111?2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全技術(shù)北京華勝天成科技股份有限公司售前技術(shù)部：王超2005年1月內(nèi)容概述計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)局域網(wǎng)技術(shù)及解決方案廣域網(wǎng)技術(shù)及解決方案網(wǎng)絡(luò)安全相關(guān)技術(shù)及解決方案問(wèn)題&應(yīng)答計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)OSI七層參考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會(huì)話流代碼流數(shù)據(jù)TCP/IP協(xié)議簇傳輸層數(shù)據(jù)連路層

網(wǎng)絡(luò)層物理層應(yīng)用層會(huì)話層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等Ethernet、ATM、FDDI、X.25、ISDN等內(nèi)容分發(fā)負(fù)載均衡路由器交換機(jī)TCP會(huì)話連接SYNreceived主機(jī)A：客戶端主機(jī)B：服務(wù)端發(fā)送TCPSYN分段(seq=100ctl=SYN)1發(fā)送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3TCP連接的終止主機(jī)B：服務(wù)端主機(jī)A：客戶端1發(fā)送TCPFIN分段2發(fā)送TCPACK分段3發(fā)送TCPFIN分段4發(fā)送TCPACK分段關(guān)閉A到B的連接關(guān)閉A到B的連接局域網(wǎng)技術(shù)及解決方案局域網(wǎng)技術(shù)

1、局域網(wǎng)（LAN）的定義：

LAN是一個(gè)覆蓋地理位置相對(duì)較小的高速數(shù)據(jù)網(wǎng)絡(luò)，通過(guò)電纜將服務(wù)器、工作站、打印機(jī)和其它設(shè)備連接到一起。這種網(wǎng)絡(luò)通常位于一個(gè)比較集中的建筑群內(nèi)。

2、LAN拓?fù)浣Y(jié)構(gòu)：電腦連接的方式叫“網(wǎng)絡(luò)拓?fù)洹保Ｒ?jiàn)的LAN物理拓?fù)浣Y(jié)構(gòu)有三種：總線型、環(huán)型和星型。而邏輯拓?fù)浣Y(jié)構(gòu)只有總線型和環(huán)型兩種。邏輯總線型和環(huán)型拓?fù)浣Y(jié)構(gòu)通?？梢栽谛切臀锢硗?fù)浣Y(jié)構(gòu)中實(shí)現(xiàn)。圖一總線型（以太網(wǎng)）圖二環(huán)型（令牌環(huán)、FDDI）圖三星型圖四星型局域網(wǎng)技術(shù)

3、以太網(wǎng)類(lèi)型：1）標(biāo)準(zhǔn)以太網(wǎng)：速率為10Mbps，傳輸介質(zhì)為同軸電纜或雙絞線；

2）快速以太網(wǎng)：速率為100Mbps，傳輸介質(zhì)為雙絞線或光纖；3）千兆以太網(wǎng)：速率為1000Mbps，傳輸介質(zhì)為雙絞線或光纖；4）萬(wàn)兆以太網(wǎng)：速率為10000Mbps,傳輸介質(zhì)為雙絞線或光纖.

4、局域網(wǎng)（以太網(wǎng)）設(shè)備：1）網(wǎng)絡(luò)線纜：同軸電纜、雙絞線、光纖。

2）網(wǎng)卡：一種電腦輔助板卡，一面插入電腦母板的擴(kuò)展槽，另一面與網(wǎng)絡(luò)線纜相連。網(wǎng)卡完成網(wǎng)絡(luò)通信所需的各種功能。只有通過(guò)網(wǎng)卡，電腦才能通過(guò)網(wǎng)絡(luò)進(jìn)行通信。目前常用的以太網(wǎng)卡：10M、10/100M自適應(yīng)、1000M。

3）集線器：是一種連接多個(gè)用戶節(jié)點(diǎn)的物理層設(shè)備，每個(gè)經(jīng)集線器連接的節(jié)點(diǎn)都需要一條專(zhuān)用電纜，用集線器可以建立一個(gè)物理的星型網(wǎng)絡(luò)結(jié)構(gòu)。常用的集線器按速率分有10M、100M、10/100M自適應(yīng)三種，支持的端口數(shù)從8口到24口不等。集線器令所有端口共享10M（或100M）帶寬。

局域網(wǎng)技術(shù)4、局域網(wǎng)（以太網(wǎng)）設(shè)備：4）交換機(jī)：是數(shù)據(jù)鏈路層設(shè)備，它將較大的局域網(wǎng)分解成較小的子網(wǎng)，另每個(gè)端口下連接的單個(gè)設(shè)備或子網(wǎng)獨(dú)享10M（或100M）分段，然后再實(shí)現(xiàn)分段間通信。交換機(jī)對(duì)大網(wǎng)進(jìn)行細(xì)分，減少了從一個(gè)分段到另一個(gè)分段時(shí)不必要的網(wǎng)絡(luò)信息流，從而解決了網(wǎng)絡(luò)擁塞問(wèn)題，提高網(wǎng)絡(luò)整體性能。常見(jiàn)交換機(jī)類(lèi)型：10M、10/100M、1000M，端口從8口到48口不等。交換機(jī)還有可堆疊、不可堆疊，可網(wǎng)管、不可網(wǎng)管以及是否帶三層路由功能之分。交換機(jī)集線器子網(wǎng)A集線器子網(wǎng)B局域網(wǎng)技術(shù)5、虛擬局域網(wǎng)（VLAN）簡(jiǎn)介：1）所謂VLAN，是指一個(gè)由多個(gè)段組成的物理網(wǎng)絡(luò)中的結(jié)點(diǎn)的邏輯分組，利用VLAN，工作組應(yīng)用可以象所有工作組成員都連接到同一個(gè)物理網(wǎng)段上一樣進(jìn)行工作，而不必關(guān)心用戶實(shí)際連接到哪個(gè)網(wǎng)段上。VLAN是交換式LAN的最大特點(diǎn)。交換機(jī)信息中心交換機(jī)A樓交換機(jī)B樓部門(mén)A部門(mén)B部門(mén)A部門(mén)B局域網(wǎng)技術(shù)

2）VLAN的優(yōu)點(diǎn)：改進(jìn)管理的效率：VLAN提供了有效的機(jī)制來(lái)控制由于企業(yè)結(jié)構(gòu)、人事或資源變化對(duì)網(wǎng)絡(luò)系統(tǒng)所造成的影響。例如，當(dāng)用戶從一個(gè)地點(diǎn)移到另一個(gè)地點(diǎn)時(shí)，只需對(duì)交換機(jī)的配置稍做改動(dòng)即可，大大簡(jiǎn)化了重新布線。配置和測(cè)試的步驟。

控制廣播活動(dòng)：VLAN可保護(hù)網(wǎng)絡(luò)不受由廣播流量所造成的影響，一個(gè)VLAN內(nèi)的廣播信息不會(huì)傳送到VLAN之外，網(wǎng)絡(luò)管理人員可以通過(guò)設(shè)置VLAN靈活控制廣播域。增強(qiáng)網(wǎng)絡(luò)安全：VLAN創(chuàng)造了虛擬邊界，它只能通過(guò)路由跨越，因此通過(guò)將網(wǎng)絡(luò)用戶劃分到不同VLAN并結(jié)合訪問(wèn)控制，可控制VLAN外部站點(diǎn)對(duì)VLAN內(nèi)部資源的訪問(wèn)，提高網(wǎng)絡(luò)的安全性。3）VLAN的劃分方法：

