虚拟路由器即Virtual Router,是指在软、硬件层实现物理路由器的功能仿真,属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表,这样就使不同VPN间的地址空间可以重用,并保证了VPN内部路由和转发的隔离性。用以建设骨干IP网络的设备中出现的新进展,尤其是虚拟骨干路由技术的出现,为Internet服务分配中的全面变化创造了条件。 虚拟路由器将使与其他网络用户相隔离并提供对网络性能、Internet地址与路由管理以及管理和安全性的新型Internet服务成为可能。虚拟骨干网路由器在逻辑上将一台物理路由器分为多台虚拟路由器。每台虚拟路由器运行路由协议不同的实例并具有专用 的I/O端口、缓冲区内存、地址空间、 路由表以及网络管理软件。 基于虚拟骨干路由器的服务无需增加投资,就可使客户机具有运行专用骨干网的控制权和安全性。控制和管理虚拟路由功能的软件是模块化的软件。软件的多个实例(对应于多个虚拟路由器)在真正的多处理器操作系统(如Unix)上执行。 每个虚拟路由器进程利用操作系统中固有的进程与内存保护功能与其他进程相隔离,这就保证了高水平的数据安全性,消除了出故障的软件模块损坏其他虚拟路由器上的数据的可能性。 当连接到高速SONET/SDH接口时,为获得线速性能,许多运营商级路由器具有的包转发功能是通过硬件实现的。在具有虚拟路由功能的系统中,这类硬件功能可以在逻辑上被划分并被灵活地分配给一个特定的虚拟路由器。 接收和发送数据包的物理I/O 端口或标记交换路径被置于组成一台虚拟交换机的软件模块的控制之下。包缓冲内存和转发表受每台虚拟路由器资源的限制,以保证一台虚拟路由器不会影响到另一台虚拟路由器的运行。 虚拟路由技术使每台虚拟路由器执行不同的路由协议软件(例如,最短路径优先、边界网关协议、中间系统到中间系统)和网络管理软件(例如,SNMP或命令行界面)的实例。因此,用户可以独立地监视和管理每台虚拟路由器。 不同的协议实例赋予每台虚拟路由器完全独立的IP地址域,这些地址域可以独立地进行配置,不会出现造成冲突的危险。管理功能使每台虚拟路由器可以作为一个独立的实体进行配置和管理。基于用户的安全模块还保证所有的网络管理功能和属于某一虚拟路由器的信息只 能供一定的访问特权访问。 每台虚拟路由器的包转发路径与其他虚拟路由器的包转发路径相隔离,从而使管理人员可以单独和独立地管理每台虚拟路由器的性能。系统中一台虚拟路由器上出现的传输流激增不会影响其他的虚拟路由器。这就保证了这种服务的最终用户得到持续的网络性能。 虚拟路由器还提供独立的策略和Internet工程任务组差别服务(Diff-Serv)功能,使虚拟路由器可以向最终用户提交完全的定制服务。分配给每台虚拟路由器的I/O端口可以进行编程以对输入包进行计数并保证输入包不超过预先规定的合同。然后包根据自己的服务类型分类进入多条队列。 随着虚拟路由功能在骨干网中变得更加普及,在动态精确地满足最终用户的带宽需要的同时,它所具有的提供最终用户对带宽的最大限度的控制和管理的功能将带来许多在价格上具有竞争力、高度定制的IP服务。这些服务将大大改变提供商和客户看待购买带宽世界的方式 。虚拟路由器冗余协议(VRRP:Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。 一、 应用实例 最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于 RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。 在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组 2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。 VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。 使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。 二、工作原理 一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟 MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。 VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。 在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若 VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。 IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
以下就是我为大家带来的无线 网络技术 论文三篇。
无线网络 技术论文一
试想一下,在有线网络时代,用户的活动范围受限于网线,无论到哪里必须要拖着长长的缆线,为寻找宽带接口而苦恼。为此,无线网络应运而生。和有线网络相比,虽然无线网络的带宽较小;相对目前的有限网络有较多的等待延迟;稳定性较差;无线接入设备的CPU、内存以及显示屏幕等资源有限等 缺陷。但无线网络可适应复杂的搭建环境,搭建简单,经济性价比强,并且最大的优点是可以让人们摆脱网线的束缚,更便捷,更加自由的沟通。故自开发之初,就迅速抢占着市场。目前无线网络从覆盖范围上可以大致分成以下三大类:(1)系统内部互联/无限个域网(2)无线局域网(3)无限城域网/广域网。故本文就此介绍各类无线网络的的应用现状。
一、无限个域网(WPAN)
无线个域网主要采用IEEE802.15标准。无限个域网可以看成是无线局域网的一个特例。其覆盖半径只有几米。其主要应用范围包括:语音通信网关、数据通信网关、信息电器互联与信息自动交换等。WPAN通常采用微微蜂窝或毫微微蜂窝结构。WPAN是当前发展最迅速的领域之一,相应的新技术也层出不穷,主要包括蓝牙技术、IrDA、Home RF、超宽带技术和ZigBee技术等,具体介绍如下:
(一)蓝牙技术 是一种支持点对点,点对多点语音和数据业务的短距离无线通信技术。其基本网络结构是微微网。其优点在于低功耗、具有很强的可移植性,集成电路简单,易于推广等。蓝牙技术工作在全球通用的2.45GHz ISM频段,消除了国界的限制,可在短距离中互相连接,实现即插即用,在无线电环境非常嘈杂的环境下,其优势更加明显。目前在为3个使用短距离无线连接的通用应用领域提供支持,分别是数据和语音接入点、电缆替代和自组网络。
(二)IrDA技术 是目前几种技术中市场份额最大的,它采用红外线作为通信媒介,支持各种速率的点对点的语音和数据业务,主要应用在嵌入式系统和设备中。
(三) Home RF 用于在家庭区域内,在PC和用户电子设备之间实现无线数字通信的开放式工业标准。
(四)超宽带技术 是一种新技术,其概念类似于雷达,它的高性能和低功耗的优点将使它成为未来市场的强有力的竞争者之一。
(五)ZigBee技术 是一种新兴的短距离、低速率无线网络技术。它是一种介于无限标记技术和蓝牙之间的技术提案,主要用于近距离无线连接。
二、无线局域网(WLAN)
无线局域网主要采用IEEE802.11标准。通过利用空中的电磁波代替传统的缆线进行信息传输,可以作为有线网络的延伸、补充或代替。相比较而言,无线局域网具有以下优点,
(一)移动性:通信范围不在受环境条件的限制,可以为用户提供实时的无处不在的网络接入 功能,使用户可以很方便地获取信息。
(二)灵活性:无线局域网的组网方式灵活多样,可方便的增减、移动、修改设备。
(三)经济型:无线局域网可用于物理布线困难或不适合进行物理布线的地方,可将网络快速投入使用节省人缘费用。
它是目前发展最热的无线网络类型,具体应用非常广泛,应用方式也很多,但目前还只能用于不移动或慢速移动的用户或业务,可能会在不久的将来开发出适合高速移动的无线局域网。按应用类型分为两大类,一类是有固定基础设施的,一类是无固定基础设施。无固定基础设施无线局域网又叫自组网络(Ad Hoc),其中最突出的是移动Ad Hoc网络,它在军用和民用领域有很好的应用前景,它可在任意通信环境下迅速展开使用、能够对网络拓扑变化做出及时响应。是目前和未来发展前景看好的一种组网技术。
三、无限广域网(WWAN)
无线广域网主要采用IEEE802.20标准。它更强调快速移动性,其连接能力可覆盖相当广泛的地理区域。但其信息速率通常不是很高,只有115kb/s。当前无线广域网多是移动电话及数据服务所使用的数字移动通信网络,常用的有GSM移动通信系统和卫星通信系统,而3G、4G技术也都属于无限广域网技术。该技术是使得 笔记本 计算机或者其他的设备装置在蜂窝网络覆盖范围内可以在任何地方连接到互联网。
四、结束语
基于Wi-Fi技术的无线网络不但在带宽、覆盖范围等技术上均取得了极大提升,同时在应用上,基于Wi-Fi无线应用也已从当初“随时、随地、随心所欲的接入”服务转变成车载无线、无线语音、无线视频、无线校园、无线医疗、无线城市、无线定位等诸多丰富的无线应用。以后,无线网络在学术界、制造业、仓库业、医疗界等扮演着至关重要的角色。但对于无线网络来说,在应优先解决以下问题:(1)加强移动设备管理(MDM)和安全系统;(2)部署大规模语音和视频无线局域网;(3)无线局域网控制器安装在企业内部还是外部? 这些问题是最迫切需要解决的,也是决定未来无线网络所扮演的角色。
无线网络技术论文二
说到无线网络的历史起源,可以追朔到五十年前的第二次世界大战期间,当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技,并且采用相当高强度的加密技术,得到美军和盟军的广泛使用。这项技术让许多学者得到了一些灵感,在1971年时,夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络。这被称作ALOHNET的网络,可以算是相当早期的无线局域网络(WLAN)。它包括了7台计算机,它们采用双向星型拓扑横跨四座夏威夷的岛屿,中心计算机放置在瓦胡岛上。从这时开始,无线网络可说是正式诞生了。
从最早的红外线技术到被给予厚望的蓝牙,乃至今日最热门的IEEE 802.11(WiFi),无线网络技术一步步走向成熟。然而,要论业界影响力,恐怕谁也比不上WiFi。
Wi-Fi (wireless fidelity(无线保真) 的缩写)为IEEE定义的一个无线网络通信的工业标准(IEEE802.11)。 Wi-Fi第一个版本发表于1997年,其中定义了介质访问接入控制层(MAC层)和物理层。物理层定义了工作在2.4GHz的ISM频段上的两种无线调频方式和一种红外传输的方式,总数据传输速率设计为2Mbits。两个设备之间的通信可以自由直接(ad hoc)的方式进行,也可以在基站(Base Station, BS)或者访问点(Access Point,AP)的协调下进行。
下面介绍一下Wi-Fi联接点网络成员和结构:
站点(Station) ,网络最基本的组成部分。
基本服务单元(Basic Service Set, BSS) 。网络最基本的服务单元。最简单的服务单元可以只由两个站点组成。站点可以动态的联结(associate)到基本服务单元中。
分配系统(Distribution System, DS) 。分配系统用于连接不同的基本服务单元。分配系统使用的媒介(Medium) 逻辑上和基本服务单元使用的媒介是截然分开的,尽管它们物理上可能会是同一个媒介,例如同一个无线频段。
