it infrastruktúra tervezés – ii. logikai elemek

IT Infrastruktúra tervezés – II.Logikai elemek

Lepenye TamásRendszermérnökMicrosoft Magyarország

NapirendNapirend A WSSRA szerint:A WSSRA szerint: Hálózati szolgáltatásokHálózati szolgáltatások Távoli hozzáférésTávoli hozzáférés Nyiltkulcsos infrastruktúraNyiltkulcsos infrastruktúra SzoftverdisztribúcióSzoftverdisztribúció TűzfalakTűzfalak CímtárszolgáltatásCímtárszolgáltatás Fájl- és nyomtatószolgáltatásFájl- és nyomtatószolgáltatás Adatkezelési szolgáltatásAdatkezelési szolgáltatás KöztesszoftverekKöztesszoftverek Üzenetkezelés és együttműködésÜzenetkezelés és együttműködés WebszolgáltatásWebszolgáltatás Menedzsment szolgáltatásMenedzsment szolgáltatás

Hálózati szolgáltatásokHálózati szolgáltatások

Hálózati szolgáltatásokHálózati szolgáltatások

Dynamic Host Configuration Protocol - DHCPDynamic Host Configuration Protocol - DHCPDomain Name System - DNSDomain Name System - DNSWindows Internet Naming Service - WINSWindows Internet Naming Service - WINS

CímallokációCímallokációLehetőségeink:Lehetőségeink:

Kézi címkezelésKézi címkezelés BOOTPBOOTP DHCPDHCP

Manuális BOOTP DHCPEgyszerű X Fix és megjósolható X Jelentős adminisztráció X Címveszteség X Mobil eszközök támogatása XKözponti szolgáltatás X XMinden platform ismeri X X XCímmegújítás újrainduláskor X XCímmegújítás automatikusan XAutomatikus címújrafelhasználás XOpciók átadása XMulticast támogatás XBiztonsági problémák X X XEgypontos hibalehetőség X X

CímallokációCímallokáció A szolgáltatás létrehozásának kérdéseiA szolgáltatás létrehozásának kérdései

Elvárások a rendelkezésre állásraElvárások a rendelkezésre állásra A kezelt IP címek számaA kezelt IP címek száma Milyen az IT rendszermenedzsment?Milyen az IT rendszermenedzsment?

Javasolt megoldás (Best practice):Javasolt megoldás (Best practice): Statikus IP címek a DHCP kiszolgálók és az útválasztók interfészeinStatikus IP címek a DHCP kiszolgálók és az útválasztók interfészein Statikus IP címek a dinamikus címallokációt nem támogató eszközökönStatikus IP címek a dinamikus címallokációt nem támogató eszközökön Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS)Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS) Lefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknélLefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknél Minden egyéb esetben DHCPMinden egyéb esetben DHCP

DHCP - tervezési kérdésekDHCP - tervezési kérdések

DHCP scopeDHCP scope-ok-okDHCP DHCP rendelkezésre állás és hibatűrésrendelkezésre állás és hibatűrésDHCP DHCP útvonalválasztók eseténútvonalválasztók eseténDHCP biztonságDHCP biztonság

DHCP Scope-okDHCP Scope-ok Egy DHCP kiszolgáló több DHCP scope-ot is futtathat!Egy DHCP kiszolgáló több DHCP scope-ot is futtathat! A legtöbb DHCP paramétert Scope opcióként kell megadniA legtöbb DHCP paramétert Scope opcióként kell megadni Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy

alkalmazás valóban igénylialkalmazás valóban igényli

Osztály-opciókat akkor használjunk, ha a kliensek jól Osztály-opciókat akkor használjunk, ha a kliensek jól definiáltan eltérő igényeik vannak azonos alhálózatbandefiniáltan eltérő igényeik vannak azonos alhálózatban

Egyedi opciókat egy-egy klienshez „reservation options” Egyedi opciókat egy-egy klienshez „reservation options” segítségével rendelhetünksegítségével rendelhetünk

DHCP – rendelkezésre állás és DHCP – rendelkezésre állás és hibatűréshibatűrés Split ScopeSplit Scope DHCP ClusterDHCP Cluster Standby ServerStandby Server

DHCP clients

DHCP server 2192.168.1.2

DHCP server 2 has 20% of addresses as follows:Scope range: 192.168.1.10 - 192.168.1.254Excluded addresses: 192.168.1.10 - 192.168.1.205

DHCP server 1 has 80% of addresses as follows:Scope range: 192.168.1.10 - 192.168.1.254Excluded addresses: 192.168.1.206 - 192.168.1.254

