Федеральное агентство по науке и образованию РФ
Государственное образовательное учреждение высшего профессионального образования
«Владимирский Государственный Университет»
Кафедра вычислительной техники
Пояснительная записка к курсовой работе
по дисциплине
«Сети ЭВМ и телекоммуникации» на тему
Проектирование сети офиса банка
Выполнил:
Леонов С.А. Принял:
|
Владимир 2006
Содержание
1 Введение............................................3
2 Техническое задание...............................................3
3 Общая конфигурация сети.............................4
4 Выбор оборудования..................................4
4.1 Выбор серверов................................4
4.2 Выбор сетевых технологий......................5
4.2.1 Технология Ethernet.....................9
4.2.2 Технология
ADSL
........................10
4.3 Выбор дополнительного оборудования...........12
5 Выбор программных средств..........................12
5.1 Операционная система и файловая система......12
5.2 Протокол передачи данных.....................14
5.3 Основная программа...........................16
5.4 Программы безопасности и мониторинга.........17
6 Описание функционирования системы..................19
6.1 Настройки и функционирование ОС..............20
6.1.1 Сетевые настройки......................22
6.1.2 Группы пользователей...................23
6.1.3 Учетные записи пользователей...........24
6.1.4 Управление файлами и папками...........26
6.1.5 Общий доступ к данным..................27
6.2 Описание работы средств безопасности.........30
7 Заключение.........................................31
8 Список использованных источников...................32
Приложение 1.........................................33
1 Введение
Данный проект является разработкой локальной сети для офиса банка.
Вычислительные машины, объединенные в сеть, являются сейчас неотъемлемым инструментом в работе сотрудников банка. Без такой вычислительной системы не обходится ни один банк, так как в противном случае, как время обслуживания клиента, так и время доставки данных в основной офис компании-банка были бы слишком велики.
В связи с этим, построение хорошей локальной сети является очень важной задачей. Это важно еще и потому, что к сети банка предъявляются высокие и в некоторых областях очень жесткие требования.
Сети предприятий должны быть построены на основе проверенных технологий, обладающих такими качествами, как масштабируемость, гибкость, мультисервисность, и самое главное - надежность.
2 Техническое задание
Офис банка рассчитан на 10-20 работников. Среди них несколько (3-5) кассиров, один администратор сети, один руководитель отделения, остальные – обычные работники, выполняющие основные задачи.
Необходимые компоненты системы:
1. Сервер приложения(с поддержкой банковской программной системы).
2. Файловый сервер.
3. Средства доступа в глобальную сеть.
Общие требования к системе:
1. Сохранность данных, как в случае сбоя, так и в случае случайного изменения. В системе всегда должны быть актуальные (и соответствующие действительности) данные.
2. Высокая отказоустойчивость основных компонентов системы (серверов с ключевыми программами). Время возможного простоя должно быть сведено к минимуму, так как любой простой приводит к финансовым потерям.
3. Высокая степень безопасности от вторжения, а также конфиденциальность данных, передаваемых через глобальную сеть. Важные данные должны передаваться только их реальному адресату. Во время передачи не должно быть возможности изменить или перехватить эти данные.
Соблюдение всех этих требований имеет очень большую важность, так как в банковской системе ошибки приводят к более серьезным последствиям, чем в других областях применения сетей компьютеров.
Кроме безопасности нужно еще создать удобные условия для работы сотрудников. Все задачи должны выполняться настолько быстро, чтобы вычислительная система не задерживала работу сотрудников.
3 Общая конфигурация сети
В сети должно быть три сервера, распределение функций по ним следующее:
На первом: только сервер приложения.
На втором: файловый сервер, мост в глобальную сеть, средства шифрования, средства мониторинга трафика.
На резервном: копии программ с первого и второго серверов (но без связи с глобальной сетью), а также копии данных с основных серверов.
На резервный сервер данные автоматически копируются каждый день. Резервный сервер включается в работу в случае сбоя одного (или обоих) из основных. Также, с резервного сервера могут быть восстановлены случайно испорченные данные.
К серверам подключены клиентские машины сотрудников банка. Состав работников считается достаточно статичным, поэтому для каждого создана своя учетная запись с конкретными правами.
4 Выбор оборудования
Выбор оборудования решает две задачи:
- Обеспечивает приемлемую скорость работы системы
- Выполняет часть требований отказоустойчивости
Выбор оборудования для сети должен быть оптимальным: излишне мощное оборудование увеличивает начальные затраты, слишком слабое снижает эффективность работы сотрудников и, как следствие, увеличивает затраты на выполнение определенного объема работы.
4.1 Выбор серверов
Все сервера должны быть одинаковы по характеристикам, это обеспечит взаимозаменяемость, и упростит приобретение.
Общие требования к серверам:
- процессор с частотой не менее 2 Ггц
- не менее 2 Гб оперативной памяти
- не менее 320 Гб на жестких дисках
- наличие аппаратного RAID-контроллера
Для этих целей отлично подходит сервер на базе Intel 1U SR1530AH.
4.2 Выбор сетевых технологий
На роль основной, рассматривались следующие технологии:
Ethernet
Ethernet — это самый распространенный на сегодняшний день стандарт локальных сетей. Эта технология была разработана в 1970 году Исследовательским центром в Пало-Альто, принадлежащем корпорации Xerox. В 1980 г. на его основе появилась спецификация IEEE 802.3. Различные реализации - Ethernet, Fast Ethernet, Gigabit Ethernet – обеспечивают пропускную способность соответственно 10, 100 и 1000 Мбит/с.
Главным достоинством сетей Ethernet, благодаря которому они стали такими популярными, является их экономичность. Кроме того, в сетях Ethernet реализованы достаточно простые алгоритмы доступа к среде, адресации и передачи данных. Простота логики работы сети ведет к упрощению и, соответственно, удешевлению сетевых адаптеров и их драйверов. По той же причине адаптеры сети Ethernet обладают высокой надежностью. Еще одной сильной стороной сетей Ethernet является легкость расширения, то есть легкость подключения новых узлов.
Именно эта технология используется в качестве основной, в данном проекте. Ethernet 100 Mbit сейчас является ведущей технологией построения локальных сетей: высокая скорость и надежность сочетается с низкой стоимостью оборудования и легкостью монтажа. Скорость 100 Mbit является избыточной для рассматриваемой сети, но все равно эта технология остается наиболее оптимальной.
Token Ring
В 1970 году эта технология была разработана компанией IBM, а после стала основой стандарта IEEE 802.5. Token Ring является сетью с передачей маркера. Кабельная топология – звезда или кольцо, но логически данные всегда передаются последовательно от станции к станции по кольцу. При этом способе организации передачи информации по сети циркулирует небольшой блок данных – маркер. Каждая станция принимает маркер и может удерживать его в течении определенного времени. Если станции нет необходимости передавать информацию, она просто передает маркер следующей станции. Если станция начинает передачу, она модифицирует маркер, который преобразовывается в последовательность "начало блока данных", после которого следует собственно передаваемая информация. На время прохождения данных маркер в сети отсутствует, таким образом остальные станции не имеют возможности передачи и коллизии невозможны в принципе. При прохождении станции назначения информация принимается, но продолжает передаваться, пока не достигнет станции-отправителя, где удаляется окончательно. Для обработки возможных ошибок, в результате которых маркер может быть утерян, в сети присутствует станция с особыми полномочиями, которая может удалять информацию, отправитель которой не может удалить ее самостоятельно, а также восстанавливать маркер. Поскольку для Token Ring всегда можно заранее рассчитать максимальную задержку доступа к среде для передачи информации, она может применяться в различных автоматизированных системах управления, производящих обработку информации и управление процессами в реальном времени. Для сохранения работоспособности сети при возникновении неисправностей предусмотрены специальные алгоритмы, позволяющие в ряде случаев изолировать неисправные участки путем автоматической реконфигурации. Скорость передачи, описанная в IEEE 802.5, составляет 4 Мбит/с. Существует также реализация 16 Мбит/с, разработанная в результате развития технологии Token Ring.
