每日一句: Build your own dreams, or someone else will hire you to build theirs. 打造自己的梦想,否则你就会被雇用去打造别人的梦想。 跟读

汉语站

2017年11月21日 星期二

丁酉(鸡)年十月初四

(图)企业网
企业网
企业网是指覆盖企业范围的网络,是把企业的通信资源、处理器资源、存贮器资源,以及企业的信息资源等捆绑在一起的网络,通过这个网络,企业员工可以很方便地访问这些资源。 通常一个企业网仅包括企业所拥有的网络资源,如微机、服务器、工作站、局域网和路由器等。一个企业,按照Webster字典的说法,是由商业目的组织起来的公司进行的颇为重要或是需要胆量或精力的工程。

企业网 - 概述 [回目录]

(图)企业网
企业网
早期的企业网具有星型拓扑结构和以主机为核心的计算模式,所有用户均通过没有任何计算能力的哑终端(Dumb Terminal)访问主机,所有的通信都是“TO/FROM”主机,所有的计算都是在主机上完成的。随着PC机大量应用和网络技术的发展,分布式处理模式逐渐代替了以主机为中心的计算模式。在这种模式下,用户通过具有计算能力的微机或工作站被连到局域网(LAN)上,这些局域网再利用成熟的网络互连技术互连起来。在这种形式的企业网中,通信不再是“TO/FROM”主机,而是发生在任何两台计算机之间,形成了所谓的“any-any”连接。目前,企业网正朝着综合方向发展,利用一个网络来支持所有的通信形式枣声音通信、数据通信、视频通信和图像传输,即利用统一的传输设施和交换设备来支持所有形式的信息传输。

企业网是由工作组计算演变出来的,而后者与台式机到网络的集成有关。企业网从范围上讲,既可以是局域的,也可以是广域的。它集成了一个组织中所有的系统,不论它们是基于DOS的计算机、Apple的Macintosh机、UNIX工作站、小型计算机、还是大型计算机。公司已开始反感所谓的“大腕”供应商,如IBM和DEC的专用接口,并转向可以提供更多开放性和可接受多销售商产品的系统。IBM和DEC现在也支持开放标准。向用户提供专用系统访问的网关再也不是解决的方法了。这种方法限制性太强,并且不宜扩充以适应一个互连组织的数据访问要求。

企业网应模拟成一个“即插即用”平台,可供一个组织连接它所有的计算资源。部门和工作组通过桥接器、路由器和广域电信链路相连。用户和工作组都不是孤立的,用户和工作站在维护一定程度的性能、安全及可靠性的同时,可以与其他甚至运行不同操作系统的计算机用户和计算机共享信息。在企业网中,信息分布于整个网上,用户必须便捷地访问它们,而同时敏感的信息则必须受保护以防越权访问。

完成这些乏味的目标,关键是遵循下面两点:建立一个符合基本标准的,允许多供应商硬件和软件产品协调工作的网络平台。建立支持多个标准的操作系统和应用程序。

企业网 - 搭建 [回目录]

(图)企业网
企业网
具体实施步骤

1.在域建好后,问题一可通过将员工把公司文件重定向到安全性增强的某个服务器来解决,步骤如下:
在服务器上建立一个共享文件夹,以下是这个文件夹的网络访问配置和本地安全配置文件名可为“user_data”
将Everyone 组的共享权限设置为完全控制。
在Active Directory 用户和计算机中新建一个OU,把你所需要定义文件夹重定向的用户移动到这个OU,之后编辑这个OU的组策略。在组策略管理器中选择用户配置(Windows设置)文件夹重定向,在这里,Windows提供了Application Data,桌面,我的文档和开始菜单的配置功能,Application Data的设定,其中Application Data存放的是用户软件配置信息,桌面、我的文档、开始菜单直接映射用户的桌面文件、桌面、我的文档、开始菜单。需要注意的是在设定“开始菜单”的时候,在根路径最后需要加上%username%,这样,用户的开始菜单数据才会写入这个用户的文件夹中,不然,文件会写入user data目录中。

