第一篇:计算机网络毕业论文
湖南现代物流职业技术学院
论文题目:校园网络安全问题分析与对策
姓 名: 苏 剑
学 号: 091140018 专 业: 计算机网络
班 级: 计网0901班
联系方式: *** 指导老师: 李先红
完成时间:2011年11月10日
湖南现代物流职业技术学院
前 言
随着教育信息化的发展,计算机校园网络系统成为学校重要的现代化基础设施,为学校建设提供安全、可靠、快捷的网络环境,学校的学生思想教育、教学、科研、管理等对网络的依赖将越来越紧密。在学校市场化的竞争过程中,学校对信息的掌握程度、信息获取是否及时、信息能否得到充分的利用、对信息的反应是否敏感准确,已越来越成为衡量一个学校市场竞争能力的重要因素。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研的条件、加快学校的信息化发展、开展多媒体教学与研究,以及使教学多出人才,出高精尖人才,使科研多出成果,出一流成果,有着十分重要而深远的意义。同时,校园网在宣传学校、树立学校形象、吸引生源、提高管理水平和管理效率方面都有着不可替代的作用。当前各校面临市场的机遇与挑战,纷纷规划建设一流的学校。一流的学校必然要有一流的管理水平,一流的管理水平需要校园网的支持和配合。随着国民经济的发展,社会信息化、电子化水平的不断提高,这些作用将愈加显现。校园网的安全状况直接影响到这些活动的顺利进行,因此,保障校园网络信息安全已经成为当前各高校网络建设中不可忽视的首要问题。
【关键词】校园网络;网络安全与分析;安全策略;入侵检测;入侵防御
湖南现代物流职业技术学院
计算机网络的概念
校园网络的现状,1 高校教育信息系统的需求和目标
校园网络运行的特点
出现这些现象的原因
解决这些问题的方法并且分几类讲出来 这些方案的好处和劣
湖南现代物流职业技术学院
计算机网络的概念:
关于计算机网络的最简单定义是:一些相互连接的、以共享资源为目的的、自治的计算机的集合。
另外,从广义上看,计算机网络是以传输信息为基础目的,用通信线路将多个计算机连接起来的计算机系统的集合。从用户角度看,计算机网络是这样定义的:存在着一个能为用户自动管理的网络操作系统。有它调用完成用户所调用的资源,而整个网络像一个大的计算机系统一样,对用户是透明的。
一个比较通用的定义是:利用通信线路将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来,以功能完善的网络软件及协议实现资源共享和信息传递的系统
从整体上来说计算机网络就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互联成一个规模大、功能强的系统,从而使众多的计算机可以方便地互相传递信息,共享硬件、软件、数据信息等资源。简单来说,计算机网络就是由通信线路互相连接的许多自主工作的计算机构成的集合体。
计算机网络的功能:
计算机网络的功能主要表现在硬件资源共享、软件资源共享和用户间信息交换三个方面:
1.硬件资源共享。可以在全网范围内提供对处理资源、存储资源、输入输出资源等昂贵设备的共享,使用户节省投资,也便于集中管理和均衡分担负荷。
2.软件资源共享。允许互联网上的用户远程访问各类大型数据库,可以得到网络文件传送服务、远地进程管理服务和远程文件访问服务,从而避免软件研制上的重复劳动以及数据资源的重复存贮,也便于集中管理。
3.用户间信息交换。计算机网络为分布在各地的用户提供了强有力的通信手段。用户可以通过计算机网络传送电子邮件、发布新闻消息和进行电子商务活动。
计算机网络的发展前景:
1、全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络,将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好,用户将通过网站复制功能筛选网站,过滤掉与己无关的信息并将所需信息以最佳格式展现出来。同时,个人及企业将获得大量个性化服务。这些服务将会由软件设计人员在一个开放的平台中实现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落,同时允许人们自行选择接收信息的形式。
2、带宽的成本将变得非常低廉,甚至可以忽略不计。随着带宽瓶颈的突破,未来网络的收费将来自服务而不是带宽。交互性的服务,如节目联网的视频游戏、电子报纸和杂志等服务将会成为未来网络价值的主体。
3、在不久的未来,无线网络将更加普及,其中cnet:短距无线网络前景看俏。短距无线通讯标准Zigbee与超宽频UWB(Ultra wideband)即将制订完成,未
湖南现代物流职业技术学院
来将与蓝牙(Bluetooth)共同建构短距离无线网络环境,包括蓝芽、Zigbee与UWB等相关产品出货量都将大幅成长。随着电子电机工程师协会(IEEE)推出802.15个人局域网络(WPAN)标准后,新一代的短距离无线通讯发展趋势逐渐确定,除了蓝芽(802.15.1)外,Zigbee(802.15.4)与UWB(802.15.3a)标准也将于今年或明年初陆续通过,未来Zigbee与UWB将以各自不同特性,如速度、价格等切入短距离无线网络环境。
4、计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展,加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制。
从技术上,网络安全取决于两个方面:网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现线速的安全处理仍然将是网络安全发展的一个主要方向。
安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。
总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。
第二篇:计算机网络毕业论文
1.前言
计算机技术和通信技术的迅猛发展使得网络进入千家万户,网络日益成为人们工作、学习、生活的必备工具。在网络普及过程中,网速是网络技术和网络经营的关键。众所周知,网络带宽越宽,数据传输速率就越高,宽带技术应运而生。所谓宽带网络是指传输、交换和接入的宽带化。本文详细分析了宽带网的主干网技术和接入网技术,并对宽带技术的发展趋势进行了讨论。
1.主干网技术
宽带技术包括主干网技术和接入网技术。在过去的几年内,运营商将大量资金注入主干网,主干网已经基本实现了光纤化,传输速率可以达到千兆。
1.1 SONET(同步光纤网络)技术
