IT Infrastruktúra tervezés – II.Logikai elemek
Lepenye TamásRendszermérnökMicrosoft Magyarország
NapirendNapirend A WSSRA szerint:A WSSRA szerint: Hálózati szolgáltatásokHálózati szolgáltatások Távoli hozzáférésTávoli hozzáférés Nyiltkulcsos infrastruktúraNyiltkulcsos infrastruktúra SzoftverdisztribúcióSzoftverdisztribúció TűzfalakTűzfalak CímtárszolgáltatásCímtárszolgáltatás Fájl- és nyomtatószolgáltatásFájl- és nyomtatószolgáltatás Adatkezelési szolgáltatásAdatkezelési szolgáltatás KöztesszoftverekKöztesszoftverek Üzenetkezelés és együttműködésÜzenetkezelés és együttműködés WebszolgáltatásWebszolgáltatás Menedzsment szolgáltatásMenedzsment szolgáltatás
Hálózati szolgáltatásokHálózati szolgáltatások
Hálózati szolgáltatásokHálózati szolgáltatások
Dynamic Host Configuration Protocol - DHCPDynamic Host Configuration Protocol - DHCPDomain Name System - DNSDomain Name System - DNSWindows Internet Naming Service - WINSWindows Internet Naming Service - WINS
CímallokációCímallokációLehetőségeink:Lehetőségeink:
Kézi címkezelésKézi címkezelés BOOTPBOOTP DHCPDHCP
Manuális BOOTP DHCPEgyszerű X Fix és megjósolható X Jelentős adminisztráció X Címveszteség X Mobil eszközök támogatása XKözponti szolgáltatás X XMinden platform ismeri X X XCímmegújítás újrainduláskor X XCímmegújítás automatikusan XAutomatikus címújrafelhasználás XOpciók átadása XMulticast támogatás XBiztonsági problémák X X XEgypontos hibalehetőség X X
CímallokációCímallokáció A szolgáltatás létrehozásának kérdéseiA szolgáltatás létrehozásának kérdései
Elvárások a rendelkezésre állásraElvárások a rendelkezésre állásra A kezelt IP címek számaA kezelt IP címek száma Milyen az IT rendszermenedzsment?Milyen az IT rendszermenedzsment?
Javasolt megoldás (Best practice):Javasolt megoldás (Best practice): Statikus IP címek a DHCP kiszolgálók és az útválasztók interfészeinStatikus IP címek a DHCP kiszolgálók és az útválasztók interfészein Statikus IP címek a dinamikus címallokációt nem támogató eszközökönStatikus IP címek a dinamikus címallokációt nem támogató eszközökön Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS)Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS) Lefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknélLefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknél Minden egyéb esetben DHCPMinden egyéb esetben DHCP
DHCP - tervezési kérdésekDHCP - tervezési kérdések
DHCP scopeDHCP scope-ok-okDHCP DHCP rendelkezésre állás és hibatűrésrendelkezésre állás és hibatűrésDHCP DHCP útvonalválasztók eseténútvonalválasztók eseténDHCP biztonságDHCP biztonság
DHCP Scope-okDHCP Scope-ok Egy DHCP kiszolgáló több DHCP scope-ot is futtathat!Egy DHCP kiszolgáló több DHCP scope-ot is futtathat! A legtöbb DHCP paramétert Scope opcióként kell megadniA legtöbb DHCP paramétert Scope opcióként kell megadni Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy
alkalmazás valóban igénylialkalmazás valóban igényli
Osztály-opciókat akkor használjunk, ha a kliensek jól Osztály-opciókat akkor használjunk, ha a kliensek jól definiáltan eltérő igényeik vannak azonos alhálózatbandefiniáltan eltérő igényeik vannak azonos alhálózatban
Egyedi opciókat egy-egy klienshez „reservation options” Egyedi opciókat egy-egy klienshez „reservation options” segítségével rendelhetünksegítségével rendelhetünk
DHCP – rendelkezésre állás és DHCP – rendelkezésre állás és hibatűréshibatűrés Split ScopeSplit Scope DHCP ClusterDHCP Cluster Standby ServerStandby Server
DHCP clients
DHCP server 2192.168.1.2
DHCP server 2 has 20% of addresses as follows:Scope range: 192.168.1.10 - 192.168.1.254Excluded addresses: 192.168.1.10 - 192.168.1.205
DHCP server 1 has 80% of addresses as follows:Scope range: 192.168.1.10 - 192.168.1.254Excluded addresses: 192.168.1.206 - 192.168.1.254