DHCP server 1192.168.1.1

DHCP clients `

`

`

`

`

DHCP – útvonalválasztók eseténDHCP – útvonalválasztók esetén

Több subnet DHCP Több subnet DHCP szolgáltatással való szolgáltatással való ellátása:ellátása:

Több DHCP szerverrelTöbb DHCP szerverrel DHCP-Relay Agent az DHCP-Relay Agent az

útválasztókbanútválasztókban DHCP-Relay Agent DHCP-Relay Agent

egy ügyfélbenegy ügyfélben Többlábú DHCP-Többlábú DHCP-

szerverszerver

`

DHCP server

IP addressdatabase

IP router

DHCP clients

DHCP clients

Subnet A

Subnet B

`

`

`

Scope for Subnet C:Exclusion Range:192.168.2.1 - 192.168.2.10Address Pool:192.168.2.11 - 192.168.2.254

Subnet mask for all scopes:255.255.255.0

Scope for Subnet B:Exclusion Range:192.168.1.1 - 192.168.1.10Address Pool:192.168.1.11 - 192.168.1.254

Scope for Subnet A:Exclusion Range:192.168.0.1 - 192.168.0.10Address Pool:192.168.0.11 - 192.168.0.254

Adapter C:192.168.2.1

Adapter B:192.168.1.1

MultihomedDHCP server

Adapter A:192.168.0.1

Subnet A

` `

`` `

`

` `

`

Subnet C

Subnet B

DHCP - BiztonságDHCP - Biztonság Nem authentikált protokoll!Nem authentikált protokoll! Biztonsági konfigurációs lehetőségek (Windows Biztonsági konfigurációs lehetőségek (Windows

Server 2003)Server 2003) Kiszolgáló-felhatalmazás (DHCP Server Authorization)Kiszolgáló-felhatalmazás (DHCP Server Authorization) Kósza DHCP-kiszolgáló felderítéseKósza DHCP-kiszolgáló felderítése DNSUpdateProxy csoportDNSUpdateProxy csoport DHCP-Class opciók használataDHCP-Class opciók használata Csak lefoglalt IP-címek használataCsak lefoglalt IP-címek használata A kiszolgáló biztonságának fokozása (security hardening)A kiszolgáló biztonságának fokozása (security hardening)

Kérdés

A WINS betűszóban mi az „I” feloldása?A WINS betűszóban mi az „I” feloldása?

InternalInternal IntegratedIntegrated

InternetInternet InformationInformation

WINS – Windows Internet Name ResolutionWINS – Windows Internet Name Resolution

NetBIOS névfeloldás, NetBIOS korlátokkalNetBIOS névfeloldás, NetBIOS korlátokkal Lapos névtérLapos névtér 15+1 karakteres nevek15+1 karakteres nevek A 80-as évekből származó szabványA 80-as évekből származó szabvány

WINS szerverek – WINS kliensekWINS szerverek – WINS kliensek 12 szerver konfigurálható, de csak 2 12 szerver konfigurálható, de csak 2

névregisztrációranévregisztrációra A WINS szervereket DHCP opciókkal meg lehet A WINS szervereket DHCP opciókkal meg lehet

hírdetnihírdetni

WINSWINS Miért jó?Miért jó?

Broadcast forgalom csökkentéseBroadcast forgalom csökkentése Automatikus regisztráció és megújításAutomatikus regisztráció és megújítás Központi névfeloldásKözponti névfeloldás Kiterjesztett NetBIOS-név támogatásKiterjesztett NetBIOS-név támogatás

Miért kell?Miért kell? Windows 2000 előtti Microsoft kliensekWindows 2000 előtti Microsoft kliensek NetBIOS NetBIOS névfeloldás szükséges többszegmensű IP-hálózatbannévfeloldás szükséges többszegmensű IP-hálózatban Kliens vagy szerver-alkalmazás igényli a NetBIOS komunikációtKliens vagy szerver-alkalmazás igényli a NetBIOS komunikációt

http://www.microsoft.com/hun/technet/default.aspx?article=dacd6819-1040-4219-bcc6-http://www.microsoft.com/hun/technet/default.aspx?article=dacd6819-1040-4219-bcc6-5fb4135842355fb413584235

File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs rendszerenrendszeren

WINS – Topogia és replikációWINS – Topogia és replikáció WINS szerverek topológiájaWINS szerverek topológiája

Központi Központi WINSWINS Full meshFull mesh GyűrűGyűrű Hub and spoke topologyHub and spoke topology

