前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的机房网络设计方案主题范文,仅供参考,欢迎阅读并收藏。
DDB系统(具有DDB能力的DVB基础设施)的目的是向最终用户信息和服务。下述定义介绍了DDB系统的主要元素和构成部分:
目标最终用户主要是个体住宅消费者,习惯于收看电视节目,广告,能够使用电视遥控器进行一些基本的选择操作。最终用户的主要终端是一台带机顶盒的电视机,能够接收电视节目和先进业务。但是,装有DVB适配器的PC机可作为终端设备,用于需要特殊处理能力或通讯能力,如TCP/IP的特定应用;
传输的中间媒介是数字电视网,如卫星,电缆或陆地无线电。这种媒介是共享的,因为信息在其上广播,可以被所有的终端用户接收,尽管他们也许并没有看到所有的信息;
先进业务的提供者通常是媒体业的内容提供者:广告,新闻机构,天气预报,旅行社,证券交易所,图书商,商人等等,先进业务由与其它页建立连接的信息页组成,和/或操作按钮,用来触发应用,实现象发送消息或开始一个购买交易之类的高级操作;
业务包装者(或者)负责包装来自内容提供者的业务,并发送给合适的媒体(电视,互联网等等);
节目发行人拥有媒体(电缆或卫星)上的传输带宽。他们将电视频道中的各种原始节目组合,然后通过电视网发送给预订的最终用户;
最后,网络提供者拥有传输媒体(电缆或卫星),在电缆或卫星通道上广播来自各种发行人的节目;
下图总结了DDB市场的价值链
图1 DDB价值链
需要特别注意的是,因国家制度,行业因素或历史原因的考虑,参与者之间的界限也许并不明显。尤其是,业务包装者经常提供自己的业务和内容,有时也会扮演一个节目发行者的角色。
业务包装者的收入通常来自两个方面:
来自内容提供者,支付他们业务广播的费用,尤其是广告;
来自最终用户,其订购(一次或每月)或每次使用先进业务需支付的费用。
1.2 与其它技术的关系
DDB技术关键的一点是其拥有大量的最终用户,可以给他们带来这些客户不熟悉的其它技术如互联网、电子商务,所能带来的价值。IBM的AS/DVB结构应该考虑为这些技术和最终用户之间通过电视媒体的接口。下图总结了互联网、电子商务和AS/DVB之间的关系:
图 2: AS/DVB 和其它技术
1.3 企业级集成
AS/DVB系统一般不可能是业务包装者的计算网络环境中的一个独立系统。它一定要集成在客户环境中,与其它资源或信息目标通讯,并且统一管理。图4显示了AS/DVB系统和其连接的其它企业产品和设备之间的关系。
图3:AS/DVB企业级集成
1.4 基础设施
下图总结了参与者链,其交换的内容,拥有的设备和DDB技术的界限。
图例说明:
灰色区域代表DDB技术的覆盖范围。跨越DDB区域的项目被认为与DDB有关或无关。
圆型盒子表示DDB的参与者(个人,公司或组织)。
方形盒子代表仪器、设备或软件构件。
云形代表网络。
箭头和注释代表信息交换。
图 4: DDB 结构和基础设施
上图可以看作是DDB结构和基础设施的整体描述。根据客户需求,可能会有许多变化。有些参与者或构件可能不存在,因此IBM提供的AS/DVB系统可能有以下变化:
内容提供者可能用其自己的编辑工具和/或图形编辑器,要求其输出能转换成AS/DVB结构支持的业务格式。
业务包装者会有自己的计划工具,要求其输出能转换并完成,以符合AS/DVB结构支持的计划格式。
一些业务内容可能来自在线资源,而不是通常的创作工具,这些业务内容要求自动地接收并转换成AS/DVB结构支持的格式。
正如前面已经提到的,业务包装者和节目发行人可能是同一实体。
节目发行人可能在其多媒体服务器,视频服务器和多路复用器(MSC-2/3卡)上使用IBM技术,或使用OEM技术
节目发行人也可能不存在或在AS/DVB系统边界之外(例如Teletext UK, Mediaset and Stream)
传送到carousel设备的数据的格式和传送方式(协议,中间媒介)可能因多媒体服务器和机顶盒制造商的不同而不同。
机顶盒中运行的浏览器可能会因机顶盒的制造商和所有者,以及业务编码所用的DVB编码标准的不同而是或不是AS/DVB系统的组成部分。
业务包装者可能想为DVB之外的其它媒体,如万维网提供输出业务。
数字电视网可能是一个卫星网,或是陆地网,如电缆或无线电。
从机顶盒到AS/DVB的反向通道可能存在或不存在。
机顶盒允许或不允许识别最终用户,例如支持可识别智能卡。
电子商务能力可能是或不是AS/DVB系统的一部分,可能依赖最终用户的机顶盒和商人的能力而由其它方式获得(在线或离线交易)。
1.5 演化途径
IBM AS/DVB结构是模块化的,可以随着客户和最终用户越来越多的功能需要,逐步从一个基本的DDB系统演化成一个基于DVB的功能强大的先进业务平台。
1.5.1 基本DDB系统
一个基本的DDB系统利用标准DVB基础设施,向常规电视观众广播由纯信息页组成的简单信息:
信息只包含连接在一起的常规信息页;
创作工具或者是普通的(XML),或者是专用的(Open TV or MHEG);
广播基础设施是DVB;
最终用户得到的信息是免费的。如果最终用户订购的话,也在系统之外处理;
从最终用户到系统没有反向通道。
这一基本构造满足Teletext UK公司的需求。
1.5.2 多媒体DDB系统
多媒体DDB系统通过几种网络基础设施(DVB,互联网)将不同来源(创作工具,编辑系统,互联网等等)的信息页广播给几种最终用户(电视观众,PC使用者)。
信息来源是页面创作工具(通用XML,或专用),内部信息系统,或互联网上的在线资源;
输出是包含连接在一起的常规信息页的节目,利用IP协议广播的文件,或者是万维网上的HTML页;
广播基础设施是DVB和互联网;
提供给最终用户的信息是免费的,如果最终用户订购DVB或互联网的话,会在系统之外处理;
从最终用户到系统没有反向通道。
1.5.3 先进业务
AS/DVB系统通过几种网络基础设施(DVB,互联网)将不同来源(创作工具,编辑系统,互联网等等)的信息页广播给几种最终用户(电视观众,PC使用者)。
除此之外,最终用户还可以启动交易,与系统中的先进业务或电子商务业务进行交互。最终用户需要一个特定的许可,或者被确认,或者为此付费,才能够进入这些附加的业务:
信息来源是页面创作工具(通用XML,或专用),内部信息系统,或互联网上的在线资源;
输出是包含连接在一起的常规信息页的节目,利用IP协议广播的文件,或者是万维网上的HTML页;
广播基础设施是DVB和互联网;
提供给最终用户的信息可以传统接入,可以要求最终用户的身份鉴定,订阅用户管理,还可能进行计费;
通过从最终用户到系统中交易服务器的反向通道可以与电子商务系统进行交互。
类似这种结构的AS/DVB系统满足Mediaset 和Via Digital公司的业务需求。
1.6 DDB概念
DDB技术从根本上说是想通过数字电视网向最终用户发送包含信息和业务的节目。那么,什么是业务呢?它由什么组成?它又为最终用户提供了什么?