DHCP server 1192.168.1.1
DHCP clients `
`
`
`
`
DHCP – útvonalválasztók eseténDHCP – útvonalválasztók esetén
Több subnet DHCP Több subnet DHCP szolgáltatással való szolgáltatással való ellátása:ellátása:
Több DHCP szerverrelTöbb DHCP szerverrel DHCP-Relay Agent az DHCP-Relay Agent az
útválasztókbanútválasztókban DHCP-Relay Agent DHCP-Relay Agent
egy ügyfélbenegy ügyfélben Többlábú DHCP-Többlábú DHCP-
szerverszerver
`
DHCP server
IP addressdatabase
IP router
DHCP clients
DHCP clients
Subnet A
Subnet B
`
`
`
Scope for Subnet C:Exclusion Range:192.168.2.1 - 192.168.2.10Address Pool:192.168.2.11 - 192.168.2.254
Subnet mask for all scopes:255.255.255.0
Scope for Subnet B:Exclusion Range:192.168.1.1 - 192.168.1.10Address Pool:192.168.1.11 - 192.168.1.254
Scope for Subnet A:Exclusion Range:192.168.0.1 - 192.168.0.10Address Pool:192.168.0.11 - 192.168.0.254
Adapter C:192.168.2.1
Adapter B:192.168.1.1
MultihomedDHCP server
Adapter A:192.168.0.1
Subnet A
` `
`` `
`
` `
`
Subnet C
Subnet B
DHCP - BiztonságDHCP - Biztonság Nem authentikált protokoll!Nem authentikált protokoll! Biztonsági konfigurációs lehetőségek (Windows Biztonsági konfigurációs lehetőségek (Windows
Server 2003)Server 2003) Kiszolgáló-felhatalmazás (DHCP Server Authorization)Kiszolgáló-felhatalmazás (DHCP Server Authorization) Kósza DHCP-kiszolgáló felderítéseKósza DHCP-kiszolgáló felderítése DNSUpdateProxy csoportDNSUpdateProxy csoport DHCP-Class opciók használataDHCP-Class opciók használata Csak lefoglalt IP-címek használataCsak lefoglalt IP-címek használata A kiszolgáló biztonságának fokozása (security hardening)A kiszolgáló biztonságának fokozása (security hardening)
Kérdés
A WINS betűszóban mi az „I” feloldása?A WINS betűszóban mi az „I” feloldása?
InternalInternal IntegratedIntegrated
InternetInternet InformationInformation
WINS – Windows Internet Name ResolutionWINS – Windows Internet Name Resolution
NetBIOS névfeloldás, NetBIOS korlátokkalNetBIOS névfeloldás, NetBIOS korlátokkal Lapos névtérLapos névtér 15+1 karakteres nevek15+1 karakteres nevek A 80-as évekből származó szabványA 80-as évekből származó szabvány
WINS szerverek – WINS kliensekWINS szerverek – WINS kliensek 12 szerver konfigurálható, de csak 2 12 szerver konfigurálható, de csak 2
névregisztrációranévregisztrációra A WINS szervereket DHCP opciókkal meg lehet A WINS szervereket DHCP opciókkal meg lehet
hírdetnihírdetni
WINSWINS Miért jó?Miért jó?
Broadcast forgalom csökkentéseBroadcast forgalom csökkentése Automatikus regisztráció és megújításAutomatikus regisztráció és megújítás Központi névfeloldásKözponti névfeloldás Kiterjesztett NetBIOS-név támogatásKiterjesztett NetBIOS-név támogatás
Miért kell?Miért kell? Windows 2000 előtti Microsoft kliensekWindows 2000 előtti Microsoft kliensek NetBIOS NetBIOS névfeloldás szükséges többszegmensű IP-hálózatbannévfeloldás szükséges többszegmensű IP-hálózatban Kliens vagy szerver-alkalmazás igényli a NetBIOS komunikációtKliens vagy szerver-alkalmazás igényli a NetBIOS komunikációt
http://www.microsoft.com/hun/technet/default.aspx?article=dacd6819-1040-4219-bcc6-http://www.microsoft.com/hun/technet/default.aspx?article=dacd6819-1040-4219-bcc6-5fb4135842355fb413584235
File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs rendszerenrendszeren
WINS – Topogia és replikációWINS – Topogia és replikáció WINS szerverek topológiájaWINS szerverek topológiája
Központi Központi WINSWINS Full meshFull mesh GyűrűGyűrű Hub and spoke topologyHub and spoke topology
A replikáció típusaiA replikáció típusai Push – azonnali, de nem szabályozható a forgalomPush – azonnali, de nem szabályozható a forgalom Pull – szabályozható forgalom, de lassú konvergenciaPull – szabályozható forgalom, de lassú konvergencia Push/pullPush/pull