MAC地址、IP地址、交換機(jī)端口5、虛擬局域網(wǎng)（VLAN）簡(jiǎn)介：局域網(wǎng)絡(luò)的設(shè)計(jì)需求

更高的可靠性冗余的網(wǎng)絡(luò)結(jié)構(gòu)：STP，PVST高速故障鏈路切換：Uplinkfast,Backbonefast,Portfast

更高的安全性完整的網(wǎng)絡(luò)安全策略：VLAN,基于交換機(jī)端口的安全性，……

更高的性能基于光纖和UTP的千兆以太網(wǎng)及以太網(wǎng)通道高效的第三層交換更好的可管理性強(qiáng)大的網(wǎng)絡(luò)管理工具：CiscoWorks2000

支持未來(lái)業(yè)務(wù)的發(fā)展企業(yè)總部局域網(wǎng)網(wǎng)絡(luò)解決方案CiscoWorks2000網(wǎng)管郵件服務(wù)器4GBGEC1000M10/100M10/100M在具備光纖資源的營(yíng)業(yè)部采用Catalyst4000/3500接入，否則采用Catalyst2950T接入業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MOA服務(wù)器Catalyst3550工作站10/100M接入中心兩臺(tái)Catalyst6509配置千兆模塊，支持VLAN和高速三層交換1000M1000M企業(yè)總部局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)特點(diǎn)：1.系統(tǒng)全套備份,穩(wěn)定可靠；雙中心配置，中心設(shè)備交換引擎、路由引擎冗余配置；二級(jí)交換機(jī)到中心交換機(jī)鏈路冗余配置2.高性能；Catalyst6500交換機(jī)可具有高達(dá)256Gbps的交換交換矩陣，保證中心高性能交換；千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能4.邊緣交換機(jī)采用10/100M端口連接終端用戶，Catalyst3550光纖千兆上聯(lián)，堆疊擴(kuò)展用戶數(shù)目，節(jié)省上聯(lián)鏈路；Catalyst2950采用UTP千兆上聯(lián)，投資保護(hù)5.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成人行業(yè)務(wù)的瓶頸6.實(shí)施豐富的網(wǎng)絡(luò)安全控制策略，ACL,VLAN；可以配置入侵檢測(cè)模塊IDS7.管理簡(jiǎn)單，瀏覽器方式無(wú)需專(zhuān)門(mén)培訓(xùn)；配置CiscoWorks2000網(wǎng)管軟件及NAM模塊8.良好的擴(kuò)充性,可滿足不斷增長(zhǎng)的用戶網(wǎng)絡(luò)需求9.支持多媒體應(yīng)用，視頻點(diǎn)播、IP電話機(jī)供電企業(yè)大型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案CiscoWorksforWindows或CiscoWorks2000網(wǎng)管郵件服務(wù)器4GBGEC中心兩臺(tái)Catalyst4506/4507，配置千兆模塊，支持VLAN和高速三層交換1000M10/100M10/100M業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MOA服務(wù)器Catalyst3550工作站10/100M接入

1000M1000MCatalyst3550企業(yè)大型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)1.系統(tǒng)穩(wěn)定可靠；采用Catalyst4506/4507組成雙中心，且鏈路冗余；2.高性能全交換、千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；中心交換機(jī)備板64Gbps，二層和三層交換性能為48MPPS;3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.邊緣交換機(jī)采用10/100M端口連接終端用戶，Catalyst3550光纖千兆上聯(lián)，可堆疊擴(kuò)展用戶數(shù)目，節(jié)省上聯(lián)鏈路；Catalyst2950采用UTP千兆上聯(lián)，投資保護(hù)5.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成業(yè)務(wù)的瓶頸6.系統(tǒng)安全,保密性高;ACL，VLAN等網(wǎng)絡(luò)安全策略7.管理簡(jiǎn)單，瀏覽器方式無(wú)需專(zhuān)門(mén)培訓(xùn);

配置

CiscoWorks

2000或CiscoWorksWindows網(wǎng)管軟件8.良好的擴(kuò)充性9.支持多媒體應(yīng)用，視頻點(diǎn)播、IP電話機(jī)供電企業(yè)中型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案

CiscoWorksforWindows網(wǎng)管OA/郵件服務(wù)器4GBGEC中心兩臺(tái)Catalyst3550T交換機(jī)，通過(guò)千兆連接，支持VLAN和高速三層交換1000M10/100M10/100M業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MCatalyst2950T工作站10/100M接入

1000M1000MCatalyst2950T企業(yè)中型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)1.系統(tǒng)穩(wěn)定可靠；采用Catalyst3550T組成雙中心，且鏈路冗余；2.高性能全交換、千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；中心交換機(jī)備板24Gbps;

性能價(jià)格比高;17Mpps的二、三層轉(zhuǎn)發(fā)速率；

3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.邊緣交換機(jī)采用10/100M端口連接終端用戶，Catalyst3550光纖千兆上聯(lián)，可堆疊擴(kuò)展用戶數(shù)目，節(jié)省上聯(lián)鏈路；Catalyst2950T采用UTP千兆上聯(lián)，投資保護(hù)5.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成業(yè)務(wù)的瓶頸6.系統(tǒng)安全,保密性高;ACL，VLAN等網(wǎng)絡(luò)安全策略7.管理簡(jiǎn)單，瀏覽器方式無(wú)需專(zhuān)門(mén)培訓(xùn);

配置

CiscoWorksWindows網(wǎng)管軟件8.良好的擴(kuò)充性9.支持多媒體應(yīng)用，視頻點(diǎn)播企業(yè)小型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案

CiscoWorksforWindowsOA/郵件服務(wù)器4GBGEC中心兩臺(tái)Catalyst3550交換機(jī)，通過(guò)千兆連接，支持VLAN和高速三層交換100M業(yè)務(wù)服務(wù)器100M100M工作站100M100M企業(yè)小型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)1.系統(tǒng)穩(wěn)定可靠；采用Catalyst3550組成雙中心，且鏈路冗余；2.性?xún)r(jià)比高，全交換、百兆主干，滿足小規(guī)模網(wǎng)絡(luò)運(yùn)行需求；中心交換機(jī)備板8.8Gbps;6.6Mpps的二、三層轉(zhuǎn)發(fā)速率；3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成業(yè)務(wù)的瓶頸5.系統(tǒng)安全,保密性高;ACL，VLAN等安全策略6.管理簡(jiǎn)單，瀏覽器方式無(wú)需專(zhuān)門(mén)培訓(xùn);

配置

CiscoWorksWindows網(wǎng)管軟件7.良好的擴(kuò)充性8.支持多媒體應(yīng)用，視頻點(diǎn)播IEEE802.1xAuthenticationServer23802.1xisaclient-server-basedaccesscontrolandauthenticationprotocolthatrestrictsunauthorizeddevicesfromconnectingtoaLANthroughpubliclyaccessibleports411Useractivateslink(i.e.PCPowerson)2SwitchrequestsAuthenticationServerifuserauthorisedtoaccessLAN34AuthenticationServerrespondswithauthorityaccessSwitchopenscontrolledport(ifauthorised)forusertoaccessLAN802.1X首先是一個(gè)認(rèn)證協(xié)議，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。802.1X是基于端口的認(rèn)證策略（這里的端口可以是一個(gè)實(shí)實(shí)在在的物理端口也可以是一個(gè)就像VLAN一樣的邏輯端口，對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)個(gè)“端口”就是一條信道）802.1X的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開(kāi)”這個(gè)端口，允許文所有的報(bào)文通過(guò)；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通過(guò)。802.1x是用來(lái)做什么的？在win98下提供的客戶端：在winXP下提供的客戶端：IEEE802.1x認(rèn)證客戶端廣域網(wǎng)技術(shù)及解決方案廣域網(wǎng)綜述廣域網(wǎng)綜述：

