发布时间:
1 绪论 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。 2 方案目标 本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。 需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点: 1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低; 2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动; 3.提供恢复被破坏的数据和系统的手段,尽量降低损失; 4.提供查获侵入者的手段。 网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。 3 安全需求 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性: 授权实体有权访问数据 机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改 可控性: 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 4 风险分析 网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。 风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。 5 解决方案 5.1 设计原则 针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想: 1.大幅度地提高系统的安全性和保密性; 2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; 3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展; 5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分步实施原则:分级管理 分步实施。 5.2 安全策略 针对上述分析,我们采取以下安全策略: 1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。 2.采用各种安全技术,构筑防御系统,主要有: (1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。 (2) NAT技术:隐藏内部网络信息。 (3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。 (4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。 (5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。 (6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。 (7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。 3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。 4.建立分层管理和各级安全管理中心。 5.3 防御系统 我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。 5.3.1 物理安全 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。 为保证网络的正常运行,在物理安全方面应采取如下措施: 1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。 2.运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。 3.防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。 4.保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。 5.3.2 防火墙技术 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构: (1)屏蔽路由器:又称包过滤防火墙。 (2)双穴主机:双穴主机是包过滤网关的一种替代。 (3)主机过滤结构:这种结构实际上是包过滤和代理的结合。 (4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。 5.3.2.1 包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,过包过滤型防火墙。 5.3.2.2 网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。 5.3.2.3 代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 5.3.2.4 监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 相关性:毕业论文,免费毕业论文,大学毕业论文,毕业论文模板 5.3.3 VPN技术 VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。 VPN有三种解决方案: (1)如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程访问虚拟网(Access VPN)。 AccessVPN通过一个拥有专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。 (2)如果要进行企业内部各分支机构的互连,使用企业内部虚拟网(Intranet VPN)是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务范围越来越广时,网络结构也趋于复杂,所以花的费用也越来越大。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,利用隧道、加密等VPN特性可以保证信息在整个Internet VPN上安全传输。 (3)如果提供B2B之间的安全访问服务,则可以考虑Extranet VPN。 利用VPN技术可以组建安全的Exrranet。既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络安全。Extranet VPN通过一个使用专用连接的共享基础设施,将客户,供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。 5.3.4 网络加密技术(Ipsec) IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括: 1.访问控制 2.无连接完整性 3.数据起源认证 4.抗重放攻击 5.机密性 6.有限的数据流机密性 信息交换加密技术分为两类:即对称加密和非对称加密。 5.3.4.1 对称加密技术 在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。 5.3.4.2 非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。 5.3.4.3 RSA算法 RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下: 公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密) 与(p-1)(q-1)互素 私有密钥:d=e-1 加密:c=me(mod n),其中m为明文,c为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。 5.3.5 身份认证 在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。 5.3.5.1 认证机构 CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。 5.3.5.2 注册机构 RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。 5.3.5.3策略管理 在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。 5.3.5.4密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 5.3.5.5 证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。 5.3.6多层次多级别的防病毒系统 防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。 防病毒系统设计原则 1.整个系统的实施过程应保持流畅和平稳,做到尽量不影响既有网络系统的正常工作。 2.安装在原有应用系统上的防毒产品必须保证其稳定性,不影响其它应用的功能。在安装过程中应尽量减少关闭和重启整个系统。 3.防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。 4.防病毒系统的升级和部署功能应做到完全自动化,整个系统应具有每日更新的能力。 5.应做到能够对整个系统进行集中的管理和监控,并能?/cn>
