第一篇:计算机毕业论文:软交换技术
软交换技术
摘要:软交换技术的出现一方面造就了网络的融合,另一方面软交换采用了开放式应用程序接口(ApI),方便了第三方应用的开发和新业务的引进。论文主要从软交换提出的必然性、软交换的概念和主要功能、基于软交换的增强型业务框架以及其各层间的协议等方面对软交换技术进行了论述,并对软交换技术在电力通信网中的应用前景作了介绍。
关键词:软交换;网络融合;可编程网络;应用程序接口;电力通信网
0引言
在传统的基于TDM的pSTN网络中,提供给用户的各项功能都直接与交换机有关,业务和控制都是由交换机完成的。交换机的功能与其提供的业务都需要在每个接点完成,并且采用依靠交换机和信令来提供业务,所以必须在交换机的技术标准和信令标准中对开放的每项业务进行详细规范。如要增加新业务,首先需要修订标准,再对交换机进行改造,每提供一项新业务都需要较长的时期。
为满足用户对新业务的需求,网络中出现了公共的业务平台--智能网(IN)。智能网的设计思想就是把呼叫连接和业务提供分开。交换机完成呼叫连接,而智能网完成业务提供,这种方法大大提高了增强业务的能力,缩短了新业务提供的时间。而这种分离仅仅是第一步,随着承载的多样化,必须将呼叫控制和承载连接进一步分离,这正是软交换引入的目的。软交换在未来网络中的位置将被分成接入传送层、媒体层、控制层和业务层,即把控制和业务的提供从媒体层中分离出来。各层的功能如下:
(1)接入和传送层。将用户连接到网络,并将业务量集中后传送到目的地址。
(2)媒体层。将要通过网络传送的业务转换成正确的格式,例如将话音业务打包成ATM信元或Ip包。此外,媒体层还可将业务选路到目的地址。
(3)控制层。包含呼叫智能。该层决定用户应该接收那些业务,还控制其他的在较低层的网络单元进行业务流的处理。
(4)业务应用层。在纯呼叫建立之上提供附加的业务。
这种网络拓扑结构与现有网络相比具有如下优点:
(1)可以使用基于包的承载传送,例如Ip、ATM,克服了TDM网络中容量不足的缺点;
(2)具有开放式端点的拓扑结构,既能良好的传送话音,也能支持数据业务。
(3)将网络的承载部分与控制部分相分离,允许二者分别演进,有效地打破了单块集成交换的结构;
(4)在各单元之间使用开放的接口,允许运营者为其网络的每一部分购买最理想的产品。
新的网络结构固然有其优势所在,但原有网络近期不会消失,这就产生了新、旧网络融合、互通的问题。如何灵活、有效地使现有的pSTN网络与分组网络实现互通,将pSTN逐步地向Ip网络演进,其关键的网络产品就是软交换设备(Soft Switch)。
2软交换技术
(1)软交换的概念
软交换又称为呼叫AGENT、呼叫服务器或媒体网关控制。其最基本的特点和最重要的贡献就是把呼叫控制功能从媒体网关中分离出来,通过服务器或网元上的软件实现基本呼叫控制功能,包括呼叫选路、管理控制、连接控制(建立会话、拆除会话)、信令互通(如从7号信令到Ip信令)等。这种分离为控制、交换和软件可编程功能建立分离的平面,使业务提供者可以自由地将传输业务与控制协议结合起来,实现业务转移。这一分离同时意味着呼叫控制和媒体网关之间的开放和标准化,为网络走向开放和可编程创造了条件和基础。
(2)软交换的主要功能
软交换作为新、旧网络融合和关键设备,必须具有以下功能:
1)媒体网关接入功能
该功能可以认为是一种适配功能。它可以连接各种媒体网关,如pSTN/ISDN的Ip中继媒体网关、ATM媒体网关、用户媒体网关、无线媒体网关、数据媒体网关等,完成H.248协议功能。同时还可以直接与H.323终端和SIp客户端终端进行连接,提供相应业务。
2)呼叫控制功能
呼叫控制功能是软交换的重要功能之一。它完成基本呼叫的建立、维持和释放,所提供的控制功能包括呼叫处理、连接控制、智能呼叫触发检出和资源控制等。
3)业务提供功能
由于软交换在网络从电路交换向分组交换演进的过程中起着十分重要的作用,因此软交换应能够支持pSTN/ISDN交换机提供的全部业务,包括基本业务和补充业务;同时还应该可以与现有智能网配合,提供现有智能网提供的业务。
4)互联互通功能
目前,存在两种比较流行的Ip电话体系结构,一种是ITU-T制定的H.323协议,另一种是IETF制定的SIp协议标准,两者是并列的、不可兼容的体系结构,均可以完成呼叫建立、释放、补充业务、能力交换等功能。软交换可以支持多种协议,当然也可以同时支持这两种协议。
(3)引入软交换的意义
软交换将是下一代话音网络交换的核心。如果说传统的电信网是基于程控交换机的网络,那么下一代分组话音网则是基于软交换的网络。软交换是新、旧网络融合的枢纽。这主要表现在以下几个方面:
1)从经济角度考虑,与电路交换机相比,软交换成本低。软交换由于采用了开放式平台,易于接收革新应用,且软交换利用的是普遍计算机器件,其性价比每年提高80%,远高于电路交换(每年提高20%),可见软交换在经济方面有很大优势。
2)从用户角度考虑,在传统的交换网络中,一个设备厂商往往供应软件、硬件和应用等所有的东西,用户被锁定在供应商那里,没有选择的空间,实现和维护的费用也很高。基于软交换的新型网络彻底打破了这种局面,因为厂商的产品都是基于开放标准的,所以用户可以向多个厂商购买各种层次的产品,可以在每一类产品中选择性价比最好的来构建自己的网络。
3)软交换可以提高网络的可靠性。软交换将以前的电路交换的核心功能进行了分类,将功能以功能软件的形式分配到分组网络的骨干网中。这种分门别类的分布式结构是可编程的,并对服务供应商和第三方特性开发商是开放的。由于所有的功能都以标准的计算机平台为基础,可以很容易地实现网络的可伸缩性和可靠性。
3基于软交换的增强的业务框架及其接口协议
(1)基于软交换的增值业务框架结构
软交换的引入形成了增强的业务框架,其中应用服务器完成增值业务的执行和管理,提供增值业务的开发平台,并处理与软交换间的接口信令;媒体服务器(Media Server)提供特殊业务(如IVR、会议和传真)的资源平台,处理与媒体网关间的承载接口。
(2)软交换体系结构的接口和采用的通信协议
软交换作为一个开放的实体,与外部的接
口必须采用开放的协议。各种接口及其使用的协议如下:1)媒体网关和软交换间的接口。用于传递软交换和媒体网关间的信令信息。此接口可使用信令控制传输协议(SCTp)或其他类似的协议。
2)软交换间的接口。实现不同软交换间的交互。此接口可以使用会话发起协议SIp-T或BICC(承载无关的呼叫控制)协议。
3)软交换与应用/业务之间的接口协议。提供访问各种数据库、三方应用平台、各种功能服务器等的接口,实现对增值业务、管理业务和三方应用的支持。
如:
1、软交换与应用服务器间的接口,可以使用SIp协议或ApI(如parlay),提供对三方应用和各种增值业务的支持功能;
2、软交换与策略服务器间的接口,可使用COpS协议,实现对网络设备的工作进行动态干预;
3、软交换与网管中心间的接口,可使用SNMp协议,实现网络管理;
4、软交换与智能网SCp间的接口,可使用INAp协议,实现对现有智能网业务的支持。
4软交换技术在电力系统中的应用
电力通信网是世界上目前分布最广的网络之一,有光纤、微波、载波等多种传输介质。这就形成了光纤网、微波网等多种网络形式,各种网络都有自己的交换设备、复接设备等,这些网络间的互联互通存在较大的困难。如果信息需要在不同介质的网络间传输,将需要更多的转换环节。这不但造成了资源的浪费,而且对整个电力通信网的管理也带来了很大的不便。软交换技术的引入,将可以解决以下几个方面的问题:
(1)电力通信网中网络互通
电力通信网中的电话网是一种交换网络,而且拥有电力系统独有的载波电话网络;同时电力通信网中也存在计算机网络,它们是以Ip协议为基础的分组网络。软交换可以提供支持多种信令协议的接口,可以很好的实现电话网和计算机网之间的信令互通及不同网关的互操作问题。这就是使得计算机网可以更方便地对电话网进行管理和支持,电话网也可以和计算机网络配合,更好地提供服务。
(2)目前,电力通信网中传输的信息主要是语音和数据,但随着网络的演进和计算机技术的不断发展,对视频业务和多媒体业务也提出了新的要求。软交换技术不但能很好地支持语音业务,利用新的网络设施可以提供各种增值业务和补充业务,而且软交换提供了开放式的应用程序接口(ApI),非常便于提供新业务。这对目前比较流行的电力系统呼叫中心(也称客户服务中心)来说,引入软交换技术无疑是一种明智的选择,基于软交换的呼叫中心可以用更低的成本、更短的周期为用户提供更好的服务,更好地树立电力系统的形象。
(3)统一不同介质的网络
电力通信网中存在多种传输介质,且各自较独立,都各有自己的一套设备,若引进了软交换技术,在一台交换服务器上可对多种介质的信息进行交换。这不但在经济方面避免了设备的浪费,而且提高了网络的可靠性,各种介质的网络达到了一定的融合互通,在不同介质的网络中传递信息时也省掉了复杂的转换环节。在管理上也更方便,只需对一个设备进行维护就可实现整个网络的信息交换。
(4)其他方面的功能
软交换具有操作维护功能(主要包括业务统计和告警等)。对业务繁杂的电力系统来说,引入软交换可以对各种业务进行统一的统计。若出现故障还可以及时地发出告警信号。另外,软交换还可以采集详细的清单,实现对用电量和电话费等的计费。
软交换技术是一种新的技术,其应用将不仅限于以上几个方面。在电力通信网中引入软交换将会产生很多方面的效果。
5结束语
目前,软交换的研究是通信技术的研究热点之一。国内、外很多的科研、生产机构都在从事这方面的研究,国际上著名的设备商都提供了各自的解决方案。从事软交换的国际组织ISC(软交换国际论坛)正在加紧对软交换的系统结构、主要功能、通信接口协议及其性能要求等作出具体的规范。软交换技术已被列为国家863的重点研究项目之一,2000年11月底以前完成能够提供多媒体业务和应用于无线系统的软交换体系的总体技术和技术方案的研究,也包括配套网关和业务的支撑环境。
软交换将是下一代网络的关键性技术,可以对pSTN向分组网络的过渡提供无缝连接。在电力通信网、电话网等多种专业网都很有应用前途,将为网络的演进作出巨大贡献。软交换的出现,在网络开放性和可编程方面迈出了第一步,代表了网络发展的方向。但软交换只是网络革命的前奏,还有很多的问题需要进一步探讨。
第二篇:计算机防火墙技术毕业论文
本文由yin528855贡献
doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
计算机防火墙技术论文
毕 业 论 文
计算机防火墙技术
姓 学
名: 号:
指导老师: 系 专 班 名: 业: 级:
二零一零年十一月十五日 1 计算机防火墙技术论文
摘要
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临 着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范 围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安 全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒 等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用 户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件 的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全 等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与 Internet 互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展 使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络 防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学 其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。
关键词: 关键词 :包过滤 智能防火墙
应用层网关
分布式防火墙
监测型防火墙 嵌入式防火墙
网络安全,防火墙,防范策略,发展趋势 2 计算机防火墙技术论文
摘要„„ 1 第一章 引言 „„ 4 1.1 研究背景„„ 4 1.2 研究目的„„ 4 1.3 论文结构„„ 5 第二章 网络安全 „„ 6 2.1 网络安全问题„„ 6 2.1.1 网络安全面临的主要威胁 „„ 6 2.1.2 影响网络安全的因素 „„ 6 2.2 网络安全措施„„ 7 2.2.1 完善计算机安全立法 „„ 7 2.2.2 网络安全的关键技术 „„ 7 2.3 制定合理的网络管理措施„„ 8 第三章 防火墙概述 „„ 9 3.1 防火墙的概念„„ 9 3.1.1 传统防火墙介绍 „„ 9 3.1.2 智能防火墙简介 „„ 10 3.2 防火墙的功能„„ 11 3.2.1 防火墙的主要功能 „„ 11 3.2.2 入侵检测功能 „„ 11 3.2.3 虚拟专网功能 „„ 12 3.2.4 其他功能 „„ 12 3.3 防火墙的原理及分类„„ 13 3.3.1 包过滤防火墙 „„ 13 3.3.2 应用级代理防火墙 „„ 13 3.3.3 代理服务型防火墙 „„ 14 3.3.4 复合型防火墙 „„ 14 3.4 防火墙包过滤技术„„ 14 3.4.1 数据表结构 „„ 15 3.4.2 传统包过滤技术 „„ 16 3.4.3 动态包过滤 „„ 17 3.4.4 深度包检测 „„ 17 3.4.5 流过滤技术 „„ 18 第四章 防火墙的配置 „„ 20 4.1 硬件连接与实施„„ 20 4.2 防火墙的特色配置„„ 20 4.3 软件的配置与实施„„ 21 第五章 防火墙发展趋势 „„ 23 5.1 防火墙包过滤技术发展趋势„„ 23 5.2 防火墙的体系结构发展趋势„„ 24 5.3 防火墙的系统管理发展趋势„„ 24 结论„„ 25 参考文献„„ 26 致谢„„ 27 3 计算机防火墙技术论文
