接入伺服器上接入IP網,實現遠端接入INTERNET、虛擬專網(VPN)、構建企業內部等網路應用。
4.使用者網路地址分配伺服器
DHCP(Dynamic Host Configure Protocol,動態主機配置協議)伺服器在網路中起著重要的作用,它可以為網路中的計算機自動分配TCP/IP地址、子網掩碼、閘道器地址、DNS地址和WINS伺服器地址等引數,使用DHCP伺服器,可以極大地減輕網管員的負擔。
在本方案中,我們將使用DHCP強制技術,它可以使用一個DHCP 網路接入強制伺服器,以及一個DHCP 網路接入強制客戶端。無論何時,只要一臺電腦釋放或者更新了自己的IP地址,DHCP伺服器就強制執行健康策略。
5.域名解析與名稱伺服器
在各種強制方式中,DHCP方式實現起來最簡單,而且具有最廣泛的覆蓋能力,因為大部分客戶端電腦都需要續訂IP地址(除了那些採用固定IP的電腦),但是IPSec強制方式是最強大的方式。當一臺電腦的連線受到限制,它仍然有能力訪問DNS和DHCP伺服器,還有治療伺服器。當然,管理員可以制定策略,將第二個DNS伺服器放置在受限網路中,或轉發到受限網路中,而不是讓安全程度較低的電腦直接訪問DNS伺服器。
6.防火牆與代理髮布伺服器
在“安全第一”的網路環境中,Web伺服器暴露在網路外部,就有可能招受攻擊而導致伺服器癱瘓或網頁被更改等潛在的問題。因此就需要使用防火牆來保護它,而保護對外發布資訊的Web伺服器的方式是使用包過濾型的防火牆。傳統意義上的包過濾防火牆有很多弊病,歸納起來有三點:
{ 通訊方面:包過濾防火牆只能訪問部分資料包的頭資訊;
{ 狀態監管:包過濾防火牆是無狀態的,所以它不可能儲存來自於通訊和應用的狀態資訊;
{ 資訊處理:包過濾防火牆處理資訊的能力是有限的。
比如我們熟知的基於IIS漏洞的Unicode攻擊,以及最近比較流行的“SQL注入技術”,因為這種攻擊是選擇了防火牆所允許的80埠,而包過濾的防火牆無法對資料包內容進行核查,因此此時防火牆等同於虛設,即使在防火牆的屏障之後,也會被攻擊者輕鬆拿下超級使用者的許可權。
而反向代理伺服器對外就表現為一個Web伺服器,外部網路就可以簡單把它當作一個標準的Web伺服器而不需要特定的配置。不同之處在於,這個伺服器沒有儲存任何網頁的真實資料,所有的靜態網頁或者CGI程式,都儲存在內部的Web伺服器上。因此對反向代理伺服器的攻擊並不會使得網頁資訊遭到破壞,這樣就增強了Web伺服器的安全性。
Microsoft Internet Security and Acceleration (ISA) Server不但是一個高階應用級別的防火牆、同時還具有了虛擬專用網 (VPN) 和 完整的Web 快取解決方案。安全的伺服器釋出有助於保護 Web 伺服器、電子郵件伺服器和電子商務應用程式免受外部攻擊的威脅。ISA Server通過對已釋出伺服器進行模擬,從而增加了一層安全性。在伺服器被髮布出去的同時,預設情況下會禁用快取,我們可以通過配置一個快取驅動器併為其分配空間來啟用快取。它的多層體系結構和高階策略引擎為所需要的資源提供了精確的控制,形成一個龐大的Cache Cluster。與此同時,當啟用了快取後,正向快取和反向快取都將被啟用,簡化我們部署伺服器的難度。
7.安全策略伺服器
不論是網路接入客戶端和在網路裝置,在防止蠕蟲和自身免疫功能實現的過程中,安全策略至關重要。安全策略被安裝在安全策略伺服器當中,無論是PC、移動終端還是PDA,只要進入網路都要先做檢查,其中包括該機器是否採取了安全措施,有沒有感染病毒等專案,之後就要依據安全策略對欲進入網路的裝置進行裁決。安全策略伺服器還可以評估防毒客戶端上防毒元件和系統更新的狀態。通過安全策略伺服器配置選項,在風險客戶機上執行操作,從而使之符合預先設定的防毒與作業系統更新策略。
安全策略伺服器會定期輪詢防毒和補丁伺服器,以請求病毒碼檔案和掃描引擎資訊使其資料保持最新。隨後,它使用使用者所配置的策略,將這些資訊與客戶機安全狀態資料進行比較。在此之後,策略伺服器會建立狀態令牌,並將其傳遞迴客戶端。最後,客戶端執行狀態令牌中配置的操作。
8.統一防毒中心伺服器