路由器的工作原理:路由器是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。
路由器用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。
路由器通常位于网络层
因而路由技术也是与网络层相关的一门技术, 路由器与早期的网桥相比有很多的变化和不同。 通常而言,网桥的局限性比较大,它只能够连通数据链路层相同或者类似的网络,不能够连接数据链路层之间有着较大差异的网络。
但是路由器却不同,它打破了这个局限,能够连接任意的两种不同的网络,但是这两种不同的网络之间要遵守一个原则,就是使用相同的网络层协议,这样才能够被路由器连接。
以上内容参考:百度百科-路由器
路由器工作原理 传统地,路由器工作于OSI七层协议中的第三层,其主要任务是接收来自一个网络接口的数据包,根据其中所含的目的地址,决定转发到下一个目的地址。因此,路由器首先得在转发路由表中查找它的目的地址,若找到了目的地址,就在数据包的帧格前添加下一个MAC地址,同时IP数据包头的TTL(Time To Live)域也开始减数,并重新计算校验和。当数据包被送到输出端口时,它需要按顺序等待,以便被传送到输出链路上。 路由器在工作时能够按照某种路由通信协议查找设备中的路由表。如果到某一特定节点有一条以上的路径,则基本预先确定的路由准则是选择最优(或最经济)的传输路径。由于各种网络段和其相互连接情况可能会因环境变化而变化,因此路由情况的信息一般也按所使用的路由信息协议的规定而定时更新。 网络中,每个路由器的基本功能都是按照一定的规则来动态地更新它所保持的路由表,以便保持路由信息的有效性。为了便于在网络间传送报文,路由器总是先按照预定的规则把较大的数据分解成适当大小的数据包,再将这些数据包分别通过相同或不同路径发送出去。当这些数据包按先后秩序到达目的地后,再把分解的数据包按照一定顺序包装成原有的报文形式。路由器的分层寻址功能是路由器的重要功能之一,该功能可以帮助具有很多节点站的网络来存储寻址信息,同时还能在网络间截获发送到远地网段的报文,起转发作用;选择最合理的路由,引导通信也是路由器基本功能;多协议路由器还可以连接使用不同通信协议的网络段,成为不同通信协议网络段之间的通信平台。 一般来说,路由器的主要工作是对数据包进行存储转发,具体过程如下: 第一步:当数据包到达路由器,根据网络物理接口的类型,路由器调用相应的链路层功能模块,以解释处理此数据包的链路层协议报头。这一步处理比较简单,主要是对数据的完整性进行验证,如CRC校验、帧长度检查等。 第二步:在链路层完成对数据帧的完整性验证后,路由器开始处理此数据帧的IP层。这一过程是路由器功能的核心。根据数据帧中IP包头的目的IP地址,路由器在路由表中查找下一跳的IP地址;同时,IP数据包头的TTL(Time To Live)域开始减数,并重新计算校验和(Checksum)。 第三步:根据路由表中所查到的下一跳IP地址,将IP数据包送往相应的输出链路层,被封装上相应的链路层包头,最后经输出网络物理接口发送出去。 简单地说,路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径,并将该数据包有效地传送到目的站点。由此可见,选择最佳路径策略或叫选择最佳路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据——路由表(Routing Table),供路由选择时使用。上述过程描述了路由器的主要而且关键的工作过程,但没有说明其它附加性能,例如访问控制、网络地址转换、排队优先级等。
路由器是一个网络分发工具,将不同网络之间的数据包进行存储和分组转发。 现实生活的原型可以参考我们熟知的物流系统。
1 摘要 12 Abstract 23 目录 44 引言 64.1 如今的网络社会 64.2 本课题的目的 64.3 关于Cisco 65 用户需求分析 85.1 网络需求分析 85.2 资金预算 86 网络系统的建议方案 96.1 网络主干 96.2 教学楼的接入 116.3 图书馆的接入 116.4 办公楼的接入 116.5 学生机房的接入 116.6 学生宿舍的联网 126.7 PIX防火墙 126.8 Cisco 2610 远程访问路由器 126.9 网络管理 137 网络总体设计方案 147.1 网络拓扑 147.2 VLAN及IP地址规划 148 交换模块设计 168.1 访问层交换服务的实现-配置访问层交换机 168.1.1 设置交换机名称 178.1.2 设置交换机的加密使能口令 178.1.3 设置登录虚拟终端线时的口令 188.1.4 设置终端线超时时间 198.1.5 设置禁用IP地址解析特性 208.1.6 设置启用消息同步特性 218.1.7 配置访问层交换机jxl的管理IP、默认网关 228.1.8 端口双工配置 248.1.9 端口速度 248.1.10 设置快速端口 258.1.11 配置访问层交换机jxl的主干道端口 268.1.12 配置其余的访问层交换机 278.2 分布层交换服务的实现-配置分布层交换机 288.2.1 配置分布层交换机jxq 的基本参数 288.2.2 配置分布层交换机jxq 的管理IP、默认网关 298.2.3 配置分布层交换机jxq的VLAN 298.2.4 配置分布层交换机jxq 的端口基本参数 308.2.5 配置分布层交换机jxq 的3层交换功能 318.2.6 配置分布层交换机ssq 338.3 核心层交换服务的实现-配置核心层交换机 348.3.1 配置核心层交换机CoreSwitch1的基本参数 348.3.2 配置核心层交换机CoreSwitch1的管理IP、默认网关 358.3.3 配置核心层交换机CoreSwitch1的端口参数 368.3.4 配置核心层交换机CoreSwitch1的路由功能 369 PIX防火墙的接入 389.1 PIX防火墙的管理访问模式 399.2 PIX防火墙的基本命令 3910 广域网接入设计 4010.1 配置接入路由器InternetRouter的基本参数 4010.2 配置接入路由器InternetRouter的各接口参数 4110.3 配置接入路由器InternetRouter的路由功能 4110.4 配置接入路由器InternetRouter上的NAT 4210.4.1 定义NAT内部、外部接口 4210.4.2 定义允许进行NAT的工作站的内部局部IP地址范围 4310.5 配置接入路由器InternetRouter上的ACL 4410.5.1 对外屏蔽简单网管协议,即SNMP 4410.5.2 对外屏蔽远程登录协议telnet 4510.5.3 对外屏蔽其它不安全的协议或服务 4611 结束语 4812 致谢 4913 参考文献 50
目 录 第1章 绪论 3 1.1背景和意义 3 1.2研究综述和主要方法 4 1.2.1地址资源 4 1.2.2路由分析 4 1.2.3路由策略 5 1.2.4优化处理 6 1.3研究目标与内容 7 第2章 基于ENSP的校园网总体设计 9 2.1设计原则 9 2.2需求分析 9 2.3技术选型 9 2.3.1 VLAN 使用VLAN技术主要考虑到以下优势 9 2.3.2 STP生成树技术与HSRP热备份路由协议技术 10 2.3.3以太网捆绑技术 10 2.3.4 OSPF多出口技术 10 2.4设备选型 10 2.4.1核心层选型 10 2.4.2汇聚层 11 2.4.3接入层 11 2.5目标网络拓扑 11 第3章 基于ENSP的校园网的详细IP地址与VLAN的划分 12 3.1 IP地址划分原则 12 3.2 IP地址及主要VLAN划分 12 3.3三层链路地址划分 13 3.4设备命名及loopback地址 14 3.5网管地址划分及所属VLAN划分 15 3.6 DHCP服务器IP地址池划分 16 第4章 基于ENSP的校园网的局域网设计实施方案 17 4.1基本配置命令 17 4.1.1设置交换机的加密使能口令 17 4.1.2设置登录虚拟终端线时的口令 17 4.1.3设置终端线超时时间 17 4.1.4设置禁用IP地址解析特性 18 4.1.5设置启用消息同步特性 18 4.2配置接入层交换机 18 4.2.1设置接入层交换机的管理IP 18 4.2.2配置访问层交换机AccessSwitch1的访问端口 19 4.2.3设置快速端口 19 4.2.4配置访问层交换机AccessSwitch1的主干道端口 19 4.3 配置分布层交换机DistributeSwitch的VTP 20 4.4 核心层交换服务的实现-配置核心层交换机 20 4.4.1核心层上以太网接口捆绑技术 21 4.4.2 HSRP网关冗余技术 21 第5章 基于ENSP的校园网的策略路由实施方案 24 5.1 VLAN三层路由接入方案 24 5.2路由技术的比较与选择 24 5.3多出口OSPF的实施配置 26 第6章 基于ENSP的校园网的广域网Internet与服务器接入实施方案 29 6.1防火墙 29 6.2服务器模块 31 6.3 DHCP的部署 32 第7章 基于ENSP的校园网的仿真模拟实现 33 7.1仿真拓扑 33 7.2 VLAN仿真与测试 33 7.3 STP生成树仿真与测试 34 7.4 以太网捆绑测试 36 7.5网关冗余技术测试 38 7.6路由的仿真与测试 38 7.7 PAT仿真与测试 39 7.8 DHCP服务器测试 39 结 论 41 参考文献 42 致 谢 44 摘 要 基于策略的路由是一种比基于目的网络的路由更灵活的数据包路由和转发机制。