顧問：戴有煒、劉家聖、楊宏文

專案負責人：顏柏舜

工程師：韋道揚 陳卉潔

游紹強 彭駿杰

吳仲凱 湯建軍

彭及福

1

姓名 負 責 項 目

顏柏舜 專案負責人、ISA防火牆

韋道揚 AD、DHCP、DNS、WINS湯建軍 VPN吳仲凱 WEB Server、DFS、Printer Server游紹強 EXCHANGE 2007彭駿杰 ETS (邊際傳輸伺服器)彭及福 ISA Server 2006陳卉潔 WSUS、FCS、Backup

2

尖端出版社，因為總公司網路結構要重新建置，並

且擴大營運，為此委託WAYNE團隊，幫他們規劃整體

網路架構。

3

總公司為於 台北人數 150人

分公司為於 桃園人數 35人

由於貴公司需要新開一個駐點，故此分公司必須和總公司有一定使用上的連線

建設一個對外服務的使用區域

針對該公司的防護需求，建設高可用性防火牆

為怕不可預期災害，需將重要資料備份

為讓業務人員，能夠獲得網路信箱新的郵件，需建置Push Mail功能

4

5

6

韋道揚

7

Q：為什麼要用AD？AD的功能？

A：集中管控帳號及電腦

網域控制站互相備援

電腦跟電腦之間存取方便

8

Server 2008x2 Server 2003

Top.com Branch.Top.com

9

利用群組原則有效管理

各部門分門別類

軟體佈署跟限制

資料的存取權限

10

動態主機協定(Dynamic Host Configuration Protocol ) 由管理員監控IP使用的狀況

使用者能自動取得IP，無須手動設定

IP可以重複使用

用DHCP Relay Agent來達到備援效果

我想要申請IP 好，我借你一個192.168.10.101的IP

11

Domain Name System 利用網域名稱來解析IP位址

使用者不需要去記IP 可以動態更新

我想連tw.yahoo.com 好，我幫你查Yahoo的IP是

119.160.246.241

12

Windows Internet Name Service 將NetBIOS電腦名稱解析成IP

我想連到叫作ANDY的電腦

好，我幫你查

ANDY的IP是192.168.2.100

13

湯建軍

14

Site-to-Site VPN (站台對站台)

Remote Access VPN/ Router-to-Router VPN)(遠端存取/ 路由器對路由器)

15

通訊協定

PPTP L2TP/IPSec SSTP

16

17

VPN伺服器RADIUS用戶端

RADIUS伺服器

18

VPN伺服器RADIUS用戶端

RADIUS伺服器

吳仲凱

19

Web Server是由多個IIS網站所架設出來的，能讓公司的網頁資料更完整更及穩定也能讓客戶有完善網路平台做為連結，以便取得到公司所提供的網路服務，多個Web Server組合成的形式稱為Web Farm裡面包含的有 NLB DFS 這些功能都是針對網站上的資料能分散式傳輸及存取，這些功能都屬於高可用性的。

20

ISA防火牆

有網路負載平衡功能

前端Web Farm (IIS網頁伺服器)

後端資料庫

21

能將網路流量分散到不同的網頁伺服器。

有容錯功能。

管理效能佳。

22

可提高檔案的存取效率

可提高檔案的可用性

伺服器的負載平衡功能

23

主要功能是能進行 伺服器與用戶端之間的檔案傳送的功能。

可直接管理用戶在伺服器上所有的檔案。

可依權限等級不同區分用戶存取的權限。

在DMZ區可以採用FTPS來增加安全性的控管避免資料外洩或竊取。

24

負責發放憑證單位

企業CA必須是網域裡的電腦或使用者(Exchange 郵件、伺服器IIS及VPN連線)

獨立CA不需網域裡的成員及電腦(也就是非網域使用者或電腦)

IIS可透過瀏覽器發放憑證。

提供VPN遠端存取L2TP/IPsec連線憑證發放。

25

可利用群組原則部署給使用者及電腦。

可設定列印優先權以及列印時間來安排行程。

可設定列印集區。

26

游紹強

27

Hub Transport Server Role處理組織內的所有郵件流程、套用傳輸規則、套用日誌規則，以及將郵件傳遞至收件者的信箱。

Client Access Server Role管理伺服器的用戶端存取權。

Mailbox Server Role為使用者提供電子郵件儲存及進階排程服務。

28

簡易的部署與管理

過濾垃圾、病毒郵件架構

高度的可用性

全新管理工具提升IT管理人員的工作生產力

企業級的行動通訊方案

29

Exchange 管理主控台採取圖形介面。可以透過視窗檢查

Exchange Management Shell透過可撰寫指令碼的命令列，能達成自動化、批次及報告的快速管理

Active Directory擴充整合可協助在組織內自動化更新伺服器的探索及設定

30

外部安全

邊際傳輸

郵件過濾

連線過濾

內容過濾

防毒擴充

附件過濾

防毒掃描(MIME)

內部安全

SSL 憑證

TLS 加密

31

連續複寫

本機連續複寫 (LCR )叢集連續複寫 (CCR )