2.使用统一的企业级杀毒软件Symantec AntiVirus,可较好解决问题二。简述如下:
首先分别在服务器和客户端安装好Symantec AntiVirus企业版及Symantec AntiVirus客户端,接着配置Symantec AntiVirus企业版: 选择组→新建组→把服务器下的客户端放入组中→配置组。其中调度扫描是定义这个组中客户端扫描病毒的时间,点击新建可以配置新的扫描时间和周期。病毒定义管理器:可以定义客户端升级病毒定义更新程序的方式。隔离区选项:这里如果安装的隔离中心,可以把在客户端扫描发现带有病毒的文件隔离到服务器,在客户端做彻底删除。配置历史记录:可以配置服务器记录客户端历史记录的最长时间。客户端自动防护选项:可以配置客户端病毒防护的具体配置,如果在选项前面加锁,客户端用户就无法更改配置了。客户端管理员专用选项:在安全选项中配置是否允许删除,和删除程序密码,扫描网络文件夹的方式。客户端漫游定义:如果客户端是移动笔记本用户,时常在2个有Symantec AntiVirus服务器的网络中漫游,可以设定客户端选择服务器的名称,间隔的时间等。
完成以上这些,这个Symantec AntiVirus服务器基本配置完成了,如果客户端发现病毒,服务器会马上在Symantec System Center中显示出来,当然,在事件日志中可查看详细的记录。

3.问题三的解决可以使用交换机作VLAN,在路由器上作访问控制列表,也可使用带用数据包筛选功能的代理软件,如ISA SERVER来做控制。可参见相关资料,这里不详述。

4.帐户安全:最简便的做法是把需要设定帐户安全的PC放入一个OU,配置这个OU的组策略:在计算机配置Windows设置→安全设置→密码策略中,可以设定:密码必须符合复杂性要求:要求用户密码必须由大小写英文加数字组成,密码长度最小值:设定用户密码最小长度,密码最长使用期限:用户密码使用最大的天数:密码最短使用期限:到用户密码使用时间超过这个期限,系统会在用户登录时提示用户更换密码,强制密码历史:可以记录之前使用的密码的个数,被记录的密码不能再次使用。

(图)企业网
企业网
5.公司的网站及内部的BBS论坛并不安全,时有麻烦出现,希能提高稳定性。解决问题五的指导思想是需要考虑如何增强IIS Server的安全性及减少IIS服务器的被攻击面。在IIS服务器上首先应该安全配置Windows服务器,尽可能少的安装其他网络服务,停止不相关的服务,并且只是安装满足需要的IIS组件。
安全配置IIS Server包括以下等几个方面,简述如下:

(1)配置IIS的应用程序隔离模式: 默认情况下IIS 6工作在工作进程隔离模式下,如果你的Web应用程序不能兼容此模式,那么你需要将IIS 6配置为工作在IIS 5 隔离模式下,配置过程:点击开始,指向控制面板,然后选择Internet信息服务(IIS)管理器,在弹出的Internet信息服务(IIS)管理器上右击网站文件夹,选择属性,然后在弹出的网站属性对话框上点击服务标签,在隔离模式下勾选以IIS 5.0隔离模式运行WWW服务即可。

(2)配置MIME类型:从安全性上考虑,IIS 6中只是定义了常见的MIME类型(文件扩展名),而没有和IIS 5一样包含通配符MIME映射。这样当客户端浏览器从IIS 6 Web服务器上请求某个文件时,如果该文件的扩展名并没有在IIS的MIME类型中进行定义,IIS 会返回404错误-文件或目录未找到。对于使用Access数据库的站点,为了防止别人下载Access数据库,有些文章中介绍了将Access数据库改名为.asp来防止下载的方法,这并不安全,最好的办法就是将Access数据库的扩展名修改为MIME类型中未定义的扩展名,这样别人就无法访问此数据库。

(3)删除不必要的虚拟目录:IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。

(4) Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。

(5) SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。

(6) 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。

(7)为IIS中的文件分类设置权限:除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。

(8)保护日志安全:日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。

(9)修改IIS日志的存放路径:IIS的日志默认保存在一个众所周知的位置(%WinDir%System32LogFil-es),这对Web日志的安全很不利。所以我们最好改变它的位置。

6.后续问题解决方案的指导思想是:仔细梳理公司各楼面,各办公室用户的工作性质及职责范围,应用组策略为不同工作组的用户配置应获得的最小权限和不同的统一操作界面,这样做的好处是不言而喻的,不仅限制了用户做与工作无关的事,而且网络用户的维护工作也变得十分简单,网络系统安全性提高的同时管理趋于简捷。当然,配置不同的组策略最初要花费大量的时间和精力,但这是必须的和值得的。
网络系统的架构无论从提高安全性还是从降低管理难度上看,都应建立在集中管理模式和用户权限最小化基础上,服务器在提供满足需要的服务同时,也应使提供服务最小化,而组策略的应用使网络系统的架构变得简捷和强壮。

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。

标签: 企业网

同义词: Enterprise Networks

词条统计

浏览次数 : 7980 次

编辑次数 : 1 次 历史版本

更新时间 : 2009-06-24

双语连环画