路由器处理需要转发的数据包,通过路由图决策,路由图确定数据包的下一个路由器转发路径。该设计以校园网为背景,采用多出口周边网络方案,可以缓解CERNET与公网互联不畅的问题,但会导致周边网络路由复杂。 为此,您应该在实施此方案之前规划好您的周边网络路由,并通过掌握该流量在您的周边网络中的转发过程来有效地预留流量。外网只能访问内网记录服务器,内网主机可以自动选择出口访问外网。实验基于典型计算机网络环境对网络功能的要求,使用ENSP模拟器构建整个网络拓扑。在实现网络功能的过程中,策略路由主要用于完成组网设备的配置和最终结果的验证。 关键词:策略路由;网络多出口;校园网络;ENSP;仿真模拟 Abstract Policy-based routing is a more flexible packet routing and forwarding mechanism than purpose-based routing.The router processes the packets that need forwarding, and the routing graph determines the next router of the packet forwarding path through the routing graph decision.The design takes the campus network as the background and adopts the multi-exit peripheral network scheme, which can alleviate the problem of poor interconnection between CERNET and public network, but will lead to complex surrounding network routing. To this end, you should plan your peripheral network route before implementing this plan, and effectively reserve the traffic by mastering the forwarding process of the traffic in your peripheral network.The extranet can only access the Intranet record server, and the Intranet host can automatically select exits to access the extranet.Based on the functional requirements of a typical computer network environment, the whole network topology is constructed using the ENSP simulator.In the process of realizing network function, policy route is mainly used to complete the configuration and verification of final results. Key words: strategic routing; network multi-exit; campus network; ENSP; simulation simulation 本文来自: 毕业作品网站(www.biyezuopin.vip) 详细出处参考:
研究思路、研究方法、技术路线和实施步骤1、研究什么?——怎样确定研究课题一切科学研究始于问题——问题即课题;教学即研究(掌握方法很重要,否则就不是研究);进步与成果即成长。教育科研课题主要来源于两大方面:A.实践来源——客观存在的或潜在的教育实际问题,教育教学实践本身存在的问题。教育教学与其外部的矛盾(教师与家长、教师与学校、学校与社会、教育与社会发展)。B.理论来源——现有教育理论所揭示的问题以及理论体系中的空白和矛盾点(例如《关于“信息技术与课程整合”的冷思考》一文产生的过程)2、怎样进行研究课题的论证?我们既然已选定了一个课题,我们就必须对这个课题的所有情况进行全面的了解。了解这个课题目前在国外、国内的研究情况,包括研究已取得的成果和存在的问题,了解这一课题所属的理论体系等等。对课题的全面了解,可以使我们在研究过程中少走弯路,确立研究的主攻方向,这就是我们常说的:“知己知彼,百战百胜”。怎样对一个课题进行论证呢?论证一个课题主要是弄清如下几个问题:A.所要研究的问题是什么性质和类型的问题?B.要研究的问题具有什么现实意义?它的理论价值(即在理论上预计有哪些突破?)C.要研究的问题目前已有哪些研究成果?研究的方向是什么?D.要研究的问题所应具备的条件分析。E.课题研究的策略和步骤如何?F.课题研究的成果及其表现形式有哪些?3、教育课题研究的基本方法有:⑴ 观察法 ⑵ 调查法 ⑶ 测验法 ⑷ 行动研究法 ⑸ 文献法 ⑹ 经验总结法 ⑺ 个案研究法 ⑻ 案例研究法⑼ 实验法(在一个课题研究过程中,根据不同的研究目的和要求,往往会用到两种以上方法)3.1 观察法:为了了解事实真相,从而发现某种现象的本质和规律。观察法的步骤:观察法的实施分为以下三个步骤,步骤之一就是进行观察研究的设计,此步骤可分为如下几个方面:3.1.1 作大略调查和试探性观察。这一步工作的目的不在于搜集材料,而在于掌握基本情况,以便能正确地计划整个观察过程。例如:要观察某一教师的教学工作,便应当预先到学校大致了解这位教师的工作情况,学生的情况,有关的环境和条件等等。这可以通过跟教师和学校领导人谈话,查阅一些有关的材料,如教案、教学日记、学生作业等,以及听课等方式进行。3.1.2 确定观察的目的和中心。根据研究任务和研究对象的特点,考虑弄清楚什么问题,需要什么材料和条件,然后作明确的规定。如果这规定不明确,观察便不能集中,结果就不能深入。观察不能有几个中心,范围不能太广,全部观察要围绕一个中心进行。如果必须要观察几个中心,那就采取小组观察,分工合作。3.1.3 确定观察对象一是确定拟观察的的总体范围;二是确定拟观察的个案对象;三是确定拟观察的具体项目。比如,要研究新分配到小学任教的中师或大专毕业生在课余时间进行业务、文化进修的情况,那么,拟观察总体就是教师工作年限达一年或两年的新教师。在这一总体范围内,再定下具体观察哪几所小学,哪几个教研组中的哪些教师。具体观察名单确定以后,再把拟观察的时间、场合、具体观察项目确定下来。3.1.4 制定观察计划观察计划除了明确规定观察的目的、中心、范围,以及要了解什么问题、搜集什么材料之外,还应当安排观察过程:观察次数、密度、每次观察持续的时间,如何保证观察现象的常态等。3.1.5 策划和准备观察手段观察手段一般包括两种:一种是获得观察资料的手段;一种是保存观察资料的手段。获得观察资料的手段主要是人的感觉器官,但有时需要一些专门设置的仪器来帮助观察,如观察屏、计算机终端装置、更高级的如动作反应器等。这些仪器主要起两方面作用:保证观察的客观性与提高观察的精确性。在保存资料的手段中,人脑是天然器官。但这种与观察主体连在一起的保存手段缺乏精确性和持久性,也不能实现资料的客体化。因此,人们先利用文字、图形等符号手段,进而又利用摄影、录音、录像等技术手段,把观察时瞬间发生的事、物、状况以永久的方式,准确地、全面地记录下来,供研究地反复观察资料和分析资料所用。无论哪一类手段,都应在观察开始前就准备好,对观察中使用的种仪器也须事先作好功能检查,以保证在使用过程中不出现障碍。对于观察人员来说,必须掌握使用仪器的基本方法,并知道在观察中应做些什么。如要详细、全面拍摄一堂课,一部摄像机是不够的。观察者应准备几部摄像机,并事先作好分工。即使是作观察记录,也需要事先作好设计。在记录纸上印好以一定的格式排列的必须记录的项目,还可以约定一些记录符号,以尽量减少现场记录时书写文字的时间.我们以中学生课堂行为记录为例,见表5-1。在下面表格中,研究人员根据研究需要,列出他认为在课堂上学生可能发生的行为。但估计所列不会完全,所以留出一些空格,让观察员在需要时使用。研究者如果要请别人帮助观察,必须事先和观察人员讲清楚每一个项目的具体所指,遇到意外情况的处理方法,要求他们熟悉每一个项目的所在位置。为了稳妥起见,还可以在正式观察前先作几次观察练习,帮助观察人员熟悉表格的内容;如发现表格的缺陷,可在正式观察前作出调整。3.1.6 规定统一性标准为了增加观察的客观性,为了便于衡量和评价各种现象,为了易于用数量来表达观察的现象,为了使观察结果可以核对、比较、统计和综合,必须事先考虑自己的观察可能涉及到的各种因素,并对每一因素规定出统一的标准。每次观察或观察同一现象的不同观察者,要坚持采用统一的标准去衡量。这主要在于,不同的研究项目常会涉及到不同性质的标准。如:有的涉及到单位问题,如怎样衡量学生表现的知识质量;有的涉及到定义问题,如怎样才算违反纪律;有的涉及计算方式问题,如怎样登记和表达学生之间产生的矛盾的频率,等等。