第一章
1.1 研究背景
引言
随着互联网的普及和发展,尤其是 Internet 的广泛使用,使计算机应用更 加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受 到攻击的一面。据美国 FBI 统计,美国每年因网络安全问题所造成的经济损失高 达 75 亿美元,而全求平均每 20 秒钟就发生一起 Internet 计算机侵入事件[1]。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在 利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的 网络体系,值得我们关注研究。
1.2 研究目的
为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解 决方案,可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自 己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止 恶性信息对本机的攻击,比如 ICMPnood 攻击、聊天室炸弹、木马信息破译并修 改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问,使 计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙 可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以 根据自己的需要创建防火墙规则,控制互联网到 PC 以及 PC 到互联网的所有连接,并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄 漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视 邮件系统,阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机 Windows 系统上,采取一些安全防护措施,使得本机 的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软 件,按一定的规则对 TCP,UDP,ICMP 和 IGMP 等报文进行过滤,对网络的信息流 和系统进程进行监控,防止一些恶意的攻击。目前市场上大多数的防火墙产品仅 仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:内部网是 安全可靠的,所有的威胁都来自网外。因此,他们防外不防内,难以实现对企业 内部局域网内主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主 机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络内部。个人上网用户多使用 Windows 操作系统,而 Windows 操作系统,特别是
计算机防火墙技术论文
WindowsXP 系统,本身的安全性就不高。各种 Windows 漏洞不断被公布,对主机 的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏 洞来实现攻击。如假冒 IP 包对通信双方进行欺骗:对主机大量发送正数据包[3] 进行轰炸攻击,使之际崩溃;以及蓝屏攻击等。因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共 网)或网络安全域之间的一系列部件的组合[ 1 ]。它可通过监测、限制、更改跨 越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以 此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一 个分析器,有效地监控了内部网和 Internet 之间的任何活动, 保证了内部网络 的安全。一个高效可靠的防火墙必须具有以下典型的特性: 1 从里到外和从外到里的所有通信都必须通过防火墙; 2 只有本地安全策略授权的通信才允许通过; 3 防火墙本身是免疫的,不会被穿透的。防火墙的基本功能有:过滤进出网络的数据;管理进出网络的访问行为;封 堵某些禁止的业务; 记录通过防火墙的信息内容和活动;对网络攻击进行检测 和报警
1.3 论文结构
在论文中接下来的几章里,将会有下列安排: 第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安 全的因素,及保护网络安全的关键技术。第三章,介绍防火墙的相关技术,如防火墙的原理、功能、包过滤技术等。第四章,以 H3CH3C 的 F100 防火墙为例,介绍防火墙配置方法。第五章,系统阐述防火墙发展趋势。5 计算机防火墙技术论文
第二章 网络安全 2.1 网络安全问题
安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于 计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的 或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 从技术讲,计算机安全分为 3 种: 1)实体的安全。它保证硬件和软件本身的安全。2)运行环境的安全性。它保证计算机能在良好的环境里持续工作。3)信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展,计算机的安全问题也延伸到了计算机网络。2.1.1 网络安全面临的主要威胁 一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和 拒绝服务攻击三个方面。1)计算机病毒的侵袭。当前,活性病毒达 14000 多种,计算机病毒侵入 网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2)黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通 道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号 和密码;非法获取网上传输的数据;突破防火墙等。3)拒绝服务攻击。例如“点在邮件炸弹”,它的表现形式是用户在很短 的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统 关机,网络瘫痪。具体讲,网络系统面临的安全威胁主要有如下表现:身份窃取、非授权访 问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户„„等。2.1.2 影响网络安全的因素 1)单机安全 购买单机时,型号的选择;计算机的运行环境(电压、湿度、防尘条件、强电磁场以及自然灾害等);计算机的操作„„等等,这些都是影响单机安全性 的因素。2)网络安全 影响网络安全的因素有:节点的安全、数据的安全(保存和传输方面)、文件的安全等。6 计算机防火墙技术论文 2.2 网络安全措施
网络信息安全涉及方方面面的问题,是一个复杂的系统。一个完整的网络
信息安全体系至少应包括三类措施:一是法律政策、规章制度以及安全教育等外 部软环境。二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络 防毒等。三是管理措施,包括技术与社会措施。主要措施有:提供实时改变安全 策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防 患于未然。这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。2.2.1 完善计算机安全立法 我国先后出台的有关网络安全管理的规定和条例。但目前,在这方面的立 法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的 基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的 发展提供强有力的保障。2.2.2 网络安全的关键技术(1)数据加密 加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的 加密类型:私匙加密和公匙加密。(2)认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用 认证机制还可以防止合法用户访问他们无权查看的信息。(3)防火墙技术 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防 止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应 用网关、子网屏蔽等。但是,防火墙技术在网络安全防护方面也存在一些不足: 防火墙不能防止内部攻击防火墙不能取代杀毒软件; 防火墙不易防止反弹端口木 马攻击等。(4)检测系统 入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技 术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之 前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智 能化入侵检测和全面的安全防御方案。7 计算机防火墙技术论文
(5)防病毒技术 随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒 防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网 络、以及它们之间相互关系和接口的综合系统。(6)文件系统安全 在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个 方面:本地和远程。建立文件权限的时候,必须在 Windows 2000 中首先实行新 技术文件系统(New Technology File System,NTFS)。一旦实现了 NTFS,你 可以使用 Windows 资源管理器在文件和文件夹上设置用户级别的权限。你需要了 解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000 操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3 制定合理的网络管理措施
(1)加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的
培养教育以及相关技术培训。(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励 和监督的作用。(3)管理措施要标准化、规范化和科学化。8 计算机防火墙技术论文
第三章
防火墙概述
随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可 预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部 网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服 务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和 信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个 分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的 安全。3.1.1 传统防火墙介绍 目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发 展历程。图 1 表示了防火墙技术的简单发展历史。
图1 第一代防火墙 第 一 代 防 火 墙 技 术 几 乎 与 路 由 器 同 时 出 现,采 用 了 包 过 滤(Packet filter)技术。二代、第三代防火墙 第二代、第三代防火墙 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推 9 计算机防火墙技术论文
出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—— 应用层防火墙(代理防火墙)的初步结构。
