【正文】 擇并實現(xiàn) ? 物理、鏈路、網(wǎng)絡(luò)層的安全 ? 操作系統(tǒng)的安全 ? 應(yīng)用平臺的安全 – 第五步：安全產(chǎn)品的選型及測試 ? 按照企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品的功能規(guī)范 ? 測試范圍：功能、性能、可用性 111 安全技術(shù) ? 防火墻技術(shù) ? 防火墻應(yīng)用展開 ? 相關(guān)技術(shù)應(yīng)用說明 – 透明訪問 – NAT – VPN 112 防火墻技術(shù) ? 概念 – 防火墻是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與 Inter 之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來保護內(nèi)部網(wǎng)絡(luò)。 ? 實現(xiàn)： – 防火墻簡單的可以只用路由器實現(xiàn)，復(fù)雜的可以用主機甚至一個子網(wǎng)來實現(xiàn)。 ? 目的： – 在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。 113 防火墻技術(shù) 1 ?功能： –過濾掉不安全服務(wù)和非法用戶 –控制對特殊站點的訪問 –提供監(jiān)視 Inter 安全和預(yù)警的方便端點 114 防火墻技術(shù) 2 115 防火墻技術(shù) 3 技術(shù)分類 ?報文過濾 –是在 IP 層實現(xiàn)的，可以只用路由器完成。 ?應(yīng)用層網(wǎng)關(guān) –方式多種多樣 116 防火墻技術(shù)展開 ? 應(yīng)用代理服務(wù)器（ Application Gateway Proxy） ? 回路級代理服務(wù)器 ? 代管服務(wù)器 ? IP 通道（ IP Tunnels） ? 網(wǎng)絡(luò)地址轉(zhuǎn)換器 (NAT Network Address Translate) ? 隔離域名服務(wù)器（ Split Domain Name Server ） ? 郵件技術(shù)（ Mail Forwarding） 117 應(yīng)用代理服務(wù)器 ? 原理： – 在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。 ? 優(yōu)點： – 應(yīng)用網(wǎng)關(guān)代理的優(yōu)點是既可以隱藏內(nèi)部 IP 地址，也可以給單個用戶授權(quán)，即使攻擊者盜用了一個合法的 IP 地址，也通不過嚴(yán)格的身份認(rèn)證。因此應(yīng)用網(wǎng)關(guān)比報文過濾具有更高的安全性。 ? 缺點： – 這種認(rèn)證使得應(yīng)用網(wǎng)關(guān)不透明 – 用戶每次連接都要認(rèn)證，帶來許多不便。 – 需要為每個應(yīng)用寫專門的程序。 118 回路級代理服務(wù)器 ?即通常意義的代理服務(wù)器，適用于多個協(xié)議，不能解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息，因此回路級代理服務(wù)器通常要求修改過的用戶程序。 ?應(yīng)用：套接字服務(wù)器（ Sockets Server）就是回路級代理服務(wù)器。 119 代管服務(wù)器 ? 技術(shù)： – 把不安全的服務(wù)如 FTP、 Tel 等放到防火墻上，使之同時充當(dāng)服務(wù)器，對外部的請求作出回答。 ? 優(yōu)點： – 不必為每種服務(wù)專門寫程序。 – 而且，受保護網(wǎng)內(nèi)部用戶想對外部網(wǎng)訪問時，也需先登錄到防火墻上，再向外提出請求，這樣從外部網(wǎng)向內(nèi)就只能看到防火墻，從而隱藏了內(nèi)部地址，提高了安全性。 120 IP 通道（ IP Tunnels） ?應(yīng)用：一個大公司的兩個子公司相隔較遠，通過 Inter 通信。這種情況下，可以采用 IP Tunnels 來防止 Inter 上的黑客截取信息。 ?從而在 Inter 上形成一個虛擬的企業(yè)網(wǎng)。 121 網(wǎng)絡(luò)地址轉(zhuǎn)換器 ? 問題： – 當(dāng)受保護網(wǎng)連到 Inter 上時，受保護網(wǎng)用戶若要訪問Inter，必須使用一個合法的 IP 地址。但由于合法 Inter IP 地址有限，而且受保護網(wǎng)絡(luò)往往有自己的一套 IP 地址規(guī)劃（非正式 IP 地址）。 ? 轉(zhuǎn)換器的價值：在防火墻上裝一個合法 IP地址集。 – 當(dāng)內(nèi)部某一用戶要訪問 Inter 時，防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。 – 同時，對于內(nèi)部的某些服務(wù)器如 Web 服務(wù)器，網(wǎng)絡(luò)地址轉(zhuǎn)換器允許為其分配一個固定的合法地址。 122 隔離域名服務(wù)器 ? 原理： – 通過防火墻將受保護網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)的域名服務(wù)器隔離 ? 應(yīng)用： – 外部網(wǎng)的域名服務(wù)器只能看到防火墻的 IP 地址，無法了解受保護網(wǎng)絡(luò)的具體情況 – 可以保證受護網(wǎng)絡(luò)的 IP 地址不被外網(wǎng)知悉。 123 郵件處理 ?作用： –外部網(wǎng)絡(luò)只知道防火墻的 IP地址和域名時，從外部網(wǎng)絡(luò)發(fā)來的郵件，就只能送到防火墻上。 ?內(nèi)部處理： –防火墻對郵件進行檢查，只有當(dāng)發(fā)送郵件的源主機是被允許通過的，防火墻才對郵件的目的地址進行轉(zhuǎn)換，送到內(nèi)部的郵件服務(wù)器，由其進行轉(zhuǎn)發(fā)。 124 透明網(wǎng)關(guān)方式圖示 125 透明代理模式 ? 原來的網(wǎng)絡(luò)拓?fù)浜头?wù)器 IP地址都不需要改變 ? 只需在網(wǎng)絡(luò)的邊界上把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)做到物理上的隔離，安全網(wǎng)關(guān)對每個進出網(wǎng)絡(luò)的 IP數(shù)據(jù)包進行檢查和狀態(tài)檢測，把不合法的數(shù)據(jù)包阻擋在外。 ? 透明代理模式安全網(wǎng)關(guān)同樣支持 VPN，可以和遠程點建立安全隧道。 ? 因為網(wǎng)關(guān)本身使用公有固定 IP，總部局域網(wǎng)內(nèi)只有公有 IP的主機或服務(wù)器才能和遠端進行直接安全通信 ? 其他私有 IP的主機可通過代理服務(wù)器和遠端進行通信。 126 NAT模式 127 NAT模式 ? 將安全網(wǎng)關(guān)的 WAN口接路由器， LAN口接局域網(wǎng)交換機，將服務(wù)器群單獨劃分一個網(wǎng)段，將該網(wǎng)段的交換機接到安全網(wǎng)關(guān)的 DMZ口上。 ? 公共服務(wù)器通過安全網(wǎng)關(guān)的靜態(tài)地址映射功能使用電信給信息中心分配的不同的公有 IP地址對外部網(wǎng)絡(luò)提供服務(wù)。 ? 安全網(wǎng)關(guān)的端口映射 (NAPT)功能通過把各種服務(wù)的特定端口相應(yīng)地映射到每臺服務(wù)器的該端口上使公有 IP可以提供多種服務(wù)。 128 VPN ? 類型： – 遠程訪問虛擬網(wǎng)（ Access VPN） – 企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN） – 和企業(yè)擴展虛擬網(wǎng)（ Extra VPN） ? 分別與 – 傳統(tǒng)的遠程訪問網(wǎng)絡(luò) – 企業(yè)內(nèi)部的 Intra – 企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra 相對應(yīng)。 129 VPN的設(shè)計原則 ? 安全性 – VPN 直接構(gòu)建在公用網(wǎng)上，其安全問題更為突出。 – 企業(yè)必須確保其數(shù)據(jù)不被攻擊者窺視和篡改。 – Extra VPN 對安全性提出了更高的要求。 ? 網(wǎng)絡(luò)資源的優(yōu)化使用 – 構(gòu)建 VPN 的一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。 – 廣域網(wǎng)流量的不確定性使其帶寬的利用率很低， QoS 通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源。 ? 可管理能力 – 目標(biāo)：減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。 – 內(nèi)容：包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、 QoS 管理等內(nèi)容。 130 網(wǎng)絡(luò)系統(tǒng)方案設(shè)計交付 ? 產(chǎn)生《網(wǎng)絡(luò)系統(tǒng)方案》 ? 與用戶交互修改，形成終稿，并確認(rèn)。 131 6 網(wǎng)絡(luò)施工方案設(shè)計 ?布線系統(tǒng)的組成 ?布線產(chǎn)品與整個系統(tǒng)的對應(yīng)關(guān)系 ?