Построение системы защиты информации на предприятии "Строй-СИБ"
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
?омпании и сетью Интернет, поэтому на нем будут задействованы два сетевых адаптера. Другой сервер будет хранить централизованную базу учетных записей пользователей, политики безопасности, а также предоставлять сервисы назначения IP-адресов клиентским компьютерам (DHCP) и разрешения имен (DNS). Также этот сервер будет выполнять функции файлового сервера и сервера печати. Я решил, что на этих серверах будет использоваться только один сетевой адаптер. Из имеющегося в распоряжении оборудования ZyXEL было принято решение использовать только два Интернет-центра ZyXEL P-662HW (по одному в каждом из офисов для соединения сервера-шлюза офиса с Интернет). С помощью них также осуществляется подключение беспроводных клиентов к сети организации. Было принято решение беспроводную точку доступа ZyXEL G-3000 не использовать. Такое решение было продиктовано желанием унифицировать IT-инфраструктуру главного офиса компании и филиала, сократив, таким образом, расходы на обучение обслуживающего персонала. Третий сервер в главном офисе используется для размещения содержимого Интернет-сайта организации.
Для обеспечения маршрутизации между офисами внутренние сети офисов организации имеют различные схемы IP-адресации. Предоставим схемы сетей главного офиса компании и филиала:
Рисунок 3 - Схема сети главного офиса
Рисунок 4 - Схема сети дополнительного офиса
Названия серверных компьютеров были выбраны в соответствие с ролями, которые они будут выполнять в будущем.
7. Логическая организация сетевой инфраструктуры. Схема Active Directory
В качестве централизованного средства администрирования и управления сетевой средой предлагается использовать службу каталогов Active Directory. Для организаций, внедряющих Microsoft Windows Server 2003, модель домена Active Directory является наиболее предпочтительной и рекомендованной компанией Microsoft. База данных службы каталогов устанавливается на один или несколько компьютеров - контроллеров домена. Рекомендуется всегда применять не менее двух контроллеров домена Active Directory для исключения ситуаций, в которых происходит потеря базы данных службы каталогов. Active Directory при умелой работе администратора позволяет значительно сократить расходы на поддержку IT-инфраструктуры: время выполнения многих административных задач удается значительно сократить по сравнению с администрированием одноранговой сети.
В сети организации предлагается использовать один домен - stroy-sib.local. При этом в каждом офисе установлено по одному контроллеру домена (на компьютерах DC-01 и DC-02 соответственно). В качестве DNS-суффикса домена используется ".local", что является рекомендованным к применению в частных сетях. Таким образом, обеспечивается отказоустойчивость Active Directory - если один из контроллеров выйдет из строя, полная реплика AD сохранится на другом контроллере и сведения о пользователях, членстве в группах, политике безопасности и т.д. утеряны не будут. Для работы Active Directory требуется служба DNS, поэтому контроллеры домена DC-01 и DC-02 являются также северами DNS. На них создана основная зона прямого просмотра stroy-sib.local, которая интегрирована с Active Directory (AD-integrated zone) и работает в режиме только защищенных динамических обновлений. Кроме того, серверы DNS поддерживают две основные зоны обратного просмотра: 1.168.192.in-addr.arpa и 1.16.172.in-addr.arpa. Настройка этих зон производится аналогично зоне прямого просмотра.
Поскольку офисы компании (а значит и контроллеры домена) удалены друг от друга и будут связаны друг с другом каналом, использующим публичную сеть (Интернет), то домен компании будет состоять из двух сайтов, каждый из которых соответствует одному офису. Такая организация службы каталогов имеет следующие преимущества:
1.Репликация Active Directory между контроллерами, находящимися в разных сайтах проходит с применением сжатия информации, что позволяет снизить объем трафика, передаваемого по каналу связи
2.Клиентские компьютеры и пользователи в сайте проходят аутентификацию на контроллере домена своего сайта (исключается вход в систему через медленные межсайтовые каналы связи, что замедляет вход в систему)
Рисунок 5 - Сайтовая схема организации и репликации Active Directory
Основным методом разрешения имен хостов в сети, конечно же, является служба DNS. Однако, для совместимости с приложениями, использующими NetBIOS и требующими разрешения NetBOIS-имен, предлагается на контроллеры домена установить службу WINS и настроить репликацию WINS в режиме Push/Pull. У всех рабочих станций в сети задается по два адреса DNS и WINS серверов: в качестве основного сервера DNS/WINS указывается IP-адрес сервера своего офиса, в качестве вторичного - IP-адрес сервера в удаленном офисе. Таким образом, обеспечивается отказоустойчивая система регистрации в сети (два контроллера домена) и разрешения имен (два сервера разрешения имен).
Для назначения IP-конфигурации рабочим станциям внутренней сети и беспроводным клиентам применяется служба DHCP. Служба DHCP из соображений отказоустойчивости установлена на двух серверах в каждом из офисов компании. При этом, компьютер ISA-0x самостоятельно обслуживает область адресов, которые выдаются беспроводным клиентам, а область адресов, соответствующая внутренней сети офиса, обслуживается компьютерами DC-0x и ISA-0x одновременно, в соответствие с правилом 80/20. Таким образом, в случае отказа одного из серверов, второй сервер примет на себя, его функции по предоставлению IP-конфигурации клиентам внутренней сети и обесп