第四代防火墙 1992 年,USC 信息科学院的 BobBraden 开发出了基于动态包过滤(Dynamic packet filter)技 术 的 第 四 代 防 火 墙,后 来 演 变 为 目 前 所 说 的 状 态 监 视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司开发出了 第一个采用这种技术的商业化的产品。第五代防火墙 1998 年,NAI 公司推出了一种自适应代理(Adaptive proxy)技术,并在 其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全 新的意义,可以称之为第五代防火墙。[5] [5] 但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的 三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主 要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题 占据网络安全问题九成以上。而这三大问题,传统防火墙都无能为力。主要有以 下三个原因: 一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代 价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个 简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法检测复杂 的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统 的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解 决上面的问题。3.1.2 智能防火墙简介 智能防火墙[6]是相对传统的防火墙而言的,从技术特征上智能防火墙是利 用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目 的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特 征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。10 计算机防火墙技术论文 3.2 防火墙的功能
3.2.1 防火墙的主要功能 1.包过滤。包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数 据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端 口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2.地址转换。网络地址变换是将内部网络或外部网络的 IP 地址转换,可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。SNAT 用于对内部网 络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网 络的非授权访问或恶意攻击。并将有限的 IP 地址动态或静态的与内部 IP 地址对 应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。DNAT 主要用于 外网主机访问内网主机。3.认证和应用代理。认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数 据库;提供 HTTP、FTP 和 SMTP 代理功能,并可对这三种协议进行访问控制;同时 支持 URL 过滤功能。4.透明和路由 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提 供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网 络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网 之间的安全访问。3.2.2 入侵检测功能 入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技 术,包括以下内容: 1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具,从中发现主 机的哪些非常用端口是打开的;是否支持 FTP、服务;且 FTP 服务是否支持 Web “匿 名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞,进而对内部网络的主 机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法,目前常用的方法有: 关闭闲置和有潜在危险的端口;检查各端口,有端口扫描的症状时,立即屏蔽该 端口,多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用 过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;11 计算机防火墙技术论文
而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的 DoS 攻击基础之上产生 的一类攻击方式,分布式的拒绝服务攻击(DDoS)。其原理很简单,就是利用更多 的受控主机同时发起进攻,以比 DoS 更大的规模(或者说以更高于受攻主机处理 能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多种 DOS/DDOS 攻 击。3.检 测 多 种 缓 冲 区 溢 出 攻 击(Buffer Overflow)。缓 冲 区 溢 出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的 溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。更 为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各 种非法操作,防火墙设备可检测对 FTP、Telnet、SSH、RPC 和 SMTP 等服务的远 程堆栈溢出入侵。4.检测 CGI/IIS 服务器入侵。CGI 就是 Common Gateway Inter——face 的 简称。是 World Wide Web 主机和 CGI 程序间传输资讯的定义。IIS 就是 Internet Information server 的简称,也就是微软的 Internet 信息服务器。防火墙设备 可检测包括针对 Unicode、ASP 源码泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百种的有安全隐患的 CGI/IIS 进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个 特殊的端口并依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开 那个特殊的端口的程序。木马程序的全称是 “特洛依木马” 它们是指寻找后门、,窃取计算机的密码的一类程序。网络蠕虫病毒分为 2 类,一种是面向企业用户和 局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成 瘫痪性的后果,以“红色代码”,“尼姆达”,以及最新的“sql 蠕虫王”为代 表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。防火墙设备可检测试图穿 透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程 序。3.2.3 虚拟专网功能 指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络 中传播。VPN 的基本原理是通过 IP 包的封装及加密、认证等手段,从而达到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址绑定。可支持任一网络接口的 IP 地址和 MAC 地址的绑 12 计算机防火墙技术论文
定,从而禁止用户随意修改 IP 地址。2.审计。要求对使用身份标识和认证的机制,文件的创建,修改,系统管 理的所有操作以及其他有关安全事件进行记录,以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日 志。3.特殊站点封禁。内置特殊站点数据库,用户可选择是否封禁色情、反动 和暴力等特殊站点。3.3 防火墙的原理及分类
国际计算机安全委员会 ICSA 将防火墙分成三大类:包过滤防火墙,应用级代
理服务器[8]以及状态包检测防火墙。3.3.1 包过滤防火墙 顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过 滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层 IP 包包头信 息的比较。包过滤防火墙工作在网络层,IP 包的包头中包含源、目的 IP 地址,封装协议类型(TCP,UDP,ICMP 或 IP Tunnel),TCP/UDP 端口号,ICMP 消息类型,TCP 包头中的 ACK 等等。如果接收的数据包与允许转发的规则相匹配,则数据包 按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有 匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它 处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就 可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网 络,使之遭受攻击。例如,HTTP。通常是使用 80 端口。如果公司的安全策略允 许内部员工访问网站,包过滤防火墙可能设置允所有 80 端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防 火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完 善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。3.3.2 应用级代理防火墙 应用级代理技术通过在 OSI 的最高层检查每一个 IP 包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代 理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防 火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理 13 计算机防火墙技术论文
机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑 客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络 服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支 持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问 WEB 站点的 HTTP,用于文件传输的 FTP,用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进 行转发;同时升级一种应用时,相应的代理程序也必须同时升级。3.3.3 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包 过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代 理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对 过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网 络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔 离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在 OSI 模型的最高层,掌握着应用系统中可用 作安全决策的全部信息。3.3.4 复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法 结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防 火墙体系结构,在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时 一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设 置,使堡垒机成为 Internet 上其他节点所能到达的唯一节点,这确保了内部网 络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网 内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤 路由器共同构成了整个防火墙的安全基础。
3.4 防火墙包过滤技术