ARCnet
Attached Resourse Computing Network (ARCnet) – сетевая архитектура, разработанная компанией Datapoint в середине 1970-х годов.
В качестве стандарта IEEE ARCnet принят не был, но частично соответствует IEEE 802.4. Сеть с передачей маркера. Топология - звезда или шина. В качестве среды передачи ARCnet может использовать коаксиальный кабель, витую пару и оптоволоконный кабель. На местной почве, естественно, были популярны варианты на коаксиале и витой паре. Закрепить свои позиции этому недорогому стандарту помешало малое быстродействие - 2,5 Мбит/с. В начале 90-х Datapoint разработала ARCNETPLUS, со скоростью передачи до 20 Мбит/с, обратно совместимый с ARCnet.
FDDI
Технология Fiber Distributed Data Interface (FDDI) была разработана в 1980 году комитетом ANSI. Была первой технологией локальных сетей, использовавшей в качестве среды передачи оптоволоконный кабель. Причинами, вызвавшими его разработку, были возрастающие требования к пропускной способности и надежности сетей. Этот стандарт оговаривает передачу данных по двойному кольцу оптоволоконного кабеля со скоростью 100 Мбит/с. При этом сеть может охватывать очень большие расстояния – до 100 км по периметру кольца. FDDI, также как и Token Ring, является сетью с передачей маркера. В FDDI разделяются 2 вида трафика – синхронный и асинхронный. Полоса пропускания, выделяемая для синхронного трафика, может выделяться станциям, которым необходима постоянная возможность передачи. Это очень ценное свойство при передаче чувствительной к задержкам информации - как правило, это передача голоса и видео. Полоса пропускания, выделяемая под асинхронный трафик, может распределяться между станциями с помощью восьмиуровневой системы приоритетов. Применение двух оптоволоконных колец позволяет существенно повысить надежность сети. В обычном режиме передача данных происходит по основному кольцу, вторичное кольцо не задействуется. При возникновении неисправности в основном кольце вторичное кольцо объединяется с основным, вновь образуя замкнутое кольцо. При множественных неисправностях сеть распадается на отдельные кольца.
Высокая надежность, пропускная способность и допустимые расстояния, с одной стороны, и высокая стоимость оборудования, с другой, ограничивают область применения FDDI соединением фрагментов локальных сетей, построенных по более дешевым технологиям.
Технология, основанная на принципах FDDI, но с применением в качестве среды передачи медной витой пары, называется CDDI. Хотя стоимость построения сети CDDI ниже, чем FDDI, теряется очень существенное преимущество – большие допустимые расстояния.
ATM
Американский национальный институт стандартов (ANSI) и Международный консультативный комитет по телефонии и телеграфии (CCITT, МККТТ) начинали разработку стандартов ATM (Asynchronous Transfer Mode – Асинхронный Режим Передачи) как набора рекомендаций для сети B-ISDN (Broadband Integrated Services Digital Network). При этом изначально преследовалась цель повышения эффективности использования телекоммуникационных соединений, возможность применения в локальных сетях не рассматривалась.
В технологии ATM используются небольшие, фиксированной длины пакеты, называемые ячейками (cells). Размер ячейки - 53 байта (5 байт заголовок + 48 байт данные).
В отличии от традиционных технологий, применяемых в локальных сетях, АТМ – технология с установлением соединения. Т.е. перед сеансом передачи устанавливается виртуальный канал отправитель-получатель, который не может использоваться другими станциями. (В традиционных технологиях соединение не устанавливается, а в среду передачи помещаются пакеты с указанным адресом.) Несколько виртуальных каналов АТМ могут одновременно сосуществовать в одном физическом канале.
Для обеспечения взаимодействия устройств в ATM используются коммутаторы. При установлении соединения в таблицу коммутации заносятся номер порта и идентификатор соединения, который присутствует в заголовке каждой ячейки. В последствии коммутатор обрабатывает поступающие ячейки, основываясь на идентификаторах соединения в их заголовках.
Технология ATM предоставляет возможность регламентировать для каждого соединения минимально достаточную пропускную способность, максимальную задержку и максимальную потерю данных, а также содержит методы для обеспечения управления трафиком и механизмы обеспечения определенного качества обслуживания. Это позволяет совмещать в одной сети несколько типов трафика в одной сети. Обычно выделяют 3 разновидности трафика – видео, голос, данные.
Технология АТМ отличается широкими возможностями масштабирования. В рамках применения АТМ в локальных сетях интерес представляют варианты со скоростью передачи 25 (витая пара класса 3 и выше) и 155 Мбит/с (витая пара класса 5, оптоволокно), 622 Мбит/с (оптоволокно). Существующие стандарты АТМ предусматривают скорости передачи вплоть до 2,4 Гбит/с.
Использование АТМ на практике, прежде всего, привлекательно возможностью использовать одну сеть для всех необходимых видов трафика, причем технология АТМ не ограничивается уровнем локальных сетей – те же самые принципы функционирования и у WAN сегментов сетей ATM. В качестве недостатка можно указать стоимость оборудования, существенно большую, чем у Fast Ethernet, например. Кроме того, сама организация сетей АТМ несколько сложнее и в ряде случаев требует существенной реорганизации существующей сети.
100VG-AnyLAN
Технология разрабатывалась в начале 90-х совместно компаниями AT&T и HP, как альтернатива технологии Fast Ethernet, для передачи данных в локальной сети со скоростью 100 Мбит/с. Летом 1995 года получила статус стандарта IEEE 802.12. "Any" в названии должно означать сети Ethernet и Token Ring, в которых может работать 100VG-AnyLAN. Каждый концентратор 100VG-AnyLAN может быть настроен на поддержку кадров 802.3 (Ethernet), либо кадров 802.5 (Token Ring). Специфические нововведения 100VG-AnyLAN – это метод доступа Demand Priority и схема квартетного кодирования Quartet Coding, использующая избыточный код 5В/6В. Demand Priority определяет простую систему приоритетов – высокий, применяемый для мультимедийных приложений, и низкий – применяемый для всех остальных. В результате коэффициент использования пропускной способности сети должен повышаться. При этом роль арбитра при передаче трафика исполняют концентраторы 100VG-AnyLAN. За счет применения специального кодирования и 4-х пар кабеля, сети 100VG-AnyLAN могут использовать витую пару категории 3. Естественно, могут использоваться кабели более высоких категорий, также поддерживается оптоволоконный кабель.
Кроме основной технологии требуется еще какая-либо технология доступа к глобальной сети. Среди всех имеющихся, для данного проекта наиболее оптимальна тезнология ADSL.
Технолоия ADSL выбрана из-за следующих достоинств:
- легкость установки оборудования
- относительно невысокая стоимость
4.2.1 Технология Ethernet
Самой характерной чертой Ethernet является метод доступа к среде передачи - CSMA/CD (carrier-sense multiple access/collision detection) - множественный доступ с обнаружением несущей. Перед началом передачи данных сетевой адаптер Ethernet "прослушивает" сеть, чтобы удостовериться, что никто больше ее не использует. Если среда передачи в данный момент кем-то используется, адаптер задерживает передачу, если же нет, то начинает передавать. В том случае, когда два адаптера, предварительно прослушав сетевой трафик и обнаружив "тишину", начинают передачу одновременно, происходит коллизия. При обнаружении адаптером коллизии обе передачи прерываются, и адаптеры повторяют передачу спустя некоторое случайное время (естественно, предварительно опять прослушав канал на предмет занятости). Для приема информации адаптер должен принимать все пакеты в сети, чтобы определить, не он ли является адресатом.