ITU-T以SONET为基础,制定出国际标准同步数字系列SDH。一般可以认为SDH和SONET 是同义词。主干网的网络层服务可以大致分成三类:虚电路服务、数据报服务和ATM技术。虚电路服务是一种面向连接服务,通信过程包括建立连接、数据传输和释放连接。
1.2虚电路服务
虚电路提供的是可靠服务,因此,基于X.25协议和帧中继等虚电路服务的网络可靠性较好。但是由于虚电路传输效率较低,目前常用网络层协议是基于另一类数据报服务的IP协议。数据报服务是基于存储转发机制的无连接服务,虽然服务质量不可靠,但其最大优点是传输效率高,这也是IP协议能够一统天下的原因。
1.3 ATM信元交换技术
ATM是综合了电路交换和分组交换的特点产生,能够提供可靠服务和较高的传输速率,美中不足的是其协议复杂,交换设备昂贵,实际网络中使用不多。
2.接入网技术
接入网的概念从建立电话网开始就存在,宽带网的出现使得接入网作用尤为突出。接入网是连接用户终端设备和某种业务网网络节点之间的网络设施,即用户交接设备之后到用户引入线之前,仅提供通道而不具备交换功能的通信设备网络。
如前所述,宽带主干网已经基本实现光纤化,其带宽可满足当前的通信需要,但大部分的接入网仍然停留在以电话交换为主的水平上。接入网的传输速率普遍比较低,成为制约宽带网络发展的瓶颈。于是,近年来出现了多种接入网技术。接入网作为网络的一部分同样可以使用主干网的协议,如有些接入网也才采用帧中继等技术。这里主要讨论目前发展比较迅速的几种宽带技术。2.1 ISDN(综合业务数字网)
ISDN是在综合数字电话网(IDN)基础上发展起来的,提供端到端数字通信。ISDN的开通范围比ADSL和LAN接入都要广泛得多,所以对于那些没有宽带接入的用户,ISDN似乎成了惟一可以选择的高速上网的解决办法,毕竟128kbps的速度比拨号快多了;ISDN和电话一样按时间收费,所以对于某些上网时间比较少的用户(比如每月20小时以下的用户)还是要比使用ADSL便宜很多的。另外,由于ISDN线路属于数字线路,所以用它来打电话(包括网络电话)效果都比普通电话要好得多。它通过普通的铜缆以更高的速率和质量传输语音和数据。ISDN是欧洲普及的电话网络形式。GSM移动电话标准也可以基于ISDN传输数据。因为ISDN是全部数字化的电路,所以它能够提供稳定的数据服务和连接速度,不像模拟线路那样对干扰比较明显。在数字线路上更容易开展更多的模拟线路无法或者比较困难保证质量的数字信息业务。例如除了基本的打电话功能之外,还能提供视频、图像与数据服务。ISDN需要一条全数字化的网络用来承载数字信号(只有0和1这两种状态),与普通模拟电话最大的区别就在这里它在用户和ISDN之间建立一条数字比特管道,使用时分复用方式支持多个独立的通路(channel)。窄带ISDN 定义的标准化通路有B通路(64kbit/s的数字PCM话音或数据),D通路(16kbit/s或64kbit/s用作带外信令)。
ITU-T规定的标准化组合有两种:(1)基本速率2B+D=144kbit/s,其中一个B通路用于传输话音,一个用于传输数据,D通路为16kbit/s。(2)一次群速率23B+D或30B+D,分别对应T1标准(1.544Mbit/s)和E1标准(2.048Mbit/s)。
由于N-ISDN难以适应宽带需求,继而在ATM技术的基础上出现了宽带ISDN(B-ISDN)。B-ISDN将话音、数据、图像及视频信号集中在一个网络传输,就是通常所说的“一线通”。B-ISDN采用ATM技术,用户环路和干线都采用光缆。由于ATM技术没有得到广泛的应用,B-ISDN使用的也很少。
2.2 HFC(混合光纤同轴网)
HFC利用具有巨大带宽的广播电视网,铺设光纤到服务区,用户的“最后一公里”采用同轴电缆。光纤部分的光分配节点(ODU)到头端(HEAD)是星型连 3 接,光结点到用户这段同轴电缆是树型连接,在美国围绕一个光结点的同轴网络可以连接500个用户。
用户使用Cable modem利用同轴电缆连接到光结点,接入HFC网络。由HFC网接入有线电视网(Cable TV), 最后由有线电视网和Internet高速相连。Cable modem 和一般modem原理相似,都是进行频谱搬移。Cable modem将计算机的数据信号调制到某个频带范围后占用有线电视带宽传输。但是Cable Modem 本身又不是单纯的调制解调器,它集Modem、调谐器、加解密设备、桥接器、网络接口卡、SNMP代理和以太网集线器等功能为一身。
HFC的上行速率一般在200kbit/s到2Mbit/s之间,最高可达10Mbit/s。下行速率一般在3Mbit/s到10Mbit/s,最高可达到36Mbit/s。
同轴电缆带宽要比电话线带宽宽很多,在有线电视网络比较发达的地区,HFC是一种很好的宽带接入方式。但是传统有线电视网是单向的,用于上网就要对原有线路进行双向改造,需要一定费用。
2.3 ADSL(非对称数字线路)ADSL是一种异步传输模式(ATM)。也是DSL(数字用户线路)的统称,是以铜电话线为传输介质的点对点传输技术。
在电信服务提供商端,需要将每条开通ADSL业务的电话线路连接在数字用户线路访问多路复用器(DSLAM)上。而在用户端,用户需要使用一个ADSL终端(因为和传统的调制解调器(Modem)类似,所以也被称为“猫”)来连接电话线路。由于ADSL使用高频信号,所以在两端还都要使用ADSL信号分离器将ADSL数据信号和普通音频电话信号分离出来,避免打电话的时候出现噪音干扰。
通常的ADSL终端有一个电话Line-In,一个以太网口,有些终端集成了ADSL信号分离器,还提供一个连接的Phone接口。
某些ADSL调制解调器使用USB接口与电脑相连,需要在电脑上安装指定的软件以添加虚拟网卡来进行通信。xDSL包括HDSL(高速数字用户线)、SDSL(对称数字用户线)、ADSL(非对称数字用户线)、VDSL(甚高比特率数字用户线)等多种类型。目前宽带市场主要使用ADSL技术。
ADSL使用普通电话线作为传输介质,利用ADSL Modem 将计算机的数据信号调制到一定的频带后再与原有电话信号复用同一条普通电话线传输。ADSL 利用ADSL Modem将电话线分成三个信息通道:一个速率为1 Mbps到9Mbps的高速下行通道;一个速率为16kbps到1Mbps的中速双工通道,用于ADSL控制信号的传输和上行信息;一个普通3k带宽的电话通道。这三个信息通道可以同时工作。
当前 ADSL调制解调设备一般采用 3种线路编码技术,抑制载波幅度和相位(carrier-less amplitude and phase, CAP),离散多音复用(discrete multitone, DMT),以及离散小波多音复用(discrete wavelet multitone, DWMT)。其中 CAP的基础是正交幅度调制(QAM)。在 CAP中,数据被调制到单一的载波上;而在 DMT中,数据被调制到多个载波上,每个载波上的数据都使用 QAM调制。DMT中使用快速傅里叶变换进行数字信号处理,而在 DWMT中使用小波变换。ADSL技术目前还存在一些问题,如电缆中不同线路信号之间相互串扰及线路质量问题等。目前,ADSL 的主要应用方式有两种:
