局域网组建、相关管理与维护第9章 渉密局域网组建与相关管理.ppt

局域网组建、管理与维护;学习目标： （1）了解涉密网保密原则与审批程序，PKI基本知识，以及物理隔离网闸技术与使用范围。理解涉密网概念、信息保密、实体保密及PKI功能结构。 （2）了解VPN与MPLS技术原理，理解采用VPN与MPLS VPN如何构建安全逻辑隔离系统。基本掌握屏蔽线敷设技术要求，能够按照涉密网要求，设计网路布线系统。 （3）理解涉密网行为监管与审计技术要点，掌握Windows安全通信技术和可信网站设置技术。能够按照中小型涉密局域网需求，设计技术解决方案。;重点知识： PKI基本知识，涉密网概念、信息保密、实体保密及PKI功能结构 VPN与MPLS技术原理 , VPN与MPLS VPN构建安全逻辑隔离系统 屏蔽线敷设技术 ，涉密局域网布线 Windows安全通信技术和可信网站设置技术 难点知识： PKI功能结构 MPLS VPN构建安全逻辑隔离系统 ;9.1 渉密局域网基本知识;9.1.1 渉密局域网的确定;9.1.3局域网实体的保密;9.1.4 涉密网保密原则与审批;9.2 用于渉密的PKI技术;9.2.1 PKI定义与作用;9.2.2 PKI组成与功能;PKI功能结构 ;3. PKI的安全机制;保密文件特性 （1）防假冒。通过数字签名进行身份认证。 例如，某用户自己申请了证书（私钥），获得了数字标识，可以实现向别人发送“数字签名”的邮件，别人就可以判断相关邮件确实是该用户发送的。 （2）保密性。只有收件人才能解密查看。 （3）完整性。保证邮件没有被中途篡改。 （4）不可否认性。发件人的数字证书中的“私钥”只有发件人唯一拥有，发件人利用其数字证书在传送前对电子邮件进行数字签名，发件人就无法否认发送过这个电子邮件。;数字证书应集成加密与签名的双重安全措施，以确保电子文件的真实性和保密性。对于企业或组织内部的邮件用户无需到Internet上申请，可以由管理员统一发放和管理证书。 正常情况下用户自己的证书中含有“私人密钥”和“公用密钥”。“私钥”只有用户自己拥有，而“公钥”是发放给大家的，别人拿到的用户的证书只含有“公钥” ;非对称加密 ;邮件数字签名过程 ;9.3 涉密局域网隔离技术;9.3.1 网络屏蔽线敷设;屏蔽布线安装工艺要求;9.3.2 物理隔离网闸;9.3.3 基于VPN的业务隔离;VPN技术;2. VPN类型;基于VPN的业务隔离 ;多协议标签交换技术（MPLS，Multi Protocol Label Switching）是在Cisco公司所提出来的Tag Switching技术基础上发展起来的，属于第三层交换技术。 ;MPLS的工作流程 ;MPLS VPN框架结构中包括P（P routers）、PE（Provider Edge）、CE（Custom Edge）等设备。 P代表骨干网中不与CE直接相连的路由器，不感知VPN。 PE代表骨干网中的边缘路由器，它直接与用户的CE相连，实施VPN主要功能。 CE代表用户网络中直接与骨干网相连的边缘设备（路由器或防火墙），不感知VPN，只需支持标准的IP功能即可。 三种设备中，真正参与VPN业务部署的只有PE设备，也就是说MPLS VPN业务的智能化和业务压力都集中在PE设备上。 ;基于HoPE的MPLS VPN结构 ;9.4 Windows安全通信技术;9.4.1 Windows身份验证;9.4.2 SSL与HTTPS协议;HTTPS协议——安全超文本传输协议 ;9.4.3 IPSec协议——Internet协议安全性 ;9.4.4 RPC加密——远程过程调用加密 ;9.4.5 点对点安全性;9.5 基于SSL的网站设置;9.5.2 申请和安装服务器证书 ;生成服务器证书请求文件 ;（5）鼠标单击“下一步”按钮，出现“组织信息”对话框，设置证书的组织信息。 （6）鼠标单击“下一步”按钮，出现如图9.15所示的对话框，设置站点的公用名称。 （7）鼠标单击“下一步”按钮，出现“地理信息”对话框，设置CA的地理信息，默认继承根证书的有关设置值。 （8）鼠标单击“下一步”按钮，出现“证书请求文件名”对话框，设置要产生的证书请求文件名及路径。 （9）鼠标单击“下一步”按钮，显示证书请求文件的摘要信息。如图9.16所示。 (10）鼠标单击“下一步”按钮，再单击“完成”按钮，结束证书文件（certreq.txt）的创建。可以用文件编辑器打开生成的证书请求文件certreq.txt，进行查看。;申请服务器证书 ;安装服务器证书 ;9.5.3 设置Web服务器的安全通信 ;9.5.4 安装客户端CA证书;;9.5.5 基于SSL客户机的验证;9.5.6 使用CTL提高Web站点信任度;9.6 电子政务涉密网案例;涉密办公专网拓扑结构 ;