A replikáció típusaiA replikáció típusai Push – azonnali, de nem szabályozható a forgalomPush – azonnali, de nem szabályozható a forgalom Pull – szabályozható forgalom, de lassú konvergenciaPull – szabályozható forgalom, de lassú konvergencia Push/pullPush/pull

WINS Request Size in Bytes

Name Registration 110

Name Registration Response

104

Name Release 110

Name Release Response 104

Name Refresh Request 110

Name Refresh Response 104

Name Query 92

Name Query Response 104

WINS – legjobb gyakorlatWINS – legjobb gyakorlat „„Az egyszerű nagyszerű” 1 WINS / 10 000 kliens!!Az egyszerű nagyszerű” 1 WINS / 10 000 kliens!! Redundáns WINS = 2 WINS szerver push/pull replikációRedundáns WINS = 2 WINS szerver push/pull replikáció

A WINS Cluster nem két WINS szerver, hanem 1 logikaiA WINS Cluster nem két WINS szerver, hanem 1 logikai Hub-and-spoke architektúra replikáció eseténHub-and-spoke architektúra replikáció esetén Push/pull replikáció beállítása ajánlottPush/pull replikáció beállítása ajánlott Adatbázis karbantartás (JET adatbázis)Adatbázis karbantartás (JET adatbázis)

Scavenging – automatikusScavenging – automatikus Compacting Database (online és offline)Compacting Database (online és offline) Consistecy check – alapértelmezés szerint kikapcsolt, érdemes Consistecy check – alapértelmezés szerint kikapcsolt, érdemes

bekapcsolnibekapcsolni Backup útvonal beállításaBackup útvonal beállítása A névkonvencióból törölni kell a „_” karaktertA névkonvencióból törölni kell a „_” karaktert

A Windows Server 2003 előtti DNS szerverek „-” karakterré A Windows Server 2003 előtti DNS szerverek „-” karakterré konvertáljákkonvertálják

A WINS szerverek mutassanak önmagukraA WINS szerverek mutassanak önmagukra

DNS – Domain Name SystemDNS – Domain Name System

A de-facto névfeloldási rendszerA de-facto névfeloldási rendszer InternetenInterneten IntranetenIntraneten

A névfeloldás mellett szolgáltatások is meghirdetA névfeloldás mellett szolgáltatások is meghirdet Speciális rekordokkal (pl: MX)Speciális rekordokkal (pl: MX) SRV rekorddalSRV rekorddal

DNS együttműködésDNS együttműködés DHCP – kliensek számára dinamikus névregisztrációDHCP – kliensek számára dinamikus névregisztráció WINS – tartalék névfeloldási rendszerWINS – tartalék névfeloldási rendszer AD – Biztonságos névfrissítés, replikációAD – Biztonságos névfrissítés, replikáció

DNS - szolgáltatástervezésDNS - szolgáltatástervezés Tervezési feladatokTervezési feladatok

Névtér tervezésNévtér tervezés DNS kiszolgálók elhelyezése a hálózatbanDNS kiszolgálók elhelyezése a hálózatban

Névtér-tervezési lehetőségekNévtér-tervezési lehetőségek Egyetlen névtérEgyetlen névtér A belső névtér a külső tartomány altartományaA belső névtér a külső tartomány altartománya Független belső és külső névtérFüggetlen belső és külső névtér Azonos belső és külső névtérAzonos belső és külső névtér

Javasolt megoldások:Javasolt megoldások: A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és

adminisztrálniadminisztrálni Ha a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasoltHa a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasolt Kerülendő, hogy a belső és külső névtér azonos legyenKerülendő, hogy a belső és külső névtér azonos legyen

Split DNSSplit DNS

Ha egy kiszolgálónak eltérő a „belső” és Ha egy kiszolgálónak eltérő a „belső” és „külső” neve...„külső” neve...

DNS – Technológiai megközelítésDNS – Technológiai megközelítés Javasolt a Windows Server 2003, mert...Javasolt a Windows Server 2003, mert...

AD-Integrált DNS zónákat hozhatunk létreAD-Integrált DNS zónákat hozhatunk létre Biztonságos (ACL-el védett) rekordokBiztonságos (ACL-el védett) rekordok Biztonságos frissítésBiztonságos frissítés AD-biztosította replikációs topológia, sebesség és biztonságAD-biztosította replikációs topológia, sebesség és biztonság A multimaster topológia miatt nincs egyetlen primary zóna,így A multimaster topológia miatt nincs egyetlen primary zóna,így

egypontos meghibásodás sincs!egypontos meghibásodás sincs!