(1)交换局端到用户间直接使用ADSL。这种方式直接使用原有电话线路,成本比较低。利用ADSL Modem可以有效的将话音与数据业务流量分离,数据业务直接分流到数据网络中,缓解了用户上网负荷对电话交换网的压力。但是这种方式的数据传输率不是很高,一般提供512kbps和284kbps 两种。(2)FTTx+ADSL方式。这种方式的铜电话线比较短,其他线路采用光纤,可以达到较高的传输速率。
2.4 LAN(宽带以太网方式)
以太网是目前广泛被采用的一种局域网技术,其技术成熟、安装简单、设备便宜。随着千兆以太网和万兆以太网技术的逐渐成熟,以太网已经占有了80%的局域网市场。
宽带以太接入网一般采用光缆+双绞线的方式对社区进行综合布线。小区内用户先用集线器组成一个简单的以太网,然后接入光纤干线。双绞线总长度 一般不超过100米,线路距离短,因而线路质量可以得到更好保障。LAN方式的宽带服务一般是吉比特光纤进小区,百兆光纤到楼,10/100M到户的模式,虽然实际传输速度不能达到那么高,但传输速率基本可以满足用户的各种需求。
由于接入网是一个公用网络环境,其要求与一般局域网的私有网络环境有很大不同,它仅借用了以太网的帧结构和接口,与一般局域网的差别主要在用户管理、安全管理、业务管理、计费管理及安全管理等方面。
目前主要占有宽带接入网市场的是ADSL和LAN接入技术。这两种技术各有利弊。
从速度上来说,LAN方式用户组成的以太网采用争用信道协议,上网速度受到集线器和用户数量的影响。集线器所连用户越多,上网速度就越慢。可以看出,集线器和交换设备也是制约网速的一个瓶颈。但总的来说,LAN方式是目前几种宽带接入方式中速度最快的一种。ADSL的速度比LAN方式要慢,在传输视频信息时(如观看网络电视等)质量不好。
从安装的角度来说,ADSL建立在原有普通电话线基础上,安装方便,比较适合家庭或小型业务单位使用。以太网方式适合于用户比较密集的小区或单位,使用前需要重新铺设线路。
在抗干扰方面,由于采用光纤接入,LAN方式比普通电话线上传输数据的ADSL方式干扰要小。
从费用上说,以太网方式的初装费一般高于ADSL,而且以太网一般采用包月方式,ADSL一般按照若干小时为单位计费。因此,ADSL更适合那些偶尔上网的用户。
3.发展方向
近年来,宽带主干网基本实现了光纤化,其速度可以承载任何服务。接入网的速度就成了网络发展的瓶颈。今后几年内,接入网建设是宽带网络发展的重点。尽管每一个宽带服务商都强调自己的宽带接入方式最先进、最便捷,但实际各种接入方式理论上所能达到的数值和用户的实际使用效果存在巨大差距。因此,进一步增加接入带宽,降低上网费用,提高网络服务质量是一 6 个重要发展方向。对于宽带接入网来说,实现光纤到户是最终的目标,以上讨论的各种接入方式只是过渡期中出现的技术。
宽带网络的另一个发展方向是多网融合,在一个网络内传输语音、文字、图像、视频等各种信息,最终实现将电话网、有线电视网及计算机网络融为一体。
随着网络的普及,人们越来越依靠网络传输一些秘密信息,网络安全一直是研究热点。宽带网络也不可避免的要重视网络安全问题。
第三篇:计算机网络毕业论文
浅谈计算机网络安全及建设
摘 要 : 本文简要介绍了计算机网络安全的体系结构,分析了网络安全的设计原则,讨论了计算机网络的安全策略、管理原则以及网络各层的安全设计,最后提出了网络安全产品的选型原则。
关键词 : 计算机 ; 网络 ; 安全; 建设
信息是当今社会发展的重要资源,整个社会对信息的依赖程度越来越高。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性,但竞争已迫使各机构打破原有的界限,在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间,并在相互协作的环境中孕育出更多的革新和创造。然而,在群件系统中共享的信息却必须保证其安全性,以防止有意无意的破坏,因此,网络安全成为一个重要的问题。
1、网络安全体系结构
通过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标,具体的安全控制系统可以可以分为:物理安全、系统安全、网络安全、应用安全、管理安全等几个方面。
1.1.物理安全 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络的物理通路不被损坏、不被窃听以及不被攻击和干扰等。它主要包括三个方面:环境安全、设备安全、媒体安全。正常的防范措施主要在三个方面: 对主机房及重要信息存储、收发部门进行屏蔽处理,防止信号外泄; 对本地网、局域网传输线路传导辐射的抑制; 对终端设备辐射的防范。
1.2 系统安全 分为网络结构安全、操作系统安全、应用系统安全。网络结构的安全主要指网络拓扑结构是否合理、线路是否有冗余、路由是否冗余、防止单点失败等。对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件使用权限进行严格限制、加强口令字的使用,并及时给系统打补丁、系统内部的相互调用不对外公开等; 通过配备安全扫描系统对操作系统进行安全性扫描,及时发现安全漏洞,并有效地对其进行重新配置或升级。在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号、加强登录身份认证,确保用户使用的合法性、并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
1.3 网络安全 网络安全是整个安全解决方案的关键,通过访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别进行。隔离与访问控制可通过严格的管理制度、划分虚拟子网(VLAN)、配备防火墙来进行。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路由的情况下,不同虚拟子网间是不能够互相访问。防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。它通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制;并且可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。通信保密是使得在网上传送的数据是密文形式,而不是明文。可以选择链路层加密和网络层加密等方式。入侵检测是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。网络扫描系统可以对网络中所有部件(Web 1