Ethernet | Fast Ethernet | Gigabit Ethernet | |
Номинальная скорость передачи информации, Мбит/с | 10 | 100 | 1000 |
Среда передачи | Витая пара, коаксиал, оптоволокно | Витая пара, оптоволокно | Витая пара, оптоволокно |
Варианты реализации | 10 Base2, 10 BaseT, 10 Base5, 1 Base5, 10 Broad36 | 100 Base-TX, 100 Base-FX, 100 Base-T4 | 1000Base-X 1000Base-LX 1000Base-SX 1000Base-CX 1000Base-T |
Топология | Шина, звезда | Звезда | Звезда |
Основной недостаток сетей Ethernet обусловлен методом доступа к среде передачи: при наличии в сети большого количества одновременно передающих станций растет количество коллизий, а пропускная способность сети падает. В экстремальных случаях скорость передачи в сети может упасть до нуля. Но даже в сети, где средняя нагрузка не превышает максимально допустимую рекомендованную (30-40% от общей полосы пропускания), скорость передачи составляет 70-80% от номинальной. В некоторой степени этот недостаток может быть устранен применением коммутаторов (switch) вместо концентраторов (hub). При этом трафик между портами, подключенными к передающему и принимающему сетевым адаптерам, изолируется от других портов и адаптеров.
Cущественным преимуществом различных вариантов Ethernet является обратная совместимость, которая позволяет использовать их совместно в одной сети, в ряде случаев даже не изменяя существующую кабельную систему.
Соединение компьютеров в локальной сети, основанной на технологии FastEthernet, обеспечивается через использование коммутаторов с различным количеством портов и поддерживающих различные технологии. Для соединения аппаратуры внутри сетей офисов, построенных по технологии FastEthernet, используется кабель 100Base-TX - витая пара UTP Cat 5е. Исходя из разработанной топологии, в данном проекте используется 24-х портовый коммутартор ZyXEL Dimension ES-1024.
Коммутатор ZyXEL Dimension ES-1024 является экономически выгодным решением Fast Ethernet и может использоваться для построения высокоэффективных коммутируемых сетей. Функция промежуточного хранения данных заметно сокращает время ожидания в высокоскоростных сетях. Коммутатор разработан для рабочих групп, отделов или магистральных вычислительных сред для небольших и средних предприятий. За счет большой адресной таблицы и высокой производительности, коммутатор является отличным решением для подключения сетей отделов к корпоративной магистрали или для соединения сегментов сетей.
Технические характеристики коммутатора:
• 24-портовый коммутатор Fast Ethernet • Соответствие стандартам IEEE 802.3, 802.3u и 802.3x • Порты Ethernet RJ-45 с автоматическим выбором скорости 10/100 Мбит/с • Автоматическое определение подключения перекрестного кабеля на всех портах Ethernet RJ-45 10/100 Мбит/с • Поддержка управления потоком Back-Pressure-Base на полудуплексных портах • Поддержка управления потоком Pause-Frame-Base на полнодуплексных портах • Поддержка коммутации с промежуточным хранением • Поддержка автоматического определения адресов • Максимальная скорость пересылки по проводной сети • Встроенная таблица MAC-адресов (объем 8K MAC-адресов)
4.2.2 Технология ADSL
ADSL-модемы, подключаемые к обоим концам линии между абонентом и АТС, образуют три канала: быстрый канал передачи данных из сети в компьютер, менее быстрый дуплексный канал передачи данных из компьютера в сеть и простой канал телефонной связи, по которому передаются обычные телефонные разговоры. Передача данных в канале «сеть-абонент» происходит со скоростью от 1,5 до 6 Мбит/с, в канале «абонент-сеть» — со скоростью от 16 Кбит/с до 1 Мбит/с. В обоих случаях конкретная величина скорости передачи зависит от длины и качества линии. Асимметричный характер скорости передачи данных вводится специально, так как удаленный пользователь Internet или корпоративной сети обычно загружает данные из сети в свой компьютер, а в обратном направлении идут либо квитанции, либо поток данных существенно меньшей скорости. Для получения асимметрии скорости полоса пропускания абонентского окончания делится между каналами также асимметрично.
Одно из главных преимуществ технологии ADSL по сравнению с аналоговыми модемами и протоколами ISDN и HDSL — в том, что поддержка голоса никак не отражается на параллельной передаче данных по двум быстрым каналам. Причина подобного эффекта состоит в том, что ADSL основана на принципах разделения частот, благодаря чему голосовой канал надежно отделяется от двух других каналов передачи данных. Такой метод передачи гарантирует надежную работу канала POTS даже при нарушении питания ADSL-модема. Никакие конкурирующие системы передачи данных не обеспечивают работу обычного телефонного канала столь же надежно.
Для данного проекта был выбран ADSL-модем ZyXEL Prestige 660. Модем P-660R принадлежит к четвертому поколению ADSL-модемов и объединяет в одном устройстве функциональность, необходимую для подключения уже имеющейся офисной или домашней сети к Интернету: модем ADSL2+, маршрутизатор и межсетевой экран. Установка и обслуживание модема P-660R проста и не доставляет проблем.
Основные преимущества ZyXEL Prestige 660:
- Высокоскоростной Интернет – до 24 Мбит/с
- Надежное соединение на проблемных линиях
- Свободный телефон
- Постоянное соединение
- Не требует установки драйвера
- Простая настройка
- Защита от атак из Интернета
4.3 Выбор дополнительного оборудования
В качестве принт-сервера был выбран аппарат TrendNetTE100-P21, имеющий следующие характеристики:
- 1 порт UTP 10/100Mbpscавтовыбором скорости
- 2 порта USB 2.0
- 1 порт LPT. Это устройство позволяет разместить принтеры в любом удобном месте офиса.
Так же, в данной системе необходимы источники бесперебойного питания:
- SVENPowerPro+ 500 для компьютеров работников
- SVEN Power Pro+ 1000 для серверов
5 Выбор программных средств
Программные средства наполняют систему функциональностью, а так же позволяют решить ряд проблем, связанных с безопасностью. От выбора программных средств зависит как удобство настройки и работы с системой, так и ее надежность.
5.1 Операционная система и файловая система
Операционные системы (ОС) семейства Windows Server 2003 являются эволюционным развитием серверной платформы Windows 2000 Server, также включившим в себя многие средства систем Windows XP.
Семейство Windows Server 2003 включает в себя четыре редакции (версии) операционных систем (их назначения и характеристики рассматриваются ниже):
- Windows Server 2003, Standard Edition;
- Windows Server 2003, Enterprise Edition;
- Windows Server 2003, Datacenter Edition;
- Windows Server 2003, Web Edition.
Несколько упрощая ситуацию, эти редакции можно рассматривать как различные конфигурации (комплектации) одного и того же "базового" ядра. Большинство системных сервисов поддерживается во всех редакциях, в то время как отдельные сервисы присутствуют или, наоборот, отсутствуют в более "мощных" моделях.
В этом пункте мы будем рассматривать возможности и службы, единые для всех четырех версий, поскольку именно они представляют интерес для широкого читателя.
Системы Windows Server 2003 сохранили многие черты своих предшественниц — Windows 2000 Server и Windows XP.
Системы семейства Windows Server 2003 предлагают все серверные возможности ОС Windows 2000 Server (включая совершенно новые средства), реализованные на обновленном ядре ОС Windows XP с учетом возросших требований к надежности и безопасности систем и данных. Можно выделить несколько целей, которые ставились при разработке линейки систем Windows Server 2003.
