Extranet网络(计算机系统集成)

1、第七章 Extranet网络 7.1 Extranet网络概述 7.2 Extranet技术 7.3 Extranet设计实例1一.Extranet1.定义Extranet来源于EXTRA和NETWORK，即外部网络。国内不同译名“企业外部网”、“外部网”、“外部Intranet网”、“企业Extranet网”等。一般认为Extranet将企业Intranet网络扩展到合作伙伴，实现企业相关信息共享、信息交流和相互通信。Extranet是介于 Intranet和 Internet之间的网络。2.Extranet与 Intranet/Internet之间的关系Extranet是一种思想或概念，延

2、伸企业组织与管理的涵义，超越企业本身，带来如企业管理、经营、网络安全、信息保密和企业间协作关系等新问题。因此实现Extranet不仅涉及到技术问题，重要的涉及企业管理理念、经营观念、组织结构、企业战略等管理问题。7.1 Extranet网络概述23二.Extranet应用1.Extranet使企业与外部保持通信，实现与合作伙伴和顾客共享有些信息，如产品介绍、技术服务、市场行情等。2.扩展Intranet功能，建立广泛商务联系，促进网络商业贸易，开展区域或全球经济合作和科学研究等。实例：3家公司利用Extranet开展合作大型项目该项目由3家公司共同建设，每家公司各承担一部分工作，A公司为项目总

3、承包单位。各公司之间有大量信息（如总体设计方案，标准规范，公用设计图纸，设计指示，测试数据等）需要共享，设计施工人员要保持通信联络，交换大量管理信息。7.1 Extranet网络概述45一.Extranet安全企业外部Web服务器能存取内部数据，公司须在“防火墙”上凿洞，凿洞越多，进入企业内部网的方式和途径越不安全。l）访问限制访问 Extranet资源的限制；访问与Extranet互连的网络资源的限制；对资源的访问程度；访问的等级和权限。2）区分内部与外部资源不能共享和公开的内部资源/能共享和公开的外部资源，用“防火墙”技术保护和隔离。3）用户认证用户ID与用户口令；访问安全控制加密（ACE

4、）技术；使用安全ID或ACE用户，当访问受保护的资源时，系统要求用户输入用户名和入口代码。4）使用防火墙7.2 Extranet技术6二.Extranet网络分类1)专用型Extranet:用TCP/IP技术连接相关企业Intranet网络，安全性好但建设和维护成本高。 2）开放型Extranet:使用公用Internet等网络来构建相关企业的Extranet。成本低，组网灵活但须解决安全性问题。3）混合型Extranet:综合专用型和开放型两者长处，重要合作伙伴用专用数据通信信道，一般用户使用开放型。三.虚拟专用网VPN-指利用公用网的资源为用户构建专网。其含义：无固定物理链路，利用公用网的

5、设施构建，需要时动态建立。使用VPN解决Extranet网络安全方法:1.使用数据加密技术对通过VPN的数据流进行加密。2.依赖遂道技术加密两台主机间传送的数据流，加密数据流由Internet上的两台VPN网关传送。四.主干网：专门建立主干网连接相关企业的Intranet和Internet客户。78五.Extranet软件与服务Web服务器软件Web客户端软件Extranet服务目录服务，Web信息服务，电子商务，通信服务六. Extranet管理通信设施管理，通信连接管理，服务器管理，协议与服务管理，用户账号管理，网络设备管理，安全管理7.2 Extranet技术9Extranet中访问控制

6、的实现方案利用IP级防火墙实现 现有IP级防火墙多用作多端口路由器，按照预定义的规则对过往报文进行访问控制。访问控制表格式如下：根据Extranet安全策略，配置以上各项，对出入的访问进行限制。由于Intranet边界路由器中有IP防火墙功能，只需扩展、更改其传输控制表中的规则，可实现Extranet访问控制的基本功能。具有简单、高效优点，而且访问控制在IP层实现，易将路由器、防火墙与Extranet中负责数据安全传输的设备（如：VPN服务器）相集成。但缺乏必要的用户鉴别，且其依赖于应用服务的标准端口进行控制，隐含安全漏洞，受端口欺骗。actionsrc-hostsrc-postdest-ho

7、stdest-postDirection10Extranet中访问控制的实现方案利用SOCKS实现由于SOCKS没有严格内外部的概念之分，且提供较强的用户鉴别和访问控制功能，简单易行。结合VPN技术和SOCKS技术，用户鉴别采用SOCKS V5支持的USERNAME/PASSWORD协议来完成。SOCKS服务器基本功能：-由企业内部出去的访问请求，进行USERNAME/PASSWORD的用户鉴别和访问控制，若为合法访问，该请求由本企业的VPN服务器发出。 -进入企业的访问请求，SOCKS服务器同样需提供用户鉴别和访问控制，通过后，进一步代理至用户真正欲访问的企业内部的应用服务器。 这样企业间数

8、据的安全传输由VPN服务器间建立的隧道机制完成，而SOCKS服务器负责用户鉴别和访问的集中控制。SOCKS作为一种代理机制，屏蔽内部网络结构，且不依赖于应用协议的语义和命令，提供一种通用的网络架构，实现起来效率高。但由于客户端需支持SOCKS，应对客户端SOCKS化。11Extranet中访问控制的实现方案利用应用代理实现对在Internet或Web上进行商业活动的公司，Proxy Server可成为单个用户与企业保存有企业敏感信息的服务器之间的透明中介。Proxy Server提供企业内部用户受控的Internet访问，也可管理来自外部用户的访问以加强防火墙安全保护的能力。现有的许多的应用代

9、理均提供反向代理的功能，即对某些URL预设相应的替代URL。当外部用户访问内部服务器时，其请求被送至Proxy Server，Proxy Server查找预先建立的规则映射得到内部服务所在的地址，并通过防火墙的特定通道（如一特定端口）与内部服务器交互。若内部服务器返回错误信息，则Proxy Server利用反向映射打乱返回结果，保证内部信息不被泄露。该方案可用模板和正则表达式定义网络资源，限制客户执行那种操作（读/写），对客户进行组管理，可多层次、多粒度地控制，提供缓存功能及多种安全措施等。但过分依赖应用协议的语义信息，只对不同协议的不同版本提供代理，限制新应用的引入，同时运行效率低。12利用应用代理和SOCKS共同实现在防火墙外，建立Proxy Server和Socks Server，外来访问先通过Socks Server进行控制，若允许再送至Proxy Server进行面向应用的访问控制。这样安全性能大有提高，但实现起来较繁杂且影响服务的速度。Extranet中访问控制的实现方案137.3 Extranet设计实例一.设计要求某公司的办事处及合作伙伴遍布世界各地，要求在企业Intra