IPSec  Internet Protocol Security (IPSec) ver 4

 

Resource: Microsoft > TechNet Home > TechNet Security > Topics

Winteacher.com > Part2 > IPSEC > Chapter 1: Introduction to Server and Domain Isolation  GO

Introduction to Server and Domain Isolation

استفاده از روش Physical Protection مدت زمانی می باشد که به خطر افتاده و نتوانسته با قدرت کافی از شبکه

محافظت کند  یکی ازدلیل آن را هم می توان استفاده از شبکه های  Wireless نام برد که یک LAN را به خطر انداخته پس

باید در مورد این نوع شبکه که به تازگی راه افتاده نیز فکری کرد . دلیل دیگر آن استفاده از سخت افزار برای محافظت موجب می شود

که شما قدرت جابجایی سیستم ها را نداشته باشید و در واقع نتوانید از Mobile Client ها در اصطلاح استفاده کنید و از همه مهمتر گران بودن

روش سخت افزاری نیزموجب شده که همه واحدهای کاری و شرکت نتوانند از این روش استفاده کنند .

 
Server and domain isolation

این دو روش این امکان را به شما می دهد که  یک لایه دفاعی و امنیتی بصورت منطقی برای ترافیک ردوبدل شده میان سیستم های شبکه

و یا Network ها ایجاد کنید .اگر Attacker  یا فرد حمله کنند به شبکه شما دسترسی پیدا کند از نظر فیزیکی نمی تواند با سیستمی ارتباط برقرار کند چون از نظر منطقی

سیستم وی جزو سیستم های شبکه شما نمی باشد به همین دلیل Connection نمی تواند برقرار کند با Server های شما حتی اگر User/Pass شبکه شما را

داشته باشد .پس شما مطمئن می شوید از اینکه سیستم خارجی نمی تواند با شبکه شرکت شما ارتباط برقرار کند .

این دفاع یا لایه امنیتی منطقی را Logical Isolation می نامند که به دو روش Domain Iso و Server Iso وجود دارد.

The logical isolation approach using server and domain isolation techniques enables the development of a flexible, scalable, and manageable isolation solution that provides the security of isolation without the cost or inflexibility of physical boundaries

در این صفحه موارد زیر را بررسی می کنیم :

On This Page

1.Executive Summary
2.Who Should Read This Guide
3.The Business Challenge
4.Creating a Project Team
5.Guide Overview
6.Scenario Outline
7.Summary

Executive Summary

Microsoft  تصدیق می کند که برای یک Organization بزرگ باید یک امنیت بالا و قوی تری داشت .

به دلیل داشتن یک شبکه بزرگ باید امنیت هم به همان اندازه بالا باشد .برای یک شرکت بزرگ استفاده از روش

Physical Access Protection ناممکن می باشد شما نمی توانید دسترسی های سرتاسر شبکه را Internet و یا LAN های دیگر

را کنترل کنید یا حداقل خوب نمی توانید کنترل کنید .پس این روش جالب نمی باشد .مثلا وجود شبکه های Mobile و Wireless و نیز

Bluetooth Technology و ... موجب شده که شبکه بزرگ شما در معرض دسترسی هایی باشد که از کنترل شما خارج است .این یعنی

Risk بالا در شبکه شما .اگرچه افراد شبکه شما از Firewall بر روی سیستم های خود استفاده می کنند اما این به معنی امنیت بالا یا

High Security نمی باشد . پس از روشی باید استفاده کرد که Server/Client شما را Iso کند از این خطر ها .

Server/domain Isolation برای شبکه بزرگ شما مزایای زیادی دارد  مهمترین آن این می باشد که یک لایه دفاعی در برابر درسترسی

سیستم های نامشخص و تعریف نشده به سیستم های شبکه شما ایجاد می کند .

Server/Domain Isolation روشی می باشد که کمک می کند به دفاع در برابر مواردی همچون دزدی اطلاعات و جلوگیری از نفوظ Hacker

چه از داخل شبکه یا بیرون شبکه و جلوگیری از ورود Virus و پخش آن در شبکه و نیز اعمال خرابکارانه کارمندان داخل شرکت .

برای IT Professional Staff  این روش امکان Manage کردن دسترسی های افراد به Resource ها را بسیار آسان و سریع کرده.

این روش موجب می شود که از روشهای گران قیمتی همچون VPN Device ها و غیره برای امنیت شبکه استفاده نشود و Network Traffic را نیز

Encrypt می کند که این خود خیلی مهم می باشد .