WINS Request Size in Bytes
Name Registration 110
Name Registration Response
104
Name Release 110
Name Release Response 104
Name Refresh Request 110
Name Refresh Response 104
Name Query 92
Name Query Response 104
WINS – legjobb gyakorlatWINS – legjobb gyakorlat „„Az egyszerű nagyszerű” 1 WINS / 10 000 kliens!!Az egyszerű nagyszerű” 1 WINS / 10 000 kliens!! Redundáns WINS = 2 WINS szerver push/pull replikációRedundáns WINS = 2 WINS szerver push/pull replikáció
A WINS Cluster nem két WINS szerver, hanem 1 logikaiA WINS Cluster nem két WINS szerver, hanem 1 logikai Hub-and-spoke architektúra replikáció eseténHub-and-spoke architektúra replikáció esetén Push/pull replikáció beállítása ajánlottPush/pull replikáció beállítása ajánlott Adatbázis karbantartás (JET adatbázis)Adatbázis karbantartás (JET adatbázis)
Scavenging – automatikusScavenging – automatikus Compacting Database (online és offline)Compacting Database (online és offline) Consistecy check – alapértelmezés szerint kikapcsolt, érdemes Consistecy check – alapértelmezés szerint kikapcsolt, érdemes
bekapcsolnibekapcsolni Backup útvonal beállításaBackup útvonal beállítása A névkonvencióból törölni kell a „_” karaktertA névkonvencióból törölni kell a „_” karaktert
A Windows Server 2003 előtti DNS szerverek „-” karakterré A Windows Server 2003 előtti DNS szerverek „-” karakterré konvertáljákkonvertálják
A WINS szerverek mutassanak önmagukraA WINS szerverek mutassanak önmagukra
DNS – Domain Name SystemDNS – Domain Name System
A de-facto névfeloldási rendszerA de-facto névfeloldási rendszer InternetenInterneten IntranetenIntraneten
A névfeloldás mellett szolgáltatások is meghirdetA névfeloldás mellett szolgáltatások is meghirdet Speciális rekordokkal (pl: MX)Speciális rekordokkal (pl: MX) SRV rekorddalSRV rekorddal
DNS együttműködésDNS együttműködés DHCP – kliensek számára dinamikus névregisztrációDHCP – kliensek számára dinamikus névregisztráció WINS – tartalék névfeloldási rendszerWINS – tartalék névfeloldási rendszer AD – Biztonságos névfrissítés, replikációAD – Biztonságos névfrissítés, replikáció
DNS - szolgáltatástervezésDNS - szolgáltatástervezés Tervezési feladatokTervezési feladatok
Névtér tervezésNévtér tervezés DNS kiszolgálók elhelyezése a hálózatbanDNS kiszolgálók elhelyezése a hálózatban
Névtér-tervezési lehetőségekNévtér-tervezési lehetőségek Egyetlen névtérEgyetlen névtér A belső névtér a külső tartomány altartományaA belső névtér a külső tartomány altartománya Független belső és külső névtérFüggetlen belső és külső névtér Azonos belső és külső névtérAzonos belső és külső névtér
Javasolt megoldások:Javasolt megoldások: A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és
adminisztrálniadminisztrálni Ha a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasoltHa a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasolt Kerülendő, hogy a belső és külső névtér azonos legyenKerülendő, hogy a belső és külső névtér azonos legyen
Split DNSSplit DNS
Ha egy kiszolgálónak eltérő a „belső” és Ha egy kiszolgálónak eltérő a „belső” és „külső” neve...„külső” neve...
DNS – Technológiai megközelítésDNS – Technológiai megközelítés Javasolt a Windows Server 2003, mert...Javasolt a Windows Server 2003, mert...
AD-Integrált DNS zónákat hozhatunk létreAD-Integrált DNS zónákat hozhatunk létre Biztonságos (ACL-el védett) rekordokBiztonságos (ACL-el védett) rekordok Biztonságos frissítésBiztonságos frissítés AD-biztosította replikációs topológia, sebesség és biztonságAD-biztosította replikációs topológia, sebesség és biztonság A multimaster topológia miatt nincs egyetlen primary zóna,így A multimaster topológia miatt nincs egyetlen primary zóna,így
egypontos meghibásodás sincs!egypontos meghibásodás sincs!
