mcse 网络安全设计.docVIP

MCSE 网络安全设计 案例一(30) 南桥音像公司 南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求CompanyA 公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有6 个零售店。CompanyA 公司位于丹佛。 计划改革公司网络架构如下图所示： 一台名为VPN1 的VPN 服务器将被安置在网络设备防护网上，移动用户将使用VPN1 来连接公司网络。除了HR 部门以外，亚特兰大办公室的所有客户机都将升级成Windows XP 专业版。名为WEB2 的Web 服务器将被安装到公司内部网供开发和测试使用。 业务过程 公司有以下几个部门：人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部，Internet 用户必须注册成为南桥音像的用户才能在Web 站点购买录像。用户信息都存储在一个数据库中，这些用户归类为Web 用户，登录信息通过电子邮件形式发送给用户。Web 用户连接一个名为Members 的虚拟目录。当他们身份验证之后，Web 用户能够查看可得到的商品并且通过服务器Web1 上运行的一个Web 应用程序来订货。当Web 用户订货后，请求就提交给CompanyA 公司来包装并运送。所有客户活动记录都存储在TRANS 共享文件夹中，这个文件夹位于服务器DATA1 上。Authenticated Users 组分配了对TRANS 文件夹的“完全控制”权限。 Active Directory（活动目录） 此网络包括一个单一Active Directory 域，所有服务器都运行Windows Server 2003，所有客户机运行Windows NT Workstation 4.0 或Windows 98，所有计算机都运行最新的补丁。 组织单元（OU）结构的相关部分如下图所示： Laptop OU 包括手提电脑的计算机帐户，Desktop Computers OU 包含了桌面电脑的计算机帐户。HR 部门的所有用户和计算机帐户都位于Legacy OU 中。 网络基础架构 亚特兰大办公室有一个无线LAN，这个网络上有两台Microsoft Internet 安全与加速（ISA） Server 2004 计算机，分别是ISA1 和ISA2。一个公共的Web 站点位于一台运行IIS6.0 的服务器WEB1 上。CompanyA 公司的用户通过南桥音像公司和CompanyA 公司之间的一个VPN 通道来访问WEB1。HR 部门使用一个客户应用系统，此系统只能运行在Windows NT Workstation4.0 上。客服部把个人信息都存储在一台名为SRV1 的文件服务器上，SRV1 还被配置为脱机独立根CA。 问题描述 必须考虑以下业务问题： 计划升级之后，HR 部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户 都不拥有证书。管理员没有时间来帮助所有用户处理问题。 首席信息官的意见 出于Internet 连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这 个连接上。我已经阅读过各种各样的缓存溢出对Web 服务器的攻击，如果公共Web 服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的HTML 文档。我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。 首席安全官（CSO）的观点 有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心CompanyA 用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。近期，用户从Internet 上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。 书面安全策略 南桥音像公司书面安全策略的相关部分包括以下要求： 只有客服部的用户能够连接无线网络； 无线网络要求字符串验证； 客服部和SRV1 之间的通信始终安全并加密； 只有客服部的配有手提电脑的成员能够加密数据； 客服部必须拥有自己数据恢复代理； 财务部门用户必须实行双重身份验证，存储在TRANS 文件夹中的信息都加密了并且只能被IT 部门的员工访问； 和WEB1 上的Member 虚拟目录的通信都被加密； Web 客户能够证实WEB1 的身份； 所有Windows Server 2003 计算机和Windows XP 专业版计算机的登录，只要涉及到本地用 户帐户的都需要被跟踪； 只有IT 管理员能够远程修改WEB2 上注册表信息； 所有软件都准许公司使用； VPN1 必须支持MS-CHAP