【正文】 擇并實現 ? 物理、鏈路、網絡層的安全 ? 操作系統的安全 ? 應用平臺的安全 – 第五步：安全產品的選型及測試 ? 按照企業(yè)信息與網絡系統安全產品的功能規(guī)范 ? 測試范圍：功能、性能、可用性 111 安全技術 ? 防火墻技術 ? 防火墻應用展開 ? 相關技術應用說明 – 透明訪問 – NAT – VPN 112 防火墻技術 ? 概念 – 防火墻是一類防范措施的總稱，它使得內部網絡與 Inter 之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。 ? 實現： – 防火墻簡單的可以只用路由器實現，復雜的可以用主機甚至一個子網來實現。 ? 目的： – 在內網與外網之間設立唯一的通道，簡化網絡的安全管理。 113 防火墻技術 1 ?功能： –過濾掉不安全服務和非法用戶 –控制對特殊站點的訪問 –提供監(jiān)視 Inter 安全和預警的方便端點 114 防火墻技術 2 115 防火墻技術 3 技術分類 ?報文過濾 –是在 IP 層實現的，可以只用路由器完成。 ?應用層網關 –方式多種多樣 116 防火墻技術展開 ? 應用代理服務器（ Application Gateway Proxy） ? 回路級代理服務器 ? 代管服務器 ? IP 通道（ IP Tunnels） ? 網絡地址轉換器 (NAT Network Address Translate) ? 隔離域名服務器（ Split Domain Name Server ） ? 郵件技術（ Mail Forwarding） 117 應用代理服務器 ? 原理： – 在網絡應用層提供授權檢查及代理服務。 ? 優(yōu)點： – 應用網關代理的優(yōu)點是既可以隱藏內部 IP 地址，也可以給單個用戶授權，即使攻擊者盜用了一個合法的 IP 地址，也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。 ? 缺點： – 這種認證使得應用網關不透明 – 用戶每次連接都要認證，帶來許多不便。 – 需要為每個應用寫專門的程序。 118 回路級代理服務器 ?即通常意義的代理服務器，適用于多個協議，不能解釋應用協議，需要通過其他方式來獲得信息，因此回路級代理服務器通常要求修改過的用戶程序。 ?應用：套接字服務器（ Sockets Server）就是回路級代理服務器。 119 代管服務器 ? 技術： – 把不安全的服務如 FTP、 Tel 等放到防火墻上，使之同時充當服務器，對外部的請求作出回答。 ? 優(yōu)點： – 不必為每種服務專門寫程序。 – 而且，受保護網內部用戶想對外部網訪問時，也需先登錄到防火墻上，再向外提出請求，這樣從外部網向內就只能看到防火墻，從而隱藏了內部地址，提高了安全性。 120 IP 通道（ IP Tunnels） ?應用：一個大公司的兩個子公司相隔較遠，通過 Inter 通信。這種情況下，可以采用 IP Tunnels 來防止 Inter 上的黑客截取信息。 ?從而在 Inter 上形成一個虛擬的企業(yè)網。 121 網絡地址轉換器 ? 問題： – 當受保護網連到 Inter 上時，受保護網用戶若要訪問Inter，必須使用一個合法的 IP 地址。但由于合法 Inter IP 地址有限，而且受保護網絡往往有自己的一套 IP 地址規(guī)劃（非正式 IP 地址）。 ? 轉換器的價值：在防火墻上裝一個合法 IP地址集。 – 當內部某一用戶要訪問 Inter 時，防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。 – 同時，對于內部的某些服務器如 Web 服務器，網絡地址轉換器允許為其分配一個固定的合法地址。 122 隔離域名服務器 ? 原理： – 通過防火墻將受保護網絡的域名服務器與外部網的域名服務器隔離 ? 應用： – 外部網的域名服務器只能看到防火墻的 IP 地址，無法了解受保護網絡的具體情況 – 可以保證受護網絡的 IP 地址不被外網知悉。 123 郵件處理 ?作用： –外部網絡只知道防火墻的 IP地址和域名時，從外部網絡發(fā)來的郵件，就只能送到防火墻上。 ?內部處理： –防火墻對郵件進行檢查，只有當發(fā)送郵件的源主機是被允許通過的，防火墻才對郵件的目的地址進行轉換，送到內部的郵件服務器，由其進行轉發(fā)。 124 透明網關方式圖示 125 透明代理模式 ? 原來的網絡拓撲和服務器 IP地址都不需要改變 ? 只需在網絡的邊界上把內部網絡和外部網絡做到物理上的隔離，安全網關對每個進出網絡的 IP數據包進行檢查和狀態(tài)檢測，把不合法的數據包阻擋在外。 ? 透明代理模式安全網關同樣支持 VPN，可以和遠程點建立安全隧道。 ? 因為網關本身使用公有固定 IP，總部局域網內只有公有 IP的主機或服務器才能和遠端進行直接安全通信 ? 其他私有 IP的主機可通過代理服務器和遠端進行通信。 126 NAT模式 127 NAT模式 ? 將安全網關的 WAN口接路由器， LAN口接局域網交換機，將服務器群單獨劃分一個網段，將該網段的交換機接到安全網關的 DMZ口上。 ? 公共服務器通過安全網關的靜態(tài)地址映射功能使用電信給信息中心分配的不同的公有 IP地址對外部網絡提供服務。 ? 安全網關的端口映射 (NAPT)功能通過把各種服務的特定端口相應地映射到每臺服務器的該端口上使公有 IP可以提供多種服務。 128 VPN ? 類型： – 遠程訪問虛擬網（ Access VPN） – 企業(yè)內部虛擬網（ Intra VPN） – 和企業(yè)擴展虛擬網（ Extra VPN） ? 分別與 – 傳統的遠程訪問網絡 – 企業(yè)內部的 Intra – 企業(yè)網和相關合作伙伴的企業(yè)網所構成的 Extra 相對應。 129 VPN的設計原則 ? 安全性 – VPN 直接構建在公用網上，其安全問題更為突出。 – 企業(yè)必須確保其數據不被攻擊者窺視和篡改。 – Extra VPN 對安全性提出了更高的要求。 ? 網絡資源的優(yōu)化使用 – 構建 VPN 的一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。 – 廣域網流量的不確定性使其帶寬的利用率很低， QoS 通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源。 ? 可管理能力 – 目標：減小網絡風險、具有高擴展性、經濟性、高可靠性等優(yōu)點。 – 內容：包括安全管理、設備管理、配置管理、訪問控制列表管理、 QoS 管理等內容。 130 網絡系統方案設計交付 ? 產生《網絡系統方案》 ? 與用戶交互修改，形成終稿，并確認。 131 6 網絡施工方案設計 ?布線系統的組成 ?布線產品與整個系統的對應關系 ?設計要點 132 綜合布線系統的組成 建筑群子系統 設備間子系統 垂直干線子系統 水平子系統 工作區(qū)子系統 網管中心 豎井 管理子系統 133 不同子系統的產品選型 室外光纜及連接器 建筑群子系統 配線機柜、配線架、理線架、 UTP跳線、光跳線 設備間子系統 雙絞線、光纜及連接器 干線子系統 配線架、理線架、 UTP跳線 管理子系統 雙絞線 水平子系統 信息插座、 UTP跳線 (終端線 ) 工作區(qū)子系統 布線產品選型內容 應用場合 134 綜合布線系統設計要點 ? 線纜選擇 ? 布線線路的分布及路由設計 ? 網絡機房規(guī)劃與設計 ? 綜合布線系統與網絡的整合 135 線纜選擇 帶寬明顯，施工困難，費用較高，用于主干網絡連接 建筑內主流介質 基本退出市場 評價 端口費用高 低廉 安裝費低，維護費 用高 費用 不受電磁干擾，不受雷擊 耐受通常的電磁干擾，易受雷擊 耐強電磁干擾，不合綜合布線規(guī)范 電磁環(huán)境 實際達到 40km 550m(1000Mhz) 500m(75歐 )粗纜 100Mhz以下無定義 2km(100Mhz以下 ) 100m 188m(50歐 )細纜 最大距離 10~600 10~400 10~200 10MHz 帶寬 (MHz/km) 單模 多模 UTP 同軸電纜 光纖 銅纜 對比項目 136 線路的分布及路由設計 1 ? 線纜鋪設 –室內：布線施工中通常埋設在 PVC管或線槽中 –室外的光纜鋪設： ? 管道：機械保護、外觀好，投資較高 ? 直埋：機械保護、外觀好，投資小，維護成本高 ? 架空：借用原有桿投資小，安全性不佳，外觀 … 137 線路的分布及路由設計 2 ?線路結構分布 – 拓樸結構通常都采用星形，或多層星的樹形 – 室外結構采用單 /雙星結構 – 建筑內布線采用集中式 /分布式 138 線路的分布及路由設計 3 ?布線路由選擇 – 路由選擇很重要 – 在長度限制允許的情況下，線比人工便宜 – 多共用管道和集中路徑，便于管理及降低成本 139 網絡機房規(guī)劃與設計 ? 與機房規(guī)劃設計相關的要素 – 選址 – 布局 – 供電系統 – 接地系統 – 空調 /通風系統 – 靜電防護 – 照明 – 機柜設計及配置 140 施工方案 (略 ) ? 網絡施工方案與建筑工程相類近。 ? 報價應計入總體的網絡設計方案中 141 7 系統集成標書的制做 ? 招標方的常見要求和評價方法 ? 投標書的組成 Q9 退出 142 招標方的常見要求和評價點 ? 技術方案 – 是否滿足標的入門條件 – 論證思路是否清晰 – 建議性的方案價值 ? 實施的組織管理方法、工程進度 ? 工程造價 – 同一設備的單價比較 – 付款方式 ? 售后服務與承諾 – 備品支持、保用期、維護響應承諾，其它承諾 ? 集成商的資質 143 投標書的組成 1 ?第一部分：方案計劃 – 技術方案 ?完整的需求、分析、設計方案 – 工程項目實施計劃 ? 進度計劃、人力資源投入計劃、項目組織 – 售后服務與承諾 ? 維護響應、軟件升級、培訓支持等 144 投標書的組成 2 ? 第二部分：報價 – 硬件采購成本 ? 清晰的基本報價單元 ? 提供多個選購方案的組合 – 安裝、施工、調試費 ? 明確到不同素質的人 .天報價 – 綜合項目 ? 不可預見費 ? 集成費用 (也可直列為利潤 ) ： 明確比例或金額 ? 稅費、行政費用、公證等 – 各種優(yōu)惠明目 – 總報價組合 (通?？梢蕴峁┒嗵追桨竷r ) 145 投標書的組成 3 ? 第三部分：附件 —各類資質證明 – 投標人資質 ? 法人執(zhí)照 ? 集成資質 ? 專項工程設計證書 ? ISO9000系列認證材料 ? 其它各類：高新企業(yè)、財務評審、代理證明、產品鑒定 …. – 項目負責 /實施人的材料 ? 職、責、簡歷、認證情況、業(yè)績、證明文件 – 投標單位的相關項目經歷 /成功案例 ? 清單、每個項目的合同要點、證明材料 … 146 投標書的組成 4 ? 交付物的賣點 – 厚度 – 包裝 ：封面、目錄、前 3頁的內容、紙張 – 工整的排版 – 內容亮點 /特點 147 交流與溝通 謝 謝 148 演講完畢，謝謝觀看！