对类似问题,都应事先做好统一规定。3.1.7 逐段提出观察提纲在观察计划的基础上,应对每次或每段(几次同一性质上一内容的观察组成一段)观察提出具体提纲,以便使观察者对每一次观察的目的、任务和要获得什么材料非常明确。观察提纲可以包括本次观察要解决的具体问题,并且应当在前一次观察的基础上,经过深思熟虑之后提出来。亦可采用表格的方式,以便于分类统计。观察实际过程,加以分析研究,得出某种结论。也许可以形成某个研究课题。3.2 调查法 :同样是为了了解事实情况,分析事实情况,得出结论,证实某种问题,以便改进工作(包括改进研究方法)或形成新的研究课题。包括问卷调查、访问调查等.。了解事实情况、分析情况、认真研究,得出结论,寻找解决办法或进一步研究的方案。举例说明调查法的操作过程:抽样调查的主要步骤在实际的抽样操作中,整个过程可大致分为如下步骤:1.确定调查的目的(确定问题,形成假说;通过调查验证假说,使问题明确化,得出结论)。2.确定抽样总体。要从中进行抽样的总体应与要得到信息的总体(目标总体)一致。从样本得出的结论适用于被抽样总体,超出这个范围结论的适用程度取决于被抽样总体与目标总体的差异程度。3.确定待收集的数据。一般只收集与调查目的有关的数据,过长的调查表会降低回答的质量。4.选择抽样方法。这时总体中的哪种单位作为个体基本上可定下来。5.编制抽样框。如学校名录、学生花名册等。6.确定需要的精确度。因抽样调查是要由样本推断总体,会带有某些不确定性。一般是对相对误差或绝对误差作出概率水平上的要求。7.估计样本容量,估计费用。8.抽样试验,在小范围内试填一下调查表,做些必要的改进。9.实地调查工作的组织。按抽样方案进行调查。对收回的调查表的质量及时进行检查。对不回答的表要有处理方案。10.根据所用的抽样方法进行数据分析。11.可对同样的数据采用其它的分析方法,以作比较。12.写出调查报告。留存有关总体的信息,它们可能对将来的抽样起指导作用。对于教育现象,有时难于进行严格意义上的概率抽样,可以考虑采用下列方法抽样:从总体中选出若干有代表性的大单位(群),在群内进行概率抽样;从一个小总体中选出接近于研究者对总体平均数的印象的那些个体;样本限于总体中易于取到的部分;样本是随便选取的;样本由自愿被调查的人员组成;等等。但对这样得到的样本要选择适当的数据分析方法,对结论也要慎重,应充分利用其它信息进行核查、确认。在教育现象的研究中,研究者的智恝、经验和抽样技术的有机结合,是获取好样本的关键。3.3 测验法:是想描述某些行为的状况,或推论某些行为的状况(包括:能力与成就,个性、兴趣、动机、态度、观念及心理需要等);从而考虑改建的策略或方案,或进一步形成新的研究课题。在教育学和心理学中,测量被用作定量研究的重要方法。主要功能是评估、诊断和预测。(举例,如XXX老师所做的“学生自学能力测验(试验)”,就是为了了解小学中高年级学生的自学能力究竟能达到何种程度)。所谓测量就是根据一定的法则,将某种物体或现象所具有的属性或特征用数字或符号表示出来的过程。测验法是教育和心理学测量的一项主要内容和形式。测验的客观性是关于测验系统化过程好坏程度的指标。测验的控制,在不同时间对于同一个被试,或同一时间对于不同的被试,其意义都应该是相同的。保持刺激的客观性则要遵照一定的程序予以控制。(如周文琴老师在做这一测试前邀请我去在他们的家长会上的讲话,目的就在于排除和避免人为因素影响,排除测验的随意性和不真实性,实现评测标准的同一性)。推论的客观性指对同一结果不同的人所做的推论应该一致,同一个人在不同的时间对同一结果的所做解释应该相同。3.4 行动研究法:行动研究法是一种适应小范围内教育改革的探索性的研究方法,其目的不在于建立理论、归纳规律,而是针对教育活动和教育实践中的问题,在行动研究中不断地探索、改进改进工作,解决教育实际问题。行动研究将改革行动与研究工作相结合,与教育实践的具体改革行动紧密相连。(特点是边执行、边评价、边修改)。模式基本是:计划——行动——考察——反思(即总结评价)。教师个体比较适用。另一种模式:预诊——搜集资料初步研究——拟订总体计划——制订具体计划——行动——总结评价从上述行动研究法的几个步骤中可以发现三个明显的特征:一是具有动态性,所有的设想、计划、,都处于一个开放的动态系统中,都是可修改的;二是较强的联合性与参与性,研究者、教师、行政人员的全体小组成员参与行动研究法实施的全过程。三是在整个研究过程中,诊断性评价、形成性评价、总结性评价贯穿于行动研究法工作流程的始终。具体说说操作方法:(一)预诊:这一阶段的任务是发现问题。对教学或学校工作中的问题,进行反思发现问题,并根据实际情况进行诊断,得出行动改变的最初设想。在各步骤中,预诊占有十分重要的地位。(二)收集资料初步研究:这一阶段成立由教研人员、教师和教育行政人员组成的研究小组对问题进行初步讨论和研究,查找解决问题的有关理论、文献,充分占有资料,参与研究的人员共同讨论,听取各方意见,以便为总体计划的拟定做好诊断性评价。(三)拟定总体计划:这是最初设想的一个系统化计划。行动研究法是一个动态的开放系统,所以总体计划是可以修订更改的。(四)制定具体计划:这是实现总体计划的具体措施,它以实际问题解决的需要为前提,有了它,才会导致旨在改变现状的干预行动的出现。(五)行动:是整个研究工作成败的关键。这一阶段的特点是边执行、边评价、边修改。在实施计划的行动中,注意收集每一步行动的反馈信息,可行的,则可以进入下一步计划和行动。反之,则总体计划甚至基本设想都可能需要作出调整或修改。这里行动的目的,不是为了检验某一设想或计划,而是为了解决实际问题。在行动研究中,过程性资料的搜集、整理也是非常重要的。(六)总结评价:首先要对研究过程进行考察。考察内容有:一是行动背景因素以及影响行动的因素。二是行动过程,包括什么人以什么方式参与了计划实施,使用了什么材料,安排了什么活动,有无意外的变化、如何排除干扰。三是行动的结果,包括预期的与非预期的,积极和消极的。要注意搜集三方面的资料,背景资料是分析计划设想有效性的基础材料,过程资料是判断行动效果是不是、由方案带来和怎样带来的考察依据;结果资料是分析方案带来的什么样的效果的直接依据。考察要灵活运用各种观察技术以及数据、资料的采集和分析技术,充 分利用录象、录音等现代化手段。总结评价实际上是对行动研究过程及其结果的“反思”。反思是行动研究第一个循环周期的结束,又是过渡到另一个循环周期的中介。这一环节包括:整理描述,评价解释,写出研究报告。这是对整个研究工作的总结和评价。这一阶段除了要对研究中获得的数据、资料进行科学处理,得到研究所需要的结论外,还应对产生这一课题的实际问题作出解释和评价。3.5 经验总结法:这是教师可以常用的方法。教育经验总结法是根据教育实践所提供的事实,分析概括教育现象,挖掘现有的经验材料,并使之上升到教育理论的高度,以便更好地指导新的教育实践活动的一种教育科学研究方法。关键是要能够从透过现象看本质,找出实际经验中的规律;从而更好地更加理性地改进自己的教学。进行教育经验总结要遵循以下基本要求:一、要注意经验的 先 进 性(观念必须更新)二、要全面考察总结的对象,充分占有原始的事实材料;且做到有“点”有“面”,“点”、“面”结合,防止以偏概全的片面性。三、要以教育实践活动为依据,不能凭空想当然,那是毫无价值。四、要善于进行理论分析3.6 文献法:分类阅读有关文献(包括文字、图形、符号、声频、视频等具有一定历史价值、理论价值和资料价值的材料),得出一般性结论或者发现问题,寻找新的思路。文献按内容性质分,有零次文献、一次文献、二次文献和三次文献。零次文献是未经发表和有意识处理的最原始的资料。一次文献指直接记录事件经过、研究成果、新知识、新技术的专著、论文、调查报告等文献。二次文献是指对一次文献进行加工整理,包括著录其文献特征、摘录其内容要点,并按照一定方法编排成系统的便于查找的文献。三次文献是指工具书和在二次文献的基础上,又对众多一次文献的综合研究结果。3.7 个案研究法:个案研究法就是对单一的研究对象进行深人而具体研究的方法。个案研究的对象可以是个人,也可以是个别团体或机构。前者如对一个或少数几个优生或差生进行个案分析,后者如对某先进班级或学校进行个案研究。个案研究一般对研究对象的一些典型特征作全面、深入的考察和分析,也就是所谓“解剖麻雀”的方法。个案研究中,原始的资料积累是非常重要的。同时个案研究不仅停留在对个案的研究和认识的水平上,而且需要认识教育与发展之间的因果关系,提出一些积极的教育对策,以改革教育教学方法。也可能通过对某个案的研究而形成假说,进而产生新的研究课题或教改实验。观察或追踪一个人、几个人、一个团体、一节课……的过程,时间可长可短,依需要而定,进行分析概括,透过现象看本质,得出规律性的结论,找出解决问题的办法。(个案研究的对象少,研究规模也较小;同时个案研究一般都是在没有控制的自然状态中进行的,也不要在一段时间内突击完成。所以,个案研究就特别适合教师的研究。教师可以抓住一两个典型的学生或一类学生,结合教学、教育工作实践进行研究。对于每一个教育实践工作者来说,总可以在班上找到研究对象,而且也不需要什么特殊的处理,不影响正常的教育活动)。3.8 案例研究法:什么是“案例”?中外学者尚无普遍公认的、权威的定义,一般认为,案例是对现实生活中某一具体现象的客观描述。教育案例是对教育活动中具有典型意义的,能够反映教育某些内在规律或某些教学思想、原理的具体教学事件的描述、总结分析,它通常是课堂内真实的故事,教学实践中遇到的困惑的真实记录。对这些“真实记录”进行分析研究,寻找规律或产生问题的根源,进而寻求解决问题或改进工作的方法,或形成新的研究课题。在案例法的研究中,研究者自身的洞察力是关键。