业务是一组屏幕和数据,一起为最终用户提供了信息和交互功能。尤其是当最终用户配备了合适的机顶盒后,可以从其订阅的数字节目(一组电视频道)中选择最喜欢的节目发行商和提供DDB业务的电视节目:
通过使用遥控器选择按钮或是频道主页上的热键,选择想要接入的业务,除非对该用户只提供有一种业务;
检验业务屏幕的内容:文本,图像,按钮等等;
使用遥控器上的箭头键或屏幕上的热键浏览屏幕上的业务。就象在互联网上一样,按钮和热键(图像区域)与连接相连,可以从一屏浏览到另一屏;
通过选择特定按钮热键,可以操作机顶盒,通过反向通道启动某些交易(信息查询,购买订单,电子商业等等)
1.6.1 节目
最终用户通过电视机屏幕,机顶盒或遥控器选择了一个节目。电视节目在电视频道中传送,可以是各种形式:视频(电影),音乐,数据流等等,无论它们的状态和内容怎样,通过数字电视网广播的电视节目都采用MPEG-2传输流编码。广播一个电视节目需要分配的带宽依节目的性质而定:音乐和数据通常比纯视频使用更少的带宽。几个节目通常在传输媒介上多路复用在一起,形成节目组。这种多路复用在传统的模拟电视中通常是FDMA,在目前的数字电视网中趋向于TDMA。
1.6.2 屏幕和页面
关键词 网络内部 安全方法 漏洞 设计方案
中图分类号:TP393.08 文献标识码:A
0 引言
随着我国市场经济的不断繁荣发展,越来越多的企业建立了属于自己的内部网络,从而方便企业内部员工的交流,以及通过信息的有效迅速传播,来实现其自身的管理目的。但是由于网络内部的安全防范没有达到相应的标准,或者网络设计内部出现一些细微的瑕疵,这些都可能给网络内部安全埋下隐患,因此建立一个安全合理的内部网络对于企业的发展而言,具有重要意义。而且对于使用内部网络的群体而言,也是一种突破。
1 当下我国企业内部网络存在的问题
1.1 当下我国企业内网的安全现状
通过内部网络在企业中应用的不断加深,我们可以发现当下传统企业的内部网路安全设计还局限在以针对网络病毒和系统漏洞等防御为主的设计中。对于那些入侵检测将重点放在设置当中,在对内部网络和外部网络连接处加以严密的监控。这样的措施对于防范初级攻击具有一定的作用,同时我们应该清楚,内部网络才是企业的核心价值所在,一旦内部网络受到攻击而出现问题,那么给企业带来的损失将难以预计。当下,内部网络的安全维护受到巨大的挑战,但是企业的网络管理员由于自身对安全风险认识不强,认为自身所做的防备已经足够完善,在内部便没有形成一个更加坚固的防护网。一旦发生事故,便会将企业的商业隐私泄漏,给企业造成巨大的伤害。因此,加强外网建设的同时,更加注重企业内部网络的建设对于企业的发展具有重要的现实作用,这也是当下企业建立内部网络安全的核心所在。
1.2 当前企业内部网络存在的安全隐患
随着计算机网络技术的不断发展,企业内部网络作为其发展的一个分支存在。它的出现给企业管理、数据整合等提供了一个高科技的优化平台。但是,计算机网络从出现以来,便一直围绕着安全这个问题而发展着,内部网络也不例外。
(1)内部网络管理人员缺乏重视。攻击者对于企业内部网络的攻击主要是以其安全防护作为突破点而进行的。企业内部网络存在漏洞绝大多数都是由于网络管理人员缺乏对内部网络安全的重视,从而导致黑客有机可乘。(2)内部网络用户权限不同。企业内部网络具有一个明显特征便是使用者拥有不同的权限。企业内部网络建立用户使用权限的初衷是为了方便企业各个阶层实现管理。但正是设置权限不一,才导致整个内部网络需要多次识别身份认证。同时,对于那些拥有身份认证较弱的用户,极易攻击,黑客一旦通过基层身份打入内网,实现越权查看便是极其容易的。(3)内部网络信息没有得到整合。一些企业对于企业内部的机密信息大多集中在中高层管理者的计算机终端里,企业内部网络对于这些信息没有进行整合。这也就意味着机密信息集中在几个管理者手中。而他们对于信息的保护程度远远没有达到专业性的程度,因此很容易造成信息被窃取等。
3 企业内部网络安全防范设计
为了能够有效解决企业内部网络中存在的各种安全威胁问题,保障企业内部网络安全稳定运行,本文提出了一套企业内部网络安全防范设计方案。企业内部网络安全体系属于水平与垂直分层实现的,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。
3.1 用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等。由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
3.2 用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3.3 数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。
参考文献
[1] 张怡.浅议计算机网络安全策略[J].科技资讯.2011(09).
关键词:网络安全;蜜罐技术;蜜网技术;入侵检测;虚拟机;VMware
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
计算机及其网络技术的应用已深入各行各业,特别是企事业单位的日常管理工作更是紧密依赖网络资源。基于此,保证网络的正常运行就显得尤为重要。目前,广泛采用的安全措施是在企业局域网里布设网络防火墙、病毒防火墙、入侵检测系统,同时在局域网内设置服务器备份与数据备份系统等方案。而这些安全网络防火墙、入侵检测系统真能有效地保证系统的安全吗?做到了这一切系统管理员就能高枕无忧了吗?