Integrálható a szolgáltatás más infrastruktúra-Integrálható a szolgáltatás más infrastruktúra-szolgáltatásokkalszolgáltatásokkal
DHCP, WINSDHCP, WINS
Önmagában is erőteljes DNS implementációÖnmagában is erőteljes DNS implementáció „„Cache corruption” védelemCache corruption” védelem
CímtárszolgáltatásCímtárszolgáltatás
CímtárszolgáltatásCímtárszolgáltatás
Címtár típusok:Címtár típusok: Speciális felhasználású címtárak (pl.: DNS)Speciális felhasználású címtárak (pl.: DNS) Egyedi alkalmazás-címtárak (Exchange 5.5)Egyedi alkalmazás-címtárak (Exchange 5.5) Hálózat-fókuszú címtárak (Active Directory, Novell Hálózat-fókuszú címtárak (Active Directory, Novell
eDirectory stb.)eDirectory stb.) Általános címtárak (LDAP, ADAM, Sun ONE)Általános címtárak (LDAP, ADAM, Sun ONE) MetacímtárakMetacímtárak
CímtárszolgáltatásCímtárszolgáltatás Active Directory tervezési feladatokActive Directory tervezési feladatok
Logikai felépítés tervezéseLogikai felépítés tervezése Telephely-rendszer tervezéseTelephely-rendszer tervezése
Logikai felépítés:Logikai felépítés: Erdő kialakításErdő kialakítás Tartomány-tervezésTartomány-tervezés ADAD névtér tervezés névtér tervezés Az AD-t támogató DNS-rendszer tervezéseAz AD-t támogató DNS-rendszer tervezése OU tervezésOU tervezés
CímtártervezésCímtártervezés Erdő létrehozása:Erdő létrehozása:
Az erdő az adminisztrációs egység (nem a tartomány)!Az erdő az adminisztrációs egység (nem a tartomány)! SémaeltérésSémaeltérés Szolgáltatás-izoláció (pl.: gyártósor)Szolgáltatás-izoláció (pl.: gyártósor) Adat-izoláció (pl.: Kutatás-fejlesztés)Adat-izoláció (pl.: Kutatás-fejlesztés)
Tartomány létrehozása:Tartomány létrehozása: „„Egyetlen tartomány” modell, ha csak lehetEgyetlen tartomány” modell, ha csak lehet Forest Root tartomány – ma már ritkaForest Root tartomány – ma már ritka Regionális tartományok – ha a méret és adminisztrációs modell Regionális tartományok – ha a méret és adminisztrációs modell
megkövetelimegköveteli ADAD névtér tervezése: névtér tervezése: Kövesd a DNS névtér tervezést!Kövesd a DNS névtér tervezést! A NetBIOS és DNS Domain név eltérhet egymástól, de...A NetBIOS és DNS Domain név eltérhet egymástól, de...
CímtártervezésCímtártervezés
Organizational Unit-ok tervezéseOrganizational Unit-ok tervezése A név fordítása hibás!A név fordítása hibás! Nem az üzleti szervezet leképezésére való!Nem az üzleti szervezet leképezésére való! Az Active Directory ADMINISZTRÁCIÓT könnyítiAz Active Directory ADMINISZTRÁCIÓT könnyíti
Adminisztrativ jogok delegálásaAdminisztrativ jogok delegálása– http://www.microsoft.com/technet/prodtechnol/http://www.microsoft.com/technet/prodtechnol/
windowsserver2003/technologies/directory/activedirectory/windowsserver2003/technologies/directory/activedirectory/actdid1.mspxactdid1.mspx
Csoportházirendek alkalmazásaCsoportházirendek alkalmazása
Tűzfal szolgáltatásokTűzfal szolgáltatások
Tűzfal szolgáltatásokTűzfal szolgáltatások
Támadás és védekezésTámadás és védekezésTűzfal funkciókTűzfal funkciókTűzfal kategóriákTűzfal kategóriákTűzfal architektúrákTűzfal architektúrák
Támadás és védekezésTámadás és védekezés Külső támadásokKülső támadások Belső támadásokBelső támadások Fenyegetések, veszélyek és védekezésFenyegetések, veszélyek és védekezés
Fenyegetések Védekezés
Packet SniffersPacket Sniffers Hitelesítés; Switchek; Anti Sniffers; Titkosítás (IPSec)
IP SpoofingIP Spoofing Access Control
Denial-of-Service AttacksDenial-of-Service Attacks Anti-Spoof, Anti-DoS; Traffice-rate limit
Application Layer AttacksApplication Layer Attacks Hotfix; Szigorított biztonsági szabályok
Network ReconnaissanceNetwork Reconnaissance IPSec
Virus and Trojan HorsesVirus and Trojan Horses Anti-Virus, Hotfixes
Tűzfal funkciókTűzfal funkciók
Network adapter input filtersNetwork adapter input filters A hálózati kártya driver a bejövő forgalmat ellenőrzi A hálózati kártya driver a bejövő forgalmat ellenőrzi
TCP vagy UDP Port alapján. Szabványos IP TCP vagy UDP Port alapján. Szabványos IP forgalmat feltételezforgalmat feltételez
Static packet filtersStatic packet filters TCP és UPD forgalom ellenőrzése mindkét irányban. TCP és UPD forgalom ellenőrzése mindkét irányban.