Простота управления и снижение общей стоимости владения (Total Cost of Ownership, TCO)
Для решения этой задачи в Windows Server 2003 использованы многие решения, прошедшие обкатку в предыдущих системах Microsoft, например, пользовательский интерфейс, консоль управления ММС (Microsoft Management Console), развитые средства удаленного администрирования, установки и удаления программ и встроенной диагностики процесса загрузки. Упрощен и автоматизирован сам процесс инсталляции системы.
Системы Windows Server 2003 в сочетании с клиентами, работающими под управлением Windows 2000 и Windows XP Professional, реализуют возможности технологии IntelliMirror, объединяющей в себе развитые средства администрирования:
- централизованное администрирование корпоративной сети с использованием шаблонов политик безопасности и Active Directory; при этом используются как "старые" групповые политики, работающие и в среде Windows 2000, так и "новые", требующие доменов на базе Windows Server 2003 (количество групповых политик значительно увеличено даже по сравнению с Windows XP);
- управление инсталляцией, обновлением, восстановлением и удалением программных продуктов;
- поддержка рабочей конфигурации (документов, приложений и настроек системы) для мобильных пользователей;
- удаленная инсталляция операционной системы с сервера, что упрощает замену или подключение компьютеров.
Повышение надежности и защищенности систем
Защищенность информации обеспечивается благодаря использованию модифицированной файловой системы NTFS 5.0, шифрующей файловой системы (EFS), коммуникационных протоколов, позволяющих создавать закрытые виртуальные частные сети (VPN), протокола аутентификации Kerberos (в доменах Active Directory) и технологий управления доступом, таких как смарт-карты.
Семейство Windows Server 2003 обеспечивает лучшую поддержку существующих приложений и драйверов по сравнению с Windows 2000. Системы имеют значительно расширенный список совместимых аппаратных устройств. Поддерживаются устройства нового поколения: компьютеры с возможностями управления питанием, шины AGP, USB и IEEE 1394, DVD-диски, адаптеры ATM, кабельные модемы и т. д.
В системах минимизирована необходимость перезагрузки (после добавлений протоколов или новых устройств и т. п.), повышена надежность драйверов устройств и предусмотрена возможность "отката" к предыдущей версии драйвера, используется новая служба Windows Installer, определяющая требования к процессу инсталляции программных продуктов. Для запуска устаревших программ можно также использовать мастер совместимости Program Compatibility Wizard.
Обеспечение масштабируемости и высокой производительности
В системах Windows Server 2003 используется традиционное для линейки Windows NT/2000 многозадачное выполнение приложений, обеспечивается масштабируемая поддержка памяти и процессоров, служба индексирования ускоряет поиск информации на локальных дисках. Использование кластеров и поддержка ОЗУ большого объема позволяют создавать высокопроизводительные платформы для критически важных задач.
5.2 Протокол передачи данных
При развертывании в корпоративной сети службы удаленного доступа необходимо учитывать транспортные протоколы, используемые в настоящий момент в локальной сети — это может повлиять на планирование, интеграцию и настройку удаленного доступа. Удаленный доступ в Windows Server 2003 поддерживает транспортные протоколы TCP/IP, IPX/SPX и AppleTalk как указано в таблице:
Протоколы | Удаленный клиент Windows Server 2003, Windows XP или Windows 2000 | Сервер удаленного доступа Windows Server 2003 |
TCP/IP | X | X |
IPX | X | - |
AppleTalk | - | X |
Это означает, что можно интегрировать сервер удаленного доступа на базе Windows Server 2003 в существующую сеть Microsoft, UNIX, Apple Macintosh (по протоколу удаленного доступа РРР) или в сеть Apple Macintosh (по протоколу удаленного доступа ARAP). Клиенты удаленного доступа Windows Server 2003 могут также подключаться к серверам удаленного доступа по протоколу SLIP (вероятнее всего, на базе UNIX). При установке удаленного доступа любые протоколы, уже установленные на компьютере (TCP/IP и AppleTalk), автоматически разрешаются к использованию удаленного для доступа на входящих или исходящих подключениях. Для каждого выбранного стека протоколов требуется определить, будет ли открыт доступ к локальной сети или только к серверу удаленного доступа (по умолчанию разрешен доступ ко всей сети). Если предоставляется доступ к локальной сети с использованием стека протоколов TCP/IP, необходимо будет произвести дополнительную настройку клиента (например, определить IP-адрес).
Стек протоколов TCP/IP
Стек протоколов TCP/IP — один из наиболее популярных транспортных протоколов. Его возможности маршрутизации и масштабирования предоставляют максимальную гибкость при организации корпоративной сети. Перед администратором имеются две проблемы, связанных с использованием стека протоколов TCP/IP для реализации удаленного доступа:
- выделение клиенту IP-адреса;
- разрешение имен.
Каждый удаленный компьютер, подключающийся к серверу удаленного доступа под управлением Windows Server 2003 при помощи РРР и TCP/IP, автоматически получает IP-адрес. Этот адрес может быть выделен DHCP-сервером или выбран из статического диапазона IP-адресов, назначенных серверу удаленного доступа администратором. Если сервер удаленного доступа использует для получения IP-адресов службу DHCP, то он запрашивает 10 IP-адресов от DHCP-сервера. Сервер удаленного доступа назначает себе первый IP-адрес, полученный от DHCP-сервера. Оставшиеся адреса распределяются между клиентами удаленного доступа по мере установления соединений. IP-адреса освобождаются после отключения клиентов и используются многократно. Когда сервер удаленного доступа использовал все 10 IP-адресов, он запрашивает еще 10 адресов. Если DHCP-сервер по каким-либо причинам оказывается недоступен, то сервер удаленного доступа автоматически генерирует IP-адреса в диапазоне от 169.254.0.1 до 169.254.255.254. Другой источник адресов — статический пул IP-адресов, который задается в виде IP-адреса и маски.
Для разрешения символических имен клиенты могут использовать следующие методы:
- для разрешения доменных имен — службу DNS и файл HOSTS;
- для разрешения NetBIOS-имен — службу WINS и файл LMHOSTS.
Серверы удаленного доступа поддерживают все эти методы разрешения имен. Сервер удаленного доступа предоставляет клиентам IP-адреса серверов DNS и WINS. Клиенты удаленного доступа в малых сетях, где IP-адреса не изменяются, могут использовать файлы HOSTS или LMHOSTS для разрешения имен. Кроме того, в небольших сетях администратор может активизировать механизм широковещательных запросов для разрешения имен (этот механизм мы рассматривали ранее в этой главе).
В данном проекте состав сети достаточно статичен, поэтому IPадреса компьютерам назначаются вручную.
Стек протоколов NWLink
Клиенты удаленного доступа на базе Windows Server 2003 могут использовать стек протоколов NWLink (IPX/SPX-совместимый стек протоколов) для доступа к ресурсам Novell NetWare. Это возможно только с использованием механизма сетевых подключений, создаваемых в папке Network Connections. Служба маршрутизации и удаленного доступа (RRAS) протокол IPX больше не поддерживает.
Стек протоколов AppleTalk
Клиенты, использующие стек протоколов AppleTalk, имеют фактически две возможности для получения удаленного доступа к ресурсам корпоративной сети:
- клиенты Apple Macintosh могут устанавливать соединение с сервером удаленного доступа Windows Server 2003, используя специальный протокол удаленного доступа ARAP из стека протоколов AppleTalk. При этом стек протоколов AppleTalk используется в качестве транспорта;
- клиенты Apple Macintosh могут устанавливать соединение с сервером удаленного доступа Windows Server 2003 при помощи протокола удаленного доступа РРР и транспортного стека протоколов AppleTalk. В такой конфигурации клиенты удаленного доступа получают парамет
5.3 Основная программа
В качестве главного программного комплекса предлагается использовать систему WinPeak Банк.