站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。病毒防护也是网络安全建设中应该考滤的重要的环节之一,反病毒技术包括预防病毒、检测病毒和杀毒三种技术。1.4 应用安全 表现在内部OA系统中资源共享和信息存储等方面。严格控制内部员工对网络共享资源的使用,在内部子网中一般不要轻易开放共享目录,对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份,通过网络备份系统,可以对数据库进行远程备份存储。
1.5 构建CA(Certification Authority)体系 针对信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥(Public Key)与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。根据机构本身的特点,可以考滤先构建一个本系统内部的CA系统,即所有的证书只能限定在本系统内部使用有效。随着需求的发展,可以对CA系统进行扩充,与国家级CA系统互联,实现不同企业间的交叉认证。
1.6 安全管理 通过制定健全的安全管理体制、构建安全管理平台、增强人员的安全防范意识来进行。制定健全的安全管理体制是网络安全得以实现的重要保证;各部门应经常对员工进行网络安全防范意识的培训,全面提高员工的整体网络安全防范意识。构建安全管理平台将会降彽很多因为无意的人为因素而造成的风险,组建安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统一管理软件,通过安全管理平台实现全网的安全管理。
2、网络安全体系的建设
2.1 安全体系设计原则
1).需求、风险、代价平衡分析的原则 : 对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2).综合性、整体性原则 : 运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节,它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。
3).一致性原则 : 这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑要容易,而且花费也少得多。
4).易操作性原则 : 安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。
5).适应性、灵活性原则 : 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。
6).多重保护原则 : 任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。2.2 网络安全风险分析
网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些 2
威胁可能造成总体功能的失效。网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。2.3 网络安全策略
安全策略分安全管理策略和安全技术实施策略两个方面:
1).管理策略 安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。
2).技术策略 技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。
2.4 安全管理原则
计算机信息系统的安全管理主要基于三个原则,即多人负责原则、任期有限原则、职责分离原则。制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。2.5 网络安全设计
由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。
物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。
在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。
在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。2.6 安全产品选型原则
在进行网络安全方案的产品选型时,要求安全产品至少应包含以下功能:
·访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
·检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
·攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。· 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。· 认证:良好的认证体系可防止攻击者假冒合法用户。
· 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
· 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。· 隐藏内部信息:使攻击者不能了解系统内的基本情况。
· 设立安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。
3、小结
总之,网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点和方法分析和解决网络的安全问题。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施,即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构,这样才能真正做到整个系统的安全。
参考文献
〔1〕谢希仁,计算机网络[M].北京:电子工业出版社,1999 〔2〕王启智,实用unix和internet安全技术[M].北京:电子工业出版社,1999
第四篇:计算机网络毕业论文
计算机网络故障及解决方法
