虚拟路由器即Virtual Router,是指在软、硬件层实现物理路由器的功能仿真,属于一种逻辑设备。每个VR应该具有逻辑独立的路由表和转发表,这样就使不同VPN间的地址空间可以重用,并保证了VPN内部路由和转发的隔离性。
用以建设骨干IP网络的设备中出现的新进展,尤其是虚拟骨干路由技术的出现,为Internet服务分配中的全面变化创造了条件。
虚拟路由器将使与其他网络用户相隔离并提供对网络性能、Internet地址与路由管理以及管理和安全性的新型Internet服务成为可能。虚拟骨干网路由器在逻辑上将一台物理路由器分为多台虚拟路由器。每台虚拟路由器运行路由协议不同的实例并具有专用 的I/O端口、缓冲区内存、地址空间、 路由表以及网络管理软件。
基于虚拟骨干路由器的服务无需增加投资,就可使客户机具有运行专用骨干网的控制权和安全性。控制和管理虚拟路由功能的软件是模块化的软件。软件的多个实例(对应于多个虚拟路由器)在真正的多处理器操作系统(如Unix)上执行。
每个虚拟路由器进程利用操作系统中固有的进程与内存保护功能与其他进程相隔离,这就保证了高水平的数据安全性,消除了出故障的软件模块损坏其他虚拟路由器上的数据的可能性。
当连接到高速SONET/SDH接口时,为获得线速性能,许多运营商级路由器具有的包转发功能是通过硬件实现的。在具有虚拟路由功能的系统中,这类硬件功能可以在逻辑上被划分并被灵活地分配给一个特定的虚拟路由器。
接收和发送数据包的物理I/O 端口或标记交换路径被置于组成一台虚拟交换机的软件模块的控制之下。包缓冲内存和转发表受每台虚拟路由器资源的限制,以保证一台虚拟路由器不会影响到另一台虚拟路由器的运行。
虚拟路由技术使每台虚拟路由器执行不同的路由协议软件(例如,最短路径优先、边界网关协议、中间系统到中间系统)和网络管理软件(例如,SNMP或命令行界面)的实例。因此,用户可以独立地监视和管理每台虚拟路由器。
不同的协议实例赋予每台虚拟路由器完全独立的IP地址域,这些地址域可以独立地进行配置,不会出现造成冲突的危险。管理功能使每台虚拟路由器可以作为一个独立的实体进行配置和管理。基于用户的安全模块还保证所有的网络管理功能和属于某一虚拟路由器的信息只 能供一定的访问特权访问。
每台虚拟路由器的包转发路径与其他虚拟路由器的包转发路径相隔离,从而使管理人员可以单独和独立地管理每台虚拟路由器的性能。系统中一台虚拟路由器上出现的传输流激增不会影响其他的虚拟路由器。这就保证了这种服务的最终用户得到持续的网络性能。
虚拟路由器还提供独立的策略和Internet工程任务组差别服务(Diff-Serv)功能,使虚拟路由器可以向最终用户提交完全的定制服务。分配给每台虚拟路由器的I/O端口可以进行编程以对输入包进行计数并保证输入包不超过预先规定的合同。然后包根据自己的服务类型分类进入多条队列。
随着虚拟路由功能在骨干网中变得更加普及,在动态精确地满足最终用户的带宽需要的同时,它所具有的提供最终用户对带宽的最大限度的控制和管理的功能将带来许多在价格上具有竞争力、高度定制的IP服务。这些服务将大大改变提供商和客户看待购买带宽世界的方式 。
虚拟路由器冗余协议(VRRP:Virtual Router Redundancy Protocol)
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。
一、 应用实例
最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于 RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。
在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组 2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。
VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。
使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。
二、工作原理
一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟 MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若 VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。 IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
随着互联网技术的不断发展,网络工程专业越来越受到国家和社会的关注,我们在写作网络工程 毕业 论文时,题目也是值得我们关注的。下面是我带来的关于网络工程毕业论文题目的内容,欢迎阅读参考!