С помощью данного решения можно автоматизировать как отдельные структурные подразделения банка, так и в целом банк с его филиальной сетью. Экономия от внедрения и владения данным решением по сравнению с известными западными аналогами может достигать 3-4 раз.
построение единой клиентской базы банка, максимально полно описывающей клиента и историю взаимоотношения с ним, с широкими возможностями формирования клиентских групп по любым критериям; отслеживание значимых событий в жизни клиента.
создание единого Контакт-центра, позволяющего организовать общение с клиентом, при этом на основе собранной информации на экране монитора оператора выдается своевременная информация о клиенте, последних контактах с ним, возникает напоминание о необходимости сделать звонок или какое-либо другое действие.
планирование взаимоотношениий с клиентами, формализация бизнес-процессов, связанных с привлечением и удержанием клиентов банка, анализ и планирование деятельности сотрудников в этой сфере.
автоматизация процессов анализа клиентских групп; рентабельности каналов продвижения банковских услуг; планирования и контроля загруженности и эффективности деятельности сотрудников.
формирование целевых программ по работе с группами клиентов на основе централизованного сбора и анализа информации о типовых производственно-финансовых нуждах, личных ожиданиях и стереотипах.
автоматизация ведения маркетинговых исследований по основным группам потенциальных клиентов и конкурентов, с набором инструментов для подготовки и ведения маркетинговых опросов и рассылок рекламных материалов.
обеспечение защиты клиентской базы банка (уход ключевых сотрудников не лишает банк информации о контактах с соответствующей частью клиентов).
5.4 Программы безопасности и мониторинга
Программа шифрования данных Steganos Security Suite 7
Пакет утилит Steganos Security Suite 7 является очень популярным в пользовательской и корпоративной средах. С помощью Steganos Security Suite 7 можно создавать скрытые диски, записывать секретную информацию на портативные носители (например, CD-RW), шифровать информацию в мультимедийные файлы типа GIF, JPG, BMP, WAV, кодировать данные, связанные с посещением интернета и так далее. Далее обзор необходимых в данной работе возможностей программы.
E-mail Encription.
Кодирование e-mail сообщений. Любое сообщение, включая варианты "текст + вложеннные файлы", кодируется в один файл с расширением *.cab или же сразу *.exe. При кодировании нужно ввести пароль и сообщить его получателю. Зашифрованный файл пересылается в аттачменте напрямую из почтовой программы либо его можно сохранить на диске и послать любым другим удобным способом. При декодировании получателю совсем не обязательно иметь установленный Steganos Security Suite, достаточно знать пароль.
Steganos Password Manager.
Менеджерпаролей. Все пароли могут быть сохранены в этом менеджере, который в свою очередь защищен собственным. Помимо этого, программа может помочь в создании пароля, так как позволяет его генерировать, причем с учетом частоты его использования. В частности 7-я версия программы позволяет сгенерировать около полумиллиона редких сочетаний. Если говорить о степени защиты, то, возможно, использовать 128-битные ключи, что соответствует самым высоким требованиям безопасности.
Internet Trace Destructor
.
Этот модуль является защищающим при серфинге в интернете. Он позволяет выборочно или полностью удалять информацию, связанную с посещением сетевых ресурсов, что обычно сопряжено с сохранением на диске множества временных и постоянных файлов, которыми могут воспользоваться сторонние люди. Это касается кэша, cookies, обмена онлайн-информацией, работы офисных приложений, браузера, настроек AOL и т.п. Данных накапливается достаточно много, и далеко не все из них являются необходимыми и безопасными. Internet Trace Destructor имеет достаточно много настроек, но они подобраны по принципу "не навреди". Для Windows XP предусмотрено дополнительное количество функций.
Steganos Shredder.
После удаления файлов в проводнике Windows, они помещаются в "корзину". Создается видимость, что после ее освобождения информация теряется, но это не так — данные остаются. Существует множество программ, которые позволяют восстановить информацию даже после удаления из корзины, и даже после форматирования (!). Steganos Shredder состоит из двух основных модулей — File Shredder (конкретное удаление файла без права на восстановление) и Free Space Shredder (полноценная очистка свободного дискового пространства).
Программа мониторинга сетевого траффика BWMeter
.
Эта программа имеет не одно, а два окна слежения за трафиком: в одном отображается активность в Интернете, а в другом - в локальной сети. BWMeter дает возможность полностью настроить внешний вид этих окон, а также определить условия их появления на экране. Они могут находиться там постоянно или же отображаться только при слишком низкой или слишком высокой сетевой активности.
Программа имеет гибкие настройки для мониторинга трафика. С ее помощью можно определить, нужно ли следить за приемом и передачей данных в Интернет только с этого компьютера или со всех компьютеров, подключенных к локальной сети, установить диапазон IP-адресов, порты и протоколы, для которых будет или не будет производиться мониторинг. Кроме этого, можно отключить слежение за трафиком в определенные часы или дни.
Очень ценной является возможность распределения трафика между компьютерами в локальной сети. Так, для каждого ПК можно задать максимальную скорость приема и передачи данных, а также одним щелчком мыши запретить сетевую активность.
Очень удачно в BWMeter реализован вывод статистики. Можно быстро посмотреть информацию о количестве принятых и переданных данных по часам, дням, неделям, месяцам и по годам. При этом статистика выводится отдельно для Интернета и локальной сети. В случае необходимости (например, при переустановке системы) данные мониторинга можно экспортировать и импортировать в программу. Кроме этого, BWMeter позволяет просматривать статистику для других компьютеров, на которых установлена программа.
Антивирус NOD32 for Windows.
Целостная защита в реальном времени для рабочих станций на базе Microsoft® Windows. Единый оптимизированный механизм обеспечивает наилучшую защиту от вирусов, spyware, adware, phishing-атак и других угроз. Ссистема оказывает малое влияние на системные ресурсы и обеспечивает наилучшую производительность - безо всяких исключений.
Ключевые возможности ESET NOD32:
- Технология ThreatSense™ - комплексный оптимизированный механизм борьбы с угрозами, предназначенный для анализа файлов с целью выявления поведения вредоносных программ, таких как вирусы, spyware, adware, phishing-атаки и т. д.
- Высокий уровень эвристического анализа, способного обнаруживать новые вредоносные программы по мере их появления.
- Мощная эмуляция технологии Виртуального ПК позволяет распаковывать и расшифровывать все типы архивов и динамически сжатых в процессе выполнения файлов
- Возможность блокировки уже запущенных вредоносных программ, находящихся в оперативной памяти
- Защита всех точек проникновения, в т. ч. по протоколам HTTP, POP3, SMTP, а также на всех локальных и сменных носителях
- Удаление вирусов из заблокированных для записи файлов (например, из загруженных библиотек DLL)
- Предотвращает открытие и запуск зараженных файлов, а также предупреждает при их создании
- Поддерживает работу с Terminal Server
- Поддерживает проверку подключенных сетевых дисков
6 Описание функционирования системы
Так как серверы должны работать под управлением ОС Windows Server 2003, то настройки этой системы имеют большую важность. Кроме того, в данном разделе описаны функции применяемых аппаратных и программных средств безомпасности.
6.1 Настройки и функционирование ОС
Управление системными службами.
Службы предоставляют ключевые функции системам Windows Server 2003. Для управления системными службами предназначена программа Службы (Services) из консоли Управление компьютером (Computer Management).
Основные поля окна узела Службы:
- Имя (Name) — имя службы. Здесь перечислены только службы, установленные в системе.
