【正文】 ernet。這是一種利用光纖加五類網(wǎng)絡(luò)線方式實現(xiàn)寬帶接入方案，實現(xiàn)千兆光纖到小區(qū)（大樓）中心交換機，中心交換機和樓道交換機以百兆光纖或五類網(wǎng)絡(luò)線相連，樓道內(nèi)采用綜合布線，用戶上網(wǎng)速率可達10Mbps。企業(yè)網(wǎng)（Intranet），是將互聯(lián)網(wǎng)技術(shù)應(yīng)用于企業(yè)內(nèi)部環(huán)境，支持企業(yè)內(nèi)部商務(wù)過程和信息共享形成的網(wǎng)絡(luò)。 企業(yè)網(wǎng)是互聯(lián)網(wǎng)技術(shù)在企業(yè)范圍內(nèi)部的延伸。其特點是：使用成熟技術(shù)、穩(wěn)定、低風(fēng)險；開放性和可擴展性，支持TCP/IP，F(xiàn)TP，HTML，JAVA等互聯(lián)網(wǎng)標準；安全性，通過統(tǒng)一安全策略和防火墻，身份認證，數(shù)據(jù)加密等技術(shù)保護企業(yè)內(nèi)部數(shù)據(jù)不被竊取和攻擊。內(nèi)部網(wǎng)提供的服務(wù)集中在企業(yè)內(nèi)部信息交流，業(yè)務(wù)控制和協(xié)同工作。 由于使用了和互聯(lián)網(wǎng)同樣的技術(shù)，在經(jīng)過防火墻隔離后，企業(yè)內(nèi)部網(wǎng)可以和互聯(lián)網(wǎng)相連。企業(yè)網(wǎng)通常是將智能工作站連成局域網(wǎng)可以共享文件和相互協(xié)同工作，還可以共享磁盤、打印機等資源，這類網(wǎng)絡(luò)的關(guān)鍵問題是聯(lián)網(wǎng)的費用較低。若將大型計算機連成局域網(wǎng)，可以共享計算機房中的貴重資源（如海量存儲器等），這類網(wǎng)絡(luò)關(guān)鍵在于要高速傳輸數(shù)據(jù)。用于辦公室自動化的局域網(wǎng)也是一個廣泛的應(yīng)用領(lǐng)域，其關(guān)鍵是要提高辦公效率。按照網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和傳輸介質(zhì)，局域網(wǎng)通?？蓜澐譃橐蕴W(wǎng)（Ethernet）、令牌環(huán)網(wǎng) （Token Ring）、光纖分布式數(shù)據(jù)接口（FDDI）、異步傳輸模式（ATM）等，發(fā)展到今天，以太網(wǎng)已經(jīng)成為統(tǒng)治局域網(wǎng)的技術(shù)。企業(yè)網(wǎng)是大部分企業(yè)雇員訪問企業(yè)信息的途徑。網(wǎng)際網(wǎng)（Extranet），是指使用互聯(lián)網(wǎng)技術(shù)將多個企業(yè)網(wǎng)連接起來的信息網(wǎng)絡(luò)。 它是互聯(lián)網(wǎng)技術(shù)在企業(yè)間范圍內(nèi)的延伸。 它支持企業(yè)和企業(yè)之間的商務(wù)過程連接和信息共享，從而實現(xiàn)企業(yè)間信息交流，業(yè)務(wù)控制和協(xié)同工作。除了網(wǎng)絡(luò)范圍和功能與上述兩種網(wǎng)絡(luò)不同外，其技術(shù)特征與互聯(lián)網(wǎng)和企業(yè)網(wǎng)相同。目前網(wǎng)際網(wǎng)的接入技術(shù)主要有：DDN專線（Leased Line），利用數(shù)字傳輸通道（光纖、數(shù)字微波、衛(wèi)星）和數(shù)字交叉復(fù)用節(jié)點組成的數(shù)字數(shù)據(jù)傳輸網(wǎng)，可以為用戶提供各種速率的高質(zhì)量數(shù)字專用電路和其他新業(yè)務(wù)，但結(jié)構(gòu)不夠靈活。 幀中繼（Frame Relay） ：是一種快速分組交換技術(shù)，具有節(jié)省費用、端口共享、動態(tài)分配帶寬適合突發(fā)性數(shù)據(jù)等優(yōu)點，但也有潛在擁塞，傳輸質(zhì)量得不到保證等缺點。