论文的研究思路和研究方法如下:
1、归纳方法与演绎方法:归纳就是从个别事实中概括出一般性的结论原理;演绎则是从一般性原理、概念引出个别结论。归纳是从个别到一般的方法;演绎是从一般到个别的方法。
门捷列夫使用归纳法,在人们认识大量个别元素的基础上,概括出了化学元素周期律。后来他又从元素周期律预言当时尚未发现的若干个元素的化学性质,使用的就是演绎法。
2、分析方法与综合方法:分析就是把客观对象的整体分为各个部分、方面、特征和因素而加以认识。它是把整体分为部分,把复杂的事物分解为简单的要素分别加以研究的一种思维方法。
分析是达到对事物本质认识的一个必经步骤和必要手段。分析的任务不仅仅是把整体分解为它的组成部分,而且更重要的是透过现象,抓住本质,通过偶然性把握必然性。
3、比较分析法:比较分析法又称类推或类比法。它是对事物或者问题进行区分,以认识其差别、特点和本质的一种辩证逻辑方法。在资料不多,还不足以进行归纳和演绎推理时,比较分析法更具有价值。康德说:“每当理智缺乏可靠论证的思路时,类比这个方法往往能指引我们前进。”
4、观察法:观察法是指研究者根据一定的研究目的、研究提纲或观察表,用自己的感官和辅助工具去直接观察被研究对象,从而获得资料的一种方法。科学的观察具有目的性和计划性、系统性和可重复性。
5、文献研究法:文献研究法是根据一定的研究目的或课题,通过调查文献来获得资料,从而全面地、正确地了解掌握所要研究问题的一种方法。文献研究法被广泛用于各种学科研究中。
校园网络搭建毕业论文
维护校园网网络安全需要从网络的搭建及网络安全设计方面着手,通过各种技术手段,对校园网网络进行搭建,通过物理、数据等方面的设计对网络安全进行完善是解决上策,现在我就整理了一份,校园网搭建的毕业论文,希望对大家有所帮助。
一、学校需求分析
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
调研情况
学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。
需求功能
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
二、设计特点
根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的'发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下:
技术先进
采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资;
网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证;
采用支持网络管理的交换设备,足不出户即可管理配置整个网络。
网络互联:
提供国际互联网ISDN 专线接入(或DDN),实现与各公共网的连接;
可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资源丰富;
有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化;
有以WEB数据库为中心的综合信息平台,可进行消息发布,招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。
三、校园网布局结构
校园比较大,建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。主干网以中控室为中心,设几个主干交换节点,包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机。中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆;楼内选用进口6芯室内光缆和5类线。
根据学校的实际应用,配服务器7台,用途如下:
① 主服务器2台:装有Solaris操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
②WWW服务器1台:装有Linux操作系统,负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器,用PHP语言进行开发,连接MYSQL数据库,形成了完整的动态网站。
③电子阅览服务器1台:多媒体资料的阅览、查询及文件管理等;
④教师备课服务器1台:教师备课、课件制作、资料查询等文件管理以及Proxy服务等。
⑤光盘服务器1台:负责多媒体光盘及视频点播服务。
⑥图书管理服务器1台:负责图书资料管理。
在充分考虑学校未来的应用,整个校园的信息节点设计为3000个左右。交换机总数约 50台左右,其中主干交换机5台,配有千兆光纤接口。原有计算机机房通过各自的交换机接入最近的主交换节点,并配成多媒体教学网。INTERNET接入采用路由器接ISDN方案,也可选用DDN专线。可保证多用户群的数据浏览和下载。
四、网络拓扑图
光纤以太网技术是现在两大主流通信技术的融合和发展,即以太网和光网络。它集中了以太网和光网络的优点,如以太网应用普遍、价格低廉、组网灵活、管理简单,光网络可靠性高、容量大。光以太网的高速率、大容量消除了存在于局域网和广域网之间的带宽瓶颈,将成为未来融合话音、数据和视频的单一网络结构。光纤以太网产品可以借助以太网设备采用以太网数据包格式实现WAN通信业务。目前,光纤以太网可以实现10Mbps、100Mbps以及1Gbps等标准以太网速度。
光纤以太网设备是以第2层LAN交换机、第3层LAN交换机,SONET设备和DWDM为基础。一些公司推出专为出了光纤以太网交换机,这种交换机具有多种特性,可以尽量确保服务质量(如实现数据包分类和拥塞管理等)。这种产品均可能要求下列关键技术和性能:高可靠性、高端口密度、服务质量保证等功能。
光纤以太网业务与其他宽带接入相比更为经济高效,但到目前为止它的使用只限于办公大楼或楼群内已铺设光纤的地方。使用以太网的这种新方法的战略价值不仅仅限于廉价的接入。它既可用于接入网,也可用于服务供应商网络中的本地骨干网。它可以只用在第2 层,也可以作为实现第3层业务的有效途径。它可以支持IP、IPX以及其他传统协议。此外,由于在本质上它仍属于LAN,因此可用来帮助服务供应商管理企业LAN及企业LAN和其他网之间的互连。
虚拟路由器即Virtual Router,是指在软、硬件层实现物理路由器的功能仿真,属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表,这样就使不同VPN间的地址空间可以重用,并保证了VPN内部路由和转发的隔离性。用以建设骨干IP网络的设备中出现的新进展,尤其是虚拟骨干路由技术的出现,为Internet服务分配中的全面变化创造了条件。 虚拟路由器将使与其他网络用户相隔离并提供对网络性能、Internet地址与路由管理以及管理和安全性的新型Internet服务成为可能。虚拟骨干网路由器在逻辑上将一台物理路由器分为多台虚拟路由器。每台虚拟路由器运行路由协议不同的实例并具有专用 的I/O端口、缓冲区内存、地址空间、 路由表以及网络管理软件。 基于虚拟骨干路由器的服务无需增加投资,就可使客户机具有运行专用骨干网的控制权和安全性。控制和管理虚拟路由功能的软件是模块化的软件。软件的多个实例(对应于多个虚拟路由器)在真正的多处理器操作系统(如Unix)上执行。 每个虚拟路由器进程利用操作系统中固有的进程与内存保护功能与其他进程相隔离,这就保证了高水平的数据安全性,消除了出故障的软件模块损坏其他虚拟路由器上的数据的可能性。 当连接到高速SONET/SDH接口时,为获得线速性能,许多运营商级路由器具有的包转发功能是通过硬件实现的。在具有虚拟路由功能的系统中,这类硬件功能可以在逻辑上被划分并被灵活地分配给一个特定的虚拟路由器。 接收和发送数据包的物理I/O 端口或标记交换路径被置于组成一台虚拟交换机的软件模块的控制之下。包缓冲内存和转发表受每台虚拟路由器资源的限制,以保证一台虚拟路由器不会影响到另一台虚拟路由器的运行。 虚拟路由技术使每台虚拟路由器执行不同的路由协议软件(例如,最短路径优先、边界网关协议、中间系统到中间系统)和网络管理软件(例如,SNMP或命令行界面)的实例。因此,用户可以独立地监视和管理每台虚拟路由器。 不同的协议实例赋予每台虚拟路由器完全独立的IP地址域,这些地址域可以独立地进行配置,不会出现造成冲突的危险。管理功能使每台虚拟路由器可以作为一个独立的实体进行配置和管理。基于用户的安全模块还保证所有的网络管理功能和属于某一虚拟路由器的信息只 能供一定的访问特权访问。 每台虚拟路由器的包转发路径与其他虚拟路由器的包转发路径相隔离,从而使管理人员可以单独和独立地管理每台虚拟路由器的性能。系统中一台虚拟路由器上出现的传输流激增不会影响其他的虚拟路由器。这就保证了这种服务的最终用户得到持续的网络性能。 虚拟路由器还提供独立的策略和Internet工程任务组差别服务(Diff-Serv)功能,使虚拟路由器可以向最终用户提交完全的定制服务。分配给每台虚拟路由器的I/O端口可以进行编程以对输入包进行计数并保证输入包不超过预先规定的合同。然后包根据自己的服务类型分类进入多条队列。 随着虚拟路由功能在骨干网中变得更加普及,在动态精确地满足最终用户的带宽需要的同时,它所具有的提供最终用户对带宽的最大限度的控制和管理的功能将带来许多在价格上具有竞争力、高度定制的IP服务。这些服务将大大改变提供商和客户看待购买带宽世界的方式 。