Download
1 / 40
400 likes | 581 Views
普通高等教育 “ 十一五 ” 国家级规划教材. 网络工程设计与系统集成. (第 2 版) Network Engineering Design and System Integration ( 2nd Edition ). 杨 威 山西师范大学网络信息中心. 人民邮电出版社. 问题思考. 什么电子政务?是否有过体验? 电子政务中你最关心的是什么? 如何解除在这些活动中的后顾之忧?. 第 9 章电子政务网络设计案例. 学习目标 : ( 1 )了解电子政务网络总体架构,理解电子政务功能需求。基本掌握电子政务技术方案设计内容,以及电子政务信息系统设计内容。
E N D
普通高等教育“十一五”国家级规划教材 网络工程设计与系统集成 (第2版) Network Engineering Design and System Integration(2nd Edition) 杨 威 山西师范大学网络信息中心 人民邮电出版社
问题思考 • 什么电子政务?是否有过体验? • 电子政务中你最关心的是什么? • 如何解除在这些活动中的后顾之忧?
第9章电子政务网络设计案例 • 学习目标: • (1)了解电子政务网络总体架构,理解电子政务功能需求。基本掌握电子政务技术方案设计内容,以及电子政务信息系统设计内容。 • (2)了解城域网RRPP技术原理、MPLS VPN技术原理。理解基于RRPP的城域网技术路线,基于VPN与MPLS VPN的安全逻辑隔离技术路线。基本掌握屏蔽线敷设技术工艺,能够按照电子政务的需求,设计中小型电子政务网络技术解决方案。 • (3)了解PKI基本知识,以及物理隔离网闸技术与使用范围。理解办公专网概念、电子政务实体保密及PKI功能结构。理解网络行为监管与审计技术应用要点。理解关键业务数据集中存储备份、远程容灾与恢复技术方案。基本掌握Windows安全通信技术,以及安全可信Web网站构建的技术。
第9章电子政务网络设计案例 • 重点知识: • 电子政务技术方案设计内容 • VPN与MPLS技术原理, VPN与MPLS VPN构建安全逻辑隔离系统 • 屏蔽线敷设技术 ,涉密局域网布线 • Windows安全通信技术和可信网站设置技术 • 难点知识: • PKI功能结构 • MPLS VPN构建安全逻辑隔离系统
9.1 电子政务概述 9.1.1电子政务网络总体架构 电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是应用信息技术,提高政府事务处理的效率,改善政府组织和公共管理。 背景: 信息技术的飞速发展 发达国家提出 “电子政务(电子政府)计划” 我国的电子政务
9.1.2 市级电子政务功能需求 • 电子政务城域网基本功能需求 • 支持政府部门横向信息共享和交互平台 • 支持政府各部门上下级纵向连接 • 支持城域内各政府部门统一接入Internet
电子政务城域网建设要求 • 城域网关键性业务的可靠性保障 • 政府部门业务系统安全隔离和受控互访 • 特殊应用系统QoS保证 • 降低城域网管理维护复杂度和成本 • 数据中心安全防护
9.2 市级电子政务城域网设计 • 电子政务城域骨干网 • 电子政务信息系统 • 城域网的汇聚与接入 • 基于EPON的接入
城域网核心层RRPP技术 • RRPP技术是一种专门用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴。当以太网环上链路或设备故障时,能保证链路倒换时间为50ms以内,业务倒换时间为50~200ms,保证业务快速恢复 . • RRPP与STP(生成树协议)相比,RRPP具有算法简单、拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势。RRPP技术没有改变传统以太网的硬件,所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性。RRPP与RPR技术相比,RRPP是一种低成本的自愈环网技术。
逻辑子网VLAN划分 • 电子政务城域网的逻辑拓扑可划分为若干VLAN(虚拟子网),VLAN不受设备物理位置的限制,灵活性较大。 • 市政府、市委服务器群单独划分子网,将各种主要服务器(Web、Mail、FTP、OA、VOD、数据库等)放在一个子网内便于管理和维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。 • 另外,交换机(包括全网核心层、汇聚层和接入层交换机)的管理划分单独子网。其他子网可按电子政务系统的职责范围划分,采用多个VLAN管理。