1、绪论.......................................................................................................2 1.1课题背景及目的............................................................................2 1.2计算机网络概述............................................................................3 1.3常见计算机网络故障分类及影响................................................3
2、常见计算机网络故障的判断..............................................................5 2.1 解决计算机网络故障的意义.....................................................5 2.2计算机网络故障的分类................................................................5 2.3 网络诊断的各种工具.................................................................8 3常见计算机网络故障的解决方法.......................................................10 3.1 解决网络故障的理论基础(基本原理)...............................11 3.1.2网络通信协议...........................................................................12 3.1.3 CISCO路由器和交换机...........................................................14 3.2 解决故障的工作步骤...............................................................15 3.3 网络安全...................................................................................18 3.4 解决计算机网络故障的实例...................................................20 结语.....................................................................................................28 致 谢 词...................................................................................................29 参考文献...................................................................................................29
摘
要
简单介绍网络及路由器的基本概念,简述网络分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除。
关键词: 网络 互联网 路由器 故障诊断
1、绪论
1.1课题背景及目的
从国际上看,军用网络管理与故障诊断已经经历了从无到有的过程,现在正在从初级到高级,从不完善到完善,从集中到分散的目标发展。实现故障诊断的科学化、规范化已经成为影响网络持续、高速、健康发展的重大问题。在美军《2010年联合构想》中,首次把通信故障管理作为与“主宰机动、精确打击、全维防护”相并列的四大作战原则之一。
在民用方面,具有代表性的研究团体是IBM公司。他于2001年4月宣布开展eliza计划。该项目的目标是开发出像“蜥蜴”一样灵敏、警觉、反应迅速、并具有强大自我保护能力的网络计算系统。IBM公司将在未来数年间投入累计达数十亿的资金,并在全球建立5个实验室,调用数百名研发人员及科学家用于开发服务器的自主运算。这种智慧型未来计算机具有高度灵敏安全警觉设计、高度平衡负载功能、易于管理且具备主动思考规划能力,以适应未来的Internet和新时代电子商务的应用。微软、惠普、Sun、Oracle、Intel等公司也已经加入到了该研究领域中。1.2计算机网络概述
1、计算机网络是由计算机集合加通信设施组成的系统,即利用各种通信手段,把地理上分散的计算机连在一起,达到相互通信而且共享软件、硬件和数据等资源的系统。计算机网络按其计算机分布范围通常被分为局域网和广域网。局域网覆盖地理范围较小,一般在数米到数十公里之间。广域网覆盖地理范围较大,如校园、城市之间、乃至全球。计算机网络的发展,导致网络之间各种形式的连接。采用统一协议实现不同网络的互连,使互联网络很容易得到扩展。因特网就是用这种方式完成网络之间联结的网络。因特网采用TCP/IP协议作为通信协议,将世界范围内计算机网络连接在一起,成为当今世界最大的和最流行的国际性网络。
1.3常见计算机网络故障分类及影响
网络故障诊断应该实现三方面的目的:
确定网络的故障点,恢复网络的正常运行;
发现网络规划和配置中欠佳之处,改善和优化网络的性能;
观察网络的运行状况,及时预测网络通信质量。
网络故障诊断以网络原理、网络配置和网络运行的知识为基础。从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行。网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层CISCO IOS或网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信正常为止。
网络诊断可以使用包括局域网或广域网分析仪在内的多种工具:路由器诊断命令;网络管理工具和其它故障诊断工具。CISCO提供的工具足以胜任排除绝大多数网络故障。查看路由表,是解决网络故障开始的好地方。ICMP的ping、trace命令和Cisco的show命令、debug命令是获取故障诊断有用信息的网络工具。我们通常使用一个或多个命令收集相应的信息,在给定情况下,确定使用什么命令获取所需要的信息。譬如,通过IP协议来测定设备是否可达到的常用方法是使用ping命令。ping从源点向目标发出ICMP信息包,如果成功的话,返回的ping信息包就证实从源点到目标之间所有物理层、数据链路层和网罗层的功能都运行正常。如何在互联网络运行后了解它的信息,了解网络是否正常运行,监视和了解网络在正常条件下运行细节,了解出现故障的情况。监视那些内容呢?利用show interface命令可以非常容易地获得待检查的每个接口的信息。另外show buffer命令提供定期显示缓冲区大小、用途及使用状况等。Show proc命令和 show proc mem命令可用于跟踪处理器和内存的使用情况,可以定期收集这些数据,在故障出现时,用于诊断参考。网络故障以某种症状表现出来,故障症状包括一般性的(象用户不能接入某个服务器)和较特殊的(如路由器不在路由表中)。对每一个症状使用特定的故障诊断工具和方法都能查找出一个或多个故障原因。