隔離伺服器推動 IAS 與系統執行狀況驗證器之間的通訊,並根據已配置的一組系統執行狀況策略進行系統執行狀況分析。企業安裝統一防毒伺服器,可以通中央控管中心對網路內的伺服器、客戶機進行遠端策略設定、病毒查殺、遠端安裝等各種管理操作。實現跨地區、跨平臺的網路防毒系統實施統一管理和監控。同時可以保證,對進出郵件伺服器的郵件實施病毒掃描,防止病毒通過郵件進行傳播和氾濫。網路中的任意一臺計算機均可設定為移動管理控制檯,網路管理員通過賬號和口令使用移動管理控制檯,即可清楚地掌握整個網路環境中各個節點的病毒監測狀態,對網路任何一個節點進行遠端集中式安全管理。其它實現的功能技術包括:遠端防毒、遠端報警、遠端操作、自動安裝、自動升級。如果客戶端沒有升級病毒庫版本,伺服器立即提供自動更新和修復功能。
9.系統更新伺服器
“一隻蝴蝶在紐約中央公園的小黃花上扇動了一下翅膀,於是東京掀起風暴電閃雷鳴!”拓撲學中說這叫——“蝴蝶效應”,來源於“混沌理論”。在“混沌理論”中,主要關心 “對初始條件的敏感性”,相對於網路安全來講,任何一個客戶端如果沒有在系統更新的情況下,都可能在瀏覽網頁過程中被植入木馬,這就有可能造成整個安全防禦體系的徹底崩潰。
我們可以使用諸如微軟WSUS2.0的系統更新程式,針對客戶端作業系統、Office、SQL、Exchange產品的提供補丁。同時,所有補丁細分為Feature Pack、Service Pack、安全更新程式、更新程式、更新程式集、工具、關鍵更新程式、驅動程式共8個門類。在客戶端接入後,即可將上述8種分類分別對比,這都依賴於系統更新伺服器的工作效率和穩定性。
10.日誌收集與分析伺服器
在一個完整的資訊系統裡面,日誌系統是一個非常重要的功能組成部分。檢視交換機、路由器和其他網路裝置的日誌,可以幫助網管員迅速解釋和診斷問題。很多網管員經常將認為日誌管理是資訊保安管理的內容,和系統管理關係不大,這是絕對錯誤的。
在可信網路中,日誌管理的地位更加突出。這些操作包括指引客戶機更新其防毒牆網路版客戶機元件、啟用實時掃描,以及執行“立即掃描”和“立即清除”。其中還包括在客戶機上顯示通知訊息以通知使用者防毒策略違規的功能。為了幫助分析防病毒策略的效能,使用者還可以選擇選項以檢視策略伺服器日誌,日誌中記錄有諸如策略伺服器評估客戶機的時間以及評估結果之類的資訊。功能如下:
ü 收集並解釋與安全事件操作相關的所有網路事件;
ü 收集和報告與安全事件相關的所有網路裝置和伺服器系統日誌事件;
ü 收集和解釋與網路安全相關的所有伺服器事件,包括客戶端的安全狀況;
ü 報告每個終端站點、使用者的所有準入活動;
ü 報告每個終端站點、使用者的多次相同事件活動,設定閥值自動通知管理員;
ü 無響應的主機報告、被拒絕的主機站點報告、按照主機報告進行補救的時間;
ü 按照應用型別對網路狀態進行的總結。
11.備份與恢復伺服器
資訊系統災難的恢復並不僅僅是針對資訊系統的資料恢復和系統恢復,而是面向整個現代型企業的生存規劃。它將接受來自各個方面的威脅和挑戰,災難恢復關注的不是災難本身,而是預防災難和應對災難的方法。建立一套完整的容災體系需要經歷下面幾個重要環節:災難恢復計劃階段;資料收集和關鍵需求分析階段;風險分析階段;資料保護階段;災難恢復階段;測試和培訓階段;維護和修改階段。
企業的核心資料急速膨脹導致在企業中資料安全恐慌,由於傳統的備份方式中關注本地備份化,不可避免的存在磁帶(磁碟)等物理介質損壞、利用效能較低的缺點,這種單一的備份模式逐步推出了主流。但是,異地備份由於資金投入較大,部署較為複雜,一直以來處於被動狀態。
本方案中,利用作業系統中自帶的“軟體卷影複製服務(Volume Shadow Copy Service)”,使用者可以自行建立卷影複製備份和完全相同的檔案副本,其中包括所有正在開啟的檔案。例如,以獨佔方式開啟的資料庫以及由操作員和系統活動開啟的檔案都將在卷影複製過程中備份,這樣就可以保證在備份過程中更改的檔案將被正確複製。這種複製機制屬於基於軟體的快照(又稱為後設資料複製)“寫時複製”機制,基於軟體的快照可確保原始檔案系統中的所有資料塊在發生變化(在磁碟上)之前都複製到專門的區域(備份伺服器外掛儲存裝置,同時利用低成本磁帶機建立儲存池)。