虚拟路由器冗余协议(VRRP:Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。 一、 应用实例 最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于 RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。 在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组 2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。 VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。 使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。 二、工作原理 一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟 MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。 VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。 在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若 VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。 IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
计算机网络毕业论文浅析计算机网络安全技术时圣杰摘要:随着计算机网络越来越深入到人们生活中的各个方面,计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。因此,认真研究当今计算机网络存在的安全问题,提高计算机网络安全防范意识是非常紧迫和必要的。关键词:安全问题;相关技术;对策虽然计算机网络给人们带来了巨大的便利,但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。加强网络安全建设,是关系到企业整体形象和利益的大问题。目前在各企业的网络中都存储着大量的信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失。而对于政府等许多单位来讲,加强网络安全建设的意义甚至关系到国家的安全、利益和发展。1 几种计算机网络安全问题1.1 TCP/IP 协议的安全问题。目前网络环境中广泛采用的TCP/IP 协议。互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信,正因为其开放性,TCP/IP 协议本身就意味着一种安全风险。由于大量重要的应用程序都以TCP 作为它们的传输层协议,因此TCP 的安全性问题会给网络带来严重的后果。1.2 网络结构的安全问题。互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器的重重转发,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。加之互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。1.3 路由器等网络设备的安全问题。路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备,严格说来,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的,而有些方式干脆就是在路由器上进行的。2 计算机网络安全的相关技术计算机网络安全的实现有赖于各种网络安全技术。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。2.1 防火墙技术。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。“防火墙”一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。2.2 数据加密技术。从密码体制方面而言,加密技术可分为对称密钥密码体制和非对称密钥密码体制,对称密钥密码技术要求加密、解密双方拥有相同的密钥,由于加密和解密使用同样的密钥,所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式,即将会话密钥用解密方的公钥加密传给解密方,解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥,在不知道特定信息的情况下,加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。2.3 入侵检测技术。入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。2.4 防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC 上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。3 建议采取的几种安全对策3.1 网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。3.2 以交换式集线器。代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。3.3 VLAN的划分。为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN 里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN 内,互不侵扰。VLAN 内部的连接采用交换实现,而VLAN 与VLAN 之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。参考文献[1]王达.网管员必读———网络安全[M].北京:电子工业出版社,2007.[2]张敏波.网络安全实战详解[M].北京:电子工业出版社,2008.[3]谢希仁.计算机网络(第5 版)[M].北京:电子工业出版社,2008. 更多详细的联系我 我毕业两三年了 现在在公司工作
计算机论文计算机网络在电子商务中的应用摘要:随着计算机网络技术的飞进发展,电子商务正得到越来越广泛的应用。由于电子商务中的交易行为大多数都是在网上完成的, 因此电子商务的安全性是影响趸易双方成败的一个关键因素。本文从电子商务系统对计算机网络安全,商务交易安全性出发,介绍利用网络安全枝术解决安全问题的方法。关键词:计算机网络,电子商务安全技术一. 引言近几年来.电子商务的发展十分迅速 电子商务可以降低成本.增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流.信息流的环境与系统 虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题.网上的交易是一种非面对面交易,因此“交易安全“在电子商务的发展中十分重要。可以说.没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分.计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案.以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Interne'(上应用时产生的各种安全问题.在计算机网络安全的基础上.如何保障电子商务过程的顺利进行。即实现电子商务的保密性.完整性.可鉴别性.不可伪造性和不可依赖性。二、电子商务网络的安全隐患1窃取信息:由于未采用加密措施.数据信息在网络上以明文形式传送.入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容.造成网上传输信息泄密2.篡改信息:当入侵者掌握了信息的格式和规律后.通过各种技术手段和方法.将网络上传送的信息数据在中途修改 然后再发向目的地。这种方法并不新鲜.在路由器或者网关上都可以做此类工作。3假冒由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。4恶意破坏:由于攻击者可以接入网络.则可能对网络中的信息进行修改.掌握网上的机要信息.甚至可以潜入网络内部.其后果是非常严重的。三、电子商务交易中应用的网络安全技术为了提高电子商务的安全性.可以采用多种网络安全技术和协议.这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。1.防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务 由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此.最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网) 防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前.