MS LAB Report-Group No.2

顧問：戴有煒、劉家聖、楊宏文 專案負責人：顏柏舜 工程師：韋道揚 陳卉潔 游紹強 彭駿杰 吳仲凱 湯建軍 彭及福

1

姓名

負 責 項 目

顏柏舜 韋道揚 湯建軍 吳仲凱 游紹強 彭駿杰 彭及福 陳卉潔

專案負責人、ISA防火牆 AD、DHCP、DNS、WINS VPN WEB Server、DFS、Printer Server EXCHANGE 2007 ETS (邊際傳輸伺服器) ISA Server 2006 WSUS、FCS、Backup 2

尖端出版社，因為總公司網路結構要重新建置，並 且擴大營運，為此委託WAYNE團隊，幫他們規劃整體 網路架構。

3

總公司為於 台北人數 150人 分公司為於 桃園人數 35人  由於貴公司需要新開一個駐點，故此分公司必須和 總公司有一定使用上的連線  建設一個對外服務的使用區域  針對該公司的防護需求，建設高可用性防火牆  為怕不可預期災害，需將重要資料備份  為讓業務人員，能夠獲得網路信箱新的郵件，需建 置Push Mail功能 4

5

6

韋道揚

7



Q：為什麼要用AD？AD的功能？



A：集中管控帳號及電腦 網域控制站互相備援 電腦跟電腦之間存取方便

 

8

Top.com

Server 2008x2

Branch.Top.com

Server 2003

9

  

利用群組原則有效管理 各部門分門別類 軟體佈署跟限制 資料的存取權限

10

    

動態主機協定(Dynamic Host Configuration Protocol ) 由管理員監控IP使用的狀況 使用者能自動取得IP，無須手動設定 IP可以重複使用 用DHCP Relay Agent來達到備援效果

我想要申請IP

好，我借你一個 192.168.10.101的IP

11

   

Domain Name System 利用網域名稱來解析IP位址 使用者不需要去記IP 可以動態更新

我想連tw.yahoo.com

好，我幫你查

Yahoo的IP是 119.160.246.241

12

 

Windows Internet Name Service 將NetBIOS電腦名稱解析成IP

我想連到叫作ANDY 的電腦

好，我幫你查

ANDY的IP是 192.168.2.100

13

湯建軍

14



Site-to-Site VPN (站台對站台)



Remote Access VPN/ Router-to-Router VPN) (遠端存取/ 路由器對路由器)

15

通訊協定  PPTP  L2TP/IPSec  SSTP

16

VPN伺服器 RADIUS用戶端

RADIUS伺服器

17

VPN伺服器 RADIUS用戶端

RADIUS伺服器

18

吳仲凱

19

Web Server是由多個IIS網站所架設出來的， 能讓公司的網頁資料更完整更及穩定也能讓客戶 有完善網路平台做為連結，以便取得到公司所提 供的網路服務，多個Web Server組合成的形式稱 為Web Farm裡面包含的有 NLB DFS 這些功能都 是針對網站上的資料能分散式傳輸及存取，這些 功能都屬於高可用性的。

20



ISA防火牆



有網路負載平衡功能



前端Web Farm (IIS網 頁伺服器)



後端資料庫 21



能將網路流量分散到 不同的網頁伺服器。



有容錯功能。



管理效能佳。 22



可提高檔案的存取效率



可提高檔案的可用性



伺服器的負載平衡功能

23



主要功能是能進行 伺服器與用戶端之間的檔案傳送 的功能 。



可直接管理用戶在伺服器上所有的檔案。



可依權限等級不同區分用戶存取的權限。



在DMZ區可以採用FTPS來增加安全性的控管避免資 料外洩或竊取。 24

 



 

負責發放憑證單位 企業CA必須是網域裡的電腦或使用者 (Exchange 郵件、伺服器IIS及VPN連線) 獨立CA不需網域裡的成員及電腦(也就是非網 域使用者或電腦) IIS可透過瀏覽器發放憑證。 提供VPN遠端存取L2TP/IPsec連線憑證發放。

25

  

可利用群組原則部署給使用者及電腦。 可設定列印優先權以及列印時間來安排行程。 可設定列印集區。

26

游紹強

27



Hub Transport Server Role  處理組織內的所有郵件流程、套用傳輸規則、套

用日誌規則，以及將郵件傳遞至收件者的信箱。 

Client Access Server Role  管理伺服器的用戶端存取權。



Mailbox Server Role 為

使用者提供電子郵件儲存及進階排程服務。 28

    

簡易的部署與管理 過濾垃圾、病毒郵件架構 高度的可用性 全新管理工具提升IT管理人員的工作生產力 企業級的行動通訊方案

29



Exchange 管理主控台  採取圖形介面。可以透過視窗檢查



Exchange Management Shell  透過可撰寫指令碼的命令列，能達成自動化、批

次及報告的快速管理 

Active Directory擴充整合  可協助在組織內自動化更新伺服器的探索及設定

30

外部安全  邊際傳輸  郵件過濾  連線過濾  內容過濾  防毒擴充  附件過濾  防毒掃描(MIME)

內部安全  SSL 憑證  TLS 加密

31



連續複寫  本機連續複寫 (LCR )  叢集連續複寫 (CCR )