网络工程毕业论文题目(一)
1. 基于 Web的分布式 EMC数据库集成查询系统
2. 基于 Web的网络课程的设计
3. 基于工作流的业务系统开发
4. B1级安全数据库设计的设计与实现
5. 数据库加密及密钥管理 方法 研究
6. 企业应用集成(EAI)中数据集成技术的应用
7. 基于数据仓库连锁店决策支持系统模型的研究
8. VC开发基于 Office 组件应用程序
9. 从 XML到关系数据库映射技术研究
10. ORACLE9i 数据库系统性能优化研究与实践
11. MIS系统统用报表的设计与实现
12. 数字机顶盒系统的软件加密设计
13. 网上体育用品店的ASP实现
14. 基于ASP的毕业设计管理系统
15. 基于ASP的考务管理系统
16. 如何在网上营销好生意
17. 网上商店顾客消费心理的研究
18. 信息产品与网络营销
19. 网络营销中的 广告 策略研究
20. 网络营销中的价格策略研究
网络工程毕业论文题目(二)
1. 网络校园网络工程综合布线方案
2. ARP攻击与防护 措施 及解决方案
3. 路由器及其配置分析
4. 服务器的配置与为维护
5. 入侵检测技术研究
6. 复杂环境下网络嗅探技术的应用及防范措施
7. 网络病毒技术研究
8. 网络蠕虫传播模型的研究
9. 无尺度网络中邮件蠕虫的传播与控制
10. 网络路由协议研究
11. 可动态配置的移动网络协议设计研究
12. Ipv4/Ipv6 双协议栈以太网接入认证和移动技术
13. 虚拟路由器的体系结构及实现
14. 一种基于分布式并行过滤得前置式邮件过滤模型
15. XML应用于信息检索的研究
16. JMX框架下 SNMP适配器的实现与应用
17. MANET 路由协议性能分析
18. Internet用户 Ipv6 协议试验网设计与实现
19. 基于光纤通道的网络文件管理系统设计与实现
20. 网络拓扑结构的测量协议与技术
21. 办公业务对象在关系数据库中的存储
网络工程毕业论文题目(三)
1、基于协同过滤的个性化Web推荐
2、Web导航中用户认知特征及行为研究
3、Web服务器集群系统的自适应负载均衡调度策略研究
4、动态Web技术研究
5、语义Web服务的关键技术研究
6、面向语义Web服务的发现机制研究
7、Web服务组合研究与实现
8、构建REST风格的Web应用程序
9、企业架构下WebService技术的研究
10、Web回归桌面的研究与应用
11、Web服务选择的研究
12、Web服务的授权访问控制机制研究
13、基于WEB标准的网络课程设计与开发
14、基于Web的教师个人知识管理系统的设计与开发
15、基于Android平台的手机Web地图服务设计
16、基于Web的信息管理系统架构的研究
17、基于Web使用挖掘的网站优化策略研究
18、基于Web的自适应测试系统的研究
19、面向语义Web服务的发现机制研究
20、面向语义Web服务的分布式服务发现研究
猜你喜欢:
1. 最新版网络工程专业毕业论文题目
2. 网络工程论文题目
3. 网络工程专业毕业论文题目
4. 网络工程专业毕业论文精选范文
5. 网络工程论文选题
6. 关于网络工程毕业论文范文
计算机网络技术专业毕业论文题目
你是不是在为选计算机网络技术专业毕业论文题目烦恼呢?以下是我为大家整理的关于计算机网络技术专业毕业论文题目,希望大家喜欢!