Szabványos IP forgalmat feltételezSzabványos IP forgalmat feltételez
Tűzfal funkciók 2Tűzfal funkciók 2
Network address translation (NAT)Network address translation (NAT) Címfordítás. Elvileg nem tűzfal funkcióCímfordítás. Elvileg nem tűzfal funkció
Stateful inspectionStateful inspection (Dynamic Packet Filter) (Dynamic Packet Filter) A bejövő forgalom csak akkor engedélyezett, ha az A bejövő forgalom csak akkor engedélyezett, ha az
állapottáblában megfelelő kimenő kapcsolat szerepelállapottáblában megfelelő kimenő kapcsolat szerepel
Circuit-level inspectionCircuit-level inspection A bejövő forgalom esetén nem csak kimenő A bejövő forgalom esetén nem csak kimenő
kapcsolatra, hanem azon belül megfelelő kapcsolatra, hanem azon belül megfelelő munkamenetre is szükség van munkamenetre is szükség van
Tűzfal funkciók 3Tűzfal funkciók 3
ProxyProxy A kliens és a szerver közötti minden forgalmat A kliens és a szerver közötti minden forgalmat
felbontja egy kliens-proxy proxy-szerver forgalomrafelbontja egy kliens-proxy proxy-szerver forgalomra Nincs közvetlen kapcsolat a kliens és a szerver között, de Nincs közvetlen kapcsolat a kliens és a szerver között, de
ha mégis lenne (SSL) akkor is legalább protokoll fejléc ha mégis lenne (SSL) akkor is legalább protokoll fejléc ellenőrzés történikellenőrzés történik
A szerver tárolhatja a gyakran kért oldalakat (gyártótól A szerver tárolhatja a gyakran kért oldalakat (gyártótól függő)függő)
A protokoll teljes egészében ellenőrizhetőA protokoll teljes egészében ellenőrizhető Felhasználó szintű szabályok állíthatók be (hitelesítés)Felhasználó szintű szabályok állíthatók be (hitelesítés)
Tűzfal funkciók 4Tűzfal funkciók 4 Application layer filteringApplication layer filtering
Egy adott alkalmazás alkalmazás-specifikus adatáramlását Egy adott alkalmazás alkalmazás-specifikus adatáramlását képes figyelni, blokkolni, áirányítani, módosítani stb.képes figyelni, blokkolni, áirányítani, módosítani stb.
TartalomszűrésTartalomszűrés VírusellenőrzésVírusellenőrzés SSL terminálásSSL terminálás
Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az adott alkalmazást vagy beépülő modul segítségével képes adott alkalmazást vagy beépülő modul segítségével képes felügyelni annak forgalmátfelügyelni annak forgalmát
Tűzfal kategóriákTűzfal kategóriák Helyi tűzfalakHelyi tűzfalak Útválasztókba épített tűzfalakÚtválasztókba épített tűzfalak Low-end hardLow-end hardver tűzfalakver tűzfalak High-end High-end hardver tűzfalakhardver tűzfalak SSzzerver erver tűzfalaktűzfalak
Helyi tűzfalakHelyi tűzfalak Operációs Operációs
rendszerbe rendszerbe beépített tűzfal, beépített tűzfal, amely ad-hoc amely ad-hoc módon néhány módon néhány node-os hálózat node-os hálózat védelmét is védelmét is elláthatjaelláthatja
Tulajdonság Érték
Támogatott alapfunkciók static packet filters, NAT, and stateful inspection, ritkábban circuit-level inspection és/vagy application layer filtering.