Integrálható a szolgáltatás más infrastruktúra-Integrálható a szolgáltatás más infrastruktúra-szolgáltatásokkalszolgáltatásokkal

DHCP, WINSDHCP, WINS

Önmagában is erőteljes DNS implementációÖnmagában is erőteljes DNS implementáció „„Cache corruption” védelemCache corruption” védelem

CímtárszolgáltatásCímtárszolgáltatás

CímtárszolgáltatásCímtárszolgáltatás

Címtár típusok:Címtár típusok: Speciális felhasználású címtárak (pl.: DNS)Speciális felhasználású címtárak (pl.: DNS) Egyedi alkalmazás-címtárak (Exchange 5.5)Egyedi alkalmazás-címtárak (Exchange 5.5) Hálózat-fókuszú címtárak (Active Directory, Novell Hálózat-fókuszú címtárak (Active Directory, Novell

eDirectory stb.)eDirectory stb.) Általános címtárak (LDAP, ADAM, Sun ONE)Általános címtárak (LDAP, ADAM, Sun ONE) MetacímtárakMetacímtárak

CímtárszolgáltatásCímtárszolgáltatás Active Directory tervezési feladatokActive Directory tervezési feladatok

Logikai felépítés tervezéseLogikai felépítés tervezése Telephely-rendszer tervezéseTelephely-rendszer tervezése

Logikai felépítés:Logikai felépítés: Erdő kialakításErdő kialakítás Tartomány-tervezésTartomány-tervezés ADAD névtér tervezés névtér tervezés Az AD-t támogató DNS-rendszer tervezéseAz AD-t támogató DNS-rendszer tervezése OU tervezésOU tervezés

CímtártervezésCímtártervezés Erdő létrehozása:Erdő létrehozása:

Az erdő az adminisztrációs egység (nem a tartomány)!Az erdő az adminisztrációs egység (nem a tartomány)! SémaeltérésSémaeltérés Szolgáltatás-izoláció (pl.: gyártósor)Szolgáltatás-izoláció (pl.: gyártósor) Adat-izoláció (pl.: Kutatás-fejlesztés)Adat-izoláció (pl.: Kutatás-fejlesztés)

Tartomány létrehozása:Tartomány létrehozása: „„Egyetlen tartomány” modell, ha csak lehetEgyetlen tartomány” modell, ha csak lehet Forest Root tartomány – ma már ritkaForest Root tartomány – ma már ritka Regionális tartományok – ha a méret és adminisztrációs modell Regionális tartományok – ha a méret és adminisztrációs modell

megkövetelimegköveteli ADAD névtér tervezése: névtér tervezése: Kövesd a DNS névtér tervezést!Kövesd a DNS névtér tervezést! A NetBIOS és DNS Domain név eltérhet egymástól, de...A NetBIOS és DNS Domain név eltérhet egymástól, de...

CímtártervezésCímtártervezés

Organizational Unit-ok tervezéseOrganizational Unit-ok tervezése A név fordítása hibás!A név fordítása hibás! Nem az üzleti szervezet leképezésére való!Nem az üzleti szervezet leképezésére való! Az Active Directory ADMINISZTRÁCIÓT könnyítiAz Active Directory ADMINISZTRÁCIÓT könnyíti

Adminisztrativ jogok delegálásaAdminisztrativ jogok delegálása– http://www.microsoft.com/technet/prodtechnol/http://www.microsoft.com/technet/prodtechnol/

windowsserver2003/technologies/directory/activedirectory/windowsserver2003/technologies/directory/activedirectory/actdid1.mspxactdid1.mspx

Csoportházirendek alkalmazásaCsoportházirendek alkalmazása

Tűzfal szolgáltatásokTűzfal szolgáltatások

Tűzfal szolgáltatásokTűzfal szolgáltatások

Támadás és védekezésTámadás és védekezésTűzfal funkciókTűzfal funkciókTűzfal kategóriákTűzfal kategóriákTűzfal architektúrákTűzfal architektúrák

Támadás és védekezésTámadás és védekezés Külső támadásokKülső támadások Belső támadásokBelső támadások Fenyegetések, veszélyek és védekezésFenyegetések, veszélyek és védekezés

Fenyegetések Védekezés

Packet SniffersPacket Sniffers Hitelesítés; Switchek; Anti Sniffers; Titkosítás (IPSec)

IP SpoofingIP Spoofing Access Control

Denial-of-Service AttacksDenial-of-Service Attacks Anti-Spoof, Anti-DoS; Traffice-rate limit

Application Layer AttacksApplication Layer Attacks Hotfix; Szigorított biztonsági szabályok

Network ReconnaissanceNetwork Reconnaissance IPSec

Virus and Trojan HorsesVirus and Trojan Horses Anti-Virus, Hotfixes

Tűzfal funkciókTűzfal funkciók

Network adapter input filtersNetwork adapter input filters A hálózati kártya driver a bejövő forgalmat ellenőrzi A hálózati kártya driver a bejövő forgalmat ellenőrzi

TCP vagy UDP Port alapján. Szabványos IP TCP vagy UDP Port alapján. Szabványos IP forgalmat feltételezforgalmat feltételez

Static packet filtersStatic packet filters TCP és UPD forgalom ellenőrzése mindkét irányban. TCP és UPD forgalom ellenőrzése mindkét irányban.