防火墙产品主要分为两大类基于代理服务方式的和基于状态检测方式的。例如Check Poim Fi rewalI-1 4 0是基于Unix、WinNT平台上的软件防火墙.属状态检测型 Cisco PIX是硬件防火墙.也属状态检测型。由于它采用了专用的操作系统.因此减少了黑客利用操作系统G)H攻击的可能性:Raptor完全是基于代理技术的软件防火墙 由于互联网的开放性和复杂性.防火墙也有其固有的缺点(1)防火墙不能防范不经由防火墙的攻击。例如.如果允许从受保护网内部不受限制地向外拨号.一些用户可以形成与Interne'(的直接连接.从而绕过防火墙:造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输.这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Interne'(主机上并被执行而发起攻击时.就会发生数据驱动攻击.所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。2.数据加密技术。防火墙技术是一种被动的防卫技术.它难以对电子商务活动中不安全的因素进行有效的防卫。因此.要保障电子商务的交易安全.就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前.加密技术分为两类.即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(punickey nfrastructur)的缩写.即 公开密钥体系”)技术实施构建完整的加密/签名体系.更有效地解决上述难题.在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI中.密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开.而另一把则作为专用密钥{解密密钥)加以保存。公开密钥用于对机密�6�11生息的加密.专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握.公开密钥可广泛发布.但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开:得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。3.身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性 来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒 篡改等。一般来说。用人的生理特征参数f如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符 密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I)身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识 这就是 数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制.它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构 专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities.简称CA}。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中.证书是证明用户合法身份和提供用户合法公钥的凭证.是建立保密通信的基础。因此,作为网络可信机构的证书管理设施 CA主要职能就是管理和维护它所签发的证书 提供各种证书服务,包括:证书的签发、更新 回收、归档等。4.数字签名技术。数字签名也称电子签名 在信息安全包括身份认证,数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个1 28b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密 形成发送方的数字签名:然后 这个数字签名将作为报文的附件和报文一起发送给报文的接收方 报文接收方首先从接收到的原始报文中计算出1 28bit位的散列值(或报文摘要).接着再用发送方的公开密钥来对报文附加的数字签名进行解密 如果两个散列值相同 那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性。四、结束语电子商务安全对计算机网络安全与商务安全提出了双重要求.其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题 制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化.应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。参考文献:[1]肖满梅 罗兰娥:电子商务及其安全技术问题.湖南科技学院学报,2006,27[2]丰洪才 管华 陈珂:电子商务的关键技术及其安全性分析.武汉工业学院学报 2004,2[3]阎慧 王伟:宁宇鹏等编著.防火墙原理与技术[M]北京:机械工业出版杜 2004
随着互联网技术的不断发展,网络工程专业越来越受到国家和社会的关注,我们在写作网络工程 毕业 论文时,题目也是值得我们关注的。下面是我带来的关于网络工程毕业论文题目的内容,欢迎阅读参考!网络工程毕业论文题目(一) 1. 基于 Web的分布式 EMC数据库集成查询系统 2. 基于 Web的网络课程的设计 3. 基于工作流的业务系统开发 4. B1级安全数据库设计的设计与实现 5. 数据库加密及密钥管理 方法 研究 6. 企业应用集成(EAI)中数据集成技术的应用 7. 基于数据仓库连锁店决策支持系统模型的研究 8. VC开发基于 Office 组件应用程序 9. 从 XML到关系数据库映射技术研究 10. ORACLE9i 数据库系统性能优化研究与实践 11. MIS系统统用报表的设计与实现 12. 数字机顶盒系统的软件加密设计 13. 网上体育用品店的ASP实现 14. 基于ASP的毕业设计管理系统 15. 基于ASP的考务管理系统 16. 如何在网上营销好生意 17. 网上商店顾客消费心理的研究 18. 信息产品与网络营销 19. 网络营销中的 广告 策略研究 20. 网络营销中的价格策略研究 网络工程毕业论文题目(二) 1. 网络校园网络工程综合布线方案 2. ARP攻击与防护 措施 及解决方案 3. 路由器及其配置分析 4. 服务器的配置与为维护 5. 入侵检测技术研究 6. 复杂环境下网络嗅探技术的应用及防范措施 7. 网络病毒技术研究 8. 网络蠕虫传播模型的研究 9. 无尺度网络中邮件蠕虫的传播与控制 10. 网络路由协议研究 11. 可动态配置的移动网络协议设计研究 12. Ipv4/Ipv6 双协议栈以太网接入认证和移动技术 13. 虚拟路由器的体系结构及实现 14. 一种基于分布式并行过滤得前置式邮件过滤模型 15. XML应用于信息检索的研究 16. JMX框架下 SNMP适配器的实现与应用 17. MANET 路由协议性能分析 18. Internet用户 Ipv6 协议试验网设计与实现 19. 基于光纤通道的网络文件管理系统设计与实现 20. 网络拓扑结构的测量协议与技术 21. 办公业务对象在关系数据库中的存储 网络工程毕业论文题目(三) 1、基于协同过滤的个性化Web推荐 2、Web导航中用户认知特征及行为研究 3、Web服务器集群系统的自适应负载均衡调度策略研究 4、动态Web技术研究 5、语义Web服务的关键技术研究 6、面向语义Web服务的发现机制研究 7、Web服务组合研究与实现 8、构建REST风格的Web应用程序 9、企业架构下WebService技术的研究 10、Web回归桌面的研究与应用 11、Web服务选择的研究 12、Web服务的授权访问控制机制研究 13、基于WEB标准的网络课程设计与开发 14、基于Web的教师个人知识管理系统的设计与开发 15、基于Android平台的手机Web地图服务设计 16、基于Web的信息管理系统架构的研究 17、基于Web使用挖掘的网站优化策略研究 18、基于Web的自适应测试系统的研究 19、面向语义Web服务的发现机制研究 20、面向语义Web服务的分布式服务发现研究 猜你喜欢: 1. 最新版网络工程专业毕业论文题目 2. 网络工程论文题目 3. 网络工程专业毕业论文题目 4. 网络工程专业毕业论文精选范文 5. 网络工程论文选题 6. 关于网络工程毕业论文范文