 

IPSEC در واقع ارتباطات TCPIP هر سیستم را در بخش Incoming آن محدود می کند به بر قراری ارتباط با سیستم ها Trusted Computer شبکه شما

و سیستم را  فقط مجبور به برقراری با این سیستم ها می کند .سوال پیش می آند Authentication چگونه می باشد .ACL های موجود در شبکه بر روی

ADS تعریف می شود و عمل شناسایی و Authentication از طریق آن انجام می شود یادمان باشد که IPSEC در لایه 3 شبکه Network Layer فعالیت می کند

ACL ها در لایه Application Layer معنی می دهد پس چون IPSEC در لایه پایین تری فعالیت می کند از ACL ها قدر بیشتری دارد وجالب که بدانید عمل

Authentication را خود مستقل انجام می دهد و توانایی آن را نیز دارد که Authentication را با ترافیک Encrypt شده انجام دهد .

ACL ها توسط GPO در Active Directory هدایت و Manage می شوند .

 
Logical Isolation

این روش دو تضمین را به شما می دهد اول Domain Isolation که جلوگیری می کند از Untrusted Connection با

Domain Member و یا سیستم های Trusted Computer که در Domain قرار دارد. Server Isolation تضمین می کند که یک Server

با Domain Member ها فقط Connection برقرار کند و سرویس دهد.

The tested solution provided in this guide requires the following minimum platform configuration:
Windows 2000 with Service Pack 4 or later
Microsoft Windows Server™ 2003
Windows XP with Service Pack 2 or later
 
These configuration requirements ensure that the IPsec components are at the required revision level. Communication with non-Windows platforms or untrusted systems is controlled by the IPsec configuration having a list of exemptions and/or being allowed to fall back to clear text (non-IPsec) communication. Network address translators are no longer a barrier to using IPsec on the local area network (LAN) with the new network address translation (NAT) traversal capabilities.

This guidance uses the Woodgrove National Bank scenario to demonstrate the implementation of both server and domain isolation in a representative lab environment. It also presents the experience that Microsoft gained in implementing both of these solutions internally as well as in customer environments. A Microsoft team of subject matter experts developed this guidance, and both Microsoft professional IT staff and a number of customers through a Beta program have reviewed it.

Because both server and domain isolation scenarios exist within Microsoft's global internal network, Microsoft's business depends on the security of these solutions. Furthermore, in recommending these solutions to its customers, Microsoft supports the long-term direction they take toward a highly secure and manageable infrastructure for trustworthy computing.

 

برای برقراری ارتباط توسط IPSEC سیستم های که Windows بر روی آنها باشد فقط پشتیبانی می شوند و سیستم های

دیگر ارتباط را نمی توانند از نوع Encrypt شده داشته باشند .

این سرویس با NAT نیز مشکل داشت که در NAT جدید این مشکل نیز حل شده.

 

برای مشخص کردن قدرت این سرویس از نمونه ای که در Woodgrove Bank اجرا شده شروع می کنیم که هر دو حالت Server/Domain Iso را در آن بررسی می شود .

این مثال را Microsoft Team که متخصص در این زمینه می باشد تهیه کرده و اجرا کرده و مورد تایید Microsoft می باشد .

از این روش خود Microsoft  نیز استفاده می کند .

Who Should Read This Guide

This guide is designed to support a server and domain isolation solution through all stages of the IT lifecycle, starting at the initial evaluation and approval phase and continuing through to deployment, testing, and management of the completed implementation. For this reason, the various chapters that comprise this guide have been written to meet the needs of a variety of readers.

This chapter is designed primarily for the business decision maker who is trying to determine whether his organization will benefit from a server and domain isolation project. Understanding the contents of this chapter requires no specific technical knowledge beyond the comprehension of the organization's business and security needs.

The planning chapters of this guide (Chapters 2, 3, and 4) are intended to be most helpful to the technical architects and IT professionals who will be responsible for designing a customized solution for an organization. A good level of technical understanding of both the technologies involved and the organization's current infrastructure is required to get the most benefit from these chapters.

Chapter 5 and the appendices are designed for the support staff that is responsible for creating the deployment plans for the organization's solution. Included in this guidance are a number of recommendations about the process of completing a successful solution deployment as well as practical implementation steps to create the test lab environment.