Szabványos IP forgalmat feltételezSzabványos IP forgalmat feltételez

Tűzfal funkciók 2Tűzfal funkciók 2

Network address translation (NAT)Network address translation (NAT) Címfordítás. Elvileg nem tűzfal funkcióCímfordítás. Elvileg nem tűzfal funkció

Stateful inspectionStateful inspection (Dynamic Packet Filter) (Dynamic Packet Filter) A bejövő forgalom csak akkor engedélyezett, ha az A bejövő forgalom csak akkor engedélyezett, ha az

állapottáblában megfelelő kimenő kapcsolat szerepelállapottáblában megfelelő kimenő kapcsolat szerepel

Circuit-level inspectionCircuit-level inspection A bejövő forgalom esetén nem csak kimenő A bejövő forgalom esetén nem csak kimenő

kapcsolatra, hanem azon belül megfelelő kapcsolatra, hanem azon belül megfelelő munkamenetre is szükség van munkamenetre is szükség van

Tűzfal funkciók 3Tűzfal funkciók 3

ProxyProxy A kliens és a szerver közötti minden forgalmat A kliens és a szerver közötti minden forgalmat

felbontja egy kliens-proxy proxy-szerver forgalomrafelbontja egy kliens-proxy proxy-szerver forgalomra Nincs közvetlen kapcsolat a kliens és a szerver között, de Nincs közvetlen kapcsolat a kliens és a szerver között, de

ha mégis lenne (SSL) akkor is legalább protokoll fejléc ha mégis lenne (SSL) akkor is legalább protokoll fejléc ellenőrzés történikellenőrzés történik

A szerver tárolhatja a gyakran kért oldalakat (gyártótól A szerver tárolhatja a gyakran kért oldalakat (gyártótól függő)függő)

A protokoll teljes egészében ellenőrizhetőA protokoll teljes egészében ellenőrizhető Felhasználó szintű szabályok állíthatók be (hitelesítés)Felhasználó szintű szabályok állíthatók be (hitelesítés)

Tűzfal funkciók 4Tűzfal funkciók 4 Application layer filteringApplication layer filtering

Egy adott alkalmazás alkalmazás-specifikus adatáramlását Egy adott alkalmazás alkalmazás-specifikus adatáramlását képes figyelni, blokkolni, áirányítani, módosítani stb.képes figyelni, blokkolni, áirányítani, módosítani stb.

TartalomszűrésTartalomszűrés VírusellenőrzésVírusellenőrzés SSL terminálásSSL terminálás

Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az adott alkalmazást vagy beépülő modul segítségével képes adott alkalmazást vagy beépülő modul segítségével képes felügyelni annak forgalmátfelügyelni annak forgalmát

Tűzfal kategóriákTűzfal kategóriák Helyi tűzfalakHelyi tűzfalak Útválasztókba épített tűzfalakÚtválasztókba épített tűzfalak Low-end hardLow-end hardver tűzfalakver tűzfalak High-end High-end hardver tűzfalakhardver tűzfalak SSzzerver erver tűzfalaktűzfalak

Helyi tűzfalakHelyi tűzfalak Operációs Operációs

rendszerbe rendszerbe beépített tűzfal, beépített tűzfal, amely ad-hoc amely ad-hoc módon néhány módon néhány node-os hálózat node-os hálózat védelmét is védelmét is elláthatjaelláthatja

Tulajdonság Érték

Támogatott alapfunkciók static packet filters, NAT, and stateful inspection, ritkábban circuit-level inspection és/vagy application layer filtering.

