机房服务器硬件配置方案样本
机房服务器硬件配置方案
一、入门级常规服务器硬配置方案:
备注: 作为WEB服务器, 首先要保证不间断电源, 机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器, 此服务器配置能胜基本的WEB请求服务, 如大量的数据交换, 文件读写, 可能会存在带宽瓶颈。
二、顶级服务器配置方案
备注:
1,系统支持Windows Server R2 Enterprise Edition、 Windows Server R2 Web Edition、 Windows Server R2 x64 Enterprise Edition、 Windows Server R2 x64 Standard Edition、 Windows Storage Server R2 Workgroup Edition
2,工作环境: 相对工作温度10℃-35℃, 相对工作湿度20%-80% 无冷凝, 相对存储温度-40℃-65℃, 相对湿度5%-95% 无冷凝
3,以上配置为统一硬件配置, 为DELL系列服务器标准配置, 参考价位¥13000
WEB 服务器软件配置和安全配置方案
一、系统的安装
1、按照Windows 安装光盘的提示安装, 默认情况下没有把IIS6.0安装在系统里面。2、 IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序———https://www.360docs.net/doc/455878155.html,( 可选)
|——启用网络 COM+ 访问( 必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器( 必选)
|——公用文件( 必选)
|——万维网服务———Active Server pages( 必选)
|——Internet 数据连接器( 可选)
|——WebDAV 发布( 可选)
|——万维网服务( 必选)
|——在服务器端的包含文件( 可选)
然后点击确定—>下一步安装。
3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统。
5、安装常见的软件
例如: 杀毒软件、解压缩软件等; 安装之后用GHOST再次备份系统。
二、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和SYSTEM 的完全控制权限
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、 cmd.exe、 net.exe、 net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统: 只有Administrators组、其它全部删除。
经过终端服务拒绝登陆: 加入Guests、 User组
经过终端服务允许登陆: 只加入Administrators组, 其它全部删除
C、本地策略——>安全选项
交互式登陆: 不显示上次的用户名启用
网络访问: 不允许SAM帐户和共享的匿名枚举启用
网络访问: 不允许为网络身份验证储存凭证启用
网络访问: 可匿名访问的共享全部删除
网络访问: 可匿名访问的命全部删除
网络访问: 可远程访问的注册表路径全部删除
网络访问: 可远程访问的注册表路径和子路径全部删除
帐户: 重命名来宾帐户重命名一个帐户
帐户: 重命名系统管理员帐户重命名一个帐户
3、禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 系统上面默认启动的服务中禁用的, 默认禁用的服务如没特别需要的话不要启动。
4、启用防火墙
桌面—>网上邻居—>( 右键) 属性—>本地连接—>( 右键) 属性—>高级—>( 选中) Internet 连接防火墙—>设置
把服务器上面要用到的服务端口选中
例如: 一台WEB服务器, 要提供WEB( 80) 、 FTP( 21) 服务及远程桌面管理( 3389) 在”FTP 服务器”、”WEB服务器( HTTP) ”、”远程桌面”前面打上对号
如果你要提供服务的端口不在里面, 你也能够点击”添加”铵钮来添加, 具体参
数能够参照系统里面原有的参数。
然后点击确定。注意: 如果是远程管理这台服务器, 请先确定远程管理的端口是否选中或添加。
三、 Windows 安全配置
■.确保所有磁盘分区为NTFS分区
■.操作系统、 Web主目录、日志分别安装在不同的分区
■.不要安装不需要的协议, 比如IPX/SPX, NetBIOS?
■.不要安装其它任何操作系统
■.安装所有补丁( 用瑞星安全漏洞扫描下载)
■.关闭所有不需要的服务
* Alerter (disable)
* ClipBook Server (disable)
* Computer Browser (disable)
* DHCP Client (disable)
* Directory Replicator (disable)
* FTP publishing service (disable)
* License Logging Service (disable)
* Messenger (disable)
* Netlogon (disable)
* Network DDE (disable)
* Network DDE DSDM (disable)
* Network Monitor (disable)
* Plug and Play (disable after all hardware configuration)
* Remote Access Server (disable)
* Remote Procedure Call (RPC) locater (disable)
* Schedule (disable)
* Server (disable)
* Simple Services (disable)
* Spooler (disable)
* TCP/IP Netbios Helper (disable)
* Telephone Service (disable)
■. 帐号和密码策略
1) 保证禁止guest帐号
2) 将administrator改名为比较难猜的帐号
3) 密码唯一性: 记录上次的 6 个密码
4) 最短密码期限: 2
5) 密码最长期限: 42
6) 最短密码长度: 8
7) 密码复杂化(passfilt.dll): 启用
8) 用户必须登录方能更改密码: 启用
9) 帐号失败登录锁定的时限: 6
10) 锁定后重新启用的时间间隔: 720分钟
■.保护文件和目录
将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制, 限制everyone的写权限, 限制users组的读写权限■.注册表一些条目的修改
1) 去除logon对话框中的shutdown按钮
将HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\Current Version\Winlogon\中
ShutdownWithoutLogon REG_SZ 值设为0
2) 去除logon信息的cashing功能
将HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\Current Version\Winlogon\中
CachedLogonsCount REG_SZ 值设为0
4) 限制LSA匿名访问
将HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\LSA中
RestriCanonymous REG_DWORD 值设为1
5) 去除所有网络共享
将HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\LanManServer\Parameters\中
AutoShareServer REG_DWORD 值设为0
四、 IIS的安全配置
■.关闭并删除默认站点:
默认FTP站点
默认Web站点
管理Web站点
■.建立自己的站点, 与系统不在一个分区, 如
D:\wwwroot3.建立 E:\Logfiles 目录, 以后建立站点时的日志文件均位于此目录, 确保此目录上的访问控制权限是: Administrators( 完全控制) System( 完全控制)
■.删除IIS的部分目录:
IISHelp C:\winnt\help\iishelp
IISAdmin C:\system32\inetsrv\iisadmin
MSADC C:\Program Files\Common Files\System\msadc\
删除 C:\\inetpub
■. 删除不必要的IIS映射和扩展:
IIS 被预先配置为支持常见的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时, 该调用由 DLL 处理。如果您不使用其中的某些扩展或功能, 则应删除该
映射, 步骤如下:
选择计算机名, 点鼠标右键, 选择属性:
然后选择编辑
然后选择主目录, 点击配置
选择扩展名 \.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\, 点击删除
如果不使用server side include, 则删除\.shtm\ \.stm\ 和 \.shtml\
■. 禁用父路径 :
”父路径”选项允许您在对诸如 MapPath 函数调用中使用”..”。在默认情况下, 该选项
处于启用状态, 应该禁用它。
禁用该选项的步骤如下:
右键单击该 Web 站点的根, 然后从上下文菜单中选择”属性”。
单击”主目录”选项卡。
单击”配置”。
单击”应用程序选项”选项卡。
取消选择”启用父路径”复选框。
■. 在虚拟目录上设置访问控制权限
主页使用的文件按照文件类型应使用不同的访问控制列表:
CGI (.exe, .dll, .cmd, .pl)
Everyone (X)
Administrators( 完全控制)
System( 完全控制)
脚本文件 (.asp)
Everyone (X)
Administrators( 完全控制)
System( 完全控制)
include 文件 (.inc, .shtm, .shtml)
Everyone (X)
Administrators( 完全控制)
System( 完全控制)
静态内容 (.txt, .gif, .jpg, .html)
Everyone (R)
Administrators( 完全控制)
System( 完全控制)
在创立Web站点时, 没有必要在每个文件上设置访问控制权限, 应该为每个文件类型创立一个新目录, 然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
例如, 目录结构可为以下形式:
D:\wwwroot\myserver\static (.html)
D:\wwwroot\myserver\include (.inc)
D:\wwwroot\myserver \script (.asp)
D:\wwwroot\myserver \executable (.dll)
D:\wwwroot\myserver\images (.gif, .jpeg)
■. 启用日志记录
确定服务器是否被攻击时, 日志记录是极其重要的。
应使用 W3C 扩展日志记录格式, 步骤如下:
打开 Internet 服务管理器:
右键单击站点, 然后从上下文菜单中选择”属性”。
单击”Web 站点”选项卡。
选中”启用日志记录”复选框。
从”活动日志格式”下拉列表中选择”W3C 扩展日志文件格式”。
单击”属性”。
单击”扩展属性”选项卡, 然后设置以下属性:
* 客户 IP 地址
* 用户名
* 方法
* URI 资源
* HTTP 状态
* Win32 状态
* 用户代理
* 服务器 IP 地址
* 服务器端口
五、删除Windows Server 默认共享和禁用IPC连接
IPC$(Internet Process Connection)是共享”命名管道”的资源, 它是为了让进程间通信而开放的命名管道, 经过提供可信任的用户名和口令, 连接双方计算机即能够建立安全的通道并以此通道进行加密数据的交换, 从而实现对远程计算机的访问。它是Windows NT/ /XP/ 特有的功能, 但它有一个特点, 即在同一时间内, 两个IP之间只允许建立一个连接。NT/ /XP/ 在提供了ipc$功能的同时, 在初次安装系统时还打开了默认共享, 即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些, 微软的初衷都是为了方便管理员的管理, 但也为简称为IPC入侵者有意或无意的提供了方便条件, 导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具, 在命令行里键入相应的命令就能够了, 不过有个前提条件, 那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接: net use\ipipc$ password /user:usernqme。我们能够经过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子
键, 将其值改为1即可禁用IPC连接
六、清空远程可访问的注册表路径
大家都知道, Windows 操作系统提供了注册表的远程访问功能, 只有将远程可访问的注册表路径设置为空, 这样才能有效的防止黑客利用扫描器经过远程注册表读取计算机的系统信息及其它信息.