ATM：這是一種轉(zhuǎn)換模式，將數(shù)字化的語音、數(shù)據(jù)及圖像信息組織成信元（cell）在網(wǎng)絡(luò)上傳輸。ATM的優(yōu)點是能為任何類型的業(yè)務(wù)提供滿意的服務(wù)，缺點是成本較高。 網(wǎng)際網(wǎng)是企業(yè)間數(shù)據(jù)交換的主要通道。隨著互聯(lián)網(wǎng)虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)和防火墻等安全防護技術(shù)的發(fā)展，我們已經(jīng)可以首先通過無處不在的互聯(lián)網(wǎng)訪問企業(yè)網(wǎng)和網(wǎng)際網(wǎng)。三種網(wǎng)絡(luò)的虛擬界限 VPN、防火墻、互聯(lián)網(wǎng)法律等將逐漸取代網(wǎng)絡(luò)的物理界限。 接入層接入層是進入企業(yè)內(nèi)部運行環(huán)境的門戶。 經(jīng)過網(wǎng)絡(luò)終端路由器后，對于大多數(shù)情況，接入層網(wǎng)絡(luò)實際上就已經(jīng)是企業(yè)本地的局域網(wǎng)（LAN）。它要解決的主要問題是使用戶可以方便、安全、可靠、高效地訪問到企業(yè)數(shù)據(jù)。接入層的設(shè)計目標有：可擴展性、可靠性、安全性、可管理性等。（參見第二章電子商務(wù)運行環(huán)境的網(wǎng)絡(luò)設(shè)計原則）在接入層，互聯(lián)網(wǎng)技術(shù)提供的基本服務(wù)包括：電子郵件服務(wù)、遠程登錄服務(wù)、文件傳輸服務(wù)、網(wǎng)絡(luò)新聞服務(wù)、信息瀏覽（Web）服務(wù)等。相應(yīng)的，針對不同的服務(wù)，TCP/IP協(xié)議簇中有不同的協(xié)議為這些服務(wù)提供支持。下面我們就以信息系統(tǒng)中常用的信息瀏覽服務(wù)（Web）和安全問題為例做個說明：WebWeb是目前在Internet上最流行的信息服務(wù)類型。它是一種特殊的結(jié)構(gòu)框架，它的目的是為了訪問遍布在Internet主機上的鏈接文件。Web上的海量信息是由彼此關(guān)聯(lián)的文件組成，這些文件稱為主頁（Home Page），它是一種超文本信息（Hypertext），而使其聯(lián)接在一起的是超鏈接（Hyperlink），Web的內(nèi)容保存在Web站點（Web服務(wù)器）中，用戶可以通過客戶機（Web瀏覽器）訪問Web站點。Web的特點可以歸納為：1） Web是以超文本和多媒體形式存在的網(wǎng)絡(luò)信息空間；2） Web與平臺無關(guān)。無論系統(tǒng)的軟，硬件平臺是什么，都可以通過Internet訪問Web；3） Web提供直觀、易于使用的圖形界面；4） Web是分布式的。超媒體文件可以存放在不同的Web站點上，通過超鏈接加以指引，使存放在不同物理位置上的信息在邏輯上一體化；5） Web是動態(tài)的、交互的；Web的本質(zhì)是一個建立在Internet基礎(chǔ)上的超文本信息傳遞系統(tǒng)。Web服務(wù)器、Web瀏覽器、服務(wù)器與瀏覽器之間的通信協(xié)議HTTP，Web文檔語言HTML以及用來標識Web資源的URL是構(gòu)成Web體系結(jié)構(gòu)的五大要素：1） 客戶機/服務(wù)器結(jié)構(gòu)。Web是基于客戶機/服務(wù)器的一種體系結(jié)構(gòu)?？蛻魴C和服務(wù)器是相互通信的一對程序?？蛻魴C連接到服務(wù)器上發(fā)出請求，要求執(zhí)行某項任務(wù)；服務(wù)器的任務(wù)是等待客戶機的連接，聽取客戶機的請求并為這些請求提供服務(wù)。