廣域網(wǎng)是地理位置較為分散的局域網(wǎng)之間鏈接通道的集合。廣域網(wǎng)的出現(xiàn)是為了解決局域網(wǎng)與一臺(tái)遠(yuǎn)程工作站或另一個(gè)局域網(wǎng)鏈接的問(wèn)題，在這種情況下，需要鏈接的距離已超過(guò)了線纜媒體的規(guī)格，或者不可能進(jìn)行物理性的線纜連接，為了實(shí)現(xiàn)廣域網(wǎng)，需要用到下面這些傳輸媒體：普通電話網(wǎng)（PSTN）X.25專(zhuān)線一線通ISDNDDN專(zhuān)線幀中繼業(yè)務(wù)國(guó)際互聯(lián)網(wǎng)(Internet)高速光纜衛(wèi)星鏈路微波傳輸鏈路無(wú)線廣播媒體一線通ISDN

一線通ISDN：

ISDN是一種建立在全數(shù)字化網(wǎng)絡(luò)基礎(chǔ)上的綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)，中國(guó)電信稱(chēng)之為“一線通”。它有以下特點(diǎn)：

1）通過(guò)一根普通電話線您可以進(jìn)行多種業(yè)務(wù)通信，如用于電話、上網(wǎng)、傳真、會(huì)議電視、局域網(wǎng)互連等；2）因?yàn)镮SDN提供2B+D服務(wù)（B信道傳輸速率為64K，D信道為“服務(wù)信道”傳輸速率16K），通過(guò)一根普通電話線您可以同時(shí)進(jìn)行兩路通信，比如邊上國(guó)際互聯(lián)網(wǎng)邊打電話，或兩部電話同時(shí)通話等；3）可以同時(shí)使用兩個(gè)B信道來(lái)進(jìn)行數(shù)據(jù)傳輸，從而獲得128K的總體傳輸速率，當(dāng)一個(gè)B信道用于語(yǔ)音傳送時(shí)，另一個(gè)B信道上的傳輸速率就會(huì)降回原始的64K，當(dāng)語(yǔ)音停止傳送時(shí)，數(shù)據(jù)傳送速率就會(huì)立即恢復(fù)成128K。數(shù)據(jù)專(zhuān)線

DDN專(zhuān)線：

DDN是數(shù)字?jǐn)?shù)據(jù)網(wǎng)的簡(jiǎn)稱(chēng)，主要是為用戶提供永久的出租數(shù)字電路。

DDN為用戶開(kāi)放多種形式的業(yè)務(wù)：點(diǎn)對(duì)點(diǎn)的專(zhuān)線、一點(diǎn)對(duì)多點(diǎn)的連接、同點(diǎn)對(duì)多點(diǎn)的圖像通信等。速率從9.6K、19.2K、64K一直2M。

幀中繼業(yè)務(wù)：幀中繼提供了高速度、高效率、大吞吐量、低時(shí)延的數(shù)據(jù)服務(wù)。幀中繼利用永久性虛電路（PVC）建立可靠的端到端回路。對(duì)于低速幀中繼業(yè)務(wù)可通過(guò)DDN網(wǎng)內(nèi)以幀中繼OVERDDN的方式或經(jīng)由DDN網(wǎng)接入寬帶ATM網(wǎng)；對(duì)于高速用戶可使用光纖或HDSL直接接入ATM網(wǎng)。相對(duì)于DDN電路，幀中繼更適合于點(diǎn)到多點(diǎn)的業(yè)務(wù)。DDN的點(diǎn)到多點(diǎn)業(yè)務(wù)只能提供輪詢(xún)方式（在一段時(shí)間內(nèi)，主點(diǎn)只能與一個(gè)從點(diǎn)進(jìn)行通信）。幀中繼業(yè)務(wù)采用PVC方式，可提供與所有從站并發(fā)雙工通信。另外，由于幀中繼支持突發(fā)數(shù)據(jù)，也比較適合于局域網(wǎng)互連或業(yè)務(wù)突發(fā)量較大的應(yīng)用。

VPN技術(shù)使用戶可以通過(guò)國(guó)際互聯(lián)網(wǎng)為企業(yè)構(gòu)筑安全可靠、方便快捷的企業(yè)私有網(wǎng)絡(luò)。根據(jù)業(yè)務(wù)類(lèi)型，VPN業(yè)務(wù)大致可分為兩類(lèi)，撥號(hào)VPN與專(zhuān)線VPN。所謂撥號(hào)VPN，指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)當(dāng)?shù)豂SP撥號(hào)入公網(wǎng)的方式而構(gòu)筑的虛擬網(wǎng)。專(zhuān)線VPN是指企業(yè)的分支機(jī)構(gòu)通過(guò)租用當(dāng)?shù)貙?zhuān)線入公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。

VPN系統(tǒng)使分布在不同地方的專(zhuān)用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽(tīng)。工作過(guò)程：局域網(wǎng)中被保護(hù)的主機(jī)發(fā)明文信息到VPN設(shè)備，VPN對(duì)數(shù)據(jù)加密后通過(guò)路由器送到互聯(lián)網(wǎng)上，加密的數(shù)據(jù)從互聯(lián)網(wǎng)到達(dá)另一個(gè)局域網(wǎng)的路由器，然后由路由器后面的VPN設(shè)備將數(shù)據(jù)解密后送到VPN后面被保護(hù)的主機(jī)上。

通過(guò)國(guó)際互聯(lián)網(wǎng)建立虛擬專(zhuān)用網(wǎng)（VPN）：VPN技術(shù)當(dāng)?shù)貙?zhuān)線隧道從一個(gè)VPN設(shè)備開(kāi)始到另一個(gè)VPN設(shè)備結(jié)束。當(dāng)?shù)貙?zhuān)線撥當(dāng)?shù)豂SP撥長(zhǎng)途號(hào)租長(zhǎng)途專(zhuān)線專(zhuān)用網(wǎng)虛擬專(zhuān)用網(wǎng)國(guó)際互聯(lián)網(wǎng)分支機(jī)構(gòu)總部局域網(wǎng)路由器VPN設(shè)備VPN設(shè)備路由器帶VPN軟件的遠(yuǎn)程站點(diǎn)VPN技術(shù)防火墻Checkpoint&FortiGate400出口路由器CISCO3620INTERNETSDH

128KDDN專(zhuān)線XXX單位網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D2M數(shù)字電路中心交換機(jī)Catalyst4006股份公司防火墻PIX515-R出口路由器CISCO3640內(nèi)部路由器CISCO37454M數(shù)字電路PSTN

財(cái)務(wù)信息系統(tǒng)DMZ防火墻撥號(hào)路由器財(cái)務(wù)客戶端財(cái)務(wù)客戶端財(cái)務(wù)客戶端DB*2Switch*2RAIDAPP*2TAPEDB=數(shù)據(jù)庫(kù)服務(wù)器APP=應(yīng)用服務(wù)器RAID=磁盤(pán)陣列TAPE=磁盤(pán)陣列2Gb/s光纖通道WEBWEB=WWW服務(wù)器應(yīng)用實(shí)例一：總部網(wǎng)絡(luò)擁有靜態(tài)IP地址的分公司網(wǎng)絡(luò)擁有動(dòng)態(tài)IP地址的分公司網(wǎng)絡(luò)備用VPN通道DDN專(zhuān)用線路公司外地出差人員

公司外地出差人員

擁有靜態(tài)IP地址的分公司所屬各經(jīng)營(yíng)部擁有動(dòng)態(tài)IP地址的分公司所屬各經(jīng)營(yíng)FortiGate-100FortiGate-50兩網(wǎng)關(guān)設(shè)備間IPSecVPN通道

FortiNetSSH軟件IPSecVPN通道L2TP/PPTPVPN通道XXX集團(tuán)銷(xiāo)售公司VPN專(zhuān)網(wǎng)應(yīng)用實(shí)例二：VPN網(wǎng)絡(luò)安全技術(shù)及相關(guān)解決方案防火墻技術(shù)防火墻：是加載于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的安全設(shè)備，是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。防火墻可以是軟件、硬件和軟硬件結(jié)合的發(fā)展歷經(jīng)簡(jiǎn)單包過(guò)濾、應(yīng)用代理、狀態(tài)檢測(cè)（狀態(tài)包過(guò)濾）防火墻最新技術(shù)是具有數(shù)據(jù)流過(guò)濾功能的防火墻對(duì)于一個(gè)網(wǎng)絡(luò)來(lái)說(shuō)，所有通過(guò)“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過(guò)防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問(wèn)方向控制，對(duì)于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過(guò)防火墻用戶控制，根據(jù)用戶來(lái)控制對(duì)服務(wù)的訪問(wèn)行為控制，控制一個(gè)特定的服務(wù)的行為防火墻主要功能過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為封堵某些禁止的業(yè)務(wù)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問(wèn)控制進(jìn)行訪問(wèn)規(guī)則檢查發(fā)起訪問(wèn)請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問(wèn)將訪問(wèn)記錄寫(xiě)進(jìn)日志文件合法請(qǐng)求則允許對(duì)外訪問(wèn)發(fā)起訪問(wèn)請(qǐng)求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問(wèn)控制3、對(duì)工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域與外網(wǎng)的訪問(wèn)控制

Internet區(qū)域Internet邊界路由器進(jìn)行訪問(wèn)規(guī)則檢查發(fā)起訪問(wèn)請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問(wèn)將訪問(wèn)記錄寫(xiě)進(jìn)日志文件禁止對(duì)外發(fā)起連結(jié)請(qǐng)求發(fā)起訪問(wèn)請(qǐng)求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問(wèn)控制3、對(duì)DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)內(nèi)部子網(wǎng)與DMZ區(qū)的訪問(wèn)控制進(jìn)行訪問(wèn)規(guī)則檢查發(fā)起訪問(wèn)請(qǐng)求合法請(qǐng)求則允許對(duì)外訪問(wèn)將訪問(wèn)記錄寫(xiě)進(jìn)日志文件禁止對(duì)工作子網(wǎng)發(fā)起連結(jié)請(qǐng)求發(fā)起訪問(wèn)請(qǐng)求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)撥號(hào)用戶對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制撥號(hào)服務(wù)器Cisco2620移動(dòng)用戶PSTNModemModem進(jìn)行一次性口令認(rèn)證認(rèn)證通過(guò)后允許訪問(wèn)內(nèi)網(wǎng)將訪問(wèn)記錄寫(xiě)進(jìn)日志文件內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)對(duì)總部的訪問(wèn)控制撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專(zhuān)線DMZ區(qū)域WWWMailDNSFW+VPNFW+VPN進(jìn)行規(guī)則檢查將訪問(wèn)記錄寫(xiě)進(jìn)日志文件防火墻在此處的功能：1、將內(nèi)部子網(wǎng)與連接下屬機(jī)構(gòu)的公網(wǎng)隔離開(kāi)2、控制下屬機(jī)構(gòu)子網(wǎng)用戶對(duì)總部?jī)?nèi)網(wǎng)的訪問(wèn)3、對(duì)下屬機(jī)構(gòu)網(wǎng)絡(luò)與總部子網(wǎng)之間的通訊做日志和審計(jì)基于時(shí)間的訪問(wèn)控制HostCHostD在防火墻上制定基于時(shí)間的訪問(wèn)控制策略上班時(shí)間不允許訪問(wèn)Internet上班時(shí)間可以訪問(wèn)公司的網(wǎng)絡(luò)Internet用戶級(jí)權(quán)限控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶root123root123Yesadmin883No不管那臺(tái)電腦都可以用相同的用戶名來(lái)登陸防火墻只需在防火墻設(shè)置該用戶的規(guī)則即可高層協(xié)議控制應(yīng)用控制可以對(duì)常用的高層應(yīng)用做更細(xì)的控制如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻內(nèi)部接口外部接口根據(jù)策略檢查應(yīng)用層的數(shù)據(jù)符合策略應(yīng)用層應(yīng)用層應(yīng)用層IP與MAC綁定InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBindTo00-50-04-BB-71-A6BindTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)流量控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)HostA的流量已達(dá)到10MHostA的流量已達(dá)到極限值30M阻斷HostA的連接Internet端口映射Internet公開(kāi)服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS：80——：80：21——：21：25——：25：53——：53NAT網(wǎng)關(guān)和IP復(fù)用Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開(kāi)地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能透明接入受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有改變信息系統(tǒng)審計(jì)與日志HostAHostBHostCHostDInternet安全網(wǎng)域HostGHostH···TCP8：302001-02-07···TCP9：102001-02-07寫(xiě)入日志寫(xiě)入日志一旦出現(xiàn)安全事故可以查詢(xún)此日志身份鑒別功能HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶rootasdasdf驗(yàn)證通過(guò)則允許訪問(wèn)root123Yesadmin883No用戶身份認(rèn)證根據(jù)用戶控制訪問(wèn)防火墻的類(lèi)型包過(guò)濾路由器應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)這僅是一種防火墻分類(lèi)方法，所著眼的視角不同，得到的類(lèi)型劃分也不一樣包過(guò)濾防火墻基本的思想很簡(jiǎn)單對(duì)于每個(gè)進(jìn)來(lái)的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過(guò)濾過(guò)濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號(hào)過(guò)濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來(lái)作出決定包過(guò)濾路由器示意圖網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過(guò)濾HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開(kāi)數(shù)據(jù)包進(jìn)行分析根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包控制策略基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于數(shù)據(jù)流可以靈活的制定的控制策略包過(guò)濾防火墻的優(yōu)缺點(diǎn)在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè)并沒(méi)有考慮連接狀態(tài)信息通常在路由器上實(shí)現(xiàn)實(shí)際上是一種網(wǎng)絡(luò)的訪問(wèn)控制機(jī)制優(yōu)點(diǎn)實(shí)現(xiàn)簡(jiǎn)單對(duì)用戶透明效率高缺點(diǎn)正確制定規(guī)則并不容易不可能引入認(rèn)證機(jī)制針對(duì)包過(guò)濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對(duì)策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對(duì)策：禁止這樣的選項(xiàng)小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對(duì)策：丟棄分片太小的分片利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻例如，利用ftp協(xié)議對(duì)內(nèi)部進(jìn)行探查應(yīng)用層網(wǎng)關(guān)也稱(chēng)為代理服務(wù)器特點(diǎn)所有的連接都通過(guò)防火墻，防火墻作為網(wǎng)關(guān)在應(yīng)用層上實(shí)現(xiàn)可以監(jiān)視包的內(nèi)容可以實(shí)現(xiàn)基于用戶的認(rèn)證所有的應(yīng)用需要單獨(dú)實(shí)現(xiàn)可以提供理想的日志功能非常安全，但是開(kāi)銷(xiāo)比較大應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)允許用戶“直接”訪問(wèn)Internet易于記錄日志缺點(diǎn)新的服務(wù)不能及時(shí)地被代理每個(gè)被代理的服務(wù)都要求專(zhuān)門(mén)的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務(wù)要求建立直接連接，無(wú)法使用代理代理服務(wù)不能避免協(xié)議本身的缺陷或者限制電路層網(wǎng)關(guān)工作于OSI/RM的會(huì)話層充當(dāng)屏蔽路由器，將內(nèi)外網(wǎng)徹底隔離防火墻設(shè)計(jì)規(guī)則保持設(shè)計(jì)的簡(jiǎn)單性計(jì)劃好防火墻被攻破時(shí)的應(yīng)急響應(yīng)考慮以下問(wèn)題雙機(jī)熱備安全的遠(yuǎn)程管理入侵監(jiān)測(cè)的集成數(shù)據(jù)保護(hù)功能雙機(jī)熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFirewallStandbyFirewall檢測(cè)ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作安全遠(yuǎn)程管理安全網(wǎng)域HostCHostDInternet管理員黑客如何實(shí)現(xiàn)安全管理呢采用一次性口令認(rèn)證來(lái)實(shí)現(xiàn)安全管理用戶名，口令用戶名，口令數(shù)據(jù)機(jī)密性保護(hù)撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專(zhuān)線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)完整性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專(zhuān)線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性數(shù)據(jù)源身份驗(yàn)證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專(zhuān)線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過(guò)IDSIDS（IntrusionDetectionSystem）就是入侵檢測(cè)系統(tǒng)，它通過(guò)抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。

監(jiān)控室=控制中心后門(mén)保安=防火墻攝像機(jī)=探測(cè)引擎CardKey形象地說(shuō)，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。入侵檢測(cè)系統(tǒng)

FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警IDSAgent入侵檢測(cè)系統(tǒng)的作用實(shí)時(shí)檢測(cè)實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文安全審計(jì)對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動(dòng)響應(yīng)主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理典型部署－企業(yè)內(nèi)部安裝IntranetIDSAgentIDSAgentFirewallInternetServersDMZIDSAgent監(jiān)控中心router典型部署－廣域網(wǎng)應(yīng)用Internet監(jiān)控中心（輔）IDSAgentIDSAgentIDSAgentIDSAgentIDSAgentIDSAgent監(jiān)控中心（主）病毒新概念病毒感染不僅是一個(gè)文件，而是一個(gè)系統(tǒng)病毒文件會(huì)替換操作系統(tǒng)文件不是所有病毒都可以修復(fù)的！殺蠕蟲(chóng)和特洛伊木馬的方法就是刪除整個(gè)文件完整的防毒規(guī)劃七大要素多層次、全方位、跨平臺(tái)的技術(shù)及強(qiáng)大功能簡(jiǎn)易快速的網(wǎng)絡(luò)安裝集中管理警報(bào)和報(bào)表系統(tǒng)自動(dòng)化服務(wù)機(jī)制合理的預(yù)算規(guī)劃對(duì)企業(yè)用戶的服務(wù)與支持防毒產(chǎn)品的剖析選購(gòu)防毒產(chǎn)品的考慮防毒解毒能力－最重要的基本能力管理能力針對(duì)中國(guó)用戶的病毒庫(kù)升級(jí)服務(wù)選擇的標(biāo)準(zhǔn)廠商提供的比較表－最不可靠單一產(chǎn)品評(píng)比－僅在當(dāng)發(fā)有效(產(chǎn)品版本不斷更新)專(zhuān)業(yè)防毒認(rèn)證－具公信力，需要持續(xù)送測(cè)主要認(rèn)證單位ICSA(基本認(rèn)證)Check-Mark(Level2確保修復(fù)能力)VirusBulletin(最嚴(yán)格)計(jì)算機(jī)安全產(chǎn)品認(rèn)證Datasource:ICSA–InternationalComputerSecurityAssociation CheckMark

認(rèn)證：http://Level1、Level2LevelTrojanICSA認(rèn)證：http://www.ICSA.net

On-Demand/On-Access,CleaningInternetInternetEmail網(wǎng)關(guān)防火墻網(wǎng)關(guān)級(jí)群件服務(wù)器-NotesandExchangeNetWareServerNTServer服務(wù)器級(jí)MacintoshWindows95/98WinXPWindowsNT/2000客戶端級(jí)3.第三是通過(guò)軟盤(pán)和盜版光盤(pán)傳播病毒1.第一是電子郵件帶來(lái)的病毒2.第二是通過(guò)Internet瀏覽、下載（HTTP、FTP）病毒--多層感染途徑只要有可能感染和傳播病毒的途徑和方式都應(yīng)有相應(yīng)的解決方案服務(wù)器客戶端網(wǎng)關(guān)防病毒入侵檢測(cè)風(fēng)險(xiǎn)管理內(nèi)容過(guò)濾內(nèi)容過(guò)濾入侵檢測(cè)防病毒防火墻內(nèi)容過(guò)濾入侵檢測(cè)防病毒防火墻安全市場(chǎng)的現(xiàn)狀：多層次；多供應(yīng)商Internet病毒網(wǎng)關(guān)應(yīng)用DMZEmailHTTP財(cái)務(wù)部市場(chǎng)部研發(fā)部RouterExe/doc/zip病毒庫(kù)病毒網(wǎng)關(guān)性能測(cè)試

Note1:ThetestingresultsforSymantec,Trend/CiscoandTrend/NokiaareobtainedfromVeritestreportDecember2002Note2:TheFortiGate3000performancetestingareperformedusingthesametestingenvironmentandtestingmethodologyNote3:Upto120HTTPclientshavebeensimulatedinFGtestwhileonly60havebeensimulatedinthecompetitorstestNote4:InFGtest,amixoffileswithover25%ofexecutablefilesandotherAVscannablecontentisusedwhichconstitutesaheavierscanningburdentotheAVscanningengineNote5:Thesenumbersareperformance/pricenumbers–Mbps/Thousand$;usedpeakperformanceforallvendorsinthecalculation5.38(5)0.40(5)

(CSCO)0.20(5)(Nokia)0.53(5)

(SMTC)網(wǎng)絡(luò)安全的重點(diǎn)網(wǎng)絡(luò)安全一直無(wú)法落實(shí)的主因就在于，不知道漏洞的存在，甚至不去實(shí)時(shí)修補(bǔ)漏洞，那黑客鐵定比你清楚如何利用它。正確的網(wǎng)絡(luò)安全觀念并不是一昧的購(gòu)置網(wǎng)絡(luò)安全產(chǎn)品，更重要的是主動(dòng)正視安全漏洞的問(wèn)題，做好入侵預(yù)防，并且實(shí)時(shí)做好漏洞修補(bǔ)的工作，讓黑客根本就不得其門(mén)而入。常用安全工具防火墻入侵檢測(cè)工具snort端口掃描工具nmap系統(tǒng)工具netstat、lsof網(wǎng)絡(luò)嗅探器tcpdump、sniffer綜合工具X-Scanner、流光、Nessus十大最佳網(wǎng)絡(luò)安全工具Nessushttp://

Netcat/~weld/netcat/Tcpdumphttp://

SnortSainthttp:///saint/Ethereal/Whiskerhttp:///rfp/p/doc.asp?id=21&iface=2InternetSecurityScannerhttp://

AbacusPortsentryhttp:///abacus/portsentry/Dsniffhttp:///~dugsong/dsniff

安全站點(diǎn)綠盟科技http://綠色兵團(tuán)http://網(wǎng)絡(luò)安全評(píng)估中心http://安全焦點(diǎn)http://網(wǎng)絡(luò)安全響應(yīng)中心國(guó)外：http://http://問(wèn)題&應(yīng)答服務(wù)器系統(tǒng)安全管理和數(shù)據(jù)安全北京華勝天成科技股份有限公司售前技術(shù)部：王超2005年1月內(nèi)容概述服務(wù)器產(chǎn)品基礎(chǔ)服務(wù)器系統(tǒng)安全管理數(shù)據(jù)安全管理問(wèn)題&應(yīng)答服務(wù)器產(chǎn)品基礎(chǔ)服務(wù)器產(chǎn)品分類(lèi)按CPU類(lèi)型分類(lèi)：RISC服務(wù)器、IA架構(gòu)服務(wù)器典型的RISC服務(wù)器：SUN、HP、IBM等UNIX服務(wù)器典型的IA架構(gòu)服務(wù)器：PC服務(wù)器（基于Intel至強(qiáng)處理器）

新興的基于安騰處理器和AMDOpteron處理器的64位服務(wù)器按服務(wù)器物理規(guī)格分類(lèi)：塔式服務(wù)器、機(jī)架式服務(wù)器、刀片服務(wù)器各個(gè)主流服務(wù)器廠商均有相應(yīng)的產(chǎn)品按照操作系統(tǒng)分類(lèi)：Windows服務(wù)器、Linux服務(wù)器、UNIX服務(wù)器按照應(yīng)用分類(lèi)：WEB服務(wù)器、FTP服務(wù)器、EMail服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等等…小型機(jī)RISC系統(tǒng)結(jié)構(gòu)指令系統(tǒng)結(jié)構(gòu)操作簡(jiǎn)單數(shù)據(jù)：Load-Store結(jié)構(gòu)，尋址方式簡(jiǎn)單編碼：定長(zhǎng)實(shí)現(xiàn)與使用方式簡(jiǎn)化硬件，提高主頻指令流水線技術(shù)：寄存器操作容易解決相關(guān)編譯技術(shù)性能及兼容性性能：每條指令周期數(shù)差不多，主頻高，CPI高指令流水線技術(shù)：寄存器操作容易解決相關(guān)流水及多發(fā)射技術(shù)在提高性能的前提下不影響兼容性常見(jiàn)的小型機(jī)廠商及RISC處理器分類(lèi)Sun:UltraSPARCV9IBM:PowerHP:PA-RISC2.0Alpha:MIPSIV小型機(jī)發(fā)展（一)小型機(jī)發(fā)展（二）Power2Power3(64位）Power4Power5UltraSPARCVHPSunIBMSunFire工作站/服務(wù)器產(chǎn)品家族SFE2900SFV1280SFE4900SF4800SFE6900SF6800SFE20KSF15KSF25KSF15KNetra120Netra240Netra20Netra440Netra1280SFV100/120SFV210SFV240SFF280SFV250SFV440SFV480/490SFV880/890SunRaySunBlade150SunBlade1500SunBlade2000SunBlade2500SFV20zSFV60xSFV65xSFBlade1600B100x&B200x高端/中檔服務(wù)器電信特性服務(wù)器入門(mén)級(jí)服務(wù)器瘦客戶端工作站服務(wù)器X86

Linux服務(wù)器SFV40z服務(wù)器選型-應(yīng)用類(lèi)型考慮最優(yōu)化的系統(tǒng)設(shè)計(jì)水平擴(kuò)展垂直擴(kuò)展I/O連續(xù)的緩存,共享內(nèi)存多處理器單操作系統(tǒng)緊密的內(nèi)部互連集群,多處理器,非共享內(nèi)存多操作系統(tǒng)松散的外部互連Memory

SwitchNetworkSwitchVERTICALHORIZONTALCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OI/OCPUMEMCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OI/OCPUCPUMEMMEMI/OI/OCPUCPUMEMMEMI/OCPUCPUMEMMEMI/O水平擴(kuò)展-最優(yōu)化系統(tǒng)負(fù)載

流媒體J2EE應(yīng)用服務(wù)負(fù)載均衡內(nèi)容緩存文件和打印協(xié)作計(jì)算Web服務(wù)目錄和身份管理安全本地內(nèi)容緩存ApplicationServersDirectoryServersEmailServers垂直擴(kuò)展系統(tǒng)的業(yè)務(wù)負(fù)載OLTPDatabasesDW/BICRM/SCM/ERP服務(wù)器選型-系統(tǒng)性能考慮DatabaseTierAppl-icationTierDSSOLTPOperationalStorageWebWebWebWebWebAppsServerAppsServerAppsServerOLTPDatabaseWebTierTPC-CSPEC-JbbORCLApps,SAP,PSoft,Seibel,Amdoc,Retek...TPC-WTPC-H,TPC-R,QueryTestsAPB1,HolosWarehouseStorageWebWebWebWebWebOLAPDataMartDataMineDSSDatabaseNeovista,DarwinSPEC-WebBenchmark真相

RealWorldvs.BenchmarksBenchmarkSpecials(Optimizations)HardEasyComplexitySimpleComplexRealWorldWorkloadsTPC-D(1999)SPECrateTPC-D(1997)TPC-C(now)TPC-C(1995)IOTestsNetTestsTPC-HOracleAppsPeoplesoftSAPSPECjbbAmdocs(1999)StreamBWVolanoBenchmark測(cè)試意義：系統(tǒng)規(guī)模配置依據(jù)(sizing)。

市場(chǎng)宣傳(Marketing)。影響系統(tǒng)性能的關(guān)鍵因素處理器Processor性能Performance吞吐能力Throughput系統(tǒng)內(nèi)部互連SystemInterconnect延遲Latency訪問(wèn)內(nèi)存數(shù)據(jù)塊所需的時(shí)間內(nèi)部帶寬InternalbandwidthI/O,Memory與CPU間的數(shù)據(jù)傳送操作系統(tǒng)OperatingSystem可擴(kuò)展性Scalability可靠性Reliability應(yīng)用優(yōu)化Optimizedapplications服務(wù)器選型-可靠性、可用性、可服務(wù)性（RAS）設(shè)備本身的RAS完全冗余部件熱交換部件動(dòng)態(tài)重配置系統(tǒng)自動(dòng)恢復(fù)系統(tǒng)故障自動(dòng)跟蹤動(dòng)態(tài)系統(tǒng)域系統(tǒng)架構(gòu)負(fù)載均衡替換雙通道HA/Cluster服務(wù)器選型-投資保護(hù)通用部件二進(jìn)制兼容性服務(wù)器系統(tǒng)安全管理對(duì)系統(tǒng)安全威脅的類(lèi)型(1)假冒(Masquerading)(2)數(shù)據(jù)截取(DataInterception)(3)拒絕服務(wù)(DenialofServer)(4)修改(Modification)(5)偽造(Fabrication)(6)否認(rèn)(Repudiation)(7)中斷(Interruption)(8)通信量分析(TrafficAnalysis)信息技術(shù)安全評(píng)價(jià)公共準(zhǔn)則（CC）TCSEC中安全程度分：D1、C1、C2、B、B3、A1、A2八級(jí)D1——安全保護(hù)欠缺級(jí)（最低）C1——自由安全保護(hù)級(jí)C2——受控存取控制級(jí)（ORACLE，UNIX皆達(dá)到此級(jí)）B1——有強(qiáng)制存取控制和形式化模式技術(shù)的應(yīng)用B3,A1——對(duì)內(nèi)核進(jìn)行形式化的最高級(jí)描述和驗(yàn)證。主流服務(wù)器操作系統(tǒng)安全性比較內(nèi)外網(wǎng)信息安全控制系統(tǒng)

2000年1月1日國(guó)家保密局頒布了《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》，以確保國(guó)家機(jī)密信息的安全。規(guī)定：“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離?！睘橛脩籼峁┝艘粋€(gè)以物理隔離為基礎(chǔ)的安全的網(wǎng)絡(luò)環(huán)境能夠根據(jù)用戶需要對(duì)Internet信息資源進(jìn)行有效采集和控制內(nèi)外網(wǎng)信息安全控制系統(tǒng)

Win2K安全子系統(tǒng)WindowsNT的設(shè)計(jì)從最初就考慮了安全問(wèn)題：獲得了TCSECC2認(rèn)證，這在競(jìng)爭(zhēng)激烈的商業(yè)操作系統(tǒng)市場(chǎng)中是一個(gè)不錯(cuò)的業(yè)績(jī)Windows2000正處于一個(gè)類(lèi)似的標(biāo)準(zhǔn)評(píng)估過(guò)程中，使用通用標(biāo)準(zhǔn)(CommonCriteria,CC)為了獲得更高的級(jí)別(B級(jí))，Windows2000需要在它的設(shè)計(jì)中融入一些關(guān)鍵的元素，包括(但不限于)：用于認(rèn)證的安全登錄工具可自由設(shè)定的訪問(wèn)控制審核SRM(SecurityRefrenceMonitor)針對(duì)Win2K的攻擊SMB攻擊權(quán)限提升獲得交互擴(kuò)大影響清除痕跡攻擊手段猜測(cè)用戶名和密碼獲取密碼散列利用脆弱的網(wǎng)絡(luò)服務(wù)或客戶端獲取對(duì)系統(tǒng)的物理訪問(wèn)對(duì)策實(shí)施密碼復(fù)雜性要求賬戶鎖定啟用登錄失敗事件的審核查看事件日志鎖定真正的Administrator賬戶并創(chuàng)建一個(gè)假目標(biāo)禁用閑置賬戶仔細(xì)核查管理人員實(shí)施密碼復(fù)雜性要求賬戶鎖定啟用登錄失敗事件的審核查看事件日志來(lái)自Foundstone公司的NTLast來(lái)自Foundstone公司的VisualLast來(lái)自TNTSoftware公司的事件日志監(jiān)視器(ELM)來(lái)自AelitaSoftware公司的EventAdmin鎖定真正的Administrator賬戶NT4ResourceKit中提供了一個(gè)稱(chēng)為passprop的工具Windows2000上運(yùn)行admnlock只能工作在安裝了SP2或更高的系統(tǒng)上，并且只有在系統(tǒng)或域設(shè)置了賬戶鎖定閾值之后才會(huì)發(fā)生作用要使用admnlock在網(wǎng)絡(luò)中鎖定真正的Administrator賬戶，運(yùn)行如下命令：

C:\>admnlock/eTheAdministratoraccountmaybelockedoutexceptforinteractive

logons禁用閑置賬戶安全守則安裝操作系統(tǒng)或應(yīng)用程序時(shí)不要使用默認(rèn)值使用先進(jìn)的用戶帳號(hào)/密碼設(shè)定與組合關(guān)閉不必要的網(wǎng)絡(luò)通訊端口對(duì)進(jìn)出入的IP封包進(jìn)行過(guò)濾制定Logging記錄的機(jī)制及時(shí)修補(bǔ)程序的漏洞安全守則（一）安裝操作系統(tǒng)或應(yīng)用程序時(shí)不要使用默認(rèn)值幾乎所有的操作系統(tǒng)或應(yīng)用程序的廠商都會(huì)提供用戶快速安裝的功能，雖然方便了用戶，但是在絕大多數(shù)用戶不知情的情況下，系統(tǒng)卻同時(shí)間卻安裝了許多不必要功能。而這種所謂采默認(rèn)值安裝的操作系統(tǒng)或應(yīng)用程序，往往是造成安全漏洞的禍?zhǔn)?。主要原因是因?yàn)橛脩敉ǔ２粫?huì)去注意那些從來(lái)不用的功能，而且有許許多多的用戶，包含IT的管理人員，根本就不知道自己在使用中的操作系統(tǒng)或應(yīng)用程序上到底安裝了哪些東西。一旦這些不明的功能出現(xiàn)漏洞，而偏偏用戶又一無(wú)所知，且未實(shí)時(shí)加以修補(bǔ)的話，那往往會(huì)成為黑客入侵的最佳通道。

安全守則（二）帳號(hào)安全定時(shí)審查系統(tǒng)上使用中與未使用中的帳號(hào)并予以記錄制定系統(tǒng)用戶帳號(hào)管理政策，詳細(xì)規(guī)范增加用戶帳號(hào)、以及刪除不再繼續(xù)使用的帳號(hào)時(shí)之應(yīng)注意事項(xiàng)定時(shí)確認(rèn)系統(tǒng)上是否出現(xiàn)未經(jīng)授權(quán)的新帳號(hào)，并且刪除不再使用的帳號(hào)使用工具來(lái)檢查用戶的密碼設(shè)定是否安全不再使用的帳號(hào)應(yīng)適時(shí)予以刪除安全守則（三）關(guān)閉不必要的網(wǎng)絡(luò)通訊端口網(wǎng)絡(luò)通訊端口是合法用戶連接至主機(jī)端取得服務(wù)的通道，同樣地，黑客也是利用同樣的途徑來(lái)入侵。所以說(shuō)，你主機(jī)上開(kāi)放的通訊端口越多，他人就越容易與你的系統(tǒng)聯(lián)機(jī)。因此，減少系統(tǒng)上開(kāi)放的通訊端口數(shù)目是網(wǎng)絡(luò)安全最有效的防范措施之一，除了有必要對(duì)外提供服務(wù)的通訊端口之外，其它通訊端口應(yīng)予以關(guān)閉。安全守則（四）對(duì)進(jìn)出入的IP封包進(jìn)行過(guò)濾你的防火墻或路由器過(guò)濾規(guī)則設(shè)定原則：任何進(jìn)入你網(wǎng)絡(luò)的封包之來(lái)源地址不可以是你內(nèi)部網(wǎng)絡(luò)的地址。任何進(jìn)入你網(wǎng)絡(luò)的封包之目的地地址必須是你內(nèi)部網(wǎng)絡(luò)的地址。任何離開(kāi)你網(wǎng)絡(luò)的封包之來(lái)源地址必須是你內(nèi)部網(wǎng)絡(luò)的地址。任何離開(kāi)你網(wǎng)絡(luò)的封包之目的地地址不可以是你內(nèi)部網(wǎng)絡(luò)的地址。任何進(jìn)入或是離開(kāi)你網(wǎng)絡(luò)的封包的來(lái)源或是目的地地址不可以是虛擬IP地址或是RFC1918所列的保留IP地址。以上所提的IP地址包含10.x.x.x/8,172.16.x.x/12,192.168.x.x/16，以及本機(jī)/8。安全守則（五）制定日志記錄的機(jī)制一旦你對(duì)外開(kāi)放網(wǎng)絡(luò)服務(wù)而且允許網(wǎng)絡(luò)聯(lián)機(jī)進(jìn)出你的網(wǎng)絡(luò)，那遭到黑客入侵與滲透的機(jī)率將大增?，F(xiàn)在幾乎每天都會(huì)有新的安全漏洞被發(fā)現(xiàn)，而用戶更是難以預(yù)防黑客去利用這些新的漏洞來(lái)入侵。這時(shí)你的網(wǎng)絡(luò)上或系統(tǒng)上最好建立完善的記錄機(jī)制，要不在遭受黑客攻擊后，你不僅將無(wú)從得知黑客到底在你的系統(tǒng)上動(dòng)了哪些手腳，相對(duì)的你的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也就越高。良好的記錄機(jī)制可以協(xié)助用戶追蹤已發(fā)生過(guò)的事件、時(shí)間、和掌握哪些主機(jī)被入侵及其經(jīng)過(guò)。安全守則（六）及時(shí)修補(bǔ)程序的漏洞通過(guò)軟件發(fā)布商的主頁(yè)或者開(kāi)發(fā)者提供的補(bǔ)丁程序修補(bǔ)漏洞通過(guò)修改配置文件或者參數(shù)修補(bǔ)漏洞網(wǎng)絡(luò)安全一直無(wú)法落實(shí)的主因就在于，不知道漏洞的存在，甚至不去實(shí)時(shí)修補(bǔ)漏洞，那黑客鐵定比你清楚如何利用它。正確的網(wǎng)絡(luò)安全觀念并不是一昧的購(gòu)置網(wǎng)絡(luò)安全產(chǎn)品，更重要的是主動(dòng)正視安全漏洞的問(wèn)題，做好入侵預(yù)防，并且實(shí)時(shí)做好漏洞修補(bǔ)的工作，讓黑客根本就不得其門(mén)而入。常用安全工具防火墻入侵檢測(cè)工具snort端口掃描工具nmap系統(tǒng)工具netstat、lsof網(wǎng)絡(luò)嗅探器tcpdump、sniffer綜合工具X-Scanner、流光、Nessus十大最佳網(wǎng)絡(luò)安全工具Nessushttp://

Netcat/~weld/netcat/Tcpdumphttp://

SnortSainthttp:///saint/Ethereal/Whiskerhttp:///rfp/p/doc.asp?id=21&iface=2InternetSecurityScannerhttp://

AbacusPortsentryhttp:///abacus/portsentry/Dsniffhttp:///~dugsong/dsniff

安全站點(diǎn)綠盟科技http://綠色兵團(tuán)http://網(wǎng)絡(luò)安全評(píng)估中心http://安全焦點(diǎn)http://網(wǎng)絡(luò)安全響應(yīng)中心國(guó)外：http://http://數(shù)據(jù)安全管理系統(tǒng)和數(shù)據(jù)保護(hù)–避免潛在的風(fēng)險(xiǎn)硬件故障應(yīng)用軟件錯(cuò)誤人為故障病毒IT架構(gòu)變化部署新技術(shù)節(jié)點(diǎn)故障“無(wú)法預(yù)計(jì)的風(fēng)險(xiǎn)”…系統(tǒng)和數(shù)據(jù)保護(hù)技術(shù)系統(tǒng)保護(hù)冗余部件Cluster系統(tǒng)災(zāi)難恢復(fù)數(shù)據(jù)保護(hù)RAIDMultipathingPoint-in-Time數(shù)據(jù)拷貝（磁盤(pán)備份）復(fù)制磁帶備份(LAN,LANFree,ServerFree)Cluster磁盤(pán)管理備份容災(zāi)什么是集群-ClusterNetworkHeartbeatLinksMulti-PortedSharedDiskCluster硬件的組成相同操作系統(tǒng)的兩臺(tái)或以上服務(wù)器共享磁盤(pán)心跳HeartbeatLinks什么是集群-ClusterNetworkHeartbeatLinksMulti-PortedSharedDisk資源監(jiān)控和管理磁盤(pán)應(yīng)用網(wǎng)絡(luò)心跳協(xié)議日志Cluster軟件的組成系統(tǒng)級(jí)Cluster應(yīng)用級(jí)Cluster磁盤(pán)管理RAID與邏輯卷管理MultiPathingPoint-in-time磁盤(pán)備份RAID與邏輯卷管理磁盤(pán)陣列RAID5RAID1物理磁盤(pán)LUN服務(wù)器邏輯卷管理靈活的空間管理動(dòng)態(tài)多路徑在線改變空間大小在線轉(zhuǎn)移數(shù)據(jù)在線改變RAID結(jié)構(gòu)控制器和陣列之間鏡像LUNDG1DG1DG1服務(wù)器/fs1/fs2裸設(shè)備1/fs1,/fs2,/fs3裸設(shè)備1,裸2…MultiPathing–多路徑磁盤(pán)陣列RAID5RAID1物理磁盤(pán)LUN服務(wù)器/dev/rdsk/c5t1d5/dev/rdsk/c6t1d5Ora_disk01/dev/hdisk10/dev/hdisk20/dev/vpath5Point-in-time磁盤(pán)備份Snapshot/快照實(shí)現(xiàn)方式克隆型，Split-Mirror指針型，Copy-on-write克隆型–Split-mirror/oradataABHGDCEFABHGDCEFsnapshot

時(shí)間點(diǎn)備份可預(yù)防邏輯錯(cuò)可預(yù)防物理錯(cuò)

短時(shí)間影響應(yīng)用性能需同等容量磁盤(pán)空間指針型，Copy-on-write/oradataABHGDCEFA’G’

snapshotAG

時(shí)間點(diǎn)備份可預(yù)防邏輯錯(cuò)

不需大量磁盤(pán)空間長(zhǎng)時(shí)間影響應(yīng)用性能

不防止物理錯(cuò)Backup（備份）Backup-Definition“Backupisacopytypeofoperation,designedtoprotectdatafromaccidentalormaliciouslossordamage”File12(ormore)BackupCopy備份過(guò)程拷貝為什么要備份Systemstolen UserDataandSystemLossSystemdamaged UserDataandSystemLoss/DowntimeAccidentalFileDeletion FileLossAccidentalFileOverwrite FileLossAccidentalDirectoryDeletion Directoryand/orFileLoss HackerIntrusion CorruptorLostDataMagneticDiskFailure CorruptorLostDataCPU/MotherboardFailure CorruptorLostDataandDowntimeNetwork/InterfaceFailure CorruptorLostData/LossofConnectivityApplicationHaltorCrash CorruptorLostDataOperatingSystemHaltorCrash CorruptorLostData事件結(jié)果Fullbackup（全備份）全備份...........全備份全備份是在某一個(gè)時(shí)間點(diǎn)上所有數(shù)據(jù)的一個(gè)完全拷貝Differential(差分)BackupsFullBackupDifferentialFullBackupAdifferentialbackupisacopyofallthedatasincethelastfullBackup............Incremental(增量)BackupsFullBackup...........IncrementalsFullBackupIncrementalbackupisacopyofonlythedatathathavechangedsincethelastbackup.恢復(fù)恢復(fù)過(guò)程將數(shù)據(jù)從磁帶拷貝回磁盤(pán)備份是比恢復(fù)早的一個(gè)時(shí)間點(diǎn)的完全映象備份記錄了文件的目錄結(jié)構(gòu)，權(quán)限等，備份在具體的某盤(pán)磁帶，磁帶在磁帶庫(kù)中具體的槽位等這些信息存儲(chǔ)在備份軟件的數(shù)據(jù)庫(kù)中通常被稱(chēng)為元數(shù)據(jù)DiskTape備份數(shù)據(jù)的生命周期DatabackedupBrowsePolicyExpiresBROWSABLERetentionPolic