2、常见计算机网络故障的判断 2.1 解决计算机网络故障的意义
世纪之交,全球因特网高速发展。抓住机遇,迎接挑战,我国的网络建设方兴未艾。政府上网工程拉开序幕,网络建设的新高潮已经到来。网络诊断是管好、用好网络,使网络发挥最大作用的重要技术工作之一。本文首先简单介绍网络及路由器的基本概念,简述分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除。
2.2计算机网络故障的分类 2.2.1 计算机网络故障的分类
虽然有各式各样的网络故障,但所有的故障总体可分为物理故障与逻辑故障,也就是通常所说的硬件故障与软件故障。
硬件故障与软件故障
硬件故障有网卡、网线、集线器(Hub)、交换机、路由器等。软件故障中最常见的情况就是网络协议问题或因为网络设备的配置原因而导致的网络异常或故障。
计算机网络故障判断步骤 ①首先要检查网卡是否正常。
每块网卡都带有LED指示灯,位置一般在主机箱的背面,绿灯表示连接正常有的绿灯和红灯都要亮,红灯表示连接故障,不亮表示无连接或线路不通。根据数据流量的大小,指示灯会时快时慢的闪烁。正常情况下,在不传送数据时,网卡的指示灯闪烁较慢,传送数据时,闪烁较快。
②连接计算机与其他网络设备的跳线、网线是否畅通。网络连线的故障通常包括网络线内部断裂、双绞线、RJ-45水晶头接触不良。可用测线器检测。
③两边的RJ-45头是否插好。④信息插座是否有故障。故障原因
虽然故障原因多种多样,但总的来讲不外乎就是硬件问题和软件问题,说得再确切一些,这些问题就是网络连接性问题、配置文件选项问题及网络协议问题。
1、网络连接性
网络连接性是故障发生后首先应当考虑的原因。连通性的问题通常涉及到网卡、跳线、信息插座、网线、Hub、Modem等设备和通信介质。其中,任何一个设备的损坏,都会导致网络连接的中断。连通性通常可采用软件和硬件工具进行测试验证。例如,当某一台电脑不能浏览Web时,在网络管理员的脑子里产生的第一个想法就是网络连通性的问题。到底是不是呢?可以通过测试进行验证。看得到网上邻居吗?可以收发电子邮件吗?ping得到网络内的其他电脑吗?只要其中一项回答为“yes”,那就可以断定本机到Hub的连通性没有问题。当然,即使都回答“No”,也不就表明连通性肯定有问题,而是可能会有问题,因为如果电脑的网络协议的配置出现了问题也会导致上述现象的发生。另外,看一看网卡和Hub接口上的指示灯是否闪烁及闪烁是否正常也是个不坏的主意。
排除了由于电脑网络协议配置不当而导致故障的可能后,就应该查看网卡和Hub的指示灯是否正常,测量网线是否畅通。
2、配置文件和选项
服务器、电脑都有配置选项,配置文件和配置选项设置不当,同样会导致网络故障。如服务器权限的设置不当,会导致资源无法共享的故障。电脑网卡配置不当,会导致无法连接的故障。当网络内所有的服务都无法实现时,应当检查H ub。
2.2.2计算机网络故障的表现症状
1、连通性故障 故障表现
连通性故障通常表现为以下几种情况:
电脑无法登录到服务器;
②电脑无法通过局域网接入Internet; ③电脑在“网上邻居”中只能看到自己,而看不到其他电脑,从而无法使用其他电脑上的共享资源和共享打印机;
④电脑无法在网络内实现访问其他电脑上的资源;
⑤网络中的部分电脑运行速度异常的缓慢。
2、故障原因
以下原因可能导致连通性故障:
①网卡未安装,或未安装正确,或与其他设备有冲突;
②网卡硬件故障;
③网络协议未安装,或设置不正确;
④网线、跳线或信息插座故障;
2.3 网络诊断的各种工具 2.3.1、软件工具ping
ping无疑是网络中最频繁的小工具,它主要用于确定网络的连通性问题。Ping程序使用ICMP(网际消息控制协议)协议来简单地发送一个网络数据包并请求应答,接收到请求的目的主机再次使用ICMP发回相同的数据,于是ping便可对每个包的发送和接收时间进行报告,并报告无影响包的百分比,这在确定网络是否正确连接,以及网络连接的状况(包丢失率)十分有用。Ping是Windows操作系统集成的TCP/IP应用程序之一,可以在“开始-运行”中直接
执行(如图1)。
图1 Ping操作
(1)命令格式:
ping主机名 或者 ping 主机名 –t
ping IP地址 或者 ping IP地址 –t
(2)ping命令的应用
ping本地计算机名(即执行操作的计算机)
如ping liu或 ping本地IP地址
如ping127.0.0.1(任何一台计算机都会将要27.0.0.1视为自己的IP地址)
可以检查该计算机是否安装了网卡;是否正确安装了TCP/IP协议;正确配置了IP地址和子网掩码或主机名。(3)使用Ping命令后出现的常见错误
出错信息通常分为四种:
①Unknown host
Unknown host(不知名主机),这种出错信息的意思是,该远程主机的名字不能被命名服务器转换成IP地址。故障原因可能是命名服务器有故障,或者其名字不正确,或者网络管理员的系统与远程主机之间的通信线路故障。这种情况下屏幕将会提示:
C:windows>ping www.xiexiebang.com,正常情况下会出现该网址所指向的IP地址,这表明本机的DNS设置正确而且DNS服务器工作正常,反之就可能是其中之一出现了故障。
这几步执行完毕后,网络中的故障所在点就已明确,我们就可以正确的解决问题了。结语
网络发生故障是不可避免的。网络建成运行后,网络故障诊断是网络管理的重要技术工作。搞好网络的运行管理和故障诊断工作,提高故障诊断水平需要注意以下几方面的问题:认真学习有关网络技术理论;清楚网络的结构设计,包括网络拓朴、设备连接、系统参数设置及软件使用;了解网络正常运行状况、注意收集网络正常运行时的各种状态和报告输出参数;熟悉常用的诊断工具,准确的描述故障现象。
致 谢 词
我能够比较顺利的完成网络安全漏洞防范措施这一论文,得益于很多老师和同学的关心和帮助!首先我要感谢我的指导老师——胡江涛老师,还有我们的系领导支持。是您们给我创造了实战的机会;在整个论文书写的过程中,胡老师一直给我悉心的指导和帮助。使我受益非浅。也要感谢对我完成本次论文提出宝贵意见的其他同学!