Web基本協(xié)議是HTTP，通過TCP/IP網(wǎng)絡(luò)，瀏覽器利用HTTP協(xié)議與服務(wù)器連接，然后發(fā)出客戶請求，Web服務(wù)器做出響應(yīng)，回送應(yīng)答數(shù)據(jù)，最后關(guān)閉連接。2） 統(tǒng)一資源定位器 URL。URL是Web的基本工具之一，是HTML文件地址命名方法。URL指出的可以是超文本鏈目的地址或是完成客戶與服務(wù)器交互的CGI程序名，還可以指定FTP文件傳輸，尋找新聞信息，定義用戶的Email等。3） HTTP協(xié)議。HTTP是專門為Web設(shè)計的網(wǎng)絡(luò)協(xié)議，它是Web的核心，HTTP協(xié)議是TCP/IP簇中的一個應(yīng)用協(xié)議。4） HTML超文本標識語言。Web頁面是由超文本標識語言編制的文檔。5） XML擴充的標識語言。XML是為了克服HTML缺乏靈活性和擴展性而發(fā)展的元標記語言。安全作為全球使用范圍最大的信息網(wǎng)，互聯(lián)網(wǎng)自身協(xié)議的開放性極大地方便了各種計算機聯(lián)網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使Internet自身的安全受到嚴重威脅，與它有關(guān)的安全事故屢有發(fā)生。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。 我們把對于信息系統(tǒng)的安全需求分為三類，分別是基本服務(wù)、增值服務(wù)、網(wǎng)絡(luò)控制中心。對于基本服務(wù)的安全需求如下：AAA服務(wù)，提供認證，授權(quán)及審計的功能防DoS 黑客攻擊功能，在拒絕服務(wù)（DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個認證請求，使其滿負載線速ACL功能 對于增值服務(wù)的安全需求如下：AAA服務(wù)，提供認證，授權(quán)及審計的功能防DoS 黑客攻擊功能線速ACL功能 防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速NAT對于網(wǎng)絡(luò)控制中心的安全需求如下：AAA服務(wù)，提供認證，授權(quán)及審計的功能防Dos 黑客攻擊功能線速ACL功能 防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速NATACL的策略管理安全元件的策略管理VPN為了有效的提高系統(tǒng)安全，我們將遵循以下設(shè)計原則：安全但不影響性能客戶需要提供高性能的服務(wù)，所以任何影響性能的安全措施將不能被接受全方位實現(xiàn)安全性安全性設(shè)計必須從全方位、多層次加以考慮，來確實保證安全主動式安全和被動式安全相結(jié)合主動式安全主要是主動對系統(tǒng)中的安全漏洞進行檢測，以便及時地消除安全隱患；被動式安全則主要是被動地實施安全策略，如防火墻措施、ACL措施等等。只有主動與被動安全措施的完美結(jié)合，方能切實有效地實現(xiàn)安全性；切合實際實施安全性；必須緊密切合要進行安全防護的實際對象來實施安全性，以免過于龐大冗雜的安全措施導(dǎo)致性能下降。所以要真正做到有的放矢、行之有效；易于實施、管理與維護；整套安全工程設(shè)計必須具有良好的可實施性與可管理性，同時還要具有尚佳的易維護性；具有較好的可伸縮性；安全工程設(shè)計，必須具有良好的可伸縮性。整個安全系統(tǒng)必須留有接口，以適應(yīng)將來工程規(guī)模拓展的需要；節(jié)約系統(tǒng)投資；在保障安全性的前提下，必須充分考慮投資，將用戶的利益始終放在第一位。通過認真規(guī)劃安全性設(shè)計，認真選擇安全性產(chǎn)品（包括利用現(xiàn)有設(shè)備），達到節(jié)約系統(tǒng)投資的目的。