Konfiguráció Automatikus (kézi módosítási lehetőséggel)

IP címek engedélyezése/tiltása Igen

Protokoll számok engedélyezése/tiltása

Igen

ICMP üzenetek engedélyezése/tiltása

Igen

Kimenő forgalom engedélyezése Igen

Alkalmazásvédelem Esetleg

Riasztás Esetleg

Támadások naplózása Esetleg

Valós idejű riasztás Esetleg

VPN támogatás Általában nem

Távoli menedzsment Általában nem

Gyártói támogatás Erősen változó

Magas rendelkezésre állás Nem

Egyidejű munkamenetek 1-től 10-ig

Moduláris frissítés Nem

Ársáv Alacsony (gyakran ingyenes)

Útválasztókba épített tűzfalakÚtválasztókba épített tűzfalakKét típus:Két típus:

Internet Internet hozzáféréshozzáférés

LAN/WAN LAN/WAN szegmentálásszegmentálás


Támogatott alapfunkciók static packet filters. Lower-end útválasztók támogatják a NAT-ot. Higher-end útválasztók támogatják a stateful inspection-t és/vagy az alkalmazás szintű szűrést

Konfiguráció Tipikusan automatikus a low-end és kézi a high-end routerek esetén



Igen


Igen


Alkalmazásvédelem Lehetséges

Riasztás Tipikus

Támadások naplózása A legtöbb esetben

Valós idejű riasztás A legtöbb esetben

VPN támogatás Gyakori a lower-end útválasztókban, nem gyakori a high-end útválaztókban. Általában külön dedikált eszköz vagy szerver áll rendelkezésre

Távoli menedzsment Igen

Gyártói támogatás Általában korlátozott a lower-end eszközökben és nagyon jó a higher-end útválasztóknál

Magas rendelkezésre állás Low End: Nem - High End: Igen

Egyidejű munkamenetek 10 – 1,000

Moduláris frissítés Low End: Nem – High End: Korlátozott

Ársáv Változó

Low-End hardver tűzfalakLow-End hardver tűzfalak

Kisvállalatok, Kisvállalatok, vagy nagyobb vagy nagyobb vállalatok vállalatok belső belső hálózatában hálózatában működnekműködnek

Tulajdonság Value

Támogatott alapfunkciók static packet filters és NAT. Esetleg stateful inspection és vagy application layer filtering.

Konfiguráció Automatikus (kézi módosítási lehetőséggel


Protokoll számok engedélyezése/tiltása Igen

ICMP üzenetek engedélyezése/tiltása Igen


Alkalmazásvédelem Tipikusan nem

Riasztás Tipikusan nem

Támadások naplózása Tipikusan nem

Valós idejű riasztás Tipikusan nem

VPN támogatás Néha


Gyártói támogatás Korlátozott

Magas rendelkezésre állás Tipikusan nem

Egyidejű munkamenetek > 10 – 7500

Moduláris frissítés Korlátozott

Ársáv Alacsony

High-End hardver tűzfalHigh-End hardver tűzfalNagyvállalatok Nagyvállalatok

vagy vagy szolgáltatók szolgáltatók számára számára készített készített céleszközcéleszköz


Támogatott alapfunkciók Static packet filters és NAT. Esetleg stateful inspection és/vagy application layer filtering.

Konfiguráció Tipikusan kézi



Igen

ICMP üzenetek engedélyezése/tiltása Igen


Alkalmazásvédelem Potenciálisan

Riasztás Igen

Támadások naplózása Igen

Valós idejű riasztás Igen

VPN támogatás Potenciálisan


Gyártói támogatás Nagyon jó

Magas rendelkezésre állás Igen

Egyidejű munkamenetek > 7500 – 500,000

Moduláris frissítés Igen

Ársáv Magas

Szerver tűzfalakSzerver tűzfalak Előnyök:Előnyök:

Nagy teljesítményNagy teljesítmény Szolgáltatás-Szolgáltatás-

integrációintegráció Rendelkezésre állás Rendelkezésre állás

és méretezhetőségés méretezhetőség

Hátrányok:Hátrányok: High-End HardverHigh-End Hardver SérülékenységSérülékenység


Támogatott alapfunkciók Minden funkció

Konfiguráció Tipikusan kézi



Igen


Igen

Kimenő forgalom engedélyezése

Igen

Alkalmazásvédelem Potenciálisan

Riasztás Igen

Támadások naplózása Igen

Valós idejű riasztás Igen

VPN támogatás Potenciálisan


Gyártói támogatás Jó

Magas rendelkezésre állás Igen

Egyidejű munkamenetek >50,000

Moduláris frissítés Igen

Egyéb Általánosan használt operációs rendszer

Ársáv Magas

Tűzfal architektúrákTűzfal architektúrák Single-Tier Egress Single-Tier Egress

and Ingressand Ingress ElőnyökElőnyök

Alacsony beruházási Alacsony beruházási költségköltség

Alacsony fenntartási Alacsony fenntartási költségekköltségek

HátrányokHátrányok Egypontos biztonságEgypontos biztonság Sávszélesség problémákSávszélesség problémák