参考文献
[1] 作 者:周炎涛《计算机网络实用教程(第2版)》出 版 社:电子工业出版社
[2]作 者:李艇 《网络安全与认证》出版社:重庆大学出版社 [3]作 者:杨富国等 《网络设备安全与防火墙》出版社:北方交通大学出版社
第五篇:计算机网络毕业论文完全
物理电气信息学院网络工程网络安全论文
防火墙技术在高校图书馆网络中的应用
专 业:网络工程 姓 名: 学 号: 任课老师:
网络工程
摘要:随着网络的发展,图书馆网络在高校图书文献资料的检索等方面具有重要的作用,但是与此同时,图书馆网络也存在安全隐患。为了有效的提高图书馆网络的安全性,配置防火墙技术是一种很现实的选择。本文阐述了高校图书馆建设防火墙的必要性,通过具体介绍防火墙在图书馆网络中的应用实例,分析了图书馆网络的现状和问题,提出了解决方案关探讨。
关键词:高校图书馆;网络安全;防火墙技术;局域网;安全措施
随着计算机网络技术的发展,计算机安全问题日益突出,提高Internet 安全性的要求迫在眉睫。作为高校信息资源中心的图书馆,承担着校园网内绝大多数的数据传输和信息发布,如宁夏大学图书馆局域网经过结构化布线,采用先进的网络设备、服务器、小型机,与校园网、Internet 相联接,为读者提供网上浏览、信息查询、数据库检索、信息咨询等项服务,为教学和科研服务提供重要保障,因而提高网络安全成为当前高校图书馆的一个重要任务。高校图书馆防火墙建设的必要性
从目前我国高校图书馆的情况来看,图书馆多处于开放的网络环境中,所有重要的数字资源都要通过网络存储和传输。由于网络系统的多样性、复杂性、开放性、终端分布的不均匀性,这一过程极易遭到黑客、恶性软件或非法授权的入侵与攻击,导致信息泄漏、信息窃取、数据增删和计算机病毒等问题。图书馆若不能及时保障网络安全,就不能获取信息化的效率和效益,不能更好地为读者服务。要使图书馆数字资源被充分利用而不受外来侵犯,防火墙技术就是很好的解决方案之一。
图书馆防火墙是一个位于局域网与Internet之间的计算机或网络设备中的功能模块,是按照一定安全策略建立起来的硬件和软件相结合的一种技术。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。防火墙可以提供身份认证和访问控制, 通过检测、限制和更改跨越防火墙的数据流来尽可能地隔离风险区域与图书馆局域网的连接;可以按照事先规定好的配置和规则, 监测所有通向外部网和从外部网传输来的信息,只允许授权数据通过;可以记录有关的联接来源以及试图闯入者的任何企图,从而方便图书馆系统管理员的实时监测、控制,以维护内部网络的安全。
第1页
网络工程
校图书馆防火墙拓扑结构 图书馆网络现状分析与解决方案
2.1 图书馆网络存在的问题
近年来,西北大学图书馆经过不断的改造和更新网络,确定了目前使用中的星型拓扑组网方式,所有网络线缆汇聚至2 层主机房,服务器、网络设备均部署2 层主机房,Internet 及教育网出口设置在网络中心。整个网络覆盖了图书馆5 层,千兆光缆上连至网络中心,百兆至桌面,图书馆信息管理系统等服务器连接至锐捷S3550-24G 千兆交换机,为内外网访问图书馆对外服务提供了充足的带宽。
从图书馆网络现状及拓扑结构可以看出,虽然该网络采用了一定的分层结构,并且通过三层交换机隔离了一定的网络广播,但是该网络在没有任何安全措施的情况下接入到校园网,同时又为互联网提供信息检索服务。这样很容易造成以下弊端:(1)非法使用图书馆数字资源,包括对计算机系统资源、网络连接服务等的滥用和盗用;(2)毁坏数据,修改页面内容或链接,对网络设备信息轰炸,造成服务中断等;(3)无限制地免费使用数据通信网络,造成网络堵塞,有的第2页
网络工程
则是直接入侵Web 和其他文件服务器,删除或篡改数据,造成系统瘫痪;(4)通过校园网向服务器区域的服务器发起攻击行为,导致服务器崩溃或感染病毒。一旦攻击者利用图书馆的服务器上传木马等计算机病毒,基于图书馆服务器的巨大访问量(80 万次以上/ 年),计算机病毒将会在极短的时间内感染大量的用户主机,对学校的声誉,以及校园网络的正常运行造成巨大的影响;(5)图书馆内部如果没有采取很好的隔离措施,一旦一台计算机感染了病毒,病毒将会通过网络很快感染到图书馆网络中的所有主机,造成的最大影响就是由于服务器染毒无法继续提供服务,从而使图书馆的业务遭受严重的影响。2.2 解决方案 2.2.1 方案设计原则
为了保证系统能够最大限度满足图书馆网络建设需求,同时在最大限度保护原有投资的前提下,不断利用迅速发展的计算机网络技术和产品。在设计实施方案中,我们必须充分考虑先进性、安全性、可靠性、可扩展性和易管理性等系统建设原则。(1)先进性
设计方案要充分考虑图书馆网络建设的实际使用需求,在技术选型、设备选型、高可靠性设计、安全性设计、业务实现和网络管理等方面具有一定的先进性。(2)高可靠性
对于网络设备本身的冗余均采用电信级冗余电源设计,并且提供多种冗余技术,在网络设备的不同层次提供增值的冗余设计,以提高整个网络高可靠的性能。(3)可扩展性
为适应图书馆业务的发展、需求的变化、先进技术的应用,应采用模块化设计,采用高密度端口网络设备,具备三层路由功能,使其具备平滑升级能力。
第3页
网络工程
宁夏大学图书馆计算机网络示意图
(4)安全性
在安全性方面,遵循国际通行和国家信息安全主管部门制定的各项标准。(5)可管理性
使整个网络设备具有远程管理能力,灵活、方便地进行管理控制。2.2.2 方案设计思路(1)网络安全设计