12.文件與數字版權加密伺服器
隨著企業越來越依賴於計算機應用,企業的大部分資訊也都實現了數字化,怎樣來保護這些數字資訊的安全就顯得越來越重要,比如怎樣來保護企業的機密電子郵件不被轉寄,怎樣保證企業網內的數字文件不被帶到網外等等,這些安全要求都是以前的防火牆、訪問控制列表等安全措施所不能完全解決的,所以有必要尋找新的保護方案。
如果依靠使用者的自我約束和責任感來實現數字內容的共享與使用,則可能會給網路安全模型帶來無法接受的風險。即使是偶然的安全漏洞,也可能帶來嚴重後果。例如:使用者可能會將包含敏感資訊的電子郵件或文件錯誤地轉發給不懷好意的人;或者在為企業使用者展示文件內容時非法被盜取。
開始文件保護之前,我們必須應用到EFS(檔案加密),活動目錄、證照伺服器、備份伺服器等等安全防禦技術,遵循本文件中的涉及的各種伺服器角色內容,大部分伺服器技術都是不可或缺的。我們建議您使用Microsoft® Windows® Rights Management 服務,RMS 是一種伺服器技術,用於 Windows Server 2003 認證可信實體,許可受 RMS 保護的資訊,註冊伺服器和使用者,並執行許可權管理功能。使用 RMS 技術,可以方便地進行設定以允許可信實體使用受 RMS 保護的資訊。
四、網路安全平臺之【伺服器選型】
|
案例:
公司名稱:XX國際貨運公司
公司總部:北京
公司員工人數:800人
公司總接入客戶端數:800
移動辦公裝置:40%
|
採用微軟System Center Capacity Planner 2006工具,自定義伺服器選型嚮導。Capacity Planner會在IT架構模組上模擬使用者工作量,將計算架構上每一個裝置的使用量,包括伺服器,磁碟子系統,區域性區域網路與廣域網路頻寬。根據這些模擬資訊,我們採用70%的伺服器負荷工作量為滿工作量,預留30%的提升空間,部署能夠符合現行與未來的效能與容量需求。這樣科學測試的結果可以保證在一個應用程式的生命週期中內,將能夠幫助IT專業人員持續地確保企業應用程式與伺服器能有效地運作並避免遇到瓶頸。
圖1 System Center Capacity Planner 2006 模擬壓力測試
序號:S01
|
伺服器名稱:
|
SEC_SERVER_AD
|
|
伺服器扮演角色:
|
使用者身份驗證伺服器、企業數字證照頒發伺服器
|
|
安裝服務:
|
Active Directory
Internet Authentication Service
RADIUS
企業根域證照服務(CA)
IIS Web Service
DNS Service
|
|
伺服器型號:
|
ASUS RS260-E4/RX8
|
|
伺服器說明:
|
由於安裝目錄服務等一系列的服務,系統資源佔用應該是個絕對挑戰。而對證照服務、IAS服務這些網路應用的核心來說,高效與穩定兩者必須同時存在。
入選理由:
2006年第十四屆“臺灣精品獎”得主,以“磐石”品質與精湛的美學設計贏得了評委的充分認可。四核英特爾® 至強® 5300處理器平臺,
|
序號:S02-1
|
伺服器名稱:
|
SEC_SERVER_AC1
|
|
伺服器扮演角色:
|
遠端使用者接入伺服器、防火牆與代理髮布伺服器
|
|
安裝服務:
|
VPN Service
Microsoft Internet Security and Acceleration
Microsoft Cluster Service
Active Directory
|
|
伺服器型號:
|
ASUS RS100-E4/PI2
|
|
伺服器說明:
|
由於安裝Microsoft Cluster Service 和VPN Service,所以在關注伺服器計算功能的同時更傾向於網路處理效能的保證。在安裝Cluster Service同時需要對外網釋出伺服器,所以在磁碟空間上和配置過程中需要加入磁碟陣列。
入選理由:
RS100-E4/PI2採用雙伺服器等級的Broadcom® BCM5721 PCI-E千兆網路卡介面,有組合(Teaming)與故障轉移(Failover)功能機制,網路連線將會更順暢與快速。