防火墻（Firewall）防火墻是指設(shè)置在不同網(wǎng)絡(luò)（內(nèi)部網(wǎng)和外網(wǎng)）或不同的網(wǎng)絡(luò)安全域之間的設(shè)備。它可以負責(zé)網(wǎng)絡(luò)通信的過濾、訪問限制和分析，能完成安全控制、監(jiān)控和管理的功能。當(dāng)企業(yè)將其內(nèi)部網(wǎng)絡(luò)連接到Internet上開展電子商務(wù)時，安全就成為備受關(guān)注的首要問題。日益增長的Internet服務(wù)大大增加了對一個企業(yè)的專用網(wǎng)絡(luò)與數(shù)據(jù)資源進行非法訪問和潛在的破壞性訪問的風(fēng)險。越來越多的企業(yè)網(wǎng)用戶要求使用Internet的Telnet、FTP、Internet mail和WWW等各種服務(wù)。此外，許多公司還要求向經(jīng)由Internet的公開訪問提供WWW主頁和FTP的服務(wù)器。當(dāng)網(wǎng)絡(luò)管理者將其企業(yè)的專用數(shù)據(jù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施暴露給Internet上的窺探者時，網(wǎng)絡(luò)的安全也越來越引起他們的關(guān)心。要想達到所需的防護水準，各企業(yè)需要制定可防止非授權(quán)用戶訪問其專用網(wǎng)資源及防止其專有信息非法外流的安全策略。防火墻正是用來加強一個企業(yè)的網(wǎng)絡(luò)與外網(wǎng)（Internet）之間的訪問控制策略的。防火墻管理著外網(wǎng)與一個企業(yè)專用網(wǎng)絡(luò)間的訪問。當(dāng)一個企業(yè)與外網(wǎng)連接后，就不是關(guān)心是否會發(fā)生攻擊的問題，而是關(guān)心何時會發(fā)生攻擊的問題。如果沒有防火墻，專用網(wǎng)上的每個主機系統(tǒng)都在來自外網(wǎng)其它主機的攻擊面前暴露無遺。專用網(wǎng)的安全取決于每個主機的安全性能的強度。只有當(dāng)這個最薄弱的系統(tǒng)安全時，整個網(wǎng)絡(luò)才安全。防火墻是網(wǎng)絡(luò)管理員使用的一個控制點，將未經(jīng)授權(quán)的用戶（黑客、攻網(wǎng)者、破壞它人財產(chǎn)者和間諜）擋在受保護的網(wǎng)絡(luò)之外，禁止易受攻擊的服務(wù)進出受保護的網(wǎng)絡(luò)，并防止各類路由攻擊。防火墻通過加強網(wǎng)絡(luò)安全，簡化了網(wǎng)絡(luò)管理。防火墻還可以作為向客戶或其它外部伙伴發(fā)送信息的中心聯(lián)系點。防火墻內(nèi)側(cè)是設(shè)置WWW和FTP服務(wù)器的理想地點，因為防火墻可以配置允許Internet訪問這些服務(wù)器，而又禁止外部對受保護網(wǎng)絡(luò)上的其它系統(tǒng)進行訪問。防火墻是加強企業(yè)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間的安全防范的單個部件或一組系統(tǒng)。防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問，哪些內(nèi)部服務(wù)可以被外部人員訪問。為了使防火墻發(fā)揮效力，來自和發(fā)往Internet的所有信息都必須經(jīng)由防火墻出入。防火墻必須只允許經(jīng)授權(quán)信息通過，而防火墻本身必須不被滲透。不幸的是，一旦攻擊者穿過或繞過防火墻，防火墻系統(tǒng)就無法提供保護。防火墻是企業(yè)整體安全防范體系的一部分，它可以構(gòu)筑一座用于保護一個企業(yè)的信息資源的環(huán)形防御體系。這種安全體系必須包括公開的安全準則，以便用戶知道自身責(zé)任，還有完善的職員培訓(xùn)計劃提高管理質(zhì)量，以及與網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關(guān)的具體實施辦法。