王卫：大家好！今天我想介绍的题目是校园安全无线接入与IP骨干网的解决方案，作为Juniper Networks网络公司来讲，本身是生产基础网络设备的厂家，从校园接入无线网络来看，最终的目的是要构成一个基于IT覆盖全校园一个通信的基础平台。如何构建整个基础平台，除了这种无线部分的接入以后，接下来以后这些数据继续怎么样处理，另外一提到无线接入以及任何一个无线通信，可能大多数人一个最直接的反映就是无线信号中的通信是不是足够安全？针对这种担心实际上也有各种各样的技术，各种各样的标准和手段，试图来解决这种无线安全上的担心。从Juniper Networks公司的角度来看，也有一些这方面的安全解决方案。

　　作为整体的安全解决方案，实际上它分成很多部分。没有一个所谓的一个盒子把所有的问题都能解决掉，所以针对网络安全来讲，可能发生的地方在不同的部位，可能是在你的无线信号部分，也可能接入的线路部分，也可能在网络设备本身部分，也有可能是在应用上面安全的隐患。

　　如何能够构造一个安全的解决方案呢？实际上针对不同方面的问题，需要部署不同方面的安全手段来解决它。一种安全的角度就是看我如何保证构成我整个网络的设备，这个网络自身的安全。

　　另外一个角度看网络安全就是如何我这个网络上保护我这些连接到这个网络上的用户，这是两个不同的角度，实际上它们都涉及到了类似的安全问题。首先如何保证网络自身的安全呢？如果一个网络自身在受到攻击的时候，或者在一些特殊的情况下，造成网络本身瘫痪了，实际上也无所谓其它的安全了。

　　所以，第一点首先我要保证我这个网络本身足够安全，有相当强壮的抗攻击的能力；再进一步如何针对连到我这个网络上面的用户包括它们不受到一些异常情况的攻击这是第二条路。

　　针对基于IT网络的安全接入，无论你的基础手段，基础传输的方式是什么？比如说你基础传输的方式是通过光纤，还是通线还是无线，任何一种传输手段，最终的应用是在IT的协议上，如果在IT层面上构成安全的接入环境？实际上这个问题到今天为止都是一个非常热烈的问题。如何保证一个IT网络的安全？尤其是你经过一些开放性的公共网络，包括比如说无线网络，包括开放的互联网。

　　当你使无线网络的时候，实际上对这种网络上接入的接点，更加难以控制和追踪。这就要求更加完善的保护手段。作为一种安全的技术解决方案，SSL是一个比较流行的一种做法，SSL是一个很多人都在使用的东西，只不过它是网络的底层通信方面的问题。甚至说我根本就不知道我实际上正在使用SSL，举一个例子来讲，可能现在在网络上进行一些银行上面的交易，你有一些帐号可以时时通过网络进行一些转帐、付费这些工作，很多银行现在都提供了网上银行的业务，在这种环境下，可能细心的人就会发现，在你浏览器的右下脚会有一把锁，如果你经过是一个安全的连接，实际上会显示出来那有一把锁住的锁，如果不是安全的连接，你就看不到那把锁。实际上如果你看你浏览的这个网站，通常是叫HTTP，你通过SSL接入的时候，就会出现HTTPS，这样的话，你访问你所有的银行帐号，以及网上银行，或者通过开放的网络平台进行的这种动作的时候，都会发现HTTPS实际上就是SSVPN，今天就把它作一个介绍。

　　你通过任何一种开放的平台，要访问一些需要保护的信息内容的时候，实际上都需要一种安全的接入手段，尤其是在无线的安全环境中就显得更加重要和安全一些。SSL通过一个，实际上在微软的浏览器里面就内制了SSL的加密算法。这种算法有很强的加密强度，这种加密强度根据它这种秘要长度的不同而不同。应该讲，这是足够安全的加密算法，跟现在普遍使用的加密算法基本上一类的东西，只是具体的实现手段不一样。在SSL的环境下，建立起来一个加密的连接，就意味着你在整个开放网络平台中，所传送的信息对于别人来讲是看不到的，看到的只是一些乱码，同时不光是在信息传输阶段，可以把整个信息进行加密，另外在开始传输之前，还有一个对用户权限的认证，对权限的认证有非常多的手段，配合非常多后台的认证系统可以进行认证。

