网络架构

我们认为要想达到上述的目标，首先对其网络进行改造，由于原先贵公司的网络是对等网络，用户级别是一样的，为此我们要在原有的网络对其进行改造，改造网络架构图如下：

根据我们的设想会在原有的网络架构中，增加两台服务器，一台是微软公司ISA SERVER，另一台是瑞星公司的企业版网络杀毒系统，同时是贵公司的文件服务器系统。
主要应用系统介绍
1、 微软ISA（2004） 服务器系统：作为微软公司路由级网络防火墙（Microsoft? Internet Security and Acceleration Server 2004 ）有着极其强大的功能，同时微软公司为中、型企业制定企业信息化安全策略的重要工具。简单介绍如下：

管理委派：用来向用户或组以委派管理权限，ISA基于角色来分配三种权限之一，要注意的是这个地方与帐号本身的权限并没有关系。换句话说，一个内置的USERS组或普通用户也可以被委派于ISA完全权限管理员权限。还有一个特别的地方是，无法删除最后一个完全权限管理员。不然的话，就没有人再可以管理ISA服务器了，与系统一样不能删除内置的administrator角色道理是一致的！
在相应权限委派后，还需要相应的管理工具来管理ISA服务器，以管理方法来划分。分为本地管理与远程管理，本地管理ISA,只要客户有本机登录权限与相应的委派权限结合起来，就可以管理或监视ISA服务器。远程管理ISA，需要在规则上放开相应的连接端口与身份帐号，以赋于连接工具远程连接ISA服务器。这时可以使用MMC,RDP,MOM以及第三方连接管理工具就可以远程管理ISA服务。

配置防火墙链：这个功能只是为FWC与SNAT两种客户端将路由请求到上游服务器，上游服务器可以是代理服务器或者是路由器。它不会缓存客户端的对象请求，一概提交到上游既可。这时候ISA本身相当于二级代理服务器。这只是个称呼而已，默认情况下是以ISA本身直接向目的地检索请求对象。

指定拨号首选项：它是为PPPOE，防火墙链，WEB链来服务于客户端远程未知的请求。这个地方是与网络连接中预先建立的连接息息相关的，值得注意的地方是要不要把此拨号连接作为默认网关。因为拨号连接的默认网关度量是最低的。它会误导ISA已存的默认路由请求到不该请求的链路。

指定证书吊销：此功能是为安全WEB站点服务的，ISA会代替WEB服务器来检查客服双方证书的有效性，大多数为公众服务的安全WEB服务器，只是向公众证实自身的可靠性。并不需要客户端出示证书来检验对方。但在特别用途的WEB还是需要验证客户的。此功能也为安全WEB服务器在信任的CA中，验证服务器的证书是否被吊销。有一个特别的地方就是，即使安全WEB服务器并不需要验证客户身份，但ISA也会代替安全WEB来验证客户的身份。如果不需要验证客户端身份的话，在此功能这个地方可以取消它。

定义防火墙客户端设置：它是用来定义FWC程序与系统服务的设置，以是否可以允许通过ISA通信，其实还有一些键值选项只能手工在FWC配置文件中设置，FWC会每六小时更新一次以刷新配置文件。这几个配置文件为：locallat.txt,common.ini,management.ini,它们都位于客户机所有用户或当前用户FWC配置文件之下。防火墙客户端设置主要还是用来为系统程序服务，因为这些服务程序是不能随便改变名称。而对一些能改变程序名称而绕过IAS发起通信并不是很有效。

查看ISA服务器计算机详细信息：在此可以查看ISA版本号，ID,安装时间，及安装目录，甚至可以记录一些后备升级的描述信息。

配置链接转换：这些内容类型的转换作用主要是为了隐藏主机的NETBIOS名称，及转换为客户正确引用的URL信息，当发布多媒休WEB网站，就可以根据需要将发布的类型以转换文件类型与MEMI类型的请求，否则WEB筛选器检查到非法请求时将显示为断开的连接，此内容类型链接转换与URL请求中的转义字符及端口映射是两回事。在复杂的WEB站点需要配合设置。