單一副本叢集(SCC)  容錯移轉

32

33

34

35

彭駿杰

36

37

DMZ為介於外部網路與內部網路之間的一小 段網路，透過防火牆的規則來提供對內/對外 服務，放置主機(如 Web 、 FTP 、SMTP 伺服器) ，主要功用是避免外部使用者直接 與內部伺服器溝通，增加其安全性。

38

Client Access Server Role  Edge Transport Server Role  Hub Transport Server Role  Mailbox Server Role  Unified Messaging Server Role 

39

在 Microsoft Exchange Server 2007 發 行前版本中，Edge Transport Server Role 稱為 Front End Server Role。 Exchange Server 5.5

Exchange Server 2000

Exchange Server 2003

Exchange Server 2007

郵件傳輸代理程 式 (MTA)

SMTP 路由引擎

SMTP 路由引擎

邊際傳輸服務

40



獨立伺服器 / 非內部網域成員伺服器



處理網際網路相關的郵件寄送 (轉寄站) 透過接收連接器/傳送連接器



提供簡易郵件傳送通訊協定 (SMTP) 轉送和智慧 主機功能

41

ETS 與 AD目錄服 務關聯密切

42

篩選機制 透過一系列代理程 式–可對病毒和垃 圾郵件提供防護

43

Edge Transport Server Role 是 為了將受攻擊面 縮到最小而設計 另可搭配業界專為 Exchange Server 應用之防毒軟體 44

Edge Transport Server 的通訊埠設定 網路介面 從網際網路 輸入及輸出 至網際網路 從內部網路 輸入及輸出 至內部網路 僅限本機 從內部網路 輸入

開啟通訊埠

通訊協定

附註

SMTP

必須開啟此通訊埠才能進行進出 網際網路的郵件流程。

25/TCP

SMTP

必須開啟此通訊埠才能進行進出 Exchange 組織的郵件流程。

50389/TCP

LDAP

50636/TCP

安全 LDAP

25/TCP

此通訊埠是用於與 ADAM 進行本 機連線。 必須開啟此連接埠才能進行 EdgeSync 同步處理。

通訊埠設定增強其安全性 45

顏柏舜 彭及福

46



只要裝了防毒軟體，系統就絕對安全?



防火牆就相當於一個嚴格的門衛，掌管系統的各扇 門，進一步開放或阻擋流量(如:HTTP、FTP、DNS… 等流量) 外部→內部 80 port關閉 HTTP

HTTP 公司網站

公司內部→外部 80 port開啟

Hacker 47

DC1

VPN功能

CSS

分公司

後端防火牆

前端防火牆

總公司 DMZ區 48



Back to back + NLB

內部網路、外部網路及DMZ區網路 

建置原則 提供網頁快取服務 透過DMZ區發佈公司內部的網頁及非網頁服務 結合VPN服務 阻擋P2P等通訊軟體 支援Web proxy、SecureNAT及防火牆用戶端 49



可降低駭客利用病毒、蠕蟲及特洛依木馬 程式等惡意程式碼，入侵貴公司電腦。



抵擋心懷不軌的攻擊。



嚴重的攻擊可能導致電腦資訊被刪除、當 機，甚至個人資訊被竊取，例如密碼或信 用卡資訊。 50

陳卉潔

51

PATCH

 

影響網路效率 與現有軟體相互干擾

52

PATCH

 

PATCH PATCH

有效使用對外頻寬 減少人力資源浪費 53

“所有電腦” 群組

PATCH

   

PATCH

預防微軟漏洞攻擊 管理更新(批准或拒絕更新) 利用群組原則來部署更新程式 透過報告監控 WSUS Server的實際情況 54

   

提供容易管控且統一的惡意程式碼防護解決方案 透過 WSUS 群組部署，強制安裝 FCS & 更新 強制掃描，確認安全 問題回報，方便管理者解決問題 55

重要功能 自動偵測並移除間諜程式與廣告軟體 修復病毒與間諜程式所做的變更 抵抗嘗試停用防毒軟體的惡意程式碼 允許管理自訂的間諜程式與廣告軟體策略

56

REPORTS

SETTINGS

DEFINITIONS

EVENTS

FCS Collection and Reporting Roles

57

重要功能 可以透過排程或事件導向等備 份方式自動備份系統 利用 Restore Anyware 技術 還原至不同硬體 能夠將異地備份複本備份至 FTP 位置或次要磁碟上以強化 災難復原能力 可針對 VMware、Microsoft 及 Citrix 虛擬環境，完美執 行實體到虛擬 (P2V) 及虛擬到 實體 (V2P) 的轉換 58

便利

安全

備份

59

添購軟體

單價

數量

總額

Server 2003

140,000

27

3,780,000

Server 2008

140,000

2

280,000

ISA Server 2006

210,000

5

1,050,000

Exchange 2007

120,000

4

480,000

8,000

2

16,000

600

200

120,000

75,000

2

150,000

Forefront Client Security Server Forefront Client Security Client Symantec Backup Exec System Recovery

Total

5,760,000 60



這次很榮幸的替尖端出版社規劃了整體的 架構，也希望下一次能再為貴公司服務。

61



雖然在成功的路上總是有誘人的外在環 境因素干擾，但是我們的團隊終能克服 這些問題，也希望接下來的這週的實作 能夠畫下完美的句點。

62

63