6.4 Extranet
6.4.1 Extranet简介
6.4.2 虚拟专用网技术
6.4.3 Internet与 Intranet及 Extranet的比较
第 6章 Intranet与 Extranet
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
1,Extranet的概念
Extranet是一个使用 Internet/Intranet技术使企业与其客户、
其他企业相连来完成其共同目标的合作网络。它通过存取权限的
控制,允许合法使用者存取远程公司的内部网络资源,达到企业
与企业间资源共享的目的 。
Extranet将利用 WWW技术构建的信息系统的应用范围扩大
到特定的外部企业。企业通过向一些主要贸易伙伴添加外部链接
来扩充 Intranet,从而形成外联网。这些贸易伙伴包括用户、销售
商、合作伙伴或相关企业,甚至政府管理部门。 Extranet可以作
为公用的 Internet和专用的 Intranet之间的桥梁,也可以被看作是
一个能被企业成员访问或与其他企业合作的内联网 Intranet的一部
分。
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
2,Extranet的作用
? 使用现有的技术投资,降低建设成本。
? 创造上、中、下游公司信息资源共享的虚拟企业,缩短
前置时间,提供更良好的上下游关系。
? 改进核心营运,快速回应消费者的需求,提升消费者的
满意度。
? 提高沟通效率,节省时间成本。
? 资源重新分配与整合,降低成本。
? 改善工作流程,降低操作成本,提高生产力与产品质量。
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
3,Extranet的分类
?按网络类型分类
公共网络,公共网络外部网是指一个组织允许公众通过任
何公共网络(如 Internet)访问该组织的 Intranet,或两个以至
更多的企业同意用公共网络把它们的 Intranet连在一起 。
专用网络,专用网络是两个企业间的专线连接,这种连接
是两个企业的 Intranet之间的物理连接。专线是两点之间永久的
专用线路连接,除非出现物理故障,否则它是一直连通的。
虚拟专用网络,虚拟专用网络外部网是一种特殊的网络,
它采用一种叫做“通道”或“数据封装”的系统,用公共网络
及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
?按应用模式分类
安全的 Intranet模式,如图 6.9所示 。这种方式允许厂商、顾
客经由 Internet或拨号方式进入公司的内部网络,存取公司内部
网络资源,实现企业对企业、或企业对顾客间的资源共享。如
企业联盟厂商可通过该公司的 Intranet,使用该公司所提供的群
组软件等。
图 6.9 安全的 Intranet模式
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
特定 Extranet应用模式,如图 6.10所示。顾名思义,它是专
门针对某特定厂商或顾客所设计的 Extranet应用模式。在此模
式下,公司内部员工可通过 Intranet存取网络资源,而企业伙伴
或客户则可通过 Extranet有限度地存取网络资源。如供应商可
通过 Extranet在线使用厂商的报价系统,提供原料等的报价。
图 6.10 特定的 Extranet应用模式
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
电子商务的 Extranet应用模式,如图 6.11 所示。主要是使
用电子商务技术来提供各类企业战略伙伴网络服务。也就是说,
公司的业务伙伴可通过网络连线,取得公司所提供的网络服务,
包含了公司内部数据库查询等。此类 Extranet应用模式一般适
用于处理交易式的作业程序。
图 6.11 电子商务的 Extranet应用模式
第 6章 Intranet与 Extranet
6.4.1 Extranet简介
4,Extranet提供的应用服务
?企业间发布和获取信息
Extranet可定期将企业最新的信息,包括多媒体信息,以各
种形式发布到世界各地,取代了原有的文本拷贝和昂贵的专递
分发。
?企业间的交易和合作
Extranet所提供的电子商务服务,简化了各项商业合作的流
程 ;通过 Extranet,企业之间可在网上建立虚拟的实验室进行
跨地区的项目合作。
?客户服务
使用 Extranet可以更加容易地通过访问 Web站点,FTP、
Telnet,E-mail、桌面帮助等方式,向客户提供方便快捷的服务。
第 6章 Intranet与 Extranet
6.4.2 虚拟专用网技术
1,VPN的定义