1 问题的提出
图1为现实中常用的二层网络拓扑结构图。从图中可以看出,网络防火墙与入侵检测系统(IDS)均部署在网络入口处,即防火墙与入侵检测系统所阻挡是外网用户对系统的入侵,但是对于内网用户来说,内部网络是公开的,所有的安全依赖于操作系统本身的安全保障措施提供。对一般的用户来讲,内网通常是安全的,即是说这种设计的对于内网的用户应该是可信赖的。然而对于诸如校园网的网络系统,由于操作者基本上都是充满强烈好奇心而又具探索精神的学生,同时还要面对那些极少数有逆反心理、强烈报复心的学生,这种只有操作系统安全性作为唯一一道防线的网络系统的可信赖程度将大打折扣。
另一方面,有经验的网络管理员都知道,网络中设置了防火墙与入侵检测系统并不能从根本上解决网络的安全问题(最安全的方法只能是把网络的网线拨了),只能对网络攻击者形成一定的阻碍并延长其侵入时间。操作者只要有足够的耐心并掌握一定的攻击技术,这些安全设施终有倒塌的可能。
所以,如何最大可能地延长入侵者攻击网络的时间?如何在入侵虽已发生但尚未造成损失时及时发现入侵?避开现有入侵检测系统可以侦测的入侵方式而采用新的入侵方式进行入侵时,管理者又如何发现?如何保留入侵者的证据并将其提交有关部门?这些问题都是网络管理者在安全方面需要经常思考的问题。正是因为上述原因,蜜罐技术应运而生。
2 蜜罐技术简介
蜜罐技术的研究起源于上世纪九十年代初。蜜罐技术专家L.Spitzner对蜜罐是这样定义的:蜜罐是一个安全系统,其价值在于被扫描、攻击或者攻陷。即意味着蜜罐是一个包含漏洞的诱骗系统。它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人设计的。它通过模拟一个或多个有漏洞的易受攻击的主机,给攻击者提供十分容易受攻击的目标。
如图2所示,蜜罐与正常的服务器一样接入核心交换机,并安装相应的操作系统和数据库管理系统,配置相应的网络服务,故意存放“有用的”但已过时的或可以公开的数据。甚至可以将蜜罐服务器配置成接入网络即组成一台真正能提供应用的服务器,只是注意将蜜罐操作系统的安全性配置成低于正常的应用服务器的安全性,或者故意留出一个或几个最新发现的漏洞,以便达到“诱骗”的目的。
正常配置的蜜罐技术一旦使用,便可发挥其特殊功能。
1) 由于蜜罐并没有向外界提供真正有价值的服务,正常情况下蜜罐系统不被访问,因此所有对其链接的尝试都将被视为可疑的,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于对入侵的检测。
2) 蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。如图二, 正常提供服务的服务器有4个,加入4个蜜罐,在攻击者看来,服务器有8个,其扫描与攻击的对象也增加为8个,所以大大减少了正常服务器受攻击的可能性。同时,由于蜜罐的漏洞多于正常服务器,必将更加容易吸引攻击者注意,让其首先将时间花在攻击蜜罐服务器上。蜜罐服务器灵敏的检测并及时报警,这样可以使网络管理员及时发现有攻击者入侵并及时采取措施,从而使最初可能受攻击的目标得到了保护,真正有价值的内容没有受到侵犯。
3) 由于蜜罐服务器上安装了入侵检测系统,因此它可以及时记录攻击者对服务器的访问,从而能准确地为追踪攻击者提供有用的线索,为攻击者搜集有效的证据。从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。
经过多年的发展,蜜罐技术已成为保护网络安全的切实有效的手段之一。对企事关单位业务数据处理,均可以通过部署蜜罐来达到提高其安全性的目的。
3 蜜罐与蜜网技术
蜜罐最初应用是真正的主机与易受攻击的系统,以获取黑客入侵证据、方便管理员提前采取措施与研究黑客入侵手段。1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开放性源代码工具,如Fred Cohen所开发的DTK(欺骗工具包)、Niels Provos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低、较容易被黑客识别等问题。从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中.使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜网技术的模型如图3所示。由图中可以看出,蜜网与蜜罐最大的差别在于系统中多布置了一个蜜网网关(honeywall)与日志服务器。其中蜜网网关仅仅作为两个网络的连接设备,因此没有MAC地址,也不对任何的数据包进行路由及对TTL计数递减。蜜网网关的这种行为使得攻击者几乎不可能能觉察到它的存在。任何发送到蜜网内的机器的数据包都会经由Honeywall网关,从而确保管理员能捕捉和控制网络活动。而日志服务器则记录了攻击者在蜜罐机上的所有的行为以便于对攻击者的行为进行分析,并对蜜罐机上的日志进行备份以保留证据。这样攻击者并不会意识到网络管理员正在监视着他,捕获的行为也使管理员掌握了攻击者使用的工具、策略和动机。
4 蜜罐部署
由前述内容可以看出,蜜罐服务器布置得越多,应用服务器被扫描与攻击的风险则越小,但同时系统成本将大幅度提高,管理难度也加大。正因为如此,实际中蜜罐的部署是通过虚拟计算系统来完成的。
当前在Windows平台上流行的虚拟计算机系统主要有微软的Virtual Pc与Vmware。以Vmware为例,物理主机配置两个网卡,采用Windows2000或Windows XP操作系统,并安装VMwar。建立一台虚拟机作为蜜网网关,此虚拟机设置三个虚拟网卡(其虚拟网卡类型见图4),分别连接系统工作网、虚拟服务器网与监控服务器。虚拟服务器网根据物理主机内存及磁盘空间大小可虚拟多个服务器并安装相应的操作系统及应用软件,以此诱惑黑客攻击。蜜网服务器用于收集黑客攻击信息并保留证据。系统拓扑结构如图4所示。
系统部署基本过程如下:
4.1 主机硬件需求
CPU:Pentium 4 以上CPU,双核更佳。
硬盘:80G以上,视虚拟操作系统数量而定。
内存:1G以上,其中蜜网软件Honeywall至少需要256M以上。其它视虚拟操作系统数量而定。(下转第346页)
(上接第341页)
网卡:两个,其中一个作为主网络接入,另一个作为监控使用。
其它设备:视需要而定
4.2 所需软件
操作系统安装光盘:Windows 2000或Windows 2003;
虚拟机软件:VMware Workstation for Win32;
蜜网网关软件:Roo Honeywall CDROM v1.2,可从蜜网项目组网站(一个非赢利国际组织,研究蜜网技术,网址为)下载安装光盘。
4.3 安装过程
1)安装主机操作系统。
2) 安装虚拟机软件。
3) 构建虚拟网络系统。其中蜜网网关虚拟类型为Linux,内存分配为256M以上,最好为512M,硬盘空间为4G以上,最好为10G。网卡三个,分别设为VMnet0、VMnet1和VMnet2,如图4所示。
4) 在蜜网网关机上安装honeywall,配置IP信息、管理信息等。
5) 在蜜网网关机上配置Sebek服务器端,以利用蜜网网关收集信息。
6) 安装虚拟服务器组,并布设相应的应用系统。注意虚拟服务器组均配置为VMnet1,以使其接入蜜网网关机后。
7) 在虚拟服务器组上安装并配置sebek客户端。
8) 通过监控机的浏览器测试蜜网网关数据。
总之,虚拟蜜网系统旨在利用蜜网网关的数据控制、数据捕获和数据分析等功能,通过对蜜网防火墙的日志记录、eth1上的嗅探器记录的网络流和Sebek 捕获的系统活动,达到分析网络入侵手段与方法的目的,以利于延缓网络攻击、改进网络安全性的目的。
参考文献:
[1] 王连忠.蜜罐技术原理探究[J].中国科技信息,2005(5):28.
[2] 牛少彰,张 玮. 蜜罐与蜜网技术[J].通信市场,2006(12):64-65.
[3] 殷联甫.主动防护网络入侵的蜜罐(Honeypot)技术[J].计算机应用,2004(7):29-31.
[4] 叶飞.蜜罐技术浅析[J].网络安全技术与应用.2007(5):36-37.