Chapter 6 of the guide is intended as a reference for the staff that is responsible for the day-to-day operations of the solution after it is implemented and fully operational. A number of operating processes and procedures highlighted in this chapter should be built into the organization's operations framework.

Chapter 7 provides information about troubleshooting an IPsec deployment. Because IPsec fundamentally affects network communications, troubleshooting information and techniques can significantly help organizations that choose to implement IPsec.

برای مطالعه این راهنما چند فصل وجود دارد این صفحه برای مشخص کردن قدرت و فواید امنیت توسط IPSec برای افراد و شرکت ها می باشد .

فصل های دوم و یوم و چهارم برای افراد متخصص در IT می باشد که مابیشتر به آنها می پردازیم فصل پنجم و ششم برای پشتیبانی بیشتر می باشد

که بعد از مطالعه فصل 2 و 3 و 4  می توان آنها را مطالعه کرد .

The Business Challenge

این بخش بیشتر برای Business می باشد و برای توجیح فواید IPSEC و امنیت آن برای شرکتها و سازمانها می باشد .

The nature of today's highly-connected organizations and mobile network devices can introduce many risks into your organization's IT infrastructure. These risks can come from a variety of sources, including mobile employee, vendor, and customer computers, in addition to remote computers in small branch offices or in employees' homes. In many cases, these risks come from malicious software (also known as malware), such as viruses and worms, that has been inadvertently downloaded or installed onto an innocent person's computer.

Although logical isolation cannot be considered an antivirus defense on its own, it can be part of a broader antivirus solution, because it provides an additional layer of security that can reduce the likelihood of an attack and minimize its scope should one occur. For example, a visiting customer who connects a mobile computer to your network to provide you with a spreadsheet introduces a risk to your organization's IT infrastructure. By connecting directly to your physical network, the customer has bypassed any perimeter defenses that are in place to protect against network-based attacks.

If the internal network to which the customer connects did not allow direct access to your organization's servers, however, this risk would be mitigated. The question is how to limit such access to the organization's resources to only those computers that need it. The answer is server and domain isolation, a technique that identifies and authenticates the computer itself to determine which resources it is allowed to access. The authentication occurs before the user logs on and is effective while the computer is connected. This approach makes it possible to reduce the potential risk to important business data from unidentified and unmanaged computers that connect to your network.

Note: For more information about malware and specific ways that your organization can defend itself, see The Antivirus Defense-in-Depth Guide on TechNet at http://go.microsoft.com/fwlink/?LinkId=28732.

The Business Benefits

The benefits of introducing a logical isolation defense layer include the following:

Additional security. A logical isolation defense layer provides additional security for all managed computers on the network.
Tighter control of who can access specific information. By using this solution, computers will not automatically gain access to all network resources simply by connecting to the network.
Lower cost. This solution is typically far less expensive to implement than a physical isolation solution.
Increase in the number of managed computers. If an organization's information is only available to managed computers, all devices will have to become managed systems to provide access to their users.
Improved levels of protection against malware attacks. The isolation solution will significantly restrict the ability of an untrusted computer to access trusted resources. For this reason, a malware attack from an untrusted computer will fail because the connection will not be allowed, even if the attacker obtains a valid user name and password.
A mechanism to encrypt network data. Logical isolation makes it possible to require encryption of all network traffic between selected computers.
Rapid emergency isolation. This solution provides a mechanism to quickly and efficiently isolate specific resources inside your network in the event of an attack.
Protect publicly available network connections. Certain network connection points, such as those in a lobby, will not provide direct access to all resources on your network.
Improved auditing. This solution provides a way to log and audit network access by managed resources.

Microsoft Link : The Business Challenge

 
The Technology Challenge

در این بخش ساختار تکنولوژی به کار رفته در IPSEC را برای دفاع از شبکه را بررسی می کنیم .

دفاع کردن از یک ساختار مدرن IT نیازمند کارمندانی باهوش و سریع می باشد که در آنجا کارکنند . چون شما اگر بخواهید از یک

ساختار پیچیده و محکم و در واقع قوی استفاده کنید نیاز به کارکنان باهوش دارید که موارد را درک کنند .

اگر نیاز به ایجاد یک شبکه با امنیت بالا دارید باید کارمندان آموزش دیده در آن قسمت فعالیت کنند تا بتوانند بازدهی داشته باشند.

پس نتیجه می گیریم که به نسبت درک آنها می توان یک شبکه را طراحی کرد .