目前图书馆未部署网络安全设备,服务器直接暴露在校园网中,很容易遭受来自内外网的非法攻击,造成服务器无法正常对外提供服务。所以需要在图书馆出口处部署千兆防火墙一台,同时设置服务器DMZ 区,在保护内网的同时,防御来自内外网对服务器区的攻击。将图书馆的所有信息及网络资源按照职能的不同划分成四个安全区域:服务器区域、阅览室区域、办公区域以及其它区域。
(2)针对不同区域的特点设定相应的安全访问控制策略。例如:服务器区域不允许主动发起向其他区域的连接,其他区域不允许发起向服务器区域的除了80 端口外的其他连接。不允许任何区域主动向阅览室区域、办公区域发起主动连接。(3)在防火墙上开启防御DOS/DDOS 攻击功能。
第4页
网络工程
(4)将图书馆与网络中心升级为三层结构,图书馆到网络中心启用静态路由,减少网络设备所维护的ARP 列表,将图书馆内网的广播终结至核心交换机,增强了网络设备的转发性能。不再全部使用或限制使用原来校园网所分配的IP 地址段,改用内部私有IP 地址。通过防火墙的NAT 与反向NAT 技术将内部主机的IP 地址完全隐藏。2.2.3 整体技术方案实现
根据上述设计原则和思路,结合具体情况和信息安全工作经验,我们通过防火墙来实现一个初步的安全隔离与访问控制,从而实现整个网络的安全运行。网络升级改造后拓扑如下:
宁夏大学图书馆计算机网络示意图 对解决方案的优势分析与应用
通过以上的安全设置,图书馆将会具有初步的安全防护功能,外部人员对服务器的攻击可能与成功率将会从原来的100%降低到2%。计算机病毒的传播速度将会由原来的全网快速传播变为区域内快速传播,将计算机病毒的危害性降低一个水
第5页
网络工程
准。服务器群将会有一定的抵御DOS/DDOS 攻击的能力,将业务系统的连续运营与服务可靠性提升了一个台阶。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。当网络面临入侵时,防火墙是网络的第一道屏障。防火墙是由软件和硬件设备组合而成,处于核心交换机与互联网之间,限制外界用户对内部网络未授权的访问,管理内部用户访问外界网络的权限。
目前在防火墙上采取的安全措施主要有:(1)使用地址映射NAT技术
内网访问外网通过防火墙NAT 转换,NAT 转换将图书馆局域网内的私有IP 地址映射到一个公共的合法IP 地址上,不但节省了IP 资源,而且每个内部网络的真实IP 地址得以隐藏。只要防火墙的地址转换表不被窃取,黑客就不可能知道内网IP 及其所对应的全局IP 和他们的转换规则,因此无法向内网发送攻击数据包,他们要想对内网进行攻击的企图难以实现,有效地降低了黑客入侵的成功率。
地址映射NAT示意图
(2)设置访问策略
制定限制网络访问的策略,不同级别的人允许访问不同的资源,服务器只提供有限的、有用的服务,关闭其他所有服务。策略的设置包括允许与禁止。在防火墙上设置的策略有:允许外网访问某网站,该网站只开放80(HTTP)端口,关闭其
第6页
网络工程
它所有端口,允许网管对某服务器进行下载、远程登录等维护,相应开放该服务器的21(FTP)、23(TELNET)等端口,禁止外网访问内网等。
(3)关闭病毒常用端口
防火墙虽然不是专业的防病毒系统,但通过关闭病毒习惯攻击的端口的方法可以有效地阻止某些病毒的攻击。在防火墙上常关闭的端口有:137,138,139(共享信息窃取端口),445,5554(蠕虫病毒,震荡波病毒常攻击端口),5589(肉鸡病毒常攻击端口)等。
第7页
网络工程
(4)使用登陆认证
指定仅有一个IP 地址作为专用的网络管理计算机,对管理员进行用户身份检验和权限设定,确保只有合法的用户在合法的管理机上才能登陆网络,而且只有拥有相应权限的用户才能查看和修改交换机配置,同时每个用户登录交换机后所做的操作都有日志记载。这样就可以保护对交换机的本地和远程访问,减少出现攻击的可能。(5)使用流量控制技术
为了防止馆内用户,特别是电子阅览室用户对网络资源的滥用,进行视频、软件等资源下载,占用大量网络带宽,还可使用防火墙或者交换机的网络流量控制技术,定期查看和分析网络带宽资源的使用情况,将流经端口的异常流量限制在一定的范围内。核心交换机将不同的安全域通过划分VLAN进行逻辑隔离,隔离广播风暴,防止ARP攻击。将非法用户与敏感的网络资源相互隔离,从而防止大部分基于网络侦听的入侵。
VLAN控制流量示意图 结语
在图书馆的网络设备和电子资源中运用防火墙技术,不仅可以有效防止外部网络的非法入侵和恶意攻击,保障图书馆自身的利益,以及合法用户对图书馆资源的有效访问,同时还可以控制只对授权用户赋予对授权资源访问的权限,有利于规范数字化资源在网上发布和传送,更可以对网络通信和流量进行监控,便于图书馆系统管理和维护,从而 能够有效地保证图书馆计算机网络的正常运行。作为一个复杂的系统工程,图书馆的网络安全涉及诸多方面,我们在大力研究网络安全技术的同时,还要根据数字图书馆自身的特点和需求,进行有针对性的系统设计,不断地改进和完善网络安全工作,最大限度
第8页
网络工程
地降低网络安全所带来的负面影响。
参考文献:
[1] 李文静,王福生.防火墙在图书馆网络中的安全策略[J].现代情报,2008,(6):72-73.[2] 肖荣荣.高校图书馆网络信息安全问题及解决方案[J].现代情报,2006,(2): 67-68.[3] 方明,刑远秀.防火墙技术在图书馆网络中的应用.[J]中国水运,2006,(12):70-71.[4] 张宏武.防火墙在图书馆局域网的应用[J].现代情报,2004,(10):142-145.[5] 蒋威,刘磊.校园网络的安全分析及解决方案[J].吉林师范大学学报(自然科 学版),2006,(2).[6] 王福生.图书馆网络中的入侵检测系统[J]现代情报,2007,(2).第9页