打开组策略编辑器, 依次展开”计算机配置→Windows 设置→安全设置→本地策略→安全选项”, 在右侧窗口中找到”网络访问: 可远程访问的注册表路径”, 然后在打开的窗口中, 将可远程访问的注册表路径和子路径内容全部设置为空即可( 如图7) 。
七、关闭不必要的端口
对于个人用户来说安装中默认的有些端口确实是没有什么必要的, 关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口, 在安装了TCP/IP 协议的同时, NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享; 网上黑客也可经过NetBIOS知道你的电脑中的一切! 在以前的Windows版本中, 只要不安装Microsoft网络的文件和打印共享协议, 就可关闭139端口。但在Windows Server 中, 只这样做是不行的。如果想彻底关闭139端口, 具体步骤如下:
鼠标右键单击”网络邻居”, 选择”属性”, 进入”网络和拨号连接”, 再用鼠标右键单击”本地连接”, 选择”属性”, 打开”本地连接属性”页( 如图8) ,
然后去掉”Microsoft网络的文件和打印共享”前面的”√”( 如图9) ,
接下来选中”Internet协议(TCP/IP)”, 单击”属性”→”高级”→”WINS”, 把”禁用TCP/IP上的NetBIOS”选中, 即任务完成(如图10)!
对于个人用户来说, 能够在各项服务属性设置中设为”禁用”, 以免下次重启服务也重新启动, 端口也开放了。
假如你的电脑中还装了IIS, 你最好重新设置一下端口过滤。步骤如下: 选择网卡
属性, 然后双击”Internet协议(TCP/IP)”, 在出现的窗口中单击”高级”按钮, 会进入”高级TCP/IP设置”窗口, 接下来选择”选项”标签下的”TCP/IP 筛选”项, 点”属性”按钮, 会来到”TCP/IP 筛选”的窗口, 在该窗口的”启用TCP/IP筛选(所有适配器)”前面打上”√”, 然后根据需要配置就能够了。如果你只打算浏览网页, 则只开放TCP端口80即可, 因此能够在”TCP端口”上方选择”只允许”, 然后单击”添加”按钮, 输入80再单击”确定”即可
八、杜绝非法访问应用程序
Windows Server 是一种服务器操作系统, 为了防止登陆到其中的用户, 随意启动服务器中的应用程序, 给服务器的正常运行带来不必要的麻烦, 我们很有必要根据不同用户的访问权限, 来限制。
她们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置, 即可实现这一目的, 具体步骤如下:
打开”组策略编辑器”的方法为: 依次点击”开始→运行”, 在”运行”对话框中键入”gpedit.msc”命令并回车, 即可打开”组策略编辑器”窗口。然后依次打开”组策略控制台→用户配置→管理模板→系统”中的”只运行许可的Windows应用程序”并启用此策略.
然后点击下面的”允许的应用程序列表”边的”显示”按钮, 弹出一个”显示内容”对话框, 在此单击”添加”按钮来添加允许运行的应用程序即可
九、设置和管理账户
1、系统管理员账户最好少建, 更改默认的管理员帐户名(Administrator)和描述, 密码最好采用数字加大小写字母加数字的上档键组合, 长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号, 为其设置最小的权限, 然后随便输
入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述, 然后输入一个复杂的密码, 当然现在也有一个DelGuest的工具, 可能你也能够利用它来删除Guest账户, 但我没有试过。
4、在运行中输入gpedit.msc回车, 打开组策略编辑器, 选择计算机配置-Windows 设置-安全设置-账户策略-账户锁定策略, 将账户设为”三次登陆无效”, ”锁定时时间间隔60分钟”, ”复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将”不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将”从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了https://www.360docs.net/doc/455878155.html,还要保留Aspnet账户。
7、创立一个User账户, 运行系统, 如果要运行特权命令使用Runas命令。
十、网络服务安全管理
1、禁止C$、 D$、 ADMIN$一类的缺省共享
2、解除NetBios与TCP/IP协议的绑定
3、关闭不需要的服务, 以下为建议选项
Computer Browser:维护网络计算机更新, 禁用
Distributed File System: 局域网管理共享文件, 不需要禁用
Distributed linktracking client: 用于局域网更新连接信息, 不需要禁用
Error reporting service: 禁止发送错误报告
Microsoft Serch: 提供快速的单词搜索, 不需要可禁用
NTLMSecuritysupportprovide: telnet服务和Microsoft Serch用的, 不需要禁用PrintSpooler: 如果没有打印机可禁用
Remote Registry: 禁止远程修改注册表
Remote Desktop Help Session Manager: 禁止远程协助
十一、打开相应的审核策略
在运行中输入gpedit.msc回车, 打开组策略编辑器, 选择计算机配置-Windows设置-安全设置-审核策略在创立审核项目时需要注意的是如果审核的项目太多, 生成的事件也就越多, 那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件, 你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件成功失败
账户登录事件成功失败
系统事件成功失败
策略更改成功失败
对象访问失败
目录服务访问失败
特权使用失败
十二、其它安全相关设置
1、隐藏重要文件/目录
2、启动系统自带的Internet连接防火墙, 在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
4. 禁止响应ICMP路由通告报文
5. 防止ICMP重定向报文的攻击
6. 不支持IGMP协议
7、禁用DCOM:
十三、配置 IIS 服务:
1、不使用默认的Web站点, 如果使用也要将将IIS目录与系统磁盘分开。
2、删除IIS默认创立的Inetpub目录( 在安装系统的盘上) 。
3、删除系统盘下的虚拟目录, 如: _vti_bin、 IISSamples、 Scripts、 IIShelp、IISAdmin、 IIShelp、 MSADC。
4、删除不必要的IIS扩展名映射。
右键单击”默认Web站点→属性→主目录→配置”, 打开应用程序窗口, 去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击”默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是能够使用iislockdown来保护IIS, 在运行的IE6.0的版本不需要。
7、使用UrlScan
但如果你在服务器运行https://www.360docs.net/doc/455878155.html,程序, 并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件, 然后在UserAllowVerbs节添加debug谓词, 注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码, 你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后, 你需要重启IIS服务才能生效, 快速方法运行中输入iisreset
如果你在配置后出现什么问题, 你能够经过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
十四、配置Sql服务器
1、 System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户, 为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell: 是进入操作系统的最佳捷径, 删除
访问注册表的存储过程, 删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程, 不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性, 选择隐藏 SQL Server 实例, 并改原默认的1433端口。
十五、如果只做服务器, 不进行其它操作, 使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口, 第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源
地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创立IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器, 点击指派, 不需要重启, IPSec就可生效.
