服务器和域隔离简介
服务器和域隔离简介在物理上隔离计算机和网络以保护数据或通信免遭破坏的做法已沿用了许多年。物理隔离存在的问题是,不容易在硬物理边界背后对许多企业组织的信息技术 (IT) 基础结构进行保护。移动客户端的广泛使用以及分布式网络环境的特性使得此类物理限制极不灵活,难以实施和运作。服务器与域隔离使得有可能创建一个安全层来对计算机或网络间流动的网络通信流实现逻辑隔离。如果攻击者设法获得对公司内部网络的物理访问权限并试图访问包含宝贵数据资产的服务器,服务器与域隔离就会阻止这种访问,这是因为攻击者使用的计算机并非受信任的公司设备,即使攻击者使用的是有效用户帐户和密码亦如此。
通过使用服务器与域隔离技术实现的逻辑隔离方法,就可以开发灵活、可伸缩并且易于管理的隔离解决方案,这种方案能够提供安全隔离并且不象物理边界那样需要成本和缺乏灵活性。
摘要
Microsoft 认识到大型组织机构在加强其网络周边安全方面面临着日益严峻的挑战。随着组织机构的成长和业务关系的变更,控制对网络的物理访问越来越难以实现。每天,客户、供应商和顾问们出于正当的业务原因将移动设备连接至您的网络。 随着无线网络以及诸如通用分组无线业务 (GPRS) 和蓝牙之类的无线连接技术的出现,网络访问比以前任何时候都更为容易。连接的增多意味着内部网络域成员需要承受来自内部网络中其他计算机的越来越大的安全风险,并且也影响到了周边环境的安全。 当客户端连接至 Internet 时,虽然基于个人或主机的防火墙可以保护其安全,但这些防火墙并不很适合于保护内部服务器和客户端。
服务器与域隔离具有许多业务上的优势。 最重要的是,服务器与域隔离提供了网络安全层,这个网络安全层可以显著降低不受信任的主机访问组织内部网络中受信任域成员的威胁。在抵御病毒传播、内部黑客、雇员误用技术资产以及信息盗窃方面,服务器与域隔离可以是一项重要的策略。此外,服务器与域隔离可用来要求所有想要访问受信任资源(客户端或服务器)的客户端具备域成员身份,从而使 IT 专业人员可以更好地管理这些资源。此外,还可以将服务器与域隔离用作主策略或附加策略,从而满足网络通信流数据的数据保密或其他保护要求,而不必修改现有的 Microsoft® Windows® 应用程序,也不必在网络中部署虚拟专用网络 (VPN) 隧道硬件。
服务器与域隔离的核心是,它允许 IT 管理员限制作为受信任计算机的域成员的 TCP/IP 通信。这些受信任的计算机可以被配置为仅允许来自其他受信任计算机或者特定一组受信任计算机的传入连接。 通过使用 Active Directory® 组策略来控制网络登录权限,可集中管理访问控制。 几乎所有 TCP/IP 网络连接都能够受保护,而不必更改应用程序,这是因为 Internet 协议安全 (IPSec) 在应用层之下的网络层工作,它在计算机之间以端到端方式提供身份验证功能以及逐个数据包的顶级安全性。在各种可自定义的方案中,可以对网络通信流进行身份验证或者进行身份验证并加密。 组策略和 IPsec 配置是在 Active Directory 中集中管理的。
本指南阐述的逻辑隔离概念包含两个解决方案:域隔离方案用于将域成员与不受信任的连接隔离,服务器隔离方案确保服务器仅接受来自受信任的域成员或特定一组域成员的网络连接。 这两个解决方案可作为整体逻辑隔离解决方案的一部分单独使用或配合使用。
本指南提供的经过测试的解决方案要求如下最低平台配置:
•
Windows 2000 Service Pack 4 或更高版本
•
Microsoft Windows Server™ 2003
•
Windows XP Service Pack 2 或更高版本
这些配置需要确保 IPsec 组件具有必需的修订级别。 通过使用具有免除列表和/或允许回退到明文(非 IPsec)通信的 IPsec 配置,可以控制与非 Windows 平台或不受信任系统的通信。 对于在具备新的网络地址转换 (NAT) 遍历功能的局域网 (LAN) 中使用 IPsec 来说,网络地址转换器不再是障碍。