9.2.3 城域网的汇聚与接入 • 设计思想 • 汇聚层设备可以采用路由器(支持E1接入),也可以采用交换机(支持GE/FE接入)。汇聚层设备要求支持MPLS VPN,能够承担PE(Provider Edge,骨干网中的边缘设备)的功能,并需要支持NAT(地址转换)功能,以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址。 • 考虑某市各县经济情况、县区大小,各县网络机房需要配置不同型号的路由交换机、路由器、交换机、服务器等设备。通常,市政府与所辖的区政府位于同一个城市,可采用1Gbit/s路由交换机上连市电子政务骨干网。县政府与市政府之间距离较近,可采用路由器上连电子政务骨干网。上连的设备均要支持MPLS VPN,便于纵向业务访问。
9.3 市级电子政务专网设计 • 网络屏蔽线安装技术 • 电子政务办公专网拓扑结构 • 电子政务专网的安全体系结构
9.3.1超五类屏蔽双绞线安装技术 屏蔽布线系统必须是从终点到终点的连续的屏蔽路径。例如,AMP NETCONNECT屏蔽布线系统从工作区域的信息插座,双绞线,配线架,RJ45跳线,组成了从终点到终点的连续的屏蔽路径。屏蔽路径结构示意,如图9.3所示。 • 屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设计时充分考虑了接续的连续性。在水平子系统FTP连接的两端,RJ45屏蔽接口的屏蔽金属壳与RJ45接头的金属包覆套采用紧密嵌套接合,确保跳线和接口完全充分的接触。 • 例如,AMP 4对FTP线有锡箔屏蔽包覆层,屏蔽层内有一条接地线,这条接地线对于降低接地电阻,并保持一个低的接地电阻有重要作用。
屏蔽布线安装工艺要求 • 屏蔽层的续接密实、连续; • 一个完全紧密的接地系统会提高屏蔽系统的整体性能,降低接地电阻,并使其一直保持低于1欧姆的电阻值; • 每个配线架独立接地; • 每个配线架只有一个接地点; • 尽量缩短屏蔽线的开剥长度; • 保持双绞线转弯时有大于线径8倍的弯曲半径。
9.4 网络存储技术方案 • 多服务器集中存储 • 远程灾难备份与恢复
9.4.1 多服务器集中存储 • 面对多服务器存储管理,需要采用安全、可靠、稳定及低成本的IP存储技术方案。利用IP SAN自带的备份软件的实时或定时备份功能,能够实现备份工作自动化、制度化和全面化,为系统提供更高层次的安全保障和可靠性。 • 多服务器集中存储网络,使用H3C的S5100-24P-EI(提供24个1Gbit/s电口),连接Web网站、工作流计划系统、资源库、数据库、身份认证与审计系统、电子政务信息系统(数据库)等服务器的1Gbit/s网卡和EX1000S,组成IP SAN存储系统。EX1000S配置250GB的SATA II磁盘20块,采用RAID 5+热补,可用存储容量4.5TB。服务器通过iSCSI驱动程序(免费),将数据集中到存储系统中。
9.5 电子政务安全技术 • 电子政务PKI部署 • 电子政务业务隔离 • 电子政务业务互访 • 电子政务安全通信 • 点对点的通信安全 • 网络行为监管与审计
9.5.1 电子政务PKI部署 PKI定义与作用 PKI(Public Key Infrastructure,公钥基础设施)是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
PKI定义与作用 • PKI是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。 • PKI基于非对称公钥体制,采用数字证书管理机制,可以为透明地为网上应用提供上述各种安全服务,极大地保证了网上应用的安全性。
PKI的安全机制 • 安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题。授权服务主要是解决在网络中“每个实体能干什么”的问题。 • 例如,张三发送一个合约给李四,李四可要求张三进行数字签名。签名后的合约不仅李四可以验证其完整性,其他人也可以验证该合约确实是张三签发的。而所有的人,包括李四,都没有模仿张三签署这个合约的能力。
数字证书与加密 • 保密文件特性 • (1)防假冒。通过数字签名进行身份认证。 • 例如,某用户自己申请了证书(私钥),获得了数字标识,可以实现向别人发送“数字签名”的邮件,别人就可以判断相关邮件确实是该用户发送的。 • (2)保密性。只有收件人才能解密查看。 • (3)完整性。保证邮件没有被中途篡改。 • (4)不可否认性。发件人的数字证书中的“私钥”只有发件人唯一拥有,发件人利用其数字证书在传送前对电子邮件进行数字签名,发件人就无法否认发送过这个电子邮件。
非对称加密 对称加密使用相同的密钥加密和解密数据,它的主要困难是密钥必须在保密通信涉及双方之间传递。1976年,Whitfield Diffie和Martin Hellman发明了一个叫做非对称(Asymmetric)或公共密钥(Public-key)加密方法,作为对称加密的替换。 通过公钥密码算法,通常是RSA算法,能生成一对密钥A和B。用密钥A加密的信息,只能由密钥B才能解密;同样用密钥B加密的信息,也只有由密钥A才能解密。为了应用,密钥的主人要把这对密钥中的一条(密钥A)公开出去,交给其他人,而把另一条(密钥B)留给自己保存。习惯上把公开出去的密钥叫做公钥,而留给自己保存的密钥叫做私钥。 构造证书的最常见格式是X.509v3,由ITU发布。X.509v3证书包含的信息:版本,序列号,签名算法,发出者姓名,合法性期限,主题名称,主题公共密钥数据,发出者唯一标识符,主题唯一标识符和扩展。最后提供的信息是证书的数字签名,由发出者创建
1.VPN技术 根据ISO模型,VPN的主要协议如表所示。 表 VPN 的主要协议标准
MPLS的工作流程 • LSR可以看作是ATM交换机与传统路由器的结合,由控制单元和交换单元组成。LER的作用是分析IP包头,决定相应的传送级别和标签交换路径(LSP)。 • 网络边缘行为。当IP数据包到达一个LER时,MPLS第一次应用标记 • 网络核心行为。当一个带有标记的包到达LSR的时候,LSR提取入局标记,同时以它作为索引在标记信息库中查找。 • 建立标记交换路径。第一种,逐跳寻径(Hop by Hop)路由,第二种,显式路由。 • ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。
9.5.3 电子政务业务互访 • 电子政务业务互访设计 • 电子政务网按照功能不同可为纵向业务区、公众服务区和资源共享区3个独立区域。纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网,负责传送各政府部门自身的业务数据,彼此之间严格安全隔离。公众服务区是电子政务外网上划分出的对公众服务的部分,包括各类Web/FTP公众服务器
纵向业务系统对Internet和公众服务区的访问 • 纵向业务系统访问互联网或公众服务区时,要在纵向业务区的边界路由器(可能在PE上,也可能在边界防火墙上)上设置NAT协议。通过NAT,将纵向业务区用户的私有网络地址(如192.169.0.0)翻译成电子政务外网统一分配的地址,以这个地址实现对公众服务区(公众服务器同样分配电子政务外网地址)访问和对互联网的访问
纵向业务系统对共享资源区的访问 • 纵向业务系统用户访问共享资源区时,纵向业务系统用户不直接访问共享资源区,而是通过前置机方式访问。纵向业务系统(如工商)将自己需要和其余纵向业务系统(如国税、地税)交互的数据通过安全方式(如隔离网闸),由内部服务器导入到前置机上。所有纵向业务系统的前置机设置成一个单独的VPN,共享资源区设置成一个共享VPN
9.5.4电子政务安全通信 • 安全套接层协议 • SSL是一种安全性很高的认证方式,是通过SSL安全机制使用的数字证书。SSL位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。 • SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。 • 使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器;而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
HTTPS协议——安全超文本传输协议 • HTTPS(Secure Hypertext Transfer Protocol,安全超文本传输协议)是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。 • HTTPS实际上是应用了SSL作为HTTP应用层的子层。HTTPS的端口是443,HTTP的端口是80。 • SSL使用40或128 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。 • HTTPS和SSL支持使用X.509数字认证,用户可以确认发送者是谁。
IPSec协议——Internet协议安全性 • IPSec可用于保护在两台计算机(如应用程序服务器和数据库服务器)之间传送的数据的安全。因为IPSec加密、完整性和身份验证等服务是在传输层实现,IPSec对应用程序来说是完全透明的。应用程序可以继续使用TCP端口和UDP端口以正常方式相互通信。 • 使用IPSec,可以对两台计算机之间传送的所有数据加密,从而实现消息机密性。在两台计算机之间提供消息完整性,但不加密数据。在两台计算机(而非用户)之间相互验证身份。例如,可以建立只允许特定客户端计算机(如应用程序服务器或Web服务器)所发请求的策略,从而帮助保护数据库服务器的安全。也可以限制只与特定的IP协议和TCP/UDP端口通信。
RPC加密——远程过程调用加密 • RPC提供一套可配置的身份验证级别,范围从无身份验证(和无数据保护)到参数状态的完全加密。 • 最安全的级别(RPC数据包保密性)会为每一个远程过程调用,及由此产生的每一个DCOM方法调用的参数状态加密。 • RPC加密级别(40位或128位)取决于客户端计算机和服务器计算机上运行的Windows操作系统版本。
点对点安全性 • 安全通信的典型Web部署模型 • 点对点通信情况大致可分为:浏览器到Web服务器,Web服务器到远程应用程序服务器,以及应用程序服务器到数据库服务器等三种。 • 在这三种点到点通信中,使用SSL、IPSec和RPC加密,保护每一个通道的安全,如图9.10所示
Windows身份验证 • 平台级身份验证 • 基本身份验证。可使用IIS配置Web服务(Web Services)的虚拟目录,以便进行基本身份验证。使用此方法,客户端必须配置代理服务器,并提供用户名和密码形式的凭据。然后代理服务器将通过它的每个Web服务请求一起传输。凭据是以明文形式传输的,使用基于SSL(Secure Socket Layer,安全套接层)的基本身份验证 • 集成的Windows身份验证。可使用IIS配置Web服务的虚拟目录,根据客户端和服务器环境不同,进行Kerberos V5身份验证。相对于基本身份验证,这种方法的优点是凭据不通过网络传递,从而排除了网络窃听的威胁。将服务器配置为集成Windows身份验证的Web Services,客户必须显式地配置代理服务器上的“凭据”属性
9.5.6网络行为监管与审计 • 网络行为事先预防 • 网络行为事中监控 • 网络行为事后审计
安全客户端自动将用户网络访问行为进行进行统计,同时针对新的网络行为将自动通知管理员(邮件、日志报表),管理员能根据网络新的行为进行分析,从而有效防范新的安全事件,同时安全管理平台可以自动进行网络安全策略和网络环境的学习。安全客户端自动将用户网络访问行为进行进行统计,同时针对新的网络行为将自动通知管理员(邮件、日志报表),管理员能根据网络新的行为进行分析,从而有效防范新的安全事件,同时安全管理平台可以自动进行网络安全策略和网络环境的学习。 用户接入网络 主机 网络传输设备 安全策略服务器 隔离区域 ① A、新的网络行为 ① B、通过邮件,每日安全管理平台 日志报表提醒管理员 安全客户端会将用户的新的网络访问 行为自动通知安全管理平台 RG-SMP 安全管理平台 RG-SA 锐捷安全客户端 RG-RES (安全修复系统) RG-SWITCH 锐捷安全联动 设备 ② B、安全管理平台 自动进行网络环境分 析对比,并形成报告。 ②A、网络环境的通告 ③ 安全策略的自学习, 针对相同的安全行为的 安全信息将自动匹配相 同的安全策略 自动学习
9.6 建立可信的政务网站 • 基于SSL的可信连接条件 • 申请和安装服务器证书 • Web服务器安全通信设置 • 安装客户端CA证书 • 基于SSL客户机的验证 • 使用CTL提高Web站点信任度
9.6.1基于SSL的可信连接条件 在浏览器和IIS Web服务器之间建立SSL连接,必须具备以下条件。 (1)在Web服务器上安装“证书服务”组件。 (2)从可信的证书颁发机构获取Web服务器证书。 (3)在Web服务器上安装服务器证书。 (4)在Web服务器上设置SSL选项。 (5)客户端必须同Web服务器信任同一证书认证机构(安装CA证书)。IIS 6.0提供了三个新的安全任务向导,用来简化大多数维护Web站点的安全所需的安全任务。 (6)Web服务器证书向导用来管理IIS和服务器证书中的SSL。 (7)CTL向导用来管理证书信任列表(CTL,Certificate Trust List)。证书信任列表列出了每个Web站点或虚拟目录所信任的证书颁发机构。 (8)权限向导分配Web和NTFS访问权限给Web站点、虚拟目录以及服务器上的文件。
9.6.5 基于SSL客户机的验证 • 申请和安装客户证书 • 启用SSL客户证书验证 • 三种客户证书含义如下。 • (1)忽略客户证书。该选项是SSL默认的方式,允许没有客户证书的用户使用浏览器访问安全的Web站点。 • (2)接收客户证书。选择该选项,系统会提示用户出具客户证书。 • (3)申请客户证书。选择该选项,只有具有有效客户证书的用户才能使用SSL连接,没有有效客户证书的用户将被拒绝访问。这是最严格的安全选项。