十七、如何配置一台坚固安全的win 服务器
1)确定你要用它来干什么, 需要开什么服务, 什么是不必要的, 没用地就别装(像Index什么的), 不必要的服务全都能够关掉。
在控制面版=>管理=>工具中, 自己看着办, 如下服务是一定要禁止的:
Remote Registry Service
RunAs Service
Task Scheduler
Telnet
Windows Time
其它不必要的服务能够设为手动方式。
SNMP Service和SNMP Trap Service最好也关掉, 要用的话, 把管理公共字改掉。
2)打补丁。
确定你打上了Win2k SP2;
3)IIS配置。
1, 在IIS管理器中, 去处所有不必要的扩展关联(基本上除了ASP/ASA等几个必要的和CGI之类的外, 其它都能够去掉) 有可能的话, 能够安装一个SecureIIS, 还是有一定效果的。
2, 校验ftp权限, 差不多就自己看着办吧, 不要被人家tag就能够了~_*
4)MSSQL。
首先, 记得一定要加一个难记得密码, 不然就什么都完了。
然后记得升级SQL 7.0 SP2和SQL 2k SP1.
5)Terminal Server。
打了SP2基本就没太大问题, 只要你的系统不是没密码..........
高级部分:
1)类防火墙限制。
这需要我们打开MS的IPSEC服务, 然后选择网络设置=>网络界面属性=> TCP/IP =>高级 =>选项
简单一点的话, 就用TCP/IP筛选, 确定指开放那些端口, 比如80, 1433等等(可惜开放ftp服务的话, 经常会乱开端口的, 难以确定);
要求高级的话, 自己定义一个IPSEC策略, 能够精确的过滤例如某种ICMP类型等等...能够做到水泄不通哦, 不要到时候你自己也进不去了就好~_*
2)NetBIOS设置。
历史以来, netbios是仅次于IIS的winnt安全问题最多的服务, 简直就是后门打开。至少做这样一条设置: 注册表编辑
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1 能够禁止IPC$空用户连接, 防止信息泄漏和其它更严重的安全问题。
3)Terminal Server加强。
注册表编辑: HKEY_LOCAL_ MACHINESOFTWAREMicrosoft\ WindowsNT\CurrentVersion \Winlogon\Don‘t Display Last User Name=1
能够让别人在ts中看不到你上次登录的用户名, 有安全了一点点(记住, 别人获取你的信息越少, 你就越安全)
4)系统文件目录权限检查。
基本的策略, 能够在文件属性中修改, 避免有everyone完全控制的目录, 大部分文件最好禁止everyone写, 甚至读。
对于系统的重要文件和目录, 例如system32等等, 能够用Win2k Resouece Kit中的一个工具xacls详细的加强访问控制。
5)预防信息监测和DOS 攻击
必要的话, 打开RSAS或者自己添加一个IPSEC安全策略, 过滤掉ICMP Echo和Redrict 类型, 这样别人ping你就不会有反映, 而如果ping不通的话, 可能别人就此罢手了~_* 而且缺省配置下, 很多的漏洞扫描器ping不通就不扫了, 西西。(当然啦, 如果你有更强的防火墙, 哪就更好)
一定程度的DoS预防:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值能够帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
十八、 Win 中提高FSO的安全性
ASP提供了强大的文件系统访问能力, 能够对服务器硬盘上的任何文件进行操作, 这给
模块化机房建设方案
吉林省某电子认证服务有限公司机房建设方案 2017年10月
正文目录 1 概述 (3) 2 总体设计 (4) 2.1总体设计概况 (4) 2.2总体设计规划 (4) 2.3机房平面布局图 (5) 2.3.1 机房平面图 (5) 3 建设内容 (5) 3.1供配电系统 (5) 3.1.1 供电电源 (5) 3.1.2 电源分类 (6) 3.1.3 插座 (7) 3.1.4 电缆(电线) (7) 3.1.5 UPS (7) 3.1.6 UPS后备电池 (7) 3.2空调制冷系统 (8) 3.2.1 送风方式的选择 (8) 3.2.2 空调负荷计算方法 (8) 3.2.3 制冷方式的选择 (10) 3.2.4 自热冷节能技术 (11) 3.2.5 空调机组的安装 (13) 3.3新风系统 (15) 3.3.1 新风量计算 (15) 3.3.2 新风系统设计 (15) 3.3.3 动力环境监控系统 (23) 3.4机房综合布线系统 (28) 3.5辅助照明系统 (28) 3.5.1 辅助照明需求 (28) 3.5.2 辅助照明方案 (28)
1概述 吉林省某电子认证服务有限公司机房建设工程的机房建设位置位于大楼第16层,机房面积约123平方米,根据功能区别将机房划分为3个区域:监控区,用于人员监控机房及负责人员出入检查。模块化机房区:部署网络、服务器等设备机柜及配电、UPS供电区域。屏蔽机房区:CA核心设备区域。 我们针对某电子认证服务有限公司(以下简称“某公司”)机房建设的需求,全面、综合考虑了各种因素,充分展现了先进、完善、可靠的保障技术,完全能够满足机房系统以及工作人员对机房环境的温度、湿度、洁净度、风速度、电磁场强度、电源质量、噪音、照明、振动、防火、防盗、防雷和接地等要求。确保计算机系统充分发挥其功能、延长设备使用寿命,保证电子计算机等网络设备能够安全、可靠运行;满足工作人员操作过程的灵活、安全和方便等性能特点。 机房建设遵循较为先进、实用高效、安全可靠、节能环保的设计理念,不仅要达到国家《电子信息系统机房设计规范》[GB50174-2008] 和《电子计算机场地通用规范》(GB/T2887-2000) 规定的机房要求标准进行设计建设。同时满足国家相关消防要求。可以满足某公司当前及未来发展对机房实体环境的需求。 总体设计方案保证安全可靠,确保系统安全可靠的运行。保证计算机机房工作人员的身心健康,延长机房内各系统的使用寿命。通过采用优质产品和先进工艺,为网络信息、计算机设备、以及工作人员创造一个安全、可靠美观、舒适的工作场地。
NC硬件配置方案
NC 硬件配置方案 一、需求分析 电信实业目前将开设100 家左右的门店,每个门店都将访问总部的服务器。将业务数据传至总部服务器,以做分析统之用。估算将会有150 个并发访问服务。这也对服务器的性能配置提出了要求。但我们又是以什么为原则来对服务器配置进行选行的,又如何选到合适的配置机器而不造成资料浪费,又可保证服务器设备拥有一定保值期。下面我就这方面给于说明。首先,讲述一下对服务器性能需求的评估方法,然后对服务器的存储需求、内存需求、网络带宽需求分析做出论述。 、服务器硬件配置需求推算原理 服务器性能评估工式:TPM = Num X X X 80%X Z X m X F/(Y X 60 X 60%)。工式原理如下所述: NC 主要业务分析: 1、财务日常操作 总凭证录入― 5 次远程调用,重量级别 4 ;10条sql,重量级别1 应用服务器压力值:20 数据库服务器压力值:10 帐表查询― 3次远程调用,重量级别 4 ;10条sql,重量级别4 应用服务器压力值:12 数据库服务器压力值:40 收付:单据录入―5次远程调用,重量级别4; 10条sql,重量级别2 应用服务器压力值:20 数据库服务器压力值:20 2:供应链日常操作 库存/销售/订单等单据录入:5次远程调用,重量级别4; 10条sql,重量级别2 应用服务器压力值:20 数据库服务器压力值:20 库存/销售/订单等汇总查询:3次远程调用,重量级别4;10条sql,重量级别5 应用服务器压力值:12 数据库服务器压力值:50 可以看到,单据录入操作相当于基准测试的12-20;而汇总表查询操作在数据库端相当于 基准测试的40-50。 3:重量级操作(如iufo 计算,月末结帐,存货计算,成本计算等) 以报表为例,报表计算――10行X 10列二100个单元格(二100次远程调用),函数公式平均重量级别5;一次远程调用对应 3 条计300 条sql 语句,重量级别为1。 应用服务器压力值:500 数据库服务器压力值:300 报表计算则基本上属于OLAP 事务了,因此其重量值远远高于单据录入操作。 计算公式: NC的应用不完全是OLTP事务处理,还包含了相当一部分的OLAP事务处理;因此其评估不能完全按照标准的TPC-C 方式,需要进行多方面的综合考虑。1:按在线人数综合业务