本指南使用 Woodgrove National Bank 方案来演示服务器隔离和域隔离在一个有代表性实验室环境中的实施。 本指南也提供了 Microsoft 在内部以及在客户环境中实施这两个解决方案所获得的宝贵经验。 本指南由 Microsoft 专家小组编撰而成,Microsoft IT 专业人员和许多客户通过 Beta 程序对本指南进行了审阅。
由于在 Microsoft 的全球内部网络中既实施了服务器隔离方案也实施了域隔离方案,因此 Microsoft 的业务依赖于这些解决方案的安全性。此外,通过将这些解决方案推荐给客户,Microsoft 支持客户长期追求的目标:在高度安全并且易于管理的基础结构中进行可信赖的计算。 本指南的目标读者
本指南旨在贯穿 IT 生命周期的所有阶段对服务器与域隔离解决方案提供支持,这些阶段包括最初的评估和核准阶段、随后的部署和测试阶段以及对已完成的实施进行的管理。 因此,本指南的各章节是针对各种读者的不同需求撰写的。
本章主要是为业务决策人员设计的,他们确定其所在组织是否能够从服务器与域隔离项目中受益。 除了了解组织的业务和安全需求外,读者理解本章内容并不需要具备特定的技术知识。
本指南中有关规划的各章(第 2、3 和 4 章)对于负责为组织设计自定义解决方案的技术架构师和 IT 专业人员来说最有帮助。 要从这些章节获得最大益处,需要在技术上对所采用的技术和组织的当前基础结构有良好的了解。
第 5 章和附录旨在为负责替组织的解决方案创建部署规划的支持人员提供帮助。 本指南提供了许多建议来说明成功完成解决方案部署的过程以及用于创建测试实验室环境的实际实施步骤。
本指南的第 6 章旨在为解决方案实施并全面运作后负责日常操作的人员提供参考。 本章重点介绍的许多操作过程和步骤应该纳入组织的操作框架。
第 7 章提供了有关对 IPSec 部署进行疑难解答的信息。 由于 IPsec 从根本上影响了网络通信,因此疑难解答信息和技术可以为选择实施 IPsec 的组织提供极大的帮助。 业务挑战当今,高度相连的组织和移动网络设备的特性将许多风险引人到组织的 IT 基础结构中。这些风险的各种来源包括:移动职员、供应商和客户的计算机,此外还包括位于小型办事处或雇员家里的远程计算机。在很多情况下,这些风险来自于无辜的人员无意中下载或安装到计算机上的诸如病毒和蠕虫之类的恶意软件。
虽然逻辑隔离本身不能被认为是病毒防护,但由于它提供了额外的保护措施,可以降低受攻击的可能性并在受到攻击时最大程度地缩小波及范围,所以它可以成为更广泛的病毒解决方案的一部分。 例如,一位来访客户将移动计算机连接到您的网络中以便为您提供一份电子表格,这样就会将危险引入到您的组织的 IT 基础结构中。通过直接连接到您的物理网络中,这位客户就避开了任何为了抵御基于网络的攻击而设立的防护。
但是,如果客户连接的内部网络不允许直接访问您的组织的服务器,这种风险将会降低。 问题在于如何将此类对组织资源的访问限制为只能由需要进行该访问的计算机进行。此问题的答案是服务器与域隔离,这是一种对计算机本身进行标识和身份验证从而确定允许其访问哪些资源的技术。身份验证在用户登录前进行,并且在计算机连接期间有效。 此方法使得有可能降低连接到网络的未被标识和未受管理的计算机访问到重要业务数据的潜在风险。
注:有关恶意软件以及您的组织进行自身防护时可以采用的特定方法的详细信息,请参阅 TechNet 上的“The Antivirus Defense-in-Depth Guide”,网址为 http://go.microsoft.com/fwlink/?LinkId=28732。
业务益处引入逻辑隔离防护层的益处包括:
•更加安全。 逻辑隔离防护层使网络中所有被管理的计算机更加安全。
•更严格地控制能够访问特定信息的人员。 通过使用此解决方案,计算机单凭连接到网络是不能自动获得所有网络资源的访问权限的。