- Описание (Description) — краткое описание службы и ее назначения;
- Состояние (Status) — состояние службы: работает, приостановлена или остановлена (для остановленных служб этот столбец пуст);
- Тип запуска (Startup Type) — параметры запуска службы. Автоматические службы запускаются при загрузке системы. Ручные службы запускаются пользователями или другими службами. Отключенные службы не запускаются, пока не будут включены.
- Вход от имени (Log On As) — учетная запись, под которой служба входит в систему. Обычно по умолчанию используется локальная учетная запись системы.
В расширенном представлении помимо списка служб приводятся также гиперссылки для управления ими: Запустить (Start), Перезапустить (Restart), Остановить (Stop).
Настройка входа службы в систему.
Службу WindowsServer 2003 можно настроить на вход в систему с учетной записью системы или конкретного пользователя. Администратор должен пристально следить завсеми учетными записями, которые используются службами.При неправильном конфигурировании эти учетные записимогут стать источником серьезных проблем с безопасностью. У
четным записям служб следует назначать лишь те права, которыенеобходимы им для работы; во всем остальном их следуетограничить строжайшим образом.
Настройка восстановления службы.
В Windows Server 2003 можно задать действие, которое будет выполняться в случае сбоя службы, например запуск приложения или попытку перезапуска службы. Возможны следующие варианты восстановления:
- Не выполнять никаких действий (Take No Action) — при сбое ОС не будет делать ничего, но это не означает, что при последующих или предыдущих сбоях также не были или не будут предприняты какие-либо действия;
- Перезапуск службы (Restart the Service) — служба будет остановлена, а затем после небольшой паузы запущена снова;
- Запуск программы (Run a File) — в случае неудачного запуска службы будет запущена программа, командный файл или сценарий Windows.
- Перезагрузка компьютера (Reboot the Computer) — компьютер будет выключен и включен снова.
Управление приложениями и процессами.
При запуске приложения или вводе команды в командной строке Windows Server 2003 начинает один или несколько процессов. Обычно процессы, запускаемые таким образом (с помощью клавиатуры или мыши), называются интерактивными (interactive). Интерактивный процесс, соответствующий приложению или программе, управляет клавиатурой и мышью, пока работа приложения не будет завершена. Процесс, осуществляющий такое управление, называется активным (foreground). Процессы могут быть фоновыми (background). Для процесса, запущенного пользователем, это означает, что он продолжает работу, но, как правило, не обладает тем же приоритетом, что активный процесс. Фоновые процессы можно настроить на работу независимо от сеанса пользователя; такие процессы обычно запускает ОС независимо от того, какой пользователь авторизовался в системе.
Диспетчер задач (Task Manager).
Это основной инструмент управления системными процессами и приложениями. На вкладке Приложения (Applications) показан статус программ, работающих в данный момент в системе. Кнопки в нижней части вкладки предназначены для выполнения следующих действий.
Остановка работы приложения — кнопка «Снять задачу» (End Task).
Переход к приложению – кнопка «Переключится» (Switch To).
Запуск новой программы — кнопка Новая задача(New Task). (функционально аналогична команде Выполнить (Run)).
На вкладке «Приложения» (Applications) отображается статус программ, работающих системе. Статус «Не отвечает» (Not Responding) свидетельствует, что приложение, вероятно, «зависло» и нужно завершить связанные с ним процессы. Однако некоторые приложения не отвечают на запросы ОС в ходе выполнения интенсивных расчетов. Поэтому, прежде чем закрыть приложение, следует убедиться, что оно действительно «зависло». Контекстное меню списка приложений позволяет:
• переходить к приложению и делать его активным;
• переводить приложение на передний план;
• сворачивать и восстанавливать приложение;
• изменять расположение окон приложений;
• закрывать приложение;
• выделять на вкладке Процессы (Processes) процесс, связанный с этим приложением. Команда «Перейти к процессу» (Go to process) полезна, когда требуется найти основной процесс для приложения, запустившего несколько процессов.
Подробная информация о выполняемых процессах отображается на
вкладке «Процессы» (Processes). По умолчанию там перечислены только процессы, запущенные ОС, локальными службами, сетевыми службами и интерактивным пользователем. Чтобы увидеть процессы, запущенные удаленными пользователями, например подключившимися с помощью удаленного рабочего стола, нужно установить флажок «Отображать процессы всех пользователей» (Showprocessesfromallusers). В полях на вкладке Процессы (Processes) содержится информация о выполняемых процессах. Она позволяет выявить те из них, что поглощают системные ресурсы, например процессорное время и память. По умолчанию отображаются следующие поля:
- Имя образа (Image Name) — имя процесса или исполняемого файла, запустившего процесс;
- Имя пользователя (User Name) — имя пользователя или системной службы, запустившей процесс;
- ЦП (CPU) — доля ресурсов ЦП, занимаемая данным процессом;
- Память (Mem Usage) - объем памяти, занятой процессом в данный момент. Кроме этого, можно добавить и другую информацию:
- Базовый приоритет (Base Priority) — мера объема системных ресурсов, выделенных процессу. Приоритеты: Низкий (Low), Ниже среднего (Below Normal), Средний (Normal), Выше среднего (Above Normal), Высокий (High) и Реального времени (Real-Time). Большинству процессов по умолчанию назначен средний приоритет. Наивысший приоритет назначается процессам реального времени.
- Время ЦП (CPU Time) — процессорное время, затраченное на выполнение процесса с момента его запуска. Позволяет найти процессы, на выполнение которых расходуется больше всего времени.
- Память — максимум (Peak Memory Usage) — максимальный объем памяти, использованной процессом. На разницу между этим параметром и текущим объемом памяти, занятой процессом, тоже следует обращать внимание. Некоторым приложениям в моменты пиковых нагрузок требуется гораздо больше памяти, чем при обычной работе.
6.1.1 Сетевые настройки
Типы сетевых подключений:
Тип подключения | Технология связи | Пример |
Подключение к локальной сети (Local area connection) | Ethernet, xDSL, FDDI, IP no ATM, системы беспроводной связи, Е1/Т1 и т. п. | Типичный корпоративный пользователь |
Телефонное, или коммутируемое, подключение (Dial-up connection) | Модем, ISDN, X.25 | Соединение с корпоративной сетью или Интернетом с использованием модемного подключения |
Подключение в рамках виртуальной частной сети (Virtual Private Network connection) | Виртуальные частные сети по протоколам РРТР или L2TP, объединяющие или Подключающие к корпоративным сетям через Интернет или другую сеть общего пользования (public network) | Защищенное соединение удаленных филиалов корпорации через Интернет |
Прямое подключение (Direct Connection) | Соединение нуль-модемным кабелем через последовательный порт (СОМ-порт), инфракрасная связь, параллельный кабель (DirectParallel) | Соединение двух ноутбуков через интерфейсы инфракрасной связи |
Входящее подключение (Incoming connection) | Коммутируемая связь, VPN или прямое подключение | Подключение к удаленному компьютеру или корпоративному серверу удаленного доступа |
Из всех перечисленных в таблице типов только подключение к локальной сети создается системой автоматически. В процессе загрузки Windows Server 2003 автоматически обнаруживает установленные сетевые адаптеры и для каждого сетевого адаптера создает соответствующее сетевое подключение. В случае если на компьютере установлено более одного сетевого адаптера, администратор может устранить возможный беспорядок в именах подключений, переименовав каждое локальное подключение в соответствии с функциональным назначением или расположением сети, с которой это соединение связывает компьютер.
6.1.2 Группы пользователей
Учетные записи групп позволяют управлять привилегиями для нескольких пользователей. Можно создавать глобальные учетные записи групп в консоли Active Directory — пользователи и компьютеры (ActiveDirectoryUsersandComputers), а локальные — в консоли Локальные пользователи и группы (Local Users and Groups).