1. 基于移动互联网下服装品牌的推广及应用研究
2. 基于Spark平台的恶意流量监测分析系统
3. 基于MOOC翻转课堂教学模式的设计与应用研究
4. 一种数字货币系统P2P消息传输机制的设计与实现
5. 基于OpenStack开放云管理平台研究
6. 基于OpenFlow的软件定义网络路由技术研究
7. 未来互联网试验平台若干关键技术研究
8. 基于云计算的海量网络流量数据分析处理及关键算法研究
9. 基于网络化数据分析的社会计算关键问题研究
10. 基于Hadoop的网络流量分析系统的研究与应用
11. 基于支持向量机的移动互联网用户行为偏好研究
12. “网络技术应用”微课程设计与建设
13. 移动互联网环境下用户隐私关注的影响因素及隐私信息扩散规律研究
14. 未来互联网络资源负载均衡研究
15. 面向云数据中心的虚拟机调度机制研究
16. 基于OpenFlow的数据中心网络路由策略研究
17. 云计算环境下资源需求预测与优化配置方法研究
18. 基于多维属性的社会网络信息传播模型研究
19. 基于遗传算法的云计算任务调度算法研究
20. 基于OpenStack开源云平台的网络模型研究
21. SDN控制架构及应用开发的研究和设计
22. 云环境下的资源调度算法研究
23. 异构网络环境下多径并行传输若干关键技术研究
24. OpenFlow网络中QoS管理系统的研究与实现
25. 云协助文件共享与发布系统优化策略研究
26. 大规模数据中心可扩展交换与网络拓扑结构研究
27. 数据中心网络节能路由研究
28. Hadoop集群监控系统的设计与实现
29. 网络虚拟化映射算法研究
30. 软件定义网络分布式控制平台的研究与实现
31. 网络虚拟化资源管理及虚拟网络应用研究
32. 基于流聚类的网络业务识别关键技术研究
33. 基于自适应流抽样测量的网络异常检测技术研究
34. 未来网络虚拟化资源管理机制研究
35. 大规模社会网络中影响最大化问题高效处理技术研究
36. 数据中心网络的流量管理和优化问题研究
37. 云计算环境下基于虚拟网络的资源分配技术研究
38. 基于用户行为分析的精确营销系统设计与实现
39. P2P网络中基于博弈算法的优化技术研究
40. 基于灰色神经网络模型的网络流量预测算法研究
41. 基于KNN算法的Android应用异常检测技术研究
42. 基于macvlan的Docker容器网络系统的设计与实现
43. 基于容器云平台的网络资源管理与配置系统设计与实现
44. 基于OpenStack的SDN仿真网络的研究
45. 一个基于云平台的智慧校园数据中心的设计与实现
46. 基于SDN的数据中心网络流量调度与负载均衡研究
47. 软件定义网络(SDN)网络管理关键技术研究
48. 基于SDN的数据中心网络动态负载均衡研究
49. 基于移动智能终端的医疗服务系统设计与实现
50. 基于SDN的网络流量控制模型设计与研究
51. 《计算机网络》课程移动学习网站的设计与开发
52. 数据挖掘技术在网络教学中的应用研究
53. 移动互联网即时通讯产品的用户体验要素研究
54. 基于SDN的负载均衡节能技术研究
55. 基于SDN和OpenFlow的流量分析系统的研究与设计
56. 基于SDN的网络资源虚拟化的研究与设计
57. SDN中面向北向的`控制器关键技术的研究
58. 基于SDN的网络流量工程研究
59. 基于博弈论的云计算资源调度方法研究
60. 基于Hadoop的分布式网络爬虫系统的研究与实现
61. 一种基于SDN的IP骨干网流量调度方案的研究与实现
62. 基于软件定义网络的WLAN中DDoS攻击检测和防护
63. 基于SDN的集群控制器负载均衡的研究
64. 基于大数据的网络用户行为分析
65. 基于机器学习的P2P网络流分类研究
66. 移动互联网用户生成内容动机分析与质量评价研究
67. 基于大数据的网络恶意流量分析系统的设计与实现
68. 面向SDN的流量调度技术研究
69. 基于P2P的小额借贷融资平台的设计与实现
70. 基于移动互联网的智慧校园应用研究
71. 内容中心网络建模与内容放置问题研究
72. 分布式移动性管理架构下的资源优化机制研究
73. 基于模糊综合评价的P2P网络流量优化方法研究
74. 面向新型互联网架构的移动性管理关键技术研究
75. 虚拟网络映射策略与算法研究
76. 互联网流量特征智能提取关键技术研究
77. 云环境下基于随机优化的动态资源调度研究
78. OpenFlow网络中虚拟化机制的研究与实现
79. 基于时间相关的网络流量建模与预测研究
80. B2C电子商务物流网络优化技术的研究与实现
81. 基于SDN的信息网络的设计与实现
82. 基于网络编码的数据通信技术研究
83. 计算机网络可靠性分析与设计
84. 基于OpenFlow的分布式网络中负载均衡路由的研究
85. 城市电子商务物流网络优化设计与系统实现
86. 基于分形的网络流量分析及异常检测技术研究
87. 网络虚拟化环境下的网络资源分配与故障诊断技术
88. 基于中国互联网的P2P-VoIP系统网络域若干关键技术研究
89. 网络流量模型化与拥塞控制研究
90. 计算机网络脆弱性评估方法研究
91. Hadoop云平台下调度算法的研究
92. 网络虚拟化环境下资源管理关键技术研究
93. 高性能网络虚拟化技术研究
94. 互联网流量识别技术研究
95. 虚拟网络映射机制与算法研究