随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 14 计算机防火墙技术论文
重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定 的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与 透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。由于其主要是对数据包的过滤操作,所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程,可以认为包过滤的核心问题就是如何充分利用数据 包中各个字段的信息,并结合安全策略来完成防火墙的功能[11]-[15] 3.4.1 数据表结构 当应用程序用 TCP 传送数据时,数据被送入协议栈中,然后逐个通过每一层 直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部 信息。TCP 传给 IP 的数据单元称作 TCP 报文段(TCP Segment);IP 传给网络接口 层的数据单元称作 IP 数据报(IP Datagram);通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包,顺序正好与此相反,头部信息逐层剥掉。IP,TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部长 服务类型 标识 生存时间 协议 源 IP 地址 目的 IP 地址 选项 标志 首部校验和
总 长 度 片偏移
表 2-2 TCP 首部格式 源端口号 目的端口号 序列号 15 计算机防火墙技术论文
确认号 首 保 L 部 留 R 长 C T B L P R C B C J H T H TCP 校验和 H J R 窗口大小
紧急指针 选项
对于帧的头部信息主要是源/目的主机的 MAC 地址;IP 数据报头部信息主要 是源/目的主机的 IP 地址;TCP 头部的主要字段包括源/目的端口、发送及确认序 号、状态标识等。理论上讲,数据包所有头部信息以及有效载荷都可以作为判断包通过与否的 依据,但是在实际情况中,包过滤技术上的问题主要是选取哪些字段信息,以及 如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作,并尽可能 提高安全控制力度。3.4.2 传统包过滤技术 传统包过滤技术,大多是在 IP 层实现,它只是简单的对当前正在通过的单 一数据包进行检测,查看源/目的 IP 地址、端口号以及协议类型(UDP/TCP)等,结合访问控制规则对数据包实施有选择的通过。这种技术实现简单,处理速度快,对应用透明,但是它存在的问题也很多,主要表现有: 1.所有可能会用到的端口都必须静态放开。若允许建立 HTTP 连接,就需 要开放 1024 以上所有端口,这无疑增加了被攻击的可能性。2.不能对数据传输状态进行判断。如接收到一个 ACK 数据包,就认为这是 一个己建立的连接,这就导致许多安全隐患,一些恶意扫描和拒绝服务攻击就是 利用了这个缺陷。3.无法过滤审核数据包上层的内容。即使通过防火墙的数据包有攻击性或 包含病毒代码,也无法进行控制和阻断。综合上述问题,传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺 乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测,而没有考虑前 后数据包之间的联系;(4)只检查包头信息,而没有深入检测数据包的有效载荷。传统包过滤技术必须发展进化,在继承其优点的前提下,采用新的技术手 段,克服其缺陷,并进一步满足新的安全应用要求。从数据包结构出发考虑,目 前包过滤技术向两个方向发展:(l)横向联系。即在包检测中考虑前后数据包之间 的关系,充分利用包头信息中能体现此关系的字段,如 IP 首部的标识字段和片 16 计算机防火墙技术论文
偏移字段、TCP 首部的发送及确认序号、滑动窗口的大小、状态标识等,动态执 行数据包过滤。(2)纵向发展。深入检测数据包有效载荷,识别并阻止病毒代码 和基于高层协议的攻击,以此来提高应用防御能力。这两种技术的发展并不是独 立的,动态包过滤可以说是基于内容检测技术的基础。实际上,在深度包检测技 术中己经体现了两种技术的融合趋势。3.4.3 动态包过滤 动态包过滤[16]又称为基于状态的数据包过滤,是在传统包过滤技术基础 之上发展起来的一项过滤技术,最早由 Checkpoint 提出。与传统包过滤技术只检查单个、孤立的数据包不同,动态包过滤试图将数 据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下 该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到 达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据 包通过与否;如果是新建连接,则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法 的好处在于由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使性能得到了较 大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通 1024 号以 上的端口,使安全性得到进一步地提高。动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则 静态不可变的缺陷,使得防火墙的安全控制力度更为细致。3.4.4 深度包检测 目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用 了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新 的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection)就是针对这种需求,深入检测数据 包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需 要高速检查它的能力。简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描 检测,但是对于应用防御的要求而言,这是远远不够的。如一段攻击代码被分割 到 10 个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻 17 计算机防火墙技术论文
击特征进行匹配: 要清楚地知道有效载荷,必须采取有效方法,将单个数据包重 新组合成完整的数据流。应用层的内容过滤要求大量的计算资源,很多情况下高 达 100 倍甚至更高。因而要执行深度包检测,带来的问题必然是性能的下降,这 就是所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和 行为,需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法,可以解决这个问题。一个深度包检测的流程框图如图 3.1 所示。
图 3.1 深度包检测框图 在接收到网络流量后,将需要进行内容扫描的数据流定向到 TCP/IP 堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。定向到 TCP/IP 堆栈的数据流,首先转换成内容数据流。服务分析器根据数据流服务类型分离内 容数据流,传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容 协议,分析内容数据流,检测病毒和蠕虫。如果检测到信息流是一个 HTTP 数据 流,则命令解析器检查上载和下载的文件;如果数据是 Mail 类型,则检查邮件的 附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引 擎,所有其他内容传输到内容过滤引擎。如果内容过滤启动,数据流将根据过滤 的设置进行匹配,通过或拒绝数据。3.4.5 流过滤技术 流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过 滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方 案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:以状 态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的 TCP/IP 协议栈,实现了透明的应用信息过滤机制。18 计算机防火墙技术论文
流过滤技术[17]的关键在于其架构中的专用 TCP/IP 协议栈:这个协议栈是 一个标准的 TCP 协议的实现,依据 TCP 协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识 别并拦截应用层的攻击企图。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或 IP 层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在 防火墙内部都存在两个完全独立的 TCP 会话,数据以“流”的方式从一个会话流 向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代 替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制 能力。如在对 SMTP 协议的处理中,系统可以在透明网桥的模式下实现完全的对 邮件的存储转发,并实现丰富的对 SMTP 协议的各种攻击的防范功能一流过滤的 示意图如图 3.2 所示。
图 3.2 流过滤示意图 19 计算机防火墙技术论文
第四章
4.1 硬件连接与实施
防火墙的配置
一般来说硬件防火墙和路由交换设备一样具备多个以太接口,速度根据档次 与价格不同而在百兆与千兆之间有所区别。(如图 4.1)图 4.1 对于中小企业来说一般出口带宽都在 100M 以内,所以我们选择 100M 相关产 品即可。网络拓扑图中防火墙的位置很关键,一般介于内网与外网互连中间区域,针对外网访问数据进行过滤和监控。如果防火墙上有 WAN 接口,那么直接将 WAN 接口连接外网即可,如果所有接 口都标记为 LAN 接口,那么按照常规标准选择最后一个 LAN 接口作为外网连接端 口。相应的其他 LAN 接口连接内网各个网络设备。4.2 防火墙的特色配置
从外观上看防火墙和传统的路由器交换机没有太大的差别,一部分防火墙
具备 CONSOLE 接口通过超级终端的方式初始化配置,而另外一部分则直接通过默 认的 LAN 接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同 优先级别的区域,另外还需要针对相应接口隶属的区域进行配置,例如 1 接口划 分到 A 区域,2 接口划分到 B 区域等等,通过不同区域的访问权限差别来实现防 火墙保护功能。默认情况下防火墙会自动建立 trust 信任区,untrust 非信任区,DMZ 堡垒主机区以及 LOCAL 本地区域。相应的本地区域优先级最高,其次是 trust 信任区,DMZ 堡垒主机区,最低的是 untrust 非信任区域。20 计算机防火墙技术论文 在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操 作,否则默认将阻止对该接口的任何数据通讯。除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级 终端下的命令行参数进行配置或者通过 WEB 管理界面配置。4.3 软件的配置与实施
以 H3C 的 F100 防火墙为例,当企业外网 IP 地址固定并通过光纤连接的具体
配置。首先当企业外网出口指定 IP 时配置防火墙参数。选择接口四连接外网,接 口 一 连 接 内 网。这 里 假 设 电 信 提 供 的 外 网 IP 地 址 为 202.10.1.194 255.255.255.0。第一步:通过 CONSOLE 接口以及本机的超级终端连接 F100 防火墙,执行 system 命令进入配置模式。第二步:通过 firewall packet default permit 设置默认的防火墙策略为 “容许通过”。第三步:进入接口四设置其 IP 地址为 202.10.1.194,命令为 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步:进入接口一设置其 IP 地址为内网地址,例如 192.168.1.1 255.255.255.0,命令为 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步: 将两个接口加入到不同的区域,外网接口配置到非信任区 untrust,内网接口加入到信任区 trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步:由于防火墙运行基本是通过 NAT 来实现,各个保护工作也是基于此 功能实现的,所以还需要针对防火墙的 NAT 信息进行设置,首先添加一个访问控 制列表—— acl num 2000 21 计算机防火墙技术论文
rule per source 192.168.0.0 0.0.255.255 rule deny 第七步:接下来将这个访问控制列表应用到外网接口通过启用 NAT—— int e0/4 nat outbound 2000 第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或 外网电信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如图 2)执行 save 命令保存退出后就可以在企业外网出口指定 IP 时实现防火墙数据转发 以及安全保护功能了。22 计算机防火墙技术论文
第五章
防火墙发展趋势
针对传统防火墙不能解决的问题,及新的网络攻击的出现,防火墙技术也 出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管 理三方面来体现。5.1 防火墙包过滤技术发展趋势
(1)安全策略功能 一些防火墙厂商把在 AAA 系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常 必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的 防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带 来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验 证。(2)多级过滤技术 所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分 组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的 IP 源地址;在传输层 一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如 nuke 包、圣诞树包等;在应用网关(应用层)一级,能利用 FTP、SMTP 等各种网关,控 制和监测 Internet 提供的所用通用服务。这是针对以上各种已有防火墙技术的 不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这 个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。(3)功能扩展 功能扩展是指一种集成多种功能的设计趋势,包括 VPN、AAA、PKI、IPSec 等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中 了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功 能为主了,即其已经逐渐向我们普遍称之为 IPS(入侵防御系统)的产品转化了。23 计算机防火墙技术论文
有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还 是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可 以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护 功能的防火墙可以大大减少公司的损失。5.2 防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要
能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普 遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防 火墙制造商开发了基于 ASIC 的防火墙和基于网络处理器的防火墙。从执行速度 的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大 程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面 任务的引擎,从而减轻了 CPU 的负担,该类防火墙的性能要比传统防火墙的性能 好许多。与基于 ASIC 的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于 ASIC 的防火墙使用专门的硬件处理网络数据流,比 起前两种类型的防火墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程 性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方 案是增加 ASIC 芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以 同时满足来自灵活性和运行性能的要求。5.3 防火墙的系统管理发展趋势
(1)集中式管理,分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化 纵观防火墙技术的发展,黑客入侵系统技术的不断进步以及网络病毒朝智
能化和多样化发展,对防火墙技术的同步发展提出了更高的要求。防火墙技术只 有不断向主动型和智能型等方向发展,才能更好的满足人们对防火墙技术日益增 长的需求。24 计算机防火墙技术论文
结论
随着 Internet 和 Intranet 技术的发展,网络的安全已经显得越来越重要, 网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯 罪行为的问题,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客 技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内 和外的攻击;克服传统“边界防火墙”的缺点,集成了 IDS、VPN 和防病毒等安 全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际 应用和发展的安全要求。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中 的服务,数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题,对网络安全技术的有深刻的了解。25 计算机防火墙技术论文
参考文献
[1] 王艳.浅析计算机安全[J].电脑知识与技术.2010,(s):1054 一 1055.[2] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79 一 82.[3] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311 一 312.[4] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17 一 18.[5] 郑林.防火墙原理入门[Z].E 企业.2000.[6] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57 一 62 [7] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59 一 61 [8] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技 术大学学报.2004,34(4):400 一 409 [11] 邵华钢,杨明福.基于空间分解技术的多维数据包分类.计算机工程.2003,29(12):123 一 124 [12] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76 一 78 [13] 付 歌,杨 明 福,王 兴 军.基 于 空 间 分 解 的 数 据 包 分 类 技 术.计 算 机 工 程 与 应 用.2004(8):63 一 65 [14] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504 一 508 [15] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188 一 192 [16] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387 一 392 [17] 余胜生,张宁,周敬利,胡熠峰.一种用于大规模规则库的快速包分类算法.计算机工 程.2004,30(7):49 一 51 26 计算机防火墙技术论文
致谢
本文是在李老师的悉心指导卜完成的,从文献的查阅、论文的选题、撰写、修改、定稿,我的每一个进步都和李老师的关注与指导密不可分。李老师在研究 方向、资料的收集、论文的选题、研究工作作的开展以及论文的最终定稿,给子 我巨大、无私的帮助。论文的字里行间无不凝结着老师的悉心指导和浮淳教海,老师渊博的学识和严谨的治学态度给我留下了深刻的印象,我从他那里学到的不 仅仅是专业知识,更重要的是严谨的治学态度、对事业忘我的追求、高度的使命 感、责任感及和蔼热情的品质和做人的道理,这些将使我受益一生,并将激励我 不断向前奋进。还 有 就 是 在 这 次 的 实习中 更要对和我一起并肩战斗的其他几位小组成 员说一声辛苦了,我们有了今天的成绩是我们不懈与团结。让我们共同努力创造 更好的明天。在此过程中我们互相帮助,勉励是我们能完成这次任务的最大动力,也是我们之间最大的收获,最好的精神财富,愿我们还会有更好的合作!经 过 了 这 次 的 实习也 意 味 着 我 学习生 涯 的 结 束。在 TOP 的 三 年 时 间 转 瞬 即 逝,借 此 机 会 我 要 感 谢 两年来传授我知识的老师们,更要感谢所 有对我学业、生活上的支持和鼓励,感谢所有关心帮助过我的人。27
第三篇:软交换技术实训报告
软交换技术实验报告
第一组 组长:彭海量 组员:王璨、黄针、王立东、曾静、李永鹏班级:5121201 实验教室:YF309
一、实训目的
通过本次实训,熟练掌握以下内容:
1、锐捷软交换数据配置过程,能实现基本端局通信。
2、锐捷语音网关数据配置过程。
3、锐捷网络电话配置过程。
4、熟悉数据之间的逻辑关系、数据配合。
5、对实验室VoIP系统的高级功能进行配置,内容包括电话会议功能、计费功能、附加业务等,学习电话会议、电话会议室、管理员、计费的概念,以对软交换平台的高级功能有全面了解。
6、学习多个软交换系统之间的互联方法。
7、掌握VoIP软交换系统之间互联的方法。
8、掌握VoIP组网配置和调试流程。
二、实训环境:
实验室硬件设备:软交换、语音网关、网络电话、PC维护台设备搭建如下图所示:
三、数据规划:
修改:软交换ETH0 IP地址172.24.10.10
四、实训操作步骤和内容:
一、软交换服务器RG-VX9000E配置
1、网络参数配置
RG-VX9000E提供Web配置管理。前3个以太网口ETH0-ETH2可作为应用端口,默认情况下ETH0口处于激活状态,其默认IP地址为192.168.33.90,子网掩码为255.255.255.0。
可通过IE登录软交换服务器的web管理界面。步骤如下:
(1)用网线将软交换服务器第一个以太网口与网络连接并确认物理连接正常。
(2)将PC的网络端口IP地址配置为192.168.33.10,掩码为255.255.255.0。如果软交换设备已经设置了IP地址,则把PC机的IP地址和软交换现在的IP地址设置在同一网段。
(3)打开IE浏览器,在地址栏中输入访问地址:192.168.33.90并按回车键,即可进入Web登录界面。如果软交换不是默认出厂地址,而是已经设置了IP地址,则在Web中输入软交换现在的IP地址,便可以登录。
(4)输入默认登录用户名:admin,密码:admin,单击登录按钮即可进入Web管理主界面。
(5)选择系统管理-网络接口配置,选择配置第一块网卡ETH0,并将“系统启动时加载”选择YES,IP地址为172.24.10.220,子网掩码为255.255.255.0;确认配置无误后单击提交按钮,系统左上方提示“修改成功,重启系统后生效”。
(6)选择系统管理-重启系统,进入重启系统界面,单击重启系统按钮即执行重启操作。重启系统所需时间约3~5min。
(7)选择系统管理-网络接口配置菜单,添加网络路由,目标IP地址为0.0.0.0,子网掩码为0.0.0.0,网关地址为172.24.10.1;确认配置无误后单击提交按钮,系统左上方提示“修改成功,重启系统生效”。
2、SIP信息配置
(1)选择系统管理-设置SIP信息菜单,进行SIP参数配置。
(2)将SIP监听端口设置成5060(默认为5060),那么所有向这里注册的客户端的端口都需要设置成5060,否则将无法注册。端口号避免与公有端口号重叠。
(3)最大注册时间为3600秒,如果设备3600秒没有注册成功,则注册失败。
(4)默认注册超时时间设为120秒;如果默认时间没注册成功,而未达最大时间则设备会反复询问注册,这些是系统的参数,而且是通信网中常用的值。
3、批量添加号码
(1)选择【号码管理—批量添加号码】菜单,即进入号码注册批量添加界面,(2)配置完成,单击<添加号码>按钮,批量增加内线号码成功。
(3)号码添加完成后,在【号码管理—号码列表】中可以查看刚才添加的号码,可以进行号码的搜索,及其归属用户的查询,如下图所示。
(4)用户配置可以根据实际情况,在”企业管理”和“用户管理”菜单中进行添加。(5)配置完成后,可以把数据保存备份,然后对软交换重启设备,让新数据生效,重启一般要等待3~5min。
2、语音网关RG-VX6116E配置
1、网络属性配置
RG-VX6116E提供Web配置管理,前四个以太网口LAN可作为应用端口,默认情况下,WLAN口处于激活状态,其默认IP地址为192.168.30.16,子网掩码为255.255.255.0,可通过IE登录软交换服务器的Web管理界面,步骤如下
(1)用网线将语音网关RG-VX6116E与网络连接并确认物理连接正常。(2)将PC的网络接口IP地址配置为192.168.30.10,掩码为255.255.255.0。如果软交换设备已经配置了IP地址,则把PC机的IP地址和软交换现在IP地址设置在同一网段。(3)打开浏览器,在地址栏中输入访问地址192.168.30.16并按回车键,即可进入Web登录界面。如果软交换不是默认出厂地址,而是已经设置了IP地址,则在Web中输入软交换现在的IP地址,则可以登录。
(4)输入默认登录用户名:admin;密码:admin;单击【登录】按钮,即可进入Web管理主界面。
(5)点击【快速配置】进入网络配置,首先修改语音网关的IP 地址、子网掩码、网关,LAN口IP地址:172.24.10.20;LAN口子网掩码:255.255.255.0;网关:172.24.10.1
(6)配置完成,单击<下一步>按钮,进入下级菜单配置。
2、配置语音网关注册服务器
(1)登录系统进入SIP配置。在菜单中选择【SIP设置-SIP服务器】或【快速配置】彩蛋的第二步,配置其中“SIP服务器地址、端口”,即规划中的软交换服务器的地址和端口,配置完成单击<下一步>按钮。
(2)配置语音网关的SIP服务器的地址,各配置项含义参考——域名:172.24.10.10; 端口:5060;
(3)配置完成,单击<下一步>按钮,完成将该SIP服务器添加到SIP服务器列表中。
3、配置FXS端口的电话号码
(1)在SIP设置中注册客户端。在菜单中选择【SIP设置-注册客户端】或【快速配置】的第三步,配置FXS用户密码、认证ID和密码,为了方便直接查找和记忆,一般均保持一致,号码:610123;认证ID:610123;认证密码:1234 号码:610124;认证ID:610124;认证密码:1234(2)配置语音网关的FXS端口的注册客户端极端扣电话号码,配置完成然后保存配置。
3、网络话机RG-VP3000E配置
1、RG-VP3000E提供Web配置管理。网络电话机包含1个电源口,2个以太网(分别称为PC口和LAN口)。默认情况下PC口处于激活状态,其默认IP地址为172.24.10.12,子网掩码为255.255.255.0。
可通过IE登录软交换服务器的Web管理界面,步骤如下。
(1)用网线将网络电话的PC——以太网口与网络连接并确认物理连接正常。
(2)将PC的网络接口IP地址配置为172.24.10.40(不要与软交换服务器,语音网关和IP话机的初始IP冲突),掩码为255.255.255.0。如果网络话机已经设置了IP地址,则把PC机的IP地址和网络电话现在IP地址设置在同一网段。我们可以通过网络电话的菜单按钮查询网络电话的IP地址。(3)在计算机上打开IE浏览器,在地址栏中输入访问地址:http//172.24.10.30并按回车键,即可进入Web登录界面。如果网络电话不是默认出场地址,而是已经设置了IP地址,则在Web中输入软交换现在的IP地址,则可以登录。
(4)Web连接成功后,将提示输入“用户名”和“密码”,出厂默认的用户名为“admin”,密码为“admin”,即可进入Web管理主界面。
(5)使用Web登录到网络话机,在主菜单中选择【网络配置—IP配置】菜单,配置IP地址并提交应用。网络话机配置步骤均相同,注意避免IP冲突。(6)设置完毕后,单<应用>按钮,网络话机网络配置完成。
2、配置网络话机的服务器和号码
(1)在主菜单中选择【快速设置】菜单,配置SIP相关参数并应用。
(2)配置网络话机的电话号码和软交换服务器的地址和通信端口号信息。(3)参数配置完成,网络电话数据就完成了,单击<应用>按钮即可。(4)配置完成如果仅修改号码等少量数据可以直接网络话机保存配置,在主菜单中选择【系统维护——保存配置】,不用重启。(5)如果大量修改数据,特别是改动IP地址,则必须对网络话机重启,在主菜单中选择【系统维护—重启】菜单,修改的数据才可以生效。
五、VoIP中继应用与组网设计 实训步骤:
1、配置局内通信。
2、VoIP平台1路路由配置
具体配置流程:添加中继、添加路由、添加呼叫规则。
添加中继:登录RG-VX9000E界面,选择路由管理里面的添加中继菜单,中继名称设置为Q1,主机名输入目标主机的IP地址。
添加路由:选择路由管理里面的添加路由选项,设定路由名称为Q1,路由规则为目标电话号码(例如6XXXXXXX),中继选择Q1。
呼叫规则:选择路由管理里面的添加呼叫规则选项,添加一条名为Q1的呼叫规则。VoIP系统互联:
在菜单中选择“批量添加号码”,设置起始号码和结束号码,密码和账号一致?选项选YES,呼叫规则选择Q1。使用权限选项改为自由模式。
六、实训心得:
彭海量:通过本次实训掌握了,软交换、语音网关、IP电话的配置,但实训的过程中出现了一些问题,导致IP电话和模拟电话不能相互通话,原因是(1)开始把语音网关和软交换eth0设为了相同的IP地址(2)没有对电话设置密码。总而言之,通过本次实验还是学到了许多,收获了许多。
黄针:通过本次实验,了解了局内、局间互通电话的流程,拓宽了我的专业知识。在本次实验中,遇到了电话号码未注册的情况,有两个原因:第一是语音网关的IP地址与软交换的IP地址相同;第二个原因是没有设置密码。把语音网关的IP地址修改并把密码设置上,就注册成功了。王璨:配置语音网关注册服务器时显示未注册,查找到原因是没有设置密码,不匹配。后来把所有密码密码都设置一致并且设置和软交换上的认证密码一致,才认证成功,注册完成。王立东:通过本次实训学会了软交换服务器、语音网关、网络电话的数据配置,配置完成后网络电话间、语音网关等设备连接的电话用户可以相互通信。
曾静:本次试训过程中遇到了很多的问题,例如IP地址设置混乱、网络话机始终不能注册成功,模拟电话与网络电话之间不能互相通信等。通过小组成员的团结合作,最终找出问题并解决。
李永鹏:这次实验成功的完成了,其中网段设置错误,导致实验不能继续进行,最终还是解决了这个问题,得知必须要在一个网段中才行,还有端口的连线必须正确,错一个也是不能连接成功的。
第四篇:计算机网络安全防火墙技术毕业论文
计算机网络安全防火墙技术毕业论文
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。
从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:●过滤进、出网络的数据;
●管理进、出网络的访问行为;
●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动;
●对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1 基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2 用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,使用中出现差错的情况很多。
3.3 建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
第五篇:计算机科学与技术毕业论文
毕业 设计(论文)
课题名称 姓 名 学 号 专 业
在线考试系统的设计与研发
XXX XXXXXXX 计算机科学与技术
摘 要
随着计算机网络技术及相关技术的不断发展,考试的手段和媒介也在发生着巨大的变化,传统的考试方式和手段正面临着强烈的冲击。计算机网络技术应用于教育领域,经历了从传统的纸笔考试到计算机辅助考试,再到实现了真正的无纸化考试。在线式考试不仅可以节省大量的人力、物力,还可以提高考试的效率和质量,降低考试成本,使得网络考试不受时间和空间的限制,并且评测结果更为准确和客观。
将“在线考试系统”作为设计题目主要是为了把教师从传统的卷纸考试的工作中解脱出来,把学生从传统的学习方式中解脱出来。
“考试系统”主要由两个部分组成,分别是:“前台的网页设计”和“后台的题库系统服务”。该系统所能实现的主要模块功能,包括学生信息管理、管理员信息管理、考试科目管理、题库管理、自动组卷、在线考试、自动阅卷、学生成绩管理等功能。本系统采用ASP语言进行开发,集题库管理,在线考试,实时评判于一体,本文分析了计算机考试系统的关键技术以及存在的问题。提出了实现该系统的体系结构,软件功能模块等,系统通过提高考试的效率,增强测试的反馈效果,使教师的教与学生的学更有针对性。
本系统速度快、稳定性强,为学生课程学习、个性化学习提供了灵活、方便、科学的检测手段,经过测试,该系统达到了预期的设计目标,非常适合于学校的考试工作。
关键词:在线考试;ASP技术;数据库开发和应用;随机生成试卷;
目 录
摘 要......................................................................................................................................................2 关键词:................................................................................................................................................2 绪论........................................................................................................................................................4 1 系统实现的关键技术........................................................................................................................4 1.1 ASP技术..........................................................................................................................................4 1.2数据库技术......................................................................................................................................5 1.2.1 数据库技术概述..........................................................................................................................5 1.2.2 ADO与数据库的交互技术..........................................................................................................7 2 系统分析............................................................................................................................................7 2.1分析..................................................................................................................................................7 2.1.1条件的可行性...............................................................................................................................7 2.1.2 技术的可行性..............................................................................................................................7 2.1.3经济上的可行性...........................................................................................................................7 2.1.4考试系统的实用性.......................................................................................................................7 2.2系统构架与开发环境......................................................................................................................8 2.2.1确定系统的构架...........................................................................................................................8 2.2.2选择开发环境...............................................................................................................................8 2.3系统需求分析..................................................................................................................................8 3 数据库分析与设计............................................................................................................................9 3.1数据流程分析..................................................................................................................................9 3.2数据库概念设计............................................................................................................................10 3.3数据库逻辑设计............................................................................................................................10 4系统设计与实现................................................................................................................................11 4.1总体设计.........................................................................................................................................11 4.2 模块的详细设计...........................................................................................................................12 4.2.1管理员子系统.............................................................................................................................12 4.2.2学生管理子系统.........................................................................................................................14 5 系统测试..........................................................................................................................................15 5.1 测试内容.......................................................................................................................................15 5.3测试总结........................................................................................................................................16 6 结 论.................................................................................................................................................16 参考文献..............................................................................................................................................17 致
谢...................................................................................................................错误!未定义书签。
绪论
随着计算机技术的迅猛发展,学校教学和管理的信息化发展也有长足的进步,这就要求各个环节都均衡发展,其中之一是教师如何通过网络了解学生的学习状况。为此,配合传统课堂教学而建立的在线考试系统就显得相当必要。传统的考试都是采用纸、笔为介质的手工考试方式,即使在目前的高等学校,这种方式仍然被广泛使用。随着考试类型的不断增加和考试要求的不断提高,教师的工作量将随之增大。同时,一次考试的反馈能力弱,试题选择随意性大,人为因素明显,且考试时间地点必须固定。因此,传统的考试方式己经不能完全适应现代考试的需要。
随着人们对网络的科学性和广泛性的理解与加深,人们越来越重视考试系统的重要性、题库的扩展性、通用性及组卷部分的应用性等方面的发展。还有网络的普及,使得“在线考试系统”有了更加广阔的应用范围。从传统的纸笔考试到计算机辅助考试,再到最新的计算机在线考试,人们不断地将高新技术服务运用于考试。教师和学生都盼望有一个功能完善、操作简便、适用性强的网络考试系统,在减轻教师的工作负担、提高工作效率的同时,最大限度的排除了人为的因素,保证考试的客观性。考试采用统一标准的计算机改卷方式,具有最佳的客观性、安全性、可靠性,为准确地评估学生的知识和能力水平提供有效的手段。系统实现的关键技术
该在线考试系统的设计遵循软件工程的基本原则,经过可行性分析、需求分析、数据库分析与设计、系统实现、系统测试等几个阶段.系统实现的关键技术包括ASP技术、数据库技术、Web技术等。下面对涉及的技术和相关理论作一个概述。
1.1 ASP技术
ASP(ActiveX Server Pages,动态服务器主页)是微软开发的基于WindowsNT Server和IIS(Internet Information server)服务器端脚本运行环境,利用它可以产生和运行动态的、交互的、高性能的Web服务应用程序。其主要功能是为生成动态的交互式的Web服务器应用程序提供一种功能强大的方法或技术。ASP的主要特性是能够把HTML、VBscript、Javascript、ActiveX组件等有机地组合在一起,形成一个能够在服务器上运行的应用程序,并把按用户要求专门制作的标准HTML 页面送给客户端浏览器。
ASP提供了一个服务器端的Scripting环境,使你能够利用它建立和运行动态的,交互的,高效的网络服务器的应用程序。你只要运行普通的浏览器,不必担心你的浏览器能否运行设计出来的ASP 程序,网络服务器会自动将ASP程序解释成标准的HTML格动态网络考试系统式的网页内容,再送到用户的浏览器端显示出来。这样浏览器只要能运行一般的HTML代码就可以浏览ASP所设计的网页了。ASP内含于IIS 中,它提
供一个服务器(ServerSide)的script环境,可以产生和执行动态的,交互式的,高效率的站点服务器(WebServer)的应用程序。
ASP 并非一个Script语言,而是提供一个可以集成Script语言到HTML主页的环境,ASP文件实际上就是带有.ASP扩展名的文本文件,开发人员甚至可以用任何一个文本编辑器就可以进行编辑。ASP支持共享文件数据库(如Microsoft Access、FoxPro等)作为有效的数据源,此类数据库引擎适合于开发小型的应用程序系统。
综上,ASP技术有如下特点与优势:(1)使用Asp可以组合HTML页、脚本命令和ActiveX组件以创建交互的Web页和基于Web的功能强大的应用程序。(2)使用VBScript、JavaScript等简单易懂的脚本语言,结合HTML标记,即可快速完成网站的应用程序。无须编译,容易编写。(3)使用普通的文本编辑器,如Windows的记事本,Word等都可以进行ASP程序的编辑设计工作。(4)ASP程序与浏览器无关,用户端只要使用可执行HTML码的浏览器,即可浏览Asp所设计的网页内容。(5)提高了程序的安全性,ASP的源程序不会传到用户的浏览器上,因而可以避免所写的源程序被他人剽窃。
1.2数据库技术
数据库技术主要研究如何存储、使用和管理数据,是计算机数据管理技术发展的新阶段,也是计算机技术中发展最快、应用最广的技术之一。当前,数据库技术已成为现代计算机信息系统和应用系统开发的核心技术,数据库已成为计算机信息系统和应用系统的组成核心。
1.2.1 数据库技术概述
数据库技术涉及到以下几个最重要的概念: ① 数据库(DataBase)是长期储存于计算机内、有组织的、可共享的数据集合。数据库中的数据按一定的数据模型组织、描述和储存,具有较小的冗余度、较高的数据独立性和易扩展性,并可为一定范围内的各种用户共享。
② 数据模型是数据特征的抽象,描述的是数据的共性。数据模型应满足三个方面的要求: 于在计算机上实现。
③ 数据库管理系统(DBMS)是操纵和管理数据库的软件系统,它由一组计算机程序构成,管理并控制数据资源的使用。它是数据库系统的核心,主要是实现对共享数据有效的组织、管理和存取,它的基本功能包括以下几个方面:(1)数据定义(DD)(2)数据操纵(DM)功能(3)数据库的运行管理
(4)数据组织、存储和管理功能(5)数据库的建立和维护功能
(6)其他功能
当前流行的数据库管理系统绝大多数是关系型数据库管理系统,本系统采用以微型机系统为运行环境的数据库管理系统Access。
Access主要特点如下:
① 存储方式单一
Access管理的对象有表、查询、窗体、报表、页、宏和模块,以上对象都存放在后缀为(.mdb)的数据库文件种,便于用户的操作和管理。
② 面向对象
Access是一个面向对象的开发工具,利用面向对象的方式将数据库系统中的各种功能对象化,将数据库管理的各种功能封装在各类对象中。它将一个应用系统当作是由一系列对象组成的,对每个对象它都定义一组方法和属性,以定义该对象的行为和外国,用户还可以按需要给对象扩展方法和属性。通过对象的方法、属性完成数据库的操作和管理,极大地简化了用户的开发工作。同时,这种基于面向对象的开发方式,使得开发应用程序更为简便。
③ 界面友好、易操作
Access是一个可视化工具,风格与Windows完全一样,用户想要生成对象并应用,只要使用鼠标进行拖放即可,非常直观方便。系统还提供了表生成器、查询生成器、报表设计器以及数据库向导、表向导、查询向导、窗体向导、报表向导等工具,使得操作简便,容易使用和掌握。
④ 集成环境、处理多种数据信息
Access是基于Windows操作系统下的集成开发环境,该环境集成了各种向导和生成器工具,极大地提高了开发人员的工作效率,使得建立数据库、创建表、设计用户界面、设计数据查询、报表打印等可以方便有序地进行。
⑤ Access支持ODBC(开发数据库互连,Open Data Base Connectivity),利用Access强大的DDE(动态数据交换)和OLE(对象的联接和嵌入)特性,可以在一个数据表中嵌入位图、声音、Excel表格、Word文档,还可以建立动态的数据库报表和窗体等。Access还可以将程序应用于网络,并与网络上的动态数据相联接。利用数据库访问页对象生成HTML文件,轻松构建Internet/Intranet的应用。
相联接。利用数据库访问页对象生成HTML文件,轻松构建Internet/Intranet的应用。
基于以上优点,本系统使用Access数据库技术。
当前数据库技术的发展呈现出与多种学科知识相结合的趋势,凡是有数据产生的领域就可能需要数据库技术的支持,它们相结合后就会出现一种新的数据库成员而壮大数据库家族。例如数据仓库技术、数据挖掘技术、Web数据库技术等。
1.2.2 ADO与数据库的交互技术
当用户需要浏览器与服务器交互的时候,通常需要访问数据库。因为只有数据库技术才能够大量、快速地处理信息。
ADO是独立于开发工具和开发语言的数据访问接口,它提供了程序开发人员、应用程序实时存取各类数据库的能力,可以轻松地完成对各类数据库的查询,存取等操作。又被称为通用数据访问(UDA),其数据源包括数据库,电子邮件,文件,文本,图形等。使用ADO不仅可以读取Access和SQL Server数据库,也可以读取其他与ODBC兼容的数据库。ADO最主要优点是:易于使用、速度快、支出内存小。对数据库的操作步骤为: ① 创建数据源名(DSN)② 创建数据库连接(Connection)③ 创建数据库对象;④ 操作数据库;⑤ 关闭数据库对象和连接。系统分析
2.1分析
2.1.1条件的可行性
目前各高校都开通了校园网络,而且教育主管部门也提出了对教学观念、手段的改革,这些为在线考试系统的开发应用,提供了基础条件和管理支持。
同时各高校都拥有数量众多的计算机设备,学生也普遍具备了熟练操作计算机的基本技能,这些都说明使用计算机进行测试或考试是完全可行的。2.1.2 技术的可行性
本小组同学掌握了一定的开发在线考试系统所必须的技术,并且当前的软、硬件技术能够满足设计考试系统的要求。
本系统采用ASP语言进行系统开发,ASP提供了强大的WEB应用程序开发能力,能够满足开发需求并实现所需功能。由于Access具有强大的数据管理与处理能力,符合考试系统的需求,因此选择Access作为后台数据库。在技术上具有可行性。2.1.3经济上的可行性
在线考试系统的广泛应用,可以节约大量的人力、物力和财力。它节省了纸张,减轻了教师的工作强度,从而节省了考试开支,投资少,见效快。因此,使用网络考试有显著的经济和社会效益,也将成为今后考试的发展趋势。2.1.4考试系统的实用性
本系统能够处理单选题、多选题、填空题、简答题、论述题等题型,这些题型涵盖了大部分学科的考试题型。对于单选题、多选题、判断题等客观题型采用计算机自动评
分,对于填空题、简答题、论述题等主观题型,则由教师人工阅卷作为补充。因此,在线考试系统具有一定的实用性。
综上所述,实现在线考试系统无论从条件、技术,还是经济性、实用性都具备可行性。
2.2系统构架与开发环境
2.2.1确定系统的构架
目前,基于计算机网络技术的考试系统大都建立在网络数据库访问技术上,其工作模式多为C/S模式和B/S模式。
① C/S 模式需要开发客户和服务器软件,且由于相当部分功能集成在客户机上,使客户机的功能日趋复杂,被人们戏称为“胖客户机”。其开发、发布、移植的工作量非常大,也非常繁琐,维护和管理的开销也不少,更不利于考试系统的安全。
有的 C/ S模式的考试系统甚至将功能全部集成在服务器端,使考试系统的界面、数据访问、数据存储、数据管理等都由服务器端程序完成,从而使服务器成为网络数据访问的瓶颈。当考试期间大量考生访问服务器时,导致服务器响应缓慢,甚至出现服务器塞机现象。C/S结构还存在灵活性差、升级困难和系统安全性差等缺陷,已较难适应当前信息技术与网络技术发展的需要。
② B/ S 模式的数据库体系,客户端软件仅需安装浏览器,用户的应用程序界面比较单一,客户端硬件配置要求较低,易于管理和维护,而且开发效率高、周期短、见效快,与具体平台无关,具有极强的伸缩性,可以选择不同厂家的设备和服务,采用公开的标准和协议,系统资源的冗余度小,可扩充性良好,是目前的主流技术。
当然 B/ S模式的网上考试系统也有一定的局限性,例如,在数据查询等响应速度上,要远远地低于C/S体系结构。
由上可知,C/S与B/S结构各有所长。基于实际情况,综合利弊,本考试系统选择B/S模式的体系结构,并注意在设计时对不足之处加以改进和完善,使所设计的在线考试系统的功能更加完善,更好地为考试服务。2.2.2选择开发环境
开发平台或工具的选择,是软件开发成功的要素之一。开发工具的选择主要决定于两个因素:所开发系统的最终用户和开发人员。
ASP提供了强大的WEB应用程序开发能力,同时ASP可以通过ADO组件提供的接口访问数据库,便于开发出功能强大的Web数据应用程序。因此选择ASP作为前台开发工具。本考试系统的调试环境为Windows XP,IIS 5.1,IE 6.0。由于Access具有强大的数据管理与处理能力,符合考试系统的需求,因此选择Access作为后台数据库。
2.3系统需求分析
一个在线式网上考试系统的基本功能是使用计算机来代替人工完成考试中需要完
成的一系列任务,为了保证系统能够长期、安全、稳定、高效的运行,系统应该满足以下的性能需求: 首先,应在考试之前建立有关学科的试题库,并设置考试参数和信息。其次。考生进考试系统后,应该能根据自己的需要选择考试科目,所以该系统应具有考试科目选择的功能。鉴于在线考试环境一般为机房,为了在线考试的规范性,对于每个应试者来说,试卷的题型和题量都应是相同的,但试题并不相同。在线考试基于网络环境,试卷应该从服务器的试题库随机抽取试题后动态生成的。另外,系统还应该对考试时间进行控制,时间到了会要求考试者交卷。考试者选择提交后,应该由计算机自动判卷显示成绩。此外,应该能够方便、快捷的对在线考试系统进行管理。
本系统应具有以下功能或目标: ① 用户登录。
② 用户管理:管理员对用户增加、删除。
③ 试题库管理:对各题型的管理,试题的录入、增加、编辑、删除等。④ 试题参数设置:知识范围、题型、数量、分值等。
⑤ 试卷生成:可以指定试卷的各题型的数量,从试题库里随机抽取试题生成一份考卷。
⑥ 在线考试:系统严格控制整个考试过程,考生需要在限定的考试时间内交卷。⑦ 计算机自动阅卷:能够自动评分,最后计算机生成每个考生的成绩,并将结果保存于考生成绩数据库。
⑧ 综合查阅:不同的用户,根据不同的权限,可以对考生试卷、成绩等信息进行查询,并能够删除指定纪录。
⑨ 在线考试系统应该具备友好4.数据库分析与设计
数据库技术对数据处理量大、数据类型复杂,以及对数据的存储、维护、检索、分类、统计等诸多方面具有强大的功能。数据库独立于程序而存在,具有较好的安全性,本考试系统使用Microsoft Access作为后台数据库。数据库分析与设计
3.1数据流程分析
通过对系统功能需求,以及功能模块的划分情况的深入研究分析,可以得到如图4.1所示的在线考试系统的数据流程图。
简洁的操作界面,安全性要高,稳定性要强,能够满足多人以上同时及进行在线考试。
图4.1 系统数据流图
3.2数据库概念设计
在线考试的主要实体为:管理员、教师、考题、学生,并简要地设计出如图4.2所示E-R关系图,为数据库的逻辑结构设计奠定基础。
图4.2 E-R简图
3.3数据库逻辑设计
数据库的逻辑设计是将数据的概念结构转化为Access数据库系统的实际模型,从而得到数据库的逻辑结构,以便在数据库中建立表结构。
本考试系统主要包括5个数据库表,1.question表用于计算机基础题库的建立,将题目通过试题编辑系统输入其中,为考题来源。2.subject 表用于题库类别的建立3.student表用于学生信息的写入。4.score表用于系统自动评分以后,成绩的写入。5.admin表。各表的结构如表4.1-4.5所示。
表4.1 question 表
表4.2 s ubject 表
4系统设计与实现
4.1总体设计
在线考试系统使用B/S模式,运行于Windows平台,使用1E浏览器,完成考试管理、在线考试、成绩查询等一系列考试任务。
根据前面的系统分析,以及对在线考试系统的深入研究和分析,本系统总体上可以分为三个部分:管理员子系统、教师子系统、学生子系统,分别面向管理员、教师、学生,其系统总体结构如图5.1所示。
图5.1 在线考试系统总体结构图
要实现上述各项功能,本系统基于ASP+ Microsoft Access进行设计开发,最终以WEB方式运行于服务器端。
4.2 模块的详细设计
4.2.1管理员子系统
4.2.1.1管理员子系统功能概述
管理员子系统是管理员专用的。本模块主要功能有: ① 教师信息管理
(1)增加教师的用户名、姓名、密码、操作权限等信息。
(2)修改教师信息,可以修改的数据包括用户名、姓名、密码、操作权限等信息等。(3)删除教师信息。② 学生信息管理
(1)增加考生信息,包括考号、姓名、登录密码等。(2)修改考生信息,包括考号、姓名、登录密码等。(3)删除考生信息。③ 成绩查询统计
(1)查询考生成绩,可按照考生编号、试卷编号、所得的总分数来进行查询。
(2)将查询或统计的结果进行打印。
4.2.1.2管理员子系统数据流程图
图5.2 管理员子系统数据流程图
4.2.1.3 用户登录界面
当在IE中运行本系统时,用户可分别以教师、学生的身份登录,管理员以admin为用户名登录,但操作的权限不同。用户登录界面如下:
4.2.1.3 管理界面
、图5.4 管理界面
4.2.1.4 编辑学生信息界面
图5.5 编辑学生信息界面
4.2.2学生管理子系统
4.2.2.1学生管理子系统功能概述
学生子系统主要为参加考试的学生提供在线考试、查询考试成绩等功能服务。本模块完成的主要功能有:
① 登录考试系统
要求对以学生名义登录的用户进身份验证,避免无关的垃圾数据进行考试 系统,影响成绩统计和分析工作。
②在线考试
此功能是网上考试系统的主要功能。
(1)只有通过验证的考生,方可进入考试界面。
(2)考生登录后,选择考试科目。如果没有所需要科目,则不能进行考试。(3)选择试卷。考生可从已经组卷的各套试卷中,任意选择一套。系统自动生成考生的答卷。
(4)系统自动计时。进入考试页面后,自动计时器自动开始工作,根据设置的考试时间计时。当考试时间到,自动结束考试并保存考卷。
③ 考试成绩查询。在考试结束后,考生可以立即查看考试成绩。5.2.2.2 学生子系统流程图
图5.6 学生子系统流程图
5.2.2.3 在线考试界面
图5.7 在线考试界面 系统测试
应用软件制作完成后,要保证它整体的质量,即要保证程序能从头至尾地无差错的执行就要进行测试,系统测试主要是要看这个应用产品是否满足用户的需求和系统整体的严密性要求,较好的质量是要依赖于精心的分析、设计和完整细心的测试。这就要我们在做好每一步程序的同时,要时时监督并改善软件的开发过程,通过针对性的测试,提早的发现潜在的问题,以便能让程序设计者能尽快的对系统的错误进行修改、补充,尽量使测试细化,能覆盖到整个系统。对于一个完整的软件系统,通常可以从其外部特性、内部特性等几个方面来评价质量。
5.1 测试内容
对开发完成的系统要进行针对性的测试,测试的内容包括以下几点: ① 代码中测试系统对输入的非法数据的反应
在系统启动登录时,输入错误口令,系统将提示“用户名或密码输入有误’、用户将继续输入口令,如果输入的次数超过3次,则退出程序。
② 测试录入的数据是否正确存储
当录入完某个试题数据后,选择保存,系统将返回上一画面并且同时显示刚录入的记录,这就说明数据已经正确存储。
③ 测试当选择某些条件时是否能正常显示要查询的记录
当选择完某些条件时,按查询,如果能够显示所要查询的记录,这就说明数据的查询功能是正常的。
④ 测试系统是否能正常的生成试卷 ⑤ 测试系统是否能正常的进入考试系统 ⑥ 测试试卷内容和分数是否正确。⑦ 数据之间的连接是否正确 6.2测试手段
① 自己对于源代码的编写,一边编写,一边测试。② 可通过自带的强大调试工具进行调试。
③ 让其他教师和学生作系统的用户来使用本系统,找出系统中存在的问题。
5.3测试总结
本系统经过一系列的针对性的测试,对于各个非法数据的输入,系统都给出了错误的窗口警告,提示用户使用正确的数据,使用户的要求能够得到满足,整个系统的逻辑功能正常,添加和删除、修改的合法数据能够做到真正的实现,查询结果能正确的显示出来,试卷内容和试卷分数(试卷输出分数和人工计算结果一致)。虽然目前所进行的一切测试,其测试结果都是正确的,但这并不能说明本系统就是完美无缺的,只能证明程序功能是正确的,并不能证明程序的动态性是符合要求的,只有用户长期的使用才能得到真正的验证。所以,系统要进行长期地、不断地测试,发现一个新问题,就要修正一个问题,更好、更快、更完善的维护系统的性能。结 论
毕业设计的主要任务是设计和开发一个在线考试系统,替代传统的考试方式。本人参与该开发工作以来,阅读大量参考文献,研究了同类系统的功能和流程,完成了在线考试系统的设计和开发工作。从该系统的测试结果来看,基本达到了预期的目标,具有较强的实用性,取得了明显的效果。网络考试系统的研制与设计,不仅对于改变传统的考试方式有着深远的意义,而且对于远程教育也具有重要的应用价值。
通过这次毕业设计,我充分锻炼了自己的思考和动手能力,学习了ASP、Access的相关知识,并对其有了比较深入的了解。从学习相关参考资料开始,到自己动手编写程序,至调试程序,完成毕业设计任务。在这个过程中,我不但熟练掌握ASP,更重要的是锻炼了从多方面思考问题、解决问题的能力。此次毕设我真的是受益匪浅。
参考文献
[1]杨春明.Web方式下通用考试系统的设计与实现.计算机与现代化.2008.5 [2]侯鸿林,朱向峰基于WEB的考试系统的实现.教育信息化.2005.7 [3]谭浩强.网页编程技术.北京:清华大学出版社.2002.6 [4]明仲,戚杰基于Web的网上考试系统的设计与实现.中国电化教育.2004.5 [5]殷大发无纸化考试系统的研究和开发团.计算机与现代化.2006.1 [6]魏希三.B/S模式的网上考试系统中关键模块的设计及实现.福建电脑.200.8 [7]李新叶.基于ASP的网上题库与在线考试系统.微机发展.2004 [8]注永明.基于B/S模式的在线考试系统.微机发展.2005.7
点击咨询 