Можно выделить следующие типы групп:
- Группы по отделам организации. Сотрудникам одного отдела обычно требуется доступ к одним и тем же ресурсам. Поэтому можно создавать группы для отделов.
- Группы по приложениям. Зачастую пользователям нужен доступ к одному приложению и ресурсам для этого приложения. Если берется за основу построения групп этот признак, нужно убедиться, что пользователи получают доступ к необходимым ресурсам и файлам приложения.
- Группы по должностям в организации. Группы можно организовать по должностям пользователей в организации. Так, руководству, вероятно, требуются ресурсы, к которым не обращаются простые пользователи.
Для настройки членства служит консоль Active Directory - пользователи и компьютеры (ActiveDirectoryUsersandComputers).
Работая с группами, следует помнить, что:
- для всех новых пользователей домена основной является группа Пользователи домена (Domain Users), членами которой они становятся при создании их учетной записи;
- для всех новых рабочих станций и серверов домена основной является группа Компьютеры домена (Domain Computers), членами которой они становятся при создании их учетной записи;
- для всех новых контроллеров домена основной является группа Контроллеры домена (Domain Controllers), членами которой они становятся при создании их учетной записи.
Консоль Active Directory — пользователи и компьютеры
(Active Directory Users and Computers) позволяет:
- включать в группу индивидуальную учетную запись;
- включать в группу сразу несколько учетных записей;
- назначать основную группу для отдельных пользователей и компьютеров.
В данном проекте используется три группы пользователей:
- администраторы – стандартная группа в Windows 2003 Server. Членом этой группы является администратор сети банка.
- кассиры – группа для кассиров банка. Кассиры имеют доступ к файловому серверу, серверу приложения и к части общих ресурсов. Кассиры не имеют доступа в глобальную сеть и не имеют прав на изменение настроек сети и серверов.
- сотрудники – учетная запись для обычных работников. Члены этой группы имеют доступ ко всем ресурсам в сети (приложению, файлам, глобальной сети), но не имеют прав на настройку.
6.1.3 Учетные записи пользователей
Учетная запись пользователя имеет отображаемое (или полное) имя (display name) и имя для входа (logon name). Первое видно на экране и применяется в сеансах пользователя. Второе необходимо для входа в домен.
Для учетных записей домена отображаемое имя обычно составляется из имени и фамилии пользователя. При этом должны соблюдаться следующие правила:
- локальное отображаемое имя должно быть уникальным на индивидуальном компьютере;
- доменные отображаемые имена должны быть уникальными во всем домене;
- отображаемые имена должны содержать не более 64 символов;
- отображаемые имена могут содержать буквенно-цифровые и специальные символы.
Имена для входа назначаются по таким правилам:
- Локальные имена для входа должны быть уникальными на индивидуальном компьютере, а глобальные имена для входа - во всем домене.
- Имена для входа могут содержать до 256 символов
- Имена для входа не могут содержать символов: = + * ? < >
Имена для входа могут содержать все другие специальные символы, включая пробелы, точки, тире и символы подчеркивания. Но вообще применение пробелов в именах учетных записей не рекомендуется.
Пароль — это чувствительная к регистру строка до 127 символов длиной для службы каталогов Active Directory и до 14 — для диспетчера безопасности Windows NT. В паролях можно применять буквы, цифры и спецсимволы, Windows Server 2003 сохраняет пароль в зашифрованном виде в базе данных учетных записей.
Политики паролей управляют безопасностью паролей и позволяют задать следующие параметры:
- Требовать неповторяемости паролей (Enforce password history);
- Максимальный срок действия пароля (Maximum password age);
- Минимальный срок действия пароля (Minimum password age);
- Минимальная длина пароля (Minimum password length);
- Пароль должен отвечать требованиям сложности (Password must meet complexity requirements);
- Хранить пароль, используя обратимое шифрование (Store password using reversible encryption).
В данном проекте применяется следующая политика именования учетных записей: имя учетной записи должно состоять из фамилии и инициалов сотрудника, разделенных знаком «_».
Для паролей действуют следующие настройки:
- неповторяемость
- минимальная длина пароля – 8 символов
- пароль должен отвечать требованиям сложности
Для каждого пользователя вместе с учетной записью на сервере создается домашняя папка, доступ к ней имеет только владелец этой учетной записи. Это необходимо для того, чтобы обеспечить хранение всех важных данных в одном месте – на сервере.
6.1.4 Управление файлами и папками.
Windows Server 2003 предоставляет мощные средства для работы с файлами и папками. В основе этих средств - файловая система WindowsNT (WindowsNTfilesystem, NTFS) версий 4.0 и 5.0.
NTFS предлагает мощные средства для работы с файламии папками. Существуют две версии NTFS.
- NTFS 4.0 используется в Windows NT 4.0. Полностью поддерживает управление локальным и удаленным доступом к файлам и папкам, а также технологии сжатия Windows. Не поддерживает большую часть возможностей файловой системы Windows 2000 и WindowsServer 2003.
- NTFS 5.0 применяется в Windows 2000 и WindowsServer
2003. Полностью поддерживает такие возможности, как служба каталогов Active Directory, дисковые квоты, сжатие, шифрование и др. Эта система поддерживается полностью в Windows 2000 и Windows Server 2003 и частично — в Windows NT 4.0 SP4 или более поздних выпусках.
Соглашения Windows Server 2003 об именах применяются и к файлам, и к папкам. Допускается, чтобы имена файлов в Windows Server 2003 содержали и прописные, и строчные буквы, но это влияет только на их отображение. С точки зрения системы имена от регистра не зависят. И NTFS, и FAT32 поддерживают длинные имена файлов — до 255 символов. Допустимо в названиях файлов применять
почти все символы, включая пробелы, кроме: ? * / : - < > |. Однако пробелы в именах файлов иногда вызывают проблемы с доступом к ним. При ссылке на такой файл может понадобиться взять его имя в кавычки.
Windows Server 2003 создает сокращенное имя файла из длин-
ного по следующим правилам:
- все пробелы в имени файла удаляются;
- удаляются все точки в имени файла, кроме точки, отделяющей имя файла от его расширения;
- недопустимые по правилам именования файлов в MS-DOS символы заменяются символом подчеркивания;
- все оставшиеся символы переводятся в верхний регистр;
Затем применяются правила сокращения для создания стандартного имени файла MS-DOS. Для приведения к виду «8.3» имя файла и его расширение сокращаются, если это необходимо:
- расширение файла сокращается до первых трех символов;
- имя файла сокращается до первых 6 символов (это корневое имя файла), и добавляется уникальный указатель вида ~n, где n — номер файла с 6-символьным именем;
6.1.5 Общий доступ к данным
Общий доступ к данным позволяет удаленным пользователям обращаться к сетевым ресурсам: файлам, папкам и дискам. Управлять доступом к определенным файлам и вложенным папкам в общей папке можно только на разделах файловой системы NTFS. Разрешения безопасности относятся ко всем ресурсам разделов NTFS — файлам, папкам и объектам службы каталогов Active Directory. Обычно только администраторы имеют право управлять объектами Active Directory, но есть возможность делегировать эти полномочия другим пользователям, открыв им доступ к информации в Active Directory для просмотра и изменения. Разрешения для пользователей задаются в списках управления доступом.
Общие ресурсы открыты для доступа удаленных пользователей. Разрешения для общих папок не распространяются на пользователей, регистрирующихся локально на сервере или на рабочей станции, где расположены эти общие папки.
- Для предоставления удаленным пользователям доступа к файлам в своей сети служат стандартные разрешения доступа к папкам.