关键词: 校园网网络规划设计网络安全管理需求设计特点
一、 校园地理环境
我校分为南北两个校区,南区为教学区,包括:三栋教学楼、一栋图书馆、一栋教师办公楼、一栋教工宿舍、两栋学生宿舍;北区为实训中心,与南区相隔一条街道,包括:南北两栋实训楼。
二、校园网功能需求
学校是以现代化手段培养人才的地方。为了更好地使计算机及其网络在辅助教学、教学管理等方面发挥作用,我校计划在校内建立校园网,并与国际互联网相连。
校园网的信息点应该普及两个校园区所有教学楼的教室,实训中心的电脑室、实训室,教师办公楼,图书馆,宿舍楼等,同时教室办公楼应该提供无线网络接入。校园内每个信息点的电脑都可以相互访问,实现广泛的软件、硬件资源共享;同时每个信息点的电脑都能接入互联网,提供基本的Internet网络服务功能,如电子邮件、对外个人主页服务、ftp服务、域名服务等。
三、校园网网络规划设计
1.综合布线结构
根据学校的地理位置,各栋建筑物到网络中心的距离,以及数据的流量,采取光纤+超五类综合布线系统。
(1)主干网。网络中心在图书馆四楼,对于南区教学区,因为每栋楼到网络中心都在400米左右,所以每栋楼的交换机都用12芯的室外多模光缆与网络中心的核心交换机连接;而北区实训中心因为离网络中心太远,南北楼的交换机用12芯的室外单模光缆与网络中心的核心交换机连接。主干网是由光纤构成的1000M网。
(2)楼内网。每栋楼的交换机都放在四楼中间的一间房间里,各个信息点到交换机的距离都在100米内,楼内的布线用超五类线,为每间教室、实训室、办公室等提供两个信息点。楼里面则构成10―100M的网络。
2.设备选型
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护。网络设备应该满足学校现有计算机设备的高速接入,应该具备未来良好的可扩展性、可升级性,保护学校的投资。网络设备必须在满足功能与性能的基础上价格最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须有良好的市场形象与售后技术支持。
根据多方面的考虑,我们确定选用华为三康的设备,路由器用MSR30-40,防火墙用F-1000A,核心交换机用S-7506,各栋楼的接入交换机用E-126A。这些设备完全满足校园各种功能需要,同时也满足未来扩展的需要。
3.Internet接入
根据对全校总出口流量的估算,为确保内部网站和外部网站的连接畅通,我们用电信20M带宽的光纤专线接入,有一个Internet固定的IP地址,所有计算机都通过NAT(网络地址转换)进入Internet。
4.VLAN规划
VLAN为虚拟局域网,它有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于这些优点,我们按照各栋楼的不同情况对交换机进行VLAN划分,具体是:VLAN1―设备管理、VLAN10―图书馆、VLAN11―教师办公楼、VLAN12―实训中心南、VLAN13―实训中心北、VLAN14―4号教学楼、VLAN15―5号教学楼、VLAN16―1号教学楼、VLAN17―教工宿舍。
5.路由规划
核心三层交换机S-7506实现VLAN之间的相互访问。对于三层交换机来讲,所有VLAN(网段)都是直连的,因此只需要启动路由,而不需要设置额外的静态或动态路由条目。我们在S-7506中创建VLAN 10至VLAN 17,并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中,同时给VLAN端口添加对应的网关IP作为虚拟端口的IP地址,实现整个校园网不同网段之间的相互访问。
6.无线接入
充分利用计算机辅助教学及利用网络软硬件的资源共享,是校园网为教学服务的一大特点,我校教师每人配备了一台手提电脑,手提电脑接入校园网,采取无线接入的方式。
构建“无线漫游”接入区,在办公楼放置三个TP-LINK841无线路由器,SSID都是BanGong,频道则分别为1、6、11三个互不干预的频道,不加密码是开放式,开启DHCP,地址池IP为192.168.1.50/24―192.168.1.200/24,这样教师可以很方便地接入到校园网。
7.开放计算机机房
学校内有大量的各种各样的开放式机房,是学生学习计算机的场所,通常这些计算机连成一个局域网,除具备一般的互访外,通常还要求这些计算机能够访问到Internet。为满足教学要求,我们作了如下规划:(1)IP地址用私有C类192.168.0.0/24。(2)实现Internet访问,实际上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点,相当于Internet出口,用服务器的方式通过信息点接入校园网,从而实现访问Internet。
8.对外站点
对于一些外部站点的问题,通常放置在DMZ区内,DMZ区的安全等级高于外网,低于内网,防火墙的默认规则是允许安全等级高的访问安全等级低的,禁止安全等级低的访问安全等级高的。因此,防火墙不需要设置规则就可以实现内网访问到DMZ区,但外网不能访问到DMZ区。对于学校来讲,WWW站点的主要目的就是对外信息,必须让外网能够访问到,为了到达这个目的,可以在防火墙上添加一些规则,开放DMZ区所在服务器的IP,以及相应的端口。在DMZ区放置学校的服务器:邮件服务器、WWW服务器、数据服务器、文件服务器。
四、网络安全及管理需求
校园网是巨大的资源中心,存放着各方面的信息资源,涉及学校的方方面面,同时,校园网又是一个开放的系统,有不同的人员在校内或校外访问它,因此,校园网的建立不仅是网络硬件和应用的建立,还应该特别重视校园网的安全问题。网络安全是一个体系结构,涉及整个办公环境的各个方面,包括人员和设备,信息的驻留点,以及沿途经过的各个中间环节,从物理层到应用层都要小心对待。
1.设备级安全
包括网络中所有可管理的网络设备、服务器和网管工作站的安全。设备级安全是网络的第一道屏障,严格限制能够远程管理(包括Telnet方式和Web方式)网络设备的IP地址列表,必要时关闭部分或全部远程管理功能;对于核心网络设备,如骨干交换机和路由器,建议不设远程管理IP地址。
2.传输级安全
指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质,室内明线使用屏蔽双绞线,中心机房加装屏蔽网,对远程传输的信息进行加密等。
3.网络层安全
是网络安全设计中的重要一环。网络层攻击是黑客最常用的攻击方式,如外部入侵。对付这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离,同时内网采用保留IP地址,访问外网时进行NAT转换(网络地址转换)。除了防止外部入侵外,也要注意防止内部的越权访问和故意破坏,一般在VLAN之间进行访问控制。
4.应用级安全
包括防病毒和认证体系。近年来病毒多如牛毛,如:熊猫烧香、ARP地址欺骗等。对于病毒问题,有效的解决方法是安装网络防病毒软件,修补系统漏洞。同时也要防范因内部人员不经意或故意“环路”,形成的“网络震荡”,解决办法是设置交换机STP协议(生成树协议)。
校园网是一个比较大型的网络,为了保证校园网更加有效、可靠地运行,我们配置了一台网络管理工作站,以便更有效地对校园网进行管理。根据网络设备选型,我们选择华为三康管理软件,同时用第三方管理软件一起管理网络,主要是solarwinds-toolset工具箱V9.2、超级PING、Sniffer Portable 4.8这三个软件。
五、方案规划设计特点
该校园网方案采用成熟的先进的技术,采用国际统一标准有广泛的支持厂商;所有设备都用华为三康一线产品。Internet带宽合理,确保网络不出现“塞车”现象;设置三层核心交换机,将整个网络划分为多个VLAN,从而使网络更加安全;同时本方案充分考虑了网络未来的升级与发展,把网络主干网构成了信息高速网,对未来的发展非常有利。
柳工现有信息系统全面覆盖了企业的产品开发、供应链管理、生产制造和销售服务四大方面主体活动,成为柳工生产活动中重要的支撑。
目前柳工信息网是一个大型的二层网络架构:
1、核心区域:两台Cisco4506作为整个网络的核心,分别负责厂区网络、研究院网络、数据中心、互联网和异地事业部广域网的接入;
2、园区区域:所有部门及下属公司的计算机都划分在几个业务VLAN内,使用Cisco2960和2950交换机作为接入层设备;
3、异地事业部:租用不同运营商线路接入至数据中心机房的Cisco3550交换机上;
4、服务器区域:使用6台Cisco2960G作为接入,使用双链路上联核心交换机;
5、互联网区域:3条不同运营商的线路汇聚到一台Cisco2960上。外部SSL-VPN用户通过互联网链路接入深信服VPN设备直接拨入到内网。内部访问互联网则通过ISA防火墙后从三个互联网出口出去。
二、层网二络向三层网络转变的必要性
2.1网络拓扑
柳工目前网络是一个以二层局域网交换为主的网络,缺少必要的三层路由规划和网络安全规划。现有网络架构不能满足应用系统未来的需求,不足以支撑未来业务的发展。
同时,缺乏汇聚交换机和光纤链路资源,使得大量的接入交换机采用级联的方式实现上联。这样容易导致链路不稳定和链路带宽得不到保障。因此需要优化网络拓扑,合理选择汇聚节点,变二层网络为更加稳定的三层网络。
2.2明确网络各功能区域
网络系统需要按功能进行区分:如广域网、生产网、研发网络和数据中心等。柳工现有的网络结构不具备真正的广域网、数据中心、研发网络和生产网络等功能划分。因此需要明确网络各功能区域,实现分级分域安全防护。
2.3 IP地址/VLAN规划
柳工目前使用一个B类地址和若干个C类地址,网络中进行了有限的VLAN划分。但由于VLAN规划不细致,造成广播域过大,给网络的稳定运行带来了隐患。
柳工未来的IP地址分配建议采用DHCP动态分配辅助静态部署。服务器设置静态地址,客户机动态获取IP。动态分配由于地址是由DHCP服务器分配,便于集中化统一管理。每一个接入主机都能通过非常简单的操作就可以获得正确IP地址、子网掩码、缺省网关、DNS等参数,在管理的工作量上比静态地址要减少很多。非常适合大型网络的需求。
综上所述,二层网络架构转变为三层网络架构,势在必行,否则将不足以支撑日益扩大的网络规模和业务发展需求。
三、整体设计方案
3.1 模块划分
通过参考和借鉴目前先进的网络设计理念和其他企业网络设计经验,依据全面性原则和模块化设计原则,将整个网络总体框架划分为六大网络区域:即核心交换区、园区网、数据中心、广域网、研发网和互联网。同时IP地址和VLAN规划贯穿在各网络区域的设计中。
3.2差异化分析
采用差异化分析的方式来确定网络中的不足之处,提出网络优化的方法和所能够达到的目标。
对网络各组成部分具体分析,具体如下:
3.2.1 园区网
现状:园区网核心设备超负荷运行,核心交换机4506CPU负荷超70%;园区网是一个大型二层网络,终端用户基本分布在VLAN1中,过大的广播域给网络的稳定带来潜在风险。接入层设备大量采用级联方式上连核心,部分接入交换机带宽利用率仅有30%。
规划目标:提升园区网核心设备处理能力,从而提高网络整体的处理能力。调整网络层次,变两层网络为三层网络架构,新增合理的汇聚节点。用动态路由协议规划核心层和汇聚层的路由,提供快速收敛和高可扩展性。
3.2.2 数据中心
现状:数据中心网络与园区网之间界线不清,存在很大的可用性,扩展性问题;同时缺乏数据中心安全防护措施。
规划目标:搭建独立的数据中心网络架构,建设数据中心的整体安全防护架构。
3.2.3 广域网
现状:广域网缺乏冗余链路。广域网是一个二层交换网,没有三层路由,不能对重要业务做QOS保障,并且网络设备比较陈旧。
规划目标:增加冗余链路保证广域网的稳定可靠性。规划广域网路由,用专用路由器代替现有设备,通过有关技术手段保证重要应用数据的传输。
3.2.4 研发网络
现状:缺乏独立的研发网网络架构,缺乏对研发网的安全防护措施。
规划目标:搭建独立研发网网络架构,在组网方式上采用物理隔离,在传输过程中采用逻辑隔离。建立研发网的安全防护架构,增强网络的高安全性,同时保证业务数据的安全管理。
3.2.5 互联网
现状:缺乏细化的互联网管理规范,互联网安全防护设备陈旧且防护手段单一。
规划目标:完善全网的互联网出口,加强安全防护措施。完善统一安全控制策略和互联网访问规范。
3.2.6 IP地址和VLAN
现状:IP地址分配VLAN划分精细度不够,用户主要集中在VLAN1中,广播域太大。IP地址主要采用静态分配方式,管理缺乏灵活性。
规划目标:统一IP地址管理,优化IP分配和VLAN划分规范。
四.实施规划
4.1园区网
按照三层架构进行规划设计,合理设置汇聚节点。优化接入层设备的接入,最终形成完善的三层架构园区网。网络设备的更新换代,用高性能的核心设备替换原有的核心交换机,提升园区网的整体处理能力。加强对接入层设备的集中管理,逐步替换不可网管的接入设备。以园区网为主要承载平台的统一无线系统部署。
4.2数据中心
增设数据中心核心交换机,建设数据中心整体安全防护系统;增设数据中心接入交换机,承担服务器的接入。
4.3广域网
增设广域网核心路由器和广域网防火墙,增加广域网冗余链路,完成异地事业部接入路由器的改造。
4.4研发网
增设研发网核心交换机和研发网边界防火墙,更换研发网的接入交换机,实现基于身份的网络准入控制。
4.5互联网
完成互联网边界防火墙的改造、互联网系统改造和ISP链路的动态负载,同时优化互联网的出口管理(上网行为管理,流量监控)。
4.6 IP地址规划
已使用网段的地址,在新的规划中不再使用;启用新的IP地址段:172.17.0.0/16共65535个IP地址划分为255个C类的IP子网,分配给广域网,局域网和数据中心使用;启用IP地址段:10.0.0.0/24,分配给特殊需求的IP,如:双机热备系统的心跳IP。该段地址不参与路由,并且需要使用VLAN隔离。启用IP地址段:10.1.0.0/16,分配10.1.1.0/24给VPN地址池,其余保留给未来的外联网络。
关键词:存储网络;虚拟机;虚拟服务器;交换机
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)26-0071-02
1 背景
虚拟化环境需要多种技术的协调配合:服务器和操作系统的虚拟化、存储虚拟化、以及系统管理、资源管理和软件提交,与非虚拟化环境一致的应用环境。因为有了虚拟化,企业不再需要建立耗资巨大的数据中心就能够实现异地备份。这对用户来说极富吸引力。
该设置方案中设置三个相互独立的网络:存储网络、现场生产网络、三级通讯网络。这三个网络的中心交换机都位于虚拟中心机房。
存储网络是万兆网络,用于虚拟宿主服务器的管理和服务器主机间直接通讯,主要用于服务器间存储数据的同步、虚拟机备份、迁移等需要高带宽的场景。
各生产线的现场自动化控制网络,通过双光缆连接到中心机房的生产网络交换机,该网络和中心机房内部网络相互隔离。各虚拟服务器和三级机通讯,通过专用的三级通讯网络(单独千兆网络交换机)进行,该网络和其他两个网络也是相互隔离的。
每台宿主虚拟服务器上,必须有5个以太网端口,其中4个端口是万兆网络,每两个端口组成聚合网络(共两个聚合网络),分别连接内部管理网络和工作网络;一个端口是千兆网络(连接三级网络)。
作为中心交换机的万兆网络交换机,本身稳定性很好,项目初期,可不考虑网络交换机的冗余,使用端口聚合技术,实现网络冗余,同时实现网络带宽翻倍。在多条生产线的设备进入虚拟中心后,为防止网络带宽不足,同时考虑提高网络可靠性,可为生产网络和存储网络设置冗余交换机,每台宿主服务器同时连接同一网络的不同交换机。
2 设置方案
每台宿主虚拟服务器主机,配置两个虚拟交换机,一个交换机连接聚合的万兆网卡,物理连接到生产网络交换机;另一个虚拟网络交换机通过千兆实体网卡连接到三级通讯的实体网络交换机。
连接生产网络的实体交换机,为每个连接到远程网络的聚合千兆端口配置不同的VLAN编号,通过配置不同虚拟网络,实现不同生产线上的网络相互隔离。同时为每台虚拟机连接生产网络的虚拟网卡配置和该生产线网络端口相同的VLAN号,实现每台虚拟服务器、虚拟操作站和生产线现场的基础自动化网络通讯,同时属于不同生产网络的虚拟机之间实现网络隔离。生产用中心交换机上的VLAN配置在连接现场网络的聚合端口上。生产用交换机连接宿主服务器实体网卡的端口设置成Trunk模式。
存储网络中,每个宿主虚拟服务器主机使用两个网络端口,同时连接存储网络交换机。宿主服务器上,这两个端口配置成聚合模式。在没有冗余交换机时,交换机上连接同一台服务器的两个端口也被配置成聚合模式。这样,一个网络连接出现故障时,另外一个网络连接还可提供可靠的网络通讯。
如果有冗余交换机,宿主服务器主机上的两个网络端口分别连接到不同交换机上,当一台交换机出现故障时,另外一台交换机还能够提供可靠的网络通讯服务器。设备都正常时,两台交换机同时工作,使网络带宽翻倍。
自动化网络交换机连接到中心机房,采用双光缆连接。在中心机房只有一台生产网络交换机时,两条网络连接同时连接到生产网络交换机的两个端口上,这两个端口被配置成聚合模式,可实现网络负载分担和网络连接的冗余。
在生产网络交换机有冗余交换机时,生产现场交换上连接上来的光缆分别连接到不同的生产网络交换机的端口上。当一台生产网络交换机出现故障时,另外一台交换机可承担全部的网络通讯负载。
每台宿主虚拟服务器主机上,有两个网络端口同时连接生产网络交换机。在宿主服务器主机上,这两个端口被配置成聚合模式,在没有冗余网络时,这两个网络端口同时连接到同一台生产网络交换机的不同端口上,在生产网络交换机上,这两个端口被配置成聚合模式,这样,可实现对宿主虚拟服务器主机网络连接的负载分担和网络冗余。
在存在生产网络的冗余交换机时,每台宿主虚拟服务器上两个网络端口分别连接不同生产网络交换机的端口。
宿主虚拟服务器采用端口聚合的方式,连接生产网络和连接存储网络,都是采用双链路的方式,实现网络负载均衡和网络冗余。
服务器硬件本身采用了大量高可用性设计,服务器的可靠性已经达到电信级,一般很难出现硬件严重损坏,突然完全宕机的情况。
虚拟机服务由Failover cluster故障恢复集群服务管理,当承载虚拟机的服务器出现故障,或需要维护时,可通过管理工作站,或直接操作服务器主机,将其上承载的虚拟机实时迁移到其他服务器上或直接切换到辅助服务器上,该过程中,虚拟机的运行不会中断,网络连接也可保持,对外部通讯对象和被服务对象完全透明。
在服务器维护完毕后,可将该服务器上承载的虚拟机再迁移回来。
当服务器意外宕机,网络连接失败,集群管理服务会自动在其他适合的服务器上,重新启动失效服务器上承载的虚拟机,因所有虚拟机映像存放在共享的Storage Spaces Direct存储系统中,该过程没有拷贝虚拟机映像的过程,虚拟机映像就是同步保存在共享存储系统中的映像。
在本设置方案中,配置一台辅助服务器(复制服务器),该服务器接受整个网络中所有宿主虚拟服务器发出的虚拟机复制申请。本项目中,只复制服务器虚拟机。对于操作站虚拟机,都是无状态虚拟机,只需保存一份最终的虚拟机备份即可,无需实时备份。
在第一次开始复制前,辅助服务器需要将被复制的虚拟机完整映像拷贝到本地,该过程可以通过网络,也可通过外置存储设备(移动硬盘)拷贝。
在服务器虚拟机运行时,宿主虚拟服务器主机会定时将其运行中对虚拟磁盘所做的修改日志发送给辅助服务器,辅助服务器维护每台虚拟机的虚拟磁盘映像和被复制虚拟机相同。虚拟机数据复制周期可是:30秒、5分钟、15分钟。
操作人员能够将正在运行的虚拟机在线迁移(切换)到辅助服务器上,该过程无需拷贝虚拟磁盘文件,只需传输虚拟机的内存映像,该过程可借助万兆网卡的RDMA功能,高速传输。
在宿主服务器确实宕机时,也可在辅助服务器上直接启动宕机的宿主服务器上承载的虚拟机,该过程也可保证虚拟机快速启动,恢复生产。
3 后期发展
操作站虚拟机在开发人员安装好后,就可一直使用,正常运行中,操作站上无需保存任何新的数据。
对于操作站虚拟机,可在辅助服务器上保存一份最新备份,在有虚拟机映像被更新时,手工做一次复制,实现虚拟机最新映像的备份。
当操作站虚拟机出现故障时,可直接从辅助服务器上反向复制一份完好的虚拟机映像到宿主服务器上,实现虚拟机的快速恢复。
参考文献:
[1] 丁振, 冯丹, 周可.Windows下的虚拟网络存储的设计与实现[J].计算机工程, 2003(5).
[2] 韩得志, 兰军瑞.网络存储技术的探讨[J].微型电脑应用, 2000(16): 3.
关键词 网络安全;物理隔离;地形图保密
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)09-0179-01
1 勘察设计企业网络现状
勘察设计企业在设计工作中经常会用到或产生一些文件,尤其是地形图等密级较高的文件资料。我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。为保护国家秘密不外泄,同时满足信息化办公的生产需求,目前国内勘察类企业主要采用两种网络架构方式。一种是设置内部办公网络和外部网络,员工各自配置两台分别连接内外网络的计算机,两者完全物理隔离。这种方式建设和维护成本大,员工操控灵活度低。内部办公网络实现公司信息化办公和资源内部共享等需求,外部网络实现互联网资料查询和外部交流,同时严禁内部网络信息向外部网络流通。另一种设立指定的互联网访问区,专门人员或机构采集互联网信息复制到内部网络,或者设立专门的可访问互联网的设备或区域,这种方式实时性不好。
2 网络隔离技术趋势
物理隔离是网络隔离的一种重要形式,它是通过网络与计算机设备的空间分离来实现的网络隔离[1]。与物理隔离不同的另一种网络隔离方式是采用密码技术的VPN隔离。虚拟专用网(VPN)是通过使用密码和隧道技术、在公共网络设施上构建的、具有专用网络安全特性的逻辑网络[2]。VPN隔离追求的是数据的分离或不可读,而物理隔离强调的是设备的分离。尽管VPN的实现成本较低,但是在网络的边界点,隔离设备容易被攻击,特别是来自公共网络的拒绝服务攻击[2]。
物理隔离网闸的思路决定了它是一种比VPN更高级的安全隔离形式,因为它是在保证必须安全的前提下,尽可能互联互通,如果不能保证安全则完全断开。然而,这种技术成熟的产品还是无法摆脱“摆渡”病毒的攻击。因此,国家保密局信息系统安全保密测评中心颁发的网闸类产品检测证书中明确注明“该产品不可用于互联网和网络之间的信息交换”。
3 双网物理隔离解决方案架构
除去地形图等国家秘密文件外,勘察设计企业商业秘密的保护也是极为迫切的要求。将操作地形图资料的计算机与内部工作网络和外部互联网隔离,内外两条网络之间通过有效的隔离设备和网络安全措施建立可信连接,既能满足国家保密局对于国家秘密的保护要求,又能满足公司内部与互联网之间的资源共享需要。
利用物理隔离网闸安装在工作内网核心交换机和外网核心交换机之间,对于公司内部业务使用的计算机和服务器等设备直接或通过级联设备连接到核心交换机,公司对外交流所用计算机或外网服务器直接或通过级联连接到外网核心交换机。内外网络间数据访问必须经过网闸的“摆渡”。这样,通过内外网之间的网闸不仅实现了两个网络间的物理隔离,还能满足内外网之间实时、适度、可控的内外网络数据交换和应用服务。比如:文件交换、数据库的数据交换与同步、HTTP/HTTPS标准访问、FTP服务、邮件服务等。
图1 基于网闸隔离的网络拓扑结构
通过安全隔离网闸可以对办公网络到外部网之间的传输数据和文件严格执行格式和内容检查,检查的内容可以包括内容检测、防恶意代码、防泄密、文件类型控制等。可以对浏览器中输入的各种关键词和敏感字符串进行限制,预防内网用户因访问外网网站时,在浏览器的访问请求中出现有意或无意泄密的可能。
在公司网络建设中对于地形图等高密级资料的使用必须采取单独网络或单机运行模式,同时出台相应的规章制度,对地形图资料的复制、传递进行严格的规范,并出台相应的惩罚措施,从公司制度层面对网络安全保密行为进行约束。
4 性能分析
物理隔离网闸通过双主机之间的物理断开来达到数据隔离的目的。内外主机间信息交换只能借助拷贝、镜像、反射等非网络方式来完成。另外,根据内外网间数据交换的具体情况还可以选择不同流向的单向或双向隔离网闸,实现更高级别的数据保密要求。市场上部分物理隔离网闸支持基于文件特征库的文件类型过滤和用户自定义关键字的文件内容筛查,可有效防止商业信息的无意泄漏。
应用物理隔离网闸的双网隔离解决方案具备如下优点。
1)屏蔽了内部的网络拓扑结构,屏蔽了内部主机的操作系统漏洞,消除了来自互联网上对网的攻击。
2)内部服务器不对外部网络提供任何端口,不允许来自任何互联网主机的主动请求,降低了自身风险。
3)通过严格的内容过滤和检查机制严防泄密。
4)可根据需要选择单项或双向数据流动方向,灵活性强。
但是,采用物理隔离网闸对内部工作网络和外部网络进行隔离较采用VPN隔离在费用方面不占优势,同时,涉及地形图的计算机部分仍需单独划分网络。
参考文献
[1]网络隔离的技术分析与安全模型应用[J].数据通信,2002(3):23-25.
在为人们提供便捷服务的同时,互联网应用也存在很多安全问题及威胁,如计算机病毒、变异木马等,利用大规模互联网集成在一起产生的漏洞攻击网络,导致数据泄露或被篡改,甚至使整个网络系统无法正常运行。随着网络接入用户的增多,互联网接入的软硬件资源也更多,因此对网络安全处理速度就会有更高的要求,以便能够提高木马或病毒处理速度,降低网络病毒的感染范围,积极的响应应用软件,具有重要的作用和意义。
2网络安全防御技术应用发展现状
目前,人们已经进入到了“互联网+”时代,面临的安全威胁也更多,比如木马病毒、DDOS攻击和数据盗窃等。互联网受到的攻击也会给人们带来严重的损失,比如勒索病毒攻击了许多的大型跨国公司、证券银行等,到这这些政企单位的办公电脑全都发生了蓝屏现象,用户无法进入到操作系统进行文件处理,勒索病毒要求这些单位支付一定额度的赎金才可以正常使用系统,导致许多公司损失了很多的资金。分布式服务器攻击(DDOS)也非常严重,模拟大量的用户并发访问网络服务器,导致正常用户无法登陆服务器。因此,为了提高信息安全,人们提出了防火墙、杀毒软件或访问控制列表等安全防御技术
2.1防火墙
防火墙是一种比较先进的网络安全防御软件,这种软件可以设计很多先进的规则,这些规则不属于互联网的传输层或网络层,可以运行于互联网TCP/IP传输协议栈,使用循环枚举的基本原则,逐个检查每一个通过网络的数据包,如果发现某个数据包的包头IP地址和目的地IP地址及包内容等存在威胁,就可以及时的将其清除,不允许通过网络。
2.2杀毒软件
杀毒软件是一种非常先进的程序代码,其可以查杀网络中存在的安全威胁,利用病毒库中一些收录的病毒或木马特征,判断互联网中是否存在这些类似的病毒或木马。杀毒软件采用了很多技术,如主动防御、启发技术、特征码技术、脱壳技术、行为分析等,这些都可以实时的监控访问互联网的运行状态,确保网络正常使用。目前,许多大中型企业都开发了杀毒软件,比如360安全卫士、江民杀毒、腾讯卫士、卡巴斯基等,取得了显著的应用成效。
3基于人工智能的网络安全防御系统设计
3.1系统功能分析
基于人工智能的网络安全防御系统利用机器学习或模式识别技术,从互联网中采集流量数据,将这些数据发送给人工智能模型进行分析,发现网络中是否存在网络病毒。具体的网络安全防御系统的功能包括以下几个方面:
3.1.1自动感知功能
自动感知是人工还能应用的一个重要亮点,这也是网络安全系统最为关键的功能,自动感知可以主动的分析互联网中是否存在安全隐患,比如病毒、木马等数据片段,利用这些片段特征实现网络病毒的判断。
3.1.2智能响应功能
人工智能在网络安全系统中可以实现智能响应,如果一旦发现某一个病毒或木马侵入网络,此时就需要按照实际影响范围进行智能度量,影响范围大、造成的损失较多就可以启用全面杀毒;影响范围小、造成的损失较少就可以启动局部杀毒,这样既可以清除网络中的病毒或木马,还可以降低网络的负载,实现按需杀毒服务。
3.2人工智能应用设计
人工智能在网络安全防御中的应用流程如下所述:目前互联网接入的设备非常多,来源于网络的数据攻击也非常多,比如DDOS攻击、网站篡改、设备漏洞等,因此可以利用人工智能技术,从根本上发现、分析、挖掘异常流量中的问题,基于人工智能的网络安全系统具有一个显著的特征,这个特征就是利用先进的机器学习技术构建一个主动化防御模型,这个模型可以清楚网络中的木马或病毒,能够有效的避免互联网受到攻击,也可以将这些病毒或木马牵引到一些备用服务器,在备用服务器上进行识别、追踪,判断网络病毒的来源,从而可以彻底根除后患。人工智能在网络安全防御中引入很多先进的杀毒技术,比如自我保护技术、实时监控技术,基于卷积神经网络、机器学习、自动审计等,可以自动化快速识别网络中的病毒及其变异模式,将其从互联网中清除,同时还可以自我升级服务。
4结束语
目前,互联网承载的应用软件非常多,运行积累了海量的数据资源,因此安全防御系统可以引入数据挖掘构建智能分析系统,可以利用人工智能等方法分析网络中是否存在一些病毒特征,即使这些病毒特征发生了变异,人工智能处理方法也可以利用先进的机器学习技术发现这些病毒的踪迹,从而可以更加准确的判断病毒或木马,及时的启动智能响应模块,将这些病毒或木马清除。人工智能在查杀的时候还可以按需提供服务,不需要时刻占据所有的负载,提高了网络利用率。
参考文献
[1]于成丽,安青邦,周丽丽.人工智能在网络安全领域的应用和发展新趋势[J].保密科学技术,2017(11):10-14.
[2]王海涛.基于大数据和人工智能技术的信息安全态势感知系统研究[J].网络安全技术与应用,2018(03):114-115.
关键词:校园无线网络 网络设计 方案
中图分类号:TP393.17 文献标识码:A 文章编号:1007-9416(2015)11-0000-00
以校园为研究项目。学校原有网络通过核心路由器AR46-20来做总网关限制,用H3C9500来做的核心区交换,在各个区域有5台核心交换机分别继续做扩展和延伸,通过OSPF动态路由进行连接。现有情况是在各个汇聚交换机下连接出来的设备已经非常多,并且这种有线网络的可扩展性已经严重不足。从不同角度把校园无线网络的整体设计过程做出具体阐述。
1 校园无线网络设计原则
(1)层次化。通过对整个校园网络的层次化的划分,按照不同层次的部署分别划分为数据核心层、流量汇聚层和应用接入层。(2)模块化。将整个校园网进行功能区域的划分,按照不同功能实现划分为不同的功能模块,每个模块完成各自的功能属性。(3)安全性。校园网络应具备高效的安全控制机制。接入校园网络的设备要进行统一认证,并按照接入用户的身份,按照不同的权限进行分区逻辑隔离;对核心业务则采取物理隔离的方式;对进出校园网的流量要进行识别、过滤,确保网络安全。
2 无线网络的组网架构的选择
无线网络架构设计一般而言包含了两大类的设计,也就是我们经常看到的网络工作模式的选择,一是独立工作模式,二是集中管理模式。这两种通常被称之为胖AP(FAT)和瘦AP(FIT)的工作模式的选择决定着我们这个校园无线网络的架设是否成功。对AP(FAT)和AP(FIT)两个工作模式进行分析,可以发现他们各有优势。对于FAT AP而言,它在小规模的无线网络架构中能够发挥很好的作用实现快速组网的需求,并且效果非常明显,能够在很短的时间内完成组网工作。对于自己网内的AP可以进行单独配置,单独设定IP来进行控制,但是如果遇到规模较大的网络的时候往往显得捉襟见肘,费时费力,需要对整个网络进行调节,比如充分新分配和重新配置AP设备等。而对于校园网络而言,为了增加管理效率,使网络管理员能够更好更高效的维护好校园网络,我们选择Fit AP模式来架构整个校园无线网络。通过Fit AP很好的无线网络控制器来对整个网络进行集中控制,在保证网络安全的同时,降低后期维护的成本,符合学校实际的工作需求。
3 校园无线网络的整体规划设计
3.1 无线网络网络拓扑结构选择
本次校园网络的架设以现有有线网络为基础,不会破坏现有网络的物理结构,通过精巧的设计使得整个布线过程符合当前学校网络设计的要求,把有线网络作为无线网络布设的参照点,在安装设施上面增加无线网络的布设点。同时做到弱电井和有线网络的共用,保证整个网络外观的一致性。在整个学校的无线网络架设中,我们对于整个网络进行了划分,利用现有有线网络为骨干,整个方案采用了12座建筑物和6台AC来进行管理,控制器选择的是WX5004型号的设备,以便对于整个网络进行分散式统一管理,具体的无线网络布设网络架构图,如图1所示。
3.2无线网络整体设计
针对学院自身特点和地形情况,我们决定整个校园网的无线网络整体架设方案采用三层网络设计结构来实现。下面我们来按照由用户到设备的次序来具体讨论,首先是无线用户接入层,主要用来允许用户的无线接入设备通过无线设备与Fit AP进行连接,提供服务的设备分为室内和室外两种设备型号进行选择,室内可以用WA2620设备,室外可以用同型号的室外专用大功率设备进行无线网络的无缝覆盖方案,通过两种方式的结合实现对于校园无线网络的全面覆盖。其次就是无线汇聚层,这里主要采用的是汇聚交换机来实现对于路由的汇聚功能,设备选择无线控制器WX5004来做集中管理。然后通过本层无线与有线的结合,把无线设备连接进入校园主干网络中。第三层也就是核心层,即骨干网络的管理,可以使用网络管理软件系统进行统一管理,包括互联网的联通、计费等功能。
通过以上三层的规划,使得整个校园网络的规划更加合理,布局更加细腻,安全性更高,同时层次感也更强,管理起来更加方便。
参考文献