　　针对不同级别的使用者，实际上他可以给出不同的授权，当你作为一个移动用户的时候，你可以配合包括像CA认证（数字签名）这一套东西，都可以配合SSLAP这套系统，你只有通过认证以后，你才能够正常的访问你所有的网络资源。否则的话，你是访问不到的，应该说这种
安全的控制，应该在IT网络平台这个层面上有一个控制。

　　它这种认证方式控制的非常灵活，可以根据你用户的不同接入地方和你使用的不同机器，作出不同的授权，假设你用自己的办公电脑，或者是自己随身的笔记本电脑，这个时候它认为你的这个网络终端设备是安全的，这个时候它就给你一个最大的权限。如果你是临时，你借用别人的电脑，或者你在一个网吧上网，这个时候你实际上并不清楚，你使用的这台电脑里面究竟有没有一些会妨害信息安全的小程序、小病毒在里面，这个时候它可以判断出来你是不是在用你的电脑。你在网吧上网的时候给你一个最低的权限作最基本的信息访问。所以SSL除了加密以外，有非常丰富的认证手段。它的认证手段是如何实现的？实际上它是通过一个HOST CHECKER，主机的安全检测的小程序。这个小程序当你开浏览器，访问SSL经过加密站点的时候，通过这种方法自己的挡下去，这种主机检测是可以定制的。比如说你对防病毒比较感兴趣，你可以去查一下这台上网的电脑上有没有装这种防毒软件？或者说你对他使用的某一个特殊软件比较敏感，你就可以去查这台机器上是不是装了某种特定的软件，以及这个机器的使用者，这个机器的主机名是什么？所有的这些参数都可以作为这种检查的目标，最终根据检查的结果，你可以作出不同的判断，一种是给它很高的授权，一种说是给它很低的授权。

　　另一种干脆你快意不让他上网，你判断出这个人所处的环境是一个不足够安全的环境，这个时候我就不让他访问需要保护的信息。所以，通过这种手段，实际上解决了一种无论通过WLAN也好，或者将来通过任何一种，WHYLAN无线技术的解决方案，你通过一种开放的，比较容易受攻击的环境进来，都是比较好的解决手段。

　　作为一个接入网络，一个比较完善的网络组成方案，实际上它应该不只能够控制让你进或者不让你进，或者它的答案只是是或者不是，他应该有更细的控制能力，就是说这个人我可以让你进来，但是你进来以后，由于你的权限、角色不同，你访问的资源，你可以访问比较少的资源，对安全性不太敏感的资源，所以一个好的安全解决方案实际上不是一个简单的让进不让进这么一个控制。实际上它的控制应该说是非常复杂的手段。根据你不同的需求，做出一种很丰富的授权，很丰富的安全检查和搭配认证的方案。

　　另外，当用户经过了认证，实际上也是网络安全中的第一扇门，你进了这个大门以后，你是不是一个绝对安全的用户了呢？实际上也不能这样讲，因为根据这种普遍的调查来看，实际上网络安全的隐患不仅是在所谓的外网，同时也存在内网，内网的安全隐患来自于很多方面，比如说你这台电脑曾经在开放的网络中上网，就有可能有一些木马病毒或者是一些安全隐患进来，或者有一些其他的人在你的机器上玩儿过游戏或者安装过其他的软件，这种也应该是带有安全隐患的机器，现在基本上没有一个绝对安全的网络环境。

　　所以说进入第一道门，并不以为着我就可以完全的防地警惕，这是一个非常安全的网络环境，所以在这种情况下，我依然要对我的网络进行保护，这个保护同样也是两方面的保护，一个是保护我的网络环境，我这个网络架构本身不会太差，基本上连接到我这个网络上面的用户，也尽量少的遭到攻击。这是两方面的内容。一个是网络设备的本身，一个是网络基础设备之外和网络安全保护的设备。网络设备本身实际上这一点也是经过了多年的经验和教训，也是积攒下来很多的宝贵经验。在很多的大型网络中，这个大型是指在运营商环境下，通常他们的维护手段，他们网络操作的规程都是非常严格的，但是在这几年里面，不断有网络会遭到攻击，一遭到攻击以后，后果严重会使都整个网络都瘫痪掉，或者由于物操作导致整个网络的崩溃。

　　最近或者影响比较大的事情，大家记得在4月份的时候，中国电信整个网络突然间全完了，整个网瘫痪了，大家可能从各个论坛，各个BBS上看到各种各样的消息，就是因为一些误操作引发网络上的灾难，所以网络安全是很关键的。如何来保证网络的安全呢？就应该使用一些专业的，在生产网络环境上被证明是非常强壮的一些系统来组建它的网络。