|
序號:S02-2
|
伺服器名稱:
|
SEC_SERVER_AC2
|
|
伺服器扮演角色:
|
遠端使用者接入伺服器、防火牆與代理髮布伺服器
|
|
安裝服務:
|
VPN Service
Microsoft Internet Security and Acceleration
Microsoft Cluster Service
Active Directory
|
|
伺服器型號:
|
ASUS RS100-E4/PI2
|
|
伺服器說明:
|
與S02-1相同
|
序號:S03
|
伺服器名稱:
|
SEC_SERVER_UP
|
|
伺服器扮演角色:
|
使用者網路地址分配伺服器、域名解析與名稱伺服器、系統更新伺服器
|
|
安裝服務:
|
DHCP Service
DNS Service
WINS Service
Windows Update Services
|
|
伺服器型號:
|
ASUS RS1613-E4
|
|
伺服器說明:
|
耗電量成為今年關注的焦點,因為耗電量過高除了帶來昂貴的電力成本外,企業也必須投資散熱裝置來控制網路裝置不會因為過熱而讓內部資料損毀。根據資料顯示,在典型的機房中,製冷系統佔電力總消耗的38%,電源系統佔15%,而電費支出則佔TCO(總體擁有成本)的25%。
入選理由:
RS163-E4/RX4支援兩顆AMD socket1207處理器以及8根支援DDR2 533/667記憶體插槽,系統能耗得到有效的控制,再配以智慧風扇技術,可以監控系統溫度,並可根據系統的溫度智慧調節風扇速度以達到最佳的執行環境,是一款高效能運算節能產品的典範。
|
序號:S04
|
伺服器名稱:
|
SEC_SERVER_NAP
|
|
伺服器扮演角色:
|
安全策略伺服器、網路接入控制伺服器
|
|
安裝服務:
|
Network Access Quarantine Control in Windows Server 2003
升級策略(Windows Server Longhorn)
|
|
伺服器型號:
|
ASUS RS260-E4/RX8
|
|
伺服器說明:
|
主要入選理由是未來的擴充套件性,即Windows Server Longhorn部署;其它選型的原則與S01相同。
|
序號:S05
|
伺服器名稱:
|
SEC_SERVER_VS
|
|
伺服器扮演角色:
|
病毒防禦控制伺服器
|
|
安裝服務:
|
McAfee VirusScan Enterprise
注:Network Access Protection 合作伙伴
[url]www.microsoft.com/china/windowsserver2003/partners/nappartners.mspx[/url]
|
|
伺服器型號:
|
ASUS RS163-E4
|
|
伺服器說明:
|
入選理由同S03
|
序號:S06
|
伺服器名稱:
|
SEC_SERVER_LOG
|
|
伺服器扮演角色:
|
日誌收集與分析伺服器
|
|
安裝服務:
|
ASUS ASWM
Microsoft Systems Management Server
MRTG(流量分析系統)
|
|
伺服器型號:
|
ASUS RS163-E4
|
|
伺服器說明:
|
入選理由同S03
|
序號:S07
|
伺服器名稱:
|
SEC_SERVER_BK
|
|
伺服器扮演角色:
|
備份與恢復伺服器
|
|
安裝服務:
|
Microsoft System Center Data Protection Manager 2006
|
|
伺服器型號:
|
ASUS RS163-E4
|
|
伺服器說明:
|
入選理由同S03。本伺服器需要外界磁帶機,所以本身的儲存空間並不需要很大。
|
序號:S08
|
伺服器名稱:
|
SEC_SERVER_FILE
|
|
伺服器扮演角色:
|
文件與數字版權加密伺服器
|
|
安裝服務:
|
Microsoft Windows Rights Management Services (RMS)
Microsoft Windows Small Business Server 2003 R2
|
|
伺服器型號:
|
ASUS TS300-E4/PX4
|
|
伺服器說明:
|
TS300-E4/PX4採用英特爾® 至強® 3000系列雙核處理器和英特爾® 3000 MCH晶片組,支援DDR533/667記憶體,作為5U入門級伺服器提供快速處理能力和更高的效能。
TS300-E4/PX4通過LSI® 1068 PCI-X mini-SAS x 4介面支援RAID 0、1、1E,並且可以選購LSI® ZCR (Zero-Channel-RAID)PCI-X卡升級支援RAID 5,被公認為“效能領先的SAS儲存”。
|
其它裝置:
{ HP StorageWorks Modular Smart Array 500 G2
{ HP StorageWorks 1/8第二代
五、網路安全平臺之【拓撲結構說明】
1.網路安全接入技術實現原理概述
圖2 自動防禦系統實現模型
安全網路接入和策略部署包括下列內容:
{ 適用於動態主機配置協議和VPN、IPSec 的NAP 客戶端計算機;
{ 安全管理平臺,對於不符合當前系統執行狀況要求的計算機進行強制受限網路訪問,同時執行Internet 身份驗證服務 (IAS),支援系統策略配置和 NAP 客戶端的執行狀況驗證協調;
{ 策略伺服器,為IAS伺服器提供當前系統執行情況,幷包含可供接入客戶端訪問以糾正其非正常執行狀態所需的修補程式、配置和應用程式。策略伺服器還包括防病毒隔離和軟體更新伺服器。
{ 證照伺服器,向基於IPsec的網路接入客戶端頒發執行狀況證照。
2.分層模型
圖3 客戶端安全策略分層模型
根據上圖所示,NAP 伺服器有一個“強制隔離客戶端”(QES/ QEC)元件層。每個QES/ QEC都針對不同型別的網路訪問而定義。例如,有用於 DHCP 配置和 VPN 連線的 QES與具備 NAP 能力的客戶端一起工作。隔離伺服器推動 IAS 與系統執行狀況驗證器(SHV)之間的通訊,並根據已配置的一組系統執行狀況策略進行系統執行狀況分析。在用於防病毒和用於作業系統更新的 SHV層,用於檢查防病毒簽名的 SHV 與儲存最新防病毒更新版本號的伺服器匹配。在隔離方面,NAP提供了DHCP 隔離包含、VPN 隔離、IPsec 隔離多種取保通訊的訪問機制。
3.網路拓撲圖
圖4安全區域劃分拓撲圖
六、網路安全平臺之【實現效果】
{ 高可用性
在保證伺服器資料完整性的同時,方案中的選型伺服器都可以為使用者提供實時訪問保障。如ISA Server中的VPN服務、Web釋出服務等,都可以在檢測到故障的同時,透明地重定向或將故障程式切換給冗餘系統。
{ 可擴充性
可擴充性是指增加伺服器容量(在合理範圍內)的能力。隨著企業的發展和作業系統的升級,訪問伺服器資源的使用者越來越多,伺服器的壓力也將會與日俱增。因此我們在伺服器選型階段就已經考慮了:增加記憶體的能力、增加處理器的能力、增加磁碟容量的能力與作業系統升級後可能會遇到的限制。
{ 持續性度量
正如本文所述,網路安全的實現首先解決的是可信的度量問題。也可以理解為前提安全評估,任何將要獲得控制權的主體,都需要先接受可信度的評估。例如:從客戶端加電直到執行環境的建立,度量過程都一直在進行,包括系統中的每一個硬體、作業系統以及應用軟體都是可信的,遭受到病毒、木馬威脅的計算機自動修復,達到接入等級。
{ 資料安全
使用者的金鑰及身份證照在全新的網路改造中是的唯一的身份標識的資料,使用者可以將這樣的敏感資料儲存在USB智慧卡中,並將使用者的個人資料與晶片內封裝的金鑰繫結在一起。即便是資料被竊取,但由於資料已經與使用者身份繫結,在平臺的資訊發生變化後,其它使用者也無法獲取資料的內容。真正做到身份認證、授權訪問控制和安全責任審計的“每客戶”模式。
{ 打破區域限制
針對網路安全應用增加的伺服器應用,可實現網路信任系統中“無區域”的概念。利用伺服器安全管理的資源應用,所有的訪問必須通過策略伺服器的授權協議來完成的,只有通過合法授權才能訪問資源,最大限度的保護了敏感資料區域的訪問。