接入点(Acess Point, AP) 。接入点即有普通站点的身份,又有接入到分配系统的功能。
扩展服务单元(Extended Service Set, ESS) 。由分配系统和基本服务单元组合而成。这种组合是逻辑上,并非物理上的--不同的基本服务单元物有可能在地理位置相去甚远。分配系统也可以使用各种各样的技术。
关口(Portal) ,也是一个逻辑成分。用于将无线局域网和有线局域网或 其它 网络联系起来。
这儿有3种媒介,站点使用的无线的媒介,分配系统使用的媒介,以及和无线局域网集成一起的其它局域网使用的媒介。物理上它们可能互相重迭。IEEE802.11只负责在站点使用的无线的媒介上的寻址(Addressing)。分配系统和其它局域网的寻址不属无线局域网的范围。
IEEE802.11没有具体定义分配系统,只是定义了分配系统应该提供的服务(Service) 。整个无线局域网定义了9种服务,5种服务属于分配系统的任务,分别为,联接(Association), 结束联接(Diassociation), 分配(Distribution), 集成(Integration), 再联接(Reassociation) 。4种服务属于站点的任务,分别为,鉴权(Authentication), 结束鉴权(Deauthentication), 隐私(Privacy), MAC数据传输(MSDU delivery) 。
简单而言,WIFI是由AP(Access Point)和无线网卡组成的网络。AP一般称为网络桥接器或接入点,它是当作传统的有线局域网络与无线局域网络之间的桥梁,也是无线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的hub或者是路由,而无线网卡则是负责接受由AP所发射信号的CLIENT端设备。
虽然WIFI无线技术在前进的路上遇到了很多困难,但是随着产品技术的进步和技术标准的统一,WIFI一定会带给人们更大的便利和更光明的前景,无线网络技术也会向着更主流的方向发展。
无线网络技术论文三
一、引言
在人们即将迈入21世纪的时候,网络不知不觉成为每个人生活当中不可或缺的一部分,每天用它来查询所需的资料、浏览各方面的新闻、甚至查询当天出行的路线等等。 然而人们想要完成所有这些事情,基本上都是通过有线网络。对于慢慢发展起来的无线网络,大多数人都对它很陌生,而且目前在国内,如果你要使用它的话,费用还挺贵,因此,一些客观的原因导致大部分人远离它,甚至都从不过问它。
其实,无线网络是网络时代的一种进步、一种改革。它可以让生活变得更便捷,并且也推动着整个社会的进步;所以,为了让那些不懂它或者不想接近它的人,更多地知道、了解它,让它们去接触、甚至慢慢使用上它,下面就从五个方面简单地介绍一下无线网络。
二、无线网络的诞生
从1969年因特网诞生于美国开始至今,网络的历史并不算长;下面可以通过一个小小的 故事 来说明,故事开始于当年的8月30日,由BBN公司制造的第一台“接口信息处理机”简称IMP1,在预定日期的前两天抵达了加利福尼亚大学。克兰罗克是当时进行这次实验的教授,还有他的40多名工程技术人员和研究生。然而就在10月初的时候,第二台IMP2运到了阿帕网试验的第二节点,即斯坦福研究院(简称:SRI)。
经过数百人一年多时间的紧张研究,阿帕网远程联网试验即将正式实施。那台由IMP1联接的大型主机叫做Sigma-7,已运至加利福尼亚大学,与它通讯的那台SRI大型主机叫作SDS 940的机器,也在同一时间到达,经过一到两个月的准备工作,于10月29日晚上,在全球首次实现两台机器之间的通信实验,克兰罗克教授立即命令他的研究助理、加利褔尼亚大学学生名叫查理·克莱恩(英文名:C. Kline),坐在一台名叫IMP1的终端前面,吩咐他要戴上耳机和麦克风,通过长途电话随时与另外一名负责SRI终端操作的技术员保持密切联系。
实验就这样开始了,据当时克莱恩的回忆,是他的教授让他首先传输5个字母,分别为:L、O、G、I、N。用它们来确认分组交换技术的传输效果。并且教授指导它,只需要键入其中的L、O、G三个字母,使IMP1机器传送出去,再由SRI机器自动产生“IN”,最后合成为前面要实现的五个字母组合,即:LOGIN。经过教授指导及克莱恩与SRI终端操作员的配合,就在22点30分的时候,带着激动的心情,C.Kline就开始在键盘上敲入第一个字母“L",然后对着麦克风喊:“请问您收到‘L’了吗?” 另外一头的回答是:“是的,我收到了‘L’。”
他继续做着同样的工作……
“你收到O吗?
“是的,我收到了‘O’了,
就这样一步接着一步地继续下去,突然出现了一个出乎意料的结果,IMP1仪表显示传输系统崩溃,通讯无法继续进行下去。克兰罗克教授与他的四十名学生在世界上的第一次互联网络的通讯试验宣告结束,当时仅仅传送成功两个字母L、与O、,也就这次字母传送实验真真切切地标志着网络的真正诞生;历史上把这一次事件的发生作为了互联网诞生的见证。
无线网络的诞生呢?那要追溯到第二次世界大战,那时的美国在科技方面领先于其他国家,不管是在通信还是网络方面,因此美国的陆军就采用了无线电信号,利用一套无线电传输技术,此技术具有高强度的加密保护功能,开始了他们在战场上的技术突破。从这一刻起,无线网络也算是正式诞生了。
三、无线网络的概念与安全
(一)概念
所谓无线网络,顾名思义,就是一种不需要通过线缆这种介质来做传输而已,另外用户可以建立远距离无线连接的一种全球语音和数据的网络,它与有线网络的用途十分类似,最大的不同除了传输介质:无线电技术取代网线之外,在分类上和有线网络也稍有区别,分无线个人网、无线局域网、无线城域网。
在一个无线局域网内,常见的设备有:无线网卡、无线网桥、无线天线、和无线路由器等等无线设备。一旦建立起一个局域网之后,无线网络就会存在着一定的辐射危险,甚至可以说比有线网络在时间以及范围上显得更加强烈,所以,为了尽少量地受到辐射,应该把常用的无线路由、无线AP摆放在离我们人体和离卧室远一些的地方,还要注意避免把一些无线产品过分靠近音响、电视等电子产品,防止它们之间互相的干扰产生的其它辐射。总之,只要我们与它保持较远的距离,避免长时间呆在无线网络环境中所产生的累积效应,养成一种良好的习惯,那么无线网络的辅射就对人类构不成多大的威协。
(二)安全
在使用无线网络的时候,安全性固然重要,在安全防范方面,与有线网络存在非常大的区别,无线网络的安全主要可以从以下六个方面进行把握:
1.采用强力的密码。谈到密码,是一个让人非常敏感的东西,足够强大的密码可以让暴力解除成为不可能实现的情况。相反,如果密码强度不够,几乎可以肯定会让你的系统受到损害。所以,不但要设密码,而且还要足够强力才行。
2.严禁广播服务集合标识符(简称:SSID)。SSID其实就是给无线网络的一种重命名,假如不能对它进行保护的话,带来的安全隐患是非常严重的。同时在对无线路由器配置的时候,须禁止服务集合标识符的广播,尽管不能带来真正的安全,但至少可以减轻威胁程度,因为很多初级的恶意攻击者都是采用扫描的方式寻找一些有漏洞的系统作为它们的突破口。一旦隐藏了服务集合标识符这项功能,也就大大降低了破坏程度。
3.采用有效的无线加密方式。相反,另一种动态有线保密方式其实并不算很有效。使用象aircrack等类似的免费工具,就可以在短短的几分钟里找出动态有线等效保密模式加密过的无线网络的漏洞;无线网络保护访问是目前通用的加密标准,当然,你也可以选择使用一些更强大有效的方式。毕竟,加密和解密的斗争是无时无刻不在进行的。
4.采用不同类型的加密。不要仅仅依靠以上谈到的无线加密手段来保证无线网络的整体安全。不同类型的加密可以在系统层面上提高安全的可靠性。例如:OpenSSH就是一个不错的加密选择,它可以在同一网络内的系统提供安全通讯,即使需要经过因特网也没有问题。与采用了SSL加密技术的电子商务网站是有着异曲同工之妙的。实际上,为了达到更安全的效果,建议不要总更换加密方式。
5.控制介质访问控制地址层。即我们所说的MAC地址,单独对其限制是不会提供真正的保护。但是,像隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问,是可以确保网络不会被初级的恶意攻击者骚扰的。另外此种 方法 对于整个系统来说,无论是新手的恶意攻击还是专家的强烈破坏,都能起到全面的防护,保证整个系统的安全。
6.监控网络入侵者的活动。众所周知,人类无时无刻不在使用着网络。所以入侵者也随时会攻击到你的网络中来,那么你就需要对攻击的发展趋势以及了解它们是如何连接到你的网络上来的进行一定的跟踪,为了提供更好的安全保护依据,你还需要对日志里扫描到的相关信息进行分析,找出其中更有利的部分,以备在以后出现异常情况的时候给予及时的通知。总之,在随着社会的进步、科技的不断更新,未来,我们更需要对以上十点进行理解性地记忆与灵活性地变通使用。
四、无线网络的技术与应用
目前,在国内无线网络的技术并不算很盛行,与有线网络相比,它还不是很成熟,可是,发展至今,在无线的世界内,新技术层出不穷、新名词是应接不暇。例如:从无线局域网、无线个域网、无线体域网、无线城域网到无线广域网;从移动AdHoc网络到无线传感器网络、无线 Mesh网络;从Wi-Fi到WiMedia、WiMAX;从IEEE802.11、IEEE802.15、IEEE802.16到IEEE802.20;从固定宽带无线接入到移动宽带无线接入;从蓝牙到红外、HomeRF,从UWB到ZigBee;从GSM、GPRS、CDMA到3G、超3G、4G等等。
在应用方面,其中两种主要的方式分为:GPRS手机无线网络和无线局域网。从某种意义上来说,GPRS手机无线网可称作是目前社会上一种真正意义的网络,它主要是通过移动电话网络来接入Internet的,所以只要你所在的区域开通了GPRS业务,那么不管在任何一个角落都可以实现上网;后者呢,主要是与有线网络作比较,突出它的便捷性,因为它是利用射频技术(即:Radio Frequency简称:RF)来实现的一种数据传输系统, RF取代了旧式的那种通过双绞铜线来实现上网的烦索性;另外,除了以上谈到两种主流方式,在当今快速发展的科技形势下,我国通信方面出现了移动的TD-SCDMA和电信的CDMA2000以及联通的WCDMA三种无线网络通信方式,所以,未来只要有3G网络信号存在的地方,便可以实现上网。
五、就业前景
一种新型的产业必定会为社会带来不小的影响,并且推动整个社会走上更稳健的步伐 。例如:在就业方面,它产生了一批新型的就业岗位,比如:3G网络工程师、无线网络优化岗位等等,通信方面,出现堪察、无线网络测试等等,因此而减轻了整个社会在就业上不少的压力,再者,在另外一种无线局域网标准下生产出的产品技术应用逐渐成为无线网络市场主流的情况下,基于Wi-Fi技术的无线网不但在带宽以及覆盖范围等技术上取得了极大突破,而且在应用上,如今的无线网络也不再只是单纯地满足用户随时随地接入网络,甚至已经能更多地参于到行业信息化的服务中来,可想而知,将来出现无线医辽、无线校园、无线城市等其他行业应用成为无线网络市场的主流也不是梦想。
六、结束语
随着科技的不断演进与无线行业的飞速发展,无线网络将成为推动整个网络市场前进的新生力量,并且在不可预见的未来,纷繁多样、永远在线的智能终端技术将会把娱乐、办公、消费、医辽、 文化 教育 、生活服务等多种行业区域的全部功能融会贯通,一起服务于我们的工作和生活,使之变得更轻松、更智能。使智能技术与无线网络更好地密切结合,让越来越多的创新应用和新的生活方式进入到未来的社会当中。最后,让我们迎接一个“网聚万物”、“网随人动”的无线时代。