•成本更低。 此解决方案的实施费用通常远低于物理隔离解决方案。
•增加了被管理的计算机的数目。 如果只有被管理的计算机才能访问组织的信息,那么所有设备都必须成为被管理的系统,它们的用户才能访问组织的信息。
•提高了抵御恶意软件攻击的防护程度。 隔离解决方案有效地限制了不受信任计算机访问受信任资源的能力。 因此,不受信任计算机进行的恶意软件攻击不会得逞,这是因为不允许进行连接,即使攻击者获得了有效用户名和密码亦如此。
•网络数据加密机制。 逻辑隔离使得要求对所选计算机之间的所有网络通信流进行加密成为可能。
•快速紧急隔离。 此解决方案提供了一种机制来在受到攻击时快速有效地隔离网络中的特定资源。
•保护公用网络连接。 某些网络连接点,如大厅的网络连接点,将不能直接访问网络中的所有资源。
•改善了审核功能。 此解决方案提供了一种对被管理资源进行的网络访问进行记录和审核的方法。
技术挑战保护现代 IT 基础结构不受攻击者攻击,同时使职员能够以最灵活并且高效的方式工作可不是一件容易办到的事情。单单是了解各种各样有助于保护环境的技术对于很多人来说就已经够困难了。 确切了解解决方案如何融入典型 IT基础结构以及它在补充现有网络防护功能方面的设计对您会有所帮助。
下图显示了一个由许多网络防护层组成的典型网络基础结构,此图说明了逻辑隔离在典型环境中的地位:
http://img.microsoft.com/china/technet/images/security/topics/architectureanddesign/ipsec/images/SGFG0101.gif
图 1.1 基础结构区域和网络防护层 图 1.1 旨在对各种技术提供简单的说明,您可以采用这些技术来为典型网络基础结构提供深度安全防护设计。 此类基础结构通常由下列元素组成:
•远程工作人员和网络。 这些远程实体一般使用 VPN 来连接至组织的内部网络并访问组织的 IT 基础结构。
•Internet。 组织的内部网络通常通过一个或多个外围防火墙设备连接至 Internet。 这些设备通常驻留在外围网络中,该网络针对 Internet 连接所面临的外部威胁提供了更高级别的保护。
•外围网络。 此网络是为需要直接与 Internet 交互的服务器和设备(这意味着这些服务器和设备受攻击的风险更高)专门设立的。
•内部网络。 通常,此网络代表组织内的一组网络,这些网络在物理上位于作为 IT 基础结构一部分而拥有和管理的站点上。
•隔离网络。此网络是一个相对较新的组件,它为无法满足组织规定的最低必需安全标准的计算机提供受限制的连接。成功地通过必要的测试后,计算机和用户将被授予全面连接到内部网络的权限。如果它们无法通过测试,隔离网络就会为它们提供足够的连接来下载和安装允许它们通过测试所必需的组件。 Microsoft提供了新功能来使用网络访问保护 (NAP) 隔离远程访问计算机。 有关详细信息,请参阅“Network Access Protection”页面,网址为 www.microsoft.com/nap。
•伙伴网络。 由于这些网络不归组织拥有和管理,所以通常授予受到高度控制的访问权限级别来允许特定业务应用程序或进程通过负责提供外部网络通信的 VPN 隧道或外围路由器运行。
图1.1 说明了逻辑隔离直接着眼于内部网络主机的通信。 远程访问服务 (RAS) 对 VPN进行管理,以允许来自远程工作人员或网络的通信流从远程位置进行安全连接。 网络边界防火墙对 Internet 与内部网络之间的通信进行保护。RAS 与 NAP 的结合提供了使用隔离网络管理远程工作人员连接的功能。
目前,这些不同的网络防护措施通常是作为深度防护网络设计的独立组件进行安装和管理的。 然而,在今后几年内,这些组件很有可能汇聚成可以作为单个端到端解决方案来实现和管理的公共网络防护解决方案。
目前,许多网络设计无法在内部网络中的计算机之间提供保护。 大型内部网络有时支持许多组织,在某些情况下,计算机和物理访问点必须由多个 IT部门管理。 因此,您不应该将内部网络仅仅看作这样的网络:在网络中,所有物理上相连接的计算机都受信任并且完全可以相互访问。
逻辑隔离的目的是允许对内部网络进行分段和隔离,从而支持更高级别的安全性,而不需要硬物理边界。逻辑隔离所面临的实实在在的技术挑战是如何以一种组织易于管理和可伸缩的方式实施逻辑隔离。与其制订一个错综复杂并且有限制性的设计,以致于削弱了用户执行必要业务任务的能力,还不如完全不采用隔离解决方案。在部署解决方案之前以及在部署过程中,完成适当的规划并进行测试十分必要。利用本指南,您可以设计一个既可伸缩又易于管理的解决方案,该方案还能够以受控方式部署并允许在部署阶段的各点进行测试。
实现逻辑隔离后,这个附加的安全层将有助于降低网络中各种信息资产所面临的危险,而不必限制授权客户端的功能。 组建项目小组
此解决方案将会潜在地影响组织内部网络通信的方方面面,而这又会影响到依赖于这些通信的所有部门和用户。 因此,在此项目的所有阶段,沟通、记录、理解和考虑组织的所有需求和预期是至关重要的。
因为期待一个人能够执行典型组织中此领域的项目所要求完成的全部任务是不现实的,所以建议组建项目小组。 除当前 IT 基础结构关键技术领域的代表以外,此项目小组还应该包括组织内所有部门的代表。由于解释项目小组应该如何在组织内工作超出了本指南所涵盖的范围,因而作了如下假设:在此项目的生命周期内存在合适的项目小组,并且在此项目的各个阶段就本解决方案的需求和目标与风险承担者和解决方案用户进行了充分的沟通。 有关如何组织象这样的项目的详细信息,请参阅 Microsoft Solutions Framework (MSF) 网站,网址为 www.microsoft.com/msf。 指南概述
本部分简要概括“使用 IPsec 与组策略隔离服务器和域”指南中的每章内容。
第 1 章:服务器与域隔离简介
第 1 章(本章)提供摘要以及本指南各章内容的简介。 本章介绍了逻辑隔离概念以及组织实施服务器与域隔离的方法,讨论了业务理由并说明了如何在典型 IT 基础结构中实施这些方法。 本章还提供了有关 Woodgrove National Bank 方案的信息,之所以采用此方案是为了达到验证概念、阐明设计和进行测试之目的。
第 2 章:了解服务器和域隔离
第 2 章定义了受信任主机的概念并讨论了如何使用信任关系来创建域或服务器隔离解决方案。 本章探讨了服务器与域隔离、IPsec 和组策略这些概念之间的关系。 本指南的技术内容从两个方面对此解决方案所提供的功能进行了详细的技术说明:方案所抵御的安全威胁以及使用 IPsec 来创建域或服务器隔离解决方案时所面临的技术问题。
第 3 章:确定 IT 基础结构的当前状态
实施项目之前,此解决方案的设计人员必须掌握有关当前 IT 基础结构的最新准确信息。 这些信息包括所有网络设备的当前状态、服务器和工作站的配置以及域信任关系。 第 3 章还阐述了诸如 NAT、基于 IPsec 的远程访问 VPN 客户端、内部防火墙和代理以及基于内部端口的筛选之类的其他网络技术的潜在影响。本章提供了有关进行规划时所需的信息以及获取这些信息所需完成的步骤的指导。
第 4 章:设计和规划隔离组
本章提供有关如何使组织的业务需求与有助于实现此需求的服务器与域隔离设计相联系的指导。本章提供了逐步的方法来帮助您创建隔离组设计,从而实现组织在隔离方面的安全需求。本章还描述了不同的部署方法,您可以采用这些方法来最大程度地降低部署期间对组织的影响并最大程度地提高实施的成功机会。本章中的所有步骤和过程都是使用 Woodgrove Bank 方案中的示例说明的。
第 5 章:为隔离组创建 IPsec 策略
IPsec 策略是一种机制,它用来强制实施每台计算机在与对等端通信时所依据的规则。 通过组策略对象,这些规则被指派并传递给受信任的域的成员。 本章提供了理解如何创建这些 IPsec 策略以及如何将它们部署到接收计算机所需的信息。
第 6 章:管理服务器和域隔离环境
在解决方案就绪并且运行正常后,您应该了解并记录许多过程,从而帮助确保在日常工作中正确地管理和支持此解决方案。本章提供了一个支持模型以及各种管理过程和步骤,它们可用于更广泛的操作框架(如 Microsoft 操作框架 (MOF))。 有关 MOF 详细信息,请参阅 Microsoft Operations Framework 网站,网址为:www.microsoft.com/mof。
第 7 章:IPSec 疑难解答
一旦此解决方案部署完毕并投入使用,几乎不可避免地会出现一些问题。 本章详细阐述了许多 IPsec 疑难解答步骤、任务、工具和技巧,您可以使用它们来帮助确定 IPsec 是否是这些问题的根源,如果是的话,也可以在本章中找到问题的解决方法。
附录
除了主要章节以外,本指南还提供了本指南撰写期间在 Microsoft 测试实验室环境中进行规划、测试和部署时用到的很多参考资料、工作辅助工具和脚本。您可以使用这些附录中的信息来帮助实施自己的服务器与域隔离解决方案。在此提供的资料旨在对所有项目阶段(从最初的构想直到全面部署解决方案后的日常操作)都有所帮助。 方案概述在 Microsoft 的内部网络中既部署了服务器隔离解决方案也部署了域隔离解决方案。 但是,我们根据Woodgrove Bank 客户方案测试了一个具有代表性的物理实验室实施,从而为此解决方案提供一个具体而通用的模型。在开发此解决方案时,使用了这个虚构组织和 Microsoft 的业务与技术需求。 本指南归纳了许多 Microsoft 内部 IT管理员例行使用的支持和管理技术。 在 Woodgrove Bank 需求和人员配置与 Microsoft的独特考虑有所不同的位置,本指南作了特别的标注。
什么是 Woodgrove Bank?WoodgroveNational Bank 是一个虚构的概念验证组织,Microsoft 使用它来提供形象的客户示例,从而提供公用部署指南。Woodgrove Bank 的需求源自 Microsoft 与企业客户打交道时获得的经验。 作为一家银行,Woodgrove组织强烈依赖于安全性来确保其货币资产及其客户私有数据的安全。 Woodgrove Bank 还必须遵循许多由zhengfu和业界团体制订的法规要求。为了避免此解决方案仅适用于某一国家或地区,在此没有讨论特定的法律和法规要求。
Woodgrove Bank 是先进的全球投资银行,它作为金融中介为许多机构、公司、zhengfu和个人客户提供服务。 它的业务包括证券承销、销售与培训、金融咨询服务、投资研究、风险资本以及为金融机构提供经纪服务。
WoodgroveBank 是 WG Holding Company 的全资子公司,后者是全球一流的金融服务公司,总部位于英国伦敦。 WG拥有五间子公司:Woodgrove National Bank、Northwind Trading、Contoso, Ltd.、LitwareFinancials 和 Humongous Insurance。 WG 所拥有的所有公司都是大型组织,每间公司的职员都超过 5,000 人。
地理概要信息WoodgroveBank 聘请了超过 15,000 个工作人员,它在世界各地有 60 多个办事处。 他们的公司总部(中心位置)位于纽约(5,000个职员)、伦敦(5,200 个职员)和东京(500 个职员)。 每个中心位置都支持许多小型的辅助站点。(例如,纽约支持的站点位于波士顿和亚特兰大。)除中心位置以外,还有另外两个主要的公司位置,即悉尼和约翰内斯堡,这两个位置都有自己的专用文件服务器、打印服务器和应用程序服务器。
各站点之间的连接东京和伦敦通过专用 Internet连接来连接到位于纽约的公司总部,该连接的约定带宽分别为 6 Mbps 和 10 Mbps。 所有地区中心位置都通过 2 MB 至 10 MB的带宽连接至公司总部。 自治分支位置拥有 2 MB 的带宽。 小型办事处一般拥有 1 MB 的广域网 (WAN) 连接。 本指南第 3章“确定 IT 基础结构的当前状态”的图 3.1 对连接作了详细说明。
企业 IT 挑战Woodgrove Bank 和大部分企业面临着同样的挑战;他们希望增加收入并降低成本,同时降低固定资产的成本。 这些挑战一直在影响着 IT。 Woodgrove Bank 还有许多其他同样影响着 IT 的公司措施,包括:
•通过兼并和收购在新兴市场进行多元化投资。
•提高客户满意度。
•提高雇员生产力。
•改善各种过程和操作。
•提供安全的环境。
不仅这些措施对 IT 产生影响,IT 决策者所面对的其他特定挑战还包括:
•降低 IT 的总体成本。
•减少运营成本、提高管理能力和降低管理成本、减少环境中的服务器数目以及将各种不同的应用程序和服务并入单一服务器中。
•将现有的 IT 投资转化为资本。
•创建灵活的 IT 基础结构。
•提高投资回报。
•提高利用率。
•改进可用性和可靠性。
•利用新的硬件平台。
•确保职员、合作伙伴和客户在最安全的环境中工作。
•(以内部或外部方式)转交签署服务级别协议的权力。
•通过允许从任何位置对信息进行有意义的实时访问,提高业务灵活性。
IT 组织概要信息虽然 Woodgrove Bank 拥有使用 Windows 和 UNIX 的混合服务器环境,但他们的基础结构运行于一个Windows Server 主干上。 他们共有 1,712 台基于 Windows 的服务器,其中大多数运行 Windows 2000或更高版本:
•文件和打印服务器 785
•Web 服务器 123
•基础结构服务器 476
•Microsoft Exchange 服务器 98
•Microsoft SQL Server™ 服务器 73
•开发服务器 73
•监视服务器 33
•其他服务器(Lotus Notes 或 Oracle) 51
这些服务器中的大多数位于三个公司总部位置(纽约、伦敦和东京)。
PC 环境WoodgroveBank 的大部分职员至少有一台个人计算机。 大多数职员使用桌面 PC,销售代表使用移动计算机。 Woodgrove Bank 总共有超过17,000 台最终用户 PC。 这些 PC 中大约有 85% 的是台式计算机,另外 15% 是移动计算机。 超过 95% 的最终用户 PC是基于 Intel 的 PC,运行的是某个版本的 Windows。 某些部门使用了一些 Mac 工作站和少数 UNIX 工作站来运行业务(LOB) 应用程序。
系统和管理体系结构概述Woodgrove Bank 网络由若干个 IT 区域组成:一个企业数据中心、两个中心位置、两个卫星办事处和一个用于支持远程用户的外围网络。 如下图所示,Woodgrove Bank 实施了集中管理模式来在纽约集中地管理服务器和台式机。
http://img.microsoft.com/china/technet/images/security/topics/architectureanddesign/ipsec/images/SGFG0102.gif
图 1.2 Woodgrove Bank 集中的 IT 管理模式 目录服务Woodgrove Bank 选择为其 Active Directory 设计采用服务提供者目录林模型。这样做的原因是此模型相当灵活,可以对外围网络使用一个目录林,并对内部资源使用独立的共享目录林。 此功能满足了外围网络中的服务器的隔离要求。Woodgrove 之所以未选择单目录林模型是因为该模型不允许将外围服务器与重要的公司数据隔离开。 下图说明了 Woodgrove Bank使用的 Active Directory 逻辑结构:
http://img.microsoft.com/china/technet/images/security/topics/architectureanddesign/ipsec/images/SGFG0103.gif
图 1.3 Woodgrove Bank 的目录服务设计
查看大图
外围目录林使用单目录林域模型,这对于管理外围服务器来说已足够了。外围目录林中的复制需要很少,因此不需要提供复制界限,也不需要使用多个区域域模型来对目录林分段。 需要注意的是,Woodgrove选择此设计的目的仅仅是为了管理外围服务器。 如果用户帐户被放在外围服务器上,而外围服务器位于多个位置,则需要另一种域设计。
内部目录林基于多区域域模型。 Woodgrove 创建了三个区域域:美国地区、欧洲地区和亚洲地区。 此外,Woodgrove 实施了专用目录林根来管理目录林级别功能。 此模型提供了一种方法来管理复制拓扑以及将域级自治的管理权委派给每个区域。
Woodgrove Bank 的站点拓扑分为三个区域:美国地区、欧洲地区和亚洲(亚太)地区。 纽约、伦敦和东京是整个拓扑的中心站点。
WoodgroveBank 的设计者选择了采用主要基于对象的组织单位 (OU) 设计。 OU 结构被完整地复制到每个区域域中,并在目录林根中创建 OU结构的一个子集。 本指南第 3 章的图 3.2 提供了 Woodgrove Bank 使用的 OU 结构的明细图。
Woodgrove 的服务器和域隔离部署策略为了帮助组织了解这个最大程度满足其需求的设计,Woodgrove Bank 创建了一个概念验证性实验室项目。 此项目使用了一个小型实验室实施来对 Woodgrove 提供的设计进行测试,如下图所示。
http://img.microsoft.com/china/technet/images/security/topics/architectureanddesign/ipsec/images/SGFG0104.gif
图 1.4 Woodgrove Bank 试行设计
查看大图
此图显示了 Woodgrove Bank 方案中使用的一小组计算机,它们用来测试本指南提供的方案。 概念验证性项目的目标是为实验室设计提供足够的多样性,从而确保此解决方案具有预期的工作方式,同时避免影响生产服务器和公司用户。
本指南所提供的示例都基于图 1.4 所示的试行设计基础结构的成果。
注:由于隔离更改了计算机联网的很多方面,所以 Microsoft 强烈建议首先在实验室环境中测试每个隔离方案,以避免对生产环境产生影响。 IT 管理员应该查阅第 6 章和第 7 章以了解可支持性问题、操作步骤和疑难解答信息。
在实验室环境中成功地实施项目后,确定了一组服务器来实施基本的服务器隔离方案。 这些服务器在连接受影响时对业务的影响很小。 IT管理人员和支持人员接受了疑难解答技术方面的培训。 这些服务器受到严密的监视,以了解在性能和支持呼叫方面的影响。对组织管理角色、过程和支持方法进行了测试。 接下来,选择了 Woodgrove 的一个较小的域来试运行域隔离。通过只对大部分域成员所在的网络子网使用 IPsec,这个域隔离项目的影响被降到了最低。通过在这些域成员与未参与试行方案的其他计算机通信时允许进行非 IPsec 通信,进一步降低了影响。完成这些试行方案后,项目小组就获得了为整个组织创建和实施完整设计所需要的全部信息。 总结
本章简要介绍了逻辑隔离并解释了如何使用服务器与域隔离来创建一个采用 IPsec 和组策略的企业级解决方案。此外,本章还提供了本指南各章节内容的总览和简要描述。 依据本章提供的信息,您可以了解此解决方案对组织的贡献、此解决方案在典型 IT 基础结构中所处的地位以及成功实施此解决方案所需的技巧。
你写的确实不错~~~~顶~~~~~顶
你是我的活着的理由, 你知道不你是我生命的支柱 , 你知道不
我发错了,你知道不 你写的确实不错~~~~~~顶
_______________________________________________________________________
北京代理记账北京代办执照代理记账北京代办执照北京工商注册北京
页:
[1]