Figure 1.1 Infrastructure areas and network defense layers

Figure 1.1 Infrastructure areas and network defense layers

 

در Figure 1.1 شما لایه های مختلفی که در طراحی یک شبکه برای دفاع قوی و یا دفاع در عمق طراحی شده را مشاهده می کنید

به تمامی موارد در شکل بالا در جدول زیر پرداخته شده خوب مطالعه کنید :

 
Remote workers and networks. These remote entities typically use VPNs to connect to the organization's internal network and access the organization's IT infrastructure.
Internet. The organization's internal network is often connected to the Internet through one or more perimeter firewall devices. These devices often reside in a perimeter network that provides a higher level of protection from the external threats that Internet connectivity poses.
Perimeter network. This network is specifically set aside for servers and devices that require direct access to or from the Internet, which means they are exposed to higher risk of attack.
Internal network. Typically, this network represents the grouping of the organization's networks that are physically located on the sites owned and managed as part of the IT infrastructure.
Quarantine network. This network is a relatively new component that provides limited connectivity to computers that fail to meet the minimum required security standards that the organization prescribes. After successfully passing the necessary tests, the computer and user will be authorized for full connectivity to the internal network. If they fail to pass the tests, the quarantine network will provide them with enough connectivity to download and install the required elements that will allow them to pass the tests. Microsoft provides new capabilities for quarantining remote access computers using Network Access Protection (NAP). For more information, see the Network Access Protection page at www.microsoft.com/nap.
Partner networks. Because these networks are not owned or managed by the organization, a highly controlled level of access is usually granted to allow specific business applications or processes to occur through a VPN tunnel or perimeter router that provides extranet communications.
 
Remote workers and networks

این شبکه از VPN Connection استفاده می کند برای برقراری ارتباط با Internal Network.

Internet

Internal Network نیاز دارد که به Internet متصل باشد برای این هدف شبکه Internal Network از طریق یک یا چند Firewall که در

Perimeter Network وجد داردند به شبکه Internet متصل می شود.تذکر شبکه مستقیم متصل نمی باشد به Internet بلکه از طریق شبکه

Perimeter به آن متصل می باشد .

Perimeter network

این شبکه یا سایت طراحی شده برای سرورهای که باید به Internet متصل شوند و سرویس دهی کنند و یا از طرف Internet به آنها سرویس داده شود

و نیز مکان قرار گرفتن Device های امنیتی مانند Firewall در این بخش می باشد برای محافظت از Attack های احتمالی از طرف Internet به کل سایت و همچنین

سایت Internal Network و کل شبکه .بدلیل وجود خطر از طرف Internet این بخش باید امنیت را بطور کامل برقرار کند .

Internal network

در این سایت شبکه اصلی شرکت وجود دارد که گروه و یا گروهای در آنجا فعالیت های خود را انجام می دهدند.

Quarantine network

شبکه ای می باشد در حال  ساخت و بررسی و Test و تازمانی که افراد IT آن را قبول نکنند و یا درواقع در Test جواب درست نگیرند در Quarantine باقی می ماند

سپس بعد پایان کار به Internal Network اضافه می شود .

Partner networks

این شبکه چون توسط  شزکت مدیریت نمی شود هیچ کنترلی بر روی آن ندارد به همین دلیل برای امنیت بالا در ارتباط از VPN Tunneling استفاده می شود .

 

خوب در اینجا سوال پیش می آید که Logical Isolation که در بالا شرح داده شد در کدام قسمت ها اجرا می شود

جواب اینکه در قیمت Internal Network پیکربندی می شود و یا اجرا می شود برای برقراری ارتباط Computer های این قسمت

با یکدیگر با این کار شما آنها را Iso می کنید از هرگونه ارتباط سیستم های خارج از این سایت با آنها .

VPN Server ها مدیریت می شوند توسط سرویس RRAS و امنیت آنها نیز به همین گونه .

ارتباط Internet با شبکه ها نیز توسط Firewall ها محافظت می شود .

 
defense-in-depth

در طراحی بالا شما از Component های متفاوتی برای امنیت شبکه و محافظت ازآن استفاده کرده این این عمل در

اصطلاح defense-in-depth گفته می شود یعنی دفاع در عمق و بسیار قوی دلیل آنهم این می باشد که

Firewall و RRAS-VPN سرور ها و از همه مهمتر IPSEC برای دفاع وجود دارد .اگر HACKER از Firewall عبور کند به هر دلیلی و یا بتواند

از سرویس VPN استفاده کند و به Internal Network بررسد بدلیل وجود IPSEC دیگر نمی تواند با آن شبکه ارتباط برقرار کند .