單一副本叢集(SCC)容錯移轉

32

33

34

35

彭駿杰

36

37

DMZ為介於外部網路與內部網路之間的一小段網路，透過防火牆的規則來提供對內/對外服務，放置主機(如 Web 、 FTP 、SMTP 伺服器) ，主要功用是避免外部使用者直接與內部伺服器溝通，增加其安全性。

38

Client Access Server Role Edge Transport Server Role Hub Transport Server Role Mailbox Server Role Unified Messaging Server Role

39

40

在 Microsoft Exchange Server 2007 發行前版本中，Edge Transport Server Role稱為 Front End Server Role。

Exchange Server5.5

Exchange Server2000

Exchange Server 2003

Exchange Server 2007

郵件傳輸代理程式 (MTA) SMTP 路由引擎 SMTP 路由引擎 邊際傳輸服務

獨立伺服器 / 非內部網域成員伺服器

處理網際網路相關的郵件寄送 (轉寄站)透過接收連接器/傳送連接器

提供簡易郵件傳送通訊協定 (SMTP) 轉送和智慧主機功能

41

ETS 與 AD目錄服

務關聯密切

42

篩選機制

透過一系列代理程

式–可對病毒和垃

圾郵件提供防護

43

Edge Transport

Server Role 是

為了將受攻擊面

縮到最小而設計

另可搭配業界專為

Exchange Server

應用之防毒軟體

44

網路介面 開啟通訊埠 通訊協定 附註

從網際網路輸入及輸出至網際網路

25/TCP SMTP必須開啟此通訊埠才能進行進出網際網路的郵件流程。

從內部網路輸入及輸出至內部網路

25/TCP SMTP必須開啟此通訊埠才能進行進出Exchange 組織的郵件流程。

僅限本機50389/TCP LDAP

此通訊埠是用於與 ADAM 進行本機連線。

從內部網路輸入

50636/TCP 安全 LDAP必須開啟此連接埠才能進行EdgeSync 同步處理。

Edge Transport Server 的通訊埠設定

通訊埠設定增強其安全性45

顏柏舜

彭及福

46

只要裝了防毒軟體，系統就絕對安全?

防火牆就相當於一個嚴格的門衛，掌管系統的各扇門，進一步開放或阻擋流量(如:HTTP、FTP、DNS…等流量)

外部→內部80 port關閉

Hacker

HTTP

HTTP

公司內部→外部80 port開啟

公司網站

47

後端防火牆 前端防火牆

總公司

分公司

DC1

CSS

DMZ區

VPN功能

48

Back to back + NLB

內部網路、外部網路及DMZ區網路

建置原則

提供網頁快取服務

透過DMZ區發佈公司內部的網頁及非網頁服務

結合VPN服務

阻擋P2P等通訊軟體

支援Web proxy、SecureNAT及防火牆用戶端

49

可降低駭客利用病毒、蠕蟲及特洛依木馬程式等惡意程式碼，入侵貴公司電腦。

抵擋心懷不軌的攻擊。

嚴重的攻擊可能導致電腦資訊被刪除、當機，甚至個人資訊被竊取，例如密碼或信用卡資訊。

50

陳卉潔

51

PATCHPATCHPATCH

影響網路效率

與現有軟體相互干擾

52

有效使用對外頻寬

減少人力資源浪費

PATCH PATCHPATCHPATCH

53

“所有電腦”群組

PATCH PATCH

預防微軟漏洞攻擊

管理更新(批准或拒絕更新)

利用群組原則來部署更新程式

透過報告監控 WSUS Server的實際情況54

提供容易管控且統一的惡意程式碼防護解決方案

透過 WSUS 群組部署，強制安裝 FCS & 更新

強制掃描，確認安全

問題回報，方便管理者解決問題55

重要功能自動偵測並移除間諜程式與廣告軟體

修復病毒與間諜程式所做的變更

抵抗嘗試停用防毒軟體的惡意程式碼

允許管理自訂的間諜程式與廣告軟體策略

56

EVENTS

SETTINGS REPORTS

DEFINITIONS FCS Collection andReporting Roles

57

重要功能可以透過排程或事件導向等備份方式自動備份系統利用 Restore Anyware 技術還原至不同硬體能夠將異地備份複本備份至FTP 位置或次要磁碟上以強化災難復原能力可針對 VMware、Microsoft 及 Citrix 虛擬環境，完美執行實體到虛擬 (P2V) 及虛擬到實體 (V2P) 的轉換 58

便利便利 安全安全 備份備份

59

添購軟體 單價 數量 總額

Server 2003 140,000 27 3,780,000

Server 2008 140,000 2 280,000

ISA Server 2006 210,000 5 1,050,000

Exchange 2007 120,000 4 480,000Forefront Client Security

Server 8,000 2 16,000

Forefront Client SecurityClient 600 200 120,000

SymantecBackup Exec System Recovery 75,000 2 150,000

Total 5,760,000

60

這次很榮幸的替尖端出版社規劃了整體的架構，也希望下一次能再為貴公司服務。

61

雖然在成功的路上總是有誘人的外在環境因素干擾，但是我們的團隊終能克服這些問題，也希望接下來的這週的實作能夠畫下完美的句點。

62

63