第一篇:計算機網絡畢業論文完全
物理電氣信息學院網絡工程網絡安全論文
防火墻技術在高校圖書館網絡中的應用
專 業:網絡工程 姓 名: 學 號: 任課老師:
網絡工程
摘要:隨著網絡的發展,圖書館網絡在高校圖書文獻資料的檢索等方面具有重要的作用,但是與此同時,圖書館網絡也存在安全隱患。為了有效的提高圖書館網絡的安全性,配置防火墻技術是一種很現實的選擇。本文闡述了高校圖書館建設防火墻的必要性,通過具體介紹防火墻在圖書館網絡中的應用實例,分析了圖書館網絡的現狀和問題,提出了解決方案關探討。
關鍵詞:高校圖書館;網絡安全;防火墻技術;局域網;安全措施
隨著計算機網絡技術的發展,計算機安全問題日益突出,提高Internet 安全性的要求迫在眉睫。作為高校信息資源中心的圖書館,承擔著校園網內絕大多數的數據傳輸和信息發布,如寧夏大學圖書館局域網經過結構化布線,采用先進的網絡設備、服務器、小型機,與校園網、Internet 相聯接,為讀者提供網上瀏覽、信息查詢、數據庫檢索、信息咨詢等項服務,為教學和科研服務提供重要保障,因而提高網絡安全成為當前高校圖書館的一個重要任務。高校圖書館防火墻建設的必要性
從目前我國高校圖書館的情況來看,圖書館多處于開放的網絡環境中,所有重要的數字資源都要通過網絡存儲和傳輸。由于網絡系統的多樣性、復雜性、開放性、終端分布的不均勻性,這一過程極易遭到黑客、惡性軟件或非法授權的入侵與攻擊,導致信息泄漏、信息竊取、數據增刪和計算機病毒等問題。圖書館若不能及時保障網絡安全,就不能獲取信息化的效率和效益,不能更好地為讀者服務。要使圖書館數字資源被充分利用而不受外來侵犯,防火墻技術就是很好的解決方案之一。
圖書館防火墻是一個位于局域網與Internet之間的計算機或網絡設備中的功能模塊,是按照一定安全策略建立起來的硬件和軟件相結合的一種技術。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。防火墻可以提供身份認證和訪問控制, 通過檢測、限制和更改跨越防火墻的數據流來盡可能地隔離風險區域與圖書館局域網的連接;可以按照事先規定好的配置和規則, 監測所有通向外部網和從外部網傳輸來的信息,只允許授權數據通過;可以記錄有關的聯接來源以及試圖闖入者的任何企圖,從而方便圖書館系統管理員的實時監測、控制,以維護內部網絡的安全。
第1頁
網絡工程
校圖書館防火墻拓撲結構 圖書館網絡現狀分析與解決方案
2.1 圖書館網絡存在的問題
近年來,西北大學圖書館經過不斷的改造和更新網絡,確定了目前使用中的星型拓撲組網方式,所有網絡線纜匯聚至2 層主機房,服務器、網絡設備均部署2 層主機房,Internet 及教育網出口設置在網絡中心。整個網絡覆蓋了圖書館5 層,千兆光纜上連至網絡中心,百兆至桌面,圖書館信息管理系統等服務器連接至銳捷S3550-24G 千兆交換機,為內外網訪問圖書館對外服務提供了充足的帶寬。
從圖書館網絡現狀及拓撲結構可以看出,雖然該網絡采用了一定的分層結構,并且通過三層交換機隔離了一定的網絡廣播,但是該網絡在沒有任何安全措施的情況下接入到校園網,同時又為互聯網提供信息檢索服務。這樣很容易造成以下弊端:(1)非法使用圖書館數字資源,包括對計算機系統資源、網絡連接服務等的濫用和盜用;(2)毀壞數據,修改頁面內容或鏈接,對網絡設備信息轟炸,造成服務中斷等;(3)無限制地免費使用數據通信網絡,造成網絡堵塞,有的第2頁
網絡工程
則是直接入侵Web 和其他文件服務器,刪除或篡改數據,造成系統癱瘓;(4)通過校園網向服務器區域的服務器發起攻擊行為,導致服務器崩潰或感染病毒。一旦攻擊者利用圖書館的服務器上傳木馬等計算機病毒,基于圖書館服務器的巨大訪問量(80 萬次以上/ 年),計算機病毒將會在極短的時間內感染大量的用戶主機,對學校的聲譽,以及校園網絡的正常運行造成巨大的影響;(5)圖書館內部如果沒有采取很好的隔離措施,一旦一臺計算機感染了病毒,病毒將會通過網絡很快感染到圖書館網絡中的所有主機,造成的最大影響就是由于服務器染毒無法繼續提供服務,從而使圖書館的業務遭受嚴重的影響。2.2 解決方案 2.2.1 方案設計原則
為了保證系統能夠最大限度滿足圖書館網絡建設需求,同時在最大限度保護原有投資的前提下,不斷利用迅速發展的計算機網絡技術和產品。在設計實施方案中,我們必須充分考慮先進性、安全性、可靠性、可擴展性和易管理性等系統建設原則。(1)先進性
設計方案要充分考慮圖書館網絡建設的實際使用需求,在技術選型、設備選型、高可靠性設計、安全性設計、業務實現和網絡管理等方面具有一定的先進性。(2)高可靠性
對于網絡設備本身的冗余均采用電信級冗余電源設計,并且提供多種冗余技術,在網絡設備的不同層次提供增值的冗余設計,以提高整個網絡高可靠的性能。(3)可擴展性
為適應圖書館業務的發展、需求的變化、先進技術的應用,應采用模塊化設計,采用高密度端口網絡設備,具備三層路由功能,使其具備平滑升級能力。
第3頁
網絡工程
寧夏大學圖書館計算機網絡示意圖
(4)安全性
在安全性方面,遵循國際通行和國家信息安全主管部門制定的各項標準。(5)可管理性
使整個網絡設備具有遠程管理能力,靈活、方便地進行管理控制。2.2.2 方案設計思路(1)網絡安全設計
目前圖書館未部署網絡安全設備,服務器直接暴露在校園網中,很容易遭受來自內外網的非法攻擊,造成服務器無法正常對外提供服務。所以需要在圖書館出口處部署千兆防火墻一臺,同時設置服務器DMZ 區,在保護內網的同時,防御來自內外網對服務器區的攻擊。將圖書館的所有信息及網絡資源按照職能的不同劃分成四個安全區域:服務器區域、閱覽室區域、辦公區域以及其它區域。
(2)針對不同區域的特點設定相應的安全訪問控制策略。例如:服務器區域不允許主動發起向其他區域的連接,其他區域不允許發起向服務器區域的除了80 端口外的其他連接。不允許任何區域主動向閱覽室區域、辦公區域發起主動連接。(3)在防火墻上開啟防御DOS/DDOS 攻擊功能。
第4頁
網絡工程
(4)將圖書館與網絡中心升級為三層結構,圖書館到網絡中心啟用靜態路由,減少網絡設備所維護的ARP 列表,將圖書館內網的廣播終結至核心交換機,增強了網絡設備的轉發性能。不再全部使用或限制使用原來校園網所分配的IP 地址段,改用內部私有IP 地址。通過防火墻的NAT 與反向NAT 技術將內部主機的IP 地址完全隱藏。2.2.3 整體技術方案實現
根據上述設計原則和思路,結合具體情況和信息安全工作經驗,我們通過防火墻來實現一個初步的安全隔離與訪問控制,從而實現整個網絡的安全運行。網絡升級改造后拓撲如下:
寧夏大學圖書館計算機網絡示意圖 對解決方案的優勢分析與應用
通過以上的安全設置,圖書館將會具有初步的安全防護功能,外部人員對服務器的攻擊可能與成功率將會從原來的100%降低到2%。計算機病毒的傳播速度將會由原來的全網快速傳播變為區域內快速傳播,將計算機病毒的危害性降低一個水