定义RADIUS服务器：全称远程身份验证拨入用户服务，是独立于各自厂商的一种身份验证标准，在MS中称为IAS，既因特网验证服务，此功能是用来把用户提交的身份信息，向信任的IAS服务器提交以验证用户的身份。以确定帐号的有效性，是否赋于连接权限。把大量的帐号保存在ISA本身就是一种风险。而RADIUS的作用和优点一是帐号可以集中性验证，二是减轻了ISA验证用户身份的负担。

启用入侵检测和DNS攻击检测：这两个小功能是ISA用来检测非法的入侵请求，TCP/IP协议至今也不是一种安全的协议。协议中包含的非法数据包请求是非常错乱复杂的，这些协议中带有非法请求的链接都可以完全交给ISA来处理，以及是否触发定义的警报，给予管理员提醒，也可以使用AT,NET命令来执行指定的服务批处理操作。DNS服务是个非常重要的基础服务。特别是权威DNS区域管理员有必要在第一时间根据警报来知道DNS的服务是否处于正常状态。

定义IP首选项：在这个地方有三个选项，IP选项筛选的原理比较复杂，在此层次上是基于IP数据包选项的类型进行检查。这个地方与IP等级类型并不是一回事。它是检查包含在数据包头上IP选项赋于数据包一些传输限制，一个很有用的选项如“严格源路由”选项。阻止IP片段虽然提高数据的传输性能，但也会带给ISA较大的负担，而且对于建立IPSEC链接时，在证书交换，音频视频传输方面可能会造成问题。因为某些音频视频传输协议在接收方并不遵守IP数据包排序。启用IP路由，ISA相当于一台ROUTE,向目的地发送原始数据包。不启用路由时ISA会复制接收的原始数据包请求，以自身用户模式向目的地发送请求。从而为远程目的地隐藏原始网络信息。

定义链接限制：用来限制每条规则在每秒中和每个客户端发起的连接限制。对于TCP链接在不断开连接或TTL生存期内，新发起的TCP链接将被拒绝。而对于UDP链接发起的链接将取代旧的UDP链接。在网络关系为NAT时，逻辑上ISA上的每个IP支持65535*2链接。实际上远没有这么多，也受限于链路带宽与ISA本身性能限制。它很类似于CISCO路由器NAT全局转换LOAD OVER负载。

2、瑞星中小型企业网络版杀毒系统：
一、“中小企业版”产品推出背景及设计思路

随着网络安全需求层次及应用层次的日益深入，企业级安全产品的应用领域逐渐从传统的、小型业务系统向大型的、关键业务系统扩展，但从实际市场需求上看，我们发现，中小型企业信息业务系统仍占有相当大的比例，对于网络环境的安全需求亦十分迫切。
“中小企业版”是瑞星公司特别为中小型企业量身定做的一款企业级反病毒产品。在开发、研制、推广产品的过程中，瑞星公司充分考虑了中小型企业信息化建设现状及其对于网络安全的实际需要，“中小企业版”产品整体设计不仅包含了企业级反病毒产品的主要管理功能，且灵活、快捷，反应迅速，易于操作，更适用于中小型的网络环境，让中小型企业能够以最小的投资给予网络环境最安全的保障。

二、瑞星杀毒软件中小企业的解决方案

瑞星杀毒软件【中小企业版】通过一个系统中心的统一管理，为中小型企业提供灵活、快捷的网络防病毒支持，可确保企业内部网络100％不受病毒侵扰。 瑞星杀毒软件网络版系统中心可以很容易的在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能，有效地管理和保护所有的病毒入口。 瑞星管理员控制台使管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理，清楚地掌握整个网络环境中各个节点的病毒监测状态，既方便了管理员，又最大程度的减少了整个网络中的安全漏洞，真正做到100％的保证整个网络的系统安全，具有其它网络版产品无以比拟的优越性。 瑞星杀毒软件中小企业版主要适用的操作系统平台：Windows NT、Windows2000、Windows 9X/Me、Windows XP。