網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成第9章

網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成楊威山西師范大學(xué)網(wǎng)絡(luò)信息中心

人民郵電出版社

（第2版）NetworkEngineeringDesignandSystemIntegration（2ndEdition）普通高等教育“十一五”國(guó)家級(jí)規(guī)劃教材

1山西師范大學(xué)網(wǎng)絡(luò)信息中心

什么電子政務(wù)？是否有過(guò)體驗(yàn)？電子政務(wù)中你最關(guān)心的是什么？如何解除在這些活動(dòng)中的后顧之憂(yōu)？問(wèn)題思考學(xué)習(xí)目標(biāo)：（1）了解電子政務(wù)網(wǎng)絡(luò)總體架構(gòu)，理解電子政務(wù)功能需求。基本掌握電子政務(wù)技術(shù)方案設(shè)計(jì)內(nèi)容，以及電子政務(wù)信息系統(tǒng)設(shè)計(jì)內(nèi)容。（2）了解城域網(wǎng)RRPP技術(shù)原理、MPLSVPN技術(shù)原理。理解基于RRPP的城域網(wǎng)技術(shù)路線(xiàn)，基于VPN與MPLSVPN的安全邏輯隔離技術(shù)路線(xiàn)?；菊莆掌帘尉€(xiàn)敷設(shè)技術(shù)工藝，能夠按照電子政務(wù)的需求，設(shè)計(jì)中小型電子政務(wù)網(wǎng)絡(luò)技術(shù)解決方案。（3）了解PKI基本知識(shí)，以及物理隔離網(wǎng)閘技術(shù)與使用范圍。理解辦公專(zhuān)網(wǎng)概念、電子政務(wù)實(shí)體保密及PKI功能結(jié)構(gòu)。理解網(wǎng)絡(luò)行為監(jiān)管與審計(jì)技術(shù)應(yīng)用要點(diǎn)。理解關(guān)鍵業(yè)務(wù)數(shù)據(jù)集中存儲(chǔ)備份、遠(yuǎn)程容災(zāi)與恢復(fù)技術(shù)方案?；菊莆誛indows安全通信技術(shù)，以及安全可信Web網(wǎng)站構(gòu)建的技術(shù)。第9章電子政務(wù)網(wǎng)絡(luò)設(shè)計(jì)案例

重點(diǎn)知識(shí)：電子政務(wù)技術(shù)方案設(shè)計(jì)內(nèi)容

VPN與MPLS技術(shù)原理

,VPN與MPLSVPN構(gòu)建安全邏輯隔離系統(tǒng)屏蔽線(xiàn)敷設(shè)技術(shù)，涉密局域網(wǎng)布線(xiàn)Windows安全通信技術(shù)和可信網(wǎng)站設(shè)置技術(shù)

難點(diǎn)知識(shí)：PKI功能結(jié)構(gòu)

MPLSVPN構(gòu)建安全邏輯隔離系統(tǒng)

第9章電子政務(wù)網(wǎng)絡(luò)設(shè)計(jì)案例

9.1電子政務(wù)概述9.1.1電子政務(wù)網(wǎng)絡(luò)總體架構(gòu)

電子政務(wù)是指政府機(jī)構(gòu)利用信息化手段，實(shí)現(xiàn)各類(lèi)政府職能。其核心是應(yīng)用信息技術(shù)，提高政府事務(wù)處理的效率，改善政府組織和公共管理。背景：信息技術(shù)的飛速發(fā)展

發(fā)達(dá)國(guó)家提出“電子政務(wù)（電子政府）計(jì)劃”我國(guó)的電子政務(wù)電子政務(wù)網(wǎng)絡(luò)體系架構(gòu)9.1.2市級(jí)電子政務(wù)功能需求電子政務(wù)城域網(wǎng)基本功能需求支持政府部門(mén)橫向信息共享和交互平臺(tái)支持政府各部門(mén)上下級(jí)縱向連接支持城域內(nèi)各政府部門(mén)統(tǒng)一接入Internet電子政務(wù)城域網(wǎng)建設(shè)要求城域網(wǎng)關(guān)鍵性業(yè)務(wù)的可靠性保障政府部門(mén)業(yè)務(wù)系統(tǒng)安全隔離和受控互訪特殊應(yīng)用系統(tǒng)QoS保證降低城域網(wǎng)管理維護(hù)復(fù)雜度和成本數(shù)據(jù)中心安全防護(hù)9.2市級(jí)電子政務(wù)城域網(wǎng)設(shè)計(jì)電子政務(wù)城域骨干網(wǎng)電子政務(wù)信息系統(tǒng)城域網(wǎng)的匯聚與接入基于EPON的接入9.2.1電子政務(wù)城域骨干網(wǎng)電子政務(wù)城域網(wǎng)結(jié)構(gòu)設(shè)計(jì)城域網(wǎng)核心層RRPP技術(shù)RRPP技術(shù)是一種專(zhuān)門(mén)用于以太網(wǎng)環(huán)的鏈路層協(xié)議，它在以太網(wǎng)環(huán)中能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴。當(dāng)以太網(wǎng)環(huán)上鏈路或設(shè)備故障時(shí)，能保證鏈路倒換時(shí)間為50ms以?xún)?nèi)，業(yè)務(wù)倒換時(shí)間為50～200ms，保證業(yè)務(wù)快速恢復(fù).RRPP與STP（生成樹(shù)協(xié)議）相比，RRPP具有算法簡(jiǎn)單、拓?fù)涫諗克俣瓤旌褪諗繒r(shí)間與環(huán)網(wǎng)上結(jié)點(diǎn)數(shù)無(wú)關(guān)等顯著優(yōu)勢(shì)。RRPP技術(shù)沒(méi)有改變傳統(tǒng)以太網(wǎng)的硬件，所有正在網(wǎng)絡(luò)中運(yùn)行的中高端交換機(jī)都可以通過(guò)軟件升級(jí)支持吉比特以太網(wǎng)端口的RRPP特性。RRPP與RPR技術(shù)相比，RRPP是一種低成本的自愈環(huán)網(wǎng)技術(shù)。邏輯子網(wǎng)VLAN劃分電子政務(wù)城域網(wǎng)的邏輯拓?fù)淇蓜澐譃槿舾蒝LAN（虛擬子網(wǎng)），VLAN不受設(shè)備物理位置的限制，靈活性較大。市政府、市委服務(wù)器群?jiǎn)为?dú)劃分子網(wǎng)，將各種主要服務(wù)器（Web、Mail、FTP、OA、VOD、數(shù)據(jù)庫(kù)等）放在一個(gè)子網(wǎng)內(nèi)便于管理和維護(hù)，同時(shí)也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性。另外，交換機(jī)（包括全網(wǎng)核心層、匯聚層和接入層交換機(jī)）的管理劃分單獨(dú)子網(wǎng)。其他子網(wǎng)可按電子政務(wù)系統(tǒng)的職責(zé)范圍劃分，采用多個(gè)VLAN管理。9.2.2電子政務(wù)信息系統(tǒng)公共服務(wù)網(wǎng)站整體架構(gòu)電子政務(wù)業(yè)務(wù)模型根據(jù)政府機(jī)構(gòu)的業(yè)務(wù)形態(tài)來(lái)看，通常電子政務(wù)主要包括三個(gè)應(yīng)用領(lǐng)域。其業(yè)務(wù)模型可以用下圖表示。