Single or Redundant Firewall

Internal Network

Internet

Network Segment

Firewall/Proxy

Router

Border Router

Tűzfal architektúrákTűzfal architektúrák Kétrétegű Kétrétegű

tűzfalrendszertűzfalrendszer ElőnyökElőnyök

Robosztusabb védelemRobosztusabb védelem A többféle tűzfalfunkció A többféle tűzfalfunkció

szétválikszétválik

HátrányokHátrányok Kevésbé rugalmas Kevésbé rugalmas

architektúraarchitektúra Nagy hálózatoknál Nagy hálózatoknál

méretezési problémák méretezési problémák léphetnek felléphetnek fel

Internet

Internal

Internal Network


Perimeter


InternetWeb Servers

Border Router

Tűzfal architektúrákTűzfal architektúrák Többrétegű Többrétegű

tűzfalrendszertűzfalrendszer ElőnyökElőnyök

A nyilvános forgalom A nyilvános forgalom leválasztásaleválasztása

Teljesítmény, Teljesítmény, rendelkezésre állásrendelkezésre állás

Kimenő és bejövő forgalom Kimenő és bejövő forgalom elválasztásaelválasztása

HátrányokHátrányok Komplex és drága Komplex és drága

menedzsmentmenedzsment Költséges megvalósításKöltséges megvalósítás

Internet

PerimeterIngress Services

Firewall/Proxy

Site-to-Site VPN

Inbound Traffic

Redundant Internal Firewall

Client VPN Firewall

Internet

InternalInbound Traffic

Inbound Traffic

Outbound

Traffic

Internal Network

Network Segment

Firewall Module

Bastion Host

Firewall/Proxy

Border Router

SzoftverterítésSzoftverterítés

SzoftvertelepítésSzoftvertelepítés Szerver operációs rendszerek terítéseSzerver operációs rendszerek terítése Kliens operációs rendszerek terítéseKliens operációs rendszerek terítése Alkalmazások, üzleti szoftverek terítéseAlkalmazások, üzleti szoftverek terítése Javítócsomagok, hotfixek, driverek terítéseJavítócsomagok, hotfixek, driverek terítése

Kérdés

Az alábbi rövidítések közül hánynak ismeri a Az alábbi rövidítések közül hánynak ismeri a feloldását?feloldását?

WIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTIWIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTI1.1.Egyiknek semEgyiknek sem

2.2.1-31-3

3.3.4-64-6

4.4.7-87-8

OS terítés, ahogy eddig voltOS terítés, ahogy eddig volt Remote Installation Services Remote Installation Services

(RIS)(RIS) W2K, WinXP kliensek, W2K, W2K, WinXP kliensek, W2K,

W2003 szerverek telepítéseW2003 szerverek telepítése CD-Based, Sysprep Image (3rd CD-Based, Sysprep Image (3rd

Party kiegészítéssel)Party kiegészítéssel)

Automated Deployment Automated Deployment ServicesServices Kiszolgálók telepítésére Kiszolgálók telepítésére

(kliensekkel működik, de nem (kliensekkel működik, de nem támogatott)támogatott)

SMS OS Deployment SMS OS Deployment Feature Pack (SMS OSD)Feature Pack (SMS OSD)

EszközökEszközök

DHCPDHCPSetup ManagerSetup ManagerSysprepSysprepTöbbféle telepítést vezérlő állományTöbbféle telepítést vezérlő állomány

Unattended.txt, cmdlines.txt stb.Unattended.txt, cmdlines.txt stb.

3rd Party Image technológiák3rd Party Image technológiák

ProblémákProblémákNem egységes formátumNem egységes formátum16-bites függőség16-bites függőségEltérő használatEltérő használat

ÜgyfélÜgyfél KiszolgálóKiszolgáló

BonyolultBonyolultKiegészítést igényelKiegészítést igényelSok Image keletkezikSok Image keletkezikAz Image utólag nem szerkeszthetőAz Image utólag nem szerkeszthető

OS terítés, ahogy leszOS terítés, ahogy lesz Windows Deployment Services (WDS)Windows Deployment Services (WDS)

A RIS utódjaA RIS utódja Server és kliens telepítés (Vista is!)Server és kliens telepítés (Vista is!) Light Touch Installation (LTI)Light Touch Installation (LTI)

Automated Server Deployment (ADS)Automated Server Deployment (ADS) Egyelőre önállóan, később beépül a WDS-beEgyelőre önállóan, később beépül a WDS-be