　　那么一些强大的网络基础设施除了保护自身以外，还会对连接他上面的用户做出一定程度上的保护，比如对一些可以流量，作一些突突量的限制，这样即使有了攻击以后，我可以让攻击的影响减到最小。

　　除了网络本身以外，最常见的一种安全设备就是防火墙。防火墙作为现在网络安全设备部署中最广泛的一种设备，应该讲无论它是在这种专网里面还公网立宪，还是校园网里面都得到了大量的应用，防火墙本身已经成为一个组网的必不可少的元素。这一点尤其是在月刊上的网络环境下，安全的应用就显得更为重要。作为无线网络更广大的网络用户带来了前所未有的自由和方便。同时，任何一个事情有好的一面，必然有它相应的代价，它的代价就是说，这么开放的环境，同时也为网络攻击提供了更加方便的平台，这个时候网络安全这部分就更加重要，作为Juniper Networks公司来讲，它的专业防火墙设备，在最严峻的网络安全的考研下，也是经过了这种非常多的实际环境的验证，证明他可以比较好的解决这个安全问题。

　　举一个例子来讲，实际上在座的各位对校园网非常熟悉，对校园网的安全也更加关心，但是对网络安全更认真或者说更严重的这种考虑，实际上校园网还是不是最严格的，应该讲银行的系统，尤其是现在网上银行这么多，银行系统对网络的安全应该说更加的慎重，更加的严格。Juniper Networks的防火墙设备，比如在大家常见的中行、工商行、农行在这些大型银行全国的网络中心，部署都是这种Juniper Networks专业的防火墙设备，所以它的安全，它的可靠性，也都保证了对整个网络的安全方面的最基本保障。

　　作为一个网络安全设备，应该说它也很难做到一步到位，所谓的一步到位，就是说今天我有一个技术，今天我有一个手段，可以控制住今天的攻击，但是没有一个持续的保证，所以网络安全设备需要有一个长久的支持。一个长久不断更新的过程，这样的话，作为这种被非常多的大的用户，非常严格的安全环境下的用户所选择的设备，从客观上保证了它一定会有一个长远的发展，会不停的进步，因为它的应用环境、它的生存环境促进了它一定要这样来做。

　　相对而言，一些规模比较小，或者一些应该讲没有足够雄厚实力的这些小产品，显然是无法满足这个要求的。所以说，作为安全产品的选择，除了看目前的这种环境以外，还要有一个更长远的眼光。

　　作为一个防火墙来讲，实际上它也是构建了网络安全整个解决方案中的一个环节，当你通过防火墙以后，可能有一些隐藏在正常应用环境中的一些攻击，这些攻击因为它隐藏在正常的应用里面，实际上是被防火墙很难发现。这个时候就需要有更深一步的工作要做。就是我们的IPS系统，它可以根据更多的特征和相应的流量属性，来判断你这个看似正常的流量里面，是不是隐藏着一些可以的空际，这个时候在防火墙的后面加了一个更详细的安全保护的手段。构建路由平台的同时，Juniper Networks公司把他防火墙技术也做成了一块卡，这个卡可以直接差在路由器里，构建一个更安全更可靠的网络基础平台。这个卡可以插在各种不同型号的路由器里面。这个卡本身没有任何外面的接口，而是通过专用的硬件，更整台路由器提供更加严格的保护。作为Juniper Networks来讲它是一个非常高端的路由器，应该说有它更加鲜明的技术优势和技术特色，比如说像Juniper Networks的T640，目前的高端路由器得到了非常广泛的应用，比如说最近中国电信重新构建它的下一代的IT骨干网，承载它的新型的应用，包括3G的应用，NGN的应用，整个这个平台的网络中心，都是由T640来组建的。

　　另外大家更加熟悉的T640，是真正在生产环境下，运行规模最大，IPv6的网络，在它五大核心应用也是这个平台，这个平台在整个全球的教育市场里面也得到了非常多的应用，比如说可能大家作为学术和教育网里面比较熟悉的，intelnet2像向美国教育网整个的骨干都是IPV6来组建的，像欧洲的教育，整个IP骨干网都是由IPV6来组建的，今天往国外的连接就是连接到intelnet2。从它的安全解决方案来讲，也非常丰富的，有不同的IDP的设备，整个这些设备组成了一个网络中的不同的层面，在不同的层面上都给这个网络上有非常详细的这种考虑和非常先进的技术来解决它的安全问题。

　　谢谢大家！