相关范文:
Ipv6在高校校园网中的应用
摘 要 文章对ipv6基本概念,ipv6的实现技术及实现ipv6的现行技术进行了阐述,结合学校校园网的ipv6实际解决方案,系统描述了ipv6在网络出口设备Cisco6503上的配置和在ipv6在网络核心设备Cisco6513上的配置,以及ipv6在我校校园网中的实际应用。
关键词 ipv6;隧道技术;双协议栈技术
1 引言
现有的互联网是在IPv4协议的基础上运行。IPv6是下一版本的互联网协议,它的提出最初是因为随着互联网的迅速发展,IPv4定义的有限地址空间将被耗尽,地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间,拟通过IPv6重新定义地址空间。IPv4采用32位地址长度,只有大约43亿个地址,估计在2005~2010年间将被分配完毕,而IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球每平方米面积上可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面:扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。
2 ipv6实现技术概述
从ipv4到ipv6 的转换必须使ipv6能够支持和处理ipv4体系的遗留问题。目前,IETF( Internet Engineering Task Force)已经成立了专门的工作组,研究ipv4 到ipv6 的转换问题,并且已提出了很多方案,主要包括以下几个类型:
2.1 双协议栈技术
在开展双堆栈网络时,主机同时运行两种协议,使应用一个一个地转向ipv6 进行传输。它主要用于与ipv4 和ipv6设备都进行通信的应用。双堆栈将在Cisco Ios软件平台上使用,以支持应用和Telnet,Snmp,以及在ipv6传输上的其它协议等。
2.2 隧道技术
随着ipv6网络的发展,出现了许多局部的ipv6 网络,但是这些ipv6网络需要通过ipv4 骨干网络相连。将这些孤立的“ipv6 岛”相互联通必须使用隧道技术。利用隧道技术可以通过现有的运行ipv4 协议的Internet 骨干网络( 即隧道)将局部的ipv6网络连接起来,因而是ipv4向ipv6 过渡初期最易于采用的技术。
路由器将ipv6 的数据分组封装入ipv4,ipv4 分组的源地址和目的地址分别是隧道入口和出口的ipv4地址。在隧道的出口处,再将ipv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,因而非常容易实现。但是隧道技术不能实现ipv4 主机与ipv6 主机的直接通信。
2.3 网络地址转换/ 协议转换技术
网络地址转换/ 协议转换技术NAT-PT(Network Address Translation-Protocal Translation)通过与S||T 协议转换和传统的ipv4 下的动态地址翻译NAT 以及适当的应用层网关(ALG)相结合,实现了只安装了ipv6 的主机和只安装了ipv4机器的大部分应用的相互通信。上述技术很大程度上依赖于从支持ipv4的互联网到支持ipv6 的互联网的转换,我们期待ipv4 和ipv6 可在这一转换过程中互相兼容。目前,6tot4 机制便是较为流行的实现手段之一。
3 我校校园网ipv6解决方案
我校共有两个校区:老校区和新校区,两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连,Cisco6513又与边界出口Cisco6503相连。
网络拓扑图如下(图1):
针对网络从IPv4向IPv6演进过程中面临的IPv4和IPv6相互之间的通信以及如何实现IPv6网络与现有IPv4网络无缝连接等问题,所以我校在教育网上采用
隧道技术、双栈技术和地址头翻译技术实现对ipv6网络的互访,即借助当今纯熟的ipv4技术,对ipv6数据包实行ipv4格式的封装与解封装。
我校实际的ipv6配置如下:
在核心设备6573的ipv6配置如下:
interface GigabitEthernet12/47
description cumt ipv6 link
ipv6 address 2001:DA8:100D:1::2/64 // 6513与6503的三层对接ipv6地址的配置
interface Vlan12
no ip redirects
ipv6 address 2001:DA8:100D:2::1/64 // ipv6的vlan配置
ipv6 enable //在Cisco6513上启动ipv6协议
ipv6 route ::/0 2001:DA8:100D:1::1 // ipv6默认路由配置
在出口设备Cisco6503上的ipv6配置如下:
interface GigabitEthernet3/47
ipv6 address 2001:DA8:100D:1::1/64 // 6503与6513的三层对接ipv6地址的配置
ipv6 route 2001:DA8:100D::/48 2001:DA8:100D:1::2
ipv6 route ::/0 2001:DA8:A3:F00B::1
ipv6 unicast-routing // ipv6的路由配置
interface Tunnel0 //ipv6隧道配置
ipv6 address 2001:DA8:A3:F00B::2/64 //源端的ipv6地址
ipv6 enable//启动ipv6协议
tunnel source 202.119.200.129 //隧道源端ipv4地址
tunnel destination 202.112.53.38 //隧道目的端ipv4地址
tunnel mode ipv6ip //隧道模式为ipv6
教育网防火墙上的配置如下:
access-list 102 extended permit ip any host 202.119.200.129 //允许校内及校外的访问通过ipv6隧道
目前ipv6在我校已经很好的应用起来,校内用户能够方便的访问外面的ipv6网络资源,而我校也已经分别建立了ipv6的www服务器及ipv6的DNS解析,以提供外面用户对我校ipv6网络资源的访问。
(图1)
4 结论
ipv6在我校的良好应用,进一步体现了ipv6的强大魅力,虽然目前还不能完全取代ipv4,但是,在不远的将来ipv6一定能够取代ipv4,从而实现全范围的纯粹的ipv6网络的运行。
参考文献
[1] 实现ipv4向ipv6过渡的隧道技术6tot4.计算机工程与应用. 2002年 第18期
[2] ipv4向ipv6的过渡技术综述.北京邮电大学学报. 2002年 第4期
[3] 如何从ipv4过渡到ipv6. 计算机时代. 2004年 第8期
其他相关:
论文提纲格式
仅供参考,请自借鉴
希望对您有帮助
1引言随着对IPv4向IPv6过渡技术研究的不断深入,业界对于过渡问题的认识也不断深入,IETF对于这个问题的认识经历了迁移(Migration)、过渡(Transition)、集成(Integration)、互操作(Interoperation)长期共存(Co-existence)阶段。从长远来看,IPv4和IPv6技术在网络中将长期共存(Co-existence)。未来的IP网络将是IPv4网络与IPv6网络的集成(Integration)网络。2综合组网的基本原则在讨论具体IPv4/v6综合组网技术时,首先需要明确的是综合组网时所应依据的具体原则,这些原则实际上是IPv4/v6综合组网的基本需求,也是讨论和分析IPv4/v6综合组网技术时的重要依据和基础。IPv4/v6综合组网时所需要依据的原则可以分为必需满足的原则和参考原则两种。2.1必需原则(1)最大限度地保护既有投资(终端用户,ISP,ICP,电信运营商)在进行IPv4/v6综合组网方案的研究时,需要考虑到现有的各个网络运营实体的既有投资,这包括设备投资、市场投资、技术储备、人才储备等多个方面。只有很好地保护既有投资的组网技术和其相应的方案才能具有较好的实用性。(2)保证IPv4和IPv6主机之间的互通网络中的IPv4主机和IPv6主机必须能够互通,包括路由可达和IP包可达。只有在两者互通的基础上才能谈应用层面的互通。(3)保证现有IPv4应用在综合组网环境中的正常应用现有IPv4网络中的应用已经支持了大量的用户,IPv6技术在网络中的引入不能对现有的业务造成影响,这种影响包括业务性能的影响、网络可靠性的影响以及网络安全性的影响等多方面。(4)避免设备之间的依赖性,设备的更新须具有独立性IPv4/v6综合组网技术要求避免设备升级时设备之间的依赖和耦合,网络中的各个部分可以单独选择可用的组网技术,这些技术的选择不能制约其他网络部分组网技术的选择和设备的更新。(5)综合组网过程对于网络管理者和终端用户来讲要易于理解和实现综合组网过程简单并易于实现是组网成功与否的一个重要因素,过为复杂的组网过程不但增加网络故障发生的机率,而且也影响用户的跟进速度。(6)提高组网灵活性,支持网络渐进升级,用户拥有选择何时过渡和如何过渡的权利(7)综合组网以后网络的服务质量不应该有明显的降低由于IPv6路由器的性能比同级别的IPv4路由器的性能有所下降,双栈路由器的性能也不是很高,因此IPv4/v6综合组网以后,网络的整体性能可能下降,但是这种下降不会对现有业务的服务质量造成明显的影响。(8)综合组网以后网络的可靠性和稳定性不能削弱(9)综合组网过程中应该考虑如何充分发挥IPv6的技术优势IPv6技术的提出主要是为了解决IP地址空间不足的问题,但也增加了一些其他功能,比如网络安全性支持能力等。在综合组网技术研究中应该考虑如何使这些技术优势得以发挥。(10)在设计综合组网方案时,一方面要考虑到IPv4/v6长期共存,另一方面也要考虑到将来网络全部采用IPv6的可能。因此,在技术研究时要注意所选技术能够支持网络的平滑过渡,不会形成将来网络过渡的新障碍。2.2参考原则(1)在IPv4业务和IPv6业务互不影响的前提下,支持IPv4业务与IPv6业务的互通在综合组网初期要实现IPv4网元与IPv6网元的互联,可以分别支持IPv4业务和IPv6业务,这些业务可以单独运营,互相不互通,在综合组网的后期要实现IPv4业务与IPv6业务的业务层面的互通。(2)应着重考虑从边缘到骨干的逐步演进策略(同时关注从骨干到边缘的策略)网络演进的策略(从边缘到骨干还是从骨干到边缘)一直是IPv4/v6综合组网技术研究中有较多争论的问题。一般认为,IPv6技术在网络中的引入主要是为解决IP地址空间不足的问题,而大量消耗IP地址的是网络的边缘,因为网络的终端、接入设备、汇集设备数量远远多于城域核心网络或骨干网络的网元数目,因此在网络边缘采用IPv6技术可以有效地解决IP地址空间不足的问题。另一方面,骨干网络和城域核心网络的设计原则是简单、高效,而就目前的实际情况来讲,IPv6路由器的路由转发性能低于IPv4路由器的性能,因此在城域核心网和骨干网应该采用IPv4协议,目前还没有对这部分网络进行IPv6协议升级的迫切需求。保证核心网和骨干网的长期相对稳定有利于网络的持续稳定发展,因此从边缘到骨干的网络逐步演进策略得到了大多数研究人员的认同。(3)综合组网后网络管理功能应该较原有网络有所加强在电信网络中引入IP技术以后,网络的管理模式和运营模式都不能再按照互联网的相关模式进行,这一点已经得到了越来越多的研究人员的支持。原有IPv4网络所存在的技术、管理方面的问题已经逐步暴露出来,在IPv4/v6综合组网技术的研究中,要同时考虑这两方面的内容,提高网络的可管理性和可维护性。(4)应考虑综合组网对用户认证和计费方式的影响IP网络的计费和认证问题一直是一个重点研究的热点,这个问题在电信网络中尤为突出,目前在IPv4网络中的计费认证问题已经有了一些解决办法,并且这些办法在实际网络中也得到了一定程度的应用,取得了一些成果。但是,IPv6技术在网络中的引入使得问题变得更为复杂,有时会出现重复计费和认证的现象。(5)应考虑对IPv4地址资源的使用效率在进行IPv4/v6综合组网时,不同的综合组网技术对于IPv4地址的需求也不相同,有些组网技术依然需要大量的IPv4地址,因此IPv4地址的需求量也是综合组网技术研究中应该注意的一个问题。(6)应考虑为终端用户所能带来的好处(业务、兴趣点等)在IPv4网络中引入IPv6技术,可以解决运营商的IP地址空间不足的问题。但是,网络的这种升级究竟能为终端用户带来什么好处,或者说,终端用户有什么理由要支持这种升级是一个需要考虑的问题。网络升级以后能够提供更好的服务或者可以增加新的业务种类,并形成新的业务兴趣点是刺激终端用户积极跟进的重要因素。网络升级以后,只有用户的增加、用户对网络满意度的提高、业务收入的增长才能够真正推动运营商对网络升级改造的进程。(7)各电信运营商应该有明确的网络过渡计划网络的升级是一个牵涉到网络各个层面的重要问题,因此运营商应该有一个长远的规划和具体的实施计划,这种规划和计划应该和企业的技术路线和网络发展方向相一致,避免网络升级过渡的盲目性以及由此带来的诸多混乱。(8)综合组网时应统筹考虑到对现有IPv4网络中存在的一些问题的改进(NAT,地址规划等)在IPv4/v6综合组网技术研究时要充分分析和研究现有IPv4网络中所存在的问题,以期在综合组网方案中能够解决或者避免这些问题。(9)网络的各个部分之间的技术选择应该具有独立性,如城域核心网、接入网、驻地网应该可以选择不同的技术。3现有综合组网技术3.1双栈策略双栈策略是指在网元中同时具有IPv4和IPv6两个协议栈,它既可以接收、处理、收发IPv4的分组,也可以接收、处理、收发IPv6的分组。对于主机(终端)来讲,“双栈”是指其可以根据需要来对业务产生的数据进行IPv4封装或者IPv6封装。对于路由器来讲,“双栈”是指在一个路由器设备中维护IPv6和IPv4两套路由协议栈,使得路由器既能与IPv4主机也能与IPv6主机通信,分别支持独立的IPv6和IPv4路由协议,IPv4和IPv6路由信息按照各自的路由协议进行计算,维护不同的路由表。IPv6数据报按照IPv6路由协议得到的路由表转发,IPv4数据报按照IPv4路由协议得到的路由表转发。3.2隧道策略隧道策略是IPv4/v6综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点),这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道出口对接受到的协议数据解封装,并做相应的处理。在隧道的入口通常要维护一些与隧道相关的信息,如记录隧道MTU等参数。在隧道的出口通常出于安全性的考虑要对封装的数据进行过滤,以防止来自外部的恶意攻击。隧道的配置方法分为手工配置隧道和自动隧道,而自动配置隧道又可以分为兼容地址自动隧道,6to4隧道,6over4,ISATAP,MPLS隧道,GRE隧道等,这些隧道的实现原理和技术细节都不相同,相应的其应用场景也就不同。典型的隧道技术主要包括:(1)配置隧道手工配置隧道主要应用在个别IPv6主机或网络需要通过IPv4网络进行通信的场合,这种方式的优点是实现相对简单,缺点是扩展性较差,表现在当需要通信的IPv6主机或网络比较多时,隧道配置和维护的工作量较大。(2)6to4隧道6to4隧道是自动隧道的一种,也是IETF较为重视、并得到深入研究、有广阔应用前景的一种网络过渡机制。6to4隧道的主要应用环境是,它可以使连接到纯IPv4网络上的孤立的IPv6子网或IPv6站点与其它同类站点在尚未获得纯IPv6连接时彼此间进行通信。(3)兼容地址自动隧道兼容地址自动隧道是自动隧道的一种,在IETF的RFC中进行规定,但是目前已经不推荐使用这种隧道方式。(4)6over46over4机制通常只能应用在网络边缘,例如企业网和接入网。6over4能够将没有直接与IPv6路由器相连的孤立的IPv6主机通过IPv4组播域作为它们的虚拟链路层形成IPv6的互联。通过这种机制,IPv6可以独立于底层的链路,可以跨越支持组播的IPv4子网。6over4机制由于要求在IPv4网络中支持组播功能,而目前大多数网络均没有布置组播功能,因此在实际应用中很少被利用。(5)隧道代理隧道代理通常应用于独立的小型的IPv6站点,特别是独立的分布在IPv4互联网中的IPv6主机需要连接到已有的IPv6网的情况。隧道代理(TB)提供一种简化配置隧道的方法,可以减少繁重的隧道配置工作。隧道代理的思想就是通过提供专用的服务器作为隧道代理,自动地管理用户发出的隧道请求。用户通过TunnelBroker能够方便和IPv6网络建立隧道连接,从而访问外部可用的IPv6资源。隧道代理这种过渡机制对于在IPv6的早期为吸引更多的IPv6使用者能方便快捷地实现IPv6连接有很大的益处,同时也为早期的IPv6提供商提供了一种非常简捷的接入方式。(6)ISATAPISATAP机制(theIntra-siteAutomaticTunnel Addressing Protocol,站内自动隧道寻址协议)在IETF的RFC中进行定义,通常应用在网络边缘,如企业网或接入网。ISATAP可以和6to4技术联合使用,可以使IPv4站点内的双栈节点通过自动隧道接入到IPv6路由器,允许与IPv6路由器不共享同一物理链路的双栈节点通过IPv4自动隧道将数据包送达IPv6下一跳。(7)MPLS隧道MPLS隧道主要应用于骨干网和城域核心网。MPLS隧道实现IPv6岛屿互联的方式,尤其适合于已经开展了BGP/MPLSVPN业务的运营商。这种过渡方式可以使运营商暂时不必将现有核心网络升级为IPv6网络就可以实现对外提供IPv6业务。IPv6站点必须通过CE连接到一个或多个运行MP-BGP的双栈PE上,这些PE之间通过MP-BGP来交换IPv6的路由可达信息,通过隧道来传送IPv6数据包。(8)二层隧道为了连接分散的IPv6网络,一种可能的方法是利用二层技术(如ATM,PPP,L2TP等)把这些IPv6网络连接在一起。这种方式的优点是概念清晰、易于理解。缺点是实现较为困难,扩展性较差,当需要互联的IPv6网络较多时,不宜采用这种方式。3.3翻译策略在网络的过渡时期不可能要求所有的主机或终端都升级支持双栈,在网络中必然存在纯IPv4主机和纯IPv6主机之间进行通信的需求,由于协议栈的不同很自然地需要对这些协议进行翻译转换。对于协议的翻译涉及两个方面,一方面是IPv4与IPv6协议层的翻译,另一个方面是IPv4应用与IPv6应用之间的翻译。翻译策略可以对应多种实现技术,其中NAT-PT和TRT主要应用于网络汇聚层,而BIA,BIS则主要是针对主机终端而提出的。(1)NAT-PTNAT-PT网关能够实现IPv4和IPv6协议栈的互相转换,包括网络层协议、传输层协议以及一些应用层协议之间的互相转换,原有的各种协议可以不加改动就能与新的协议互通,但该技术在应用上有一些限制:●在拓扑结构上要求一次会话中双向数据包的转换都在同一个路由器上完成,因此地址/协议转换方法较适用于只有一个路由器出口的网络;●一些协议字段在转换时不能完全保持原有的含义。(2)TRT传输中继转换器简称“TRT”(TransportRelayTranslator)适用于纯IPv6网络与纯IPv4网络通信的环境。TRT系统位于纯IPv6主机和纯IPv4主机之间,可以实现(TCP,UDP)/IPv6与(TCP,UDP)/IPv4的数据的对译。传输中继可以分为TCP中继和UDP中继两类。TRT与NAT-PT的最大区别是,TRT做为中继,在TCP/UDP层面以代理的身份来沟通双方,例如TCP中继分别与TCP通信的双方建立TCP连接,双方的所有TCP通信均由TCP中继来中转,而NAT-PT则只起翻译作用,并不代理通信。(3)BISBIS技术是在双栈主机中添加若干个模块(翻译器、扩展域名解析器、地址映射器),用于监测TCP/IP模块与网卡驱动程序之间的数据流,并进行相应IPv4与IPv6数据包之间的相互翻译。当与其他IPv6主机进行通信时,在这台主机内部给对应IPv6主机分配一些IPv4地址,这些地址只在这台主机内部使用。而且,这种分配过程是通过DNS协议自动来完成的。主机可以使用现有的IPv4应用和其他IPv6主机进行通信,使其成为能够既支持IPv4应用又同时支持IPv6应用的双栈主机,从而扩大了双栈主机的应用领域。此外,BIS机制还可以和其他的转换机制共存。(4)BIABIA技术在双栈主机的SocketAPI模块与TCP/IP模块之间加入一个API翻译器,它能够在IPv4的SocketAPI函数和IPv6的SocketAPI函数间进行互译,这种机制简化了IPv4和IPv6间的转换,无需进行IP头的翻译。采用BIA的双栈主机假定在本地节点上同时存在TCP/IPv4和TCP/IPv6两种协议栈。当双栈主机上的IPv4应用程序与其他IPv6主机通信时,API翻译器检测到IPv4应用程序中的SocketAPI函数,并调用IPv6的SocketAPI函数与IPv6主机通信,反之亦然。4综合组网技术的比较分析在IPv4/v6综合组网具体技术的选择时要重点考虑如下几个重要因素:(1)扩展性(Scalability)扩展性一方面是指某种组网技术能否支持网络平滑的升级,扩展性较差的技术虽然会解决目前的问题,但同时也会成为网络升级的障碍。另一方面是指,在网络的各个部分采用的不同技术之间是否存在制约,如某个网络的部分采用了6to4机制,则要求与其通信的其他网络部分也要支持这种机制(采用6to4路由器或6to4中继器)。(2)安全性(Security)安全性包括多个方面:首先,组网技术是否会破坏原网络的安全性。其次,组网技术本身是否存在安全漏洞或隐患。(3)性能(Performance)组网技术的性能包括其对原有网络的网络性能的影响、其自身的网络性能如何两方面。(4)主机需求(RequirementsofHosts)主要需求包括协议栈、IPv4地址(全局还是临时、如何获得和管理)需求、IPv6地址(地址类型、分配策略等)需求等。(5)路由器需求(RequirementsofRouters)(6)IPv4地址需求(IPv4AddressRequirement)当在网络中按照某个组网技术组网时,其对IPv4地址的需求量如何,需要全局地址还是临时地址,地址如何管理等。(7)IPv6地址需求(IPv4AddressRequirement)(8)易用性(EaseofUse)组网技术的复杂性直接制约了其应用的范围,一个复杂的、不易理解的组网技术对网络的采用会带来诸多问题(维护与管理、实施成本等)。(9)易管理性(EaseofManagement)(10)应用场景与应用阶段(ApplicationScenariosandPhase)每种网络迁移策略及其相应的组网技术均有其各自的优点和缺点,有着各自的适用环境,这些特性直接影响了在综合组网中组网技术的选择。(11)其他因素(OtherFactors)IPv6技术增加了一些和网络安全、QoS保证等方面的支持能力,但是在一些综合组网环境中,这些附加的特性可能不能得以体现。5结束语本文对IPv4/v6综合组网时应遵循的基本原则、涉及的主要策略和相应技术进行了分析,对于了解IPv4/6综合组网技术、设计IPv4/6综合组网方案有一定的帮助
免疫网络与时间赛跑 免疫网络针对的是企业内网基础架构的安全和管理。免疫网络是企业信息网络的一种安全形态。免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动是网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。1.边界安全:防火墙、IPS/IDS、UTM产品等。2.传输安全:PPTP等VPN加密、算法和产品。3.系统安全:防毒墙、杀毒软件、身份准入等。 4.行为管理:上网行为管理/记录/监控等软硬件。5.风险管理:如数据存储安全、安防监控产品等。6.桌面系统:针对的是信息管理而非网络基础安全。7.内网基础安全:主要针对以太网底层协议漏洞、拦截攻击、对内网进行彻底加固,免疫网络就属此种。免疫网络让网络更安全。从而赢得时间
随着互联网技术的不断发展,网络工程专业越来越受到国家和社会的关注,我们在写作网络工程 毕业 论文时,题目也是值得我们关注的。下面是我带来的关于网络工程毕业论文题目的内容,欢迎阅读参考!网络工程毕业论文题目(一) 1. 基于 Web的分布式 EMC数据库集成查询系统 2. 基于 Web的网络课程的设计 3. 基于工作流的业务系统开发 4. B1级安全数据库设计的设计与实现 5. 数据库加密及密钥管理 方法 研究 6. 企业应用集成(EAI)中数据集成技术的应用 7. 基于数据仓库连锁店决策支持系统模型的研究 8. VC开发基于 Office 组件应用程序 9. 从 XML到关系数据库映射技术研究 10. ORACLE9i 数据库系统性能优化研究与实践 11. MIS系统统用报表的设计与实现 12. 数字机顶盒系统的软件加密设计 13. 网上体育用品店的ASP实现 14. 基于ASP的毕业设计管理系统 15. 基于ASP的考务管理系统 16. 如何在网上营销好生意 17. 网上商店顾客消费心理的研究 18. 信息产品与网络营销 19. 网络营销中的 广告 策略研究 20. 网络营销中的价格策略研究 网络工程毕业论文题目(二) 1. 网络校园网络工程综合布线方案 2. ARP攻击与防护 措施 及解决方案 3. 路由器及其配置分析 4. 服务器的配置与为维护 5. 入侵检测技术研究 6. 复杂环境下网络嗅探技术的应用及防范措施 7. 网络病毒技术研究 8. 网络蠕虫传播模型的研究 9. 无尺度网络中邮件蠕虫的传播与控制 10. 网络路由协议研究 11. 可动态配置的移动网络协议设计研究 12. Ipv4/Ipv6 双协议栈以太网接入认证和移动技术 13. 虚拟路由器的体系结构及实现 14. 一种基于分布式并行过滤得前置式邮件过滤模型 15. XML应用于信息检索的研究 16. JMX框架下 SNMP适配器的实现与应用 17. MANET 路由协议性能分析 18. Internet用户 Ipv6 协议试验网设计与实现 19. 基于光纤通道的网络文件管理系统设计与实现 20. 网络拓扑结构的测量协议与技术 21. 办公业务对象在关系数据库中的存储 网络工程毕业论文题目(三) 1、基于协同过滤的个性化Web推荐 2、Web导航中用户认知特征及行为研究 3、Web服务器集群系统的自适应负载均衡调度策略研究 4、动态Web技术研究 5、语义Web服务的关键技术研究 6、面向语义Web服务的发现机制研究 7、Web服务组合研究与实现 8、构建REST风格的Web应用程序 9、企业架构下WebService技术的研究 10、Web回归桌面的研究与应用 11、Web服务选择的研究 12、Web服务的授权访问控制机制研究 13、基于WEB标准的网络课程设计与开发 14、基于Web的教师个人知识管理系统的设计与开发 15、基于Android平台的手机Web地图服务设计 16、基于Web的信息管理系统架构的研究 17、基于Web使用挖掘的网站优化策略研究 18、基于Web的自适应测试系统的研究 19、面向语义Web服务的发现机制研究 20、面向语义Web服务的分布式服务发现研究 猜你喜欢: 1. 最新版网络工程专业毕业论文题目 2. 网络工程论文题目 3. 网络工程专业毕业论文题目 4. 网络工程专业毕业论文精选范文 5. 网络工程论文选题 6. 关于网络工程毕业论文范文
计算机是我们生活中不可或缺的工具,出现故障就会影响到我们正常的生活和工作,计算机维护是计算机正常运行的保障。下面是我为大家整理的计算机维护 毕业 论文,供大家参考。
计算机维护毕业论文 范文 一:高校机房计算机维护
摘要:利用机房实验室来开展实践教学已成为当下高校 教育 的重要方式,如何进行科学有效的维护,为教学提供一个稳定的工作环境,已成为机房专职管理人员的工作要点。基于此,结合自身在高校实验室机房管理与维护的工作 经验 , 总结 了机房维护中经常遇到的问题,给出了有效解决方案。提出机房维护应以预防为主,并给出了有效的维护策略。
关键词:计算机维护;系统恢复;保护卡;冰点还原
计算机作为现代化的科学工具,被越来越多的应用于各行业领域。随着高校教育改革的进一步深化,计算机机房承担的教学任务越来越重,不同的实验教学课需要不同的计算机软件,对机房计算机的要求也越来越高。科学和高效的做好机房管理和维护工作,才能为实验教学、科研课题的开展提供有力保证。
1机房常见故障
1.1用户非法操作损坏计算机
在进入大学之前,很多学生都接触过计算机。但是系统学习过计算机系统的学生并不多。而且一些专业课程所涉及的软件,学生是在进入大学之后才开始接触,所以上机实验时操作水平比较有限。特别是开始的几次上机实验课程会出现很多误操作。有些专业课所涉及的软件运行起来占用的资源很多,若操作不当很有可能出现程序无响应,或者程序出错无法运行,严重时系统会出现 死机 崩溃的情况,这对计算机造成很大伤害。还有些实验课程和上机实训需要添加或删除 操作系统 的注册表,或增删一些程序,这些操作会对计算机操作系统造成影响。
1.2学生频繁使用移动存储设备导致病毒传播迅速
学生在使用计算机上机实验的时候,往往需要拷贝仿真图形和实验结果,以备课后完成实验 报告 时使用。学生频繁的在计算机上使用移动存储设备,如果有病毒入侵计算机或移动存储设备,病毒就会在局域网的计算机中迅速传播。有些计算机病毒会直接导致系统无法正常运行。机房中计算机数量往往几十台甚至上百台,易发生部分甚至全部计算机系统同时中病毒而无法正常运行的情况,不仅会使上机实验教学无法正常进行,而且会给计算机维护人员带来不小的麻烦。而且经常因为中病毒而重新安装或者恢复计算机系统对计算机硬件也会产生不好的影响。
2计算机系统常见故障及处理 方法
2.1计算机系统无法启动
当计算机系统无法正常启动时,想要通过硬盘版一键恢复系统是行不通的,这时候我们可以使用操作系统的安装光盘来安装计算机系统。但是这种方法有两个问题,第一,机房的计算机大都没有光驱,或者光驱长久不用已经坏掉,无法使用光驱读取光盘安装操作系统;第二,使用安装光盘来安装计算机操作系统用时较长,安装好一个计算机操作系统往往需要半小时甚至更长时间,这样维护起来效率很低。如果使用U盘跳过光驱,来恢复计算机操作系统就可以很好的避免以上两个问题。
2.1.1制作U盘启动盘使用U盘安装或恢复系统,首先需要下载U盘启动盘制作工具。制作U盘启动系统有多种方法,如USBOOT、U盘量产工具、老毛桃U盘启动盘制作工具、杏雨梨云U盘系统等,方法大同小异,按照具体的操作步骤经过几分钟时间,U盘启动盘就制作完毕。
2.1.2将光盘映像文件或系统镜像文件复制到U盘U盘启动盘制作好了以后,需要下载一个系统ISO光盘镜像文件或GHO映像文件到制作好的U盘根目录下,或者新建的文件夹下。但无论什么路径下,所涉及的文件夹或文件的名字最好都是由英文或者数字组成,不要用中文,以免在恢复系统时找不到映像文件。
2.1.3安装操作系统从制作好的U盘启动计算机,在启动菜单中选择“WinPE维护系统”,显示桌面后,双击“一键恢复”,接着到U盘中找到ISO光盘镜像文件或GHO映像文件,单击“确定”就进入系统的自动恢复过程。
2.2计算机系统可以启动,但系统中病毒影响教学使用
计算机中病毒的现象是很常见的。特别是现在计算机病毒种类繁多,难保计算机系统不受病毒攻击,有些木马病毒隐蔽性很高,即便是实时更新病毒库的杀毒软件也无法将其查出。如果中毒的计算机系统无法支持实验课程的软件使用,我们就必须对中毒的计算机系统进行处理。首先,尽量购买可靠性高的教学软件,即使系统中毒也不会影响软件的使用;其次,给系统安装杀毒软件,并且实时更新杀毒软件的病毒库,定期为计算机系统杀毒;最后,给系统安装硬盘版恢复软件,当软件无法正常运行影响实验教学时,可以通过硬盘版恢复软件来恢复系统,当然也可以用U盘来恢复系统。
3机房维护策略
对于计算机机房的维护者来说,计算机出现问题时再去处理,是一件很被动也很费时间的事情。所以未雨绸缪就显得更加重要,也就是在计算机还未遭到攻击破坏时,先保护好它。这里除了安装一些基本的杀毒软件之外,安装硬盘保护卡,或者安装还原软件显得非常重要。
3.1安装计算机硬盘保护卡
机房计算机使用频繁,在机房的计算机上安装硬盘保护卡是必要的。计算机硬盘保护卡大都即插即用,无需重做系统,使用方便简单。保护卡可以设定还原点,在每次开机时系统自动还原,能更好地保护系统。装有硬盘保护卡的计算机机房,可通过一台计算机维护所有计算机。硬盘保护卡还有一个优势就是可以实现网络同传功能,也叫网络同步对拷功能,就是当我们需要安装新软件时,只需要在一台机器上完成安装,然后通过保护卡的网络同传功能把全盘数据或单个分区数据发到 其它 计算机上就可以了。另外,硬盘保护卡还可以防止机器狗及其变种病毒和各种针对还原的解除软件的破坏,比还原软件的可靠性和稳定方面都要好。与还原软件相比硬件保护卡还有一个优势,就是它支持多个操作系统同时并存,并且互不干扰。有了这个功能我们就能根据不同的教学需求,分系统安装软件程序,来满足教学需要。
3.2软件还原
目前用的比较多的是冰点还原精灵(DeepFreeze),与硬盘保护卡的功能类似,它可以自动将系统还原到初始状态,能够很好的抵御病毒入侵及人为对计算机操作系统进行有意或无意的破坏,保护系统不被更改。冰点还原精灵的安装不会影响操作系统和硬盘分区。操作简单、安装容易、每次开机都进行系统还原。另外,冰点还原精灵的使用可有效减少计算机维护人员的工作量,与硬盘保护卡相比维护成本也大大降低了。冰点还原软件也有自己的弱点。与硬盘保护卡相比,冰点还原精灵更容易受到机器狗等病毒的攻击。除此之外通过特殊的方法,还可以绕过冰点还原的保护,进入系统进行分区、增删系统文件、格式化硬盘等破坏性操作。卸载冰点还原精灵时,需要登录控制台先设置“启动后解冻”,然后需重新运行一下同版本的冰点还原精灵的安装程序,选择卸载,就可以将冰点还原精灵从计算机中卸载。若更改或已忘记冰点还原精灵的密码,可以在PE或DOS下对硬盘进行重新分区和格式化。
4结语
无论通过安装硬盘保护卡,还是通过安装还原软件来保护计算机系统,都是为了更好的保障实验室实践教学的顺利进行。但任何事物都不是一成不变,在机房的管理与维护工作中,我们还会遇到新的问题,需要我们不断地学习、对新的技术和新技能更加关注,这样才能做好计算机的管理与维护工作。
参考文献
[1]李爱峰.U盘在机房管理中的应用[J].科技资讯,2013(23).
[2]冯亦东.浅谈高校机房实验室的管理与维护[J].计算机光盘软件与应用,2014(5).
[3]罗慧敏,杨春蓉.现代机房管理探析[J].软件导刊,2011(8).
计算机维护毕业论文范文二:计算机维护维修与病毒防治方法探析
一、引言
随着社会的发展,科技的进步,人们的生活水平不断提高,现代的计算机也进入了千家万户,现代很多人需要有计算机才能工作,有的人需要计算机来娱乐。为我们生活学习不可缺少的一部分,随着计算机的不断拥有量的不断增多,其日常的维护和维修成为我们不可回避的问题,同时随着 网络技术 的发展,电脑病毒也成为困扰现代计算机和网络发展的主要瓶颈之一。
二、维护和维修问题
(一)电脑的日常维护。
首先是电脑的安装过程。在这个过程中,手法要轻一些,不能粗放式的安装,例如,在按照内存条的时候,先要将内存条的包装拆开,轻轻地擦拭内存条,同时清除一下,主板中的由于静电吸附的灰尘,最后才能轻柔地将内存条插入卡槽之中,听到“咔哒”一声响声才算安装成功。CPU的安装也是有一定要求的,先要将CPU的包装拆除,之后要以散热的那一边开始拆包装,然后还是清楚主板中相应位置的静电灰尘,轻轻压紧CPU,主板上有一个小小的杆子,将其落下来,CPU的安装才能完成。其次,保障电脑的工作条件。由于电脑是一种电子产品,很多的零配件有着一定范围的工作条件和环境。例如电脑在工作的时候可以受到周围环境中电磁污染的影响,因此要将电脑与电视机等家用电器合开。防治它们之间相互干扰,影响最终的信息处理的速度和准确度等。电子产品属于一种防水的材料,一旦有液体进入主板,由于静电等磁场的作用,可能主板上的很多的电容器被击穿,最终导致电脑的瘫痪。还有就是电脑工作起来,温度较高,可能出现散热困难,虽然电脑中设置了风扇,但是还需要人为的选择一些通风条件较好窗户旁边。一旦主板过热,电脑可能就死机。最后,就是培养一种良好的使用电脑习惯。例如电脑的每次开关对其中的元器件的考验是巨大的。所以尽可能减少开关机的频率,如果真有需要,需要开关时间间隔20分钟以上。尤其是在电脑处在存储或运用一些程序的时候,不要关机,等到结束之后在进行相应的关机操作。在计算机工作的时候,不要移动计算机,这样也可能对其严重影响,另外,开关电脑的顺序问题,开机一般是先开 显示器 等外部设备,在开主机,关机的时候要先关掉主机,再关外部设备等。这就是降低外部设备对主机电磁干扰和影响。另外,外部的输入和输出设备的关闭对主机的影响也是有的。
(二)电脑的日常维修问题。
首先,硬件问题。电脑是一种电子产品,经过长期的使用,很多元器件将出现各种各样的问题,接触问题是最为常见的。由于电脑工作状态产生大量的静电,这些静电将吸附空气中的灰尘,时间一长,灰尘集聚的就多了,一些元器件可能产生接触不良的问题,这时候只需要将其拿下来擦拭一下,清除主板中的灰尘,再安装上去就可以使用了。其次,确实是硬件出问题了。硬件问题可能需要进一步更换,完成维修。现在的电子产品的维护也很简单,电脑中的元器件属于模块化的管理,一个东西坏了,更换器模块就可以重新投入使用。再次,软件问题。CMOS信息数据是电脑各个部分使用的顺序控制,如果其设置出现问题,电脑将无法正常工作。另外,还有驱动安装中可以查到其硬件的问题,例如显卡可以通过查找驱动,进一步了解其基本情况。最后,维修的方式方法。进一步查看电脑自带的信息,例如CMOS的信息是否正确,有无异常,硬件出现问题之后,可以发出相应的警报声音。另外还可以使用最小的范围的方式和一一增加或去除的方式,都可以进行相应的电脑软硬件的维修。
三、电脑病毒的防治手段
电脑病毒主要就是一些通过互联网不断传播的恶意的小程序,编写这些小程序的人叫做骇客,他们就是针对一些电脑用户防范意识不强,通过这些小程序植入其电脑之中,盗取相应的信息,例如身份信息,企业资料,网银账号和密码等,最终可能造成电脑用户的经济损失。现在的电脑病毒无处不在,严重影响了我们的工作和学习,严重的时候,可以造成电脑瘫痪,无法正常工作,一些病毒传染上之后可能不会立即发作,当用户关机之后,骇客才从远程控制相应的其启动,盗取其中信息和资料。具体的防治方式。首先安装正规的杀毒软件,现在的360推出的免费杀毒软件可以有效的防治电脑病毒的入侵,其次,就是定期的开展查毒工作,清除电脑中潜在的各种危险,对杀毒软件发现的问题,要及时处理,防治造成更大的威胁。再次,对于硬盘中的一个重要数据和信息要进一步保存在U盘等相对比较独立的存储介质中,另外还有就是电脑的防火墙也是十分重要的,我们在上网的时候,一定要将防火墙开启,对一些不良的程序入侵有一定的防范和提醒。最后就是要及时更新杀毒软件的病毒库,病毒是在不断更新换代了,新的病毒一定比原来的病毒更加的可怕,杀毒软件开发企业会根据网上病毒的变化,及时更新自己的病毒库,用户可以及时的下载这些病毒库,有效防止病毒改头换面出现在自己的电脑里。
四、结语
现代电脑的家庭化,使得其日常维护、维修和病毒防治成为很多人必须掌握的技能,自己的电脑出现问题之后,可以及时维修,不至于影响正常的学习和工作。
计算机维护毕业论文相关 文章 :
1. 浅谈计算机维护维修论文
2. 计算机维修与维护技术探讨论文
3. 计算机机房维护与管理论文
4. 浅析计算机的维护论文
5. 浅谈计算机的日常维护论文
6. 简论计算机的日常维护论文
计算机应用专业毕业论文题目1、局域网的组建方法2、图书管理系统的设计3、计算机网络安全及防火墙技术4、校园网站设计4、数据库语言编写学生学籍管理5、个人电脑安全意识如何提高6、浅析计算机病毒及防范的措施7、浅谈计算机网络安全漏洞及防范措施8、二十一世纪的计算机硬件技术9、计算机最新技术发展趋势10、计算机病毒的研究与防治11、论述磁盘工作原理以及相关调度算法12、高校计算机机房管理的维护和探索13、C语言教学系统设计14、浅谈子网掩码与子网划分15、微机黑屏故障与防治研究16、虚拟局域网的组建与应用17、学校图书管理系统的设计18、计算机网络安全管理19、浅谈搜索软件对网络安全的影响20、浅谈办公自动化网络安全21、防火墙技术的研究22、计算机科学与技术学习网站23、单片机的应用24、磁盘阵列的安装、设置、技巧25、多媒体课件或网络课件制作26、嵌入式Internet互联网技术的应用及研究27、Web服务应用研究与设计28、数字逻辑课程多媒体课件设计与实现29、因特网的出现及发展对教育技术的影响30、C++课程设计报告31、局域网的安全攻防测试与分析32、无线局域网的组建与应用33、windows 2003 server操作系统探讨34、网页的设计与应用35、office各组件的相互数据交换36、多媒体课件与传统教学方法比较分析37、linux操作系统的安装调试38、个人网站的设计与实现39、计算机网络故障的一般识别与解决方法40、计算机辅助设计现状及展望41、浅谈auto cad绘制二维图形的方法及技巧42、音频功率放大器43、安全网络环境构建(网络安全)44、图书馆信息管理系统的设计与实现45、数据库应用46、当前企业信息系统安全的现状及前景分析47、企业信息化与数据环境的重建48、基于VFP的小型超市管理系统49、网站建设中故障分类和排除方法50、计算机工具软件使用实战技巧51、组建小型局域网络52、电子小产品设计与制作53、80C51单片机控制LED点阵显示屏设计54、单片微型计算机与接口技术55、嵌入式系统56、linux注:你们可以在这些给定的里面选择也可以自己选其他的。(这个就是给你们参考参考。)你们选好题目后就把所选题目发给我(5月20号之前)。
很多设计希望能帮你
随着互联网技术的不断发展,网络工程专业越来越受到国家和社会的关注,我们在写作网络工程 毕业 论文时,题目也是值得我们关注的。下面是我带来的关于网络工程毕业论文题目的内容,欢迎阅读参考!网络工程毕业论文题目(一) 1. 基于 Web的分布式 EMC数据库集成查询系统 2. 基于 Web的网络课程的设计 3. 基于工作流的业务系统开发 4. B1级安全数据库设计的设计与实现 5. 数据库加密及密钥管理 方法 研究 6. 企业应用集成(EAI)中数据集成技术的应用 7. 基于数据仓库连锁店决策支持系统模型的研究 8. VC开发基于 Office 组件应用程序 9. 从 XML到关系数据库映射技术研究 10. ORACLE9i 数据库系统性能优化研究与实践 11. MIS系统统用报表的设计与实现 12. 数字机顶盒系统的软件加密设计 13. 网上体育用品店的ASP实现 14. 基于ASP的毕业设计管理系统 15. 基于ASP的考务管理系统 16. 如何在网上营销好生意 17. 网上商店顾客消费心理的研究 18. 信息产品与网络营销 19. 网络营销中的 广告 策略研究 20. 网络营销中的价格策略研究 网络工程毕业论文题目(二) 1. 网络校园网络工程综合布线方案 2. ARP攻击与防护 措施 及解决方案 3. 路由器及其配置分析 4. 服务器的配置与为维护 5. 入侵检测技术研究 6. 复杂环境下网络嗅探技术的应用及防范措施 7. 网络病毒技术研究 8. 网络蠕虫传播模型的研究 9. 无尺度网络中邮件蠕虫的传播与控制 10. 网络路由协议研究 11. 可动态配置的移动网络协议设计研究 12. Ipv4/Ipv6 双协议栈以太网接入认证和移动技术 13. 虚拟路由器的体系结构及实现 14. 一种基于分布式并行过滤得前置式邮件过滤模型 15. XML应用于信息检索的研究 16. JMX框架下 SNMP适配器的实现与应用 17. MANET 路由协议性能分析 18. Internet用户 Ipv6 协议试验网设计与实现 19. 基于光纤通道的网络文件管理系统设计与实现 20. 网络拓扑结构的测量协议与技术 21. 办公业务对象在关系数据库中的存储 网络工程毕业论文题目(三) 1、基于协同过滤的个性化Web推荐 2、Web导航中用户认知特征及行为研究 3、Web服务器集群系统的自适应负载均衡调度策略研究 4、动态Web技术研究 5、语义Web服务的关键技术研究 6、面向语义Web服务的发现机制研究 7、Web服务组合研究与实现 8、构建REST风格的Web应用程序 9、企业架构下WebService技术的研究 10、Web回归桌面的研究与应用 11、Web服务选择的研究 12、Web服务的授权访问控制机制研究 13、基于WEB标准的网络课程设计与开发 14、基于Web的教师个人知识管理系统的设计与开发 15、基于Android平台的手机Web地图服务设计 16、基于Web的信息管理系统架构的研究 17、基于Web使用挖掘的网站优化策略研究 18、基于Web的自适应测试系统的研究 19、面向语义Web服务的发现机制研究 20、面向语义Web服务的分布式服务发现研究 猜你喜欢: 1. 最新版网络工程专业毕业论文题目 2. 网络工程论文题目 3. 网络工程专业毕业论文题目 4. 网络工程专业毕业论文精选范文 5. 网络工程论文选题 6. 关于网络工程毕业论文范文
1 绪论 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。 2 方案目标 本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。 需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点: 1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低; 2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动; 3.提供恢复被破坏的数据和系统的手段,尽量降低损失; 4.提供查获侵入者的手段。 网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。 3 安全需求 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性: 授权实体有权访问数据 机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改 可控性: 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 4 风险分析 网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。 风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。 5 解决方案 5.1 设计原则 针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想: 1.大幅度地提高系统的安全性和保密性; 2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; 3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展; 5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分步实施原则:分级管理 分步实施。 5.2 安全策略 针对上述分析,我们采取以下安全策略: 1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。 2.采用各种安全技术,构筑防御系统,主要有: (1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。 (2) NAT技术:隐藏内部网络信息。 (3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。 (4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。 (5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。 (6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。 (7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。 3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。 4.建立分层管理和各级安全管理中心。 5.3 防御系统 我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。 5.3.1 物理安全 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。 为保证网络的正常运行,在物理安全方面应采取如下措施: 1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。 2.运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。 3.防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。 4.保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。 5.3.2 防火墙技术 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构: (1)屏蔽路由器:又称包过滤防火墙。 (2)双穴主机:双穴主机是包过滤网关的一种替代。 (3)主机过滤结构:这种结构实际上是包过滤和代理的结合。 (4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。 5.3.2.1 包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,过包过滤型防火墙。 5.3.2.2 网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 5.3.2.3 代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 5.3.2.4 监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 相关性:毕业论文,免费毕业论文,大学毕业论文,毕业论文模板 5.3.3 VPN技术 VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。 VPN有三种解决方案: (1)如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程访问虚拟网(Access VPN)。 AccessVPN通过一个拥有专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。 (2)如果要进行企业内部各分支机构的互连,使用企业内部虚拟网(Intranet VPN)是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务范围越来越广时,网络结构也趋于复杂,所以花的费用也越来越大。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,利用隧道、加密等VPN特性可以保证信息在整个Internet VPN上安全传输。 (3)如果提供B2B之间的安全访问服务,则可以考虑Extranet VPN。 利用VPN技术可以组建安全的Exrranet。既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络安全。Extranet VPN通过一个使用专用连接的共享基础设施,将客户,供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。 5.3.4 网络加密技术(Ipsec) IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括: 1.访问控制 2.无连接完整性 3.数据起源认证 4.抗重放攻击 5.机密性 6.有限的数据流机密性 信息交换加密技术分为两类:即对称加密和非对称加密。 5.3.4.1 对称加密技术 在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。 5.3.4.2 非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。 5.3.4.3 RSA算法 RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下: 公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密) 与(p-1)(q-1)互素 私有密钥:d=e-1 加密:c=me(mod n),其中m为明文,c为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。 5.3.5 身份认证 在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。 5.3.5.1 认证机构 CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。 5.3.5.2 注册机构 RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。 5.3.5.3策略管理 在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。 5.3.5.4密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 5.3.5.5 证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。 5.3.6多层次多级别的防病毒系统 防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。 防病毒系统设计原则 1.整个系统的实施过程应保持流畅和平稳,做到尽量不影响既有网络系统的正常工作。 2.安装在原有应用系统上的防毒产品必须保证其稳定性,不影响其它应用的功能。在安装过程中应尽量减少关闭和重启整个系统。 3.防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。 4.防病毒系统的升级和部署功能应做到完全自动化,整个系统应具有每日更新的能力。 5.应做到能够对整个系统进行集中的管理和监控,并能?/cn>
楼上复制的还真行!少那么多协议~ISIS EIGRP RIP OSPF 等等~再说了OSPF哪有这么简单,光个OSPF都有7种配置~服了~
WiFi路由器产品支持的主流协议标准为IEEE(电气与电子工程师学会)802.11n,IEEE802.11n使用2.4GHz频段和5GHz频段,IEEE802.11n标准的核心是MIMO(multiple-inputmultiple-output,多入多出)和OFDM技术,传输速度300Mbps,最高可达600Mbps,可向下兼容802.11b、802.11g。比如TP-LinkTL-WR740N,便有这些功能。
一、RIP协议 RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。文档见RFC1058、RFC1723。 RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。1. 有关命令任务 命令 指定使用RIP协议 router rip 指定RIP版本 version {1|2}1 指定与该路由器相连的网络 network network 注:1.Cisco的RIP版本2支持验证、密钥管理、路由汇总、无类域间路由(CIDR)和变长子网掩码(VLSMs) 二、IGRP协议 IGRP (Interior Gateway Routing Protocol)是一种动态距离向量路由协议,它由Cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。 缺省情况下,IGRP每90秒发送一次路由更新广播,在3个更新周期内(即270秒),没有从路由中的第一个路由器接收到更新,则宣布路由不可访问。在7个更新周期即630秒后,Cisco IOS 软件从路由表中清除路由。 1. 有关命令 任务 命令 指定使用RIP协议 router igrp autonomous-system1 指定与该路由器相连的网络 network network 指定与该路由器相邻的节点地址 neighbor ip-address 注:1、autonomous-system可以随意建立,并非实际意义上的autonomous-system,但运行IGRP的路由器要想交换路由更新信息其autonomous-system需相同。三、OSPF协议 OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是链路状态路有协议,而RIP是距离向量路由协议。 链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。 文档见RFC2178。 1.有关命令 全局设置 任务 命令 指定使用OSPF协议 router ospf process-id1 指定与该路由器相连的网络 network address wildcard-mask area area-id2 指定与该路由器相邻的节点地址 neighbor ip-address 注:1、OSPF路由进程process-id必须指定范围在1-65535,多个OSPF进程可以在同一个路由器上配置,但最好不这样做。多个OSPF进程需要多个OSPF数据库的副本,必须运行多个最短路径算法的副本。process-id只在路由器内部起作用,不同路由器的process-id可以不同。 2、wildcard-mask 是子网掩码的反码, 网络区域ID area-id在0-4294967295内的十进制数,也可以是带有IP地址格式的x.x.x.x。当网络区域ID为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。
校园网络搭建毕业论文
维护校园网网络安全需要从网络的搭建及网络安全设计方面着手,通过各种技术手段,对校园网网络进行搭建,通过物理、数据等方面的设计对网络安全进行完善是解决上策,现在我就整理了一份,校园网搭建的毕业论文,希望对大家有所帮助。
一、学校需求分析
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
调研情况
学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。
需求功能
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
二、设计特点
根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的'发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下:
技术先进
采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资;
网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证;
采用支持网络管理的交换设备,足不出户即可管理配置整个网络。
网络互联:
提供国际互联网ISDN 专线接入(或DDN),实现与各公共网的连接;
可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资源丰富;
有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化;
有以WEB数据库为中心的综合信息平台,可进行消息发布,招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。
三、校园网布局结构
校园比较大,建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。主干网以中控室为中心,设几个主干交换节点,包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机。中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆;楼内选用进口6芯室内光缆和5类线。
根据学校的实际应用,配服务器7台,用途如下:
① 主服务器2台:装有Solaris操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
②WWW服务器1台:装有Linux操作系统,负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器,用PHP语言进行开发,连接MYSQL数据库,形成了完整的动态网站。
③电子阅览服务器1台:多媒体资料的阅览、查询及文件管理等;
④教师备课服务器1台:教师备课、课件制作、资料查询等文件管理以及Proxy服务等。
⑤光盘服务器1台:负责多媒体光盘及视频点播服务。
⑥图书管理服务器1台:负责图书资料管理。
在充分考虑学校未来的应用,整个校园的信息节点设计为3000个左右。交换机总数约 50台左右,其中主干交换机5台,配有千兆光纤接口。原有计算机机房通过各自的交换机接入最近的主交换节点,并配成多媒体教学网。INTERNET接入采用路由器接ISDN方案,也可选用DDN专线。可保证多用户群的数据浏览和下载。
四、网络拓扑图
光纤以太网技术是现在两大主流通信技术的融合和发展,即以太网和光网络。它集中了以太网和光网络的优点,如以太网应用普遍、价格低廉、组网灵活、管理简单,光网络可靠性高、容量大。光以太网的高速率、大容量消除了存在于局域网和广域网之间的带宽瓶颈,将成为未来融合话音、数据和视频的单一网络结构。光纤以太网产品可以借助以太网设备采用以太网数据包格式实现WAN通信业务。目前,光纤以太网可以实现10Mbps、100Mbps以及1Gbps等标准以太网速度。
光纤以太网设备是以第2层LAN交换机、第3层LAN交换机,SONET设备和DWDM为基础。一些公司推出专为出了光纤以太网交换机,这种交换机具有多种特性,可以尽量确保服务质量(如实现数据包分类和拥塞管理等)。这种产品均可能要求下列关键技术和性能:高可靠性、高端口密度、服务质量保证等功能。
光纤以太网业务与其他宽带接入相比更为经济高效,但到目前为止它的使用只限于办公大楼或楼群内已铺设光纤的地方。使用以太网的这种新方法的战略价值不仅仅限于廉价的接入。它既可用于接入网,也可用于服务供应商网络中的本地骨干网。它可以只用在第2 层,也可以作为实现第3层业务的有效途径。它可以支持IP、IPX以及其他传统协议。此外,由于在本质上它仍属于LAN,因此可用来帮助服务供应商管理企业LAN及企业LAN和其他网之间的互连。
虚拟路由器即Virtual Router,是指在软、硬件层实现物理路由器的功能仿真,属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表,这样就使不同VPN间的地址空间可以重用,并保证了VPN内部路由和转发的隔离性。用以建设骨干IP网络的设备中出现的新进展,尤其是虚拟骨干路由技术的出现,为Internet服务分配中的全面变化创造了条件。 虚拟路由器将使与其他网络用户相隔离并提供对网络性能、Internet地址与路由管理以及管理和安全性的新型Internet服务成为可能。虚拟骨干网路由器在逻辑上将一台物理路由器分为多台虚拟路由器。每台虚拟路由器运行路由协议不同的实例并具有专用 的I/O端口、缓冲区内存、地址空间、 路由表以及网络管理软件。 基于虚拟骨干路由器的服务无需增加投资,就可使客户机具有运行专用骨干网的控制权和安全性。控制和管理虚拟路由功能的软件是模块化的软件。软件的多个实例(对应于多个虚拟路由器)在真正的多处理器操作系统(如Unix)上执行。 每个虚拟路由器进程利用操作系统中固有的进程与内存保护功能与其他进程相隔离,这就保证了高水平的数据安全性,消除了出故障的软件模块损坏其他虚拟路由器上的数据的可能性。 当连接到高速SONET/SDH接口时,为获得线速性能,许多运营商级路由器具有的包转发功能是通过硬件实现的。在具有虚拟路由功能的系统中,这类硬件功能可以在逻辑上被划分并被灵活地分配给一个特定的虚拟路由器。 接收和发送数据包的物理I/O 端口或标记交换路径被置于组成一台虚拟交换机的软件模块的控制之下。包缓冲内存和转发表受每台虚拟路由器资源的限制,以保证一台虚拟路由器不会影响到另一台虚拟路由器的运行。 虚拟路由技术使每台虚拟路由器执行不同的路由协议软件(例如,最短路径优先、边界网关协议、中间系统到中间系统)和网络管理软件(例如,SNMP或命令行界面)的实例。因此,用户可以独立地监视和管理每台虚拟路由器。 不同的协议实例赋予每台虚拟路由器完全独立的IP地址域,这些地址域可以独立地进行配置,不会出现造成冲突的危险。管理功能使每台虚拟路由器可以作为一个独立的实体进行配置和管理。基于用户的安全模块还保证所有的网络管理功能和属于某一虚拟路由器的信息只 能供一定的访问特权访问。 每台虚拟路由器的包转发路径与其他虚拟路由器的包转发路径相隔离,从而使管理人员可以单独和独立地管理每台虚拟路由器的性能。系统中一台虚拟路由器上出现的传输流激增不会影响其他的虚拟路由器。这就保证了这种服务的最终用户得到持续的网络性能。 虚拟路由器还提供独立的策略和Internet工程任务组差别服务(Diff-Serv)功能,使虚拟路由器可以向最终用户提交完全的定制服务。分配给每台虚拟路由器的I/O端口可以进行编程以对输入包进行计数并保证输入包不超过预先规定的合同。然后包根据自己的服务类型分类进入多条队列。 随着虚拟路由功能在骨干网中变得更加普及,在动态精确地满足最终用户的带宽需要的同时,它所具有的提供最终用户对带宽的最大限度的控制和管理的功能将带来许多在价格上具有竞争力、高度定制的IP服务。这些服务将大大改变提供商和客户看待购买带宽世界的方式 。虚拟路由器冗余协议(VRRP:Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。 一、 应用实例 最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于 RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。 在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组 2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。 VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。 使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。 二、工作原理 一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟 MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。 VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。 在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若 VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。 IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
计算机网络毕业论文浅析计算机网络安全技术时圣杰摘要:随着计算机网络越来越深入到人们生活中的各个方面,计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。因此,认真研究当今计算机网络存在的安全问题,提高计算机网络安全防范意识是非常紧迫和必要的。关键词:安全问题;相关技术;对策虽然计算机网络给人们带来了巨大的便利,但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。加强网络安全建设,是关系到企业整体形象和利益的大问题。目前在各企业的网络中都存储着大量的信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失。而对于政府等许多单位来讲,加强网络安全建设的意义甚至关系到国家的安全、利益和发展。1 几种计算机网络安全问题1.1 TCP/IP 协议的安全问题。目前网络环境中广泛采用的TCP/IP 协议。互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信,正因为其开放性,TCP/IP 协议本身就意味着一种安全风险。由于大量重要的应用程序都以TCP 作为它们的传输层协议,因此TCP 的安全性问题会给网络带来严重的后果。1.2 网络结构的安全问题。互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器的重重转发,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。加之互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。1.3 路由器等网络设备的安全问题。路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备,严格说来,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的,而有些方式干脆就是在路由器上进行的。2 计算机网络安全的相关技术计算机网络安全的实现有赖于各种网络安全技术。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。2.1 防火墙技术。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。“防火墙”一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。2.2 数据加密技术。从密码体制方面而言,加密技术可分为对称密钥密码体制和非对称密钥密码体制,对称密钥密码技术要求加密、解密双方拥有相同的密钥,由于加密和解密使用同样的密钥,所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式,即将会话密钥用解密方的公钥加密传给解密方,解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥,在不知道特定信息的情况下,加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。2.3 入侵检测技术。入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。2.4 防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC 上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。3 建议采取的几种安全对策3.1 网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。3.2 以交换式集线器。代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。3.3 VLAN的划分。为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN 里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN 内,互不侵扰。VLAN 内部的连接采用交换实现,而VLAN 与VLAN 之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。参考文献[1]王达.网管员必读———网络安全[M].北京:电子工业出版社,2007.[2]张敏波.网络安全实战详解[M].北京:电子工业出版社,2008.[3]谢希仁.计算机网络(第5 版)[M].北京:电子工业出版社,2008. 更多详细的联系我 我毕业两三年了 现在在公司工作
计算机论文计算机网络在电子商务中的应用摘要:随着计算机网络技术的飞进发展,电子商务正得到越来越广泛的应用。由于电子商务中的交易行为大多数都是在网上完成的, 因此电子商务的安全性是影响趸易双方成败的一个关键因素。本文从电子商务系统对计算机网络安全,商务交易安全性出发,介绍利用网络安全枝术解决安全问题的方法。关键词:计算机网络,电子商务安全技术一. 引言近几年来.电子商务的发展十分迅速 电子商务可以降低成本.增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流.信息流的环境与系统 虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题.网上的交易是一种非面对面交易,因此“交易安全“在电子商务的发展中十分重要。可以说.没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分.计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案.以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Interne'(上应用时产生的各种安全问题.在计算机网络安全的基础上.如何保障电子商务过程的顺利进行。即实现电子商务的保密性.完整性.可鉴别性.不可伪造性和不可依赖性。二、电子商务网络的安全隐患1窃取信息:由于未采用加密措施.数据信息在网络上以明文形式传送.入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容.造成网上传输信息泄密2.篡改信息:当入侵者掌握了信息的格式和规律后.通过各种技术手段和方法.将网络上传送的信息数据在中途修改 然后再发向目的地。这种方法并不新鲜.在路由器或者网关上都可以做此类工作。3假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。4恶意破坏:由于攻击者可以接入网络.则可能对网络中的信息进行修改.掌握网上的机要信息.甚至可以潜入网络内部.其后果是非常严重的。三、电子商务交易中应用的网络安全技术为了提高电子商务的安全性.可以采用多种网络安全技术和协议.这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。1.防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务 由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此.最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网) 防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前.防火墙产品主要分为两大类基于代理服务方式的和基于状态检测方式的。例如Check Poim Fi rewalI-1 4 0是基于Unix、WinNT平台上的软件防火墙.属状态检测型 Cisco PIX是硬件防火墙.也属状态检测型。由于它采用了专用的操作系统.因此减少了黑客利用操作系统G)H攻击的可能性:Raptor完全是基于代理技术的软件防火墙 由于互联网的开放性和复杂性.防火墙也有其固有的缺点(1)防火墙不能防范不经由防火墙的攻击。例如.如果允许从受保护网内部不受限制地向外拨号.一些用户可以形成与Interne'(的直接连接.从而绕过防火墙:造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输.这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Interne'(主机上并被执行而发起攻击时.就会发生数据驱动攻击.所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。2.数据加密技术。防火墙技术是一种被动的防卫技术.它难以对电子商务活动中不安全的因素进行有效的防卫。因此.要保障电子商务的交易安全.就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前.加密技术分为两类.即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(punickey nfrastructur)的缩写.即 公开密钥体系”)技术实施构建完整的加密/签名体系.更有效地解决上述难题.在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI中.密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开.而另一把则作为专用密钥{解密密钥)加以保存。公开密钥用于对机密�6�11生息的加密.专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握.公开密钥可广泛发布.但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开:得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。3.身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性 来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒 篡改等。一般来说。用人的生理特征参数f如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符 密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I)身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识 这就是 数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制.它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构 专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities.简称CA}。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中.证书是证明用户合法身份和提供用户合法公钥的凭证.是建立保密通信的基础。因此,作为网络可信机构的证书管理设施 CA主要职能就是管理和维护它所签发的证书 提供各种证书服务,包括:证书的签发、更新 回收、归档等。4.数字签名技术。数字签名也称电子签名 在信息安全包括身份认证,数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个1 28b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密 形成发送方的数字签名:然后 这个数字签名将作为报文的附件和报文一起发送给报文的接收方 报文接收方首先从接收到的原始报文中计算出1 28bit位的散列值(或报文摘要).接着再用发送方的公开密钥来对报文附加的数字签名进行解密 如果两个散列值相同 那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性。四、结束语电子商务安全对计算机网络安全与商务安全提出了双重要求.其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题 制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化.应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。参考文献:[1]肖满梅 罗兰娥:电子商务及其安全技术问题.湖南科技学院学报,2006,27[2]丰洪才 管华 陈珂:电子商务的关键技术及其安全性分析.武汉工业学院学报 2004,2[3]阎慧 王伟:宁宇鹏等编著.防火墙原理与技术[M]北京:机械工业出版杜 2004