 

Internal Network شما می تواند یک Segment باشد یا چندین Subnet به هر حال وجود IPSEC موجب می شود که شما هر وقت که تمایل داشتید

این Isolation را انجام دهید به راحتی آن را Test کنید و اجرایی کنید بدون وجود هیچ Device خاصی و نیز سرعت انجام کار برای Iso کردن بسیار بالا

می باشد و زمان بسیار کمی لازم دارد .

 
Creating a Project Team

برای انجام یک پروژه به این بزرگی نیاز می باشد که یک Team برای انجام کار تشکیل شود

اولین کار برای شروع انتخاب نمایندگانی از واحدهای مختلفی می باشد که در این شبکه زیر پوشش قرار می گیرند .

به دلیل اینکه این نمایندگان واحد ها می باشند که مشخص می کنند چگونه می خواهند فعالیت داشته باشند در شبکه و...

 
Guide Overview

در این بخش  نمای کلی فصلها مشخص شده و نیز مواردی که در آنها شرح داده شده.

Guide Overview

This section provides a brief synopsis of the contents of each chapter in the Server and Domain Isolation Using IPsec and Group Policy guide.

Chapter 1: Introduction to Server and Domain Isolation

The first chapter (this chapter) provides an executive summary and a brief introduction to the content of each chapter in the guide. It introduces the concept of logical isolation and the server and domain isolation approaches for an organization, discusses business justification, and shows how they fit in a typical IT infrastructure. This chapter also provides information about the Woodgrove National Bank scenario, which was adopted for proof-of-concept, design, and testing purposes.

Chapter 2: Understanding Server and Domain Isolation

Chapter 2 defines the concept of trusted hosts and discusses how trust can be used to create domain or server isolation solutions. It explores the relationship between the concept of server and domain isolation, IPsec, and Group Policy. The technical content of this guide provides a detailed technical explanation of what can be expected from the solution in terms of both the security threats it will help defend against and the technical issues that could be faced when using IPsec to create a domain or server isolation solution.

Chapter 3: Determining the Current State of Your IT Infrastructure

Before a project is undertaken, it is imperative that the designers of the solution have up-to-date and accurate information about the current IT infrastructure. This information includes the current state of all network devices, server and workstation configurations, and domain trusts. It also covers the potential impact of other networking technologies, such as NAT, IPsec – based remote access VPN clients, internal firewalls and proxies, and internal port – based filtering. This chapter provides guidance on the information that is required for planning, along with the steps required to obtain the information.

Chapter 4: Designing and Planning Isolation Groups

This chapter provides guidance on how to link the business requirements of the organization to the server and domain isolation design that will help achieve the requirements. A step-by-step approach is provided to help you create an isolation group design to achieve your organization's security requirements with regard to isolation. This chapter also describes different deployment approaches that you can use to help minimize the impact on the organization during deployment and to help maximize the chances of a successful implementation. All of the steps and processes in this chapter are illustrated with examples from the Woodgrove Bank scenario.

Chapter 5: Creating IPsec Policies for Isolation Groups

IPsec policy is the mechanism that you use to enforce the rules by which each computer communicates with its peers. These rules are assigned and delivered to members of the trusted domain using Group Policy objects. This chapter provides the information required to understand how to create these IPsec policies and how to deploy them to the recipient computers.

Chapter 6: Managing a Server and Domain Isolation Environment

After the solution is in place and operational, there are a number of processes that you should understand and document to help ensure that the solution is managed correctly and supported on a day-to-day basis. This chapter presents a model for supportability and various management processes and procedures that you should use as part of a broader operations framework such as the Microsoft Operations Framework (MOF). For more information about MOF, see the Microsoft Operations Framework Web site at www.microsoft.com/mof.

Chapter 7: Troubleshooting IPsec

As the solution is deployed and used, it is almost inevitable that problems will arise. This chapter details a number of IPsec troubleshooting procedures, tasks, tools, and tips that you can use to help identify whether IPsec is the cause of such problems and, if it is, how to troubleshoot the problem.

 
Scenario Outline

در این بخش یک نمونه مثال برای مشاهده زده شده دقت کنید .