- Для предоставления удаленным пользователям доступа к файлам из Web применяется Web-доступ, реализуемый, только если на системе установлены службы Internet Information Services.
Просмотреть общие папки на локальном или удаленном компьютере можно с помощью консоли Управление компьютером (Computer Management). В панели сведений содержится следующая информация:
- Общий ресурс (Share Name) — имя общей папки;
- Путь к папке (Folder Path) — полный путь к папке на локальной системе;
- Тип (Туре) — тип компьютера, который может использовать этот ресурс;
- Количество клиентских подключений (# Client Connections)
— Количество клиентов, имеющих доступ к ресурсу в данный момент;
Создание общих папок.
В MicrosoftWindowsServer 2003 предусмотрено два способа предоставления общего доступа: к локальным папкам через Проводник (WindowsExplorer) или к локальным и удаленным папкамчерез консоль Управление компьютером (ComputerManagement).Консоль Управление компьютером (ComputerManagement)позволяет управлять общими ресурсами с любого компьютера сети. Для создания общих папок на WindowsServer2003 необходимо быть членом группы Администраторы(Administrators) или Операторы сервера (ServerOperators).
WindowsServer 2003 позволяет настраивать параметры вновь созданных общих ресурсов:
- У всех пользователей доступ только для чтения (All usershaveread-onlyaccess) — пользователи могут только просматривать файлы. Создавать, изменять или удалять файлы и папки им не разрешается;
- Администраторы имеют полный доступ, остальные — доступ только для чтения (Administratorshavefullaccess; otherusershaveread-onlyaccess) — администраторы могут создавать, изменять и удалять файлы и папки, а на томах NTFS также назначать разрешения и становиться владельцами файлов и папок. Другие пользователи могут только просматривать файлы. Создавать, изменять или удалять файлы и папки им не разрешается;
- Администраторы имеют полный доступ, остальные — доступ для чтения и записи (Administratorshavefullaccess; otherusershavereadandwriteaccess) - администраторам доступны все возможные действия с файлами и папками. Другие пользователи имеют право создавать, изменять или удалять файлы и папки;
- Использовать особые права доступа к обшей папке (Use customshareandfolderpermissions) — позволяет настраивать доступ для конкретных пользователей и групп.
Создав общий ресурс, предназначенный для всех пользователей сети, его следует опубликовать в Active Directory. Это облегчит пользователям поиск ресурса.
Отдельным папкам можно сопоставить несколько ресурсов общего доступа, причем каждый может иметь свое имя и набор разрешений доступа.
Файловая система NTFS позволяет настраивать разрешения доступа к общим ресурсам пользователям и группам. Возможные права для пользователей:
- Нет доступа (No Access) — доступ к ресурсу запрещен.
- Чтение (Read) — с этим разрешением пользователь может:
- видеть имена файлов и папок;
- иметь доступ к подпапкам общего ресурса;
- читать данные и атрибуты файлов;
- запускать на выполнение программы.
- Изменение (Change) — пользователям разрешено читать данные из папки, а также:
- создавать файлы и подпапки;
- изменять файлы;
- изменять атрибуты файлов и подпапок;
- удалять файлы и подпапки.
- Полный доступ (Full Control) — пользователи имеют разрешения на чтение и изменение, а также дополнительно получают возможность: изменять разрешения доступа к файлам и папкам; становиться владельцами файлов и папок.
Управление специальными ресурсами. ОС автоматически создает специальные ресурсы. Их также называют административными (administrative) и скрытыми (hidden). Эти ресурсы облегчают системное администрирование. Невозможно настроить разрешения доступа к автоматически создаваемым специальным ресурсам — ОС назначает их сама. Но эти ресурсы можно удалить, если какие-то из них не нужны.
Специальные ресурсы нужно смонтировать с помощью подключения сетевого диска, для этого понадобится учетная запись администратора.
Просмотр сеансов пользователей и компьютеров.
Консоль Управление компьютером (Computer Management)помогает отследить все подключения к общим ресурсам в системе Windows Server 2003. Узел Сеансы (Sessions) дает важную информацию о подключениях пользователей и компьютеров:
- Пользователь (User) — имена пользователей/компьютеров, подключенных к общим ресурсам; имена компьютеров показаны с суффиксом «$», чтобы отличить их от имен пользователей;
- Компьютер (Computer) — имя компьютера;
- Тип (Туре) — тип используемого сетевого подключения;
- Количество открытых файлов (Open Files) — количество файлов, с которыми пользователь активно работает;
- Время подсоединения (Connected Time) — время, прошедшее с начала соединения;
- Время простоя (Idle Time) — время, прошедшее с момента, когда соединение использовалось в последний раз;
- Гость (Guest) — регистрировался ли пользователь как гость.
В нашей сети должна быть создана одна общая папка. Пользователи имеют право читать и изменять файлы в этой папке. Общая папка сделана для обмена информацией между сотрудниками.
6.2 Описание работы средств безопасности
Основным аппаратным средством безопасности является аппаратный файервол, встроенный в ADSL-модем фирмы ZyXel.
Еще одним важным средством безопасности от сбоев является аппаратный RAID-массив, т. е. избыточный массив независимых дисков (redundantarrayofindependentdisks, RAID) позволяет защитить данные, а порой и увеличить производительность дисков. Можно настроить RAID-массивы для работы с дисками следующих типов — зеркальными, чередующимися и чередующимися с контролем четности.
Важные данные требуют повышенной защиты от сбоев дисков.
Для этого можно использовать технологию RAID, которая повышает отказоустойчивость системы за счет создания избыточных копий данных, а также позволяет увеличить производительность дисков.
Доступны разные реализации технологии RAID, описываемые уровнями. В настоящее время определены уровни от 0 до 5. Каждый обладает своими особенностями. В Windows Server 2003 поддерживаются уровни 0, 1 и 5:
• RAID 0 позволяет увеличить производительность дисков;
• RAID 1 и 5 повышают отказоустойчивость.
RAID 0 - Чередование дисков. Два или более томов, каждый на отдельном накопителе, сконфигурированы как чередующийся набор. Данные разбиваются на блоки, называемые полосами, и последовательно записываются на все диски набора. Главные преимущества – скорость и производительность.
RAID 1 - Зеркальное отображение дисков. Два тома на двух дисках идентичны. Данные записываются на оба диска. Если один из накопителей отказывает, данные не теряются, так как второй диск содержит их копию. Главное преимущество – отказоустойчивость.
RAID 5 – Чередование дисков с использованием контроля четности. Использует три или более томов, каждый на отдельном накопителе, для создания чередующегося набора с контролем ошибок но четности. При сбое данные могут быть восстановлены. Главные преимущества - отказоустойчивость с меньшими затратами, чем при зеркальном отображении, быстрое чтение по сравнению с зеркальным отображением.
В данном проекте планируется применение зеркалиных RAID-массивов.
7 Заключение
В данной работе разработана малая локальная сеть, сильными сторонами которой являются высокая степень безопасности от вторжений, а также от сбоев. Для этого были реализованы следующие решения:
- резервный сервер
- зеркальное копирование данных
- средства шифрования
Из стандартных задач, выполнены следующие:
- построен сервер приложения
- построен файловый сервер
- обеспечена возможность доступа в Internet
8 Список использованных источников
1. Уильям Р. Станек - MicrosoftWindowsServer 2003. Справочник администратора; М.; Русская Редакция; 2004
2. Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы.; Санкт-Петербург; Питер; 2001.
3. В. К. Щер-бо, В. М. Киреичев, С. И. Самойленко; под ред. С. И. Самойленко. - Стандарты по локальным вычислительным сетям: Справочник.; М.; Радио и связь; 1990.
4. Интернет-ресурс www.3dnews.ru
Прложение 1
Структурная схема сети