System Management Server 2003 R2 Feature Pack System Management Server 2003 R2 Feature Pack UpdateUpdate Kliens telepítésKliens telepítés Zero Touch Installation (ZTI)Zero Touch Installation (ZTI)

20032003 20042004 20052005 20062006

ADS 1.0ADS 1.09/039/03

SMS 2003SMS 200310/0310/03

SMS 2003SMS 2003SP1SP1

ADS 1.1ADS 1.1

SMS 2003SMS 2003SP2SP2

OSD FPOSD FP

Microsoft Virtual Microsoft Virtual Server 2005 Server 2005 Migration Migration ToolkitToolkit VSMTVSMT

SCCM 2007SCCM 2007(SMS v4)(SMS v4)

Jelenlegi termékekJelenlegi termékekEgységesítettEgységesítettNagyvállalatiNagyvállalatiOS terítésOS terítés

WDS forWDS forWindows Server Windows Server 20032003

SMS v4 OSSMS v4 OSDeploymentDeploymentbuilds on WDS builds on WDS & other LH& other LHtechnologytechnology

TransferTransfertechnologytechnology

20072007

RIS inRIS inWindows Server Windows Server 20032003

FrissítésekFrissítések

= OS Deployment= OS Deployment terméktermék

Format: ADSFormat: ADS

Format: WIM 0.9Format: WIM 0.9

Format: ADSFormat: ADS


WDS inWDS inWindows ServerWindows Server“Longhorn”“Longhorn”

Format: WIM 1.0Format: WIM 1.0 Format: WIM 1.0Format: WIM 1.0

OSD FPOSD FPLH updateLH update


OS Deployment RoadmapOS Deployment Roadmap

OS deployment eszközökOS deployment eszközök Windows Automated Installation Toolkit (WAIK)Windows Automated Installation Toolkit (WAIK)

Application Compatibility Toolkit (ACT)Application Compatibility Toolkit (ACT) User State Migration Toolkit (USMT)User State Migration Toolkit (USMT) ImageXImageX Windows System Image Manager (WSIM) A Setup Manager helyettWindows System Image Manager (WSIM) A Setup Manager helyett

Business Desktop Deployment ToolkitBusiness Desktop Deployment Toolkit Vista és Office telepítésének teljeskörű támogatásaVista és Office telepítésének teljeskörű támogatása Projekt-támogatás teljes dokumentációvalProjekt-támogatás teljes dokumentációval

TechnológiákTechnológiák Windows Imaging Format (WIM)Windows Imaging Format (WIM)

Fájl alapú, Szerkeszthető Image formátumFájl alapú, Szerkeszthető Image formátum 3rd Party kiegészítőkre nincs szükség3rd Party kiegészítőkre nincs szükség

Egyetlen XML vezérlőállományEgyetlen XML vezérlőállomány Windows Preinstallation Evironment (WinPE)Windows Preinstallation Evironment (WinPE)

16-bit függés megszüntetése16-bit függés megszüntetése

Köszönjük a figyelmet!

További forrásokTovábbi források Windows Server System Refrence ArchitectureWindows Server System Refrence Architecture

http://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspxhttp://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspx Automated Deployment ServicesAutomated Deployment Services

http://www.microsoft.com/windowsserver2003/techinfo/overview/ads.mspxhttp://www.microsoft.com/windowsserver2003/techinfo/overview/ads.mspx Windows Vista Deployment EnhancementsWindows Vista Deployment Enhancements

http://www.microsoft.com/technet/windowsvista/deploy/depenhnc.mspxhttp://www.microsoft.com/technet/windowsvista/deploy/depenhnc.mspx Business Desktop DeploymentBusiness Desktop Deployment

http://www.microsoft.com/technet/desktopdeployment/default.mspxhttp://www.microsoft.com/technet/desktopdeployment/default.mspx WebnaplóWebnapló

http://lepenyet.spaces.live.comhttp://lepenyet.spaces.live.com Microsoft Technet portálMicrosoft Technet portál

http://www.microsoft.com/hun/technethttp://www.microsoft.com/hun/technet

A következő előadásA következő előadás

Feladatok automatizálása 1. – az első lépések Feladatok automatizálása 1. – az első lépések és AD scripting és AD scripting

2006. November 9. 15:302006. November 9. 15:30

http://www.microsoft.com/hun/webcast/default.aspx?http://www.microsoft.com/hun/webcast/default.aspx?id=463b21f5-26fd-4ec5-ac64-01beebfe1831id=463b21f5-26fd-4ec5-ac64-01beebfe1831

it infrastruktúra tervezés – ii. logikai elemek

Documents