【正文】 型108 網絡安全設計 1? 網絡安全設計原則– 遵循木桶原理– 對正常的業(yè)務應用，影響應盡可能小– 綠點、藍點原理，安全是有等級規(guī)范的– 全局性：安全是全體系的盾牌，是面狀的– 政府、軍隊等應用，需優(yōu)先考慮本土產品– 投入產出應付合客戶意志109 網絡安全設計 2? 設計與實施步驟– 第一步：列舉可能的各種攻擊與風險– 第二步：明確安全策略? 由需求及環(huán)境決定整體安全性級別? 影響業(yè)務運營的承受能力? 如何進行管理及控制：配置、界面 …? 投入及允許實施周期– 第三步：建立安全模型? 安全算法、信息、界面要求? 連接協(xié)議、通信接口模塊? 網絡安全傳輸：安管系統(tǒng)、支撐系統(tǒng)、傳輸系統(tǒng)110 網絡安全設計 3?設計與實施步驟– 第四步：選擇并實現? 物理、鏈路、網絡層的安全? 操作系統(tǒng)的安全? 應用平臺的安全– 第五步：安全產品的選型及測試? 按照企業(yè)信息與網絡系統(tǒng)安全產品的功能規(guī)范? 測試范圍：功能、性能、可用性111 安全技術? 防火墻技術? 防火墻應用展開? 相關技術應用說明– 透明訪問– NAT– VPN112 防火墻技術? 概念– 防火墻是一類防范措施的總稱，它使得內部網絡與 Inter 之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。比較適合經濟型網絡用作綜合Inter/Intra服務器的 OS。? LinuxLinux的特點概括來說就是價格低廉，功能強大，可靠性高。且捆綁了很多協(xié)議和服務程序，如： IIS、 ASP、 DNS等，可獨立構成 Inter服務平臺；另外 NT有包括數據庫和各類軟件開發(fā)工具在內的微軟豐富的商業(yè)軟件和眾多的第三方軟件商的軟件支持，可高效率、低成本地建立起網絡基礎應用平臺和電子商務網站。相當于 Cisco2500系列。– 具備一定的 網絡服務質量和控制能力 以及端到端的 QoS。在大中型網絡中它用來構成多層次的結構靈活的用戶接入網絡，在中小型網絡中它也可能用來構成網絡骨干交換設備。全系統(tǒng)的可靠性主要體現在網絡設備的可靠性。q 根據方案實際需要選型： 主要是在參照整體網絡設計要求的基礎上，根據網絡實際帶寬性能需求、端口類型和端口密度選型。從這個角度來看，產品線齊全、技術認證隊伍力量雄厚。? 這樣的雙機機群磁盤陣列系統(tǒng)，可以克服單點故障的發(fā)生，在操作系統(tǒng)崩潰、網絡控制失效或 I/O故障， TruCluster軟件均可檢測出現的問題，并在數秒內將應用操作轉移到另外一個系統(tǒng)上。 NT服務器HP 9000Sun E4500文件服務文件服務文件服務文件服務SANNAS91 網絡存儲體系的設計 6? 雙機熱備份存儲方案：? 對于可用性要求極高的數據庫服務器系統(tǒng)， 集群磁盤陣列系統(tǒng) 是一種有效的解決方法。交換機數據庫服務器應用服務器主干網NASDAS 文件存儲 OSRAID盤陣光纖通道SAN=150km90 網絡存儲體系的設計 5? NAS與 SAN系統(tǒng)的比較：? NAS是在 RAID的基礎上增加了文件存儲操作系統(tǒng)，其 RAID是一個整體。一個 NAS里面包括 CPU、文件存儲 OS和文件服務管理工具，用于數據的存儲的一個或多個硬盤驅動器陣列。具有傳送大數據塊到企業(yè)級數據密集型應用服務的能力，非常適用于存儲密集型環(huán)境。 直接連接在服務器上的內置或外置數據存儲設備。據統(tǒng)計，如果要重新生成 20MB丟失的數據，銷售、市場類的數據恢復平均需要花費 19個工作日和 17000美元，財務類數據則需要 21個工作日和 20230美元，而相對較為復雜的工程數據需要花費 42個工作日和 98000美元。 數據庫及應用服務器系統(tǒng)采用雙機容錯高可用性（ HA）系統(tǒng)，以提高系統(tǒng)的可用性。Email服務群件服務工作流應用服務數據庫服務Web服務DNS服務FTP服務流媒體服務84 服務器群的整合與均衡 5– 網絡規(guī)模因素：大型網絡或 ISP/ICP的服務器群方案大型網絡應用場合講究安全可靠、穩(wěn)定高效、功能強大。