96. 基于业务体验的无线资源管理策略研究
97. 移动互联网络安全认证及安全应用中若干关键技术研究
98. 基于DHT的分布式网络中负载均衡机制及其安全性的研究
99. 高速复杂网络环境下异常流量检测技术研究
100. 基于移动互联网技术的移动图书馆系统研建
101. 基于连接度量的社区发现研究
102. 面向可信计算的分布式故障检测系统研究
103. 社会化媒体内容关注度分析与建模方法研究
104. P2P资源共享系统中的资源定位研究
105. 基于Flash的三维WebGIS可视化研究
106. P2P应用中的用户行为与系统性能研究
107. 基于MongoDB的云监控设计与应用
108. 基于流量监测的网络用户行为分析
109. 移动社交网络平台的研究与实现
110. 基于 Android 系统的 Camera 模块设计和实现
111. 基于Android定制的Lephone系统设计与实现
112. 云计算环境下资源负载均衡调度算法研究
113. 集群负载均衡关键技术研究
114. 云环境下作业调度算法研究与实现
115. 移动互联网终端界面设计研究
116. 云计算中的网络拓扑设计和Hadoop平台研究
117. pc集群作业调度算法研究
118. 内容中心网络网内缓存策略研究
119. 内容中心网络的路由转发机制研究
120. 学习分析技术在网络课程学习中的应用实践研究
论文提纲,是指论文作者动笔行文前的必要准备,是论文构思谋篇的具体体现。构思谋篇是指组织设计毕业论文的篇章结构,以便论文作者可以根据论文提纲安排材料素材、对课题论文展开论证。有了一个好的提纲,就能纲举目张,提纲挚领,掌握全篇论文的基本骨架,使论文的结构完整统一;就能分清层次,明确重点,周密地谋篇布局,使总论点和分论点有机地统一起来;也就能够按照各部分的要求安排、组织、利用资料,决定取舍,最大限度地发挥资料的作用。[1]
论文提纲可分为简单提纲和详细提纲两种。简单提纲是高度概括的,只提示论文的要点,如何展开则不涉及。这种提纲虽然简单,但由于它是经过深思熟虑构成的,写作时能顺利进行。没有这种准备,边想边写很难顺利地写下去。
摘 要 探索了网络平安的目前状况及新问题由来以及几种主要网络平安技术,提出了实现网络平安的几条办法。
网络平安 计算机网络 防火墙
1 网络平安及其目前状况
1.1 网络平安的概念
国际标准化组织(ISO)将“计算机平安”定义为摘要:“为数据处理系统建立和采取的技术和管理的平安保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机平安的定义包含物理平安和逻辑平安两方面的内容,其逻辑平安的内容可理解为我们常说的信息平安,是指对信息的保密性、完整性和可用性的保护,而网络平安性的含义是信息平安的引申,即网络平安是对网络信息保密性、完整性和可用性的保护。
1.2 网络平安的目前状况
目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋向公司称,像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车,去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络平安新问题带来的损失由此可见一斑。
2 网络平安的主要技术
平安是网络赖以生存的保障,只有平安得到保障,网络才能实现自身的价值。网络平安技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。
2.1 认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下摘要:
2.1.1 身份认证
当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。
2.1.2 报文认证
主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。
2.1.3 访问授权
主要是确认用户对某资源的访问权限。
2.1.4 数字签名
数字签名是一种使用加密认证电子信息的方法,其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。
2.2 数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型摘要:私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很轻易在硬件和软件件中实现。
2.2.2 公匙加密
公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
2.3 防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确答应通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的平安级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑平安兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的平安控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的平安策略;而且防火墙只实现了粗粒度的访问控制,也不能和企业内部使用的其他平安机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