第5頁
網絡工程
準。服務器群將會有一定的抵御DOS/DDOS 攻擊的能力,將業務系統的連續運營與服務可靠性提升了一個臺階。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和外部網之間的任何活動,保證了內部網絡的安全。當網絡面臨入侵時,防火墻是網絡的第一道屏障。防火墻是由軟件和硬件設備組合而成,處于核心交換機與互聯網之間,限制外界用戶對內部網絡未授權的訪問,管理內部用戶訪問外界網絡的權限。
目前在防火墻上采取的安全措施主要有:(1)使用地址映射NAT技術
內網訪問外網通過防火墻NAT 轉換,NAT 轉換將圖書館局域網內的私有IP 地址映射到一個公共的合法IP 地址上,不但節省了IP 資源,而且每個內部網絡的真實IP 地址得以隱藏。只要防火墻的地址轉換表不被竊取,黑客就不可能知道內網IP 及其所對應的全局IP 和他們的轉換規則,因此無法向內網發送攻擊數據包,他們要想對內網進行攻擊的企圖難以實現,有效地降低了黑客入侵的成功率。
地址映射NAT示意圖
(2)設置訪問策略
制定限制網絡訪問的策略,不同級別的人允許訪問不同的資源,服務器只提供有限的、有用的服務,關閉其他所有服務。策略的設置包括允許與禁止。在防火墻上設置的策略有:允許外網訪問某網站,該網站只開放80(HTTP)端口,關閉其
第6頁
網絡工程
它所有端口,允許網管對某服務器進行下載、遠程登錄等維護,相應開放該服務器的21(FTP)、23(TELNET)等端口,禁止外網訪問內網等。
(3)關閉病毒常用端口
防火墻雖然不是專業的防病毒系統,但通過關閉病毒習慣攻擊的端口的方法可以有效地阻止某些病毒的攻擊。在防火墻上常關閉的端口有:137,138,139(共享信息竊取端口),445,5554(蠕蟲病毒,震蕩波病毒常攻擊端口),5589(肉雞病毒常攻擊端口)等。
第7頁
網絡工程
(4)使用登陸認證
指定僅有一個IP 地址作為專用的網絡管理計算機,對管理員進行用戶身份檢驗和權限設定,確保只有合法的用戶在合法的管理機上才能登陸網絡,而且只有擁有相應權限的用戶才能查看和修改交換機配置,同時每個用戶登錄交換機后所做的操作都有日志記載。這樣就可以保護對交換機的本地和遠程訪問,減少出現攻擊的可能。(5)使用流量控制技術
為了防止館內用戶,特別是電子閱覽室用戶對網絡資源的濫用,進行視頻、軟件等資源下載,占用大量網絡帶寬,還可使用防火墻或者交換機的網絡流量控制技術,定期查看和分析網絡帶寬資源的使用情況,將流經端口的異常流量限制在一定的范圍內。核心交換機將不同的安全域通過劃分VLAN進行邏輯隔離,隔離廣播風暴,防止ARP攻擊。將非法用戶與敏感的網絡資源相互隔離,從而防止大部分基于網絡偵聽的入侵。
VLAN控制流量示意圖 結語
在圖書館的網絡設備和電子資源中運用防火墻技術,不僅可以有效防止外部網絡的非法入侵和惡意攻擊,保障圖書館自身的利益,以及合法用戶對圖書館資源的有效訪問,同時還可以控制只對授權用戶賦予對授權資源訪問的權限,有利于規范數字化資源在網上發布和傳送,更可以對網絡通信和流量進行監控,便于圖書館系統管理和維護,從而 能夠有效地保證圖書館計算機網絡的正常運行。作為一個復雜的系統工程,圖書館的網絡安全涉及諸多方面,我們在大力研究網絡安全技術的同時,還要根據數字圖書館自身的特點和需求,進行有針對性的系統設計,不斷地改進和完善網絡安全工作,最大限度
第8頁
網絡工程
地降低網絡安全所帶來的負面影響。
參考文獻:
[1] 李文靜,王福生.防火墻在圖書館網絡中的安全策略[J].現代情報,2008,(6):72-73.[2] 肖榮榮.高校圖書館網絡信息安全問題及解決方案[J].現代情報,2006,(2): 67-68.[3] 方明,刑遠秀.防火墻技術在圖書館網絡中的應用.[J]中國水運,2006,(12):70-71.[4] 張宏武.防火墻在圖書館局域網的應用[J].現代情報,2004,(10):142-145.[5] 蔣威,劉磊.校園網絡的安全分析及解決方案[J].吉林師范大學學報(自然科 學版),2006,(2).[6] 王福生.圖書館網絡中的入侵檢測系統[J]現代情報,2007,(2).第9頁
第二篇:計算機網絡畢業論文
1.前言
計算機技術和通信技術的迅猛發展使得網絡進入千家萬戶,網絡日益成為人們工作、學習、生活的必備工具。在網絡普及過程中,網速是網絡技術和網絡經營的關鍵。眾所周知,網絡帶寬越寬,數據傳輸速率就越高,寬帶技術應運而生。所謂寬帶網絡是指傳輸、交換和接入的寬帶化。本文詳細分析了寬帶網的主干網技術和接入網技術,并對寬帶技術的發展趨勢進行了討論。
1.主干網技術
寬帶技術包括主干網技術和接入網技術。在過去的幾年內,運營商將大量資金注入主干網,主干網已經基本實現了光纖化,傳輸速率可以達到千兆。
1.1 SONET(同步光纖網絡)技術
ITU-T以SONET為基礎,制定出國際標準同步數字系列SDH。一般可以認為SDH和SONET 是同義詞。主干網的網絡層服務可以大致分成三類:虛電路服務、數據報服務和ATM技術。虛電路服務是一種面向連接服務,通信過程包括建立連接、數據傳輸和釋放連接。
1.2虛電路服務
虛電路提供的是可靠服務,因此,基于X.25協議和幀中繼等虛電路服務的網絡可靠性較好。但是由于虛電路傳輸效率較低,目前常用網絡層協議是基于另一類數據報服務的IP協議。數據報服務是基于存儲轉發機制的無連接服務,雖然服務質量不可靠,但其最大優點是傳輸效率高,這也是IP協議能夠一統天下的原因。
1.3 ATM信元交換技術
ATM是綜合了電路交換和分組交換的特點產生,能夠提供可靠服務和較高的傳輸速率,美中不足的是其協議復雜,交換設備昂貴,實際網絡中使用不多。
2.接入網技術
接入網的概念從建立電話網開始就存在,寬帶網的出現使得接入網作用尤為突出。接入網是連接用戶終端設備和某種業務網網絡節點之間的網絡設施,即用戶交接設備之后到用戶引入線之前,僅提供通道而不具備交換功能的通信設備網絡。
如前所述,寬帶主干網已經基本實現光纖化,其帶寬可滿足當前的通信需要,但大部分的接入網仍然停留在以電話交換為主的水平上。接入網的傳輸速率普遍比較低,成為制約寬帶網絡發展的瓶頸。于是,近年來出現了多種接入網技術。接入網作為網絡的一部分同樣可以使用主干網的協議,如有些接入網也才采用幀中繼等技術。這里主要討論目前發展比較迅速的幾種寬帶技術。2.1 ISDN(綜合業務數字網)
ISDN是在綜合數字電話網(IDN)基礎上發展起來的,提供端到端數字通信。ISDN的開通范圍比ADSL和LAN接入都要廣泛得多,所以對于那些沒有寬帶接入的用戶,ISDN似乎成了惟一可以選擇的高速上網的解決辦法,畢竟128kbps的速度比撥號快多了;ISDN和電話一樣按時間收費,所以對于某些上網時間比較少的用戶(比如每月20小時以下的用戶)還是要比使用ADSL便宜很多的。另外,由于ISDN線路屬于數字線路,所以用它來打電話(包括網絡電話)效果都比普通電話要好得多。它通過普通的銅纜以更高的速率和質量傳輸語音和數據。ISDN是歐洲普及的電話網絡形式。GSM移動電話標準也可以基于ISDN傳輸數據。因為ISDN是全部數字化的電路,所以它能夠提供穩定的數據服務和連接速度,不像模擬線路那樣對干擾比較明顯。在數字線路上更容易開展更多的模擬線路無法或者比較困難保證質量的數字信息業務。例如除了基本的打電話功能之外,還能提供視頻、圖像與數據服務。ISDN需要一條全數字化的網絡用來承載數字信號(只有0和1這兩種狀態),與普通模擬電話最大的區別就在這里它在用戶和ISDN之間建立一條數字比特管道,使用時分復用方式支持多個獨立的通路(channel)。窄帶ISDN 定義的標準化通路有B通路(64kbit/s的數字PCM話音或數據),D通路(16kbit/s或64kbit/s用作帶外信令)。
ITU-T規定的標準化組合有兩種:(1)基本速率2B+D=144kbit/s,其中一個B通路用于傳輸話音,一個用于傳輸數據,D通路為16kbit/s。(2)一次群速率23B+D或30B+D,分別對應T1標準(1.544Mbit/s)和E1標準(2.048Mbit/s)。
由于N-ISDN難以適應寬帶需求,繼而在ATM技術的基礎上出現了寬帶ISDN(B-ISDN)。B-ISDN將話音、數據、圖像及視頻信號集中在一個網絡傳輸,就是通常所說的“一線通”。B-ISDN采用ATM技術,用戶環路和干線都采用光纜。由于ATM技術沒有得到廣泛的應用,B-ISDN使用的也很少。
2.2 HFC(混合光纖同軸網)
HFC利用具有巨大帶寬的廣播電視網,鋪設光纖到服務區,用戶的“最后一公里”采用同軸電纜。光纖部分的光分配節點(ODU)到頭端(HEAD)是星型連 3 接,光結點到用戶這段同軸電纜是樹型連接,在美國圍繞一個光結點的同軸網絡可以連接500個用戶。
用戶使用Cable modem利用同軸電纜連接到光結點,接入HFC網絡。由HFC網接入有線電視網(Cable TV), 最后由有線電視網和Internet高速相連。Cable modem 和一般modem原理相似,都是進行頻譜搬移。Cable modem將計算機的數據信號調制到某個頻帶范圍后占用有線電視帶寬傳輸。但是Cable Modem 本身又不是單純的調制解調器,它集Modem、調諧器、加解密設備、橋接器、網絡接口卡、SNMP代理和以太網集線器等功能為一身。
HFC的上行速率一般在200kbit/s到2Mbit/s之間,最高可達10Mbit/s。下行速率一般在3Mbit/s到10Mbit/s,最高可達到36Mbit/s。
同軸電纜帶寬要比電話線帶寬寬很多,在有線電視網絡比較發達的地區,HFC是一種很好的寬帶接入方式。但是傳統有線電視網是單向的,用于上網就要對原有線路進行雙向改造,需要一定費用。
2.3 ADSL(非對稱數字線路)ADSL是一種異步傳輸模式(ATM)。也是DSL(數字用戶線路)的統稱,是以銅電話線為傳輸介質的點對點傳輸技術。
在電信服務提供商端,需要將每條開通ADSL業務的電話線路連接在數字用戶線路訪問多路復用器(DSLAM)上。而在用戶端,用戶需要使用一個ADSL終端(因為和傳統的調制解調器(Modem)類似,所以也被稱為“貓”)來連接電話線路。由于ADSL使用高頻信號,所以在兩端還都要使用ADSL信號分離器將ADSL數據信號和普通音頻電話信號分離出來,避免打電話的時候出現噪音干擾。
通常的ADSL終端有一個電話Line-In,一個以太網口,有些終端集成了ADSL信號分離器,還提供一個連接的Phone接口。
某些ADSL調制解調器使用USB接口與電腦相連,需要在電腦上安裝指定的軟件以添加虛擬網卡來進行通信。xDSL包括HDSL(高速數字用戶線)、SDSL(對稱數字用戶線)、ADSL(非對稱數字用戶線)、VDSL(甚高比特率數字用戶線)等多種類型。目前寬帶市場主要使用ADSL技術。
ADSL使用普通電話線作為傳輸介質,利用ADSL Modem 將計算機的數據信號調制到一定的頻帶后再與原有電話信號復用同一條普通電話線傳輸。ADSL 利用ADSL Modem將電話線分成三個信息通道:一個速率為1 Mbps到9Mbps的高速下行通道;一個速率為16kbps到1Mbps的中速雙工通道,用于ADSL控制信號的傳輸和上行信息;一個普通3k帶寬的電話通道。這三個信息通道可以同時工作。
當前 ADSL調制解調設備一般采用 3種線路編碼技術,抑制載波幅度和相位(carrier-less amplitude and phase, CAP),離散多音復用(discrete multitone, DMT),以及離散小波多音復用(discrete wavelet multitone, DWMT)。其中 CAP的基礎是正交幅度調制(QAM)。在 CAP中,數據被調制到單一的載波上;而在 DMT中,數據被調制到多個載波上,每個載波上的數據都使用 QAM調制。DMT中使用快速傅里葉變換進行數字信號處理,而在 DWMT中使用小波變換。ADSL技術目前還存在一些問題,如電纜中不同線路信號之間相互串擾及線路質量問題等。目前,ADSL 的主要應用方式有兩種:
(1)交換局端到用戶間直接使用ADSL。這種方式直接使用原有電話線路,成本比較低。利用ADSL Modem可以有效的將話音與數據業務流量分離,數據業務直接分流到數據網絡中,緩解了用戶上網負荷對電話交換網的壓力。但是這種方式的數據傳輸率不是很高,一般提供512kbps和284kbps 兩種。(2)FTTx+ADSL方式。這種方式的銅電話線比較短,其他線路采用光纖,可以達到較高的傳輸速率。
2.4 LAN(寬帶以太網方式)
以太網是目前廣泛被采用的一種局域網技術,其技術成熟、安裝簡單、設備便宜。隨著千兆以太網和萬兆以太網技術的逐漸成熟,以太網已經占有了80%的局域網市場。
寬帶以太接入網一般采用光纜+雙絞線的方式對社區進行綜合布線。小區內用戶先用集線器組成一個簡單的以太網,然后接入光纖干線。雙絞線總長度 一般不超過100米,線路距離短,因而線路質量可以得到更好保障。LAN方式的寬帶服務一般是吉比特光纖進小區,百兆光纖到樓,10/100M到戶的模式,雖然實際傳輸速度不能達到那么高,但傳輸速率基本可以滿足用戶的各種需求。
由于接入網是一個公用網絡環境,其要求與一般局域網的私有網絡環境有很大不同,它僅借用了以太網的幀結構和接口,與一般局域網的差別主要在用戶管理、安全管理、業務管理、計費管理及安全管理等方面。
目前主要占有寬帶接入網市場的是ADSL和LAN接入技術。這兩種技術各有利弊。
從速度上來說,LAN方式用戶組成的以太網采用爭用信道協議,上網速度受到集線器和用戶數量的影響。集線器所連用戶越多,上網速度就越慢。可以看出,集線器和交換設備也是制約網速的一個瓶頸。但總的來說,LAN方式是目前幾種寬帶接入方式中速度最快的一種。ADSL的速度比LAN方式要慢,在傳輸視頻信息時(如觀看網絡電視等)質量不好。
從安裝的角度來說,ADSL建立在原有普通電話線基礎上,安裝方便,比較適合家庭或小型業務單位使用。以太網方式適合于用戶比較密集的小區或單位,使用前需要重新鋪設線路。
在抗干擾方面,由于采用光纖接入,LAN方式比普通電話線上傳輸數據的ADSL方式干擾要小。
從費用上說,以太網方式的初裝費一般高于ADSL,而且以太網一般采用包月方式,ADSL一般按照若干小時為單位計費。因此,ADSL更適合那些偶爾上網的用戶。
3.發展方向
近年來,寬帶主干網基本實現了光纖化,其速度可以承載任何服務。接入網的速度就成了網絡發展的瓶頸。今后幾年內,接入網建設是寬帶網絡發展的重點。盡管每一個寬帶服務商都強調自己的寬帶接入方式最先進、最便捷,但實際各種接入方式理論上所能達到的數值和用戶的實際使用效果存在巨大差距。因此,進一步增加接入帶寬,降低上網費用,提高網絡服務質量是一 6 個重要發展方向。對于寬帶接入網來說,實現光纖到戶是最終的目標,以上討論的各種接入方式只是過渡期中出現的技術。
寬帶網絡的另一個發展方向是多網融合,在一個網絡內傳輸語音、文字、圖像、視頻等各種信息,最終實現將電話網、有線電視網及計算機網絡融為一體。
隨著網絡的普及,人們越來越依靠網絡傳輸一些秘密信息,網絡安全一直是研究熱點。寬帶網絡也不可避免的要重視網絡安全問題。
第三篇:計算機網絡畢業論文
淺談計算機網絡安全及建設
摘 要 : 本文簡要介紹了計算機網絡安全的體系結構,分析了網絡安全的設計原則,討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計,最后提出了網絡安全產品的選型原則。
關鍵詞 : 計算機 ; 網絡 ; 安全; 建設
信息是當今社會發展的重要資源,整個社會對信息的依賴程度越來越高。盡管個人、部門和整個企業都已認識到信息的寶貴價值和私有性,但競爭已迫使各機構打破原有的界限,在企業內部或企業之間共享更多的信息,只有這樣才能縮短處理問題的時間,并在相互協作的環境中孕育出更多的革新和創造。然而,在群件系統中共享的信息卻必須保證其安全性,以防止有意無意的破壞,因此,網絡安全成為一個重要的問題。
1、網絡安全體系結構
通過對網絡應用的全面了解,按照安全風險、需求分析結果、安全策略以及網絡的安全目標,具體的安全控制系統可以可以分為:物理安全、系統安全、網絡安全、應用安全、管理安全等幾個方面。
1.1.物理安全 保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡的物理通路不被損壞、不被竊聽以及不被攻擊和干擾等。它主要包括三個方面:環境安全、設備安全、媒體安全。正常的防范措施主要在三個方面: 對主機房及重要信息存儲、收發部門進行屏蔽處理,防止信號外泄; 對本地網、局域網傳輸線路傳導輻射的抑制; 對終端設備輻射的防范。
1.2 系統安全 分為網絡結構安全、操作系統安全、應用系統安全。網絡結構的安全主要指網絡拓撲結構是否合理、線路是否有冗余、路由是否冗余、防止單點失敗等。對于操作系統的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制、加強口令字的使用,并及時給系統打補丁、系統內部的相互調用不對外公開等; 通過配備安全掃描系統對操作系統進行安全性掃描,及時發現安全漏洞,并有效地對其進行重新配置或升級。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號、加強登錄身份認證,確保用戶使用的合法性、并嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
1.3 網絡安全 網絡安全是整個安全解決方案的關鍵,通過訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒分別進行。隔離與訪問控制可通過嚴格的管理制度、劃分虛擬子網(VLAN)、配備防火墻來進行。內部辦公自動化網絡根據不同用戶安全級別或者根據不同部門的安全需求,利用三層交換機來劃分虛擬子網(VLAN),在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問。防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。它通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制;并且可以實現單向或雙向控制,對一些高層協議實現較細粒的訪問控制。通信保密是使得在網上傳送的數據是密文形式,而不是明文。可以選擇鏈路層加密和網絡層加密等方式。入侵檢測是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包,因此,入侵檢測系統的應用不會對網絡系統性能造成多大影響。網絡掃描系統可以對網絡中所有部件(Web 1
站點,防火墻,路由器,TCP/IP及相關協議服務)進行攻擊性掃描、分析和評估,發現并報告系統存在的弱點和漏洞,評估安全風險,建議補救措施。病毒防護也是網絡安全建設中應該考濾的重要的環節之一,反病毒技術包括預防病毒、檢測病毒和殺毒三種技術。1.4 應用安全 表現在內部OA系統中資源共享和信息存儲等方面。嚴格控制內部員工對網絡共享資源的使用,在內部子網中一般不要輕易開放共享目錄,對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,通過網絡備份系統,可以對數據庫進行遠程備份存儲。
1.5 構建CA(Certification Authority)體系 針對信息的安全性、完整性、正確性和不可否認性等問題,目前國際上先進的方法是采用信息加密技術、數字簽名技術。具體實現的辦法是使用數字證書,通過數字證書,把證書持有者的公開密鑰(Public Key)與用戶的身份信息緊密安全地結合起來,以實現身份確認和不可否認性。根據機構本身的特點,可以考濾先構建一個本系統內部的CA系統,即所有的證書只能限定在本系統內部使用有效。隨著需求的發展,可以對CA系統進行擴充,與國家級CA系統互聯,實現不同企業間的交叉認證。
1.6 安全管理 通過制定健全的安全管理體制、構建安全管理平臺、增強人員的安全防范意識來進行。制定健全的安全管理體制是網絡安全得以實現的重要保證;各部門應經常對員工進行網絡安全防范意識的培訓,全面提高員工的整體網絡安全防范意識。構建安全管理平臺將會降彽很多因為無意的人為因素而造成的風險,組建安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件,通過安全管理平臺實現全網的安全管理。
2、網絡安全體系的建設
2.1 安全體系設計原則
1).需求、風險、代價平衡分析的原則 : 對任一網絡來說,絕對安全難以達到,也不一定必要。對一個網絡要進行實際分析,對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。保護成本、被保護信息的價值必須平衡,價值僅1萬元的信息如果用5萬元的技術和設備去保護是一種不適當的保護。2).綜合性、整體性原則 : 運用系統工程的觀點、方法,分析網絡的安全問題,并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡包括個人、設備、軟件、數據等環節,它們在網絡安全中的地位和影響作用,只有從系統綜合的整體角度去看待和分析,才可能獲得有效、可行的措施。
3).一致性原則 : 這主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。實際上,在網絡建設之初就考慮網絡安全對策,比等網絡建設好后再考慮要容易,而且花費也少得多。
4).易操作性原則 : 安全措施要由人來完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,采用的措施不能影響系統正常運行。
5).適應性、靈活性原則 : 安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應、容易修改。
6).多重保護原則 : 任何安全保護措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。2.2 網絡安全風險分析
網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。因此,它的風險將來自對企業的各個關鍵點可能造成的威脅,這些 2
威脅可能造成總體功能的失效。網絡安全風險分析成為制定有效的安全管理策略和選擇有作用的安全技術實施措施的基礎依據。安全保障不能完全基于思想教育或信任。而應基于“最低權限”和“相互監督”的法則,減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任他人或被他人信任的問題,建立起完整的安全控制體系和保證體系。2.3 網絡安全策略
安全策略分安全管理策略和安全技術實施策略兩個方面:
1).管理策略 安全系統需要人來執行,即使是最好的、最值得信賴的系統安全措施,也不能完全由計算機系統來完全承擔安全保證任務,因此必須建立完備的安全組織和管理制度。
2).技術策略 技術策略要針對網絡、操作系統、數據庫、信息共享授權提出具體的措施。
2.4 安全管理原則
計算機信息系統的安全管理主要基于三個原則,即多人負責原則、任期有限原則、職責分離原則。制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步,只有當各級組織機構均嚴格執行網絡安全的各項規定,認真維護各自負責的分系統的網絡安全性,才能保證整個系統網絡的整體安全性。2.5 網絡安全設計
由于網絡的互連是在鏈路層、網絡層、傳輸層、應用層不同協議層來實現,各個層的功能特性和安全特性也不同,因而其網絡安全措施也不相同。
物理層安全涉及傳輸介質的安全特性,抗干擾、防竊聽將是物理層安全措施制定的重點。
在鏈路層,通過“橋”這一互連設備的監視和控制作用,使我們可以建立一定程度的虛擬局域網,對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能。
在網絡層,可通過對不同子網的定義和對路由器的路由表控制來限制子網間的接點通信,通過對主機路由表的控制來控制與之直接通信的節點。同時,利用網關的安全控制能力,可以限制節點的通信、應用服務,并加強外部用戶識別和驗證能力。對網絡進行級別劃分與控制,網絡級別的劃分大致包括Internet/企業網、骨干網/區域網、區域網/部門網、部門網/工作組網等,其中Internet/企業網的接口要采用專用防火墻,骨干網/區域網、區域網/部門網的接口利用路由器的可控路由表、安全郵件服務器、安全撥號驗證服務器和安全級別較高的操作系統。增強網絡互連的分割和過濾控制,也可以大大提高安全保密性。2.6 安全產品選型原則
在進行網絡安全方案的產品選型時,要求安全產品至少應包含以下功能:
·訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
·檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
·攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。· 加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。· 認證:良好的認證體系可防止攻擊者假冒合法用戶。
· 備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。
· 多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。· 隱藏內部信息:使攻擊者不能了解系統內的基本情況。
· 設立安全監控中心:為信息系統提供安全體系管理、監控,保護及緊急情況服務。
3、小結
總之,網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,我們應該用系統工程的觀點和方法分析和解決網絡的安全問題。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等,這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施,即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構,這樣才能真正做到整個系統的安全。
參考文獻
〔1〕謝希仁,計算機網絡[M].北京:電子工業出版社,1999 〔2〕王啟智,實用unix和internet安全技術[M].北京:電子工業出版社,1999
第四篇:計算機網絡畢業論文
計算機網絡故障及解決方法
1、緒論.......................................................................................................2 1.1課題背景及目的............................................................................2 1.2計算機網絡概述............................................................................3 1.3常見計算機網絡故障分類及影響................................................3
2、常見計算機網絡故障的判斷..............................................................5 2.1 解決計算機網絡故障的意義.....................................................5 2.2計算機網絡故障的分類................................................................5 2.3 網絡診斷的各種工具.................................................................8 3常見計算機網絡故障的解決方法.......................................................10 3.1 解決網絡故障的理論基礎(基本原理)...............................11 3.1.2網絡通信協議...........................................................................12 3.1.3 CISCO路由器和交換機...........................................................14 3.2 解決故障的工作步驟...............................................................15 3.3 網絡安全...................................................................................18 3.4 解決計算機網絡故障的實例...................................................20 結語.....................................................................................................28 致 謝 詞...................................................................................................29 參考文獻...................................................................................................29
摘
要
簡單介紹網絡及路由器的基本概念,簡述網絡分層診斷技術,結合討論路由器各種接口的診斷,綜述互聯網絡連通性故障的排除。
關鍵詞: 網絡 互聯網 路由器 故障診斷
1、緒論
1.1課題背景及目的
從國際上看,軍用網絡管理與故障診斷已經經歷了從無到有的過程,現在正在從初級到高級,從不完善到完善,從集中到分散的目標發展。實現故障診斷的科學化、規范化已經成為影響網絡持續、高速、健康發展的重大問題。在美軍《2010年聯合構想》中,首次把通信故障管理作為與“主宰機動、精確打擊、全維防護”相并列的四大作戰原則之一。
在民用方面,具有代表性的研究團體是IBM公司。他于2001年4月宣布開展eliza計劃。該項目的目標是開發出像“蜥蜴”一樣靈敏、警覺、反應迅速、并具有強大自我保護能力的網絡計算系統。IBM公司將在未來數年間投入累計達數十億的資金,并在全球建立5個實驗室,調用數百名研發人員及科學家用于開發服務器的自主運算。這種智慧型未來計算機具有高度靈敏安全警覺設計、高度平衡負載功能、易于管理且具備主動思考規劃能力,以適應未來的Internet和新時代電子商務的應用。微軟、惠普、Sun、Oracle、Intel等公司也已經加入到了該研究領域中。1.2計算機網絡概述
1、計算機網絡是由計算機集合加通信設施組成的系統,即利用各種通信手段,把地理上分散的計算機連在一起,達到相互通信而且共享軟件、硬件和數據等資源的系統。計算機網絡按其計算機分布范圍通常被分為局域網和廣域網。局域網覆蓋地理范圍較小,一般在數米到數十公里之間。廣域網覆蓋地理范圍較大,如校園、城市之間、乃至全球。計算機網絡的發展,導致網絡之間各種形式的連接。采用統一協議實現不同網絡的互連,使互聯網絡很容易得到擴展。因特網就是用這種方式完成網絡之間聯結的網絡。因特網采用TCP/IP協議作為通信協議,將世界范圍內計算機網絡連接在一起,成為當今世界最大的和最流行的國際性網絡。
1.3常見計算機網絡故障分類及影響
網絡故障診斷應該實現三方面的目的:
確定網絡的故障點,恢復網絡的正常運行;
發現網絡規劃和配置中欠佳之處,改善和優化網絡的性能;
觀察網絡的運行狀況,及時預測網絡通信質量。
網絡故障診斷以網絡原理、網絡配置和網絡運行的知識為基礎。從故障現象出發,以網絡診斷工具為手段獲取診斷信息,確定網絡故障點,查找問題的根源,排除故障,恢復網絡正常運行。網絡故障通常有以下幾種可能:物理層中物理設備相互連接失敗或者硬件及線路本身的問題;數據鏈路層的網絡設備的接口配置問題;網絡層網絡協議配置或操作錯誤;傳輸層的設備性能或通信擁塞問題;上三層CISCO IOS或網絡應用程序錯誤。診斷網絡故障的過程應該沿著OSI七層模型從物理層開始向上進行。首先檢查物理層,然后檢查數據鏈路層,以此類推,設法確定通信失敗的故障點,直到系統通信正常為止。
網絡診斷可以使用包括局域網或廣域網分析儀在內的多種工具:路由器診斷命令;網絡管理工具和其它故障診斷工具。CISCO提供的工具足以勝任排除絕大多數網絡故障。查看路由表,是解決網絡故障開始的好地方。ICMP的ping、trace命令和Cisco的show命令、debug命令是獲取故障診斷有用信息的網絡工具。我們通常使用一個或多個命令收集相應的信息,在給定情況下,確定使用什么命令獲取所需要的信息。譬如,通過IP協議來測定設備是否可達到的常用方法是使用ping命令。ping從源點向目標發出ICMP信息包,如果成功的話,返回的ping信息包就證實從源點到目標之間所有物理層、數據鏈路層和網羅層的功能都運行正常。如何在互聯網絡運行后了解它的信息,了解網絡是否正常運行,監視和了解網絡在正常條件下運行細節,了解出現故障的情況。監視那些內容呢?利用show interface命令可以非常容易地獲得待檢查的每個接口的信息。另外show buffer命令提供定期顯示緩沖區大小、用途及使用狀況等。Show proc命令和 show proc mem命令可用于跟蹤處理器和內存的使用情況,可以定期收集這些數據,在故障出現時,用于診斷參考。網絡故障以某種癥狀表現出來,故障癥狀包括一般性的(象用戶不能接入某個服務器)和較特殊的(如路由器不在路由表中)。對每一個癥狀使用特定的故障診斷工具和方法都能查找出一個或多個故障原因。
2、常見計算機網絡故障的判斷 2.1 解決計算機網絡故障的意義
世紀之交,全球因特網高速發展。抓住機遇,迎接挑戰,我國的網絡建設方興未艾。政府上網工程拉開序幕,網絡建設的新高潮已經到來。網絡診斷是管好、用好網絡,使網絡發揮最大作用的重要技術工作之一。本文首先簡單介紹網絡及路由器的基本概念,簡述分層診斷技術,結合討論路由器各種接口的診斷,綜述互聯網絡連通性故障的排除。
2.2計算機網絡故障的分類 2.2.1 計算機網絡故障的分類
雖然有各式各樣的網絡故障,但所有的故障總體可分為物理故障與邏輯故障,也就是通常所說的硬件故障與軟件故障。
硬件故障與軟件故障
硬件故障有網卡、網線、集線器(Hub)、交換機、路由器等。軟件故障中最常見的情況就是網絡協議問題或因為網絡設備的配置原因而導致的網絡異常或故障。
計算機網絡故障判斷步驟 ①首先要檢查網卡是否正常。
每塊網卡都帶有LED指示燈,位置一般在主機箱的背面,綠燈表示連接正常有的綠燈和紅燈都要亮,紅燈表示連接故障,不亮表示無連接或線路不通。根據數據流量的大小,指示燈會時快時慢的閃爍。正常情況下,在不傳送數據時,網卡的指示燈閃爍較慢,傳送數據時,閃爍較快。
②連接計算機與其他網絡設備的跳線、網線是否暢通。網絡連線的故障通常包括網絡線內部斷裂、雙絞線、RJ-45水晶頭接觸不良。可用測線器檢測。
③兩邊的RJ-45頭是否插好。④信息插座是否有故障。故障原因
雖然故障原因多種多樣,但總的來講不外乎就是硬件問題和軟件問題,說得再確切一些,這些問題就是網絡連接性問題、配置文件選項問題及網絡協議問題。
1、網絡連接性
網絡連接性是故障發生后首先應當考慮的原因。連通性的問題通常涉及到網卡、跳線、信息插座、網線、Hub、Modem等設備和通信介質。其中,任何一個設備的損壞,都會導致網絡連接的中斷。連通性通常可采用軟件和硬件工具進行測試驗證。例如,當某一臺電腦不能瀏覽Web時,在網絡管理員的腦子里產生的第一個想法就是網絡連通性的問題。到底是不是呢?可以通過測試進行驗證。看得到網上鄰居嗎?可以收發電子郵件嗎?ping得到網絡內的其他電腦嗎?只要其中一項回答為“yes”,那就可以斷定本機到Hub的連通性沒有問題。當然,即使都回答“No”,也不就表明連通性肯定有問題,而是可能會有問題,因為如果電腦的網絡協議的配置出現了問題也會導致上述現象的發生。另外,看一看網卡和Hub接口上的指示燈是否閃爍及閃爍是否正常也是個不壞的主意。
排除了由于電腦網絡協議配置不當而導致故障的可能后,就應該查看網卡和Hub的指示燈是否正常,測量網線是否暢通。
2、配置文件和選項
服務器、電腦都有配置選項,配置文件和配置選項設置不當,同樣會導致網絡故障。如服務器權限的設置不當,會導致資源無法共享的故障。電腦網卡配置不當,會導致無法連接的故障。當網絡內所有的服務都無法實現時,應當檢查H ub。
2.2.2計算機網絡故障的表現癥狀
1、連通性故障 故障表現
連通性故障通常表現為以下幾種情況:
電腦無法登錄到服務器;
②電腦無法通過局域網接入Internet; ③電腦在“網上鄰居”中只能看到自己,而看不到其他電腦,從而無法使用其他電腦上的共享資源和共享打印機;
④電腦無法在網絡內實現訪問其他電腦上的資源;
⑤網絡中的部分電腦運行速度異常的緩慢。
2、故障原因
以下原因可能導致連通性故障:
①網卡未安裝,或未安裝正確,或與其他設備有沖突;
②網卡硬件故障;
③網絡協議未安裝,或設置不正確;
④網線、跳線或信息插座故障;
2.3 網絡診斷的各種工具 2.3.1、軟件工具ping
ping無疑是網絡中最頻繁的小工具,它主要用于確定網絡的連通性問題。Ping程序使用ICMP(網際消息控制協議)協議來簡單地發送一個網絡數據包并請求應答,接收到請求的目的主機再次使用ICMP發回相同的數據,于是ping便可對每個包的發送和接收時間進行報告,并報告無影響包的百分比,這在確定網絡是否正確連接,以及網絡連接的狀況(包丟失率)十分有用。Ping是Windows操作系統集成的TCP/IP應用程序之一,可以在“開始-運行”中直接
執行(如圖1)。
圖1 Ping操作
(1)命令格式:
ping主機名 或者 ping 主機名 –t
ping IP地址 或者 ping IP地址 –t
(2)ping命令的應用
ping本地計算機名(即執行操作的計算機)
如ping liu或 ping本地IP地址
如ping127.0.0.1(任何一臺計算機都會將要27.0.0.1視為自己的IP地址)
可以檢查該計算機是否安裝了網卡;是否正確安裝了TCP/IP協議;正確配置了IP地址和子網掩碼或主機名。(3)使用Ping命令后出現的常見錯誤
出錯信息通常分為四種:
①Unknown host
Unknown host(不知名主機),這種出錯信息的意思是,該遠程主機的名字不能被命名服務器轉換成IP地址。故障原因可能是命名服務器有故障,或者其名字不正確,或者網絡管理員的系統與遠程主機之間的通信線路故障。這種情況下屏幕將會提示:
C:windows>ping www.tmdps.cn,正常情況下會出現該網址所指向的IP地址,這表明本機的DNS設置正確而且DNS服務器工作正常,反之就可能是其中之一出現了故障。
這幾步執行完畢后,網絡中的故障所在點就已明確,我們就可以正確的解決問題了。結語
網絡發生故障是不可避免的。網絡建成運行后,網絡故障診斷是網絡管理的重要技術工作。搞好網絡的運行管理和故障診斷工作,提高故障診斷水平需要注意以下幾方面的問題:認真學習有關網絡技術理論;清楚網絡的結構設計,包括網絡拓樸、設備連接、系統參數設置及軟件使用;了解網絡正常運行狀況、注意收集網絡正常運行時的各種狀態和報告輸出參數;熟悉常用的診斷工具,準確的描述故障現象。
致 謝 詞
我能夠比較順利的完成網絡安全漏洞防范措施這一論文,得益于很多老師和同學的關心和幫助!首先我要感謝我的指導老師——胡江濤老師,還有我們的系領導支持。是您們給我創造了實戰的機會;在整個論文書寫的過程中,胡老師一直給我悉心的指導和幫助。使我受益非淺。也要感謝對我完成本次論文提出寶貴意見的其他同學!
參考文獻
[1] 作 者:周炎濤《計算機網絡實用教程(第2版)》出 版 社:電子工業出版社
[2]作 者:李艇 《網絡安全與認證》出版社:重慶大學出版社 [3]作 者:楊富國等 《網絡設備安全與防火墻》出版社:北方交通大學出版社
第五篇:計算機網絡畢業論文
湖南現代物流職業技術學院
論文題目:校園網絡安全問題分析與對策
姓 名: 蘇 劍
學 號: 091140018 專 業: 計算機網絡
班 級: 計網0901班
聯系方式: *** 指導老師: 李先紅
完成時間:2011年11月10日
湖南現代物流職業技術學院
前 言
隨著教育信息化的發展,計算機校園網絡系統成為學校重要的現代化基礎設施,為學校建設提供安全、可靠、快捷的網絡環境,學校的學生思想教育、教學、科研、管理等對網絡的依賴將越來越緊密。在學校市場化的競爭過程中,學校對信息的掌握程度、信息獲取是否及時、信息能否得到充分的利用、對信息的反應是否敏感準確,已越來越成為衡量一個學校市場競爭能力的重要因素。校園網的建成和使用,對于提高教學和科研的質量、改善教學和科研的條件、加快學校的信息化發展、開展多媒體教學與研究,以及使教學多出人才,出高精尖人才,使科研多出成果,出一流成果,有著十分重要而深遠的意義。同時,校園網在宣傳學校、樹立學校形象、吸引生源、提高管理水平和管理效率方面都有著不可替代的作用。當前各校面臨市場的機遇與挑戰,紛紛規劃建設一流的學校。一流的學校必然要有一流的管理水平,一流的管理水平需要校園網的支持和配合。隨著國民經濟的發展,社會信息化、電子化水平的不斷提高,這些作用將愈加顯現。校園網的安全狀況直接影響到這些活動的順利進行,因此,保障校園網絡信息安全已經成為當前各高校網絡建設中不可忽視的首要問題。
【關鍵詞】校園網絡;網絡安全與分析;安全策略;入侵檢測;入侵防御
湖南現代物流職業技術學院
計算機網絡的概念
校園網絡的現狀,1 高校教育信息系統的需求和目標
校園網絡運行的特點
出現這些現象的原因
解決這些問題的方法并且分幾類講出來 這些方案的好處和劣
湖南現代物流職業技術學院
計算機網絡的概念:
關于計算機網絡的最簡單定義是:一些相互連接的、以共享資源為目的的、自治的計算機的集合。
另外,從廣義上看,計算機網絡是以傳輸信息為基礎目的,用通信線路將多個計算機連接起來的計算機系統的集合。從用戶角度看,計算機網絡是這樣定義的:存在著一個能為用戶自動管理的網絡操作系統。有它調用完成用戶所調用的資源,而整個網絡像一個大的計算機系統一樣,對用戶是透明的。
一個比較通用的定義是:利用通信線路將地理上分散的、具有獨立功能的計算機系統和通信設備按不同的形式連接起來,以功能完善的網絡軟件及協議實現資源共享和信息傳遞的系統
從整體上來說計算機網絡就是把分布在不同地理區域的計算機與專門的外部設備用通信線路互聯成一個規模大、功能強的系統,從而使眾多的計算機可以方便地互相傳遞信息,共享硬件、軟件、數據信息等資源。簡單來說,計算機網絡就是由通信線路互相連接的許多自主工作的計算機構成的集合體。
計算機網絡的功能:
計算機網絡的功能主要表現在硬件資源共享、軟件資源共享和用戶間信息交換三個方面:
1.硬件資源共享。可以在全網范圍內提供對處理資源、存儲資源、輸入輸出資源等昂貴設備的共享,使用戶節省投資,也便于集中管理和均衡分擔負荷。
2.軟件資源共享。允許互聯網上的用戶遠程訪問各類大型數據庫,可以得到網絡文件傳送服務、遠地進程管理服務和遠程文件訪問服務,從而避免軟件研制上的重復勞動以及數據資源的重復存貯,也便于集中管理。
3.用戶間信息交換。計算機網絡為分布在各地的用戶提供了強有力的通信手段。用戶可以通過計算機網絡傳送電子郵件、發布新聞消息和進行電子商務活動。
計算機網絡的發展前景:
1、全球因特網裝置之間的通信量將超過人與人之間的通信量。因特網將從一個單純的大型數據中心發展成為一個更加聰明的高智商網絡,將成為人與信息之間的高層調節者。其中的個人網站復制功能將不斷預期人們的信息需求和喜好,用戶將通過網站復制功能篩選網站,過濾掉與己無關的信息并將所需信息以最佳格式展現出來。同時,個人及企業將獲得大量個性化服務。這些服務將會由軟件設計人員在一個開放的平臺中實現。由軟件驅動的智能網技術和無線技術將使網絡觸角伸向人們所能到達的任何角落,同時允許人們自行選擇接收信息的形式。
2、帶寬的成本將變得非常低廉,甚至可以忽略不計。隨著帶寬瓶頸的突破,未來網絡的收費將來自服務而不是帶寬。交互性的服務,如節目聯網的視頻游戲、電子報紙和雜志等服務將會成為未來網絡價值的主體。
3、在不久的未來,無線網絡將更加普及,其中cnet:短距無線網絡前景看俏。短距無線通訊標準Zigbee與超寬頻UWB(Ultra wideband)即將制訂完成,未
湖南現代物流職業技術學院
來將與藍牙(Bluetooth)共同建構短距離無線網絡環境,包括藍芽、Zigbee與UWB等相關產品出貨量都將大幅成長。隨著電子電機工程師協會(IEEE)推出802.15個人局域網絡(WPAN)標準后,新一代的短距離無線通訊發展趨勢逐漸確定,除了藍芽(802.15.1)外,Zigbee(802.15.4)與UWB(802.15.3a)標準也將于今年或明年初陸續通過,未來Zigbee與UWB將以各自不同特性,如速度、價格等切入短距離無線網絡環境。
4、計算機網絡飛速發展的同時,安全問題不容忽視。網絡安全經過了二十多年的發展,已經發展成為一個跨多門學科的綜合性科學,它包括:通信技術、網絡技術、計算機軟件、硬件設計技術、密碼學、網絡安全與計算機安全技術等。
在理論上,網絡安全是建立在密碼學以及網絡安全協議的基礎上的。密碼學是網絡安全的核心,利用密碼技術對信息進行加密傳輸、加密存儲、數據完整性鑒別、用戶身份鑒別等,比傳統意義上簡單的存取控制和授權等技術更可靠。加密算法是一些公式和法則,它規定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術的發展,加上發達國家對關鍵加密算法的出口限制,各個國家正不斷致力于開發和設計新的加密算法和加密機制。
從技術上,網絡安全取決于兩個方面:網絡設備的硬件和軟件。網絡安全則由網絡設備的軟件和硬件互相配合來實現的。但是,由于網絡安全作為網絡對其上的信息提供的一種增值服務,人們往往發現軟件的處理速度成為網絡的瓶頸,因此,將網絡安全的密碼算法和安全協議用硬件實現,實現線速的安全處理仍然將是網絡安全發展的一個主要方向。
安全技術不斷發展的同時,全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎,沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中,那么談再多的網絡安全也是無用的。同時,網絡安全不僅僅是防火墻,也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌,而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。
總之,網絡在今后的發展過程中不再僅僅是一個工具,也不再是一個遙不可及僅供少數人使用的技術專利,它將成為一種文化、一種生活融入到社會的各個領域。
點擊咨詢 