宜采用功能相關性配置方案，將相關應用集中在一起。– 服務器子網專用交換機方案： 是在核心交換機上外接一臺專用服務器子網交換機，優(yōu)點是可以分擔帶寬，減少核心交換機端口占用，可為服務器組提供充足的端口密度，缺點是容易形成帶寬瓶頸，且存在單點故障。– 普通接入：采用一塊服務器專用網卡接入網絡。適合企業(yè)級數據庫服務器、流媒體服務器、和較繁忙的應用服務器。網絡打印系統(tǒng)網絡打印系統(tǒng)77 服務器的網絡接入 1? ① 服務器的網絡接入? 服務器在網絡中 “擺放 ”位置的好壞直接影響網絡應用的效果和網絡運行效率。服務器的網絡接入服務器的網絡接入254。? 缺點：– 高造價– 大工程量是難以讓用戶接受的? 通常：– 一般以國家行為較多– 一般公司及企業(yè)很少應用此方式，除非傳輸距離比較短，所架設的光纜在自己的管轄之內。由于在雙側的設備上采用了更加先進的設備，因而其傳輸速率比較高，一般可達到 ，但不能實現實時通訊，通訊費用偏高。遠程訪問服務器（ RAS）和 Modem組的端口數目一一對應，一般按一個端口支持 20個用戶計算來配置。 Cisco Catalyst 3500/4000系列交換機就是專門針對分布層而設計的。 要看網絡信息流特點，堆疊體內能夠有充足的帶寬保證，適宜本地（樓宇內）信息流密集、全局信息負載相對較輕的情況；級連適宜于全網信息流較平均的場合，且分布層交換機大都具有組播和初級 QoS（服務質量）管理能力，適合處理一些突發(fā)的重負載（如： VOD視頻點播），但增加分布層的同時也會使成本提高。后半句話即是對接入層的描述。HSRP(熱等待路由協(xié)議 )： Cisco的一種專有技術， HSRP提供自動路由熱備份技術。GBIC(千兆位集成電路 )： 千兆以太網接口一般有一個 GBIC卡槽，可插 SX、 LX/LH或 ZX GBIC卡。鏈路聚合不僅提高了連接帶寬，且提高了鏈路可靠性，邏輯鏈路中任一物理鏈路失效僅降低鏈路帶寬，不影響正常工作。由于建筑群布線路徑復雜的特殊性，一般直線距離超過 300米的建筑物之間的千兆以太網線路就應該選用單模光纖。雙星（樹）結構解決了單點故障失效問題，不僅抗毀性強，而且通過采用最新的鏈路聚合技術，則可以允許每條冗余連接鏈路實現負載分擔。端口價格低，對光纜的要求也不高。從易用性、先進性和可擴展性的角度考慮，采用千兆以太網是目前大家通行的做法。分布層和接入層又稱為外圍網絡分布層和接入層又稱為外圍網絡。 主干網絡及網絡設備被劃分為主干網絡及網絡設備被劃分為 核核心層心層 ，用以連接服務器群、建筑，用以連接服務器群、建筑群到網絡中心、或在一個較大型群到網絡中心、或在一個較大型建筑物內連接多個交換機管理間建筑物內連接多個交換機管理間到網絡中心設備間。– 網絡拓撲結構與規(guī)模息息相關。遠程接入訪問的規(guī)劃遠程接入訪問的規(guī)劃設計設計61 網絡總體規(guī)劃與拓撲結構 1? 應該考慮的主要因素有：– 費用– 采用哪種網絡技術： 決定著交換設備和傳輸介質的種類。冗余適可而止60 通信子網規(guī)劃設計◆ 通信子網規(guī)劃設計254。59 網絡總體目標和設計原則 4– 先進性原則：盡可能采用先進而成熟的技術，在一段時間內保證其主流地位。– 目的第一，有利于未來網絡系統(tǒng)擴充；– 目的第二，有利于在需要時與外部網絡互通。? 除應用外，主要限制因素是投資規(guī)模。? 安全不單純是技術問題，而是策略、技術與管理的有機結合。– 劃定網絡安全邊界，使企業(yè)網絡系統(tǒng)和外界的網絡系統(tǒng)具有安全隔離。51 可用性 /可靠性分析? 采用：磁盤雙工和磁盤陣列、雙機容錯、異地容災、和備份減災措施等，還可采用能力更強的大中小型 Unix主機（如： IBM、SUN和 SGI）。– 布線路由分析： 根據調研中得到的建筑群間距離、馬路隔離情況、電線桿、地溝和道路狀況為建筑群間光纜布線方式進行分析。面向連接的網絡技術能夠保證數據實時傳輸。?地理上有空隙的網絡要采用特殊拓撲結構 。48 拓撲結構分析232。 