Woodgrove Bank یک بانک می باشد که که دارای چندین واحد کاری در کشورهای مختلف می باشد که توسط IPSEC اطلاعات

مالی و پولی خورد را محافظت کرده همچنین اطلاعات محرمانه و خصوصی خود را چون قدرت  بانک به این  دو مورد بستگی دارد .

در این بانک بیش از 15,000 کارمند وجود دارد در سرتاسر جهان .

مراکز اصلی این بانکن در New York دارای 5,000 کارمند می باشد و در London دارای 5,200 کارمند و در Tokyo دارای 500 کارمند .

هر یک از این سه مرکز اصلی بانک دارای زیرمجموعه از واحد ها و یا Site ها دیگر می باشند .برای مثال New York دارای دو سایت زیرمجموعه Atlanta , Boston می باشد .

در این میان دو مرکز اصلی دیگر که در شهر های Sydney , Johannesburg وجود دارد که هر یک ازآنها دارای سرویس های File Sharing و Print و App Server می باشند

Connectivity Between Sites

ارتباطات میان مراکز اصلی را در این قسمت بررسی می کنیم .

Tokyo and London are connected to enterprise headquarters in New York through private Internet connections, with committed bandwidth of 6 megabits per second (Mbps) and 10 Mbps connectivity, respectively. All regional hub locations are connected to enterprise headquarters with 2-megabyte (MB) to 10-MB connectivity. The autonomous branch locations have 2-MB connectivity. The micro branch offices typically have 1-MB wide area network (WAN) connectivity. The details of this connectivity are illustrated in Figure 3.1 of Chapter 3, "Determining the Current State of Your IT Infrastructure," in this guide.

Enterprise IT Challenges

این بانک برای کاهش هزینه ها و بالا بردن راندمان کار مواردی که در زیر مشاهده می کنید را انجام داد:

 
  • Diversify into new markets through mergers and acquisitions.

گوناگون ساختن مراکز فروش ازطریق ادغام واحد های کوچک با یکدیگر .

  • Exceed customer satisfaction.

فراتر از رضایت مشتری عمل کردن یا در حد آن تلاش  کردن .

  • Improve employee productivity.

استخدام  کارمندانی که موجب بهره وری شوند

  • Improve processes and operations.

بهبود بخشیدن به فرایند کار

  • Provide a secure environment.

ایجاد محیط امن

 

اما در بخش IT  نیز تغییراتی انجام داده که در زیر بررسی می کنیم .

اول کاهش  هزینه ها در بخش IT .

دوم  سرمایه گذاری برای بخش IT که وجود دارد .

سوم ساختن یک زیربنای خوب و سریع الانتقال برای شبکه IT.

و موارد دیگر..

Reduce the overall cost of IT.
Reduce operational costs; improve manageability and reduce the cost of management; reduce the number of servers in the environment; and consolidate heterogeneous applications and services onto single servers.
Capitalize on existing IT investments.
Create an agile IT infrastructure.
Increase the return on investment.
Increase utilization.
Improve availability and reliability.
Exploit new hardware platforms.
Ensure that employees, partners, and customers operate in the most secure environment.
Deliver the ability to have service level agreements (internally and externally).
Increase business agility by providing meaningful real-time access to information from everywhere.
IT Organization Profile

اگرچه در شبکه Woodgrove  Bank  از Windows و Unix استفاده می شود اما زیربنای شبکه بر مبنای سیستم های Windows طراحی شده و به آن متکی است.

They have a total of 1,712 Windows – based servers, most of which are running Windows 2000 or later:
File and print servers                   785
Web servers                               123
Infrastructure servers                  476
Microsoft Exchange servers          98
Microsoft SQL Server™ servers    73
Development servers                  73
Monitoring servers                      33
Other (Lotus Notes, Oracle)         51

The majority of servers are located in the three corporate headquarter locations (New York, London, and Tokyo).

PC Environment

در این بانک هر کارمند یک PC حداقل دارد که بالای 17,000 سیستم به شبکه این بانک متصل می باشد که تشکیل شده از سیستم های ثابت و Mobile که

15% آنها  سیستم های Mobile می باشد و 85% انها سیستم های ثابت می باشد .

و 95% سیستم ها Intel Base می باشند و سیستم Windows بر روی آنها نصب می باشد.

بقیه سیستم ها یا Mac می باشند یا Unix Base .