虚拟专用网 ( Virtual Private Network,VPN)是一种在公
共网络上运行的专用网络,它通过 隧道 (Tunneling)技术,在
Internet上为企业开通一条专用通道,以代替原来昂贵的专线租
赁或帧中继方式,把其分布在世界各地的分支机构和合作伙伴
们连接起来,感觉就像在一个自己的专用网里一样。
VPN直接对 Internet访问解决方案:
? IP封装
? 加密的身份认证
? 数据有效负载加密
第 6章 Intranet与 Extranet
6.4.2 虚拟专用网技术
2,VPN的基本原理
图 6.12为 VPN的结构示意图。在这个图例中,有四个内部
网,它们都位于一个 VPN设备的后面,同时由路由器连接到公
共网。 VPN采用了加密、认证、存取控制、数据完整性等措施,
相当于在各 VPN设备间形成一些跨越 Internet的虚拟通道 ——
“隧道”,使得敏感信息只有预定的接收者才能读懂,实现信息
安全传输,使信息不被泄漏、篡改和复制。
第 6章 Intranet与 Extranet
6.4.2 虚拟专用网技术
图 6.12 VPN的结构与基本原理示意图
第 6章 Intranet与 Extranet
6.4.2 虚拟专用网技术
?VPN的基本 工作过程
① 要保护的主机发送明文信息到 VPN设备;
② VPN设备根据网络管理员设置的规则, 确定是对数据进
行加密还是直接传送;
③ 对需要加密的数据, VPN设备将其整个数据包, 包括要
传送的数据, 源 IP地址和目标 IP地址, 进行加密并附上数字签
名, 加上新的数据包头, 包括目的地 VPN设备需要的安全信息
和一些初始化参数, 重新封装 。
④ 将封装后的数据包通过隧道在公共网上传送;
⑤ 数据包到达目的 VPN设备,将数据包解封,核对数字签名
无误后,对数据包解密。
第 6章 Intranet与 Extranet
6.4.2 虚拟专用网技术
?隧道技术
隧道分为两种方式:
① 强制型隧道 不需要用户在自己的计算机上安装特殊的软件使用起
来比较方便, 主要供 ISP将用户连接到 Internet时使用 。
② 自愿型隧道 则需要用户在自己的计算机中安装特殊的软件, 以便
在 Internet中可以任意使用隧道技术, 安全地控制自己数据的安全 。
隧道 被构造为一种 三层结构,
① 最底层是传输
② 第二层是封装
③ 第三层是认证
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
3,VPN的类型
VPN的分类方式比较多,可根据接入方式、协议实现类型,VPN
发起方式、服务类型、承载主体 VPN业务层次模型等进行分类。根
据服务类型,VPN大致可分为三类:
?远程接入 VPN (Access VPN)
利用公共网络的拨号以及接入网 (如 PSTN和 ISDN),实现虚拟专
用网,为企业小分支机构、小型 ISP、移动办公人员提供接入服务。
?内联网 VPN (Intranet VPN)
企业总部网络与分支机构网络间通过公共网络构筑的虚拟专用网。
?外联网 VPN (Extranet VPN)
企业与外部供应商, 客户及其它利益相关群体间通过公共网络构
建的虚拟专用网 。
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
4,VPN加密机
VPN加密机,如图 6.13所示,是基于 VPN技术而实现的一
种网络安全设备。它利用 VPN技术,来实现数据的加密和解密,
保证数据在公网上传输的安全。
图 6.13 VPN加密机实物图
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
VPN加密机 特点,
?采用国际标准安全协议
遵循 IPSec( IP Security)安全协议。
?透明支持各种应用服务
在网络层对用户数据流进行安全处理,上层应用无需做任何修改即
可实现安全保护。
?加密强度高
采用通过国家鉴定的硬件加密卡所提供的 128位对称加密算法和 128
位 HASH算法。身份认证采用 1024位的非对称算法。
?高的扩展性
可根据用户需求,扩展接口数量,以发挥对多个子网的安全保护。
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
VPN加密机 原理,
?数据源身份验证
如图 6.14所示,发送的数据经过加密机,首先对原数据包进行 Hash
运算得到摘要,然后生成一个私钥经加密后与摘要一起生成直接数字签
名( DDS,Direct Digital Signature),将原始数据包和 DDS一起作为
新的数据包发送;接收端加密机收到数据后,分解数据包,得到原数据
包和 DDS,首先对原数据包进行 Hash运算得到摘要一,同时对 DDS解
密得到摘要二,将摘要一和摘要二比较,如果相等,就通过了身份验证,
可以将原始数据包发送给下级机构。
所谓数据包 摘要, 它是一个唯一与一个数据包的值相对应,由单向
Hash加密算法对一个数据包作用而生成,有固定的长度 。所谓单向是指
不能被解密。不同的数据包其摘要不同,相同的数据包其摘要相同,因
此摘要成为数据包的“指纹”,以验证数据包是否是“真身”。
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
图 6.14 数据源身份验证实现原理
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
?保护数据完整性
如图 6.15所示,发送的数据经过加密机,首先对原数据包进
行 Hash运算生成摘要,同时对原数据包进行加密生成加密后的
数据,将加密后的数据和摘要一起发送;接收端接收到密文数据
后,首先将数据包和摘要分开,然后将加密的数据包解密得到原
始数据包,再对原始数据包进行 Hash运算,得到新的摘要,将
新的摘要同收到的摘要比较,如果一致,表示收到的数据是完整
的。这样就可以将原始数据包发送给下级机构。
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
图 6.15 保护数据完整性实现原理
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
VPN加密系统解决方案,
利用 VPN技术, 来实现数据的加密和解密, 保证数据在公网上传
输的安全 。 加密方案的拓扑结构如下图 6.16所示 。 在总部和分支机构连
接公网的数据进出口处, 分别配备一个 VPN加密机, 对所有通过公网传
输的数据进行加密, 以实现数据保密的目的 。
图 6.16 VPN加密系统方案拓扑图
第 6章 Intranet与 Extranet
6.4.2 Extranet的虚拟专用网技术
运用了 VPN加密机,虽然数据是通过公网传输,但由于 VPN加密机的
作用,使总部和分支机构之间建立了一条私有的隧道,组成了一个虚拟的
私有网,所有数据通过这个虚拟私有网传输,保护数据不受外界的攻击。
采用 VPN加密机,能解决以下的问题:
?数据源身份认证:证实数据报文是所声称的发送者发出的 。
?保证数据完整性 。
?数据保密:隐藏明文的消息 。
? 重放攻击保护:保证攻击者不能截取数据报文, 且稍后某个时间再
发放数据报文, 且不会被检测到 。
第 6章 Intranet与 Extranet
6.4.3 Internet与 Intranet及 Extranet的比较
1,Internet与 Intranet及 Extranet的关系
Intranet是利用 Internet各项技术建立起来的企业内部信息网
络。与 Internet相同,Intranet的核心是 Web服务。 Extranet是利
用 Internet将多个 Intranet连接起来。 Internet与 Intranet及 Extranet
的关系如图 6.17所示。
图 6.17 Internet与 Intranet及 Extranet的关系
第 6章 Intranet与 Extranet
6.4.3 Internet与 Intranet及 Extranet的比较
2,Internet与 Intranet及 Extranet的区别
它们三者的区别如表 6-1所示。
Internet Intranet Extranet
参与人员 一般大众 公司内部员

公司内部员工、顾客、战略联盟
厂商
存取模式 自由 授权 授权
可用带宽 少 多 中等
隐私性 低 高 中等
安全性需求 高 较低 较高
表 6-1 Internet与 Intranet及 Extranet的比较
第 6章 Intranet与 Extranet
6.4.3 Internet与 Intranet及 Extranet的比较
具体地说,Internet与 Intranet及 Extranet三者区别如下:
? Extranet是在 Internet和 Intranet基础设施上的逻辑覆盖
Extranet主要通过访问控制和路由表逻辑连接两个或多个已经
存在的 Intranet,使它们之间可以方便安全地通信。
?Extranet可以看作是利用 Internet将多个 Intranet连接起来的
一个大的网络系统
Internet强调网络之间的互联,Intranet是企业内部之间的互联,
而 Extranet则是把多个企业互联起来。若将 Internet称为开放的网络,
Intranet称为专用封闭的网络,那么,Extranet则是一种受控的外联
网络。 Extranet一方面通过 Internet技术互联企业的供应商、合作伙
伴、相关企业及客户,促进彼此之间的联系与交流。