46 信息包流量及流向分析 2– 分析信息包的流向就是為服務器定位提供依據。– 分布式存儲和協(xié)同式網絡信息處理是計算機網絡的優(yōu)勢之一。數據發(fā)生不多且負載較大，但無同步要求，容許數據延遲；?第三，流式文件。信息流特征分析232。43 網絡總體需求分析? 運用應用概要分析和費用估算的結果，結合應用類型以及業(yè)務密集度的分析，分析估算出網絡數據負載、信息包流量及流向、網絡帶寬、信息流特征等因素，從而確定網絡總體需求框架。– 觀點：降價是以網絡性能、工程質量和服務為代價的，對么 ?* Q4:正比42 網絡費用分析 3? 要點：– 事實上，每個網絡方案都是網絡性能與用戶方所能承受的費用之間進行折衷的產物。– 作為系統(tǒng)集成商主要利潤的系統(tǒng)集成費是一種附加值（一般為外購軟硬件的 9%至 15%）。– 遠程通信線路或電信租用線路費用 。網絡安全性需求分析254。網絡費用分析254。 包括：模擬音頻視頻廣播、數字音頻視頻廣播、數據廣播、圖文電視等業(yè)務– 點播業(yè)務。 包括：電視購物、網上交易、 EDI– 通信業(yè)務。 信息、電子商務系統(tǒng)平臺。– 資金問題。33 例： 校園網 特點– 網絡負荷大。– 讓客戶簽字確認，可以使客戶給出更準確的信息，并為后期的實施工作規(guī)避風險。提高項目經理的投標能力；–全面的介紹應用集成技術體系，拓寬相關領域的知識面，提高體系化的分析能力，以設計出更滿足需求的系統(tǒng)集成方案。環(huán)境支持平臺計算機網絡平臺（外部信息基礎設施）網絡安全與網絡管理應用基礎平臺數據庫平臺 開發(fā)工具 基礎服務網絡應用系統(tǒng)用戶界面客戶 /服務器平臺 Web平臺 GUI平臺7前言 課程目標–深刻理解系統(tǒng)集成的概念、范圍及層次；–介紹一種類似軟件項目推進的方法，管理集成方案、標書的制做過程。B、應在現場信息調查前，明確客戶的關注重點業(yè)務范圍，根據調查計劃表執(zhí)行C、調查應使用事先準備好的表格 /模板記錄字段例： 部門、人數、業(yè)務流程描述、涉及業(yè)務數據量、顯性 /隱性的網絡需求 (可后繼整理 )15 性能需求調查?目的– 得到客戶關注但不敏感，卻決定項目成敗的參數信息?內容– 系統(tǒng)的網絡執(zhí)行速度– 可靠性 /可用性– 伸縮性– 安全性16 性能需求調查 (Cont1)?要點– 性能需求信息的準確搜集，是后繼方案設計的權威輸入，盡力量化所得到的信息。Q3 *26 應用系統(tǒng)管理員的介入? 系統(tǒng)管理員什么時候介入 ? 越早越好 !為什么 ?27 應用系統(tǒng)管理員的介入 1?為什么要盡早 ?– 集成商并不了解客戶的人文細節(jié)– 非專業(yè)的業(yè)務人員描述帶有情感– 明白而敬業(yè)的客戶，心中 ”早有分寸 ”– 需要客戶的 ”自已人 ”為我們的方案說話– 全程參與的系統(tǒng)管理員，未來必為我們分憂28 應用系統(tǒng)管理員的介入 2?如何找到合適的人選 ?– 大型的客戶，通常都有專業(yè)的 IT人員– 將 ”您的系統(tǒng)需要您的管家 ”早點說出來– 開放心態(tài)、以大家風范為客戶培訓技術人才292 概要分析? 概要分析的目的? 分類的應用介紹? 校園網的示例分析? 企業(yè)網的示例分析? 寬帶城域網示例分析30 概要分析目的? 根據需求的輸入，進行第一層次的分析– 區(qū)分應用分類的特點，明確應用的需求項目?帶寬、服務需求 ?OS架構?數據吞吐量：存儲方案?網絡架構及布局：拓撲結構、容錯、負載分配31 分類應用介紹Inter/Intra網絡公共服務：? 數據庫服務：– 關系數據庫– 非結構化數據庫系統(tǒng)? 網絡基礎服務和信息安全平臺：– 網絡基礎服務– 信息安全平臺32 分類應用介紹 (1)? 網絡應用系統(tǒng)：– 公共應用系統(tǒng)– 部門專用系統(tǒng)? 通過應用類型的簡要歸納，得出具體應用需求。– Inter訪問頻繁，網絡安全地位重要。?WEB服務。37 例： 寬帶城域網 分析 1– 電子商務。 包括：遠程教學、政府聯(lián)網、遠程醫(yī)療、專家會診