MCSE 网络安全设计VIP免费

MCSE网络安全设计案例一(30)南桥音像公司南桥音像公司是一家音像制品零售商，公司销售各种电影，记录片和外国电影。近期南桥音像要求CompanyA公司提供运货服务。南桥音像总公司在亚特兰大，公司在整个美国有6个零售店。CompanyA公司位于丹佛。计划改革公司网络架构如下图所示：一台名为VPN1的VPN服务器将被安置在网络设备防护网上，移动用户将使用VPN1来连接公司网络。除了HR部门以外，亚特兰大办公室的所有客户机都将升级成WindowsXP专业版。名为WEB2的Web服务器将被安装到公司内部网供开发和测试使用。业务过程公司有以下几个部门：人力资源部（HR）、会计部、管理部、市场部、客服部和信息技术部，Internet用户必须注册成为南桥音像的用户才能在Web站点购买录像。用户信息都存储在一个数据库中，这些用户归类为Web用户，登录信息通过电子邮件形式发送给用户。Web用户连接一个名为Members的虚拟目录。当他们身份验证之后，Web用户能够查看可得到的商品并且通过服务器Web1上运行的一个Web应用程序来订货。当Web用户订货后，请求就提交给CompanyA公司来包装并运送。所有客户活动记录都存储在TRANS共享文件夹中，这个文件夹位于服务器DATA1上。AuthenticatedUsers组分配了对TRANS文件夹的“完全控制”权限。ActiveDirectory（活动目录）此网络包括一个单一ActiveDirectory域，所有服务器都运行WindowsServer2003，所有客户机运行WindowsNTWorkstation4.0或Windows98，所有计算机都运行最新的补丁。组织单元（OU）结构的相关部分如下图所示：LaptopOU包括手提电脑的计算机帐户，DesktopComputersOU包含了桌面电脑的计算机帐户。HR部门的所有用户和计算机帐户都位于LegacyOU中。网络基础架构亚特兰大办公室有一个无线LAN，这个网络上有两台MicrosoftInternet安全与加速（ISA）Server2004计算机，分别是ISA1和ISA2。一个公共的Web站点位于一台运行IIS6.0的服务器WEB1上。CompanyA公司的用户通过南桥音像公司和CompanyA公司之间的一个VPN通道来访问WEB1。HR部门使用一个客户应用系统，此系统只能运行在WindowsNTWorkstation4.0上。客服部把个人信息都存储在一台名为SRV1的文件服务器上，SRV1还被配置为脱机独立根CA。问题描述必须考虑以下业务问题：计划升级之后，HR部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有时间来帮助所有用户处理问题。首席信息官的意见出于Internet连接在过去几个月里使用频繁，所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对Web服务器的攻击，如果公共Web服务器受到这样一次攻击，我希望能够将用户请求重定向到一个包含了法律后果的HTML文档。我们目前的补丁管理方案要求大量的时间和资源，并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。首席安全官（CSO）的观点有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击，我还关心CompanyA用户访问的服务器的安全性。我想实现一个公司范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象（GPOs）来管理我们无线网络。近期，用户从Internet上下载并安装了未授权软件，导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络，我们需要确保这些连接的安全性。书面安全策略南桥音像公司书面安全策略的相关部分包括以下要求：只有客服部的用户能够连接无线网络；无线网络要求字符串验证；客服部和SRV1之间的通信始终安全并加密；只有客服部的配有手提电脑的成员能够加密数据；客服部必须拥有自己数据恢复代理；财务部门用户必须实行双重身份验证，存储在TRANS文件夹中的信息都加密了并且只能被IT部门的员工访问；和WEB1上的Member虚拟目录的通信都被加密；Web客户能够证实WEB1的身份；所有WindowsServer2003计算机和WindowsXP专业版计算机的登录，只要涉及到本地用户帐户的都需要被跟踪；只有IT管理员能够远程修改WEB2上注册表信息；所有软件都准许公司使用；VPN1必须支持MS-CHAPv2身份验证。问题1．你需要为南桥音像公司设计一个审核...