System and Management Architecture Overview

این بانک دارای چندین بخش IT Zone در سرتاسر جهان می باشد که در شکل زیر مشاهده می کنید.

یک Zone Datacenter و دو hub location و دو Satellite office  و یک Perimeter Network برای سرویس دهی به Remote Users

Figure 1.2 The Woodgrove Bank centralized IT management model

Figure 1.2 The Woodgrove Bank centralized IT management model

Directory Service

شکل و نوع طراحی Forest را در این شبکه بزرگ در Figure 1.3 مشاهده می کنید .

در شکل زیر مشاهده می کنید که از دو Forest استفاده شده که دومی برای Perimeter Network می باشد .

Figure 1.3 The Woodgrove Bank directory service design

Figure 1.3 The Woodgrove Bank directory service design

The perimeter forest uses the single forest domain model, which is sufficient for management of perimeter servers. Replication requirements are minimal in the perimeter, so there is no need to provide replication boundaries or use the multiple regional domain model to segment the forest. It is crucial to note that Woodgrove chose this design for management of the perimeter servers only. If user accounts were placed in the perimeter and the perimeter was in multiple locations, a different domain design would have been required.

The internal forest is based on a multiple regional domain model. Woodgrove created three regional domains: Americas, Europe, and Asia. In addition, Woodgrove implemented a dedicated forest root to manage the forest level functionality. This model provides a means of managing the replication topology as well as delegating administration of domain level autonomy to each region.

Site topology for Woodgrove Bank is divided into three regional areas: Americas, Europe, and Asia (Asia Pacific). New York, London, and Tokyo are the central hubs to the entire topology.

The designers at Woodgrove Bank chose to go with an organizational unit (OU) design that is primarily object – based. The OU structure is replicated in its entirety in each of the regional domains, and a subset of the OU structure is created in the forest root. Figure 3.2 in Chapter 3 of this guide provides a detailed diagram of the OU structure that Woodgrove Bank uses.

Perimeter forest از یک Forest استفاده کرده این کار موجب می شود که مدیریت یرورهای این بخش مجزا شود از دیگر قسمتهای شبکه .

Replication نیز بسیار کاهش می یابد .

Woodgrove Strategy for Server and Domain Isolation Rollout

در این بخش یک شبکه ای را که برای Test کردن هدفهای بانک در نظرگرفته شده را مشاهده می کنید

مواردی در نظر می باشد که اجرایی شود اول در این شبکه تست شده و بعد نتیجه مطلوب آن اجرایی می شود .

Figure 1.4 Woodgrove Bank Pilot design

Figure 1.4 Woodgrove Bank Pilot design

This diagram shows the subset of computers that were used in the Woodgrove Bank scenario to test the scenarios that this guide presents. The goal of the proof-of-concept project was to provide enough diversity in the lab design to ensure that the solution functioned as expected, while avoiding impact to production servers and the company users.

The examples provided throughout this guide are based on the findings of the pilot design infrastructure illustrated in Figure 1.4.

Note: Because isolation changes many aspects of computer networking, Microsoft strongly recommends testing each isolation scenario in a lab environment first to avoid impact to production environments. IT administrators should review chapters 6 and 7 for supportability issues, operational procedures, and troubleshooting.

After a successful lab implementation project, a group of servers were identified to implement a basic server isolation scenario. These servers are ones that have low business impact if connectivity is affected. The IT administrators and support staff were trained in troubleshooting techniques. These servers were carefully monitored for performance and support call impact. Organizational management roles, processes, and support methods were tested. Next, one of Woodgrove's smaller domains was chosen to pilot domain isolation. The impact of this domain-isolation project was minimized by using IPsec only for the network subnets where most of the domain members were located. Impact was further reduced by allowing non-IPsec communication when these domain members communicated with other computers not involved in the pilot. After completing these pilots, the project team had all the information it needed to create and implement a complete design for the entire organization.

Summary

This chapter provided an introduction to logical isolation and explained how server and domain isolation can be used to create an enterprise level solution using IPsec and Group Policy. In addition, this chapter provided an executive overview and a brief description of each chapter within this guide. From this information it is possible to understand what this solution will provide to your organization, where it will fit within a typical IT infrastructure, and what skills will be required to make the solution a success.

 

IPSec  Internet Protocol Security (IPSec) ver 4

LastUpdate:2005/11/25

Chapter 1: Introduction to Server and Domain Isolation  GO