設(shè)計要點 132 綜合布線系統(tǒng)的組成 建筑群子系統(tǒng) 設(shè)備間子系統(tǒng) 垂直干線子系統(tǒng) 水平子系統(tǒng) 工作區(qū)子系統(tǒng) 網(wǎng)管中心 豎井 管理子系統(tǒng) 133 不同子系統(tǒng)的產(chǎn)品選型 室外光纜及連接器 建筑群子系統(tǒng) 配線機柜、配線架、理線架、 UTP跳線、光跳線 設(shè)備間子系統(tǒng) 雙絞線、光纜及連接器 干線子系統(tǒng) 配線架、理線架、 UTP跳線 管理子系統(tǒng) 雙絞線 水平子系統(tǒng) 信息插座、 UTP跳線 (終端線 ) 工作區(qū)子系統(tǒng) 布線產(chǎn)品選型內(nèi)容 應(yīng)用場合 134 綜合布線系統(tǒng)設(shè)計要點 ? 線纜選擇 ? 布線線路的分布及路由設(shè)計 ? 網(wǎng)絡(luò)機房規(guī)劃與設(shè)計 ? 綜合布線系統(tǒng)與網(wǎng)絡(luò)的整合 135 線纜選擇 帶寬明顯，施工困難，費用較高，用于主干網(wǎng)絡(luò)連接 建筑內(nèi)主流介質(zhì) 基本退出市場 評價 端口費用高 低廉 安裝費低，維護費 用高 費用 不受電磁干擾，不受雷擊 耐受通常的電磁干擾，易受雷擊 耐強電磁干擾，不合綜合布線規(guī)范 電磁環(huán)境 實際達到 40km 550m(1000Mhz) 500m(75歐 )粗纜 100Mhz以下無定義 2km(100Mhz以下 ) 100m 188m(50歐 )細(xì)纜 最大距離 10~600 10~400 10~200 10MHz 帶寬 (MHz/km) 單模 多模 UTP 同軸電纜 光纖 銅纜 對比項目 136 線路的分布及路由設(shè)計 1 ? 線纜鋪設(shè) –室內(nèi)：布線施工中通常埋設(shè)在 PVC管或線槽中 –室外的光纜鋪設(shè)： ? 管道：機械保護、外觀好，投資較高 ? 直埋：機械保護、外觀好，投資小，維護成本高 ? 架空：借用原有桿投資小，安全性不佳，外觀 … 137 線路的分布及路由設(shè)計 2 ?線路結(jié)構(gòu)分布 – 拓樸結(jié)構(gòu)通常都采用星形，或多層星的樹形 – 室外結(jié)構(gòu)采用單 /雙星結(jié)構(gòu) – 建筑內(nèi)布線采用集中式 /分布式 138 線路的分布及路由設(shè)計 3 ?布線路由選擇 – 路由選擇很重要 – 在長度限制允許的情況下，線比人工便宜 – 多共用管道和集中路徑，便于管理及降低成本 139 網(wǎng)絡(luò)機房規(guī)劃與設(shè)計 ? 與機房規(guī)劃設(shè)計相關(guān)的要素 – 選址 – 布局 – 供電系統(tǒng) – 接地系統(tǒng) – 空調(diào) /通風(fēng)系統(tǒng) – 靜電防護 – 照明 – 機柜設(shè)計及配置 140 施工方案 (略 ) ? 網(wǎng)絡(luò)施工方案與建筑工程相類近。 ? 報價應(yīng)計入總體的網(wǎng)絡(luò)設(shè)計方案中 141 7 系統(tǒng)集成標(biāo)書的制做 ? 招標(biāo)方的常見要求和評價方法 ? 投標(biāo)書的組成 Q9 退出 142 招標(biāo)方的常見要求和評價點 ? 技術(shù)方案 – 是否滿足標(biāo)的入門條件 – 論證思路是否清晰 – 建議性的方案價值 ? 實施的組織管理方法、工程進度 ? 工程造價 – 同一設(shè)備的單價比較 – 付款方式 ? 售后服務(wù)與承諾 – 備品支持、保用期、維護響應(yīng)承諾，其它承諾 ? 集成商的資質(zhì) 143 投標(biāo)書的組成 1 ?第一部分：方案計劃 – 技術(shù)方案 ?完整的需求、分析、設(shè)計方案 – 工程項目實施計劃 ? 進度計劃、人力資源投入計劃、項目組織 – 售后服務(wù)與承諾 ? 維護響應(yīng)、軟件升級、培訓(xùn)支持等 144 投標(biāo)書的組成 2 ? 第二部分：報價 – 硬件采購成本 ? 清晰的基本報價單元 ? 提供多個選購方案的組合 – 安裝、施工、調(diào)試費 ? 明確到不同素質(zhì)的人 .天報價 – 綜合項目 ? 不可預(yù)見費 ? 集成費用 (也可直列為利潤 ) ： 明確比例或金額 ? 稅費、行政費用、公證等 – 各種優(yōu)惠明目 – 總報價組合 (通?？梢蕴峁┒嗵追桨竷r ) 145 投標(biāo)書的組成 3 ? 第三部分：附件 —各類資質(zhì)證明 – 投標(biāo)人資質(zhì) ? 法人執(zhí)照 ? 集成資質(zhì) ? 專項工程設(shè)計證書 ? ISO9000系列認(rèn)證材料 ? 其它各類：高新企業(yè)、財務(wù)評審、代理證明、產(chǎn)品鑒定 …. – 項目負(fù)責(zé) /實施人的材料 ? 職、責(zé)、簡歷、認(rèn)證情況、業(yè)績、證明文件 – 投標(biāo)單位的相關(guān)項目經(jīng)歷 /成功案例 ? 清單、每個項目的合同要點、證明材料 … 146 投標(biāo)書的組成 4 ? 交付物的賣點 – 厚度 – 包裝 ：封面、目錄、前 3頁的內(nèi)容、紙張 – 工整的排版 – 內(nèi)容亮點 /特點 147 交流與溝通 謝 謝 148 演講完畢，謝謝觀看！