網(wǎng)絡(luò)易受攻擊的各個點均須以同等程度的安全防護措施加以保護。沒有全面的安全體系，設(shè)置防火墻，就如同在一頂賬篷上裝置一個鋼門。防火墻不是孤立的，它服從于企業(yè)整體安全策略，構(gòu)成了安全策略所規(guī)劃的環(huán)形防御體系的不可分割的一個組成部分。安全策略必須建立在仔細的安全分析、風(fēng)險評估和商業(yè)需求分析的基礎(chǔ)之上。如果一個企業(yè)沒有一項完備的安全策略。大多數(shù)精心設(shè)置的防火墻可能形同虛設(shè)，使整個專用網(wǎng)暴露給攻擊者。防火墻的組件在對防火墻的基準點、安全策略做出決策后，就可以決定其防火墻系統(tǒng)所要求的特定部件，通常一個防火墻由一個或多個組件組成：包過濾路由器、應(yīng)用級網(wǎng)關(guān)（或代理服務(wù)器）、電路級網(wǎng)關(guān)等等。針對網(wǎng)絡(luò)環(huán)境的應(yīng)用非常復(fù)雜的情況，用戶在考慮系統(tǒng)設(shè)計時，應(yīng)把網(wǎng)絡(luò)安全的重點放在應(yīng)用安全上，如郵件、域名、WWW等。通常防火墻提供的功能有：IP數(shù)據(jù)包過濾、應(yīng)用級代理服務(wù)器（如Proxy）、電路級代理服務(wù)器SOCKS（支持V4和V5）、域名系統(tǒng)安全保護DNS、網(wǎng)絡(luò)地址變換NAT、內(nèi)容過濾功能、支持報警與匯報功能、支持雙機備份和負載均衡、安全審計、自動檢查網(wǎng)絡(luò)中的漏洞、管理應(yīng)用代理及虛擬的專有網(wǎng)絡(luò)（VPN）功能的支持。此外，還有入侵檢測的功能，如識別諸如端口掃描、DoS 、UDP淹沒和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊，并對其做出響應(yīng)。代理和緩存（Proxy amp。 Caching）：通常，最終用戶和原始的 Web 服務(wù)器并不在同一局域網(wǎng)里面，它們之間的廣域網(wǎng)鏈路速度比較慢甚至完全是個瓶頸，而企業(yè)的安全策略也不允許用戶直接訪問外網(wǎng)的服務(wù)器，代理和緩存服務(wù)器就被用來代表著最終用戶來訪問外網(wǎng)服務(wù)器，同時利用緩存的內(nèi)容來加速用戶請求的相應(yīng)。緩存功能可以用來加速客戶響應(yīng)時間，減輕系統(tǒng)壓力。終端訪問的內(nèi)容被緩存在緩存和代理服務(wù)器中，同樣頁面內(nèi)容只需從原始服務(wù)器請求一次，大大減輕了網(wǎng)絡(luò)的擁塞，保留了網(wǎng)絡(luò)帶寬給別種業(yè)務(wù)。通常代理和緩存服務(wù)器功能要包括：前向代理服務(wù)器、反向代理服務(wù)器和透明代理服務(wù)器，同時代理和緩存服務(wù)器最好還要能緩存從網(wǎng)站來的諸如JSP和 Servlet 等生成的動態(tài)內(nèi)容。前向代理：將緩存代理服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，它作為用戶請求的代理服務(wù)器，通過緩存加速請求的響應(yīng)，同時它還能控制用戶訪問特定的URL。反向代理：把代理服務(wù)器放在Web 服務(wù)器的外側(cè)，代理和緩存服務(wù)器作為Web Server的代理服務(wù)器，它作為用戶訪問的Web Server，反向代理用戶的請求，通過后端Web服務(wù)器來響應(yīng)用戶請求。對用戶來說，代理和緩存服務(wù)器就是Web 服務(wù)器。此功能在提高Web 站點性能的同時，也極大的提高了系統(tǒng)的安全性。透明代理：通過與IP重定向軟件或硬件的集成，代理服務(wù)器自動代理所有的Web 訪問請求，客戶端軟件不知道中間有代理服務(wù)器的存在，此功能提高了系統(tǒng)的易用性和可管理性