圖電子政務(wù)業(yè)務(wù)模型

面向社會(huì)公眾和企業(yè)組織，為其提供政策、法規(guī)、條例和流程的查詢(xún)服務(wù)。借助互聯(lián)網(wǎng)實(shí)現(xiàn)政府機(jī)構(gòu)的對(duì)外辦公，如：申請(qǐng)、申報(bào)等，提高政府的運(yùn)作效率，增加透明度。以信息化手段提高政府機(jī)構(gòu)內(nèi)部辦公的效率，如：公文報(bào)送、信息通知和信息查詢(xún)等。電子政務(wù)信息流在電子政務(wù)系統(tǒng)中主要存在三種信息流，如下圖所示。

圖

電子政務(wù)信息流模型

電子政務(wù)體系結(jié)構(gòu)構(gòu)建的電子政務(wù)體系結(jié)構(gòu)主要包括三個(gè)應(yīng)用系統(tǒng)和一個(gè)網(wǎng)絡(luò)通信平臺(tái)。如圖所示。圖電子政務(wù)平臺(tái)系統(tǒng)結(jié)構(gòu)

電子政務(wù)信息系統(tǒng)功能結(jié)構(gòu)電子政務(wù)信息系統(tǒng)一般分為政府公共服務(wù)網(wǎng)站和政府內(nèi)部辦公網(wǎng)站，其功能結(jié)構(gòu)如圖所示。圖

電子政務(wù)系統(tǒng)功能結(jié)構(gòu)圖

政務(wù)處理邏輯結(jié)構(gòu)4.政務(wù)處理邏輯組織將系統(tǒng)結(jié)構(gòu)劃分成數(shù)據(jù)層、組件層、功能層和應(yīng)用層，如圖所示。圖電子政務(wù)處理邏輯結(jié)構(gòu)

9.2.3城域網(wǎng)的匯聚與接入設(shè)計(jì)思想

匯聚層設(shè)備可以采用路由器（支持E1接入），也可以采用交換機(jī)（支持GE/FE接入）。匯聚層設(shè)備要求支持MPLSVPN，能夠承擔(dān)PE（ProviderEdge，骨干網(wǎng)中的邊緣設(shè)備）的功能，并需要支持NAT（地址轉(zhuǎn)換）功能，以支持不同接入用戶(hù)在地址重疊的情況下能夠通過(guò)NAT技術(shù)轉(zhuǎn)換成不同的地址?？紤]某市各縣經(jīng)濟(jì)情況、縣區(qū)大小，各縣網(wǎng)絡(luò)機(jī)房需要配置不同型號(hào)的路由交換機(jī)、路由器、交換機(jī)、服務(wù)器等設(shè)備。通常，市政府與所轄的區(qū)政府位于同一個(gè)城市，可采用1Gbit/s路由交換機(jī)上連市電子政務(wù)骨干網(wǎng)?？h政府與市政府之間距離較近，可采用路由器上連電子政務(wù)骨干網(wǎng)。上連的設(shè)備均要支持MPLSVPN，便于縱向業(yè)務(wù)訪問(wèn)。技術(shù)方案通信安全為了保證各系統(tǒng)辦公數(shù)據(jù)的全程安全，僅在MPLS網(wǎng)絡(luò)上進(jìn)行VPN隔離是不夠的，還必須在接入端以下對(duì)不同部門(mén)的數(shù)據(jù)進(jìn)行隔離。在條件允許的情況下，不同的部門(mén)局域網(wǎng)通過(guò)不同的邊界路由器接入MPLS網(wǎng)絡(luò)中，這些部門(mén)在接入側(cè)隔離，如圖9.7所示

9.2.4基于EPON的接入例如，市地稅局下屬8個(gè)稅務(wù)所，分布在城市的不同街道或路段，均在10km范圍內(nèi)。每個(gè)稅務(wù)所約有5～20臺(tái)業(yè)務(wù)終端。按照華為EPON技術(shù)方案，OLT設(shè)備選用S6503，配置SalienceIII型交換路由板，配置LS8M1PT8GA（8端口吉比特EPON業(yè)務(wù)板，與ONU之間的最大傳輸距離為10km）。S6503安置在市地稅局大樓機(jī)房網(wǎng)絡(luò)屏蔽線(xiàn)安裝技術(shù)電子政務(wù)辦公專(zhuān)網(wǎng)拓?fù)浣Y(jié)構(gòu)電子政務(wù)專(zhuān)網(wǎng)的安全體系結(jié)構(gòu)9.3市級(jí)電子政務(wù)專(zhuān)網(wǎng)設(shè)計(jì)9.3.1超五類(lèi)屏蔽雙絞線(xiàn)安裝技術(shù)

屏蔽布線(xiàn)系統(tǒng)必須是從終點(diǎn)到終點(diǎn)的連續(xù)的屏蔽路徑。例如，AMPNETCONNECT屏蔽布線(xiàn)系統(tǒng)從工作區(qū)域的信息插座，雙絞線(xiàn)，配線(xiàn)架，RJ45跳線(xiàn)，組成了從終點(diǎn)到終點(diǎn)的連續(xù)的屏蔽路徑。屏蔽路徑結(jié)構(gòu)示意，如圖9.3所示。屏蔽系統(tǒng)所有設(shè)施應(yīng)選擇同一品牌的產(chǎn)品。通常屏蔽系統(tǒng)設(shè)計(jì)時(shí)充分考慮了接續(xù)的連續(xù)性。在水平子系統(tǒng)FTP連接的兩端，RJ45屏蔽接口的屏蔽金屬殼與RJ45接頭的金屬包覆套采用緊密嵌套接合，確保跳線(xiàn)和接口完全充分的接觸。例如，AMP4對(duì)FTP線(xiàn)有錫箔屏蔽包覆層，屏蔽層內(nèi)有一條接地線(xiàn)，這條接地線(xiàn)對(duì)于降低接地電阻，并保持一個(gè)低的接地電阻有重要作用。屏蔽布線(xiàn)安裝工藝要求屏蔽層的續(xù)接密實(shí)、連續(xù)；一個(gè)完全緊密的接地系統(tǒng)會(huì)提高屏蔽系統(tǒng)的整體性能，降低接地電阻，并使其一直保持低于1歐姆的電阻值；每個(gè)配線(xiàn)架獨(dú)立接地；每個(gè)配線(xiàn)架只有一個(gè)接地點(diǎn)；盡量縮短屏蔽線(xiàn)的開(kāi)剝長(zhǎng)度；保持雙絞線(xiàn)轉(zhuǎn)彎時(shí)有大于線(xiàn)徑8倍的彎曲半徑。