Konfiguráció Automatikus (kézi módosítási lehetőséggel)
IP címek engedélyezése/tiltása Igen
Protokoll számok engedélyezése/tiltása
Igen
ICMP üzenetek engedélyezése/tiltása
Igen
Kimenő forgalom engedélyezése Igen
Alkalmazásvédelem Esetleg
Riasztás Esetleg
Támadások naplózása Esetleg
Valós idejű riasztás Esetleg
VPN támogatás Általában nem
Távoli menedzsment Általában nem
Gyártói támogatás Erősen változó
Magas rendelkezésre állás Nem
Egyidejű munkamenetek 1-től 10-ig
Moduláris frissítés Nem
Ársáv Alacsony (gyakran ingyenes)
Útválasztókba épített tűzfalakÚtválasztókba épített tűzfalakKét típus:Két típus:
Internet Internet hozzáféréshozzáférés
LAN/WAN LAN/WAN szegmentálásszegmentálás
Tulajdonság Érték
Támogatott alapfunkciók static packet filters. Lower-end útválasztók támogatják a NAT-ot. Higher-end útválasztók támogatják a stateful inspection-t és/vagy az alkalmazás szintű szűrést
Konfiguráció Tipikusan automatikus a low-end és kézi a high-end routerek esetén
IP címek engedélyezése/tiltása Igen
Protokoll számok engedélyezése/tiltása
Igen
ICMP üzenetek engedélyezése/tiltása
Igen
Kimenő forgalom engedélyezése Igen
Alkalmazásvédelem Lehetséges
Riasztás Tipikus
Támadások naplózása A legtöbb esetben
Valós idejű riasztás A legtöbb esetben
VPN támogatás Gyakori a lower-end útválasztókban, nem gyakori a high-end útválaztókban. Általában külön dedikált eszköz vagy szerver áll rendelkezésre
Távoli menedzsment Igen
Gyártói támogatás Általában korlátozott a lower-end eszközökben és nagyon jó a higher-end útválasztóknál
Magas rendelkezésre állás Low End: Nem - High End: Igen
Egyidejű munkamenetek 10 – 1,000
Moduláris frissítés Low End: Nem – High End: Korlátozott
Ársáv Változó
Low-End hardver tűzfalakLow-End hardver tűzfalak
Kisvállalatok, Kisvállalatok, vagy nagyobb vagy nagyobb vállalatok vállalatok belső belső hálózatában hálózatában működnekműködnek
Tulajdonság Value
Támogatott alapfunkciók static packet filters és NAT. Esetleg stateful inspection és vagy application layer filtering.
Konfiguráció Automatikus (kézi módosítási lehetőséggel
IP címek engedélyezése/tiltása Igen
Protokoll számok engedélyezése/tiltása Igen
ICMP üzenetek engedélyezése/tiltása Igen
Kimenő forgalom engedélyezése Igen
Alkalmazásvédelem Tipikusan nem
Riasztás Tipikusan nem
Támadások naplózása Tipikusan nem
Valós idejű riasztás Tipikusan nem
VPN támogatás Néha
Távoli menedzsment Igen
Gyártói támogatás Korlátozott
Magas rendelkezésre állás Tipikusan nem
Egyidejű munkamenetek > 10 – 7500
Moduláris frissítés Korlátozott
Ársáv Alacsony
High-End hardver tűzfalHigh-End hardver tűzfalNagyvállalatok Nagyvállalatok
vagy vagy szolgáltatók szolgáltatók számára számára készített készített céleszközcéleszköz
Tulajdonság Érték
Támogatott alapfunkciók Static packet filters és NAT. Esetleg stateful inspection és/vagy application layer filtering.
Konfiguráció Tipikusan kézi
IP címek engedélyezése/tiltása Igen
Protokoll számok engedélyezése/tiltása
Igen
ICMP üzenetek engedélyezése/tiltása Igen
Kimenő forgalom engedélyezése Igen
Alkalmazásvédelem Potenciálisan
Riasztás Igen
Támadások naplózása Igen
Valós idejű riasztás Igen
VPN támogatás Potenciálisan
Távoli menedzsment Igen
Gyártói támogatás Nagyon jó
Magas rendelkezésre állás Igen
Egyidejű munkamenetek > 7500 – 500,000
Moduláris frissítés Igen
Ársáv Magas
Szerver tűzfalakSzerver tűzfalak Előnyök:Előnyök:
Nagy teljesítményNagy teljesítmény Szolgáltatás-Szolgáltatás-
integrációintegráció Rendelkezésre állás Rendelkezésre állás
és méretezhetőségés méretezhetőség
Hátrányok:Hátrányok: High-End HardverHigh-End Hardver SérülékenységSérülékenység
Tulajdonság Érték
Támogatott alapfunkciók Minden funkció
Konfiguráció Tipikusan kézi
