Benet集團辦公自動化項目介紹

《Benet集團辦公自動化項目介紹》由會員分享，可在線閱讀，更多相關《Benet集團辦公自動化項目介紹（45頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、Benet集團辦公自動化項目介紹 BENET集團 辦公自動化項目介紹 介紹人- 2011年9月8號 目錄 1 前言 5 1.1 項目概述 5 1.2 項目規(guī)劃目標和原則 5 1.2.1 項目規(guī)劃目標 5 1.2.2 項目規(guī)劃原則 5 1.2.2.2 先進性： 5 1.2.2.3 集成性： 5 1.2.2.4 開放性： 6 1.2.2.5 安全性： 6 1.2.2.6 容錯性： 6 1.2.2.7 高效率： 6 1.2.2.8 易

2、維護性： 6 1.2.2.9 易升級和易擴充性： 6 2 用戶總體需求介紹 6 2.1 企業(yè)環(huán)境： 6 2.1.1 企業(yè)基礎網(wǎng)絡建設需求 7 2.2 管理信息應用需求 7 2.2.1 郵件服務需求 7 2.2.2 Web服務需求 7 2.2.3 FTP服務需求 7 2.2.4 DC服務需求 8 2.2.5 網(wǎng)路打印、傳真和短信服務需求 8 2.2.6 視頻會議需求 8 2.3 安全需求 8 3 網(wǎng)絡基礎建設規(guī)劃方案 9 3.1 網(wǎng)絡基礎設計 9 3.2 網(wǎng)絡基礎環(huán)境 9 3.3 規(guī)劃企業(yè)網(wǎng)絡拓撲圖如下： 9 3.4 網(wǎng)絡交換設備選拔 10 3.4.1 核心層

3、采用 10 3.4.2 匯聚層采用 10 3.4.3 接入層采用 10 3.5 網(wǎng)絡基礎詳細規(guī)劃 10 3.5.1 IP地址規(guī)劃 10 3.5.2 VLAN規(guī)劃 10 3.6 網(wǎng)絡安全性規(guī)劃 11 3.6.1 提高設備的物理安全性 11 3.6.2 配置設備的口令 11 3.6.3 進行VTP域的認證 11 3.6.4 園區(qū)用戶的接入控制 11 3.6.5 應用系統(tǒng)的訪問限制 12 3.6.6 因特網(wǎng)的接入安全控制 12 4 信息系統(tǒng)設計 12 4.1 系統(tǒng)設計總體需求 12 4.2 系統(tǒng)設計原則 12 4.2.1 清晰的邏輯結構 12 4.2.2 便于管理

4、12 4.2.3 簡單的設計 13 4.2.4 合理的用戶管理 13 5 管理系統(tǒng)設計方案 13 5.1 管理系統(tǒng)的構架 13 5.2 管理系統(tǒng)設計 13 5.3 管理系統(tǒng)的安全設計 14 6 應用服務解決方案 16 6.1 Exchange 2007郵件服務器 16 6.1.1 介紹 16 6.1.2 主要優(yōu)勢 16 6.1.3 設計地理位置圖 17 6.1.4 設計組織結構圖 18 6.1.5 規(guī)劃Exchange組織及郵件服務器 18 6.1.6 規(guī)劃Exchange服務器角色 18 6.1.7 安裝時要注意的事項 19 6.1.8 批量添加帳號 20

5、6.1.9 配置郵箱數(shù)據(jù)庫 21 6.1.10 訪問的三種方式 21 6.2 WEB服務器 24 6.2.1 Apache簡介 24 6.2.2 主要優(yōu)勢 24 6.2.3 提供的功能 25 6.2.4 Apache安裝方式 25 6.2.5 構建Web服務器的設計方案 28 6.3 FTP服務器 35 6.3.1 簡介 35 6.3.2 主要優(yōu)勢 35 6.3.3 主要功能 36 6.3.4 管理控制臺： 36 6.4 數(shù)據(jù)庫服務 36 6.4.1 簡介 36 6.4.2 主要優(yōu)勢 37 6.4.3 應用架構 37 6.4.4 安裝問題 37 6.4.5

6、總結 38 6.5 活動目錄 38 6.5.1 簡介 38 6.5.2 主要優(yōu)勢 38 6.5.3 提供以下功能 38 6.5.4 客戶端 39 7 工程實施方案 39 7.1 實施人員名單 39 7.2 工程實施所需物品清單 40 7.3 工程改造點 40 7.4 預計工程完成時間 40 8 項目測試方案 40 8.1 網(wǎng)絡基礎測試 40 8.2 系統(tǒng)測試 41 8.3 設備測試 41 9 驗收方案 41 9.1 驗收基本說明 41 9.1.1 驗收計劃 41 9.1.2 驗收人員 42 9.1.3 驗收場所和驗收時間 42 9.1.4 驗收內容 42

7、 9.1.5 基本驗收標準 42 9.1.6 驗收方式 42 9.2 設備驗收（物理驗收） 43 9.2.1 質量技術要求 43 9.3 系統(tǒng)驗收（邏輯驗收） 43 10 項目費用 43 10.1 項目費用清單 43 10.2 設備費用清單 43 11 售后服務方案 44 11.1 免費培訓計劃 44 11.2 售后技術支持及維護內容 44 1 前言 1.1 項目概述 Huanyuan網(wǎng)絡信息建設公司是一家從事電子商務平臺工程建設方案和實施策略，力求完成：統(tǒng)一的電子政務網(wǎng)絡平臺；完善的重點業(yè)務系統(tǒng)；重