服务器配置方案v1.1
服务器配置方案
目录 服务器配置方案 (1) 第一章引言 (3) 1.1.编写目的 (3) 1.2.项目背景 (3) 第二章系统网络拓扑结构 (4) 第三章硬件需求 (6) 第四章软件需求 (7) 第五章网络需求 (8) 第六章云环境租用说明 (8)
第一章引言 1.1.编写目的 该文档针对工程造价类项目管理信息系统(以下简称项目管理系统)的实际情况,提出其服务器配置方案。方案的制定本着满足用户实际需要并降低资金投入的原则,需要满足从硬件、网络、软件、安全等方面进行阐述,提供主推方案和备选方案,以便用户根据自身特点进行决策。 1.2.现状和目标 工程造价类项目管理信息系统建设的主要目的是:建立对造价项目的全生命周期管理,包括从项目的启发到项目的后评估,对项目的各里程碑阶段提供信息化支撑手段;统一管理造价项目的各类信息,做到安全存储、有效统计、有效分析;实现造价项目相关流程的信息化,提高流程的流转效率,降低因纸质流程所带来的效率低下和非增值工作的浪费。因此系统的运行需要满足以下目标: 用户在内外网均可访问:公司的员工可以在公司局域网和Internet上均能够访问使用系统; 高可用性:当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会迅速的自动启动并运行(一般为2分钟左右),从而保证整 个系统的正常运行。 扩展性:整个网络以及硬件环境须具有可扩展性,满足公司用户能正常流畅的实用系统。比如存储能能扩展满足日益增长公司业务需求等。 项目管理系统适用于以项目管理为主线贯穿销售、人资、客服等环节业务的管理。用户范围包括造价项目相关的所有人员,目前公司员工240多人,预计在2015年员工总人数达到300人以上,因此系统实用规模预计支持在线用户200人,并发用户50人。 公司目前硬件环境如下:
中心机房建设设计方案
医院 中心机房建设设计方案 *** 医院 2012 年7 月 一设计总则
1 设计思想 随着计算机事业的发展和计算机技术的广泛应用,怎样确保计算机设备的正常运行,怎样给从事计算机操作的工作人员创造良好的工作环境,这个问题越来越被人们所重视。计算机设备不同于其它的机器设备,不同的计算机系统对运行环境有不同的要求。一般的大、中、小型计算机都要求安装信息在一个专用的机房里。机房环境除必须满足计算机设备对温度、湿度和空气洁净度、供电电源的质量(电压、频率和稳定性等) 、接地地线、电磁场和振动等项的技术要求外,还必须满足在机房中工作人员对照明度、空气的新鲜度和流动速度、噪声的要求。计算机属于贵重精密设备,它用于重要部门时,又属于关键和脆弱的工作中心。因此,它又常常是安全保卫的重点。机房对消防、安全保密也有较高的要求。我们在设计、施工及验收中严格执行以下规范: 2 设计依据 “建筑与建筑综合布线系统工程设计规范” (CECS72:97) “计算机场地技术条件” (GB2887-89) “计算机场地安全要求” (GB9361-88) 《证券经营机构信息系统技术管理规范》《建筑与建筑综合布线系统工程设计规范》(CECS72:97) 《计算机场地技术条件》(GB2887-89) 《计算机场地安全要求》(GB9361-88) 《电子计算机机房设计规范》 《计算机机房活动地板技术条件》《建筑防雷设计规范》 《工业企业照明设计标准》《计算机机房的建设与管理》《建筑内部装修设计防火规范》《火灾自动报警系统设计规范》《计算机机房施工及验收规章制范》《证券经营机构信息系统技术管理规范》 3 设计目标 ⑴ 安全可靠性 机房系统工程重点必须注意安全性要点,包括信息安全、人员和设备安全两个方面。这涉及到进出入管理,防火、防水、防雷击、防静电以及供配电安全和安全出口等诸多方面,因此,在机房设计中把安全性原则放在第一重要的位置上。保证各个环节都安全可靠。 ⑵ 科学系统性机房的设计从多元系统的角度来考虑。现代化机房不只是一个简单设备摆放的场所,而是由动力供配系统(UPS电源、市电电源)、综合监控系统(安保监控、设备监控)、独立空调系统(新风、除尘、湿度、防露)、消防系统 (消防报警、)、专用地线系统,结构装饰系统等多个系统组成的综合主机、网络、UPS等设备的稳定、可靠、安全运行,综合考虑监控机房各单元系统间运行的系统性。
高性能服务器软硬件配置方案
高性能服务器硬件配置方案 资料来源于金牌小说网https://www.360docs.net/doc/455878155.html, 這一個章節主要是要描述我們測試的硬體環境、Linux 版本、所需安裝的軟體和硬體切割資訊,並且讓 你可以透過這份文件,輕而易舉的建立測試環境。 Hardware 有關於硬體的部分,表格中的資訊是我們所架設的硬體環境,错误!未指定书签。當然,你不需要和 我們一樣使用同一系統的主機板來進行測試。 表1. 硬體資訊。 Software错误!未指定书签。Requirement 目前是使用Fedora Core 5的作業系統,目前我我送測的RPM 檔案只支援Fedora Core 5的作業系 統,如果需要支援其他的版本,則需要重新編譯和製作RPM 檔案。
?表2. 軟體資訊。 Space Requirement 表 3 和表4是我們透過安裝作業系統時,使用自動格式化的選項,來進行格式化硬碟;當然,你也 是可以使用手動的方式,進行規劃硬碟的空間。 ?表3. 硬碟分割資訊。 错误!未指定书签。 ?表4. LVM硬碟分割資訊。
Fedora Core 5 (DVD)错误!未指定书签。 在這份文件中不會多加描述如何安裝Fedora Core 5,詳細的安裝步驟可以參考『鳥哥的Linux 私房 菜』(網;址:https://www.360docs.net/doc/455878155.html,/linux_basic/0156installfc4.php)。 所需要的軟體套件,請參考「表 2. 軟體資訊」。 硬碟的格式化可以參考「表 3.硬碟分割資訊」「表 4. LVM硬碟分割資訊」。 對於防火牆的設定部份,這裡將會採取『無防火牆』和『停用SELinux』,主要是要避免一些可能造 成我們Linux 作業系統安全問題的軟體的破壞,某些服務可能會因為這個較為嚴密的安全機制,而導 致無法提供連線的問題,或者無法進行資料存取的問題,所以,暫時也將他關閉。 COMMAND FOR MOUNTING/UNMOUNT DVD 错误!未指定书签。 雖然我們在安裝作業系統時,有選擇我們所需要的軟體套件,但仍然有些的套件是在預設的狀態下是 不會被選取到的,所以我們會需要一些基本的指令,來進行掛載Fedora Core 5 DVD 光碟片,詳細的 指令如下: 1. 建立DVD掛載目錄 2. 掛載DVD 3. 卸載DVD
开封某公司一体化机房项目设计方案
开封某公司一体化机房项目设计方案 第一章设计总则 一、设计理念 1) 充分把握“一体化机房”的设计理念,将智能化科技成果和环境艺术完美的结合起来。 2) 以建设一个“绿色、环保、舒适”的现代化机房为使命,使我们不论在材料筛选,设备选型还是工艺的选择都体现出我公司对客户的无微不至的关爱。 3) “人性化、科学化、合理化”的设计思想贯穿着整个方案,充分体现人与自然的和谐统一。 4) 将整体机房“一站式服务”的特色呈现给我们的客户,让您在放心使用机房的同时更能享受我们特色服务带来的便捷。 二、设计原则 通用性 本系统的设计符合国家设计标准。主要参考的国家标准和规范详见1.2 节。可靠性设备具有良好的电磁兼容性和电气隔离性能,不影响其他设备正常工作;交流配电供电能统筹设计保证主设备的不间断供电; 稳定性 具有业界领先的技术、领先的制造和领先的品牌;严格的开发流程、出厂检验、来料质量控制最大程度的确保了产品的高稳定性; 安全性 符合高等级的抗扰度国际标准,工作安全可靠; 智能化设计系统主设备UPS空调、服务器电源管理系统、动力监控均采用智能化设
经济性 系统整体设计,可合理设计设备容量,减少设备成本;同时动力交流配电解决也降低了设备的额外成本,给后期设备维护带来一站式服务。 三、设计依据
以上参考依据仅为参考,如有国家新标准,请按照新标准执行 第—章机房总体设计 一、工程概述 **局机房总面积约50平米,设计规划有机房、电源室、监控室和值班室四个分区,UPS设备及配电区,监控室和值班室,设计服务器机柜4个。建 成后的机房达到GB50174-2008计算机机房建设规范C级机房要求。 二、工程范围 本次机房系统工程主要包括:机房装饰装修、供配电系统、空调新风系统、防雷接地系统、消防灭火系统、动环监控系统、综合布线系统、门禁系统、视频监控系统等。 1) 装修装饰系统:机房地面、天花板、内墙、隔断、门窗的改造设计; 2) 供配电系统:对机房动力、市电及UPS电源系统的设计; 3) 空调新风系统:精密空调制冷和新风换气系统设计 4) 防雷接地系统:机房电源防雷系统的设计,机房抗静电接地和逻辑接地系统的设计; 5) 消防灭火系统:对机房火灾报警和灭火系统的设计; 6) 视频监控系统:机房设备区及主要出入口图像监控的设计;
案例主要软硬件选型原则和详细软硬件配置清单
5.12主要软硬件选型原则和详细软硬件配置清单 5.12.1软硬件选型原则 软件选型原则:开放性,对称性与非对称处理,异种机互联能力,目录及安全服务的支持能力,应用软件的支持能力,网管能力,性能优化和监视能力,系统备份/恢复支持能力。 硬件选型原则:系统的开放性,系统的延续性,系统可扩展性,系统的互连性能,应用软件的支持,系统的性价比,生产厂商的技术支持,可管理性(同事管理多处工作,消除问题,智能管理的方法),远程管理,状况跟踪,预故障处理,性能监控,安全管理,可用性,磁盘故障,内存问题,容错性(冗余组件、自动服务器恢复,冗余网卡,冗余CPU电源模块,双对等PCI总线)及平台支持 5.12.2软硬件配置清单 参考《附表》中的项目软硬件配置清单。 5.13机房及配套工程建设方案 使用目前已经建设好并正在使用的机房,不需要重新建设。
3.4.2性能需求 3.4.1.2.1交易响应时间 交易响应时间指完成目标系统中的交互或批量业务处理所需的响应时间。 根据业务处理类型的不同,可以把交易划分为三类:交互类业务、查询类业务和大数据量批处理类业务,分别给出响应时间要求的参考值,包括峰值响应时间、平均响应时间。 1、交互类业务 日常交易指传统的大厅交互业务,如申报、发票销售、税务登记等,具有较高的响应要求。批量交易指一次完成多笔业务处理的交易,如批量扣缴等,由于批量交易的数据量不确定,需要根据具体的情况确定响应时间。 表3-1交易类业务复杂性与响应时间关系表
备注:以上交易如果涉及与税务-国库-银行或税务-银行-国库交互的,响应时间参考值中均包含交互的时间 2、查询类业务 如登记资料查询、申报表查询等。查询业务由于受到查询的复杂程度、查询的数据量大小等因素的影响,需要根据具体情况而定,在此给出一个参考范围。 如有特殊要求,可以在具体开发文档中单独给出响应时间要求。 表3-2查询类业务复杂性与响应时间关系表 备注:业务处理过程的交互操作的响应时间参见上面交互类业务的相关指标。 3、大数据量、批处理业务 如会计核算等业务处理,该类业务具有处理复杂、操作数据量大、处理时间长的特点,具体的响应时间在开发文档中给出。 3.4.1.2.2可靠性 系统应保证在正常情况下和极端情况下业务逻辑的正确性。 1、无单点故障 系统应不受任何单点故障的影响。
服务器部署方案
FMScms网站包含2个部分,即为客户端和服务端。 客户端:网站前台+网站后台 服务端:FMS直播软件和组件 FMS主播系统工作图解 FMS主播系统服务器架构以及硬件级宽带需求说明 FMS服务器安排需要两部分,WEB服务器以及FMS直播服务器,即为开始所说的用程序的2部分。 WEB服务器的作用是用来安装承载用户访问的客户端(网站或者移动端前台) FMS直播服务器的作用是用来接收处理并发布直播视频流 一般来说,WEB服务器的要求不高,普通的服务器或者云主机就可以满足需求,FMS服务器相对来说带宽要求较高,硬件要求:市面上配置不错的独立服务器即可满足,当然还是推荐SSD固态硬盘。 服务架构图
服务器架构方案一: FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100,数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值, 如果是利用FMS技术,要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出:100人 * 30k = 3000k 3000k ÷ 128k/M = 23.4M(约20M带宽) 如果网站的视频观众最高并发量时达到100人,就需要至少20M的带宽; 如果网站的视频观众最高并发量时达到1000人,就需要至少200M的带宽; 如果网站的视频观众最高并发量时达到5000人,就需要至少1000M的带宽; 推荐服务器: 服务器的配置重点在于带宽,根据市场了解G端口<1000M带宽>的服务器 推荐硬件配置 固态硬盘,大内存即可,CPU占用率相对较低,目前没有一定数量的真实用户,暂时不能测试出对服务器硬 件的消耗值,不过16G内存的服务器承载5000人同时观看直播。 服务器架构方案二:
机房设计方案
XXXX 信息管理中心机房建设方案
一、概述 本工程是XXXX数据中心机房,位于XX办公楼六楼。长7.5米,宽5.4米。层高3.9米,主梁下2.9米。南侧机房为网络中心机房,面积与数据中心机房相同。网络中心机房已装修完成,投标方只需要解决空调问题。 1.1机房概况 1.2主要工程项目: 1、计算机机房装饰工程
2、空调设备安装工程 3、门禁工程 4、电气安装工程 二.设计思想 XXXX数据中心机房工程建设是根据XXXX持续发展的长远战略,并围绕XXXX信息化系统实施的中心工作和信息化建设要求,建设一个布局合理、有现代感、功能完备、安全可靠、可持续发展、设施先进,绿色环保、投资合理的现代化数据中心机房,切实为主机服务器等设备提供一个安全、可靠、温湿度及洁净度均符合要求的运行环境,同时为相关工作人员提供方便、快捷、舒适的工作环境,并为管理人员提供安全、高效的管理手段。 三.设计原则 1)系统的整体性原则 所有的系统设计应在建设时统一规划。 2)系统的先进性与实用性相结合 在满足可靠性和实用性前提下,采用先进的技术和设备材料建设该机房。 3)系统的可靠性原则 对于各系统应采用高可靠性设计标准。应具备在现有条件下和规定时间内完成规定功能的能力;应具有长期可靠和稳定工作的能
力;并具有合理的容余能力及灾难备份能力,为信息应用系统的高可靠性目标要求提供匹配的基础环境设施条件。 4)系统的安全性原则 应具有完整的安全策略和切实可靠的安全手段来保障信息机房用户运行系统基础环境实施的安全。从防火、防水、防盗、接地、防雷、防电磁干扰、降噪等方面采取有效措施,并考虑地面承重能力等特殊技术措施。 5)系统的可管理性原则 各系统应具有较强的集中式管理加分布式实施的可管理性逻辑。 6)系统的灵活性及可扩展性 各系统应具有可持续发展的能力,并在系统上具有较大的灵活性。 7)工作的舒适性原则 机房内应提供良好的工作环境。首先,要保持空气新鲜、温度和湿度符合国家标准。同时需保证噪声能符合国家有关规定(1类建筑昼间低于55dB,夜间低于45dB)。 四.主要设计依据 1) 《电子信息场地通用规范》(GB/T-2887-2000) 2) 《电子信息系统机房设计规范》(GB 50174-2008) 3) 《建筑设计防火规范》(GBJ 50016-2006)
办公网络及硬件维护方案
办公网络及硬件维护方案 一、计算机网络系统现状 由于传统行业人员对计算机网络应用水平不高,应用不太普及不全面,计算机及网络系统的维护就更显重要,管理、维护的好坏直接影响工作业务的开展,而目前应用普遍存在的问题是: 1.缺乏规范管理;而导致维护及维修成本高,电子档案的无序管理使得单位资源的流失; 2.缺乏专业、专人管理,人工维护成本高,人员流动大,连续性差; 3.计算机、网络问题的管理维护随意性大,常常由于计算机、网络的问题,而影响正常业务的运行; 4.网络安全没有足够重视,网络病毒防范不强,互联网及局域网的隔离不够,直接将本单位资源裸露在互联网上; 5.资源备份意识不强,常常由于系统的损坏而导致重要文件丢失; 6.技术人员对新软件的应用水平参差不齐,经常性的本单位整体培训、交流不够。 7.与外部交流少,软硬件的发展应用不足等。 二、计算机网络大服务概念的时机成熟 我公司宗旨是为传统非IT的企事业单位提供专业计算机网络服务,为企事业单位提供专业化的、低成本高质量的标准化服务,公司经过对泰安高新区管委会等单位的行业服务实践,已为企事业单位提供了优质的计算机服务。 企事业单位有越来越强烈的服务需求: 1.单位人员的精减与流动,其计算机网络管理的连续性得不到保证,维护成本高; 2.计算机应用范围越来越大,维护、管理工作问题更加突出; 3.急需低成本、高效率、专业化、科学、安全、连续性强的网络化服务。 我公司计算机网络服务中心(其职能类似各单位的电脑室),最大好处是专业人员集中为整个企事业单位用户服务,其优势与特点是: 1.降低各单位维护管理成本,精简人员;
2.保证服务的连续性,不会应人员的流动给单位造成影响; 3.行业、专业、标准、快速、低成本的服务; 4.及时提供新技术服务与培训; 5.服务质量与连续性有行业保证。 三、计算机网络服务的维护方法与保障机制 (一)检查、更新、标准化 1.对客户需要新建计算机网络系统,我公司可提供设计、实施、维护等方案,直至单位满意; 2.如客户已有计算机网络系统,我公司将首先对现有硬件设备、网络系统全面检查,提出维护方案及存在的问题供客户参考,并统计备案; 3.为所有计算机、网络进行全面维护、升级,标准化工作; 4.为客户提供计算机专业知识咨询、操作、维护等方面的技术培训工作。(二)建立单位计算机网络信息化档案 1.所有新老客户我公司都将建立维护档案,档案包括有每台机的单机档案及公司计算机网络维护档案各一份并建立意义对应的关系; 2.单机档案:为客户需要提供服务的硬件设备建立计算机信息卡,并以标签的形式粘贴在计算机主机上。 信息卡内容包括:机器名、机器编号、使用人、机器配置、IP地址、备注等。若更换硬件配置后,我公司将会及时更新信息卡内容。 3.单位计算机网络维护档案:为单位建立一套计算机网络系统维护档案。维护档案内容包括:申请人、时间、机器名、服务内容、故障现象、处理结果、维护人员、验收人员等信息情况;维护档案一式两份,双方各执一份,以便查询。(三)服务内容 主要内容为计算机网络系统的建立与维护;各种软件调试安装,维护;应用软件的安装、维护;防病毒软件电脑查毒杀毒防毒;帮助建立各单位的网络安全系统与备份系统,要求各单位的安全备份及时到位;引导建立规范化,标准化的管理模式;电脑定期清洁维护;硬件更新升级的购置、安装、配置;打印机等外围设备驱动程序安装维护,技术支持与培训等。 (四)服务保障机制的建立
明源ERP硬件部署方案
明源E R P硬件部署方案 Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】
ERP硬件部署指引
一、系统支持的部署方式 方案1:标准部署方式 1.部署原理 定义:数据库服务、WEB服务、报表/消息服务分别单独部署 在专用服务器,适合于用户数小于500的客户环境 中。 Internet 这种部署方式将每个服务器角色分开,单独部署,不在同一台服务器上运行多种业务,专机专用。这样避免了多种服务在同一台服务器上争抢运算资源,影响ERP系统的性能。 此外,从网络安全角度考虑,建议IT管理员对数据库、报表服务、Web 服务采用不同的安全策略,例如将数据库隔离在单独 VLAN、将需要对外网提供服务的服务器放在 DMZ等。
2.硬件配置
方案2:DB故障转移群集方式 1.部署原理 定义:用两台(或多台)服务器+磁盘阵列柜,构成数据库故障转移群集,适用于用户数在500—1000内、对数据库服务器的可用性要求较高的用户环境中。 Internet 数据库故障转移群集 用户数在500—1000时,可以不考虑WEB负载均衡和数据库查询分离,选用中高端配置的服务器基本上能满足用户的性能要求,但因为数据库服务器的工作负荷最重,也最容易发生故障,因此数据库服务器采用故障转移集群的方式。 要实现 SQL Server数据库故障转移群集,有几个前提条件:
1. 要有共享存储设备,通常是磁盘阵列柜,直连或通过 FC SAN、iSCSI 与节点服务器连接; 2. 两台(或多台)节点服务器的软硬件配置一定要相同; 3. 节点服务器的操作系统必须是 Windows Server 2003/2008/2008 R2企业版,标准版没有群集功能; 4. SQL Server 2005/2008/2008 R2可以采用标准版或企业版,均有群集功能,但标准版只能支持双机群集,企业版可支持多机群集; 5. 必须有域环境(Active Directory)支持,工作组环境无法实现群集,但域控制器(DC)不能做 SQL Server集群节点。 此外还必须注意: 1. SQL Server群集不能实现负载均衡、不提高数据库性能,只起到故障转移(双机热备)作用,到2008 R2 为止各版本 SQL Server群集都只有故障转移功能; 2. SQL Server群集不能提高数据安全性,群集的数据实际只有一份(在阵列柜上),虽然磁盘阵列的理论可靠性比一般内部磁盘高,但不是绝对的;提高数据安全性必须通过定时备份、数据同步等手段解决; 3、WEB服务器的upfiles文件夹存放用户上传文档,会不断增大, 建议将upflies文件存储到磁盘阵列中,通过IIS的虚拟目录实 现ERP程序与存储阵列中upfiles的关联。 2.硬件配置
某机房项目设计方案
XXX机房项目设计方案1 各子系统方案阐述说明 1.1 前言 1.1.1 总体建设目标 XXX机房的设计与施工应采用国标设计,符合我国关于计算机机房设计和建设的有关标准。 本方案设计的目的是为我行建设一个高标准的数据中心机房。数据中心机房的设计与建设以“规、安全、稳定可靠”为宗旨,建成后须达到国家计算机机房规定的较高标准,整体工程须达到国机房工程的领先水平,满足分行未来8-10年业务系统数据处理的需要。 1.1.2 设计理念 随着计算机及网络技术迅猛发展、信息化时代的到来,各行各业信息化建设势在必行。美国可用性研究中心将信息时代的企业运营可用性界定为四个层面的工作,从人员管理的可用性,到工作流程的可用性,到IT信息技术的可用性,而最基础的一层是网络环境的可用性,即 NCPI(网络关键物理基础设施-也就是我们常指的计算机机房工程)。NCPI是机房中与IT系统紧密相关的、关键的一部分,是由基础建设、电力供应、空气调节、制冷系统、弱电系统、消防系统、监控系统、系统管理服务等部分组成。 机房工程设计必须满足用户当前的各项业务应用需求(尤其是作为行业专业应用),同时又面向未来快速增长的发展需求,因此应是高质量的、灵活的、开放的。设计时考虑避免下列外界因素:电磁场、易燃物、易燃性气体、磁场、爆炸物品、电力杂波、潮气、灰尘等影响。
1.1.3 项目情况简介 1.2 总则 机房是兴业很行分行信息化系统的核心区域,所有数据的交换和处理管理设备均集中在机房,对工作环境有较高的要求。我们利用先进的一体化机房工程理念,针对分行中心机房进行了机房装修、电气、避雷、空调、消防、集控等全面的设计,为很XXX智能化、信息化系统提供一个安全、可靠、美观、便捷的中心机房。 1.2.1 系统概述 计算机机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。在本方案中,本公司着重考虑了各方面的指标要求,保证了系统的需求,以保证投资方的可靠性和有效性。一个合格的现代化计算机机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。 1.2.2 设计容 根据对招标文件的理解和针对机房工程多年的设计经验,我方将针对XXX 分行中心机房工程做以下几个子系统的设计。容如下: ●机房装修工程; ●机房供配电系统 ●防雷及接地工程; ●机房空调及新风、排风工程 ●机房门禁系统; ●机房防水工程及机房漏水检测系统; ●机房环境集成监控系统; ●机房智能化弱电布线工程; ●机房气体消防工程。
服务器部署方案
服务器部署方案标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
FMScms网站包含2个部分,即为客户端和服务端。 客户端:网站前台+网站后台 服务端:FMS直播软件和组件 FMS主播系统工作图解 FMS主播系统服务器架构以及硬件级宽带需求说明 FMS服务器安排需要两部分,WEB服务器以及FMS直播服务器,即为开始所说的用程序的2部分。 WEB服务器的作用是用来安装承载用户访问的客户端(网站或者移动端前台) FMS直播服务器的作用是用来接收处理并发布直播视频流 一般来说,WEB服务器的要求不高,普通的服务器或者云主机就可以满足需求,FMS服务器相对来说带宽要求较高,硬件要求:市面上配置不错的独立服务器即可满足,当然还是推荐SSD固态硬盘。 服务架构图 服务器架构方案一: FMS直播中可以通过调整视频直播品质来调整带宽占用大小(视频品质数值范围1-100,数值越小品质越差) 1、通常一个在线观众要流畅清晰的观看标清视频需要大概30k~40k的带宽流量。 2、带宽的换算方法是128k的流量需要1M的网络带宽。 3、服务器所要负载的带宽是按可承载的最高并发流量计算出来的。并发流量是指同时访问资源的流量值,如果是利用FMS技术,要想满足并发流量的需求就需要将流量累加。如100人同时访问视频资源则可计算出: 100人 * 30k = 3000k 3000k ÷ 128k/M = (约20M带宽)
如果网站的视频观众最高并发量时达到100人,就需要至少20M的带宽; 如果网站的视频观众最高并发量时达到1000人,就需要至少200M的带宽; 如果网站的视频观众最高并发量时达到5000人,就需要至少1000M的带宽; 推荐服务器: 服务器的配置重点在于带宽,根据市场了解G端口<1000M带宽>的服务器 推荐硬件配置 固态硬盘,大内存即可,CPU占用率相对较低,目前没有一定数量的真实用户,暂时不能测试出对服务器硬件的消耗值,不过16G内存的服务器承载5000人同时观看直播。 服务器架构方案二: 采用CDN加速,分发流媒体。这种方式目前也是需要FMS服务器,未来一段时间我们会用另外的方法代替,不过这种方式对服务器的硬件以及带宽的需求就大大减小了。 1.web服务器,当然也可以安装FMS 2.流媒体服务器,这里的流媒体服务器FMS只用来承载聊天、礼物赠送等数据 3.接入CDN,我们目前支持RTMP协议的流媒体加速方式,即将推出的版本的FMSCMS会 添加HTTP协议的流媒体,更适合主流加速方式。 方案二的优点 1.服务器硬件以及带宽要求降低太多,节省服务器成本 2.在线观看直播人数可以无限拓宽,不需要担心服务器占用达到峰值的危险 3.网络环境得到优化,直播效果更加理想
机房建设方案完整版
机房建设方案 一、机房组建的必要性 随着信息技术的迅猛发展,电脑应用的越来越普及,电脑教育已成为各学校学生的必修课。电脑在未来一段时间或者以后将继续占领教育市场。因此,良好的电脑设施设备的建设将成为电脑教育成败的关键,所以我们需要建设配套设备良好的机房,以满足教学需要,同时使学生学的更好,教师教的更出色。 二、机房组建的目的 因要满足教学需要,本系需要组建两间计算机教学机房,以供5个班(08办公1、2;09办公1、2;09商务英语与文秘)的学生教学使用。 三、机房的用途 1、教学:机房的主要用途用于上计算机基础课(计算机基础和办公软 件等)和计算机专业课(PhotoShop、Dreamwear、数据库等)。 2、培训:用于办公软件培训,会计培训等多种培训。 3、考证:用于计算机基础,会计等证书的考试。 4、办公:用于教师办公使用。 5、外租:外租于外面的公司使用。 四、机房组建的总体布局
他 空调4000/台2台散热 音箱 200元/ 台 一对教师演讲电源插排60元/个22个教师演讲 无线麦克风系统300元/ 套 一套教师演讲 有线话筒40元/个二个教师演讲 教学、办公桌3套 教师演讲、 办公 网络布置 网线走地线,组网采用对等工作方式,管理维护较为方便。 装机 先在学生机和教师机中装好以下常用教学软件:
以装好的那台学生机为源,进行网络复制系统,在其他台学生机装上同样的系统和软件。接下来,根据地理位置,对60台学生机进行手动标号,再由此手动设置60台学生机的计算机名、IP地址,IP地址段从 192.168.11.1——192.168.11.60。最后设置教师机的IP地址为192.168.11.61。
信息中心机房设计方案报告
XXXXXX信息中心机房 工程设计方案 一、概述: 1、建设单位: 2、设计单位: 3、工程名称: 4、工程地点: 5、建筑概况: (1)办公楼为框架结构,共16层,地下1层,地上15层,建筑高度46m,长 度82m,2。层,使用面积163.76m宽度24m,机房区设在8经室内变压器供低,埋地长度为200m(2)进户电源为双路高压埋地引入地下室配电间,压配电柜。;线制:;频率:50Hz(3)信息中心机房电源由地下室配电柜引入,电压:380V/220V )。三相五线制(TN-S 4)机房数据线为光纤进户。()机房设备集成化较高。(5 雷电防护区内。6)本机房电子信息系统所在LPZ1()电子信息系统工作性质: 不允许中断,一旦中断后果严重。(7 8)本建筑物地域为多雷区。(二、设计、施工原则机房建设不仅涉及建筑装饰、电气安装、计算机网络、安全防范、环境控制等多门专业技术,更需要有丰富的工程实施和管理经验。机房设计与施工的优劣,直接关系到计算机系统能否稳定可靠的运行,关系到银行数据及资金的安全。因此各个系统设计和施工必须按国家有关技术标准进行,同时设计风格要与银行业务办公区融为一体。、先进性和实用性原则1机房工程应采用先进成熟的技术和设备,在满足当前需求的同时,还应兼顾未来业务扩展的需要,适应高速的数据传输,使整个系统在一段时期内保持技术的先进性,具有良好的发展潜力,以适应未来信息技术的发展需要。 2、安全可靠性原则机房在布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。对关键设备采用硬件备份、冗余配置等,并采用相关的软件技术提供较强的管理机制与控制手段,提高机房的安全可靠性。 3、可管理性机房内将同时运行各种银行专用及办公自动化系统,具有一定的复杂性,要求在机 房的设计中,必须建立一套全面、完善的机房管理和监控系统。所选用的设备要具有智能化、可管理的功能,同时采用先进的管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个机房的运行状况,实时灯光、音响报警,实时事件记录,简化机房管理人员的维护工作,从而为机房安全、可靠的运行提供有力的保障。 4、灵活性和可扩展性、标准化原则 机房必须具有良好的灵活性与可扩展性,支持多种网络传输,具有充足的物理接口,能够根据今后的业务不断深入发展的需要,增加设备、扩大容量和提高性能。遵照国家颁布的有关标准,坚持统一规范的原则,为业务发展,设备增容奠定基础。 三、工程设计、施工依据的技术标准 1、GB50174—93 《电子计算机机房设计规范》 2、GB2887—2000 《电子计算机场地通用规范》
服务器配置方案
服务器配置方案 本文转自:傲龙网络 在日常工作中,经常给客户进行硬件配置建议,发现很多客户基本的信息化基础的知识都不是太懂,比如服务器配置数选择和用户数关系等等。甚至很多IT专业人士,比如erp,crm顾问都不是很清楚。当然也有可能这些顾问只专注于他自己工作的那一块,认为这些是售前干的事情,不需要了解太多。在我看来我觉得多了解一些,碰到不懂的客户也可以给人家说个所以然出来,至少也没有什么坏处嘛。下面这篇文章也是平常的工作总结,贴出来给大家分享一下,也许还用的着。 第一章服务器选择 1.1 服务器选择和用户数关系
说明: 首选原则:在初期给客户提供硬件配置参考时,在线用户数建议
按注册用户数(或工作站数量)的50%计算。 备用原则:根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑,在线用户数比例可以适当下调,由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。 服务器推荐选择品牌:IBM、DELL(戴尔)、HP(惠普)、Sun 、Lenovo (联想)、浪潮、曙光等品牌机型。 CPU:如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动,只要求达到同级别或该级别以上处理能力。 硬盘:对于硬盘方面,推荐选择SCSI硬盘,并做RAID5;对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业,强烈推荐采用磁盘阵列。 硬盘容量=每用户分配容量×注册用户数+操作系统容量+部分冗余 1.2 常见机型参考报价
由于IBM服务器在几个品牌的PC服务器系列中价格较高,如果报价是供客户做预算用,则可将该报价直接发给客户供参考,减少商务询价的工作量。 硬件配置和相关型号可上网查询: IBM服务器 HP服务器 DELL服务器 SUN服务器 Lenovo(联想) 1.3 服务器选择和用户数关系在线计算 在IBM网站上有提供IBM Systems Workload Estimator工具可用于
机房服务器硬件配置方案
机房服务器硬件配置方案 一、入门级常规服务器硬配置方案: 硬件名称基本参数 奔腾E2160系列,LPGA封装,双核,工作功率65W,核心电压 1.25V,数量参考价CPU 内存 主板主频1800MHZ,总线频率800MHZ,倍频9,外频200MHZ,128M一 级缓存,1M二级缓存,指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T111¥460¥135¥599Kingston DDRII 667 1G,采用PBGA封,频率667MHZ 采用Intel P965/ICH8芯片组,集成Realtek ALC 662声卡芯片,适用Core2 Extreme/Core 2 Quad/Core 2 Duo/奔腾4/赛扬D/PentiumD系列处理器。 前端总线频率FSB 1066MHz 硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存(KB):8000KB接 口类型: Serial ATA接口速率: Serial ATA 300 机箱类型: xx飓风II机箱样式: 立式机箱结构: Micro ATX/ATX 3.51¥380机箱
光驱 散热器 UPS 稳压器 显示器 鼠标键盘英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源: 金河田 355WB 3C 选配,普通DVD光驱 热器类型: CPU散热器散热方式: 风冷风扇转数(RPM):2200轴承类 型: 合金轴承适用范围: Intel LGA775 Conroe、Pentium D、Pentium4 Celeron D全系列最大风量(CFM):43CFM UPS电源类型: 后备式UPS额定输出容量: 0.5kva 选配
完整的IDC机房建设方案
数据中心建设方案 目录 综述 (2) IDC网络建设 (5) IDC网络建设 (6) IDC基础系统建设 (11) IDC应用服务系统建设 (24) IDC综合管理系统 (32) IDC计费系统 (36) IDC计费系统 (40) 技术服务 (43) IDC机房系统设计说明 (51) 一期实施内容建议 (58)
综述 经历了ISP/ICP飞速发展,.COM公司的风靡后,一种新的服务模式--互联网数据中心(Internet Data Center,缩写为IDC)正悄然兴起。它在国外吸引着像AT&T、AO- 、IBM、Exodus、UUNET等大公司的巨资投入;国内不但四大电信运营商中国电信、中国网通、中国联通、中国吉通开始做跑马圈地,一些专业服务商如清华万博、首都在线和世纪互联等,也参与了角逐。 IDC(Internet Data Center) - Internet数据中心,它是传统的数据中心与Internet的结合,它除了具有传统的数据中心所具有的特点外,如数据集中、主机运行可靠等,还应具有访问方式的变化、要做到7x24服务、反应速度快等。IDC是一个提供资源外包服务的基地,它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。 IDC作为提供资源外包服务的基地,它可以为企业和各类网站提供专业化的服务器托管、空间租用、网络批发带宽甚至ASP、EC等业务。简单地理解,IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。形象地说,IDC是个高品质机房,在其建设方面,对各个方面都有很高的要求。 IDC的总体结构如下图所示:
机房设计方案
第1章机房设计方案(集成) 为保证计算机系统的安全、稳定运行,以免给日常业务带来不必要的损失,必须建设一个高标准的、符合规范的、能满足版监二期系统需要的中心机房。在机房的设计中,始终贯彻“绿色机房”的设计理念,实现机房绿色、环保、节能的目的。 考虑到中心机房投资大、使用周期长,而版监业务发展快,现代技术发展迅速,设备更新周期不长,因此机房建设必须尽可能采用世界上成熟的环境保障技术手段、自动化的监控技术。 机房设计要有创新的思维,充分体现其功能要求,采用新颖得体的现代化室内装饰技术体现现代数据中心的建筑特色。 建设目标: 根据项目的状况,基于对该项目高度重视,力求在设计、施工质量方面做到优质,切实认真的做好此工程的各项事务。针对计算机房会随着信息时代同步进展、同时又面向未来快速增长的发展需求,因此设计时已考虑避免外界因素如电磁场、易燃物、易燃性气体、磁场、爆炸物品、电力杂波、潮气、灰尘等影响。 机房内主要放置各应用系统的服务器、网络设备、监控系统及数据备份系统等。 计算机房系统整体设计,要基于国际标准和国家颁布的有关标准,包括各种建筑、机房设计标准,电力电气保障标准以及计算机局域网、广域网标准,坚持统一规范的原则,从而为未来的业务发展,设备增容奠定基础。 由于机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重。所以在机房的设计中,必须建立一套全面、完善的机房管理和监控系统。所选用的设备应具有智能化、可管理的功能,同时选用先进和管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个机房的运行状况,实时灯光、语音报警,实时事件记录,这样可以迅速确定故障,简化机房管理人员的维护工作,从而为计算机机房的安全、可靠运行提供最有力的保障。