IP címek engedélyezése/tiltása Igen
Protokoll számok engedélyezése/tiltása
Igen
ICMP üzenetek engedélyezése/tiltása
Igen
Kimenő forgalom engedélyezése
Igen
Alkalmazásvédelem Potenciálisan
Riasztás Igen
Támadások naplózása Igen
Valós idejű riasztás Igen
VPN támogatás Potenciálisan
Távoli menedzsment Igen
Gyártói támogatás Jó
Magas rendelkezésre állás Igen
Egyidejű munkamenetek >50,000
Moduláris frissítés Igen
Egyéb Általánosan használt operációs rendszer
Ársáv Magas
Tűzfal architektúrákTűzfal architektúrák Single-Tier Egress Single-Tier Egress
and Ingressand Ingress ElőnyökElőnyök
Alacsony beruházási Alacsony beruházási költségköltség
Alacsony fenntartási Alacsony fenntartási költségekköltségek
HátrányokHátrányok Egypontos biztonságEgypontos biztonság Sávszélesség problémákSávszélesség problémák
Single or Redundant Firewall
Internal Network
Internet
Network Segment
Firewall/Proxy
Router
Border Router
Tűzfal architektúrákTűzfal architektúrák Kétrétegű Kétrétegű
tűzfalrendszertűzfalrendszer ElőnyökElőnyök
Robosztusabb védelemRobosztusabb védelem A többféle tűzfalfunkció A többféle tűzfalfunkció
szétválikszétválik
HátrányokHátrányok Kevésbé rugalmas Kevésbé rugalmas
architektúraarchitektúra Nagy hálózatoknál Nagy hálózatoknál
méretezési problémák méretezési problémák léphetnek felléphetnek fel
Internet
Internal
Internal Network
Single or Redundant Firewall
Perimeter
Single or Redundant Firewall
InternetWeb Servers
Border Router
Tűzfal architektúrákTűzfal architektúrák Többrétegű Többrétegű
tűzfalrendszertűzfalrendszer ElőnyökElőnyök
A nyilvános forgalom A nyilvános forgalom leválasztásaleválasztása
Teljesítmény, Teljesítmény, rendelkezésre állásrendelkezésre állás
Kimenő és bejövő forgalom Kimenő és bejövő forgalom elválasztásaelválasztása
HátrányokHátrányok Komplex és drága Komplex és drága
menedzsmentmenedzsment Költséges megvalósításKöltséges megvalósítás
Internet
PerimeterIngress Services
Firewall/Proxy
Site-to-Site VPN
Inbound Traffic
Redundant Internal Firewall
Client VPN Firewall
Internet
InternalInbound Traffic
Inbound Traffic
Outbound
Traffic
Internal Network
Network Segment
Firewall Module
Bastion Host
Firewall/Proxy
Border Router
SzoftverterítésSzoftverterítés
SzoftvertelepítésSzoftvertelepítés Szerver operációs rendszerek terítéseSzerver operációs rendszerek terítése Kliens operációs rendszerek terítéseKliens operációs rendszerek terítése Alkalmazások, üzleti szoftverek terítéseAlkalmazások, üzleti szoftverek terítése Javítócsomagok, hotfixek, driverek terítéseJavítócsomagok, hotfixek, driverek terítése
Kérdés
Az alábbi rövidítések közül hánynak ismeri a Az alábbi rövidítések közül hánynak ismeri a feloldását?feloldását?
WIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTIWIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTI1.1.Egyiknek semEgyiknek sem
2.2.1-31-3
3.3.4-64-6
4.4.7-87-8
OS terítés, ahogy eddig voltOS terítés, ahogy eddig volt Remote Installation Services Remote Installation Services
(RIS)(RIS) W2K, WinXP kliensek, W2K, W2K, WinXP kliensek, W2K,
W2003 szerverek telepítéseW2003 szerverek telepítése CD-Based, Sysprep Image (3rd CD-Based, Sysprep Image (3rd
Party kiegészítéssel)Party kiegészítéssel)
Automated Deployment Automated Deployment ServicesServices Kiszolgálók telepítésére Kiszolgálók telepítésére
(kliensekkel működik, de nem (kliensekkel működik, de nem támogatott)támogatott)
SMS OS Deployment SMS OS Deployment Feature Pack (SMS OSD)Feature Pack (SMS OSD)
EszközökEszközök
DHCPDHCPSetup ManagerSetup ManagerSysprepSysprepTöbbféle telepítést vezérlő állományTöbbféle telepítést vezérlő állomány
Unattended.txt, cmdlines.txt stb.Unattended.txt, cmdlines.txt stb.