2.4 入侵检测系统
入侵检测技术是网络平安探究的一个热点,是一种积极主动的平安防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展摘要:分布式入侵检测、智能化入侵检测和全面的平安防御方案。
入侵检测系统(Instusion Detection System, 简称IDS)是进行入侵检测的软件和硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。
2.5 虚拟专用网(VPN)技术
VPN是目前解决信息平安新问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过平安的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障平安摘要:隧道技术(Tunneling)、加解密技术(Encryption %26amp; Decryption)、密匙管理技术(Key Management)和使用者和设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的平安服务,这些平安服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
2.6 其他网络平安技术
(1)智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋和它一个口令或密码字,该密码字和内部网络服务器上注册的密码一致。智能卡技术一般和身份验证联合使用。
(2)平安脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的平安漏洞,以改进系统对网络入侵的防御能力的一种平安技术。
(3)网络数据存储、备份及容灾规划,它是当系统或设备不幸碰到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种平安技术方案。
其他网络平安技术还有我们较熟悉的各种网络防杀病毒技术等等。
3 网络平安新问题的由来
网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息平安方面的规划则非常有限,这样,伴随计算机和通信技术的迅猛发展,网络攻击和防御技术循环递升,原来网络固有优越性的开放性和互联性变成信息的平安性隐患之便利桥梁。网络平安已变成越来越棘手的新问题,只要是接入到因特网中的主机都有可能被攻击或入侵了,而遭受平安新问题的困扰。
目前所运用的TCP/IP协议在设计时,对平安新问题的忽视造成网络自身的一些特征,而所有的应用平安协议都架设在TCP/IP之上,TCP/IP协议本身的平安新问题,极大地影响了上层应用的平安。网络的普及和应用还是近10年的事,而操作系统的产生和应用要远早于此,故而操作系统、软件系统的不完善性也造成平安漏洞;在平安体系结构的设计和实现方面,即使再完美的体系结构,也可能一个小小的编程缺陷,带来巨大的平安隐患;而且,平安体系中的各种构件间缺乏紧密的通信和合作,轻易导致整个系统被各个击破。
4 网络平安新问题策略的思索
网络平安建设是一个系统工程、是一个社会工程,网络平安新问题的策略可从下面4个方面着手。
网络平安的保障从技术角度看。首先,要树立正确的思想预备。网络平安的特性决定了这是一个不断变化、快速更新的领域,况且我国在信息平安领域技术方面和国外发达国家还有较大的差距,这都意味着技术上的“持久战”,也意味着人们对于网络平安领域的投资是长期的行为。其次,建立高素质的人才队伍。目前在我国,网络信息平安存在的突出新问题是人才稀缺、人才流失,尤其是拔尖人才,同时网络平安人才培养方面的投入还有较大缺欠。最后,在具体完成网络平安保障的需求时,要根据实际情况,结合各种要求(如性价比等),需要多种技术的合理综合运用。
网络平安的保障从管理角度看。考察一个内部网是否平安,不仅要看其技术手段,而更重要的是看对该网络所采取的综合办法,不光看重物理的防范因素,更要看重人员的素质等“软”因素,这主要是重在管理,“平安源于管理,向管理要平安”。再好的技术、设备,而没有高质量的管理,也只是一堆废铁。
网络平安的保障从组织体系角度看。要尽快建立完善的网络平安组织体系,明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系,和认证认可各级结构,保证信息平安技术、信息平安工程、信息平安产品,信息平安管理工作的组织体系。
最后,在尽快加强网络立法和执法力度的同时,不断提高全民的文明道德水准,倡导健康的“网络道德”,增强每个网络用户的平安意识,只有这样才能从根本上解决网络平安新问题。
参考文献
1 张千里,陈光英.网络平安新技术[M.北京摘要:人民邮电出版社,2003
2 高永强,郭世泽.网络平安技术和应用大典[M.北京摘要:人民邮电出版社,2003
3 周国民. 入侵检测系统评价和技术发展探究[J.现代电子技术,2004(12)
4 耿麦香.网络入侵检测技术探究综述[J,网络平安,2004(6)