9.3.2電子政務(wù)辦公專(zhuān)網(wǎng)拓?fù)浣Y(jié)構(gòu)9.3.3電子政務(wù)專(zhuān)網(wǎng)的安全體系結(jié)構(gòu)9.4網(wǎng)絡(luò)存儲(chǔ)技術(shù)方案多服務(wù)器集中存儲(chǔ)遠(yuǎn)程災(zāi)難備份與恢復(fù)9.4.1多服務(wù)器集中存儲(chǔ)面對(duì)多服務(wù)器存儲(chǔ)管理，需要采用安全、可靠、穩(wěn)定及低成本的IP存儲(chǔ)技術(shù)方案。利用IPSAN自帶的備份軟件的實(shí)時(shí)或定時(shí)備份功能，能夠?qū)崿F(xiàn)備份工作自動(dòng)化、制度化和全面化，為系統(tǒng)提供更高層次的安全保障和可靠性。多服務(wù)器集中存儲(chǔ)網(wǎng)絡(luò)，使用H3C的S5100-24P-EI（提供24個(gè)1Gbit/s電口），連接Web網(wǎng)站、工作流計(jì)劃系統(tǒng)、資源庫(kù)、數(shù)據(jù)庫(kù)、身份認(rèn)證與審計(jì)系統(tǒng)、電子政務(wù)信息系統(tǒng)（數(shù)據(jù)庫(kù)）等服務(wù)器的1Gbit/s網(wǎng)卡和EX1000S，組成IPSAN存儲(chǔ)系統(tǒng)。EX1000S配置250GB的SATAII磁盤(pán)20塊，采用RAID5+熱補(bǔ)，可用存儲(chǔ)容量4.5TB。服務(wù)器通過(guò)iSCSI驅(qū)動(dòng)程序（免費(fèi)），將數(shù)據(jù)集中到存儲(chǔ)系統(tǒng)中。多服務(wù)器集中存儲(chǔ)拓?fù)浣Y(jié)構(gòu)9.4.2遠(yuǎn)程災(zāi)難備份與恢復(fù)遠(yuǎn)程災(zāi)難備份與恢復(fù)技術(shù)支持在數(shù)據(jù)中心與災(zāi)難備份中心之間通過(guò)IP網(wǎng)絡(luò)對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行策略性增量復(fù)制，實(shí)現(xiàn)數(shù)據(jù)的異地備份，并在發(fā)生意外災(zāi)難時(shí)對(duì)數(shù)據(jù)進(jìn)行快速恢復(fù)，確保客戶(hù)的業(yè)務(wù)持續(xù)性。9.5電子政務(wù)安全技術(shù)電子政務(wù)PKI部署電子政務(wù)業(yè)務(wù)隔離電子政務(wù)業(yè)務(wù)互訪電子政務(wù)安全通信點(diǎn)對(duì)點(diǎn)的通信安全網(wǎng)絡(luò)行為監(jiān)管與審計(jì)9.5.1電子政務(wù)PKI部署PKI定義與作用PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。PKI定義與作用PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了自動(dòng)管理密鑰和證書(shū)，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。PKI基于非對(duì)稱(chēng)公鑰體制，采用數(shù)字證書(shū)管理機(jī)制，可以為透明地為網(wǎng)上應(yīng)用提供上述各種安全服務(wù)，極大地保證了網(wǎng)上應(yīng)用的安全性。PKI組成與功能PKI系統(tǒng)可劃分為四個(gè)功能區(qū)域，即

核心安全區(qū)、審核管理區(qū)、在線(xiàn)服務(wù)區(qū)、本地審核受理點(diǎn)（LRA）區(qū)PKI功能結(jié)構(gòu)

PKI系統(tǒng)功能采用三級(jí)架構(gòu)。PKI的安全機(jī)制安全平臺(tái)能夠提供智能化的信任與有效授權(quán)服務(wù)。其中，信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”的問(wèn)題。授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么”的問(wèn)題。例如，張三發(fā)送一個(gè)合約給李四，李四可要求張三進(jìn)行數(shù)字簽名。簽名后的合約不僅李四可以驗(yàn)證其完整性，其他人也可以驗(yàn)證該合約確實(shí)是張三簽發(fā)的。而所有的人，包括李四，都沒(méi)有模仿張三簽署這個(gè)合約的能力。保密文件特性（1）防假冒。通過(guò)數(shù)字簽名進(jìn)行身份認(rèn)證。

例如，某用戶(hù)自己申請(qǐng)了證書(shū)（私鑰），獲得了數(shù)字標(biāo)識(shí)，可以實(shí)現(xiàn)向別人發(fā)送“數(shù)字簽名”的郵件，別人就可以判斷相關(guān)郵件確實(shí)是該用戶(hù)發(fā)送的。

（2）保密性。只有收件人才能解密查看。

（3）完整性。保證郵件沒(méi)有被中途篡改。

（4）不可否認(rèn)性。發(fā)件人的數(shù)字證書(shū)中的“私鑰”只有發(fā)件人唯一擁有，發(fā)件人利用其數(shù)字證書(shū)在傳送前對(duì)電子郵件進(jìn)行數(shù)字簽名，發(fā)件人就無(wú)法否認(rèn)發(fā)送過(guò)這個(gè)電子郵件。數(shù)字證書(shū)與加密數(shù)字證書(shū)應(yīng)集成加密與簽名的雙重安全措施，以確保電子文件的真實(shí)性和保密性。對(duì)于企業(yè)或組織內(nèi)部的郵件用戶(hù)無(wú)需到Internet上申請(qǐng)，可以由管理員統(tǒng)一發(fā)放和管理證書(shū)。正常情況下用戶(hù)自己的證書(shū)中含有“私人密鑰”和“公用密鑰”。“私鑰”只有用戶(hù)自己擁有，而“公鑰”是發(fā)放給大家的，別人拿到的用戶(hù)的證書(shū)只含有“公鑰”

數(shù)字證書(shū)與S/MIME非對(duì)稱(chēng)加密

對(duì)稱(chēng)加密使用相同的密鑰加密和解密數(shù)據(jù)，它的主要困難是密鑰必須在保密通信涉及雙方之間傳遞。1976年，WhitfieldDiffie和MartinHellman發(fā)明了一個(gè)叫做非對(duì)稱(chēng)（Asymmetric）或公共密鑰（Public-key）加密方法，作為對(duì)稱(chēng)加密的替換。通過(guò)公鑰密碼算法，通常是RSA算法，能生成一對(duì)密鑰A和B。用密鑰A加密的信息，只能由密鑰B才能解密；同樣用密鑰B加密的信息，也只有由密鑰A才能解密。為了應(yīng)用，密鑰的主人要把這對(duì)密鑰中的一條（密鑰A）公開(kāi)出去，交給其他人，而把另一條（密鑰B）留給自己保存。習(xí)慣上把公開(kāi)出去的密鑰叫做公鑰，而留給自己保存的密鑰叫做私鑰。構(gòu)造證書(shū)的最常見(jiàn)格式是X.509v3，由ITU發(fā)布。X.509v3證書(shū)包含的信息：版本，序列號(hào)，簽名算法，發(fā)出者姓名，合法性期限，主題名稱(chēng)，主題公共密鑰數(shù)據(jù)，發(fā)出者唯一標(biāo)識(shí)符，主題唯一標(biāo)識(shí)符和擴(kuò)展。最后提供的信息是證書(shū)的數(shù)字簽名，由發(fā)出者創(chuàng)建

郵件數(shù)字簽名過(guò)程當(dāng)用戶(hù)向外發(fā)送郵件時(shí)，他首先使用一種單向分解函數(shù)從郵件中得到固定長(zhǎng)度的分解值，該值與郵件的內(nèi)容相關(guān)，稱(chēng)為該郵件的指紋；然后使用自己的私鑰對(duì)指紋進(jìn)行加密。接受者能使用他的公鑰進(jìn)行解密，然后重新生成指紋進(jìn)行比較。這樣可以保證郵件是由他本人發(fā)送的而非假冒，同時(shí)也保證郵件在發(fā)送過(guò)程中沒(méi)有被更改，這個(gè)過(guò)程稱(chēng)為數(shù)字簽名和核實(shí)。

9.5.2電子政務(wù)業(yè)務(wù)隔離基于VLAN的業(yè)務(wù)隔離

VLAN是在以太網(wǎng)的二層建立數(shù)據(jù)幀標(biāo)簽（FrameTag），使不同的標(biāo)簽數(shù)據(jù)幀通信被隔離。只有通過(guò)第三層交換，不同標(biāo)簽數(shù)據(jù)幀才可通信。在實(shí)際中，考慮到MAC地址易篡改和IP易盜用，電子政府分支部門(mén)（如縣級(jí)工商局不同業(yè)務(wù)科室）多采用基于端口的VLAN?；赩PN的業(yè)務(wù)隔離

1.VPN技術(shù)要能夠使得政務(wù)網(wǎng)內(nèi)一個(gè)局域網(wǎng)的數(shù)據(jù)透明的穿過(guò)公用網(wǎng)到達(dá)另一個(gè)局域網(wǎng)，VPN采用了一種稱(chēng)之為隧道的技術(shù)。

基于隧道的VPN網(wǎng)絡(luò)

1.VPN技術(shù)根據(jù)ISO模型，VPN的主要協(xié)議如表所示。

表VPN的主要協(xié)議標(biāo)準(zhǔn)

OSI模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理

會(huì)話(huà)層傳輸層會(huì)話(huà)層代理SOCKSv5/SSL網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過(guò)濾IPSecPPTP/L2F/L2TP3.VPN類(lèi)型（1）AccessVPN（遠(yuǎn)程訪問(wèn)虛擬專(zhuān)網(wǎng)）（2）IntranetVPN（內(nèi)部虛擬專(zhuān)網(wǎng)）（3）ExtranetVPN（擴(kuò)展內(nèi)部虛擬專(zhuān)網(wǎng)）

該類(lèi)型與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)相對(duì)應(yīng)。在AccessVPN方式下，遠(yuǎn)端用戶(hù)不需要通過(guò)長(zhǎng)途電話(huà)撥號(hào)到政府遠(yuǎn)程接入端口，而是撥號(hào)接入到用戶(hù)本地的ISP，利用VPN系統(tǒng)在公眾網(wǎng)上建立一個(gè)從客戶(hù)端到網(wǎng)關(guān)的安全傳輸通道。該類(lèi)型與政府內(nèi)部的Intranet相對(duì)應(yīng)。在IntranetVPN方式下，政府兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)互連不租用專(zhuān)線(xiàn)，而是政府分支機(jī)構(gòu)網(wǎng)絡(luò)利用VPN特性可以在ChinaNET上組建省、市和縣范圍內(nèi)的IntranetVPN。該類(lèi)型與政府網(wǎng)和相關(guān)企業(yè)網(wǎng)、教育網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。該類(lèi)型與IntranetVPN沒(méi)有本質(zhì)的區(qū)別，但由于是不同集團(tuán)用戶(hù)的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問(wèn)題。基于VPN的業(yè)務(wù)隔離例如，市工商局下屬有2個(gè)工商所，工商所與局機(jī)關(guān)分別相距6.2Km~9.6Km。工商局和下屬2個(gè)所均建立了辦公局域網(wǎng)，通過(guò)支持VPN接口的防火墻連接電子政務(wù)城域網(wǎng)。工商所分支網(wǎng)絡(luò)與工商局網(wǎng)絡(luò)分別建立安全隧道后，工商所分支網(wǎng)絡(luò)可以與工商局網(wǎng)絡(luò)安全通信，工商所分支網(wǎng)絡(luò)之間也可以安全通信。這樣大大的減少了隧道的配置條數(shù)。多協(xié)議標(biāo)簽交換技術(shù)（MPLS，MultiProtocolLabelSwitching）是在Cisco公司所提出來(lái)的TagSwitching技術(shù)基礎(chǔ)上發(fā)展起來(lái)的，屬于第三層交換技術(shù)。

基于MPLS的業(yè)務(wù)隔離邊緣路由器交換路由器交換路徑交換路徑MPLS的工作流程LSR可以看作是ATM交換機(jī)與傳統(tǒng)路由器的結(jié)合，由控制單元和交換單元組成。LER的作用是分析IP包頭，決定相應(yīng)的傳送級(jí)別和標(biāo)簽交換路徑（LSP）。網(wǎng)絡(luò)邊緣行為。當(dāng)IP數(shù)據(jù)包到達(dá)一個(gè)LER時(shí)，MPLS第一次應(yīng)用標(biāo)記網(wǎng)絡(luò)核心行為。當(dāng)一個(gè)帶有標(biāo)記的包到達(dá)LSR的時(shí)候，LSR提取入局標(biāo)記，同時(shí)以它作為索引在標(biāo)記信息庫(kù)中查找。建立標(biāo)記交換路徑。第一種，逐跳尋徑（HopbyHop）路由，第二種，顯式路由。ER-LSP從源端到目的端建立一條直接的端到端的路徑。MPLS將顯式路由嵌入到限制路由的標(biāo)記分配協(xié)議的信息中，從而建立這條路徑。MPLSVPN框架結(jié)構(gòu)中包括P（Prouters）、PE（ProviderEdge）、CE（CustomEdge）等設(shè)備。P代表骨干網(wǎng)中不與CE直接相連的路由器，不感知VPN。PE代表骨干網(wǎng)中的邊緣路由器，它直接與用戶(hù)的CE相連，實(shí)施VPN主要功能。CE代表用戶(hù)網(wǎng)絡(luò)中直接與骨干網(wǎng)相連的邊緣設(shè)備（路由器或防火墻），不感知VPN，只需支持標(biāo)準(zhǔn)的IP功能即可。三種設(shè)備中，真正參與VPN業(yè)務(wù)部署的只有PE設(shè)備，也就是說(shuō)MPLSVPN業(yè)務(wù)的智能化和業(yè)務(wù)壓力都集中在PE設(shè)備上。

基于MPLSVPN的縱向業(yè)務(wù)隔離基于HoPE的MPLSVPN結(jié)構(gòu)

華為公司在2002年提出的分層PE技術(shù)（HoPE，HierarchyofPE）很好地修補(bǔ)了三層MPLSVPN技術(shù)的先天不足，在網(wǎng)絡(luò)建構(gòu)成本許可的前提下，享受MPLSVPN的好處。用戶(hù)端PE服務(wù)提供端PE在這種架構(gòu)中，UPE功能和傳統(tǒng)的PE一樣，但性能要求要低得多，而SPE要在傳統(tǒng)PE的基礎(chǔ)上增加功能.9.5.3電子政務(wù)業(yè)務(wù)互訪電子政務(wù)業(yè)務(wù)互訪設(shè)計(jì)

電子政務(wù)網(wǎng)按照功能不同可為縱向業(yè)務(wù)區(qū)、公眾服務(wù)區(qū)和資源共享區(qū)3個(gè)獨(dú)立區(qū)域?？v向業(yè)務(wù)區(qū)是各個(gè)縱向政府部門(mén)在電子政務(wù)外網(wǎng)上劃分出來(lái)的虛擬邏輯專(zhuān)網(wǎng)，負(fù)責(zé)傳送各政府部門(mén)自身的業(yè)務(wù)數(shù)據(jù)，彼此之間嚴(yán)格安全隔離。公眾服務(wù)區(qū)是電子政務(wù)外網(wǎng)上劃分出的對(duì)公眾服務(wù)的部分，包括各類(lèi)Web/FTP公眾服務(wù)器

縱向業(yè)務(wù)系統(tǒng)對(duì)Internet和公眾服務(wù)區(qū)的訪問(wèn)縱向業(yè)務(wù)系統(tǒng)訪問(wèn)互聯(lián)網(wǎng)或公眾服務(wù)區(qū)時(shí)，要在縱向業(yè)務(wù)區(qū)的邊界路由器（可能在PE上，也可能在邊界防火墻上）上設(shè)置NAT協(xié)議。通過(guò)NAT，將縱向業(yè)務(wù)區(qū)用戶(hù)的私有網(wǎng)絡(luò)地址（如）翻譯成電子政務(wù)外網(wǎng)統(tǒng)一分配的地址，以這個(gè)地址實(shí)現(xiàn)對(duì)公眾服務(wù)區(qū)（公眾服務(wù)器同樣分配電子政務(wù)外網(wǎng)地址）訪問(wèn)和對(duì)互聯(lián)網(wǎng)的訪問(wèn)縱向業(yè)務(wù)系統(tǒng)對(duì)共享資源區(qū)的訪問(wèn)

縱向業(yè)務(wù)系統(tǒng)用戶(hù)訪問(wèn)共享資源區(qū)時(shí)，縱向業(yè)務(wù)系統(tǒng)用戶(hù)不直接訪問(wèn)共享資源區(qū)，而是通過(guò)前置機(jī)方式訪問(wèn)?？v向業(yè)務(wù)系統(tǒng)（如工商）將自己需要和其余縱向業(yè)務(wù)系統(tǒng)（如國(guó)稅、地稅）交互的數(shù)據(jù)通過(guò)安全方式（如隔離網(wǎng)閘），由內(nèi)部服務(wù)器導(dǎo)入到前置機(jī)上。所有縱向業(yè)務(wù)系統(tǒng)的前置機(jī)設(shè)置成一個(gè)單獨(dú)的VPN，共享資源區(qū)設(shè)置成一個(gè)共享VPN9.5.4電子政務(wù)安全通信安全套接層協(xié)議

SSL是一種安全性很高的認(rèn)證方式，是通過(guò)SSL安全機(jī)制使用的數(shù)字證書(shū)。SSL位于HTTP層和TCP層之間，建立用戶(hù)與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶(hù)都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶(hù)端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書(shū)與公共密鑰一并發(fā)送給客戶(hù)端，客戶(hù)端隨機(jī)生成會(huì)話(huà)密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話(huà)密鑰進(jìn)行加密，并把會(huì)話(huà)密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器；而會(huì)話(huà)密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶(hù)端和服務(wù)器端就建立了一個(gè)惟一的安全通道。HTTPS協(xié)議——安全超文本傳輸協(xié)議

HTTPS（SecureHypertextTransferProtocol，安全超文本傳輸協(xié)議）是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上是應(yīng)用了SSL作為HTTP應(yīng)用層的子層。HTTPS的端口是443，HTTP的端口是80。SSL使用40或128位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證，用戶(hù)可以確認(rèn)發(fā)送者是誰(shuí)。IPSec協(xié)議——Internet協(xié)議安全性

IPSec可用于保護(hù)在兩臺(tái)計(jì)算機(jī)（如應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器）之間傳送的數(shù)據(jù)的安全。因?yàn)镮PSec加密、完整性和身份驗(yàn)證等服務(wù)是在傳輸層實(shí)現(xiàn)，IPSec對(duì)應(yīng)用程序來(lái)說(shuō)是完全透明的。應(yīng)用程序可以繼續(xù)使用TCP端口和UDP端口以正常方式相互通信。使用IPSec，可以對(duì)兩臺(tái)計(jì)算機(jī)之間傳送的所有數(shù)據(jù)加密，從而實(shí)現(xiàn)消息機(jī)密性。在兩臺(tái)計(jì)算機(jī)之間提供消息完整性，但不加密數(shù)據(jù)。在兩臺(tái)計(jì)算機(jī)（而非用戶(hù)）之間相互驗(yàn)證身份。例如，可以建立只允許特定客戶(hù)端計(jì)算機(jī)（如應(yīng)用程序服務(wù)器或Web服務(wù)器）所發(fā)請(qǐng)求的策略，從而幫助保護(hù)數(shù)據(jù)庫(kù)服務(wù)器的安全。也可以限制只與特定的IP協(xié)議和TCP/UDP端口通信。RPC加密——遠(yuǎn)程過(guò)程調(diào)用加密

RPC提供一套可配置的身份驗(yàn)證級(jí)別，范圍從無(wú)身份驗(yàn)證（和無(wú)數(shù)據(jù)保護(hù)）到參數(shù)狀態(tài)的完全加密。最安全的級(jí)別（RPC數(shù)據(jù)包保密性）會(huì)為每一個(gè)遠(yuǎn)程過(guò)程調(diào)用，及由此產(chǎn)生的每一個(gè)DCOM方法調(diào)用的參數(shù)狀態(tài)加密。RPC加密級(jí)別（40位或128位）取決于客戶(hù)端計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)上運(yùn)行的Windows操作系統(tǒng)版本。點(diǎn)對(duì)點(diǎn)安全性安全通信的典型Web部署模型點(diǎn)對(duì)點(diǎn)通信情況大致可分為：瀏覽器到Web服務(wù)器，Web服務(wù)器到遠(yuǎn)程應(yīng)用程序服務(wù)器，以及應(yīng)用程序服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器等三種。在這三種點(diǎn)到點(diǎn)通信中，使用SSL、IPSec和RPC加密，保護(hù)每一個(gè)通道的安全，如圖9.10所示W(wǎng)indows身份驗(yàn)證平臺(tái)級(jí)身份驗(yàn)證

基本身份驗(yàn)證。可使用IIS配置Web服務(wù)（WebServices）的虛擬目錄，以便進(jìn)行基本身份驗(yàn)證。使用此方法，客戶(hù)端必須配置代理服務(wù)器，并提供用戶(hù)名和密碼形式的憑據(jù)。然后代理服務(wù)器將通過(guò)它的每個(gè)Web服務(wù)請(qǐng)求一起傳輸。憑據(jù)是以明文形式傳輸?shù)模褂没赟SL（SecureSocketLayer，安全套接層）的基本身份驗(yàn)證集成的Windows身份驗(yàn)證?？墒褂肐IS配置Web服務(wù)的虛擬目錄，根據(jù)客戶(hù)端和服務(wù)器環(huán)境不同，進(jìn)行KerberosV5身份驗(yàn)證。相對(duì)于基本身份驗(yàn)證，這種方法的優(yōu)點(diǎn)是憑據(jù)不通過(guò)網(wǎng)絡(luò)傳遞，從而排除了網(wǎng)絡(luò)竊聽(tīng)的威脅。將服務(wù)器配置為集成Windows身份驗(yàn)證的WebServices，客戶(hù)必須顯式地配置代理服務(wù)器上的“憑據(jù)”屬性9.5.6網(wǎng)絡(luò)行為監(jiān)管與審計(jì)網(wǎng)絡(luò)行為事先預(yù)防網(wǎng)絡(luò)行為事中監(jiān)控網(wǎng)絡(luò)行為事后審計(jì)安全滲透網(wǎng)絡(luò)全局用戶(hù)接入網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)傳輸設(shè)備安全策略服務(wù)器隔離區(qū)域RG-SAM銳捷認(rèn)證系統(tǒng)RG-SMP安全管理平臺(tái)RG-RES（安全修復(fù)系統(tǒng)）用戶(hù)認(rèn)證信息①802.1x用戶(hù)認(rèn)證信息②Radius③B用戶(hù)安全策略判斷③A用戶(hù)身份認(rèn)證識(shí)別用戶(hù)網(wǎng)絡(luò)訪問(wèn)權(quán)限④

RadiusRG-SA銳捷安全客戶(hù)端⑤安全訪問(wèn)權(quán)限執(zhí)行⑥802.1x安全信息通知用戶(hù)入網(wǎng)強(qiáng)制安全用戶(hù)接入網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)傳輸設(shè)備安全策略服務(wù)器隔離區(qū)域RG-SMP安全管理平臺(tái)RG-RES（安全修復(fù)系統(tǒng)）①安全事件RG-SA銳捷安全客戶(hù)端③安全規(guī)則執(zhí)行④安全信息通知RG-SWITCH銳捷安全聯(lián)動(dòng)設(shè)備①安全事件②安全事件判斷，調(diào)用相應(yīng)安全規(guī)則安全滲透網(wǎng)絡(luò)全局網(wǎng)絡(luò)安全事件的自動(dòng)防御，根據(jù)不同的安全事件，將相應(yīng)的安全策略下發(fā)到安全聯(lián)動(dòng)設(shè)備中或者安全客戶(hù)端上，從而保證用戶(hù)系統(tǒng)免受安全攻擊。自動(dòng)防御源地址檢查網(wǎng)絡(luò)中心PingSweep防止用戶(hù)對(duì)網(wǎng)絡(luò)的掃描ACL功能強(qiáng)大的ACL功能、提供標(biāo)準(zhǔn)、擴(kuò)展、基于時(shí)間以及專(zhuān)家級(jí)ACL，全方位保護(hù)網(wǎng)絡(luò)RADIUS身份驗(yàn)證/SSHBPDUGUARD，802.1W防止對(duì)STP的攻擊StormContrl風(fēng)暴控制防止瞬間超大的數(shù)據(jù)流量驗(yàn)證用戶(hù)對(duì)核心設(shè)備的訪問(wèn)PORTSERCURITY端口MAC的綁定、限定MAC數(shù)量，有效保護(hù)網(wǎng)絡(luò)攻擊源IP地址欺騙攻擊檢測(cè)SSH/源IP地址限制設(shè)備訪問(wèn)的安全性防DOS攻擊防SYN、Smurf攻擊網(wǎng)絡(luò)設(shè)備嵌入式安全機(jī)制根據(jù)對(duì)用戶(hù)系統(tǒng)安全性的評(píng)估，已及新的安全策略要求，安全系統(tǒng)會(huì)將相應(yīng)的安全信息下發(fā)給安全客戶(hù)端要求用戶(hù)進(jìn)行系統(tǒng)安全性升級(jí)，同時(shí)有效

控制用戶(hù)的網(wǎng)絡(luò)訪問(wèn)行為和范圍、當(dāng)修復(fù)完成用戶(hù)被允許正常進(jìn)行網(wǎng)絡(luò)訪問(wèn)。用戶(hù)接入網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)傳輸設(shè)備安全策略服務(wù)器隔離區(qū)域RG-SMP安全管理平臺(tái)RG-RES（安全修復(fù)系統(tǒng)）RG-SA銳捷安全客戶(hù)端①A、安全信息目前用戶(hù)系統(tǒng)處于不完整狀態(tài)，或新安全策略要求用戶(hù)進(jìn)行系統(tǒng)升級(jí)②自動(dòng)網(wǎng)絡(luò)連接修復(fù)安全客戶(hù)端根據(jù)安全信息，自動(dòng)連接修復(fù)服務(wù)器進(jìn)行系統(tǒng)修復(fù)RG-SWITCH銳捷安全聯(lián)動(dòng)設(shè)備①B、用戶(hù)訪問(wèn)范圍控制③用戶(hù)系統(tǒng)信息通告④用戶(hù)訪問(wèn)范圍控制自動(dòng)修復(fù)

安全客戶(hù)端自動(dòng)將用戶(hù)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行進(jìn)行統(tǒng)計(jì)，同時(shí)針對(duì)新的網(wǎng)絡(luò)行為將自動(dòng)通知管理員（郵件、日志報(bào)表），管理員能根據(jù)網(wǎng)絡(luò)新的行為進(jìn)行分析，從而有效防范新的安全事件，同時(shí)安全管理平臺(tái)可以自動(dòng)進(jìn)行網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)環(huán)境的學(xué)習(xí)。用戶(hù)接入網(wǎng)絡(luò)主機(jī)網(wǎng)絡(luò)傳輸設(shè)備安全策略服務(wù)器隔離區(qū)域RG-SMP安全管理平臺(tái)RG-RES（安全修復(fù)系統(tǒng)）RG-SA銳捷安全客戶(hù)端①A、新的網(wǎng)絡(luò)行為安全客戶(hù)端會(huì)將用戶(hù)的新的網(wǎng)絡(luò)訪問(wèn)行為自動(dòng)通知安全管理平臺(tái)RG-SWITCH銳捷安全聯(lián)動(dòng)設(shè)備①B、通過(guò)郵件，每日安全管理平臺(tái)日志報(bào)表提醒管理員③安全策略的自學(xué)習(xí)，針對(duì)相同的安全行為的安全信息將自動(dòng)匹配相同的安全策略②A、網(wǎng)絡(luò)環(huán)境的通告②B、安全管理平臺(tái)自動(dòng)進(jìn)行網(wǎng)絡(luò)環(huán)境分析對(duì)比，并形成報(bào)告。自動(dòng)學(xué)習(xí)基于SSL的可信連接條件申請(qǐng)和安裝服務(wù)器證書(shū)Web服務(wù)器安全通信設(shè)置安裝客戶(hù)端CA證書(shū)基于SSL客戶(hù)機(jī)的驗(yàn)證使用CTL提高Web站點(diǎn)信任度9.6建立可信的政務(wù)網(wǎng)站9.6.1基于SSL的可信連接條件在瀏覽器和IISWeb服務(wù)器之間建立SSL連接，必須具備以下條件。（1）在Web服務(wù)器上安裝“證書(shū)服務(wù)”組件。（2）從可信的證書(shū)頒發(fā)機(jī)構(gòu)獲取Web服務(wù)器證書(shū)。（3）在Web服務(wù)器上安裝服務(wù)器證書(shū)。（4）在Web服務(wù)器上設(shè)置SSL選項(xiàng)。（5）客戶(hù)端必須同Web服務(wù)器信任同一證書(shū)認(rèn)證機(jī)構(gòu)（安裝CA證書(shū)）。IIS6.0提供了三個(gè)新的安全任務(wù)向?qū)?，用?lái)簡(jiǎn)化大多數(shù)維護(hù)Web站點(diǎn)的安全所需的安全任務(wù)。（6）Web服務(wù)器證書(shū)向?qū)в脕?lái)管理IIS和服務(wù)器證書(shū)中的SSL。（7）CTL向?qū)в脕?lái)管理證書(shū)信任列表（CTL，CertificateTrustList）。證書(shū)信任列表列出了每個(gè)Web站點(diǎn)或虛擬目錄所信任的證書(shū)頒發(fā)機(jī)構(gòu)。（8）權(quán)限向?qū)Х峙鋀eb和NTFS訪問(wèn)權(quán)限給Web站點(diǎn)、虛擬目錄以及服務(wù)器上的文件。9.6.2申請(qǐng)和安裝服務(wù)器證書(shū)

安裝證書(shū)服務(wù)組件（1）打開(kāi)“控制面板”中的“填加/刪除程序”，鼠標(biāo)單擊“添加/刪除Windows組件”，出現(xiàn)“Windows組件向?qū)А辈僮鞔翱冢x擇“證書(shū)服務(wù)”復(fù)選框。（2）鼠標(biāo)單擊“下一步”，組件安裝向?qū)ч_(kāi)始安裝“證書(shū)服務(wù)”。在默認(rèn)安裝中“證書(shū)服務(wù)”沒(méi)有安裝，“證書(shū)服務(wù)”組件要用Windows2003Server光盤(pán)來(lái)安裝。（3）出現(xiàn)“證書(shū)頒發(fā)機(jī)構(gòu)類(lèi)型”，如圖9.11所示，選擇“獨(dú)立根CA”的安裝類(lèi)型。鼠標(biāo)單擊“下一步”。（4）出現(xiàn)“CA標(biāo)識(shí)信息”，如圖9.12所示，輸入標(biāo)識(shí)該CA的信息（給自己的CA起一個(gè)名字），鼠標(biāo)單擊“下一步”。接下來(lái)出現(xiàn)“證書(shū)數(shù)據(jù)存儲(chǔ)位置”操作窗口（圖略），選擇“證書(shū)數(shù)據(jù)庫(kù)”、“證書(shū)數(shù)據(jù)庫(kù)日志”和“共享文件夾”的存儲(chǔ)路經(jīng)，即可完成安裝。

生成服務(wù)器證書(shū)請(qǐng)求文件

（1）打開(kāi)Internet信息服務(wù)管理單元，選擇相應(yīng)的“Web站點(diǎn)”，單擊鼠標(biāo)右鍵，從快捷菜單中選擇“屬性”，打開(kāi)屬性設(shè)置對(duì)話(huà)框，選擇“目錄安全性”選項(xiàng)卡。（2）鼠標(biāo)左鍵單擊“安全通信”區(qū)域中的“服務(wù)器證書(shū)”按鈕，打開(kāi)Web服務(wù)器證書(shū)向?qū)g迎界面，提示W(wǎng)eb服務(wù)器沒(méi)有安裝證書(shū)。（3）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)如圖9.13所示的對(duì)話(huà)框，選擇“創(chuàng)建一個(gè)新證書(shū)”單選鈕。（若選擇第二個(gè)選項(xiàng)，則將一個(gè)已存在的證書(shū)分配到該站點(diǎn)。若選擇第三個(gè)選項(xiàng)，則直接從密鑰管理器備份文件導(dǎo)入一個(gè)證書(shū)。）（4）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“稍后或立即請(qǐng)求”對(duì)話(huà)框，選擇發(fā)送證書(shū)申請(qǐng)的方法。鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)如圖9.14所示的對(duì)話(huà)框，設(shè)置證書(shū)“名稱(chēng)”和安全密鑰的“長(zhǎng)度”。

（5）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“組織信息”對(duì)話(huà)框，設(shè)置證書(shū)的組織信息。（6）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)如圖9.15所示的對(duì)話(huà)框，設(shè)置站點(diǎn)的公用名稱(chēng)。（7）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“地理信息”對(duì)話(huà)框，設(shè)置CA的地理信息，默認(rèn)繼承根證書(shū)的有關(guān)設(shè)置值。（8）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“證書(shū)請(qǐng)求文件名”對(duì)話(huà)框，設(shè)置要產(chǎn)生的證書(shū)請(qǐng)求文件名及路徑。（9）鼠標(biāo)單擊“下一步”按鈕，顯示證書(shū)請(qǐng)求文件的摘要信息。如圖9.16所示。

(10）鼠標(biāo)單擊“下一步”按鈕，再單擊“完成”按鈕，結(jié)束證書(shū)文件（certreq.txt）的創(chuàng)建?？梢杂梦募庉嬈鞔蜷_(kāi)生成的證書(shū)請(qǐng)求文件certreq.txt，進(jìn)行查看。生成服務(wù)器證書(shū)請(qǐng)求文件

申請(qǐng)服務(wù)器證書(shū)

(1)啟動(dòng)服務(wù)器的瀏覽器，在URL欄中輸入：http://locahost/CertSrv/default.asp，打開(kāi)本地的證書(shū)服務(wù)的虛擬目錄，出現(xiàn)歡迎界面。（2）選擇“申請(qǐng)證書(shū)”，鼠標(biāo)單擊“下一步”按鈕。（3）選擇“高級(jí)申請(qǐng)”，鼠標(biāo)單擊“下一步”按鈕。（4）選擇“高級(jí)證書(shū)申請(qǐng)”中的第二個(gè)選項(xiàng)，即選擇使用“base64的編碼”方式提交證書(shū)申請(qǐng)。（5）填寫(xiě)申請(qǐng)表單。將已經(jīng)生成的服務(wù)器證書(shū)請(qǐng)求文件（certreq.txt）的內(nèi)容復(fù)制到“保存的申請(qǐng)”表單中，在“證書(shū)模板”下拉列表中選擇“Web服務(wù)器”。（6）鼠標(biāo)單擊“提交”。提交成功后，返回一個(gè)頁(yè)面給申請(qǐng)者，告訴證書(shū)已經(jīng)成功提交，現(xiàn)在是掛起狀態(tài)，即等待CA中心來(lái)頒發(fā)這個(gè)證書(shū)了。（7）在“控制面板”中的“管理工具”中，啟動(dòng)“證書(shū)頒發(fā)機(jī)構(gòu)”，在待定申請(qǐng)中找到剛剛申請(qǐng)條目，然后用鼠標(biāo)右鍵單擊“頒發(fā)”即可。安裝服務(wù)器證書(shū)

（1）打開(kāi)Internet信息服務(wù)管理單元，選擇“默認(rèn)Web站點(diǎn)”，單擊鼠標(biāo)右鍵打開(kāi)“屬性”設(shè)置對(duì)話(huà)框，選擇“目錄安全性”選項(xiàng)卡。鼠標(biāo)左鍵單擊“安全通信”區(qū)域中的“服務(wù)器證書(shū)”按鈕，打開(kāi)“歡迎使用Web服務(wù)器證書(shū)向?qū)А苯缑妗＃?）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“掛起的證書(shū)請(qǐng)求”對(duì)話(huà)框，選擇“處理掛起的請(qǐng)求并安裝證書(shū)”。（3）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“處理掛起的請(qǐng)求”對(duì)話(huà)框，輸入證書(shū)文件的路徑和文件名。鼠標(biāo)單擊“瀏覽”按鈕，從磁盤(pán)上選擇剛剛頒發(fā)成功證書(shū)文件（ServerCert.cer）。（4）鼠標(biāo)單擊“下一步”按鈕，顯示該證書(shū)的摘要信息，如圖10.14所示。（5）鼠標(biāo)單擊“下一步”按鈕，出現(xiàn)“完成Web服務(wù)器證書(shū)向?qū)А钡膶?duì)話(huà)框，鼠標(biāo)單擊“完成”按鈕，關(guān)閉服務(wù)器證書(shū)安裝向?qū)?。?）回到“目錄安全性”選項(xiàng)卡，鼠標(biāo)單擊“查看證書(shū)”，可進(jìn)一步查看Web服務(wù)器證書(shū)。每個(gè)Web站點(diǎn)只能有一個(gè)服務(wù)器證書(shū)，為安全起見(jiàn)，應(yīng)注意及時(shí)備份服務(wù)器證書(shū)。

9.6.3設(shè)置Web服務(wù)器的安全通信（1）在Internet信息服務(wù)管理單元中，選擇欲啟用SSL保護(hù)的“Web站點(diǎn)”，單擊鼠標(biāo)右鍵打開(kāi)“屬性”設(shè)置對(duì)話(huà)框，在“Web站點(diǎn)”選項(xiàng)卡設(shè)置“SSL端口”，默認(rèn)的端口號(hào)是443。（2）在圖中，鼠標(biāo)單擊“目錄安全性”選項(xiàng)卡，鼠標(biāo)單擊“安全通信”區(qū)域的“編輯”按鈕，出現(xiàn)如圖所示的“安全通信”對(duì)話(huà)框。如果選中“申請(qǐng)安全通道（SSL）”

復(fù)選框，則強(qiáng)制瀏覽器與Web站點(diǎn)（或者目錄、文件）建立SSL加密通信連接。選中“申請(qǐng)128位加密”復(fù)選框，則強(qiáng)制SSL連接使用128位加密。（3）客戶(hù)證書(shū)選項(xiàng)設(shè)置。一般可選用默認(rèn)選項(xiàng)“忽略客戶(hù)證書(shū)”，允許沒(méi)有客戶(hù)證書(shū)的用戶(hù)訪問(wèn)該Web資源，因?yàn)榇蟛糠諻eb訪問(wèn)都是匿名的。若選用“接收客戶(hù)證書(shū)”或“申請(qǐng)客戶(hù)證書(shū)”，則只允許有客戶(hù)證書(shū)的用戶(hù)訪問(wèn)該Web資源，即禁止匿名訪問(wèn)。建立了SSL安全機(jī)制后，只有SSL允許的客戶(hù)才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，輸入https://，而不是http://。9.6.4安裝客戶(hù)端CA證書(shū)（1）啟動(dòng)IE瀏覽器，打開(kāi)https://locahost/CertSrv/default.asp，出現(xiàn)歡迎界面。（2）選擇“檢查CA證書(shū)或證書(shū)員銷(xiāo)列表”，鼠標(biāo)單擊“下一步”按鈕。（3）出現(xiàn)如圖所示的界面，鼠標(biāo)單擊“安裝此CA證書(shū)路徑”鏈接。（4）出現(xiàn)“根證書(shū)存儲(chǔ)”對(duì)話(huà)框，鼠標(biāo)單擊“是”按鈕，將CA添加到瀏覽器的“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。（5）出現(xiàn)界面，提示CA證書(shū)已安裝。說(shuō)明已將該CA證書(shū)添加到根證書(shū)存儲(chǔ)區(qū)。此時(shí)，在IE瀏覽器中選擇菜單“工具”→“Internet選項(xiàng)”。打開(kāi)“Internet選項(xiàng)”對(duì)話(huà)框，選擇“內(nèi)容”選項(xiàng)卡，鼠標(biāo)單擊“證書(shū)”按鈕，出現(xiàn)如圖所