3rd Party Image technológiák3rd Party Image technológiák
ProblémákProblémákNem egységes formátumNem egységes formátum16-bites függőség16-bites függőségEltérő használatEltérő használat
ÜgyfélÜgyfél KiszolgálóKiszolgáló
BonyolultBonyolultKiegészítést igényelKiegészítést igényelSok Image keletkezikSok Image keletkezikAz Image utólag nem szerkeszthetőAz Image utólag nem szerkeszthető
OS terítés, ahogy leszOS terítés, ahogy lesz Windows Deployment Services (WDS)Windows Deployment Services (WDS)
A RIS utódjaA RIS utódja Server és kliens telepítés (Vista is!)Server és kliens telepítés (Vista is!) Light Touch Installation (LTI)Light Touch Installation (LTI)
Automated Server Deployment (ADS)Automated Server Deployment (ADS) Egyelőre önállóan, később beépül a WDS-beEgyelőre önállóan, később beépül a WDS-be
System Management Server 2003 R2 Feature Pack System Management Server 2003 R2 Feature Pack UpdateUpdate Kliens telepítésKliens telepítés Zero Touch Installation (ZTI)Zero Touch Installation (ZTI)
20032003 20042004 20052005 20062006
ADS 1.0ADS 1.09/039/03
SMS 2003SMS 200310/0310/03
SMS 2003SMS 2003SP1SP1
ADS 1.1ADS 1.1
SMS 2003SMS 2003SP2SP2
OSD FPOSD FP
Microsoft Virtual Microsoft Virtual Server 2005 Server 2005 Migration Migration ToolkitToolkit VSMTVSMT
SCCM 2007SCCM 2007(SMS v4)(SMS v4)
Jelenlegi termékekJelenlegi termékekEgységesítettEgységesítettNagyvállalatiNagyvállalatiOS terítésOS terítés
WDS forWDS forWindows Server Windows Server 20032003
SMS v4 OSSMS v4 OSDeploymentDeploymentbuilds on WDS builds on WDS & other LH& other LHtechnologytechnology
TransferTransfertechnologytechnology
20072007
RIS inRIS inWindows Server Windows Server 20032003
FrissítésekFrissítések
= OS Deployment= OS Deployment terméktermék
Format: ADSFormat: ADS
Format: WIM 0.9Format: WIM 0.9
Format: ADSFormat: ADS
Format: WIM 1.0Format: WIM 1.0
WDS inWDS inWindows ServerWindows Server“Longhorn”“Longhorn”
Format: WIM 1.0Format: WIM 1.0 Format: WIM 1.0Format: WIM 1.0
OSD FPOSD FPLH updateLH update
Format: WIM 1.0Format: WIM 1.0
OS Deployment RoadmapOS Deployment Roadmap
OS deployment eszközökOS deployment eszközök Windows Automated Installation Toolkit (WAIK)Windows Automated Installation Toolkit (WAIK)
Application Compatibility Toolkit (ACT)Application Compatibility Toolkit (ACT) User State Migration Toolkit (USMT)User State Migration Toolkit (USMT) ImageXImageX Windows System Image Manager (WSIM) A Setup Manager helyettWindows System Image Manager (WSIM) A Setup Manager helyett
Business Desktop Deployment ToolkitBusiness Desktop Deployment Toolkit Vista és Office telepítésének teljeskörű támogatásaVista és Office telepítésének teljeskörű támogatása Projekt-támogatás teljes dokumentációvalProjekt-támogatás teljes dokumentációval
TechnológiákTechnológiák Windows Imaging Format (WIM)Windows Imaging Format (WIM)
Fájl alapú, Szerkeszthető Image formátumFájl alapú, Szerkeszthető Image formátum 3rd Party kiegészítőkre nincs szükség3rd Party kiegészítőkre nincs szükség
Egyetlen XML vezérlőállományEgyetlen XML vezérlőállomány Windows Preinstallation Evironment (WinPE)Windows Preinstallation Evironment (WinPE)
16-bit függés megszüntetése16-bit függés megszüntetése
Köszönjük a figyelmet!
További forrásokTovábbi források Windows Server System Refrence ArchitectureWindows Server System Refrence Architecture
http://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspxhttp://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspx Automated Deployment ServicesAutomated Deployment Services
http://www.microsoft.com/windowsserver2003/techinfo/overview/ads.mspxhttp://www.microsoft.com/windowsserver2003/techinfo/overview/ads.mspx Windows Vista Deployment EnhancementsWindows Vista Deployment Enhancements
http://www.microsoft.com/technet/windowsvista/deploy/depenhnc.mspxhttp://www.microsoft.com/technet/windowsvista/deploy/depenhnc.mspx Business Desktop DeploymentBusiness Desktop Deployment
http://www.microsoft.com/technet/desktopdeployment/default.mspxhttp://www.microsoft.com/technet/desktopdeployment/default.mspx WebnaplóWebnapló
http://lepenyet.spaces.live.comhttp://lepenyet.spaces.live.com Microsoft Technet portálMicrosoft Technet portál
http://www.microsoft.com/hun/technethttp://www.microsoft.com/hun/technet
A következő előadásA következő előadás
Feladatok automatizálása 1. – az első lépések Feladatok automatizálása 1. – az első lépések és AD scripting és AD scripting
2006. November 9. 15:302006. November 9. 15:30
http://www.microsoft.com/hun/webcast/default.aspx?http://www.microsoft.com/hun/webcast/default.aspx?id=463b21f5-26fd-4ec5-ac64-01beebfe1831id=463b21f5-26fd-4ec5-ac64-01beebfe1831