1 摘要 12 Abstract 23 目录 44 引言 64.1 如今的网络社会 64.2 本课题的目的 64.3 关于Cisco 65 用户需求分析 85.1 网络需求分析 85.2 资金预算 86 网络系统的建议方案 96.1 网络主干 96.2 教学楼的接入 116.3 图书馆的接入 116.4 办公楼的接入 116.5 学生机房的接入 116.6 学生宿舍的联网 126.7 PIX防火墙 126.8 Cisco 2610 远程访问路由器 126.9 网络管理 137 网络总体设计方案 147.1 网络拓扑 147.2 VLAN及IP地址规划 148 交换模块设计 168.1 访问层交换服务的实现-配置访问层交换机 168.1.1 设置交换机名称 178.1.2 设置交换机的加密使能口令 178.1.3 设置登录虚拟终端线时的口令 188.1.4 设置终端线超时时间 198.1.5 设置禁用IP地址解析特性 208.1.6 设置启用消息同步特性 218.1.7 配置访问层交换机jxl的管理IP、默认网关 228.1.8 端口双工配置 248.1.9 端口速度 248.1.10 设置快速端口 258.1.11 配置访问层交换机jxl的主干道端口 268.1.12 配置其余的访问层交换机 278.2 分布层交换服务的实现-配置分布层交换机 288.2.1 配置分布层交换机jxq 的基本参数 288.2.2 配置分布层交换机jxq 的管理IP、默认网关 298.2.3 配置分布层交换机jxq的VLAN 298.2.4 配置分布层交换机jxq 的端口基本参数 308.2.5 配置分布层交换机jxq 的3层交换功能 318.2.6 配置分布层交换机ssq 338.3 核心层交换服务的实现-配置核心层交换机 348.3.1 配置核心层交换机CoreSwitch1的基本参数 348.3.2 配置核心层交换机CoreSwitch1的管理IP、默认网关 358.3.3 配置核心层交换机CoreSwitch1的端口参数 368.3.4 配置核心层交换机CoreSwitch1的路由功能 369 PIX防火墙的接入 389.1 PIX防火墙的管理访问模式 399.2 PIX防火墙的基本命令 3910 广域网接入设计 4010.1 配置接入路由器InternetRouter的基本参数 4010.2 配置接入路由器InternetRouter的各接口参数 4110.3 配置接入路由器InternetRouter的路由功能 4110.4 配置接入路由器InternetRouter上的NAT 4210.4.1 定义NAT内部、外部接口 4210.4.2 定义允许进行NAT的工作站的内部局部IP地址范围 4310.5 配置接入路由器InternetRouter上的ACL 4410.5.1 对外屏蔽简单网管协议,即SNMP 4410.5.2 对外屏蔽远程登录协议telnet 4510.5.3 对外屏蔽其它不安全的协议或服务 4611 结束语 4812 致谢 4913 参考文献 50
目 录 摘 要 I ABSTRACT II 1 英诚医院内部网络需求分析 1 1.1 对用户需求进行分析 1 1.2 主要设计的目标 2 2 英诚医院内部网络整体设计 4 2.1 英诚医院内部网络整个架构 4 2.2 技术的选择 5 2.2.1 接入层的技术选择方案 5 2.2.2 汇聚层的技术选择方案 5 2.2.3 核心层的技术选择方案 5 2.2.4 网络安全技术选择方案 7 2.3 设备的选型 7 2.3.1 思科SW2960介绍 8 2.3.2 思科SW3560介绍 9 2.3.3 思科的Router大概介绍 9 3 英诚医院内部网络综合布线 11 3.1 信息点数量 11 3.2 设备间布局 12 3.3 耗材数量 12 4 英诚医院内部网络的配置和实施 14 4.1 划分VLAN 14 4.2 配置trunk 16 4.3 配置RSTP 17 4.4 配置SVI 17 4.5 配置GLBP 18 4.6 配置OSPF协议 22 4.7 配置OSPF下的发默认路由 24 4.8 配置NAT 24 4.9 配置出口备份默认路由技术 25 5 英诚医院内部网络测试与验收 26 5.1 测试与验收网络效果参数 26 5.2 测试阶段 31 5.2.1 测试门诊楼访问医技大楼 31 5.2.2测试医院门诊楼访问急诊楼 31 5.2.3 测试医院医技大楼访问化验大楼 32 5.2.4 测试医院行政楼访问医技楼 32 5.2.5 测试医院医技楼访问网络服务器 32 5.2.6 测试医院门诊楼访问服务器 33 5.2.7 测试医院住院楼访问服务器 33 5.2.8 测试医院办公楼访问服务器 33 5.2.9 测试医技楼访问公网 34 5.2.10 测试急诊楼访问公网 34 5.2.11 测试住院楼访问公网 34 5.2.12 测试行政楼访问公网 35 5.3 验收阶段 35 总 结 36 参考文献 37 致 谢 38 摘 要 随着经济的快速发展和英诚医院内部网络规模的不断发展,英诚医院内部网络服务的人群发生了许多变化。来自不同地区的不同模型。现有英诚医院内部网络存在数据交互延迟、安全接入等级低、通信实时验证等诸多问题,这些问题直接影响医院未来的发展和运营。随着科学技术的发展和应用的普及,特别是计算机技术和网络技术的发展,随着英诚医院内部网络应用需求的不断扩大,现有的网络结构和模式已不能满足现有的要求。 这次论文基于英诚医院内部网络,规划设计了整个英诚医院内部网络的拓扑设计、IP地址规划、交换机和路由器的配置、科室之间的VLAN划分。网关冗余和以太网通道配置、NAT私网地址和公网地址转换、网络安全和帧中继配置等构建了网络系统的硬件平台。基于已建立的网络硬件平台,配置DNS、DHCP等服务,以及域环境下的用户控制和管理,组策略应用,网络打印机,软件发布,磁盘文件管理和安全策略设置,WEB服务器,FTP服务器,MAIL服务器的设置,实现网络的整体规划设计。 关键词:医院网络;医院内部网络;网络规划;网络设计;拓扑结构 ABSTRACT With the rapid development of economy and the continuous development of the internal network scale of Yingcheng Hospital, the population of the internal network service has undergone many changes.Different models derived from different regions.There are many problems in the existing internal network of Yingcheng Hospital, such as data interaction delay, low security access level, real-time communication verification, which directly affect the future development and operation of the hospital.With the development of science and technology and the popularization of the application, especially the development of computer technology and network technology, and with the continuous expansion of the internal network application needs of Yingcheng Hospital, the existing network structure and mode can no longer meet the existing requirements. This paper is based on the internal network of Yingcheng Hospital, which plans and designs the topology design, IP address planning, switch and router configuration, and VLAN division of the whole internal network of Yingcheng Hospital.Gateway redundancy and Ethernet channel configuration, NAT private network address and public network address conversion, network security and frame relay configuration build the hardware platform of the network system.Based on the established network hardware platform, configure DNS, DHCP and other services, as well as user control and management in the domain environment, group policy application, network printer, software release, disk file management and security policy setting, WEB server, FTP server, MAIL server setting, realize the overall network planning and design. Key words: hospital network; hospital internal network; network planning; network design; topology 本文来自: 毕业作品网站(www.biyezuopin.vip) 详细出处参考: