网络工程设计与系统集成(杨威)第9章.ppt
《网络工程设计与系统集成(杨威)第9章.ppt》由会员分享,可在线阅读,更多相关《网络工程设计与系统集成(杨威)第9章.ppt(81页珍藏版)》请在冰点文库上搜索。
网络工程设计与系统集成,杨威山西师范大学网络信息中心,人民邮电出版社,(第2版)NetworkEngineeringDesignandSystemIntegration(2ndEdition),普通高等教育“十一五”国家级规划教材,2023/7/19,什么电子政务?
是否有过体验?
电子政务中你最关心的是什么?
如何解除在这些活动中的后顾之忧?
问题思考,2023/7/19,学习目标:
(1)了解电子政务网络总体架构,理解电子政务功能需求。
基本掌握电子政务技术方案设计内容,以及电子政务信息系统设计内容。
(2)了解城域网RRPP技术原理、MPLSVPN技术原理。
理解基于RRPP的城域网技术路线,基于VPN与MPLSVPN的安全逻辑隔离技术路线。
基本掌握屏蔽线敷设技术工艺,能够按照电子政务的需求,设计中小型电子政务网络技术解决方案。
(3)了解PKI基本知识,以及物理隔离网闸技术与使用范围。
理解办公专网概念、电子政务实体保密及PKI功能结构。
理解网络行为监管与审计技术应用要点。
理解关键业务数据集中存储备份、远程容灾与恢复技术方案。
基本掌握Windows安全通信技术,以及安全可信Web网站构建的技术。
第9章电子政务网络设计案例,2023/7/19,重点知识:
电子政务技术方案设计内容VPN与MPLS技术原理,VPN与MPLSVPN构建安全逻辑隔离系统屏蔽线敷设技术,涉密局域网布线Windows安全通信技术和可信网站设置技术难点知识:
PKI功能结构MPLSVPN构建安全逻辑隔离系统,第9章电子政务网络设计案例,2023/7/19,9.1电子政务概述,9.1.1电子政务网络总体架构电子政务是指政府机构利用信息化手段,实现各类政府职能。
其核心是应用信息技术,提高政府事务处理的效率,改善政府组织和公共管理。
背景:
信息技术的飞速发展发达国家提出“电子政务(电子政府)计划”我国的电子政务,2023/7/19,电子政务网络体系架构,2023/7/19,9.1.2市级电子政务功能需求,电子政务城域网基本功能需求支持政府部门横向信息共享和交互平台支持政府各部门上下级纵向连接支持城域内各政府部门统一接入Internet,2023/7/19,电子政务城域网建设要求,城域网关键性业务的可靠性保障政府部门业务系统安全隔离和受控互访特殊应用系统QoS保证降低城域网管理维护复杂度和成本数据中心安全防护,2023/7/19,9.2市级电子政务城域网设计,电子政务城域骨干网电子政务信息系统城域网的汇聚与接入基于EPON的接入,2023/7/19,9.2.1电子政务城域骨干网,电子政务城域网结构设计,2023/7/19,城域网核心层RRPP技术,RRPP技术是一种专门用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴。
当以太网环上链路或设备故障时,能保证链路倒换时间为50ms以内,业务倒换时间为50200ms,保证业务快速恢复.RRPP与STP(生成树协议)相比,RRPP具有算法简单、拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势。
RRPP技术没有改变传统以太网的硬件,所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性。
RRPP与RPR技术相比,RRPP是一种低成本的自愈环网技术。
2023/7/19,逻辑子网VLAN划分,电子政务城域网的逻辑拓扑可划分为若干VLAN(虚拟子网),VLAN不受设备物理位置的限制,灵活性较大。
市政府、市委服务器群单独划分子网,将各种主要服务器(Web、Mail、FTP、OA、VOD、数据库等)放在一个子网内便于管理和维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。
另外,交换机(包括全网核心层、汇聚层和接入层交换机)的管理划分单独子网。
其他子网可按电子政务系统的职责范围划分,采用多个VLAN管理。
2023/7/19,9.2.2电子政务信息系统,公共服务网站整体架构,2023/7/19,电子政务业务模型,根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域。
其业务模型可以用下图表示。
图电子政务业务模型,面向社会公众和企业组织,为其提供政策、法规、条例和流程的查询服务。
借助互联网实现政府机构的对外办公,如:
申请、申报等,提高政府的运作效率,增加透明度。
以信息化手段提高政府机构内部办公的效率,如:
公文报送、信息通知和信息查询等。
2023/7/19,电子政务信息流,在电子政务系统中主要存在三种信息流,如下图所示。
图电子政务信息流模型,2023/7/19,电子政务体系结构,构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。
如图所示。
图电子政务平台系统结构,2023/7/19,电子政务信息系统功能结构,电子政务信息系统一般分为政府公共服务网站和政府内部办公网站,其功能结构如图所示。
图电子政务系统功能结构图,2023/7/19,政务处理逻辑结构,4.政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层,如图所示。
图电子政务处理逻辑结构,2023/7/19,9.2.3城域网的汇聚与接入,设计思想汇聚层设备可以采用路由器(支持E1接入),也可以采用交换机(支持GE/FE接入)。
汇聚层设备要求支持MPLSVPN,能够承担PE(ProviderEdge,骨干网中的边缘设备)的功能,并需要支持NAT(地址转换)功能,以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址。
考虑某市各县经济情况、县区大小,各县网络机房需要配置不同型号的路由交换机、路由器、交换机、服务器等设备。
通常,市政府与所辖的区政府位于同一个城市,可采用1Gbit/s路由交换机上连市电子政务骨干网。
县政府与市政府之间距离较近,可采用路由器上连电子政务骨干网。
上连的设备均要支持MPLSVPN,便于纵向业务访问。
2023/7/19,技术方案,2023/7/19,通信安全,为了保证各系统办公数据的全程安全,仅在MPLS网络上进行VPN隔离是不够的,还必须在接入端以下对不同部门的数据进行隔离。
在条件允许的情况下,不同的部门局域网通过不同的边界路由器接入MPLS网络中,这些部门在接入侧隔离,如图9.7所示,2023/7/19,9.2.4基于EPON的接入,例如,市地税局下属8个税务所,分布在城市的不同街道或路段,均在10km范围内。
每个税务所约有520台业务终端。
按照华为EPON技术方案,OLT设备选用S6503,配置SalienceIII型交换路由板,配置LS8M1PT8GA(8端口吉比特EPON业务板,与ONU之间的最大传输距离为10km)。
S6503安置在市地税局大楼机房,2023/7/19,网络屏蔽线安装技术电子政务办公专网拓扑结构电子政务专网的安全体系结构,9.3市级电子政务专网设计,2023/7/19,9.3.1超五类屏蔽双绞线安装技术,屏蔽布线系统必须是从终点到终点的连续的屏蔽路径。
例如,AMPNETCONNECT屏蔽布线系统从工作区域的信息插座,双绞线,配线架,RJ45跳线,组成了从终点到终点的连续的屏蔽路径。
屏蔽路径结构示意,如图9.3所示。
屏蔽系统所有设施应选择同一品牌的产品。
通常屏蔽系统设计时充分考虑了接续的连续性。
在水平子系统FTP连接的两端,RJ45屏蔽接口的屏蔽金属壳与RJ45接头的金属包覆套采用紧密嵌套接合,确保跳线和接口完全充分的接触。
例如,AMP4对FTP线有锡箔屏蔽包覆层,屏蔽层内有一条接地线,这条接地线对于降低接地电阻,并保持一个低的接地电阻有重要作用。
2023/7/19,屏蔽布线安装工艺要求,屏蔽层的续接密实、连续;一个完全紧密的接地系统会提高屏蔽系统的整体性能,降低接地电阻,并使其一直保持低于1欧姆的电阻值;每个配线架独立接地;每个配线架只有一个接地点;尽量缩短屏蔽线的开剥长度;保持双绞线转弯时有大于线径8倍的弯曲半径。
2023/7/19,9.3.2电子政务办公专网拓扑结构,2023/7/19,9.3.3电子政务专网的安全体系结构,2023/7/19,9.4网络存储技术方案,多服务器集中存储远程灾难备份与恢复,2023/7/19,9.4.1多服务器集中存储,面对多服务器存储管理,需要采用安全、可靠、稳定及低成本的IP存储技术方案。
利用IPSAN自带的备份软件的实时或定时备份功能,能够实现备份工作自动化、制度化和全面化,为系统提供更高层次的安全保障和可靠性。
多服务器集中存储网络,使用H3C的S5100-24P-EI(提供24个1Gbit/s电口),连接Web网站、工作流计划系统、资源库、数据库、身份认证与审计系统、电子政务信息系统(数据库)等服务器的1Gbit/s网卡和EX1000S,组成IPSAN存储系统。
EX1000S配置250GB的SATAII磁盘20块,采用RAID5+热补,可用存储容量4.5TB。
服务器通过iSCSI驱动程序(免费),将数据集中到存储系统中。
2023/7/19,多服务器集中存储拓扑结构,2023/7/19,9.4.2远程灾难备份与恢复,远程灾难备份与恢复技术支持在数据中心与灾难备份中心之间通过IP网络对关键业务数据进行策略性增量复制,实现数据的异地备份,并在发生意外灾难时对数据进行快速恢复,确保客户的业务持续性。
2023/7/19,9.5电子政务安全技术,电子政务PKI部署电子政务业务隔离电子政务业务互访电子政务安全通信点对点的通信安全网络行为监管与审计,2023/7/19,9.5.1电子政务PKI部署,PKI定义与作用PKI(PublicKeyInfrastructure,公钥基础设施)是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
2023/7/19,PKI定义与作用,PKI是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。
PKI基于非对称公钥体制,采用数字证书管理机制,可以为透明地为网上应用提供上述各种安全服务,极大地保证了网上应用的安全性。
2023/7/19,PKI组成与功能,PKI系统可划分为四个功能区域,即核心安全区、审核管理区、在线服务区、本地审核受理点(LRA)区,2023/7/19,PKI功能结构,PKI系统功能采用三级架构。
2023/7/19,PKI的安全机制,安全平台能够提供智能化的信任与有效授权服务。
其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题。
授权服务主要是解决在网络中“每个实体能干什么”的问题。
例如,张三发送一个合约给李四,李四可要求张三进行数字签名。
签名后的合约不仅李四可以验证其完整性,其他人也可以验证该合约确实是张三签发的。
而所有的人,包括李四,都没有模仿张三签署这个合约的能力。
2023/7/19,保密文件特性
(1)防假冒。
通过数字签名进行身份认证。
例如,某用户自己申请了证书(私钥),获得了数字标识,可以实现向别人发送“数字签名”的邮件,别人就可以判断相关邮件确实是该用户发送的。
(2)保密性。
只有收件人才能解密查看。
(3)完整性。
保证邮件没有被中途篡改。
(4)不可否认性。
发件人的数字证书中的“私钥”只有发件人唯一拥有,发件人利用其数字证书在传送前对电子邮件进行数字签名,发件人就无法否认发送过这个电子邮件。
数字证书与加密,2023/7/19,数字证书应集成加密与签名的双重安全措施,以确保电子文件的真实性和保密性。
对于企业或组织内部的邮件用户无需到Internet上申请,可以由管理员统一发放和管理证书。
正常情况下用户自己的证书中含有“私人密钥”和“公用密钥”。
“私钥”只有用户自己拥有,而“公钥”是发放给大家的,别人拿到的用户的证书只含有“公钥”,数字证书与S/MIME,2023/7/19,非对称加密,对称加密使用相同的密钥加密和解密数据,它的主要困难是密钥必须在保密通信涉及双方之间传递。
1976年,WhitfieldDiffie和MartinHellman发明了一个叫做非对称(Asymmetric)或公共密钥(Public-key)加密方法,作为对称加密的替换。
通过公钥密码算法,通常是RSA算法,能生成一对密钥A和B。
用密钥A加密的信息,只能由密钥B才能解密;同样用密钥B加密的信息,也只有由密钥A才能解密。
为了应用,密钥的主人要把这对密钥中的一条(密钥A)公开出去,交给其他人,而把另一条(密钥B)留给自己保存。
习惯上把公开出去的密钥叫做公钥,而留给自己保存的密钥叫做私钥。
构造证书的最常见格式是X.509v3,由ITU发布。
X.509v3证书包含的信息:
版本,序列号,签名算法,发出者姓名,合法性期限,主题名称,主题公共密钥数据,发出者唯一标识符,主题唯一标识符和扩展。
最后提供的信息是证书的数字签名,由发出者创建,2023/7/19,邮件数字签名过程,当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;然后使用自己的私钥对指纹进行加密。
接受者能使用他的公钥进行解密,然后重新生成指纹进行比较。
这样可以保证邮件是由他本人发送的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称为数字签名和核实。
2023/7/19,9.5.2电子政务业务隔离,基于VLAN的业务隔离VLAN是在以太网的二层建立数据帧标签(FrameTag),使不同的标签数据帧通信被隔离。
只有通过第三层交换,不同标签数据帧才可通信。
在实际中,考虑到MAC地址易篡改和IP易盗用,电子政府分支部门(如县级工商局不同业务科室)多采用基于端口的VLAN。
2023/7/19,基于VPN的业务隔离,1.VPN技术要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网,VPN采用了一种称之为隧道的技术。
基于隧道的VPN网络,2023/7/19,1.VPN技术,根据ISO模型,VPN的主要协议如表所示。
表VPN的主要协议标准,2023/7/19,3.VPN类型,
(1)AccessVPN(远程访问虚拟专网)
(2)IntranetVPN(内部虚拟专网)(3)ExtranetVPN(扩展内部虚拟专网),该类型与传统的远程访问网络相对应。
在AccessVPN方式下,远端用户不需要通过长途电话拨号到政府远程接入端口,而是拨号接入到用户本地的ISP,利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。
该类型与政府内部的Intranet相对应。
在IntranetVPN方式下,政府两个异地机构的局域网互连不租用专线,而是政府分支机构网络利用VPN特性可以在ChinaNET上组建省、市和县范围内的IntranetVPN。
该类型与政府网和相关企业网、教育网所构成的Extranet相对应。
该类型与IntranetVPN没有本质的区别,但由于是不同集团用户的网络相互通信,所以要更多的考虑设备的互连,地址的协调,安全策略的协商等问题。
2023/7/19,基于VPN的业务隔离,例如,市工商局下属有2个工商所,工商所与局机关分别相距6.2Km9.6Km。
工商局和下属2个所均建立了办公局域网,通过支持VPN接口的防火墙连接电子政务城域网。
工商所分支网络与工商局网络分别建立安全隧道后,工商所分支网络可以与工商局网络安全通信,工商所分支网络之间也可以安全通信。
这样大大的减少了隧道的配置条数。
2023/7/19,多协议标签交换技术(MPLS,MultiProtocolLabelSwitching)是在Cisco公司所提出来的TagSwitching技术基础上发展起来的,属于第三层交换技术。
基于MPLS的业务隔离,边缘路由器,交换路由器,交换路径,交换路径,2023/7/19,MPLS的工作流程,LSR可以看作是ATM交换机与传统路由器的结合,由控制单元和交换单元组成。
LER的作用是分析IP包头,决定相应的传送级别和标签交换路径(LSP)。
网络边缘行为。
当IP数据包到达一个LER时,MPLS第一次应用标记网络核心行为。
当一个带有标记的包到达LSR的时候,LSR提取入局标记,同时以它作为索引在标记信息库中查找。
建立标记交换路径。
第一种,逐跳寻径(HopbyHop)路由,第二种,显式路由。
ER-LSP从源端到目的端建立一条直接的端到端的路径。
MPLS将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。
2023/7/19,MPLSVPN框架结构中包括P(Prouters)、PE(ProviderEdge)、CE(CustomEdge)等设备。
P代表骨干网中不与CE直接相连的路由器,不感知VPN。
PE代表骨干网中的边缘路由器,它直接与用户的CE相连,实施VPN主要功能。
CE代表用户网络中直接与骨干网相连的边缘设备(路由器或防火墙),不感知VPN,只需支持标准的IP功能即可。
三种设备中,真正参与VPN业务部署的只有PE设备,也就是说MPLSVPN业务的智能化和业务压力都集中在PE设备上。
基于MPLSVPN的纵向业务隔离,2023/7/19,基于HoPE的MPLSVPN结构,华为公司在2002年提出的分层PE技术(HoPE,HierarchyofPE)很好地修补了三层MPLSVPN技术的先天不足,在网络建构成本许可的前提下,享受MPLSVPN的好处。
在这种架构中,UPE功能和传统的PE一样,但性能要求要低得多,而SPE要在传统PE的基础上增加功能.,2023/7/19,9.5.3电子政务业务互访,电子政务业务互访设计电子政务网按照功能不同可为纵向业务区、公众服务区和资源共享区3个独立区域。
纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网,负责传送各政府部门自身的业务数据,彼此之间严格安全隔离。
公众服务区是电子政务外网上划分出的对公众服务的部分,包括各类Web/FTP公众服务器,2023/7/19,纵向业务系统对Internet和公众服务区的访问,纵向业务系统访问互联网或公众服务区时,要在纵向业务区的边界路由器(可能在PE上,也可能在边界防火墙上)上设置NAT协议。
通过NAT,将纵向业务区用户的私有网络地址(如192.169.0.0)翻译成电子政务外网统一分配的地址,以这个地址实现对公众服务区(公众服务器同样分配电子政务外网地址)访问和对互联网的访问,2023/7/19,纵向业务系统对共享资源区的访问,纵向业务系统用户访问共享资源区时,纵向业务系统用户不直接访问共享资源区,而是通过前置机方式访问。
纵向业务系统(如工商)将自己需要和其余纵向业务系统(如国税、地税)交互的数据通过安全方式(如隔离网闸),由内部服务器导入到前置机上。
所有纵向业务系统的前置机设置成一个单独的VPN,共享资源区设置成一个共享VPN,2023/7/19,9.5.4电子政务安全通信,安全套接层协议,SSL是一种安全性很高的认证方式,是通过SSL安全机制使用的数字证书。
SSL位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。
SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。
使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器;而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
2023/7/19,HTTPS协议安全超文本传输协议,HTTPS(SecureHypertextTransferProtocol,安全超文本传输协议)是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。
HTTPS实际上是应用了SSL作为HTTP应用层的子层。
HTTPS的端口是443,HTTP的端口是80。
SSL使用40或128位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。
HTTPS和SSL支持使用X.509数字认证,用户可以确认发送者是谁。
2023/7/19,IPSec协议Internet协议安全性,IPSec可用于保护在两台计算机(如应用程序服务器和数据库服务器)之间传送的数据的安全。
因为IPSec加密、完整性和身份验证等服务是在传输层实现,IPSec对应用程序来说是完全透明的。
应用程序可以继续使用TCP端口和UDP端口以正常方式相互通信。
使用IPSec,可以对两台计算机之间传送的所有数据加密,从而实现消息机密性。
在两台计算机之间提供消息完整性,但不加密数据。
在两台计算机(而非用户)之间相互验证身份。
例如,可以建立只允许特定客户端计算机(如应用程序服务器或Web服务器)所发请求的策略,从而帮助保护数据库服务器的安全。
也可以限制只与特定的IP协议和TCP/UDP端口通信。
2023/7/19,RPC加密远程过程调用加密,RPC提供一套可配置的身份验证级别,范围从无身份验证(和无数据保护)到参数状态的完全加密。
最安全的级别(RPC数据包保密性)会为每一个远程过程调用,及由此产生的每一个DCOM方法调用的参数状态加密。
RPC加密级别(40位或128位)取决于客户端计算机和服务器计算机上运行的Windows操作系统版本。
2023/7/19,点对点安全性,安全通信的典型Web部署模型点对点通信情况大致可分为:
浏览器到Web服务器,Web服务器到远程应用程序服务器,以及应用程序服务器到数据库服务器等三种。
在这三种点到点通信中,使用SSL、IPSec和RPC加密,保护每一个通道的安全,如图9.10所示,2023/7/19,Windows身份验证,平台级身份验证基本身份验证。
可使用IIS配置Web服务(WebServices)的虚拟目录,以便进行基本身份验证。
使用此方法,客户端必须配置代理服务器,并提供用户名和密码形式的凭据。
然后代理服务器将通过它的每个Web服务请求一起传输。
凭据是以明文形式传输的,使用基于SSL(SecureSocketLayer,安全套接层)的基本身份验证集成的Windows身份验证。
可使用IIS配置Web服务的虚拟目录,根据客户端和服务器环境不同,进行KerberosV5身份验证。
相对于基本身份验证,这种方法的优点是凭据不通过网络传递,从而排除了网络窃听的威胁。
将服务器配置为集成Windows身份验证的WebServices,客户必须显式地配置代理服务器上的“凭据”属性,2023/7/19,9.5.6网络行为监管与审计,网络行为事先预防网络行为事中监控网络行为事后审计,2023/7/19,安全渗透网络全局,用户接入网络主机,网络传输设备,安全策略服务器,隔离区域,RG-SAM锐捷认证系统,RG-SMP安全管理平台,RG-RES(安全修复系统),用户认证信息,802.1x,用户认证信息,Radius,B用户安全策略判断,A用户身份认证识别,用户网络访问权限,Radius,RG-SA锐捷安全客户端,安全访问权限执行,802.1x,安全信息通知,用户入网强制安全,2023/7/19,用户接入网络主机,网络传输设备,安全策略服务器,隔离区域,RG-SMP安全管理平台,RG-RES(安全修复系统),安全事件,RG-SA锐捷安全客户端,安全规则执行,安全信息通知,RG-SWITCH锐捷安全联动设备,安全事件,安全事件判断,调用相应安全规则,安全渗透网络全局,网络安全事件的自动防御,根据不同的安全事件,将相应的安全策略下发到安全联动设备中或者安全客户端上,从而保证用户系统免受安全攻击。
自动防御,2023/7/19,源地址检查,网络中心,PingSweep,防止用户对网络的扫描,ACL功能,强大的ACL功能、提供标准、扩展、基于时间以及专家级ACL,全
升级会员 