8、要的政務信息資源數(shù)據(jù)庫；便捷的網(wǎng)上咨詢和審批服務；協(xié)調的電子政務安全、運行保障體系。 作為整個電子商務的基礎，主要從基礎性、易見成效和滿足企業(yè)需要，主要包括：商務外網(wǎng)、商務內網(wǎng)、統(tǒng)一的門戶網(wǎng)站、一個數(shù)據(jù)中心、三個基礎數(shù)據(jù)庫、七個應用系統(tǒng)（統(tǒng)一的門戶網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、網(wǎng)上交互審批系統(tǒng)、視頻會議系統(tǒng)、應急指揮系統(tǒng)、視頻點播系統(tǒng)、公務郵件系統(tǒng)）及安全保障體系。 1.2 項目規(guī)劃目標和原則 1.2.1 項目規(guī)劃目標 主要目標是建成商務外網(wǎng)、商務內網(wǎng)，實現(xiàn)各部門互聯(lián)互通、資源共享；完成互聯(lián)網(wǎng)接入；完善企業(yè)門戶網(wǎng)站功能，整合、建設各部門子網(wǎng)站；建成網(wǎng)上交互審批、辦公自動化、視頻會議系統(tǒng)等業(yè)

9、務系統(tǒng)。 1.2.2 項目規(guī)劃原則 1.2.2.1 實用性： 根據(jù)系統(tǒng)需求出發(fā)，按照系統(tǒng)投入結合具體運用和淮安實際來設計系統(tǒng)，最大限度的滿足各項功能要求，確保實用性，系統(tǒng)應具有良好的性能價格比。 1.2.2.2 先進性： 系統(tǒng)要采用國際上先進、成熟、實用的技術，既保證系統(tǒng)實現(xiàn)的功能，又保證系統(tǒng)在未來的五年內，其技術仍能滿足應用發(fā)展的需求。 1.2.2.3 集成性： 系統(tǒng)的各個部分，既要是相對獨立的子系統(tǒng)，又能實現(xiàn)相互之間必要的信息交換，可實現(xiàn)自上而下、集中統(tǒng)一的網(wǎng)絡、設備監(jiān)控和管理。 1.2.2.4 開放性： 系統(tǒng)設計采用的各項設備（軟、硬件）均應符合國際通用標準，符合開放性

10、原則，組網(wǎng)使用的技術要與技術發(fā)展的潮流吻合，保證系統(tǒng)的開放性和技術延伸性，與日后的技術應具有良好的親和性。 1.2.2.5 安全性： 必須保證系統(tǒng)和信息的高安全性，采取必要的防范措施，使整個系統(tǒng)受到有意、無意的非法侵入而造成系統(tǒng)破壞的可能性降至最低程度。 1.2.2.6 容錯性： 根據(jù)設備的功能、重要性等分別采用冗余、容錯、備份等技術，以保證局部的錯誤不影響整個系統(tǒng)的運行。 1.2.2.7 高效率： 采用新技術和穩(wěn)定的設備，將整個系統(tǒng)的信息流量維持在一個均衡高效的指標內。 1.2.2.8 易維護性： 系統(tǒng)的管理、維護和維修具有簡易性和可操作性。 1.2.2.9 易升級和易擴充

11、性： 建立符合J2EE規(guī)范的可信Web計算平臺，提供基于XML技術、Web Service技術等技術的基礎組件服務，如：工作流引擎平臺、數(shù)據(jù)交換平臺、應用集成平臺等，滿足業(yè)務應用層快速形成信息共享與交換機制、公文傳輸、網(wǎng)上協(xié)同辦公等綜合業(yè)務應用系統(tǒng)的需求。保持接口統(tǒng)一、訪問簡單、易升級、易擴充的特點。 2 用戶總體需求介紹 2.1 企業(yè)環(huán)境： BENET集團是一家從事電子產(chǎn)品研發(fā)、生產(chǎn)和銷售的集團公司，總部在武漢，下設宜昌、重慶分公司，北京是新成立的子公司，下設昌平、上海分公司； 隨著規(guī)?；?jīng)營和戰(zhàn)略發(fā)展的需要，在武漢某產(chǎn)業(yè)園購置了一塊土地，新建了辦公大樓、輔樓和廠房，提供600多個

12、固定信息點和200個移動客戶端接入能力，在外子公司、分公司和移動客戶還可以通過VPN接入企業(yè)內部網(wǎng)，享用相應的資源；內網(wǎng)和外網(wǎng)的訪問需有安全性、授權和記錄。 在網(wǎng)站、 ERP、 OA和郵件等日常業(yè)務基礎上，電話會議和視頻會議業(yè)務逐步增多。為提高核心競爭力，企業(yè)文檔安全管理和網(wǎng)站營銷推廣也越來越迫切。 2.1.1 企業(yè)基礎網(wǎng)絡建設需求 總部大樓和廠區(qū)互連，至少千兆主干、百兆桌面，確保各單元網(wǎng)絡通信質量； 集團經(jīng)常召開電話會議和視頻會議，需滿足多方同時通話的功能及帶寬要求； 要滿足領導、客戶及會議室相應的移動上網(wǎng)需要； 在滿足一般員工基本上網(wǎng)需要的同時，要確保領導層的上網(wǎng)特權和帶寬；

13、 總部核心交換機需采用雙機熱備和動態(tài)路由； 2.2 管理信息應用需求 2.2.1 郵件服務需求 總部與子公司、分公司共用一個企業(yè)郵件系統(tǒng)，其中：武漢總部和宜昌分公司的郵件服務器域名，郵箱格式：name@，北京子公司和昌平分公司的郵件服務器域名，郵箱格式：name@ 設兩個郵箱管理員：武漢的郵箱管理員可以管理總部、子公司和分公司的郵箱賬號，北京的郵箱管理員只能管理北京子公司和昌平分公司的郵箱賬號； 2.2.2 Web服務需求 總部網(wǎng)站：，ERP：，OA：，內部論壇：，其中：網(wǎng)站和內部論壇在同一個服務器上ERP 、OA 在另一個服務器上。 總部網(wǎng)站、 ERP 和OA允許內外網(wǎng)用戶訪問

14、，論壇只允許內部用戶訪問； 集團還有一個網(wǎng)站，在外托管，且與的內容一致，需保持兩個網(wǎng)站內容同步更新； 網(wǎng)站需做搜索引擎優(yōu)化（SEO）。 2.2.3 FTP服務需求 集團有兩臺FTP服務器： 武漢總部： 研發(fā)中心： 總部FTP服務器允許內外網(wǎng)用戶訪問，研發(fā)中心FTP服務器僅允許內部用戶訪問； 總部FTP服務器設匿名用戶和授權用戶，匿名用戶只能下載，授權用戶可上傳下載文件；研發(fā)中心FTP服務器無匿名用戶，只設授權用戶用于上傳下載文件； FTP賬戶空間默認大小均為10G，下載速率100KB/S，上傳速率500KB/S。 2.2.4 DC服務需求 集團總部

15、域名：，宜昌分公司域名：，研發(fā)中心域名：，北京子公司域名：； 各部門、分公司、子公司用戶只能登陸各自子域，武漢總部域管理員管理域，研發(fā)中心和宜昌分公司域管理員管理各自子域，北京分公司域管理員管理域； 武漢總部財務部和北京子公司財務部各有共享資源，允許對方財務人員只讀訪問，本方財務人員全權訪問；宜昌分公司財務部也需要跟總部財務部共享資源。 2.2.5 網(wǎng)路打印、傳真和短信服務需求 在總經(jīng)辦、財務部、市場部、制造中心和研發(fā)中心分設網(wǎng)絡打印機，其中總經(jīng)辦打印機可供總部職能部門使用，其它打印機只供各自部門使用； 總經(jīng)辦、財務部、市場部和制造中心分設不同的對外傳真賬號，以電子檔方式收發(fā)日常傳真

16、； 總經(jīng)辦和市場部可通過網(wǎng)絡向員工及客戶發(fā)送手機短信。 2.2.6 視頻會議需求 總部、子公司、分公司相互之間可隨時召開多方電話會議和視頻會議； 2.3 安全需求 2.3.1.1 系統(tǒng)安全要求 內網(wǎng)所有客戶端自動升級操作系統(tǒng)安全補?。? 安裝企業(yè)殺毒軟件，服務器端和客戶端定時查殺病毒并升級補丁； 2.3.1.2 網(wǎng)絡環(huán)境安全要求 總部Web和論壇服務器放入DMZ區(qū)，ERP 、OA 和FTP服務器放入trust區(qū)； 在機房部署入侵檢測系統(tǒng)，監(jiān)測內網(wǎng)安全； 域用戶賬戶兩個月不登陸的自動禁用，所有密碼需6位以上，有復雜性要求； 研發(fā)中心技術文檔未經(jīng)授權禁止打印，即使拷貝出來

17、也無法瀏覽，大部分設計人員電腦USB盤禁用； 未經(jīng)授權的員工QQ一律禁用、相關娛樂網(wǎng)站禁止訪問，員工上網(wǎng)行為均有監(jiān)控和記錄； 數(shù)據(jù)庫服務器需有備份供隨時恢復，外網(wǎng)對內網(wǎng)以及內網(wǎng)之間的數(shù)據(jù)訪問均有日志。 3 網(wǎng)絡基礎建設規(guī)劃方案 3.1 網(wǎng)絡基礎設計 在網(wǎng)絡的物理結構上，采用星形加環(huán)型拓撲結構。采用高速可靠的千兆以太網(wǎng)作為主干網(wǎng)，使用快速以太網(wǎng)作為各委辦局的網(wǎng)絡分支。主干網(wǎng)采用光纖，網(wǎng)絡傳輸協(xié)議為TCP/IP。利用光纖技術，可提供充裕的帶寬和優(yōu)良的性能保證，既能傳遞普通數(shù)據(jù)信息，又能傳遞各類實時的聲音、圖像等多媒體信號。 3.2 網(wǎng)絡基礎環(huán)境 采用TCP/IP協(xié)議，采用層次化的網(wǎng)絡

18、結構，網(wǎng)絡在拓撲結構上分為三個層次，核心層、匯聚層、接入層。 3.3 規(guī)劃企業(yè)網(wǎng)絡拓撲圖如下： 3.4 網(wǎng)絡交換設備選拔 3.4.1 核心層采用 機箱式模塊化設計具備三層交換、可網(wǎng)管等功能。具體如下： 千兆位密度、數(shù)據(jù)和語音集成，交換帶寬128Gbps以上； 支持IP、IPX和IP多點廣播第三層交換； 支持10/100以太網(wǎng)端口、100BASE-FX快速以太網(wǎng)端口和千兆位以太網(wǎng)端口； 支持設備級的容錯：冗余監(jiān)管器冗余、負載共享性質的電源（直流和交流）、冗余系統(tǒng)時鐘、冗余上行鏈路、冗余交換機網(wǎng)絡等； 支持IP的智能應用，如IP電話、基于軟件的電話、視頻客戶端等應用；

19、千兆以太網(wǎng)模塊應符合IEEE 802.3z標準，支持全雙工，可以配置SX和LX/LH的GBIC（千兆比特接口轉換器）。所有千兆比特以太網(wǎng)端口應有適用于多模光纖（MMF）或單模光纖（SMF）的SC類接頭； 系統(tǒng)設計核心交換機配置兩臺互為熱備份，每臺配備雙電源系統(tǒng)，全面實現(xiàn)核心交換機的雙機備份系統(tǒng)。 3.4.2 匯聚層采用 工作在二層的交換機，是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路 3.4.3 接入層采用 接入層目的是允許終端用戶連接到網(wǎng)絡，因此接入層交換機具有低成本和高端口密度特性。接入交換機是最常見的交換機，它

20、直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機房和業(yè)務受理較為集中的業(yè)務部門、多媒體制作中心、網(wǎng)站管理中心等部門。在傳輸速度上，現(xiàn)代接入交換機大都提供多個具有10M/100M/1000M自適應能力的端口。 3.5 網(wǎng)絡基礎詳細規(guī)劃 3.5.1 IP地址規(guī)劃 IP地址具體規(guī)劃看網(wǎng)絡拓撲圖 3.5.2 VLAN規(guī)劃 Vlan具體規(guī)劃看網(wǎng)絡拓撲圖 3.6 網(wǎng)絡安全性規(guī)劃 3.6.1 提高設備的物理安全性 設備的物理安全性是指未經(jīng)授權的人員不能直接接觸到運行中的設備，提高設備的物理安全性，是網(wǎng)絡安全最基本的要求。通過將設備安置在獨立的設備間中，并增加門禁系統(tǒng)，確保

21、只有授權的管理人員和維護人員才能接觸到物理設備。 控制telnet 僅允許管理員登陸網(wǎng)絡設備 禁止CDP 在公司連接外網(wǎng)的端口禁止CDP no cdp enable 3.6.2 配置設備的口令 配置設備的口令，是防止非授權的人員更改網(wǎng)絡系統(tǒng)的配置的重要手段。 要為所有的設備設置口令。要為每一臺設備配置CONSOLE口令，AUX口令，VTY口令，特權口令等 在口令方面，需要制定管理制度并嚴格執(zhí)行?？诹罟芾碇贫劝诹畹脑O置，保管，更改，口令的強度等內容。 禁用no enable password 最好對所有密碼進行加密service password-enc

22、ryption 3.6.3 進行VTP域的認證 進行VTP域的認證，能夠保證局域網(wǎng)的VLAN等的安全。 設置了口令之后，除非交換機設置了正確的口令，否則。新交換機不能自動加入到已存在的管理域中。保證了局域網(wǎng)的運行安全，可以避免因為VLAN被錯誤或者惡意的增加。刪除造成的運行事故。 3.6.4 園區(qū)用戶的接入控制 因為一般的安全措施都不是針對網(wǎng)絡用戶的，嚴格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。 園區(qū)網(wǎng)系統(tǒng)建設驗收完畢之后，確保交換機的所有用戶端口處于關閉狀態(tài)。只有用戶使用申請通過批準之后網(wǎng)絡管理員才能將端口激活。 3.6

23、.5 應用系統(tǒng)的訪問限制 可以根據(jù)XXX的應用需求，在匯聚層的多層交換機上實施訪問控制，限制園區(qū)網(wǎng)用戶對特定應用系統(tǒng)的訪問，或者只允許特定的用戶訪問某些資源。 3.6.6 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設備，還要指定嚴格的安全策略。 4 信息系統(tǒng)設計 4.1 系統(tǒng)設計總體需求 本項目的實施目的是在benet集團內部建立穩(wěn)定，高效的辦公自動化網(wǎng)絡，通過項目的實施，為所有員工配桌面PC，使所有員工能夠通過總部網(wǎng)絡進入internet，從而提高所有員工的工作效率和加快企業(yè)內部信息的傳遞。同時需要建立WEB服務器，用于在互聯(lián)

24、網(wǎng)上發(fā)布企業(yè)信息。在總部和子公司均設立專用發(fā)服務器，使集團內所有員工能夠利用服務器方便的訪問公共文件資源，并能夠完成企業(yè)內部郵件的收發(fā)。系統(tǒng)建立完成后，要求能滿足企業(yè)個方面的應用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等。 4.2 系統(tǒng)設計原則 4.2.1 清晰的邏輯結構 要求集團范圍內的系統(tǒng)管理結構清晰，層次分明，能夠充分的與集團的管理結構相吻合。集團總部和各個分公司應是相互獨立的管理單元，各個單位在自己公司范圍內實現(xiàn)用戶賬戶及網(wǎng)絡安全的管理?？偛抗芾韱T有權管理各個子公司的系統(tǒng) 4.2.2 便于管理 整個系統(tǒng)設計要便于網(wǎng)絡管

25、理員的管理，在系統(tǒng)中提供便于管理員管理的各種有效方式。使管理員在任何一個位置均能對服務器進行維護和管理。集團總部及各分公司都有專職系統(tǒng)管理員，應保障管理員只對本公司具有管理權限?？偛抗芾韱T對集團所有系統(tǒng)有管理權限。 4.2.3 簡單的設計 在保障滿足需求的前提下，設計方案應簡單為佳，避免由于復雜的設計增加工程實施難度和增加集團系統(tǒng)管理的復雜性。 4.2.4 合理的用戶管理 所有的用戶采用統(tǒng)一的命名規(guī)則，每個單位對本單位員工帳戶進行獨立的管理，并按不同部門管理賬號。 5 管理系統(tǒng)設計方案 5.1 管理系統(tǒng)的構架 根據(jù)集團的管理結構。本方案采用Windows

26、系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團按公司單位劃分不同的模塊，集團總部作為域林的根，每個子公司為一個獨立的域或者域樹，形成一個完整的樹狀結構。采用這種結構，可以將網(wǎng)絡中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復制流量和網(wǎng)絡對象的查詢時間。 在此構架設計中，benet集團需要自己的獨立的域名，所以在設計林中樹，湖北的4個子公司作為總部的子域，北京和上海分公司作為一單獨的域樹， 由于所有的資源都位于園區(qū)網(wǎng)內，具有高速的網(wǎng)絡連接

27、，因此所有的域均在一個站點內。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運行。并且提高了用戶身份驗證的速度。 操作主機分配：操作主機域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2003的域中，一共有五種操作主機，分別是構架主機，域名主機，RID主機，PDC仿真器，結構主機。其中前面2種在林范圍內起作用，后面3種在域范圍內起作用，為了使用所有的操作主機更好的工作，保障正常的工作并且不產(chǎn)生大的復制流量，方案采用了Windows系統(tǒng)默認的設置，根域中第一臺DC承擔了五種操作主機的角色，每個子域中的 第一臺DC承擔了域范圍內的三種操作主機角色。 5.2

28、管理系統(tǒng)設計 在系統(tǒng)設計時包括三個部分，分別是OU，用戶及組的設計，為了更好的滿足集團的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結構與集團的管理結構相匹配，方案中采用了如下所述的設計。 OU的設計 集團的OU設計目的是為了使用用戶管理更有效率，結構更加清晰，并能夠使系統(tǒng)的管理結構與集團的商業(yè)模型相匹配。在本方案中按部門劃分OU的方法，將每個公司中以部門為單位創(chuàng)建OU，并在部門OU中保存該部門的用戶帳戶，計算機帳戶及組采用這種設計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結構，一般情況下，一個部門內部中的用戶常常有相似的安全需求，利用這樣的設計方法，也可以方

29、便的將安全策略應用到某個部門。 擁護管理 為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡中擁有唯一的登陸名。用戶帳戶在所屬的部門的OU中創(chuàng)建。 組的管理 為了滿足集團用戶管理的需求，更好的在網(wǎng)絡中管理用戶權限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權限的指派。在本域內的權限的分配，可以使用AGDLP策略，在域間的權限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權限

30、授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權限分配簡單，也可以減少域間的復制流量，從而提高系統(tǒng)的性能。如圖所示： 域本地組 通用組 全局組 用戶 通用組 全局組 用戶 分配權限 5.3 管理系統(tǒng)的安全設計 在設計方案中，安全的設計主要分2個部分，首先是ISA Server的應用，通過ISA Server的配置，建立軟件防火墻，保護集團內部網(wǎng)絡不受外部用戶的攻擊，同時利用ISA Server提供的網(wǎng)站過濾功能和服務器發(fā)布功能，對企業(yè)內部用戶的上網(wǎng)行為進行規(guī)范，并能保障服務器的安全使用。其次，在方案設計中，充分應用Window系統(tǒng)

31、提供的組策略功能，利用組策略，可以在每個公司的域中設計安全策略。防止用戶進行非授權的訪問，保護用戶在工作環(huán)境不受破壞。具體的設計方案如下： ISA Server：ISA Server是微軟公司出品的軟件防火墻代理服務器產(chǎn)品，它不僅可以起到代理服務器的緩存作用，也能實現(xiàn)防火墻的功能，通過軟件防火墻上設置過濾規(guī)則，可以控制內部用戶對網(wǎng)站的訪問，同時利用其提供的服務器發(fā)布功能，也可以將企業(yè)內部的服務器發(fā)布到Internet上，提供互聯(lián)網(wǎng)的訪問，在本方案的設計中，主要利用了網(wǎng)站過濾和服務器發(fā)布的功能，在集團中心即房安裝和配置ISA服務器，繼承防火墻功能和代理服務器的功能，將集團總部及子公司的

32、WEB服務器及MAIL服務器發(fā)布到互聯(lián)網(wǎng)上。集團中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務器轉發(fā)，這樣，就可以在ISA服務器上對所有網(wǎng)絡流量進行監(jiān)控并對實現(xiàn)網(wǎng)絡訪問的過濾。具體部署如圖： 對外發(fā)布WEB MAIL 森林 樹 ISA Client ISA Client ISA Server 防火墻功能：ISA服務器位于企業(yè)網(wǎng)絡和外網(wǎng)之間，采用三網(wǎng)卡分別連接內網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內容規(guī)則來限制用戶能夠訪問的網(wǎng)站 服務器發(fā)布：利用ISA服務器將企業(yè)中的郵件和WEB服務器發(fā)布到互聯(lián)網(wǎng)上，保證外部用

33、戶可以訪問公司的WEB服務器，并將公司用戶可以與外部客戶利用郵件交換信息。 客戶端：在所有用戶計算機上安裝ISA客戶端軟件，并配置瀏覽器使用ISA Server作為代理服務器上網(wǎng)。 安全策略：在Windows系統(tǒng)中的域模式下，安全策略是保護系統(tǒng)及用戶在工作環(huán)境不被破壞的重要工具，在本方案中采用了組策略這個工具對全部系統(tǒng)提供安全保護，由于集團各個子公司采用獨立的管理模式，所以在每個域中單獨設置組策略，并使組策略應用到每個域中的用戶和計算機。各個子公司的系統(tǒng)管理員可以獨立的管理子公司的域，并可以在以后修改和編輯組策略，以適應公司未來的需求。在本方案中，根據(jù)集團的目前的需求，建立了基本的組策略

34、 ⑴ 密碼長度最小值為7 ⑵ 密碼最長存留期為30天 ⑶ 密碼過期期限為50天 ⑷ 帳戶鎖定閥值為5次無效登陸 ⑸ 啟動密碼必須符合復雜性需求策略 6 應用服務解決方案 6.1 Exchange 2007郵件服務器 6.1.1 介紹 對于當今大多數(shù)企業(yè)而言，電子郵件是可讓其員工產(chǎn)生最佳結果的關鍵性通訊工具。對電子郵件的日益依賴已增加了郵件的發(fā)送和接收數(shù)量、完成的工作的種類、甚至業(yè)務本身的速度。在這種變化當中，員工的期待也日益增長。今天，員工希望實現(xiàn)豐富、高效的訪問 –電子郵件、日歷、附件、聯(lián)絡人等等 – 無論他們身在何處，或使用哪種類型的設備。 對于 IT

35、專業(yè)人員而言，針對這些需求所提供的消息通信系統(tǒng)必須能與安全性和成本等其他需求之間取得平衡。隨著對電子郵件的需求和利用的日益增長，企業(yè)安全性需求也越來越復雜。當前，IT 部門必須全力對抗廣泛的電子郵件安全性威脅：不斷發(fā)展的垃圾郵件和病毒、不一致的風險、電子郵件遭到攔截和篡改的弱點、以及天災人禍的潛在傷害。 雖然安全性確實是第一優(yōu)先，然而 IT 也深切認識到管理成本的必要性。有限的時間、金錢和資源反映了現(xiàn)實，而 IT 總是被要求能夠做到多快好省。因此，IT 專業(yè)人員期待獲得一種可以滿足企業(yè)和員工需求、部署和管理均符合成本效益的消息通信系統(tǒng)。 Microsoft Exchange

36、 Server 2007 旨在能應對這些挑戰(zhàn)，并滿足消息通信系統(tǒng)中不同群組的需求。Microsoft Exchange Server 2007 的新增功能可為貴公司提供先進的安全保護、您的員工期盼的隨處訪問能力、以及您所期望的 IT 操作效率。 6.1.2 主要優(yōu)勢 ? 以企業(yè)級的可用性和可靠性保持通訊的暢通和電子郵件的持續(xù)收發(fā) ? 協(xié)助保護用戶和企業(yè)的重要數(shù)據(jù)免于垃圾郵件和病毒的傷害 ? 在企業(yè)內自動提供可靠的通訊，無需增加成本或復雜性 ? 以同時滿足員工、一致性管理者和消息通信管理員不同需求的方式來簡化法規(guī)一致性的管理 ? 提高當今員工的生產(chǎn)力，他們需要能夠在家中、辦公室或移動

37、過程中快速響應的能力 ? 為員工提供單一且通用的收件箱，可以訪問其全部重要的通信– 包括語音郵件、傳真和電子郵件 – 同時節(jié)省了維護分散的系統(tǒng)所需的成本和精力 ? 在不同設備和用戶端之間提供快速、順暢和熟悉的 Microsoft Office Outlook 體驗，并在 Internet 或基本電話連接之外無需額外的軟件或服務 ? 通過使您能夠更加輕松地隨處查找和共享數(shù)據(jù)、文件與行程，提高協(xié)作和生產(chǎn)力 ? 借助 x64 計算和帶寬優(yōu)化路由演算法的強大功能，充分利用硬件、軟件和網(wǎng)絡投資 ? 通過更加輕松地尋找和修復問題，以及更加簡單地自動完成任務，提高管理員的生產(chǎn)力 ? 利用自動客戶

38、端連接、新的基于服務器角色的架構、以及改進的診斷和監(jiān)視，提高部署效率 ? 新的 Exchange Web 服務，簡化商業(yè)應用系統(tǒng)和第三方解決方案中的 Exchange Server 數(shù)據(jù)的集成 6.1.3 設計地理位置圖 17 6.1.4 設計組織結構圖 武漢總公司 北京分公司 6.1.5 規(guī)劃Exchange組織及郵件服務器 6.1.6 規(guī)劃Exchange服務器角色 簡單的Exchange組織可以將所有服務器角色部署在單臺計算機中。 § Exchange 2007包括以下服務器角色： ? 郵箱服務器 ? 客戶端訪問服務器

39、 ? 統(tǒng)一消息服務器 ? 中心傳輸服務器 ? 邊緣傳輸服務器 6.1.7 安裝時要注意的事項 · 注意：如要安裝第二臺郵件服務器，需注意以下幾點： · 不推薦在域控上安裝，如機器有限，則需將該域控提升為全局編錄服務器。 · 安裝用戶必須擁有足夠權限，推薦直接使用根域管理員來完成這個操作。 · 安裝之前還需要使用安裝根目錄 /preparedomain命令進行域準備。 · 安裝完成之后，可在管理控制臺上看到兩臺郵箱服務器。 6.1.8 批量添加帳號 因為在安裝EXCHANGE服務器之前就已經(jīng)建立了一些WINDOWS帳號，另外由于公司合并同樣需要新建一批用戶帳號，

40、手動輸入太過繁瑣，因此可以考慮使用命令自動新建用戶。 · 首先需要有一個含有用戶名單的EXCEL文件，并將其擴展名改為CSV。表格結構應類似下圖： · 之后新建一個ps1文件，內容如下： Function secureit( $string ) { $ss = New-object System.Security.SecureString $string.GetEnumerator() | foreach { $ss.AppendChar( $_ ) } $ss } import-csv c:\users2.csv | foreach

41、 {new-mailbox -name $_.name -alias $_.alias -userprincipalname $_.UPN -password (secureit $_.Password) -reset:$false -org Sales -database "Mailbox Database"} · 最后于EXCHANGE命令行下運行該PS1文件即可批量新建用戶。 · 如用戶已存在于WINDOWS中，可以使用以下語句批量為用戶新建郵箱： · 將所有需要啟用郵箱的用戶帳號放到一個OU下，例如MailUsers，然后使用下面的命令進行過濾： get-user –Or

42、ganizationalUnit “mailusers”| enable-mailbox –database “SERVERNAME\MAILBOX DATABASE NAME” · 或者在每個OU下執(zhí)行上述腳本。 6.1.9 配置郵箱數(shù)據(jù)庫 · 設置郵箱存儲限制 6.1.10 訪問的三種方式 6.1.10.1 Outlook 體驗 除了以上優(yōu)點和功能以外，Exchange Server 2007 還提供與最廣泛的客戶端實現(xiàn)的最佳集成。Exchange Server 支援完整的 Outlook 體驗，從桌面上的 Outlook 到 Outlook Web Access、Ou

43、tlook Mobile、以及 Exchange 統(tǒng)一的消息通信功能之一的新的 Outlook 語音訪問。Exchange Server 也與 Microsoft Windows SharePoint Services 和其他 Office 應用系統(tǒng)、以及第三方系統(tǒng)和設備相互集成。 6.1.10.2 Outlook Web Access體驗 6.1.10.3 OutlookExpress體驗 1. 你使用POP3服務收發(fā)郵件，請先在EXCHANGE上查看POP3配置，有沒有啟用加密驗證？ 2. 加密驗SSL/TSL指的是在郵件通信過程中加密，但是這需要在兩端安裝證書，來確保

44、通信雙方是安全匹配的。 3. 如果沒有安裝證書，則客戶端會跳出驗證窗口叫你輸入用戶名和密碼。 4. 你的這個問題本身就和EXCHANGE服務器沒什么太大關系，建議你檢查你的客戶端配置！ 6.2 WEB服務器 6.2.1 Apache簡介 Apache是世界使用排名第一的Web服務器軟件。它可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一。同時Apache音譯為阿帕奇，是北美印第安人的一個部落，叫阿帕奇族，在美國的西南部。也是一個基金會的名稱、一種武裝直升機等等。 6.2.2 主要優(yōu)勢 支持最新的HTTP/1.1通信

45、協(xié)議 　　 擁有簡單而強有力的基于文件的配置過程 　　 支持通用網(wǎng)關接口 　　 支持基于IP和基于域名的虛擬主機 　　 支持多種方式的HTTP認證 　　 集成Perl處理模塊 　　 集成代理服務器模塊 　　 支持實時監(jiān)視服務器狀態(tài)和定制服務器日志 　　 支持服務器端包含指令(SSI) 　　 支持安全Socket層(SSL) 　　 提供用戶會話過程的跟蹤 　　 支持FastCGI 　　 通過第三方模塊可以支持Java Servlets 6.2.3 提供的功能 6.2.3.1 構建公司的對外Web站點 運行對外的產(chǎn)品宣傳網(wǎng)站 開放中文論壇服務 6.2.3.2 構

46、建企業(yè)ERP站點 為企業(yè)信息管理系統(tǒng)增加與客戶或供應商實現(xiàn)信息共享和直接的數(shù)據(jù)交換的能力 6.2.3.3 構建企業(yè)OA站點 使企業(yè)內部人員方便快捷地共享信息，高效地協(xié)同工作 實現(xiàn)迅速、全方位的信息采集、信息處理 6.2.4 Apache安裝方式 6.2.4.1 基于源碼包 mkdir /web/http ./configure --prefix=/web/http --with-z=/web/zlib --with-included-apr --disable-userdir --enable-so --enable-deflate=shared --enable-expire

47、s=shared --enable-rewrite=shared --enalbe-static-support --prefix=/web/http 安裝在/web/http 目錄下 --with-included-apr 使用捆綁APR/APR-Util的副本 --disable-userdir? 請求的映象到用戶特定目錄 --enable-so? 以動態(tài)共享對象（DSO）編譯 --enable-deflate=shared 縮小傳輸編碼的支持 --enable-expires=shared 期滿頭控制 --enable-rewrite=shared 基于規(guī)則的URL操控

48、--enable-static-support 建立一個靜態(tài)鏈接版本的支持 啟動服務 /web/http/bin/apachectl start 驗證是否啟動成功 netstat -anl | grep 80 也可以將Apache的命令加入到命令庫中，就不用寫路徑了 ln -s /web/http/bin/apachectl /bin/apachectl 讓服務器開機啟動 echo "/web/http/bin/apachectl" >>/etc/rc.d/rc.local //Apache服務器ok了 6.2.4.2 基于rpm包 a：掛載光盤 [root@local

49、host ~]# mount /dev/hdc /mnt b：安裝 ? 因為rpm包安裝經(jīng)常會遇到包之間的依賴關系，這里我們有yum來安裝， 所以我們先配置yum，然后安裝 配置yum [root@localhost ~]# vi /etc/yum.repos.d/rhel-debuginfo.repo [rhel-debuginfo] name=Red Hat Enterprise Linux $releasever - $basearch - Debug baseurl=file:///mnt/Server enabled=1 gpgcheck=1 gpgkey=f

50、ile:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release 這樣yum?就配置好了，在企業(yè)版5里yum默認是安裝好的，只要簡單配置 就可以使用 [root@localhost ~]# yum install httpd –y?回車apahce服務就裝上了 c：我們現(xiàn)在啟動服務并用客戶端測試一下。? 6.2.5 構建Web服務器的設計方案 6.2.5.1 使用源碼包搭建LAMP架構 6.2.5.1.1 MySQL的安裝 1. 添加MySQL用戶和組 useradd -M -s /sbin/nologin mysql 2. 釋放M

51、ySQL軟件包 3. 編譯前的預配置 ./configure --prefix=/usr/local/mysql 4. 編譯并安裝 make && make install · 安裝后的調整 [root@www mysql-5.0.56]# cp support-files/my-f /etc/f [root@www mysql-5.0.56]# cd /usr/local/mysql/ [root@www mysql]# bin/mysql_install_db --user=mysql [root@www mysql]# chown -R root.mysql /

52、usr/local/mysql/ [root@www mysql]# chown -R mysql /usr/local/mysql/var [root@www mysql]# vi /etc/ld.so.conf …… /usr/local/mysql/lib/mysql [root@www mysql]# ldconfig 使用mysqld_safe腳本安全啟動服務 [root@www mysql]# /usr/local/mysql/bin/mysqld_safe --user=mysql & 設置MySQL程序的執(zhí)行路徑 [root@www mysql]# ex

53、port PATH=$PATH:/usr/local/mysql/bin [root@www mysql]# vi /etc/profile …… PATH=$PATH:/usr/local/mysql/bin 將MySQL添加為系統(tǒng)服務 [root@www mysql]# cd /usr/src/mysql-5.0.56/ [root@www mysql-5.0.56]# cp support-files/mysql.server /etc/init.d/mysqld [root@www mysql-5.0.56]# chmod +x /etc/init.d/mysqld

54、[root@www mysql-5.0.56]# chkconfig --add mysqld [root@www mysql-5.0.56]# chkconfig mysqld on 6.2.5.1.2 PHP的安裝 1. 獲取php源碼包 php-5.2.6.tar.gz 2. 釋放php源碼包 3. 編譯前的預配置 [root@www php-5.2.6]# ./configure \ > --prefix=/usr/local/php5 \ > --enable-mbstring \ > --with-apxs2=/usr/local/apache2/bin/a

55、pxs \ > --with-mysql=/usr/local/mysql \ > --with-config-file-path=/usr/local/php5 · 需修改httpd.conf配置文件 · 確認加載 libphp5.so 模塊 · 添加對 .php 網(wǎng)頁文件的支持 · 重新啟動httpd服務后生效 [root@www ~]# vi /usr/local/apache2/conf/httpd.conf …… LoadModule php5_module modules/libphp5.so …… AddType application/x-ht

56、tpd-php .php …… DirectoryIndex index.php index.html …… [root@www ~]# /usr/local/apache2/bin/apachectl restart 6.2.5.2 安裝Discuz！論壇系統(tǒng) 1. 建立bbs論壇的數(shù)據(jù)庫及授權用戶 mysql> CREATE DATABASE bbsdb; mysql> GRANT all ON bbsdb.* TO runbbs@localhost IDENTIFIED BY 'pwd@123'; mysql> quit 2. 解包并上傳至網(wǎng)頁目錄

57、· Discuz_6.1.0_SC_UTF8.zip · UCenter_1.0.0_SC_UTF8.zip [root@www ~]# unzip Discuz_6.1.0_SC_UTF8.zip -d discuz [root@www ~]# mv discuz/upload /usr/local/apache2/htdocs/www/bbs [root@www ~]# unzip UCenter_1.0.0_SC_UTF8.zip -d ucenter [root@www ~]# mv ucenter/upload /usr/local/apache2/htdocs/www/u

58、center 3.調整相關目錄及文件的歸屬 · 以便論壇程序能夠寫入數(shù)據(jù) · Ucenter：data/ · Discuz：config.inc.php、attachments/、 forumdata/、uc_client/data/cache/ [root@www src]# cd /usr/local/apache2/htdocs/www/ucenter [root@www uncenter]# chown -R daemon ./data [root@www uncenter]# cd ../bbs [root@www bbs]# chown -R daemon con

59、fig.inc.php attachments/ [root@www bbs]# chown -R daemon forumdata/ uc_client/data/cache/ 4. Ucenter 網(wǎng)頁安裝向導 · 5. Discuz！網(wǎng)頁安裝向導 · 6. 訪問Discuz!論壇系統(tǒng) · 論壇首頁： · 管理中心： 6.2.5.3 構建虛擬Web主機 總部Web服務器網(wǎng)站、OA、內部論壇的虛擬主機 [root@www htdocs]# vi /usr/local/apache2/conf/httpd.conf …… NameVirt

60、ualHost 192.168.19.5 DocumentRoot /usr/local/apache2/htdocs/www ServerName DocumentRoot /usr/local/apache2/htdocs/oa ServerName 總部ERP的虛擬主機 [root@www htdocs]# vi /usr/local/apache2/conf/htt

61、pd.conf …… NameVirtualHost 192.168.19.7 DocumentRoot /usr/local/apache2/htdocs/erp ServerName 6.2.5.4 Web站點的訪問控制 6.2.5.4.1 基于客戶端地址的訪問控制 · Order配置項，定義控制順序 先允許后拒絕，默認拒絕所有：Order allow,deny 先拒絕后允許，默認允許所有：Order deny,allow · Allow、Deny配置項，設

62、置允許或拒絕的地址 Deny from address1 address2 … Allow from address1 address2 … Order allow,deny Allow from 192.168.19.0/24 Deny from all 6.3 FTP服務器 6.3.1 簡介 Serv-U是目前眾多的FTP 服務器軟件之一。通過使用Serv-U，用戶能夠將任何一臺PC 設置成一個FTP 服務

63、器，這樣，用戶或其他使用者就能夠使用FTP 協(xié)議，通過在同一網(wǎng)絡上的任何一臺PC與FTP 服務器連接，進行文件或目錄的復制，移動，創(chuàng)建，和刪除等。這里提到的FTP 協(xié)議是專門被用來規(guī)定計算機之間進行文件傳輸?shù)臉藴屎鸵?guī)則，正是因為有了像FTP 這樣的專門協(xié)議，才使得人們能夠通過不同類型的計算機，使用不同類型的操作系統(tǒng)，對不同類型的文件進行相互傳遞。 6.3.2 主要優(yōu)勢 · 符合Windows 標準的用戶界面友好親切，易于掌握。 · 支持實時的多用戶連接，支持匿名用戶的訪問； · 通過限制同一時間最大的用戶訪問人數(shù)確保PC的正常運轉。 · 安全性能出眾。在目錄和文件層次都可以設置安全防

64、范措施。 · 能夠為不同用戶提供不同設置，支持分組管理數(shù)量眾多的用戶。 · 可以基于IP對用戶授予或拒絕訪問權限。 · 支持文件上傳和下載過程中的斷點續(xù)傳。 · 支持擁有多個IP 地址的多宿主站點。 · 能夠設置上傳和下載的比率，硬盤空間配額，網(wǎng)絡使用帶寬等，從而能夠保證用戶有限的資源不被大量的FTP訪問用戶所消耗。 · 可作為系統(tǒng)服務后臺運行。 · 可自用設置在用戶登錄或退出時的顯示信息，支持具有UNIX 風格的外部鏈接。 6.3.3 主要功能 · 改變了域管理員權限，使域管理員可以創(chuàng)建和維護群組管理員。 · 對于到驅動器和UNC的虛擬路徑停止顯示日期和時間，僅在 We

65、b Client和 FTP Voyager JV里顯示路徑名稱。驅動器和UNC路徑在Windows里沒有日期和時間。 · 從HTTP登錄頁面刪除了“回復密碼”按鈕，當密碼恢復從域或服務器級別禁用時。 · 更新了Web Client以顯示已登錄用戶名和登錄ID。 6.3.4 管理控制臺： · 已將新列添加到用戶列表以顯示用戶根目錄。 · 在用戶列表的登錄 ID 旁邊添加了過期信息，以顯示某個用戶賬戶何時即將過期、刪除或已過期 · 已將操作系統(tǒng)信息添加到服務器程序信息頁面。 · 已添加日志文件路徑驗證來確?？梢源蜷_或創(chuàng)建日志文件。 · 已將實時過濾添加到用戶列表，根據(jù)該過濾器作出